【資安週報】2023年7月3日到7月7日

這一週有兩個存在於Arm Mali GPU kernel Driver的漏洞受關注，一是今年Google TAG小組通報的CVE-2023-26083漏洞，以及兩年前蘋果Media Products Radteam通報的CVE-2021-29256，近日Google發布7月份Android例行更新，修補了這兩個漏洞，並指出這兩個漏洞如今已被用於攻擊行動。另外，Chrome瀏覽器桌面版在4月修補零時差漏洞CVE-2023-2136，在這次Android例行更新中也獲得修補。

在網路攻擊重要事件方面，勒索軟體LockBit持續成為焦點，前一周才因聲稱入侵台積電卻是國內昊擎科技遭駭而成焦點，後續Lockbit駭客也在7月4日突然調降了勒索金額並緊急公開資料，而在同一天，日本名古屋港的港口裝卸系統出現嚴重系統故障情形，導致裝卸貨櫃業務中斷，貨櫃車排隊等待的現象，後續證實是遭勒索軟體攻擊導致，有日本媒體報導，禍首指向是LockBit駭客所為。

在最新威脅焦點方面，可留意的消息有兩起，首先是駭客鎖定太陽能發電監控系統SolarView，利用RCE漏洞CVE-2022-29303的揭露，其次是具竊資與勒索功能的RedEnergy Stealer惡意程式的揭露。此外，近期美國多個產業出現遭遇DDoS攻擊的情況，還有中國駭客鎖定歐洲國家外交單位發起SmugX攻擊行動的揭露，值得關注。在國內，刑事局偵破了一起跨國盜刷行動，發現陳嫌自學架設釣魚網站與中國駭客聯手在國內購物網站盜刷，再由車手領貨進而轉賣銷贓獲利的情況。

其他可留意的資安報告與研究方面，包括：電信業者Verizon的年度資料外洩調查報告（DBIR）出爐，資安業者CardinalOps發布針對多家SIEM平臺（Splunk、Microsoft Sentinel、IBM QRadar、Sumo Logic等）的調查報告，還有MITRE公布2023年版25個最危險且常見的軟體安全缺陷清單。

【7月3日】存在弱點的SSH伺服器遭到鎖定，駭客盜賣網路頻寬牟利

駭客利用他人電腦運算資源來牟利的情況，最常見的就是挖礦攻擊，但最近2年也有人將目標動到網路頻寬上，部署網路頻寬共享軟體（Proxyware），挾持電腦頻寬盜賣、牟利，現在駭客將目標鎖定資源較為豐富的伺服器，來竊取這類資源。最近一起攻擊行動中，駭客針對曝露弱點的SSH伺服器下手，並部署Docker容器映像檔來占用流量，但究竟駭客入侵的管道為何？研究人員沒有進一步說明。

WordPress外掛程式的零時差漏洞攻擊，也相當值得留意。近期駭客鎖定部署Ultimate Member外掛程式的網站發動攻擊，一旦利用這項漏洞，攻擊者就有可能非法加入管理員帳號，進而掌控整個網站。

美國網路安全暨基礎設施安全局（CISA）的已遭利用的漏洞名單（KEV），一有更新也成為外界關注的對象。而近期他們列入的漏洞，出現於D-Link路由器和三星手機，但值得留意的是這些漏洞在2019至2021年，廠商就提供相關修補程式，但現在出現漏洞攻擊，這樣的現象代表還有不少設備尚未套用修補程式。

【7月4日】勒索軟體駭客BlackCat鎖定組織系統管理員，假借提供WinSCP應用程式取得初始入侵管道

勒索軟體駭客入侵受害組織的管道，往往可能透過特定應用系統的漏洞，在受害組織建立初期的存取管道，但現在有駭客針對系統管理員、網路管理員而來，打算利用他們的電腦做為初期據點，並藉此搜刮各種管理員帳密資料，來做為後續攻擊之用。

中國駭客針對歐洲外交單位的網路釣魚攻擊，也引起研究人員關注。這些駭客利用HTML挾帶（HTML Smuggling）手法，於受害電腦植入惡意軟體，根據駭客埋入HTML的檔案，研究人員看到兩大類型感染手法。

有資安業者針對上個月Fortinet修補的防火牆SSL VPN漏洞CVE-2023-27997提出警告，因為他們看到仍有近7成防火牆系統尚未套用相關的更新程式，而有可能成為駭客下手的目標。

【7月5日】竊資軟體Meduza鎖定瀏覽器、密碼管理工具、動態密碼產生器進行搜括

駭客打造新的竊資軟體，引起了研究人員關注，原因是這款名為Meduza的惡意程式，駭客不只號稱可挖掘受害電腦各式資料，還強調其行蹤極為隱密，並標榜能迴避大多數防毒軟體的偵測。

釣魚郵件攻擊出現了新的手法也相當值得留意，有資安業者揭露以圖片呈現內容的攻擊手法，由於當中沒有文字、URL、附件可供識別，許多郵件安全閘道不會攔截這類釣魚郵件。

日前有工程師揭露NPM套件的弱點Manifest Confusion，現在有人提供比對工具，讓開發人員可以確認套件說明及安裝流程是否有所出入。

【7月6日】勒索軟體LockBit攻擊日本第一大港，傳出貨櫃調度系統癱瘓

勒索軟體駭客LockBit繼上週末聲稱入侵了台積電之後，這種囂張的氣燄並未因此減緩，本週該組織疑似針對日本第一大港名古屋港發動攻擊，導致該港口的貨櫃調度系統NUTS暫停運作，後續情況有待進一步觀察。

駭客在惡意程式結合不同性質工具的情況，也值得留意。最近新出現的RedEnergy Stealer，就被發現同時具備竊資軟體（Infostealer），以及勒索軟體功能，研究人員認為這種惡意程式的出現，代表勒索軟體攻擊手段發生新變化。

各國環保意識抬頭，持續部署綠電，相關的發電系統、設備也隨之受到關注，其中，有研究人員針對已出現漏洞攻擊的太陽能發電監控系統SolarView進行調查，並指出很有可能還有另外2個漏洞也遭到利用。

【7月7日】盜刷集團聯手中國駭客，架設釣魚網站、入侵商場資料庫，竊取用戶信用卡資料進行盜刷

駭客架設釣魚網站竊取使用者信用卡資料再進行盜刷（或轉售）的事故，不僅在國外發生，最近這種型態的攻擊行動也在臺灣出現。刑事局最近宣布破獲跨國盜刷集團，其中一種竊取信用卡資料的手法，就是透過架設釣魚網站來進行，而且受害者包含日本、加拿大、美國等多個國家的民眾。

綠能是近年來各國爭相發展的能源，而能夠管控這類發電設備的系統，安全性也受到研究人員關注。我們昨天整理資安業者VulnCheck警告太陽能發電監控系統SolarView的漏洞，今天看到另一家資安業者Cyble也呼籲大家關注這類系統的資安，他們指出，其他廠牌的系統存在類似的弱點，而有可能同樣成為攻擊者下手的目標。

Google發布Android作業系統本月的例行更新，當中修補了3個已出現攻擊行動的零時差漏洞。