【资安日报】12月26日，有人入侵游戏开发商Ubisoft并企图窃取《虹彩六号：围攻行动》的内部资料| iThome

今年有多起锁定游戏公司的攻击行动，从年初电玩游戏开发商Riot Games证实遭骇，旗下《英雄联盟》及防作弊系统的原始码遭窃，到最近Sony旗下电玩业者Insomniac Games遭勒索软体Rhysida入侵，偷走处于开发状态的电玩游戏《金钢狼》相关资料，这类资安事故有越来越频繁的情况。

而在本日的资安新闻里，传出有人对电玩开发商Ubisoft发动攻击，该公司在两天之内察觉有异，并做出处理，使得受害情况得到控制，但攻击者身分仍不得而知。

【攻击与威胁】

游戏开发商Ubisoft传出遭网路攻击，骇客宣称目标是《虹彩六号：围攻行动》的内部资料

资安研究团队VX-underground指出，12月20日有人入侵电玩公司Ubisoft，该公司的管理者约在48小时后才察觉异状，注销相关存取权限，约有900 GB资料外流。

骇客究竟如何入侵该公司内部网路环境？目前原因不明，但骇客透露他们企图透过稽核使用者权限，并耗费大量时间检视该公司的Teams、Confluence、SharePoint的内容，目的是想要窃取《虹彩六号：围攻行动》的内部资料，但没有成功。

骇客锁定电玩产业下手的事件频传，最近一起是Sony旗下电玩业者Insomniac Games遭勒索软体Rhysida入侵，骇客窃得1.6 TB资料，其中有不少与预计2025年发表的电玩游戏《金钢狼》有关。

资料来源

1. https://twitter.com/vxunderground/status/17380931905387605742. https://twitter.com/vxunderground/status/1738144068788494722

窃资软体RedLine、Vidar锁定旅馆而来，骇客假借投诉与订房为由发动攻击

资安业者Sophos揭露在今年4月美国报税季截止前的网路钓鱼攻击，骇客针对全球的旅馆业者而来，散布窃资软体RedLine、Vidar。这种钓鱼邮件内容只有文字，而且会在收信人回覆此类邮件之后，攻击者才会发送后续的讯息，向收信人「说明」投诉或请求协助的细节。

研究人员指出，骇客当时所寄送的钓鱼邮件分成两种类型，其中一种是声称在住宿过程遇到严重问题，例如：遭遇暴力攻击、放在房间的贵重物品遭窃，向旅馆业者投诉；另一种则是假借有特殊订房需求的名义，例如：花粉症人士、身障人士、长者等，向业者寻求进一步的订房协助。这些电子邮件都会带有URL，指向Google Drive、Mega、Dropbox等云端档案共用系统，或是即时通讯软体Discord代管的ZIP或RAR压缩档，声称是做为投诉佐证资料，或是房客的医疗资料，而且，这些压缩档的共通点是套用密码保护，不会被防毒软体视为有害。

在其中一起攻击行动里，骇客声称近期过世的亲戚在旅馆留下相机，请饭店协助，工作人员回覆后，骇客假装生气并以提供相机的照片为由，要求收信人从指定Google Drive连结下载档案，一旦收信者照做，电脑就有可能被植入窃资软体Redlin或Vidar，而且，骇客为了回避侦测，这些窃资软体的程式大小都超过600 MB。

方程式编辑器的老旧漏洞被利用，骇客拿来散布恶意软体Agent Tesla

资安业者Zscaler揭露新一波恶意软体Agent Tesla的攻击行动，骇客先是假借提供订单、发票相关的资料为由寄送钓鱼邮件，其内容挟带了含有巨集的Excel档案（XLAM档），一旦收信人依照指示开启，电脑就有可能触发方程式编辑器漏洞CVE-2017-11882（CVSS风险评分为7.8），后续在无需使用者互动的情况下，于受害电脑部署其他恶意程式元件。

骇客先是透过巨集下载恶意JPG档案，然后利用PowerShell解码埋藏在上述图档里、以Base64编码的DLL档案，然后载入恶意处理程序。值得留意的是，上述DLL元件被注入Windows元件RegAsm.exe的处理程序，从而启动Agent Tesla。此恶意程式由.NET打造，具备键盘侧录及RAT木马的功能。

窃资软体MetaStealer透过恶意广告散布

资安业者Malwarebytes揭露窃资软体MetaStealer最近一波的攻击行动，骇客假借提供文字编辑软体Notepad++，以及远端登入个人电脑桌面软体的AnyDesk名义，约从11月中旬开始在Google投放恶意广告，一旦使用者点选，就会被带往骇客制作的诱饵网站，若是依照指示下载安装程式并执行，电脑就会执行PowerShell指令码，而有可能被植入MetaStealer。

伊朗骇客APT33锁定国防产业，散布恶意程式FalseFont

微软威胁情报团队提出警告，他们在11月初发现伊朗骇客组织APT33（亦称Peach Sandstorm）新一波的攻击行动，对方使用名为FalseFont的后门程式，针对全球的国防工业基地（DIB）相关组织的从业人员发动攻击。

研究人员指出，骇客开发与运用FalseFont的方式，与他们去年看到的几乎一致，这代表骇客正在持续改良网路间谍攻击的技术。对此，他们呼吁使用者重设遭到密码泼洒攻击的密码，并采用多因素验证（MFA）保护帐号、远端桌面连线（RDP）。

资料来源

1. https://twitter.com/MsftSecIntel/status/17378957101696288242. https://twitter.com/MsftSecIntel/status/17378957136467396973. https://twitter.com/MsftSecIntel/status/1737895715911700830

欧洲刑警组织警告逾400个电商网站遭骇，被植入信用卡侧录程式

欧洲刑警组织（Europol）联手17国执法单位，以及欧盟网路安全局（ENISA）、资安业者Group-IB、Sansec，针对信用卡侧录攻击（Card Skimming）进行调查，结果在2个月里发现443个电商网站被骇客植入相关作案工具，客户的信用卡或借记卡资料已遭泄露。这起调查行动由希腊主导，属于欧洲犯罪威胁对抗平台（EMPACT）的重点项目。

参与本次调查行动的Group-IB指出，他们认出的信用卡侧录恶意程式家族多达23种，包含：ATMZOW、health_check、FirstKiss、R3nin等。

资料来源

1. https://www.europol.europa.eu/media-press/newsroom/news/action-against-digital-skimming-reveals-443-compromised-online-merchants2. https://www.group-ib. com/media-center/press-releases/digital-skimming-action/

【其他新闻】

美国房地产教育训练中心Real Estate Wealth Network资料库不设防，曝露15亿笔资料

房地产管理软体制造商的CRM系统曝露69万客户资料

多个视窗作业系统CLFS漏洞遭勒索软体骇客利用

RAT木马程式Bandook透过密码保护的压缩档案散布

金融木马Chameleon出现变种，可绕过生物辨识保护机制

近期资安日报

【12月25日】 骇客集团UAC-0099锁定乌克兰组织并利用WinRAR漏洞植入恶意程式LonePage

【12月22日】 巴勒斯坦骇客对以色列组织声称提供F5 BIG-IP「零时差漏洞修补程式」来破坏电脑所有档案

【12月21日】 Sony旗下游戏开发商遭勒索软体Rhysida攻击并导致开发中的游戏资料外流