【資安月報】2023年4月

在這一個月的資安月報中，除了國內有微星公告部分資訊系統遭網路攻擊的消息，有3大資安議題是關注焦點，包括3CX VoIP供應鏈攻擊事件的後續，生成式AI強化資安解決方案應用增加，以及員工為了方便將企業機敏資料輸入上傳到ChatGPT的問題。

首先，關於3月底CrowdStrike、SentinelOne、Sophos等資安業者揭露的3CX VoIP系統軟體供應鏈事件，不僅是讓軟體供應鏈問題再次成為焦點，而在4月更多調查結果出爐之後，更是發現另一起X_Trader軟體供應鏈攻擊才導致3CX被入侵。

一開始，在3CX VoIP的事件中，原先調查指出，3CX官網上提供的Windows與macOS的桌面程式Electron，被加料植入暗藏木馬的ffmpeg.dll，將下載惡意Payload，且該更新檔案具有合法程式碼簽章，後續另一家資安公司Mandiant指出，確認3CX網路之所以被入侵，是因為攻擊者之前入侵了股票交易自動化業者Trading Technologies的網站，從而散布被駭客竄改的X_Trader應用程式，換言之，這次事件是先藉由一起軟體供應鏈攻擊，再發動另一起軟體供應鏈攻擊；此外，到了4月底，又有另一家資安業者賽門鐵克揭露X_Trader軟體供應鏈攻擊的危害情形，指出至少發現有4個關鍵基礎設施（CI）遭到攻擊。

前兩個月ChatGPT當紅，對於資安領域的影響到4月仍持續發酵，例如，繼微軟Security Copilot後，Google也用生成式AI強化自家資安解決方案，該公司在4月RSA大會期間宣布，開始應用專屬大型語言模型Sec-PaLMSu於多項安全解決方案，促進以生成式AI強化安全性，希望激發安全運作上的變革，並期望解決資安技能差距的問題；而已併入Google的惡意軟體分析網站VirusTotal，也宣布將運用生成式AI增強威脅分析能力，以Google Cloud的Security AI Workbench為基礎，提供程式碼分析服務Code Insight。

另外，在ChatGPT風潮下的威脅態勢，前一個月已有不少新興技術濫用風險示警的消息，以及假冒名義的惡意活動不斷被揭露，特別的是，關於員工不當使用、影子IT的問題，更是屢屢成為本月重點議題。

月初即傳出三星發生軟體開發員工為了自身方便，將整份程式碼上傳到ChatGPT對話以找出程式碼錯誤之處，沒顧及企業機敏資料可能外流的情形，可能被AI拿去學習，使得ChatGPT回答別人答案可能出現公司資料；到了月底又有資料安全服務商針對員工擅自將企業資料輸入到ChatGPT的情形提出報告，統計旗下不同產業企業用戶160萬名員工的資料上網情形，發現有3.1%比例員工，將不能外流的企業機敏資料輸入到ChatGPT。

由於相關消息接連不斷傳出，在如今這股ChatGPT應用潮流下，對於保護企業資料，如何在技術提供的價值與安全之間取得平衡，勢必會持續受到探討。

【資安週報】2023年4月6日到4月14日

在清明連假後的一周半中，共有10個已知漏洞遭利用的情形，包含蘋果緊急修補的CVE-2023-28205、CVE-2023-28206漏洞，以及微軟4月安全性更新所修補的CVE-2023-28252漏洞，發現遭攻擊者利用部署Nokoyawa勒索軟體，以及Veritas備份軟體2021年的3個已知漏洞去年底BlackCat勒索軟體利用，近期被資安業者揭露。

另有4個漏洞本期尚未報導，但亦確認遭攻擊者成功利用情形，值得注意，包含兩個今年揭露的漏洞：Novi Survey的漏洞（CVE-2023-29492 ）、Android的漏洞（CVE-2023-20963） ，以及兩個早年的已知漏洞：微軟的漏洞（CVE-2019-1388）、Arm的漏洞（CVE-2019-1388）。在其他漏洞修補消息方面，包括威聯通、HP、SAP、西門子、施耐德、Adobe也發布安全更新，還有JavaScript沙箱程式庫VM2的漏洞值得留意。

關於威脅態勢的揭露方面，最受關注的是，勒索軟體Rorschach濫用Palo Alto Networks的XDR系統元件載入與執行的情形，以及駭客濫用Telegram的情況是越來越嚴重，其他可留意的是後門程式Balada Injector、竊資軟體Creal、Mirai變種RapperBot的動向，以及竊資軟體Typhon加入大量混淆反分析的揭露。

另外要特別一提的是，假ChatGPT、Google Bard名義的威脅也增加，同時，如同與員工擅自將公司資料上傳到個人雲端儲存空間存放情形類似，近期不少企業正關注員工是否可能將公司機密資訊，擅自輸入ChatGPT的問題。

至於國內焦點方面，包括假冒財經名人、主播名義的詐騙呈現持續橫行情形，甚至台積電創辦人的夫人張淑芬也遭冒名後，這類問題更受關注，因此，Meta與Google等平臺業者的自動審核廣告機制，顯然已被網路犯罪者找到容易突破的方式，業者再不設法解決，等於讓廣告成網路攻擊與詐騙發動溫床；Google Cloud近期揭露去年第四季報告中，提及中國駭客組織APT41當時鎖定目標是臺灣媒體。

【資安週報】2023年4月17日到4月21日

這一周的漏洞消息中，有6個漏洞遭利用的情形最受關注，首要焦點就是Chrome的兩個零時差漏洞CVE-2023-2033、CVE-2023-2136，後者更是影響所有基於Chromium瀏覽器，而列印管理軟體系統PaperCut在3月修補的CVE-2023–27350的RCE漏洞，近日亦發現出現攻擊活動，還有俄羅斯駭客組織APT28利用存在於Cisco IOS與Cisco XE軟體的SNMP子系統漏洞CVE-2017-6742漏洞的揭露。另有兩個漏洞本期周報尚未提及，以物件儲存服務MinIO公告的CVE-2023-28432漏洞須特別留意，另一是Apple macOS的漏洞CVE-2019-8526。在漏洞修補方面，焦點包括Oracle季度更新修補433個漏洞，以及VMware、ChatGPT、Juniper的漏洞修補。

在重要資安事件方面，3CX VoIP系統軟體供應鏈的攻擊事故有後續消息，格外引發關注，因為3CX之所以被入侵，是因為攻擊者先入侵股票交易自動化業者Trading Technologies的網站散布被駭客竄改的X_Trader應用程式，等於是藉由供應鏈攻擊入侵，再發動影響更廣泛的供應鏈攻擊。

其他值得警惕的資安事件，除了Volvo的巴西經銷商Dimas Volvo在網站上曝露敏感資料甚至包含Laravel的金鑰，企業淘汰的網路設備在二手市場上被發現有洩露企業內部網路環境敏感資訊的狀況，同樣必須留意，這如同企業淘汰的列印設備其硬碟資料未妥善清除狀況相同，重點是，可別以為這些汰換的網路設備沒有機敏資訊要清除，就能直接汰換，應該也要針對組態設定重置並確定無疑慮再丟棄。

在威脅態勢方面，以勒索軟體新動向受矚目，包括勒索軟體LockBit攻擊的平臺已從Windows、Linux及VMware ESXi環境擴及macOS，以及勒索軟體Vice Society近期威脅增加，並有資安業者揭露該攻擊者利用新的PowerShell指令碼w1.ps1來規避資安系統，還有勒索軟體駭客濫用名為Action1的遠端管理平臺（RMM）的揭露；竊資軟體消息也不少，包括竊資軟體Aurora利用Youtube影片宣傳假破解軟體來散布，以及Zaraza Bot竊資軟體、Chameleon的安卓惡意軟體的揭露。

【資安週報】2023年4月24日到4月28日

在這一周的漏洞消息中，首要焦點是，ZDI警告TP-Link於3月中修補的CVE-2023-1389漏洞，已經被Mirai殭屍網路病毒的攻擊行動利用，在最新漏洞修補消息方面，包括思科、SolarWinds與VMware的修補動向值得關注。另外在51連假期間，還有兩個已知漏洞確認遭利用情形，本期週報尚未提及，值得優先注意，包括Apache的CVE-2021-45046，以及Oracle在1月修補的CVE-2023-21839漏洞。

在威脅態勢與攻擊焦點方面，中國駭客組織Evasive Panda散布後門程式MsgBot的攻擊活動揭露最受關注，因為是利用騰訊Tencent QQ即時通訊軟體的更新管道散布，而其鎖定對象是國際非政府組織（NGO）人士；另一焦點是中國駭客組織Alloy Taurus開發Linux後門程式PingPull的揭露。

其他惡意活動消息，包括：惡意軟體Lobshot、惡意軟體載入器Bumblebee均透過Google廣告散布的揭露，惡意軟體RustBucket、竊資軟體Atomic均針對Mac電腦攻擊的揭露，以及又有新針對Kubernetes而來的攻擊行動，勒索軟體RTM Locker的動向等。

在國內的資安相關消息中，除了調查局資通安全處失火的消息受外界關注，還有兩起警方偵辦事件中所存在的資安議題，也引起不少人注意，分別是線上影視平臺LiTV今年1月發生資料遭刪除，警方調查研判是前員工利用商家Wi-Fi無線網路並盜用其他員工帳號進而存取防火牆設備以入侵，另一事件本期週報尚未提及，是關於永豐金提告前財務長、永豐銀前總座張晋源涉嫌賤賣永豐金子行美國遠東銀行（FENB）的調查，根據國內報導指出，鑑識時發現張晋源在離職後將公司派發電腦中的資料清除，且不排除使用腐蝕性液體破壞可能。

2023年3月資安月報

2023年2月資安月報

2023年1月資安月報

2022年12月資安月報

2022年11月資安月報

2022年10月資安月報