【資安週報】2023年3月27日到3月31日

在這一周的漏洞消息中，最主要的焦點，就是2022年底兩起商業間諜公司攻擊活動的揭露，Google TAG公布了當時被使用的零時差漏洞與串連多個漏洞，這意味著當時這些修補的漏洞，都已出現鎖定利用情形，包括：iOS（CVE-2021-30900）、Arm Gpu（CVE-2022-38181、CVE-2022-22706）、Google Chrome（CVE-2022-3038）與Linux Kernel（CVE-2023-0266）的5個漏洞。同時，週末我們整理這方面消息時，新注意到幾個老舊漏洞如今也被列入已知漏洞成功利用清單，包括Cobalt Strike去年的漏洞（CVE-2022-39197、CVE-2022-42948），以及Samba的漏洞（CVE-2017-7494），還有微軟IE相關的漏洞（CVE-2014-1776、CVE-2013-3163）。另外，本周Pwn2Own Vancouver 2023新找出的27個零時差漏洞，後續業者將有修補釋出。

在威脅態勢方面，殭屍網路與DDoS受關注，包括發現ShellBot與MooBot利用監控系統Cacti或瑞昱Realtek近兩年的漏洞，以及MacStealer竊資軟體借助殭屍網路散布的情形，值得一提的是，有英國國家刑事局為抓捕網路罪犯，設置多個DDoS租賃服務誘餌並發現有數千人存取。此外，還有勒索軟體Dark Power新動向，以及又有軟體供應鏈攻擊出現，這次鎖定的是VoIP IP-PBX業者，同樣值得留意。

在其他攻擊活動與威脅揭露方面，ChatGPT的濫用隱憂持續受重視，歐洲刑警組織警告，注意網路罪犯正濫用ChatGPT與其他的大型語言模型（LLM）的威脅，需注意模仿特定人士的書寫與說話，以及產生網路釣魚的社交工程與假訊息散布；在國際間有多個攻擊活動被資安業者揭露，包括中國駭客組織Mustang Panda近期攻擊行動，以及中國駭客鎖定中東電信業者攻擊行動Operation Soft Cell。

至於國內資安事件方面有兩起事件受關注，包括：威秀影城公告系統升級與鄭重提醒反詐騙，數日後傳出50萬客戶資料外洩消息，以及出現國內大學教授紛紛遭到變臉不雅照勒索的情況。

【3月27日】SharePoint遭到濫用，駭客藉此引誘使用者下載惡意程式

為了規避網路流量的偵測，駭客濫用免費的雲端檔案共用服務OneDrive、Google Drive、Dropbox等，可說是相當常見。但有不少企業在內部網路或Office 365公有雲架設協同作業網站入口SharePoint，方便員工能共用檔案，使得有些駭客也看上這點，透過此種共用系統讓使用者降低戒心，再利用檔案裡的URL，將他們引導至釣魚網站而達成目的。

除了上述濫用SharePoint攻擊行動，駭客使用免費雲端檔案共用服務的手法也出現變化。例如，中國駭客組織Mustang Panda特意將上傳至Google Drive的檔案，以使用密碼保護的壓縮檔打包，藉此讓這些惡意軟體逃過Google的檢測機制。

但在駭客散布惡意軟體的事故之餘，國內發生了使用Deep Fake照片向多所大學教授進行勒索的情況，雖然駭客使用簡體中文和中國用語，但教授很可能為了息事寧人，選擇付錢了事。

【3月28日】推特傳出原始碼被公布在GitHub儲存庫，疑為離職員工挾怨報復

推特在馬斯克（Elon Musk）入主之後大幅裁員，使得這些離職員工可能心生不滿而進行報復。根據各大新聞網站的報導，推特尋求法律途徑要求GitHub下架儲存庫，其內容是該公司網站與內部工具的專有原始碼，但究竟這些資料如何流出？傳出是離職員工上傳，但推特並未證實這項說法。

殭屍網路病毒Emotet近期的攻擊行動頻頻，之前被發現開始透過挾帶OneNote檔案的釣魚郵件散布，但最近駭客也跟上了美國報稅季，假借當地稅務機關的名義發動攻擊。值得留意的是，駭客不光使用OneNote挾帶惡意程式，也有使用Word檔案的情況。

過往的竊資軟體（Infostealer）幾乎都是針對Windows電腦而來，但最近有竊資軟體鎖定的是Mac用戶，值得留意的是，該惡意程式不光會對瀏覽器和加密貨幣錢包下手，還會針對macOS的密碼管理系統解密、回傳相關資料。

【3月29日】歐盟刑警組織提出警告，駭客大肆利用ChatGPT發動網釣攻擊、詐騙、製作惡意程式

駭客發動與ChatGPT相關的攻擊行動日益頻繁，包含利用該機器學習語言模型來製作釣魚信件，或是假借提供相關應用程式來散布惡意軟體等。這樣的情況也引起歐洲警方的關注，並指出他們看到駭客運用此種機器學習模型的數種型態攻擊手法。

除了ChatGPT相關攻擊橫行，商業郵件詐騙（BEC）也相當值得留意。近日美國聯邦警查局（FBI）提出警告，駭客假冒合作廠商的名義發動相關攻擊，但與過往不同的是，這些駭客現在會使用延遲付款方式，使得受害廠商不易及早察覺詐騙而難以追回貨款。

而在面臨BEC攻擊行動之外，執法人員也透過反向操作、設下誘餌來找出網路罪犯。例如，英國國家刑事局（NCA）就假借提供DDoS租賃服務（DDoS-for-Hire）的名義，讓想要租用此種服務發動攻擊的駭客上當。

【3月30日】駭客鎖定網路電話系統3CX下手，針對電腦版用戶端程式進行供應鏈攻擊

今天的資安新聞，我們看到針對網路電話（VoIP）、MFT檔案共享系統、行動裝置作業系統而來的攻擊行動相當引人關注，其中，又以網路電話系統3CX遭到鎖定的供應鍵攻擊事故，因為有3家資安業者不約而同提出警告，並揭露不同層面的發現。

在針對應用系統的攻擊行動之餘，惡意軟體IcedID的發展趨勢也引起研究人員注意，原因是攻擊者為了迴避資安系統偵測，大幅精簡該惡意程式原本的金融木馬模組，而且在遭滲透或感染的電腦部署更多惡意軟體。

上週OpenAI修補ChatGPT多項漏洞，如今有研究人員發現部分漏洞修補不全，而能繞過修補程式利用漏洞的現象。對此，該名研究人員協助OpenAI製作更新軟體。

【3月31日】攻擊工具也跟上「多雲」風潮，一口氣搜括18種雲端服務平臺的組態不當設定資料

駭客掃描存在特定弱點的雲端設施，進而發動攻擊的情況算是相當常見，但現在竟然出現了能大量掃描的模組化工具AlienFox，攻擊者從找尋目標到發現特定的系統弱點，都能利用同一組工具完成。基於這樣的攻擊便利性，上雲的企業與組織在暴露於公開網路的網站與應用系統，勢必要加快修補漏洞與修正不當設定的腳步，否則將會在更短時間之內被攻陷。

關切雲端資安風險態勢變化之餘，殭屍網路的攻擊行動也相當值得留意。有資安業者對殭屍網路ShellBot、MooBot的態勢提出警告，並指出駭客所使用的兩個重大漏洞，也有其他殭屍網路病毒加以運用。

因結合ChatGPT與AI對話機器人而吸引大量使用者的Bing搜尋引擎，最近被研究人員找到漏洞，能用來竄改搜尋結果，但起因與Azure AD有關。