【資安週報】2023年7月24日到7月28日

在這一週漏洞消息中，有3個漏洞利用消息需要優先關注，包括：（一）行動裝置管理平臺Ivanti Endpoint Manager Mobile（原名MobileIron Core）的CVE-2023-35078零時差漏洞遭利用，已導致挪威12個政府遭入侵；（二）Apple緊急修補一個零時差漏洞CVE-2023-37450，該漏洞存在於作業系統的核心內，該公司指出已得知有攻擊者利用此漏洞；（三）Zimbra前一週被發現有零時差漏洞攻擊，如今公布Zimbra Collaboration（ZCS）的CVE-2023-37580漏洞已遭利用。

其他可留意的漏洞消息，包括：首度出現無線通訊標準協定Terrestrial Trunked Radio（TETRA）的研究與漏洞揭露，還有AMD處理器漏洞Zenbleed，OpenSSH的RCE漏洞，以及WordPress外掛程式Ninja Forms漏洞的揭露。

在威脅態勢方面，近日勒索軟體的動向引發關注，其中Mallox威脅擴大值得留意，另外我們注意到近日Clop、BlackCat勒索軟體駭客變得更為囂張的情形。

　●勒索軟體Mallox的攻擊行動在今年上半出現大幅增加的情況，研究人員並指出其入侵管道是鎖定微軟SQL Server，並以暴力破解來獲取權限
　●Clop駭客將竊取自受害者的外洩資料，發布到可透過網際網路存取的網站，而非暗網
　●lackCat駭客為資料外洩網站加入API、Python爬蟲，這些舉動顯然是向受害組織施加更多壓力

其他值得關注的消息與事件，以網路犯罪工具FraudGPT的出現最受關注，另一個則是惡意簡訊App攻擊，近期臺灣時常傳出這類惡意活動，日本近來也有這類事件發生。同時國內近期接連有兩家上市櫃公司發布資安事件重大訊息，說明遭遇網路攻擊事件：

　●有駭客製作出FraudGPT，號稱能用AI製作釣魚郵件及打造破解工具
　●中華汽車遭遇網路攻擊事件，因產線配合系統檢修而發生局部停止生產情況
　●我們整理這週消息時，新發現另一事件，大樹醫藥在28日說明遭受網路攻擊
　●日本傳出惡意簡訊App攻擊，攻擊者發布簡訊假冒當地東京電力公司、東京都水道局名義，聲稱支付電費或水費出現異常並留下網址，使用者若誤信點擊，將安裝包含惡意軟體SpyNote的App
　●本月中有資安業者揭露中國駭客濫用的微軟帳號簽章的事件，後續又有研究人員警告，指出其影響可能更為範圍廣泛

關於資安防護焦點方面，國際間對資安事件訊息的公開揭露是更為重視，美國證券交易委員會（SEC）在一年多前提案，規定上市公司要在4天內披露重大資安事件，如今這項新規定已正式通過。

【7月24日】駭客假借日本水電公司名義，向當地安卓用戶散布惡意程式SpyNote

為了方便民眾繳納規費，許多公營事業都在積極提供並推廣行動裝置App，有駭客假借這些資訊來散布手機惡意軟體，例如，5月資安業者Check Point發現名為FluHorse的安卓惡意軟體，就是假借遠通電收ETC的App對臺灣民眾下手。而類似的攻擊行動，最近也在日本出現。資安業者McAfee揭露針對日本民眾的惡意軟體SpyNote，攻擊者聲稱手機用戶的電費或水費欠繳，要求依照指示下載App進行處理。

勒索軟體Mallox的攻擊行動也相當值得留意，因為出現大幅增加的現象，駭客初期入侵受害組織的管道，就是針對微軟SQL Server而來。

中國駭客組織Storm-0558濫用微軟帳號（MSA）金鑰挾持25個組織的電子郵件，微軟已做出緊急處置，但有資安業者發現，駭客濫用的金鑰不僅能存取雲端電子郵件服務Outlook.com，還能登入其他微軟的服務。

【7月25日】中華汽車發布重大訊息證實遭到網路攻擊，並著手恢復受影響系統

國內製造業近期陸續傳出遭到攻擊的情況，有些影響到供應商，有些則攻入企業環境，例如，先前有勒索軟體駭客LockBit聲稱竊得台積電內部資料的事故（台積電否認遭到入侵），但今天傳出有其他公司遭遇網路攻擊，甚至影響正常營運。昨日中華汽車在股市公開觀測站發布重大訊息，表示遭遇資安事故，有資安專家認為很可能就是勒索軟體攻擊，且疑似關閉防火牆而讓駭客有可乘之機。

蘋果針對行動裝置、電腦、穿戴裝置發布作業系統更新也相當值得留意，因為，其中一項零時差漏洞涉及卡巴斯基6月揭露的零點擊攻擊行動Operation Triangulation。

廣泛受到警消單位運用的無線電，有資安業者發現其通訊協定存在一系列漏洞TETRA:Burst，並指出他們已向多個國家的相關單位，以及無線電設備製造商進行通報。

【7月26日】駭客利用Ivanti行動裝置管理平臺的零時差漏洞，攻擊挪威政府的資訊系統

週一挪威政府發布公告，表示他們廣受12個機關採用的ICT平臺遭到攻擊，而駭客利用的漏洞，就是Ivanti於週日針對行動裝置管理平臺Ivanti Endpoint Manager Mobile（EPMM，原名MobileIron Core）修補的CVE-2023-35078。Ivanti聲稱沒有發現該漏洞遭到利用的跡象，但已有研究人員發現相關攻擊行動。

Atlassian上週修補的漏洞也相當值得留意，該公司針對企業協同開發軟體Confluence、持續整合與持續部署（CI/CD）系統Bamboo，修補了可被用於遠端執行任意程式碼（RCE）的高風險漏洞。

VMware針對容器管理平臺Tanzu修補的資訊洩露漏洞，也值得IT人員留意，因為，攻擊者很可能用來推送帶有惡意功能的應用程式。

【7月27日】有人在暗網論壇兜售AI網路犯罪工具FraudGPT，號稱不到一週已有3千買家下單

先前駭客嘗試將當紅的大型語言機器學習模型（LLM）ChatGPT用於網路犯罪，但後來開始有人製作專門用於攻擊的LLM，例如研究人員於7月中旬揭露的WormGPT，而最近又有新的AI工具FraudGPT出現，值得留意的是，駭客標榜此工具不光能產生釣魚郵件的內容，還能製作多種類型作案工具，運用在不同型態的網路攻擊。

隨著企業對於資安防護意識與認知的提升，越來越多受害組織不願付錢了事，對此，駭客也祭出過往未曾出現的施壓手法。例如，勒索軟體BlackCat（Alphv）就打算提供網站的API、爬蟲工具，促使有意購買資料的買家更輕鬆找到所需的檔案，並以此對受害組織施加更大壓力，迫使他們支付贖金。

勒索軟體的威脅「不講武德」，再度出現同時針對相同目標下手的狀況！山葉音樂（Yamaha Music）加拿大分公司遭到網路攻擊，研究人員發現有兩組駭客Black Byte、Akira聲稱對其發動攻擊，先前也有類似的案例──勒索軟體駭客BlackCat、Clop皆表明對化妝品業者雅詩蘭黛下手。

【7月28日】惡意軟體Nitrogen被用於勒索軟體攻擊，並透過Google、Bing廣告散布

先前有資安業者趨勢科技揭露勒索軟體BlackCat（Alphv）的攻擊行動，駭客假借提供WinSCP等知名應用程式的名義，透過惡意廣告引誘受害者上當。現在資安業者Sophos有新的發現，攻擊者用來入侵受害電腦的惡意軟體，是另一家資安業者eSentire於1個月前發現的惡意程式Nitrogen，並指出駭客的目標是北美的科技產業及非營利組織。

網頁伺服器Tomcat遭到駭客鎖定的現象，也值得IT人員留意。資安業者Aqua Security揭露長達2年的攻擊行動，並指出駭客運用多達12種Web Shell來作案，但大部分的攻擊行動都是在網頁伺服器植入殭屍網路Mirai。