這項消息來自雲端服務業者Cloudflare，他們揭露冒牌的RedAlert - Rocket Alerts手機應用程式的攻擊行動，駭客於10月12日架設惡意網站（hxxps://redalerts[.]me），其網站內容仿造Elad Nava打造的原始網站（hxxps://redalert[.]me）提供iOS與安卓版本應用程式的下載連結，若是使用者在惡意網站上點選下載安卓版本的按鈕，手機會直接下載有問題的APK安裝檔，而非連往Google Play市集。

研究人員指出，這個冒牌的RedAlert應用程式，雖然看似具備正牌App的相關功能，但此冒牌應用程式安裝的過程裡，會向使用者請求各式的額外權限，包含存取聯絡人、簡訊、已安裝應用程式列表、通話記錄、手機IMEI碼、應用程式帳號等。一旦啟動，此應用程式會啟動背景服務來收集上述資料，並採用AES演算法處理後傳給駭客。為防範研究人員進行調查，此App還加入了反除錯、反模擬、反測試的機制。

俄羅斯駭客利用壓縮軟體WinRAR漏洞發動攻擊

資安業者DuskRise旗下的威脅情報部門Cluster25揭露俄羅斯駭客的惡意軟體攻擊行動，駭客假借提供入侵指標的相關資料為誘餌，散布壓縮檔IOC_09_11.rar，裡面夾帶PDF檔案IOC_09_11.pdf及相同名稱的資料夾，而該資料夾裡面，存放名為IOC_09_11.pdf .cmd的BAT批次檔。

此壓縮檔鎖定WinRAR漏洞CVE-2023-38831而來。一旦使用者執行6.23版之前的WinRAR將其開啟，並打開PDF檔案，批次檔的指令碼將會執行，先是於背景執行WinRAR命令解壓縮RAR檔案的內容，然後刪除指令碼檔案並開啟PDF檔案騙過使用者，接著執行3個PowerShell命令來進行惡意行為。

首先，第1個命令是在特定檔案寫入RSA私鑰，然後，駭客利用前述檔案下達第2個命令，啟動反向Shell讓攻擊者能使用SSH工具，存取TCP的443埠，控制目標電腦；接著利用最後一道命令執行Base64編碼的字串，來傳送使用者Chrome、Edge儲存的帳密資料，為避免資安系統攔截，對方利用Webhook.site服務接收資料。

俄羅斯駭客Sandworm自5月就對烏克蘭電信業者下手，近半年已有11家業者受害

烏克蘭電腦緊急應變小組（CERT-UA）指出，今年5月至9月，該國至少有11家電信業者遭到俄羅斯駭客組織Sandworm攻擊，駭客干擾這些公司的通訊系統，導致相關服務面臨中斷的情況，並曝露於資料外洩的風險。

駭客起初利用網路通訊埠掃描工具masscan，對電信公司的網路環境進行偵察，並尋找開放的連接埠，以及未設防的遠端桌面連線（RDP）與SSH連線管道，藉此來破壞內部網路環境。為了得到更多存取權限，駭客利用ffuf、dirbuster、gowitness、nmap等網路工具來找出網頁服務的漏洞。CERT-UA於遭駭的網際網路供應商（ISP）系統當中，看到兩個後門程式Poemgate、Poseidon，前者用於收集管理員帳密，後者則針對Linux主機而來。

此外，駭客也利用Dante、socks5等代理伺服器軟體，搭配他們已經入侵烏克蘭競內的伺服器進行路由，來隱匿相關攻擊行動。另一方面，駭客也運用名為Whitecat的工具，來清理攻擊的痕跡，並刪除事件記錄檔案。

中國駭客利用後門程式Bloodalchemy竊取東南亞國家的機密

Elastic旗下的安全實驗室揭露中國駭客使用的後門程式Bloodalchemy，該程式為C語言開發，針對x86架構的電腦而來，攻擊者將其注入合法的應用程式處理程序BrDifxapi.exe，透過DLL側載（DLL Side-loading）的方式啟動，當作Shell Code執行，主要攻擊目標是東南亞國協（ASEAN）會員國的外交單位，是駭客組織使用的作案工具包REF5961的其中一項元件。

研究人員起初在針對蒙古政府的攻擊行動看到相關工具，進一步分析發現該後門程式相當特別，必須透過特定的啟動器才能執行，無法獨立運作，其有效的功能算是相當有限，因此研究人員推測，此後門程式仍在開發階段，也有可能是大型作案工具套件的其中一項子功能，也不排除是針對特定目標打造的惡意軟體。

【漏洞與修補】

思科網路設備作業系統IOS XE的零時差漏洞已出現攻擊行動

思科揭露網路設備作業系統IOS XE的重大漏洞CVE-2023-20198，這項漏洞影響啟用網頁介面（Web UI），以及HTTP（或HTTPS）伺服器功能的網路設備，攻擊者若是成功利用該漏洞，就有機會在網路設備建立權限等級15的帳號，進而掌控整個系統，後續執行其他未經授權的惡意行動，CVSS風險評分為10。

這項漏洞之所以發現，源於該公司9月28日接獲用戶通報異常，經過進一步調查之後，得知網路攻擊行動發生在18日，當天有人從可疑的IP位址5.149.249[.]74，設置名為cisco_tac_admin的本機帳號，後來思科於10月12日發現新的漏洞利用攻擊，駭客部署了惡意程式，企圖在系統層級執行任意命令。而對於這兩起攻擊行動，該公司認為是同一組攻擊者所為，研判9月的行動是在嘗試利用漏洞，10月進一步植入惡意程式並建立持續存取的管道。

值得留意的是，思科目前尚未提供這項漏洞的修補程式，他們呼籲，用戶目前若有連接網際網路的IOS XE設備，應立即停用HTTP（及HTTPS）伺服器功能，阻斷駭客入侵的管道。

【資安產業動態】

微軟宣布擴充Kerberos功能，逐步淘汰Windows 11中的NTLM

NTLM身分驗證安全協定的中繼攻擊手法不斷出現，例如：2021年7月揭露的PetitPotam弱點、2022年7月修補的ShadowCoerce弱點，微軟為了解決這個問題，決定逐步降低既有產品對這類協定的依賴，最終達到停用這種協定的目標。

10月11日微軟表示，該公司藉由擴張Kerberos的能力，支援部分NTLM的功能，一種是IAKerb，允許用戶端透過Kerberos在更多異質網路拓撲進行身分驗證；另一種則是本機的金鑰發布中心（KDC）支援。IAKerb是業界標準的Kerberos通訊協定延伸，允許無法探索網域控制器（DC）的用戶端透過能夠探索的伺服器進行身分驗證，這項工作透過交涉（Negotiate）驗證延伸套件執行，允許Windows身分驗證堆疊透過代表用戶端的特定伺服器，代理Kerberos訊息。

Kerberos本機KDC支援建置於電腦的安全帳號管理員，從而可以讓用戶透過Kerberos完成本機帳號的遠端身分驗證。這項功能的支援，主要是利用IAKerb允許Windows在遠端及本機之間傳遞Kerberos訊息的能力，使得組織無須增加DNS、netlogon、DCLocator等服務的支援。另一方面，微軟也著手修補Windows元件NTLM的缺陷，並將其移轉為Negotiate通訊協定，未來組織透過Kerberos就能使用相關功能。

【