【資安週報】2023年6月12日到6月17日

在這一週的漏洞消息中，在漏洞利用方面，有兩個需優先注意，首先是Fortinet修補其防火牆產品的SSL VPN漏洞CVE-2023-27997，已被美國CISA列入已知成功利用清單，另一是VMware ESXi一項CVSS評分為3.9分的零時差漏洞CVE-2023-20867被中國駭客UNC3886運用於最新攻擊的揭露，VMware亦於同日釋出修補。

在漏洞修補方面，微軟釋出6月例行性安全更新以修補近80個漏洞，還有多家科技大廠發布安全性更新修補公告，包括Progress、SAP、西門子、施耐德電機等。

國際間還有4項值得關注的重要資安事件，包括瑞士國家網路安全中心（NCSC）公布，該國聯邦機構與國營企業的網站遭俄羅斯駭客組織NoName攻擊；韓國國家情報院（NIS）警告，北韓駭客偽冒韓國最大入口網站Naver，透過即時鏡像複製Naver網站內容、並註冊以NAVER混淆的相近網域名稱；以及智利軍隊遭勒索軟體攻擊的揭露。

此外，前陣子的2起重大資安事件有新消息，包括遭遇MOVEit Transfer零時差漏洞攻擊的受害者名單陸續浮上檯面，以及針對Barracuda郵件安全閘道零時差漏洞的攻擊，疑為中國駭客組織UNC4841所為。在其他威脅態勢方面，有中國駭客組織ChamelGang針對Linux主機攻擊，並以DoH方式連線C2中繼站規避偵測的揭露，以及發現駭客假冒資安研究人員姓名照片上傳零時差漏洞PoC的情形。同時，有研究指出ChatGPT回答程式語言問題時，會給出不存在的NPM套件、PyPI套件的名稱，因而存在可被駭客加以濫用的風險。

在資安防護焦點上，最受關注的莫過於歐洲議會針對AI法《AI Art》草案的歷史性投票通過，不僅是針對某些可能嚴重影響人類安全的AI應用予以禁止，並以AI風險等級，規範開發商與採用組織的義務，而臺灣AI基本法的立法倡議仍不明朗亦因此受關注。另外，針對近兩年危害最大的勒索軟體LockBit，多國網路安全機構發布新的聯合安全公告，說明其攻擊手法與防護建議。

【6月12日】大型金融業者須提高警覺！駭客發動新型AiTM攻擊與BEC詐騙

針對日益普及的雙因素驗證機制，駭客先前的因應之道是運用對手中間人攻擊手法（AiTM）突破，以此挾持受害者帳號的情況不時發生，但這種手法最近出現變化。微軟最近揭露一起針對金融業的AiTM攻擊，裡面有2種過往未出現的手法，其一是駭客結合商業郵件詐騙（BEC），發展成多階段攻擊；另一則是AiTM手法施行變得更為隱密。

MFT檔案共享系統MOVEit Transfer又被找出新漏洞，也須多加留意。這是IT業者Progress在5月底察覺CVE-2023-34362零時差漏洞攻擊之後，委由資安業者協助檢視程式碼找出的新漏洞。對此，該公司也呼籲用戶要儘速套用更新程式。

【6月13日】俄羅斯駭客NoName鎖定瑞士政府，發動DDoS攻擊

因為政治事件而引發的網路攻擊，最近有越來越頻繁的現象。而最近瑞士政府遭到俄羅斯駭客發動DDoS攻擊的事故，傳出原因很有可能是烏克蘭總統澤倫斯基即將於6月15日對瑞士議會發表視訊演說，而引發俄羅斯不滿所致。

同樣因政治訴求所引發的資安事故，還有近日微軟旗下多項服務傳出遭駭客組織Anonymous Sudan攻擊的情況，而針對最近一起Azure入口網站服務中斷的情況，微軟也提出說明，表明當時受影響的範圍。

【6月14日】微軟發布6月份例行更新，修補近80個漏洞

微軟在昨天（13日）發布了6月份的例行更新（Patch Tuesday），稍微值得慶幸的是，這次沒有零時差漏洞，但有研究人員提出警告，部分風險評分較高的漏洞仍要留心，並儘速安裝修補程式。

駭客通常會利用嚴重程度較高的漏洞來發動攻擊，但近期也有利用低風險漏洞出手的情況。例如，VMware近期修補虛擬化系統的零時差漏洞CVE-2023-20867，此為CVSS風險評分僅有3.9的低風險漏洞，有駭客將其拿來控制ESXi列管的虛擬機器（VM）。

【6月15日】駭客設置假冒流行服飾品牌的大量網站，並鑽搜尋引擎的網域信任漏洞，發動網釣攻擊

網路釣魚攻擊相當常見，其中假冒物流業者與知名IT業者的情況最多，但最近有研究人員發現，有駭客一口氣假冒上百個知名的流行服飾、運動服裝品牌，從1年前開始架設釣魚網站來發動攻擊，但值得留意的是，攻擊者透過使用期間長達兩年以上的網域名稱而被Google搜尋引擎視為合法，並將其列於搜尋結果最前面的位置。

近期散布剪貼簿挾持軟體Clipper的攻擊行動也值得留意，研究人員揭露一起感染此種惡意軟體的事故，經過調查發現，受害電腦使用被竄改的Windows 10盜版安裝光碟來部署，而在作業系統設置完成後就被植入Clipper。

在6月13日，SAP、西門子、施耐德電機也都發布本月份例行更新，值得留意的是西門子，其資安通告提及自家產品存在不少第三方軟體的漏洞，但他們未提到是否提供更新軟體，這麼做雖是告知用戶注意，但廠商不幫用戶解決這些問題，意思是要用戶自求多福嗎？

【6月16日】研究人員揭露Barracuda郵件安全閘道零時差漏洞攻擊的後續發展，駭客更換惡意程式對付更新軟體

近期的大規模零時差漏洞攻擊，主要是集中在MFT檔案共享系統MOVEit Transfer的事故上，但另一起針對Barracuda郵件安全閘道的事故、且廠商採取要求用戶更換設備的情況，也相當值得留意。資安業者Mandiant揭露針對Barracuda郵件安全閘道的零時差漏洞CVE-2023-2868攻擊調查結果，說明該廠商派送修補程式後續發展過程。

安卓惡意程式GravityRAT的攻擊行動也引起研究人員關注，因為駭客不只將攻擊範圍擴及WhatsApp的資料，同時也搭上人工智慧聊天機器人的風潮，假借提供BingeChat（比微軟BingChat多了個e）來引誘使用者上當。

攻擊者偏好透過遠端桌面連線（RDP）入侵電腦的情況究竟有多嚴重？有研究人員進行實驗，結果發現，在3個月內，他們設下的蜜罐陷阱環境，總共遭到超過340萬次相關攻擊。

【6月17日】中國駭客鎖定Linux系統，散布惡意軟體ChamelDoH

運用DNS-over-HTTPS（DoH）的攻擊手法最近再度出現。有研究人員揭露中國駭客ChamelGang的攻擊行動，並對其使用的惡意軟體進行分析，結果發現，駭客運用DoH建立受害電腦與C2之間的連線，但不同於過往同類型攻擊行動之處，在於駭客濫用Google、Cloudflare的DoH伺服器發送DNS請求，使其攻擊行動變得更為隱匿。