【資安週報】2023年6月5日到6月9日

在這一週的漏洞消息中，有3個重點，首先是Google釋出新版Chrome修補零時差漏洞CVE-2023-3079，這是一個Chromium的V8類型混淆漏洞，該公司指出已出現攻擊行動，另一是上週（６月１日）有資安業者警告，攻擊者可能利用Zyxel新修補的漏洞CVE-2023-33009、CVE-2023-33010，如今也被美國CISA列入已知漏洞利用清單。另外值得注意的是，有研究人員示警，微軟4月修補的一項Visual Studio漏洞，是容易被利用的漏洞，恐被用於滲透開發環境。

在攻擊活動與威脅態勢方面，最大焦點，是5月下半針對MOVEit Transfer零時差漏洞的攻擊事件，受到多家資安業者關注，並揭露後續消息，包括其攻擊背後是勒索軟體駭客組織Clop所發動，以及受害企業可能達百家之多，還有攻擊者可能在2年前就發現了漏洞，經長期測試後才根據排程發動攻擊。另外，我們在整理事件後續進展時，新發現已有資安調查業者整理與公告事件相關脈絡。

關於勒索軟體持續與中國駭客組織的消息不少。在勒索軟體方面，包含0mega鎖定企業用SharePoint Online，以及Cyclops結合竊資軟體功能的揭露：在中國駭客攻擊方面，有多家資安業者揭露不同組織的新動向，分別是Camaro Dragon利用後門程式TinyNote鎖定東南亞外交單位，PostalFurious鎖定星、馬，甚至阿拉伯國家發動網釣簡訊攻擊，以及SharpPanda透過Office方程式編輯工具老舊漏洞的攻擊行動，已從東南亞擴散至G20國家。

另外還有3個威脅活動也值得關注，包括資料流自動化處理系統Apache NiFi遭駭客鎖定，殭屍網路TrueBot鎖定稽核軟體Netwrix重大漏洞，以及PowerDrop的PowerShell惡意程式鎖定美國太空產業部署RAT的揭露。

【6月5日】中國駭客Camaro Dragon利用後門程式TinyNote攻擊外交單位

資安業者Check Point揭露中國駭客Camaro Dragon的攻擊行動，駭客利用以Go語言打造的後門程式TinyNote，鎖定東南亞、東亞的外交大使館而來，此後門程式主要被用於第一階段攻擊，讓駭客能在受害電腦上持續從事相關行動，並可使用PowerShell或Goroutines，列出目標組織的電腦。攻擊者假借提供外交事務相關的文件，散布該後門程式。

比較特別的是，TinyNote能繞過名為Smadav的防毒軟體偵測，此產品的主要用戶位於印尼，亦有東南亞與非洲的使用者，突顯此後門程式的攻擊相當有針對性。

研究人員也發現，為了降低目標對象的戒心，駭客冒用緬甸軍事設施的網域名稱，進一步追查其使用的基礎設施之後，他們表示，駭客可能對臺灣政府機關也相當感興趣。

【6月6日】MFT檔案共享系統MOVEit Transfer出現零時差漏洞攻擊，微軟指出是駭客組織Clop所為

針對Accellion FTA、GoAnywhere等MFT檔案共享系統的零時差漏洞攻擊，勒索軟體駭客組織Clop皆有參與，最近另一套MFT系統MOVEit Transfer也傳出面臨網路攻擊，有不少人懷疑也是Clop所為。如今有研究人員印證這樣的推測，並指出漏洞攻擊、竊取資料、勒索手法相當雷同。

殭屍網路病毒的攻擊也相當值得留意。最近研究人員揭露殭屍網路Horabot的行動，目標鎖定電子郵件信箱帳號，不僅竊取信件內容，還會利用這些帳號發送釣魚郵件。

人力資源管理平臺Prosperix因雲端儲存桶配置不當，導致求職者的資料曝光，內容不只包含了駕照、履歷表、工作申請表、畢業證書、成績單等相關資料，甚至還有疫苗接種記錄。

【6月7日】Outlook雲端郵件服務中斷，疑遭受駭客組織Anonymous Sudan的DDoS攻擊所致

微軟的雲端郵件服務Outlook.com傳出從週一（6月5日）發生服務中斷的現象，導致用戶無法收發信而怨聲載道，但為何會出現這樣的情況？微軟並未對服務中斷的原因提出說明，但有駭客組織聲稱，這起事故是他們發起的DDoS攻擊所致。

MFT檔案共享系統MOVEit Transfer零時差漏洞攻擊出現了新的進展，關於攻擊的駭客組織身分，微軟於6月5日曾指出是勒索軟體駭客Clop，隔日資安新聞網站Bleeping Computer收到Clop的說法，該組織表示就是他們所為，並透露這起攻擊的部分細節。

Google針對上週才推出的Chrome 114發布新版程式，當中修補了零時差漏洞CVE-2023-3079，由於以Chromium為基礎打造的瀏覽器都可能受到影響，Edge、Brave、Vivaldi也都提供了修補。

【6月8日】企業的SharePoint Online遭到勒索軟體0mega鎖定，發動資料破壞攻擊

入侵企業的檔案共享系統並進行檔案加密的攻擊行動，最近出現新的手法！有資安業者揭露一波針對SharePoint Online而來的勒索軟體0mega攻擊，駭客先是挾持Microsoft 365的全域管理員帳號（Global Admin Account），然後建立高權限帳號來下載、刪除檔案，再留下勒索訊息。

MFT檔案共享系統MOVEit Transfer零時差漏洞攻擊傳出駭客開始向受害組織進行勒索，並要求依照指示限期聯繫、談妥價碼及付款，否則就要公開竊得的資料。但受害規模仍不得而知。

開放重新導向漏洞（Open Redirect Vulnerability）的情況也值得我們留意。有研究人員發現美國太空總署（NASA）的網站出現此類漏洞，但在今年1月就有人通報，截至5月仍未修補。

【6月9日】逾20款Minecraft改裝套件遭到竄改，被用於散布惡意軟體Fractureiser

透過套件工具發布平臺來發動攻擊的情況，近期專門針對軟體開發人員而來，上架NPM、PyPI惡意套件的事件不時傳出，但現在也有鎖定遊戲玩家的攻擊行動。最近發生的竊資軟體Fractureiser攻擊行動，就是藉由電玩遊戲Miniecraft改裝套件平臺Bukkit、CurseForge的套件來散布，而引起相關社群的關注。

製造業遭遇勒索軟體攻擊的事故也相當值得關注。在今天的資安新聞裡，日本拉鍊大廠YKK、製藥廠Eisai皆傳出遭遇此種攻擊。以YKK而言，駭客組織LockBit宣稱是他們所為，揚言若該公司不付錢，將公開所竊得的資料，後續影響有待觀察。

MOVEit Transfer零時差漏洞攻擊的調查又出現了新的進展。有資安業者發現，駭客可能在2年前就找出漏洞，並經過多次測試、驗證，到了近期才發動正式攻擊。