【資安日報】2022年4月7日，竊密軟體FFDroider鎖定社群網站帳密而來、殭屍網路Beastmode鎖定Totolink路由器弱點發動攻擊

出處：【資安日報】2022年4月7日，竊密軟體FFDroider鎖定社群網站帳密而來、殭屍網路Beastmode鎖定Totolink路由器弱點發動攻擊

專門鎖定臉書、推特等社群網站帳號的竊密軟體攻擊，引起研究人員關注；再者，鎖定多款Totolink路由器漏洞的殭屍網路，用戶要儘速安裝新版韌體來防範相關攻擊

文/周峻佑 | 2022-04-07發表

駭客使用竊密軟體偷取電腦帳密的情況，過往大多事故是廣泛搜括各式帳密，但最近出現針對臉書、推特等社群網站帳號的竊密軟體FFDroider，而且還會驗證完帳密可用後才回傳給攻擊者。

殭屍網路鎖定特定廠牌路由器發動漏洞的現象，也相當常見，但最近殭屍網路Beastmode鎖定Totolink路由器的多個漏洞下手，值得留意的是，駭客利用的重大漏洞，CVSS風險等級都達到了9.8分。

3月中旬加密程式庫OpenSSL修補無限迴圈漏洞CVE-2022-0778，繼3月底威聯通公布NAS設備受影響的情況後，最近資安業者Palo Alto Networks也發布相關資安通告。

【攻擊與威脅】
竊密軟體FFDroider鎖定臉書、推特、Instagram等社群網站帳密
駭客透過竊密軟體盜取受害電腦各式帳號資料的情況，不時有事故發生，如今有攻擊者特別針對社群網站的帳號而來。資安業者Zscaler揭露名為FFDroider的惡意程式，駭客透過免費軟體或破解軟體的名義散布，一旦受害者下載，電腦就會同時安裝Telegram和FFDroider。

此竊密程式鎖定Chrome、Firefox、Edge、IE的Cookie，進而截取當中的臉書、Instagram、推特、Amazon、eBay等社群網站與電子商務網站的帳號資料，並在該惡意軟體驗證帳密可用後，再回傳給C2中繼站。研究人員呼籲，使用者不要從來路不明的網站下載軟體。

殭屍網路Beastmode濫用Totolink路由器弱點
又是殭屍網路病毒鎖定路由器零時差漏洞的事故。資安業者Fortinet在今年2月至3月，觀察到殭屍網路Beastmode（亦稱B3astmode）在一個月內，鎖定了數個CVSS風險層級達到9.8分的重大漏洞，且其中的CVE-2022-26210、CVE-2022-26186，以及CVE-2022-25075至CVE-2022-25084，與多款Totolink路由器有關。Totolink獲報後已提供新版韌體予以修補。

研究人員指出，駭客也同時嘗試針對D-Link、華為路由器，TP-Link視訊鏡頭、Netgear ReadyNAS監控設備的舊漏洞下手，這些漏洞的CVSS風險層級也都達到9.8分。


勒索軟體Conti攻擊Panasonic、Konica Minolta等多家大型企業
自表達聲援俄羅斯後，勒索軟體Conti遭人公開了程式碼，但如今似乎遭到其他人利用，而使得多家知名企業相繼傳出被駭。根據日本新聞網站Jiji報導，Panasonic加拿大分公司遭到Conti攻擊，並外流2.6 GB資料；Konica Minolta則是公告位於東歐、中東、非洲地區（EMEA）的其中1臺伺服器，於3月底遭到未經授權存取。而在歐洲方面的災情，則有英國福特經銷商TrustFord、衛浴設備業者Barwick、荷蘭房屋租賃業者ZAYAZ Housing等傳出遭到Conti毒手。但這些攻擊事故是否全部由勒索軟體駭客Conti所為？還是他人利用已經洩露的原始碼犯案？仍不得而知。

駭客利用WhatsApp語音訊息的名義發動釣魚郵件攻擊
即時通訊軟體WhatsApp近期強化了語音訊息的功能，但駭客也利用相關的留言名義發動網路釣魚攻擊。資安業者Armorblox發現，有人以WhatsApp私人語音訊息的名義，發送釣魚郵件，一旦收信人按下了播放按鈕，就會被引導到惡意登入網站，並要求依照指示允許網站通知，來驗證收信人不是機器人。然而要是收信人照做，駭客就有可能透過廣告服務繞過電腦的使用者帳號控制（UAC），在電腦植入竊密軟體。

研究人員指出，駭客透過合法網域寄送郵件，而能夠迴避郵件安全系統的檢查，且電子郵件內容包含了收信人的名字，使得對方可能難以察覺異狀。

數個NFT專案的Discord伺服器遭駭，並用於散播詐騙訊息
即時通訊軟體Discord不只電玩玩家經常使用，近期大紅大紫的非同質化代幣（NFT），也有不少專案採用這個軟體發布投資訊息，但如今也有駭客盯上這類社群，發動網路詐騙。無聊猿猴遊艇俱樂部（BAYC）、Nyoki Club、Shamanz等NFT專案近日相繼發布公告，他們的Discord伺服器遭到駭客入侵，而被用來向社群使用者散布詐騙訊息，要用戶支付以太幣來鑄造新的NFT。不過，目前Discord尚未發布相關公告，有多少用戶受害也不得而知。



【漏洞與修補】
Palo Alto Networks公布旗下產品受到OpenSSL漏洞影響情形
繼威聯通後，又有IT廠商公布旗下產品受OpenSSL漏洞CVE-2022-0778的影響。資安業者Palo Alto Networks近日發布資安通告，指出特定版本的防火牆作業系統PAN-OS、GlobalProtect應用程式、Cortex XDR代理程式等，都採用含有CVE-2022-0778的OpenSSL程式庫，並預計於4月18日推出PAN-OS的修補程式。

該公司也指出，此漏洞對於受影響產品的CVSS風險層級為7.5分，但對於GlobalProtect應用程式、Cortex XDR代理程式的部分，因駭客需透過中間人攻擊（MitM）才能觸發，CVSS風險降低至中等程度的5.9分。



【資安防禦措施】
針對遭到殭屍網路Cyclops Blink占據的WatchGuard、華碩設備，美國動手清理
殭屍網路Cyclops Blink接連感染WatchGuard防火牆、華碩部分型號路由器，引起美、英當局高度重視，如今他們有了進一步的動作。美國司法部（DOJ）宣布，他們在3月18日取得法院初步授權後，與美國聯邦調查局（FBI）聯手，清除受害裝置上的Cyclops Blink殭屍網路病毒，並封鎖存取C2中繼伺服器的連接埠。

美國司法部表示，雖然WatchGuard和華碩相繼發布資安通告與修補程式，但到了3月中旬，有許多裝置仍未得到修補而受到此殭屍網路病毒的控制，他們決定透過自動化程式主動出手，並強調沒有收集受害者的網路環境資料。雖然相關的殭屍網路病毒已經清除，但美國司法部提出警告，用戶還是要依循WatchGuard或華碩提出的緩解措施，才能避免俄羅斯駭客Sandworm再度入侵。

德國接管最大俄羅斯暗網市集Hydra的基礎設施
德國打擊犯罪中央辦公室（ZIT）與德國聯邦刑警（BKA）於4月5日宣布，他們自去年8月與美國執法機構聯手，調查俄羅斯大型暗網市集Hydra後，現在已經接管了該市集的伺服器基礎設施，並扣押價值2,300萬歐元的比特幣。美國財政部亦宣布，對於Hydra與加密貨幣交易平臺Garantex展開制裁。