【資安週報】2023年3月20日到3月25日

在這一周的漏洞消息中，主要焦點包括：微軟針對去年11月可繞過BitLocker的WinRE元件漏洞，新提供簡化的緩解措施，以及思科網路設備與Netgear有新的漏洞修補釋出，值得注意的是，近兩年美國CISA每週均發布多個ICS漏洞通告（ICS Advisory），本週有13則，呼籲企業修補包括台達電、西門子、ABB、Rockwell等廠商ICS設備的漏洞。

在攻擊活動與威脅方面，國內主要焦點是：有中國駭客針對國內金融機構持續發動釣魚郵件攻擊的揭露，其意圖是散布並濫用Cobalt Strike以入侵，國際間，有北韓駭客利用釣魚郵件散布惡意擴充套件以竊取Gmail信件的事件，受到德國BfV與南韓NIS聯手警告；以及俄羅斯駭客組織攻擊歐洲政府機關的新活動被揭露，其手法是架設假冒波蘭、義大利、烏克蘭政府與電信特定機構並帶有惡意軟體的網站，並以釣魚郵件引誘上當。其他重要威脅消息包括，有駭客正濫用Adobe Acrobat Sign以散布竊資軟體RedLine，以及中國與俄羅斯駭客正使用Silkloader惡意軟體的揭露。

而威脅態勢的揭露方面，Android木馬FakeCalls偽冒20多種金融機構名義App並發動語音網釣，目前正針對韓國民眾攻擊，影響層面廣泛，需特別注意。特別的是，在CatB勒索軟體方面，近期發現會針對瀏覽器與郵件軟體去竊取機密，突顯近年惡意軟體朝多功能發展。另外，還有兩個針對伺服器的攻擊活動要留意，包括殭屍網路HinataBot會鎖定未知Hadoop YARN伺服器漏洞，以及出現大規模入侵網站植入惡意JavaScript的情形。

【3月20日】政府全民普發6千元在即，傳出有詐騙集團架設冒牌網站行騙

臺灣政府2022年稅收超徵4,500億元，行政院宣布2023年將提撥1,400億元，當中將對全國民眾普發6千元現金。消息一出，駭客也開始架設假網站來行騙。3月中財政部宣布將在22日開放登記，但也出現新的假網站，民眾要提高警覺。

使用者透過推特的文章，向企業客服反映問題的做法也相當常見，但有駭客也趁機亂入，假借客服名義要使用者撥打詐騙電話。資安新聞網站Bleeping Computer揭露這種類型的攻擊手法，這些駭客專門鎖定那些標記為印度大型銀行的推文下手。

除了上述針對國內外民眾的詐騙攻擊行動，鎖定企業與商業領域的事故氾濫也值得我們留意──有資安業者揭露商業郵件詐騙（BEC）大幅增加的現象，並指出相關攻擊的事件數量，2022年首度超越了勒索軟體攻擊。

【3月21日】臺灣金融機構面臨中國駭客的網釣攻擊，散布滲透測試工具Cobalt Strike

因地緣政治，臺灣總是成為中國駭客的主要攻擊目標。近日資安業者TeamT5揭露中國駭客自去年底出現的連續網路攻擊，針對金融機構而來。值得留意的是，駭客所發送的信件，主旨與內容在該行業可說是相當常見，使得研究人員認為，就算是與業務相關的郵件也要提高警覺，小心可能有詐。

除了國內的網路釣魚郵件攻擊事故，新的勒索軟體攻擊情勢也值得我們關注。例如，勒索軟體CatB以特殊的啟動方式、埋藏勒索訊息的手法，引起資安業者Minerva、Fortinet關注，如今資安業者SentinelOne揭露新的調查結果──該勒索軟體也納入了部分竊密軟體的功能。

駭客散布惡意軟體的管道，網路釣魚可說是相當常見，但透過搜尋引擎惡意廣告、YouTube頻道的做法也不時有事故傳出。如今，有人結合了惡意廣告和YouTube頻道兩者，導致使用者看到廣告是來自YouTube，而可能大大降低戒心。

【3月22日】缺乏管理的Linux伺服器遭到惡意軟體ShellBot入侵，被用於DDoS攻擊

鎖定Linux伺服器下手的惡意軟體攻擊近期不斷出現，新崛起的ShellBot殭屍網路病毒也是這類威脅之一，但值得留意的是，駭客之所以入侵這些伺服器，是因為它們的高權限系統管理帳號普遍採用弱密碼，而運用字典攻擊可猜到密碼、奪取系統主導權。

雖然針對Linux作業系統的惡意軟體攻擊變多，但攻擊Windows電腦的惡意軟體也同樣不能掉以輕心。例如，名為DotRunpeX的惡意軟體不只用了處理程序挖空手法（Process Hollowing），更罕見地採用了虛擬化元件KoiVM來混淆程式碼。在此之前，只有名為MalVirt的惡意程式載入器採用此種混淆手段。

攻擊者廣泛利用零時差漏洞的現象，也令人觸目驚心。有資安業者分析相關攻擊行動，結果發現2022年駭客偏好的零時差漏洞超過50個，最多的還是Windows作業系統漏洞。

【3月23日】北韓駭客鎖定南韓使用者的Gmail信箱，透過惡意擴充套件來竊取郵件

南北韓之間的情勢緊張，北韓駭客對南韓使用者發動攻擊時有所聞，最近有一起資安通告與駭客利用惡意瀏覽器擴充套件的攻擊行動有關，但特別的是，這次發出警告的並非僅有南韓主管機關，還有德國憲法保護聯邦辦公室（BfV），原因很可能是相關攻擊會漫延到全球。

電商網站的網站交易資料側錄攻擊也出現新的攻擊手法！研究人員看到駭客轉移陣地，將惡意程式碼植入外接的支付系統閘道元件，使得有關攻擊行動將更難察覺。

入侵網站的事故，也有可能是散布惡意軟體攻擊行動的一部分。有駭客在拉丁美洲多個國家散布惡意軟體，並攻擊WordPress網站並用於架設C2中繼站、存放惡意程式。

【3月24日】逾5萬個網站被植入惡意JavaScript程式碼，將使用者重新導向惡意網站

利用惡意程式碼攻擊網站使用者的現象，我們前幾天介紹了從1.7萬個網站竊取帳密資料的金融木馬程式Mispadu，現在出現了規模更大的網站攻擊行動──這次駭客針對5.1萬個網站下手，透過多階段的惡意JavaScript注入與惡意程式碼參入正常程式碼等手法，使得瀏覽受害網站的使用者會被重新導向至惡意網站。

除了網站資安事故相當值得留意，假冒廠商貸款名義的商業郵件詐騙（BEC）攻擊行動也同樣要小心，駭客看準了房地產業者會常常經手高額貸款的情況，發送有關的發票、電匯文件資料。研究人員指出，雖然他們成功發現駭客的意圖，但目標組織是否上當仍不得而知。

手機、電腦內建的螢幕畫面截取工具竟存在漏洞，讓編輯過後的圖片留下有關資料，而有可能復原！研究人員認為，這樣的漏洞很可能也存在於其他廠牌的手機、電腦作業系統上。

【3月25日】GitHub私鑰遭到「短暫」公開，該公司撤換部分金鑰

繼上個月程式碼儲存庫GitHub察覺應用程式的簽章遭竊，最近再傳資安事故──GitHub網站的部分私鑰不慎公開，該公司已採取緊急應變措施因應。不過，對於金鑰曝光的確切時間，他們沒有進一步說明。

社群網站的資料庫沒有採取妥善的防護措施，而造成個資外洩，有可能讓使用者相關個資曝光，甚至影響人身安全。近日資安新聞網站發現韓國美容社交平臺PowderRoom資料外洩事故，並指出至少曝露超過一年。