【資安週報】2023年5月15日到5月19日

在這一週的漏洞消息中，以蘋果揭露修補3個WebKit零時差漏洞成為最大焦點，除了影響廣泛，並且都已有遭鎖定利用情況。此外，我們在盤點漏洞消息時，新注意到Samsung裝置的漏洞（CVE-2023-21492），並且還有兩個Cisco早年的已知漏洞(CVE-2016-6415、CVE-2004-1464），也都確認遭成功利用情形需優先關注。

其他值得關注的新漏洞修補動向，包括：Cisco、KeePass，以及物聯網與工控相關有Teltonika Networks、Wemo Mini、研華、Rockwell Automation的更新修補釋出。

在威脅態勢與攻擊焦點方面，以勒索軟體新動向受矚目，包括BianLian近期攻擊態勢的揭露，以及MalasLocker鎖定郵件伺服器Zimbra，CheckMate鎖定SMB檔案共用協定的情形，而利用Babuk原始碼打造勒索軟體的狀況，也持續有資安業者揭露相關事件。其他可留意的威脅活動與事件，包括：駭客利用Go語言開發的Cobalt Strike，以及MerDoor的後門程式的揭露，以及中國駭客在TP-Link路由器植入惡意程式並鎖定歐盟外交機關攻擊的情形。

至於國內方面，本週有多起資安事件引發關注，包括計程車派遣服務Yoxi公告遭帳號填充攻擊，誠品外洩個資問題又成焦點，統聯客運客戶接到詐騙電話疑資料外洩而緊急關閉線上訂票，以及財政部電子發票平臺企業帳號竟採共通預設密碼的情形被揭露，另外，還有最新一起事件是微笑單車，他們在19日(週五)公告其官網遭駭客網路攻擊，臺北市政府交通局也在同日傍晚七點公告YouBike系統遭攻擊，並指出預估全國約有2.1萬會員交易資料被取得。

【5月15日】誠品書店外洩個資傳出遭支持中國武統人士利用，對臺灣民眾發動心理戰

臺灣網路商城個資外洩事件頻傳，伴隨而來的是各式各樣的詐騙事故，但如今這些流出的購物記錄不只被駭客用於騙錢，還出現了認知作戰攻擊。有名社會運動人士曾在誠品網站購書，結果上週末接到冒充該公司進行市調的電話。但罕見的是，對方並非宣稱扣款錯誤等理由進行金融詐騙，而是不斷宣傳與表達「中國會武力統一臺灣」的主張。

豐田汽車再傳資安事故！這次是雲端服務配置不當的情況，而且，這些資料竟曝露7至10年之久。而這並非該公司因組態配置不當惹禍──2022年10月，他們表示因GitHub的帳密資料曝光，導致近30萬名行動應用程式T-Connect用戶被公開。

與列印管理系統PaperCut有關的漏洞攻擊行動也相當值得留意，繼勒索軟體駭客Clop、LockBit陸續濫用這個弱點，現在也傳出伊朗駭客APT35、Muddywater，以及勒索軟體駭客Bl00dy也都著手發起相關的攻擊。

【5月16日】財政部電子發票平臺驚傳資安漏洞，恐曝露上市櫃公司營業資料

公部門提供給企業使用的系統當中，不僅使用共通的預設密碼，而且這還是組弱密碼！財政部傳出在電子發票平臺上提供給企業的帳號裡，帳號名稱是該公司的統一編號，預設密碼是極為容易猜中的弱密碼，一旦任何人嘗試以此密碼搭配公司的統編，就有可能檢視該公司的發票資料，由於公司統編相當容易找到，這樣的帳密形同公開資料。經本週2家媒體報導後，財政部於今日表示，他們已緩解上述情況。

繼國光客運傳出資料外洩事故後，又有客運業者遭到攻擊。根據三立新聞臺、自由時報、中央社等國內媒體報導，統聯客運上週疑似個資外洩，導致乘客接到詐騙電話，該公司暫停線上訂票系統、手機App訂票的服務。主管機關交通部公路總局也證實此事。

針對個資法修法的部分，最近也有了新的進展。今天立法院三讀通過部分的新條文，其中主要是針對專責機關、裁罰金額與方式有了明確的新規範。

【5月17日】駭客利用Go語言開發的Cobalt Strike發動攻擊的情況升溫

為了迴避資安系統的偵測，過往駭客大肆利用滲透測試工具Cobalt Strike，後來出現改用Brute Ratel C4（BRC4）現象，而最近這樣的情況又出現了新的變化，研究人員發現利用另一款名為Geacon滲透測試工具的攻擊行動升溫，而這套軟體是有人透過Go語言改寫Cobalt Strike打造而成。

駭客利用外流的勒索軟體Babuk原始碼打造自己的攻擊工具，這樣的情況也越來越常見，繼先前有研究人員指出已有10個勒索軟體家族藉此發展針對VMware ESXi而來的程式，又有名為RA Group駭客組織也如法砲製，打造自己的勒索軟體，並在1個星期裡就入侵了4個組織。

針對家用路由器而來的攻擊行動，也相當值得我們留意。有研究人員揭露針對TP-Link路由器的攻擊行動，並指出駭客所採用的後門程式Horse Shell，也可能拿來感染其他廠牌的路由器。

【5月18日】要求受害組織作公益的勒索軟體再度出現，這次是鎖定Zimbra郵件系統而來

勒索軟體駭客想要劫富濟貧，要求受害者做公益來換取解密金鑰的情況，1年前有個叫做GoodWill的組織，受害者必須依照指示幫助窮人並公開揭露，才有機會復原檔案。而最近又有類似行徑的駭客組織出現，他們針對郵件伺服器Zimbra而來，並留下勒索訊息要求受害組織向特定的非營利組織捐款。

針對勒索軟體「變臉（BianLian）」攻擊行動也相當值得留意，這些駭客集中心力在透過竊得的資料向受害組織勒索，並在過程中停用防毒軟體來達成竊取資料的目的。

智慧電源插頭的漏洞竟因廠商停止支援產品維護，而無法得到相關修補！研究人員揭露Belkin第2代Wemo Mini智慧電源插頭的漏洞CVE-2023-27217，攻擊者有可能藉此發動命令注入攻擊，但開發商Belkin表示該產品生命週期已結束（EOL）而表明不予處理。

【5月19日】臺灣4月上旬出現惡意郵件、惡意軟體攻擊翻倍爆增的情況

中國不斷對臺灣文攻武嚇，網路攻擊也出現增加的現象。其中資安業者Trellix揭露2起發生在4月上旬的大規模攻擊行動，駭客在短短的2至3天之內，對臺灣散布較往常多出數倍的惡意郵件、惡意軟體，且針對各行各業而來。

蘋果再度修補零時差漏洞，值得留意的是，這次影響範圍不光是手機、平板、Mac電腦，亦涵蓋智慧手錶、Apple TV等裝置。由於這些漏洞已用於攻擊行動，使用者應儘速更新作業系統。