【资安日报】1月5日，骇客组织利用新型态攻击手法对乌克兰组织散布木马程式Remcos RAT

研究人员指出，有别于其他骇客使用处理程序注入或是处理程序挖空（Process Hollowing）手法执行恶意程式码，这些骇客较为罕见地滥用处理程序之间的通讯（IPC）机制，来绕过防毒软体及EDR的侦测。他们透过名为CreateProcess的API产生合法的子处理程序cmd.exe，然后将输出资料借由另一个名为WriteFile的API，从word_update.exe 传送到cmd.exe，而能在记忆体内处理上述的资料，解密并启动木马程式，最终透过资源管理工具将恶意资源移至记忆体内。

至于这些骇客的手法，研究人员提及，对方主要针对Linux主机下手，使用自行打造的Shell指令码来执行公用程式shred，企图以无法复原的手段抹除资料，骇客于受害电脑植入2个指令码initvm.sh、deploy.sh，将资料上传到Telegram频道然后进行破坏。

但究竟骇客如何入侵该公司？研究人员发现1名SnappFood员工的电脑感染StealC窃资软体，而使得骇客得以存取该公司的敏感帐密资料，研判很有可能就是入侵的初始管道。

根据资安新闻网站Bleeping Computer的报导，1月3日资安业者Mandiant的X（推特）帐号遭到挟持，骇客试图将其重新命名为@phantomsolw，并假借加密货币钱包供应商Phantom的名义散布恶意程式，并声称将提供免费的$PHNTM加密货币做为奖励，然而，若依照指示安装对方提供的加密货币钱包程式，他们的加密货币资产就会被洗劫一空。

同日Phantom提出警告，表明他们并没有发行加密货币的计划，上述消息可能是诈骗，要用户提高警觉。随后挟持Mandiant帐号的骇客删除前述推文，并转推Phantom的推文。

后来Mandiant重新夺回帐号，并尝试复原，并指出他们虽然启用双因素验证（2FA）但帐号仍旧遭到挟持，所幸目前看来并未衍生其他的恶意行为，他们著手调查此事发生的原因。

资料来源

为避免因雇主或仲介疏忽，未申请或展延移工的居留许可导致遭到遣返，劳动部与移民署进行系统介接，推动在台移工一站式申请聘雇及居留整合服务，并在1月4日正式上线，但随即传出个资外泄的情况。

根据中央社、联合新闻网、TVBS新闻网等媒体报导，该服务于早上8时开放申请，「外籍劳工申请案件网路线上申办系统」的网站不久就被发现有个资外泄情形，劳动部劳动力发展署跨国劳动力事务中心主任陈昌邦坦言，他们约在11时接获民众反映，可在上述系统看到490笔申请雇主、仲介的资料，劳动部立即将系统下线予以检修，研判是厂商的程式设计存在瑕疵所致，该系统于同日下午1时重新上线服务。TVBS新闻网引述人力顾问公司的说法指出，当时该系统不光是曝露申请资料，任何人还能窜改内容，有可能让仲介公司更动竞争对手的申请资料。

资料来源