【資安週報】2023年12月18日到12月22日

這一星期又有零時差漏洞攻擊出現，特別的是，Google在發現的一日之後就發布Chrome的緊急修補，基本上，這個漏洞CVE-2023-7024是由於WebRTC中的堆積緩衝區溢位造成，而我們也注意到，微軟也在同日修補了Edge瀏覽器上的這項漏洞。由於此漏洞在外部已有遭成功利用的情形，加上WebRTC的影響範圍不小，因此用戶與採用WebRTC的業者都要儘速因應。

還有兩個網路設備漏洞，包括：臺廠威聯通（QNAP）網路影像錄影系統VioStor 4.0的漏洞CVE-2023-47565，以及日廠FXC的AE1021/AE1021PE路由器漏洞。這是因為Amakai在11月21日曾透露在近期發現殭屍網路InfectedSlurs的攻擊行動，是利用NVR與路由器的零時差漏洞來散布，到了12月6日與14日終於有了答案，受害裝置包括日本FXC與臺廠威聯通。特別的是，威聯通其實早在2014年就已釋出5.0版修補此一漏洞問題，FXC的路由器則是在12月6日釋出新版修補，本星期的資安日報並未提及，在此補上。

另一方面，零時差漏洞修補很重要，但也不應該看到黑影就開槍，需認清消息來源與查證。最近就有這樣的例子，以色列國家網路管理局（INCD）就提出警告，有人假冒F5的名義，以cert@f5[.]support寄送零時差漏洞修補通知的釣魚信，但該寄件者網域就只是取類似名稱的混淆手法，企圖引誘不察的使用者上當，以散布資料破壞程式。

在最新威脅態勢方面，關於進入遠端伺服器通常仰賴的SSH連線加密機制，最近有資料傳輸安全問題要注意，有研究團隊揭露針對SSH協定的Terrapin攻擊手法，並指出SSH協定中的3個漏洞（CVE-2023-48795、CVE-2023-46445與CVE-2023-46446），說明遠端攻擊者將得以繞過完整性檢查。

另一個要注意的情形，有資安業者指出駭客為了持續規避惡意程式被偵測，濫用合法平臺的意向有所轉變，因為濫用程式碼管理平臺GitHub存放惡意程式的情形顯著增加，不像先前都是利用雲端檔案共享服務Dropbox、Google Drive、Discord等。

在資安威脅與事件方面，國際間持續有知名企業組織遇害的消息，受害產業遍及雲端服務、IT、電信及服務業，我們整理如下：
（一）義大利雲端服務業者Westpole遭網路攻擊，不僅波其到他們的客戶PA Digitale，並導致該國公部門及市政府的多項服務癱瘓。
（二）資料庫系統開發商MongoDB遭網路攻擊，部分系統遭未經授權存取。
（三）Sony旗下遊戲開發商Insomniac Games遭勒索軟體Rhysida攻擊
（四）旗下擁有Timberland、North Face等服裝品牌的威富（VF）集團，向美國SEC提交網路攻擊事件8-k表單，說明12月13日發現未經授權存取，關閉部分IT系統，導致營運被迫中斷。
（五）美國電信服務供應商揭露用戶資料外洩，原因是他們未及時修補Citrix Bleed漏洞（CVE-2023-4966），在修補後兩日的安全檢查時，發現內部系統在前幾天遭未經授權存取。
（六）針對勒索軟體Play威脅，美國多個安全機構聯手發布警告，指出已有300多個企業組織受害，並揭露入侵手法與防護建議。

此外，金融產業要注意的是，有資安業者揭露駭客今年利用JavaScript指令碼進行網頁注入攻擊的態勢，能源產業同樣要當心，近日伊朗傳出全國有7成加油站遭網路攻擊而服務中斷，被迫手動作業。

在臺灣，有兩起資安相關消息，一是金門租車業者金豐租車公告遭網路攻擊，並提醒民眾當心詐騙，另一事件非典型資安事件，金管會針對國泰世華銀行前理財專員涉挪用客戶款項的裁罰中，特別強調該銀行的缺失在於，雖然有報表記錄了理專與客戶在短期間內以相同IP位址及載具登入網銀的狀況，但卻沒有了解IP相同的原因或持續追蹤監控。

最後我們補上一則消息是，關於我國參與國際資安標準制定的狀況與機會，在12月23日（周六）ISA國際自動化協會臺灣分會舉行成立大會，由於ISA所訂定的62443工控資安標準受IEC組織承認，而臺灣長期因政治因素無法直接參與ISO和IEC等國際標準組織的標準制定，因此臺灣分會成立的意義，不僅加強自動化技術在臺的應用與發展，也盼成為我們在參與國際標準制定的突破口。

【12月18日】新型態惡意軟體NKAbuse濫用區塊鏈進行傳輸資料、接收C2命令的工作，鎖定墨西哥、哥倫比亞、越南而來

為了讓攻擊源頭難以被找到，駭客無所不用其極改變遠端控制惡意程式的方法，其中最常見的手段，就是濫用各式各樣合法的雲端服務來充當C2伺服器，讓資安系統無法直接依據流量的來源，來識別是否為攻擊行動。

但最近有人使用更隱匿的手法，他們濫用名為New Kind of Network的區塊鏈網路，藉此傳送檔案及下達命令。

【12月19日】金融木馬威脅在2023年爆增，惡意程式家族較去年多出接近一倍，600款行動應用程式用戶成駭客鎖定的目標

使用手機操作網路銀行或進行線上交易，如今可說是相當普遍，越來越多駭客也受到這股潮流吸引而發動金融木馬程式攻擊，將其偽裝成知名的銀行應用程式、行動支付App、加密貨幣錢包，企圖將使用者帳戶裡的資產提領一空。

根據資安業者Zimperium的調查，這種惡意軟體的攻擊行動在2023年出現大幅增加的現象，研究人員提及，此類惡意程式現今普遍具備自動轉帳模組（Automated Transfer System，ATS），駭客也很有可能藉由電話客服作為散布的管道（Telephone-Based Attack Delivery，TBAD）。

【12月20日】FBI破獲勒索軟體BlackCat暗網網站，但駭客一天內奪回並揚言報復，預計攻擊醫院和核電廠

近期歐美國家取締網路犯罪組織的執法行動大有斬獲，例如，1月破壞勒索軟體Hive的基礎設施，8月摧毀70萬臺電腦組成的QBot殭屍網路等，駭客因此元氣大傷、消聲匿跡一段時日。

12月19日再度傳出美國FBI宣布奪下勒索軟體駭客組織BlackCat網站，但對方在一天內又取回網站，顯然這次執法行動受到阻礙。駭客表示，只要是在獨立國家國協以外的企業組織，都可能是他們的目標。

【12月21日】Sony旗下遊戲開發商遭勒索軟體Rhysida攻擊並導致開發中的遊戲資料外流

與勒索軟體駭客Rhysida有關的攻擊行動不斷發生，這樣的情況先後引起美國衛生與公眾服務部（HHS）、網路安全暨基礎設施安全局（CISA）提出警告，這些駭客上週再度犯案而引起關注，原因是受害組織是日本科技大廠Sony旗下的遊戲開發商Insomniac Games。

值得留意的是，這起事故並非該集團首度遭到攻擊。今年9月，有兩組駭客聲稱竊得Sony內部資料；隔月Sony證實遭遇MOVEit Transfer零時差漏洞攻擊，旗下遊戲主機開發商Sony Interactive Entertainment曝露約6,800人個資。

【12月22日】巴勒斯坦駭客對以色列組織聲稱提供F5 BIG-IP「零時差漏洞修補程式」來破壞電腦所有檔案

針對社會大眾的假消息相當氾濫，但現在也有針對IT人員而來的假漏洞資訊，若是未經查證很有可能上當。例如，有人針對WordPress網站的管理者而來，發送資安公告謊稱網站有特定CVE編號的漏洞，從而對網站部署後門。

而類似的手法，現在也被駭客用於對敵對國家企業組織發動攻擊。以色列組織收到聲稱F5 BIG-IP系列應用程式資安產品存在零時差漏洞的傳言，呼籲IT人員儘速套用他們提供的「更新程式」。但實際上，這是攻擊者捏造的消息，被鎖定的組織收到的資訊當中，僅提及要修補零時差漏洞，並未透露細節而形成破綻。