【資安週報】2023年8月14日到8月18日

這一週有兩個漏洞利用狀況要注意，首先，GitLab在2021年4月修補影響CE與EE版本的CVE-2021-22205重大漏洞，近期發現有鎖定未修補該漏洞系統的Labrat攻擊行動；第二，關於Adobe旗下的Magento Open Source在去年2月修補的CVE-2022-24086漏洞，發現今年1月有駭客針對未修補該漏洞的電子商務網站下手。

其他漏洞消息方面，重要的包括：CyberPower資料中心基礎設施管理平臺的多項漏洞揭露與修補，視訊會議Zoom零接觸設定功能漏洞的揭露與緩解，以及軟體開發套件Codesys V3高風險漏洞恐影響全球PLC安全的揭露。關於於微軟PowerShell Gallery存在3個缺陷的揭露也不容輕忽，恐引發供應鏈攻擊。

在防禦發展態勢上，有兩大重要消息，除了NIST網路安全框架（NIST CSF）近期有2.0版草案發布的消息，關於及早啟動PQC轉換的最新進展，亦受極大重視，Google去年底部署PQC演算法於其雲端內部後，最近他們宣布新進展，那就是針對3年前開源的FIDO實體安全金鑰OpenSK，以及Chrome瀏覽器116版，採混合方式導入PQC演算法。而在iThome最新一期GovTech月報，也提到臺灣政府發布公務人員安全使用ChatGPT指引草案，及政府為提升官網韌性如今正擴大採用雲原生技術的消息。

在攻擊事件焦點方面，我們看到有4起事件需關切，尤其是企業組織面對零時差漏洞攻擊，除了修補因應，同時也該清查入侵狀況。從最新研究來看，出現已修補漏洞，卻嚴重疏於確認伺服器是否已遭入侵的事故，以下是本週重大攻擊事件：

●關於上個月出現鎖定Citrix NetScaler伺服器零時差漏洞的攻擊活動，儘管後續廠商修補釋出、多數企業組織著手修補，但有研究人員從這場攻擊行動使用的Web Shell來追蹤，發現有6成8比例已安裝更新的伺服器上仍存在該攻擊留下的後門程式，顯示有修補卻未清查的問題。
●今年5月開始出現對於利用QRcode的大型網釣活動，有一美國大型能源公司在1千多封電子郵件中，有近3成比例的郵件包含惡意QRcode，而當中的釣魚連結是採用Bing重導URL所組成。
●中國政府支持的國家級駭客組織RedHotel近年攻擊活動被揭露，主要鎖定臺、美、捷克及東南亞多國的政府、學術、航太、媒體、電信與研發中心，臺灣也是目標之一，包括工研院與一家國內遊戲公司。
●勒索軟體BlackCat更名升級為Sphynx後，近期發現新納入駭客工具Remcom，並開始聚焦橫向感染能力，整合網路通訊框架Impacket針對NTLM Relay攻擊。

至於其他可留意的威脅態勢，包括：DNS中毒攻擊手法MaginotDNS的揭露，近半年駭客濫用Cloudflare R2代管釣魚網頁的狀況出現暴增61倍的態勢，還有美國新發布駭客組織Lapsus$攻擊報告，呼籲企業組織應強化雙因素驗證。

在臺灣方面，資安相關活動接連舉辦，像是臺灣駭客年會HITCON Community 2023登場，以及TWCERT/CC舉辦企業資安演練，邀集國內高科技與電信業，但也有5起消息引起大眾關心：

●門諾公益捐款公告資料外洩，說明去年5月中國駭客攻擊導致均款人資料疑遭竊
●Google今年3月推出的Dark Web Report功能，最近臺灣用戶可以開始使用
●國內資安業者發布網域檢測報告，全臺7成五星飯店未妥善管理電子郵件安全
●發生警員將帳密資料張貼公務電腦，其他警員濫用其帳密查詢女藝人個資的事件，兩人分別因違反資通安全被懲處，及妨害電腦使用、違反個資法被起訴。
●我們在週末盤點相關消息時，新發現一起先前資安日報尚未提及的事件：專注於自行車傳動器組件製造的上市公司日馳企業，在8月19日傍晚6時發布資安事件重大訊息，說明部份資訊系統遭受網路攻擊事件。

【8月14日】DEF CON搶旗攻防賽臺灣勇奪第3

國際資安大會DEF CON 31於8月10日至13日於美國拉斯維加斯登場，搶旗攻防賽（CTF）也在本週末如火如荼地舉行，臺灣CTF戰隊TWN 48也參與其中，並從12個參賽隊伍當中獲得第3名的優異成績，是臺灣第10次組隊參加此項競賽。

另一個也幾乎同時進行的搶旗攻防賽也相當引人關注，那就是針對太空安全的Hack-A-Sat，因為，這次5組參賽隊伍的攻防標的，是實際於太空運作的衛星Moonlighter。

【8月15日】臺灣等17個國家遭中國駭客RedHotel鎖定，進行網路攻擊行動長達3年

隨著國際局勢日趨緊張，不時傳出中國駭客發動攻擊的情況。其中，資安業者Recorded Future公布一起為期長達3年的網路間諜攻擊行動，由政府資助的中國駭客RedHotel發起，值得留意的是，受害組織的基礎設施、簽章，有可能被這些駭客拿去攻擊其他目標。

關於臺灣遭遇相關攻擊的部分，該公司表示，駭客竊得臺灣電玩公司的簽章，並將其用於簽署惡意DLL檔案，最終還以此在其他目標組織側載惡意軟體。

【8月16日】Citrix NetScaler零時差漏洞攻擊受害範圍再度擴大，近2千臺伺服器遭挾持

一個月前Citrix修補NetScaler零時差漏洞CVE-2023-3519，並透露當時已出現攻擊行動，但究竟有多少伺服器受害？繼Shadowserver基金會本月初找到有640臺伺服器被入侵之後，最近這幾天有研究人員公布新的調查結果，遭駭伺服器數量逼近2千臺。

值得留意的是，雖然有很多IT人員套用了更新程式，但並未檢查伺服器是否在尚未修補的時候就被入侵，而使得這些系統仍然受到攻擊者的擺布。

【8月17日】Cloudflare物件儲存服務成駭客寄放釣魚網頁的溫床，半年內相關的攻擊流量暴增60倍

為了避免被資安系統察覺異狀，駭客使用合法雲端服務來「代管」釣魚網站的情況，算是相當常見，有不少是利用Google Drive、微軟OneDrive、Dropbox等檔案共用服務來進行。而最近一波網釣攻擊引起研究人員關注，因為今年有越來越多駭客運用Cloudflare物件儲存服務R2存放釣魚網頁內容，以此企圖蒙混過關，企圖竊取使用者的微軟帳號，以及Adobe、Dropbox等雲端服務的帳密資料。

另一起由駭客組織MoustachedBouncer發起的網路釣魚攻擊行動，也相當特別，因為目標竟然是特定國家的網際網路服務供應商（ISP）。

【8月18日】駭客針對GitLab重大漏洞下手，將其容器環境用於挖礦及盜取網路頻寬

駭客剝削電腦資源並用來獲利的情況，除了挖取加密貨幣，將受害電腦當作代理伺服器轉賣頻寬的手法（Proxyjacking）也不時傳出，但過往這類攻擊大多是針對個人電腦而來，現在有人鎖定企業組織的開發環境下手。資安業者Sysdig揭露名為Labrat的攻擊行動，攻擊者就是鎖定尚未修補重大漏洞CVE-2021-22205的GitLab伺服器下手，進而在容器部署挖礦軟體、代理伺服器軟體（Proxyware）。

此外，許多流量挾持攻擊是針對Windows電腦而來，但近期也有鎖定Mac電腦的惡意軟體攻擊行動AdLoad，每週有數千個IP位址與代理伺服器連線。