【資安週報】2023年3月1日到3月3日

3月初的漏洞消息中，最受關注的就是網頁應用程式開發框架ZK Framework的CVE-2022-36537漏洞，該漏洞在去年8月公開，近期已發現攻擊者鎖定利用的情形，由於ZK Framework是一個開源的Java框架，採用的軟體不少，因此有多款產品都會受到波及，其影響性受關切。其他漏洞消息方面，以TPM 2.0的CVE-2023-1017、CVE-2023-1018漏洞最受關注。

在資安威脅與事件焦點方面，首要焦點是ESET揭露中國駭客組織TA416（亦稱Mustang Panda）針對臺灣某個政府機關的攻擊行動，自今年1月即運用MQsTTang後門程式與發動釣魚郵件攻擊。其他資安業者揭露的重要消息，包括：針對容器化工作負載而來的Scarleteel攻擊行動；針對亞太與北美政府機關的惡意軟體下載器PureCrypter；可在Windows 11上繞過繞過UEFI安全開機的惡意軟體BlackLotus。在資安事件方面，受關注的包括：美國衛星通訊服務業者Dish Network遭勒索軟體攻擊，加拿大電信業者Telus資料外洩。

資安防禦態勢方面，FIRST國際資安應變組織這一週發布「DNS濫用技術矩陣（DNS Abuse Techniques Matrix）」，臺灣半導體龍頭台積電與國內資安新創Shield宣布加入FIRST會員，還有一則是當週資安日報未提及，但可優先關注的消息，那就是，近日美國CISA釋出免費工具Decider，可幫助攻擊者行為與MITRE ATT&CK框架的對應。

【3月1日】駭客假借Amazon Prime會員名義發動網釣攻擊、應用程式框架ZK Framework漏洞被用於攻擊行動

為規避偵測，駭客濫用短網址的情況不時傳出。最近有人假借Amazon付費會員的名義來寄送釣魚信件，目的是騙得收信人的詳細個資及信用卡資料。但值得留意的是，這起攻擊行動中，駭客使用了LinkedIn短網址服務Smart Link來迴避偵測，而濫用該服務的攻擊行動已非首例──去年9月就有駭客用於網釣攻擊。

建置於雲端的應用程式遭到鎖定也相當值得留意。研究人員揭露針對架設在AWS的K8s與容器相關系統的攻擊行動，但駭客不僅將目標容器叢集用於挖礦，還企圖將組織開發的應用程式程式碼偷走。

名為ZK Framework應用程式框架的漏洞CVE-2022-36537已出現攻擊行動，使得美國政府提出警告，並指出採用該框架的應用程式也會成為攻擊目標。

【3月2日】惡意軟體BlackLotus繞過UEFI安全開機、勒索軟體LockBit鎖定西班牙語用戶而來

針對UEFI韌體而來的惡意啟動程式（Bootkit），之前多半是國家級駭客打造，直到去年底，開始有人在駭客論壇兜售名為BlackLotus程式，當時揭露此事的研究人員，認為難以確認其危險程度。但最近有資安業者取得該惡意程式進行分析，證實確實具備賣家標榜的攻擊能力，使用者就算啟用UEFI安全開機機制，也無法避免電腦受到此惡意軟體感染。

為了在加密檔案前能逃過資安系統的偵測，勒索軟體駭客也採取運用多種現成與合法工具的策略。例如，最近勒索軟體LockBit的攻擊行動裡，就採用了這樣的手法，使得防毒軟體及EDR系統都難以察覺異狀。

工控物聯網系統（IIoT）的漏洞也相當值得注意。最近CISA針對PTC的ThingWorx Edge漏洞CVE-2023-0754、CVE-2023-0755提出警告，並指出有9種元件曝露於相關風險。

【3月3日】中國駭客組織TA416針對臺灣政府機關而來、APT41鎖定亞洲材料業者下手

中國駭客的攻擊行動最近再度傳出，其中最值得注意的是駭客組織TA416的攻擊行動，而且臺灣首當其衝──該組織已對一個臺灣政府機關下手。

另一個惡名昭彰的駭客組織APT41，則是針對材料公司下手竊取專利技術的情況，引起研究人員關注。

SIM卡挾持（SIM Swapping）攻擊為何如此氾濫？很有可能是駭客極為容易取得所需的資料促成。有資安新聞網站指出，3個專門從事這類攻擊的駭客組織，在去年就入侵美國電信業者T-Mobile超過100次。