公布日期：2023-03-28 發布單位： 資訊科  
今天全球關注的焦點，就是俄羅斯總統普丁正式下令對烏克蘭出兵，且已傳出傷亡。但在昨天，就有網路攻擊的事故，鎖定烏克蘭的政府機關與2家主要銀行而來。而在俄羅斯與烏克蘭這幾個月關係極為緊張的情勢下，這種大規模網路攻擊在今年的1月上旬、2月中旬就出現2次，駭客試圖癱瘓這些機關的網站，並且使用資料破壞工具（Wiper）來抹除數百臺電腦的資料。研究人員認為，駭客這幾次的攻擊行動，主要目的還是在動搖烏克蘭民眾對於政府的信心。

鎖定中小企業與SOHO族的網路設備而來的殭屍網路，在2018年曾出現VPNFilter惡意軟體，不斷被用於感染路由器等網路設備。但英國和美國近期提出警告，名為Cyclops Blink的惡意軟體，很可能會接續VPNFilter的地位，且同樣疑似是由俄羅斯國家級駭客製作。但值得留意的是，VPNFilter鎖定的網路設備，多半是路由器，但Cyclops Blink卻是針對資安業者WatchGuard的防火牆下手。

駭客針對使用NPM套件的開發者下手，最近又有事故傳出，駭客在NPM的市集上傳25個惡意套件，目的是要挾持開發人員的Discord帳號。

【攻擊與威脅】
烏克蘭政府機關、兩大銀行再遭DDoS攻擊

俄羅斯與烏克蘭之間的情勢緊張，自今年1月上旬、2月中旬出現鎖定烏克蘭政府單位的網路攻擊事件後，最近又再傳出事故。烏克蘭國家特別通訊暨資訊保護局（SSSCIP）於2月23日指出，多個政府機構與銀行的網站遭到大規模DDoS攻擊，遭到攻擊的資訊系統被迫中斷服務，或是運作狀態時好時壞。

根據網路流量分析業者NetBlocks的調查，該國外交部、國防部、內政部、烏克蘭國家安全局（SSU）、內閣總理的網站，以及該國的兩大銀行PrivatBank與Oschadban，皆被迫中斷運作。

針對烏克蘭政府近日遭駭，研究人員揭露攻擊工具細節
在2月23日針對烏克蘭政府機官與主要銀行的攻擊事件中，駭客不只對於網站發動DDoS攻擊，還疑似使用資料破壞工具（Wiper）下手。資安業者ESET與賽門鐵克發現，這次的攻擊行動中，駭客使用了新的資料破壞工具，感染數百臺電腦。

ESET指出，這次攻擊採用的惡意軟體HermeticWiper，為2021年12月28日編譯，研判駭客很可能從2個月前開始策畫，且該軟體為盜用合法簽章的驅動程式，並以服務的型式於受害電腦執行。此資料破壞工具同時能針對電腦的主要開機磁區（MBR）下手，使得電腦無法進入作業系統。賽門鐵克亦公布此軟體的入侵指標（IoC），根據VirusTotal約70款防毒引擎的偵測，僅有不到30款識別為有害。

殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備，美國、英國提出警告

新興的殭屍網路病毒鎖定中小企業、SOHO族的網路設備而來，使得美國和英國政府提出警告。英國國家網路安全中心（NCSC）、美國聯邦調查局（FBI）、美國國家安全局（NSA）、美國網路安全暨基礎設施安全局（CISA）聯合指控，俄羅斯政府支持的駭客組織Sandworm，自2019年6月開始，使用名為Cyclops Blink的殭屍網路病毒，攻擊WatchGuard小型網路設備。

WatchGuard也對此發布公布指出，該廠牌約有1%防火牆遭到相關攻擊，但尚未出現客戶資料外洩的跡象。

25個NPM惡意套件偽裝成知名套件，意圖挾持受害者的Discord帳號

又有攻擊者上傳惡意Node Package Manager（NPM）套件，並鎖定受害者即時通訊平臺Discord帳號的情況。資安業者JFrog發現，NPM套件市集出現25個惡意套件，多數模仿熱門的colors.js等套件，而這些駭客散布惡意套件的目的，疑似是要取得Discord的Token，進而挾持受害者的帳號。

駭客透過惡意軟體Dridex發動勒索軟體攻擊

使用惡意軟體Dridex的駭客組織，也疑似開始研發勒索軟體並用於攻擊。資安業者Sophos揭露2起勒索軟體Entropy的攻擊事故，兩起事故的共通之處，在於駭客使用了Cobalt Strike的Beacon與惡意軟體Dridex建立後門。

研究人員比對Dridex和Entropy的程式碼結構與混淆手法，認為兩者與另一款勒索軟體DoppelPaymer可能系出同源。由於上述的攻擊行動中，駭客都是透過應用系統或作業系統的漏洞入侵受害組織，研究人員再度呼籲修補漏洞的重要性。

伺服器監控工具Zabbix的RCE漏洞已被用於攻擊行動

甫被揭露細節的漏洞，很快就成為駭客利用的對象。伺服器監控工具Zabbix於2021年底修補CVE-2022-23131、CVE-2022-23134等2個嚴重漏洞，相關細節研究人員於今年2月16日公布。但美國網路安全暨基礎架構安全局（CISA）於2月22日提出警告，指出這些漏洞已經被用於攻擊行動，並要求聯邦機構要於3月8日前完成修補。

美國國家安全局製作Linux後門程式，暗中行動長達10年

駭客組織影子掮客（Shadow Brokers）於2016至2017年，拍賣網路攻擊組織Equation Group的攻擊工具，工具的來源疑似與美國國家安全局（NSA）有關而引起軒然大波，到了最近又有研究人員公布新的監控工具。

中國資安業者盤古實驗室（Pangu Lab）揭露名為Bvp47的Linux後門程式，攻擊者鎖定電信、軍事、教育、經濟、科學領域的組織，此後門程式已被用於攻擊45個國家、287個組織。開發者以RSA非對稱加密演算法保護此後門程式，必須輸入私鑰才能執行，研究人員近期在影子掮客洩露的資料中，找到可用私鑰而能夠進一步分析，進而認定該後門程式與NSA有關。

資料來源:ITHOME