安全資訊報告

 駭客在最新的供應鏈攻擊中使用Skimmer瞄準房地產網站

攻擊者利用雲影片託管服務對蘇富比房地產公司運營的100多個房地產網站進行供應鏈攻擊，其中涉及注入惡意撇油器以竊取敏感的個人資訊。

Palo Alto Networks的Unit42研究人員在本週釋出的一份報告中說：“攻擊者將Skimmer JavaScript程式碼注入到影片中，因此每當其他人匯入影片時，他們的網站也會嵌入Skimmer程式碼。”

Skimmer攻擊，也稱為表單劫持，涉及一種網路攻擊，其中不法分子將惡意JavaScript程式碼插入目標網站，最常見的是購物和電子商務入口網站上的結賬或支付頁面，以獲取信用卡等有價值的資訊使用者輸入的詳細資訊。

在Magecart攻擊的最新版本中，該活動背後的操作員破壞了蘇富比的Brightcove帳戶，並透過篡改可以上傳的指令碼將惡意程式碼部署到雲影片平臺的播放器中，以便向影片播放器新增JavaScript惡意程式碼。

新聞來源：

https://thehackernews.com/2022/01/hackers-target-real-estate-websites.html

Malsmoke駭客在ZLoader網路攻擊中濫用Microsoft簽名驗證

Check Point Research(CPR)表示，截至目前，在一項新活動中在全球範圍內發現了2,100多名受害者，其中大多數人居住在美國、加拿大和印度。被稱為ZLoader的惡意程式碼過去曾被用來傳送銀行木馬，並與多個勒索軟體毒株密切相關。

新的攻擊活動被認為是在2021年11月開始的。在最初的攻擊階段，惡意軟體的操作者決定使用Atera（合法的遠端管理軟體）作為感染系統的跳板。

雖然目前尚不清楚包含Atera的惡意軟體包是如何分發的，但在安裝時，Atera還會顯示一個偽造的Java安裝程式。但是，該檔案正忙於安裝將端點PC連線到攻擊者帳戶的代理，從而允許他們遠端部署惡意負載。

值得注意的是一個簽名的惡意.DLL檔案，用於感染帶有ZLoader的機器。該檔案已被修改，並透過利用CVE-2020-1599、CVE-2013-3900和CVE-2012-0151中PE檔案簽名驗證中的一個已知漏洞。雖然幾年前釋出了修復程式，但因對合法安裝程式的誤報導致補丁未被預設安裝。

新聞來源：

https://www.zdnet.com/article/malsmoke-hackers-now-abuse-microsoft-e-signature-verification-tool-in-cyberattacks/

iOS惡意軟體可假裝iPhone關機以窺探攝像頭、麥克風

研究人員開發了一種新技術，可以偽造iPhone關機或重啟，防止惡意軟體被刪除，並允許駭客秘密監聽麥克風並透過實時網路連線接收敏感資料。

從歷史上看，當惡意軟體感染iOS裝置時，只需重新啟動裝置即可將其刪除，從而將惡意軟體從記憶體中清除。

然而，這種技術掛鉤了關機和重啟例程以防止它們發生，允許惡意軟體實現永續性，因為裝置實際上從未真正關閉過。

ZecOps的安全研究人員開發了一種木馬PoC（概念證明）工具，該工具可以將特製程式碼注入三個iOS守護程式，透過禁用上述所有指標來假關閉。該木馬透過鉤住傳送到“SpringBoard”（使用者介面互動守護程式）的訊號來劫持關閉事件。木馬將傳送一個程式碼來強制“SpingBoard”退出，而不是預期的訊號，從而使裝置對使用者輸入無響應。在這種情況下，這是完美的偽裝，因為進入關機狀態的裝置自然不再接受使用者輸入。

新聞來源：

https://www.bleepingcomputer.com/news/security/ios-malware-can-fake-iphone-shut-downs-to-snoop-on-camera-microphone/

駭客從17家公司竊取了110萬個客戶賬戶

紐約州總檢察長辦公室(NY OAG)警告17家知名公司，他們約有110萬客戶的使用者帳戶在撞庫攻擊中遭到入侵。攻擊者的最終目標是訪問儘可能多的帳戶，以竊取相關的個人和財務資訊，這些資訊可以在駭客論壇或暗網上出售。

威脅行為者還可以在各種身份盜用詐騙中自行使用這些資訊或進行未經授權的購買。

NY OAG在監視多個線上社群後，經過幾個月的“全面調查”後發現了這些受感染的線上帳戶，這些社群致力於共享在以前未被發現的撞庫攻擊中收集的經過驗證的憑據。

根據Akamai於2021年5月釋出的一份報告，該公司在2020年觀察到全球超過1930億次撞庫攻擊，比上一年增長了45%。

Digital Shadows去年還報導稱，目前有超過150億份憑證在網上共享或出售，其中大部分屬於消費者。

新聞來源：

https://www.bleepingcomputer.com/news/security/ny-oag-hackers-stole-11-million-customer-accounts-from-17-companies/

研究人員揭開有組織的金融盜竊行動背後的駭客組織——大象甲蟲

網路安全研究人員揭開了一個謹慎的攻擊者進行的有組織的金融盜竊行動的秘密，該行動以交易處理系統為目標，並從主要位於拉丁美洲的實體中竊取資金至少四年。

以色列事件響應公司Sygnia將惡意駭客組織的代號命名為Elephant Beetle（大象甲蟲），在對目標的財務結構進行廣泛研究後，該組織透過在良性活動中注入欺詐性交易來攻擊銀行和零售公司。

研究人員在與The Hacker News分享的一份報告中說：這種攻擊以其巧妙的簡單性作為一種理想的策略，可以隱藏在顯眼的地方，無需開發任何漏洞。並指出該組織與Mandiant跟蹤的另一個組織的重疊作為FIN13，早在2016年就與墨西哥的資料盜竊和勒索軟體攻擊有關的“勤奮”威脅參與者。

據說大象甲蟲利用不少於80種獨特的工具和指令碼來執行其攻擊，同時採取措施長期融入受害者的環境以實現其目標。

“與象甲蟲相關的獨特作案手法是他們對受害者金融系統和運營的深入研究和知識，以及他們不斷尋找技術上注入金融交易的脆弱方法，最終導致重大金融盜竊。這個群體在受害者網路中的長期存在，他們經常改變和調整他們的技術和工具以繼續保持相關性。

Zilberstein將此次活動的成功歸因於金融機構網路中存在的遺留系統提供的巨大攻擊面，這些系統可以作為入口點，從而使攻擊者能夠在目標網路中獲得永久立足點。

初始訪問是透過利用面向外部的基於Java的Web伺服器（如WebSphere和WebLogic）中未修補的漏洞攻擊，最終導致部署Webshell，從而實現遠端程式碼執行和橫向移動——

• CVE-2017-1000486（CVSS分數：9.8）-Primefaces應用程式表示式語言注入

• CVE-2015-7450（CVSS分數：9.8）——WebSphereApplicationServerSOAP反序列化利用

• CVE-2010-5326（CVSS分數：10.0）——SAPNetWeaverInvokerServlet漏洞利用

• EDB-ID-24963-SAPNetWeaverConfigServlet遠端程式碼執行

新聞來源：

https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html

安全漏洞威脅

Google Chrome更新修復了37個安全漏洞

谷歌本週宣佈在穩定通道中釋出Chrome97，共有37個安全修復程式，其中24個針對外部研究人員報告的漏洞。

在外部報告的24個安全漏洞中，1個被評為嚴重級，10個為高嚴重性，10個為中等，3個為低階。最常見的漏洞型別是釋放後使用（七個錯誤）和不正確的實施（八個問題）。

最嚴重的是CVE-2022-0096，這是儲存中的一個釋放後使用問題，可被利用在瀏覽器的上下文中執行程式碼。

此Chrome版本解決的10個高嚴重性缺陷中有五個是影響螢幕捕獲、登入、SwiftShader、PDF和自動填充等元件的釋放後使用錯誤。

其他五個是DevTools中的不當實現、V8中的型別混淆以及Bookmarks、V8和ANGLE中的堆緩衝區溢位。

一半的中等嚴重性問題是不正確的實現錯誤，影響導航、自動填充、閃爍和合成等元件。

其餘缺陷包括檔案管理器API中的釋放後使用、自動填充和瀏覽器UI中的安全UI不正確、Web Serial中的越界記憶體訪問以及檔案API中的未初始化使用。

此Chrome版本中修復的低嚴重性錯誤包括Service Workers中的策略繞過以及Web Share和密碼中的不當實現。谷歌在其公告中沒有提到任何被惡意攻擊利用的已解決漏洞。

新聞來源：

https://www.securityweek.com/chrome-97-patches-37-vulnerabilities

本田、謳歌汽車被Y2K22漏洞擊中，時鐘倒退到2002年

本田和謳歌汽車遇到了2022年的錯誤，也就是Y2K22，它將導航系統的時鐘重置為2002年1月1日，而且無法更改。

從1月1日開始，謳歌和本田導航系統的日期將自動更改為2002年1月1日，時間會根據車型或地區重置為12:00、2:00、4:00或其他時間車位於。

本田和謳歌車主報告稱，Y2K22漏洞影響了幾乎所有舊車，包括本田Pilot、奧德賽、CRV、Ridgeline、奧德賽和謳歌MDX、RDX、CSX和TL車型。

雖然尚不清楚是什麼導致了本田/謳歌錯誤，但在上週末，Microsoft Exchange受到了Y2K22錯誤的攻擊，該錯誤導致電子郵件的交付凍結。

Microsoft的錯誤是由儲存在int32變數中的日期引起的，該變數只能容納2,147,483,647的最大值。但是，2022年的日期在2022年1月1日午夜的最小值為2,201,010,001，導致軟體崩潰。

同樣的錯誤可能會影響本田和謳歌汽車，但本田客服表示應該會在2022年8月自行解決，這表明這可能是一個不同的問題。

新聞來源：

https://www.bleepingcomputer.com/news/technology/honda-acura-cars-hit-by-y2k22-bug-that-rolls-back-clocks-to-2002/

未修補的HomeKit漏洞使iPhone、iPad遭受DoS攻擊

一位研究人員聲稱，蘋果未能修補一個潛在的嚴重漏洞，該漏洞可被用來對iPhone和iPad發起拒絕服務(DoS)攻擊。這個被稱為doorLock的漏洞由Trevor Spiniolas於8月10日報告給Apple，後者決定在1月1日披露他的發現。研究人員表示，這家科技巨頭最初計劃在今年年底推出修復程式，但在12月的最後期限改為“2022年初”。

該漏洞與HomeKit相關，HomeKit是Apple提供的用於從iPhone和iPad配置和控制智慧家電的軟體框架。該漏洞可由惡意應用程式、手動重新命名裝置或向目標使用者傳送帶有特製裝置名稱的邀請來觸發。

“當HomeKit裝置的名稱發生更改時，新名稱會儲存在iCloud中，如果啟用了家庭資料，則會在登入同一帳戶的所有其他iOS裝置上更新。iOS經常在沒有任何使用者互動的情況下更新這些資料，”研究人員解釋說。

Spiniolas表示，他成功地在執行iOS和iPadOS14.7和最新15.2版本之間的各種iPhone和iPad裝置上重現了該漏洞，但他認為舊版本也可能受到影響。

Spiniolas警告說：“我相信這個問題使勒索軟體在iOS上可行，這非常重要。有權訪問HomeKit裝置所有者的家庭資料的應用程式可能會將他們鎖定在本地資料之外，並阻止他們重新登入iOS上的iCloud，具體取決於iOS版本。攻擊者還可以向使用上述任何iOS版本的使用者傳送包含惡意資料的Home邀請，即使他們沒有HomeKit裝置。”

新聞來源：

https://www.securityweek.com/unpatched-homekit-vulnerability-exposes-iphones-ipads-dos-attacks