【資安日報】1月2日，竊資軟體濫用Google未公開的OAuth同步機制挾持用戶帳號[轉載自IThome]

研究人員針對駭客聲稱能利用過期的cookie挾持Google帳號的情況進行深入調查，結果發現對方竟是濫用Google未公開的跨服務同步機制來達到目的

文/周峻佑 | 2024-01-02發表

去年11月，竊資軟體Lumma、Rhadamanthys的開發者聲稱加入罕見的新功能，能讓攻擊者藉由收集電腦的特定檔案挾持受害者Google帳號，而且，使用者更換密碼也無法擺脫駭客糾纏。如此特殊、神奇的攻擊手法，引起研究人員高度關注，後續有其他資安業者參與相關調查，並揭露成果。

值得留意的是，駭客竟是濫用Google未公開的服務元件達到目的，前不久也出現這種運用未公開元件攻擊的手法，那就是卡巴斯基之前揭露的間諜軟體攻擊Operation Triangulation，駭客滲透的管道是晶片韌體未使用的暫存器。

【攻擊與威脅】

竊資軟體濫用Google跨服務同步機制，透過OAuth挾持Google帳號

研究人員11月揭露名為Lumma的竊資軟體，駭客提供新的功能服務，標榜可從受害電腦竊取與Google服務有關的cookie，從而劫持使用者的Google帳號，但究竟駭客如何達成目的？當時研究人員表明仍不得而知，並希望其他資安業者也能投入相關調查，如今有新的發現。

資安業者CloudSEK指出，他們在去年10月看到名為Prisma的駭客組織，在Telegram頻道宣稱掌握一項零時差漏洞，能長時間存取受害者的Google帳號，就算使用者變更密碼也無濟於事，他們還是能藉由cookie，重新建立連線階段（session），持續掌控受害者的帳號，他們尋求與其他惡意軟體開發者進行合作。隨後在11、12月，就有數款竊資軟體陸續導入相關功能，最早的是Lumma、Rhadamanthys，後續則是Stealc、Meduza、Risepro、WhiteSnake，它們也標榜具備這類挾持Google帳號的機制。其中開發Eternity Stealer的駭客組織，也著手打造具有這類功能的新版程式。

研究人員透過逆向工程，發現這些竊資軟體會鎖定Chrome名為token_service的表單，取得特定的Token和GAIA ID資料，接著濫用Google未曾在技術文件提及的MultiLogin端點跨服務同步機制而能透過OAuth機制，挾持受害者的Google帳號。

多組駭客濫用微軟市集App的URI協定，散布惡意軟體

12月28日微軟指出，自11月中旬，他們發現Storm-0569、Storm-1113、FIN7（亦稱Sangria Tempest）、Storm-1674等多個駭客組織，濫用ms-appinstaller的URI，藉由MSIX安裝程式來散布惡意程式，對此他們決定暫時停用相關通訊協定。這些駭客假借提供Zoom、Tableau、TeamViewer、AnyDesk等常見的應用程式，在Bing、Google刊登惡意廣告引誘使用者上當，研究人員也看到利用協作平臺Teams來進行網路釣魚攻擊的情況。

針對這些駭客使用的惡意軟體，Storm-0569會使用PowerShell指令碼，下載並執行Batloader、IcedID、Cobalt Strike等作案工具，再交由Storm-0846、Storm-0506部署勒索軟體；Storm-1113則是對受害電腦植入木馬程式Gozi、IcedID、NetSupport RAT，竊資軟體Redline、Lumma Stealer，以及殭屍網路軟體Smoke Loader；FIN7利用Storm-1113製作的惡意程式載入工具，部署後門程式Carbanak、惡意程式Gracewire或NetSupport RAT。

值得一提的是，Storm-1674與上述駭客組織的手法有所不同，他們利用Teams訊息傳送冒牌OneDrive、SharePoint登入網頁，最終散布SectopRAT或DarkGate。

烏克蘭政府機關遭俄羅斯駭客APT28鎖定，散布惡意程式Masepie

烏克蘭電腦緊急應變小組（CERT-UA）針對俄斯駭客組織APT28的攻擊行動提出警告，駭客約從12月15日至25日，鎖定烏克蘭政府機關的釣魚郵件攻擊，假借提供重要文件的名義，要求收信人點選信裡的URL，一旦依照對方的指示操作，電腦就有可能藉由JavaScript與Windows搜尋的URI（ms-search）通訊協定，下載LNK捷徑檔案，從而透過PowerShell命令觸發以Python打造的惡意軟體Masepie。

CERT-UA指出，在攻擊行動裡駭客還利用了OpenSSH、PowerShell指令碼Steelhook、後門程式Oceanmap，於受害電腦建立隧道通訊、竊取Chrome及Edge瀏覽器資料，並透過IMAP協定對受害電腦下達攻擊命令。

北韓駭客Kimsuky部署AppleSeed、Meterpreter、TinyNuke控制受害電腦

資安業者AhnLab揭露北韓駭客Kimsuky最新一波的網路釣魚攻擊行動，指出駭客最近偏好使用Windows捷徑（LNK）檔案，但也有利用JavaScript或其他類型的惡意檔案。

研究人員指出，雖然駭客的攻擊模式沒有重大變化，仍舊使用2022年出現的竊資軟體，以及名為RDP Patch的惡意程式，但這次駭客使用後門程式AppleSeed的變種AlphaSeed，在執行的過程會檢查特定參數來阻礙研究人員分析，而過往駭客會使用遠端桌面連線（RDP）控制受害電腦，但在這波攻擊行動裡，對方則是濫用Chrome選端連線的功能。

在部分攻擊行動裡，研究人員也看到對方利用惡意程式Meterpreter及VNC惡意程式TinyNuke（或TightVNC）搭配的情況。

集運業者美買的前合夥人串通委外工程師攻擊網站、竊取客戶資料，提供競爭對手運用

12月29日內政部警政署刑事警察局宣布查獲破壞公司網站多名嫌犯，涉案人員為游姓主嫌、陳姓工程師及林姓共犯，他們對美國集運物流公司美買國際進行資料盜竊、關閉網站，然後將到手的近19萬筆客戶資料，交由另一家集運業者運用。刑事警察局偵查第九大隊第二隊、科技犯罪防制中心科技偵查隊、臺中市政府警察局豐原分局於2023年7月13日、12月14日執行搜索及拘提，查獲游姓主嫌、陳姓工程師及林姓共犯，查扣作案手機、電腦、會員訂單資料庫近19萬筆個人資料等電磁紀錄，全案將依違反個人資料保護法、背信、妨害電腦使用等罪嫌，移請臺灣臺中地方檢察署偵辦。

這起事故發生在2022年11月，美買網站無預警關閉，當時網站及系統無法運作，會員亦收到另一家新成立的集運業者的廣告電子郵件，直到12日後網站才恢復正常，美買估計損失1,200萬元。

資料來源

1. https://www.cib.npa.gov.tw/ch/app/news/view?module=news&id=1885&serno=97c224ad-c1f2-4bf9-beea-85ab9c0a0cd9
2. https://www.facebook.com/MaybuyInt/posts/pfbid032kxJJpVNJ1E2oRqsNMYoyHEXFn2sDyszw1r1YUjkunZPdgBT8C6CfC6wvZX5ZRVbl