【資安週報】2024年2月5日到2月17日

在2月農曆春節前後，剛好適逢多家廠商發布每月安全更新，包括微軟、Adobe、SAP等多家IT業者，在掌握這些漏洞修補動向之餘，這期間有不少漏洞利用情形，更是需要企業優先重視。我們整理如下：

有3個零時差漏洞已遭成功利用：
●Fortinet在2月8日修補已遭利用的零時差漏洞CVE-2024-21762，這是存在該公司SSL VPN元件的RCE漏洞。
●微軟在2月13日修補73項漏洞中，有兩個是已遭利用的零時差漏洞，分別是：可繞過網際網路捷徑檔安全功能的CVE-2024-21412，以及可繞過Windows SmartScreen安全功能的CVE-2024-21351。

還有4個已知漏洞，近期被發現遭攻擊者利用，首先是微軟修補Exchange伺服器重大漏洞CVE-2024-21410後，隔日該公司示警有攻擊利用，其他包括：Roundcube郵件伺服器去年9月修補的漏洞CVE-2023-43770、Google去年9月修補Chromium V8類型混淆漏洞，以及思科2020年5月修補防火牆產品的資訊洩漏漏洞CVE-2020-3259。

另外，有研究人員揭露名為EventLogCrasher的漏洞，需留意後續修補動向，還有要注意關於DNSSEC的漏洞揭露與修補。

在資安事件方面，有3項消息成為焦點，都與上櫃及興櫃公司有關，包括：
●2月5日，上櫃化學工業美琪瑪的部分資訊系統遭受網路攻擊。
●同樣2月5日，上櫃觀光富野說明旗下分公司的資訊系統遭網路攻擊。
●2月15日，興櫃瑩碩生技代子公司公告，揭露歐帕生技醫藥遭遇網路攻擊事件。

在這些公告之後，還有其他狀況發生，在此一併補充。關於上述美琪瑪遭網路攻擊，有駭客2月16日於論壇聲稱兜售該公司2TB資料；中華民國紡織業拓展會（紡拓會）也傳出可能遭駭，因為他們被一個勒索軟體組織列為受害者，這類法人協會被鎖定的狀況，可能同樣需要追蹤。

醫療健保相關產業也要注意，因為國際上最近有2起相關重大資安事故，例如，羅馬尼亞有1百多家醫院遭網路攻擊，當地網路安全局及衛生部已證實，是醫院服務供應商遭到Backmydata勒索軟體攻擊；法國健保業者客戶傳出資料外洩，由於事件恐波及該國近半數民眾，當地的資料保護機構CNIL針對提供第三方支付的兩家公司Viamedis與Almerys進行調查。

其他還有現代汽車歐洲分公司傳駭，傳出是遭勒索軟體Black Basta攻擊，以及美國銀行證實資料外洩，調查起因為供應商遭駭。

 在威脅焦點方面，最近有相當多起資安威脅的揭露，都與中國駭客網路攻擊有關，我們整理如下：
●資安業者Trellix最近指出，臺灣總統大選投票前一天遭受網路攻擊出現大幅增加，根據他們的遙測資料顯示，部分惡意流量特別針對政府、執法與金融單位。
●資安業者SentinelOne揭露，中國當局在2022年宣傳美國對其發動駭客攻擊，調查其宣傳內容發現，中國的指控普遍缺乏相關的技術分析及證據。
●荷蘭軍事情報暨安全局（MIVD）、情報暨安全總局（AIVD）發布聯合公告，指出該國國防部去年遭中國網路間諜入侵，並被植入後門程式。
●關於LLM被國家級駭客惡意使用，微軟與OpenAI揭露濫用方式，包括查詢開源資訊、翻譯、找程式碼漏洞等，並指出中、俄、伊、北韓駭客組織都已這麼做。

特別的是，繼2023年11月義大利報紙 Il Foglio揭露6個冒充義大利新聞媒體的網站，以及韓國國家網路安全中心（NCSC）揭露18個冒充當地新聞媒體的網站，最近加拿大公民實驗室（Citizen Lab）發表名為Paperwall的報告，揭露至少有123個網站冒充歐洲、亞洲、拉丁美洲當地的新聞機構，目的是宣傳親中內容，經層層追蹤這些網站後發現，都與1家中國公關公司有關，並指出不同於Mandiant在2022年揭露的事件，背後是不同組織在發動影響輿論行動。本期的資安日報尚未提及，在此補上。

其他值得關注的威脅手法，我們認為有3項消息需要特別重視：
●香港警方表示，跨國企業員工因為駭客利用Deepfake技術假冒公司主管參加視訊會議，並指示員工轉帳2億港幣，等到事後向總公司確認才發現上當。
●關於QR Code網釣，有郵件安全業者研究多半是針對高階主管而來，比一般員工高出42倍。
●資安業者分析能迴避資安防護系統的惡意程式，發現有7成惡意程式會採用隱形（stealth-oriented）手法。

在資安防護方面，有兩個重要新聞，分別是對於勒索軟體與量子破密的因應。針對2023年下半造成重大災情的勒索軟體Rhysida，最近有南韓國民大學研究人員找出其實作漏洞進而破解，後續將提供免費解密工具；近年國際間持續看重後量子密碼學的發展，最近Linux基金會更是宣布，與AWS、Cisco、Google、IBM與Nvidia等11個組織成立後量子密碼學聯盟PQCA，希望透過建立開放與合作的環境，開發用於評估、原型設計與部署後量子演算法的軟體。

【2月5日】知名遠端桌面連線軟體AnyDesk證實伺服器遭駭並撤換程式碼簽章

近年來利用遠端桌面連線程式入侵受害電腦，已是駭客偏好的手法之一，但若是提供這類系統的業者遭駭，很有可能讓攻擊者取得大量帳密資料，並將其用於發動攻擊。

上週末AnyDesk證實他們有伺服器遭到入侵，並尋求資安業者協助，進行這起事故的後續回應，雖然該公司強調他們尚未得知有使用者受到影響，但有資安業者發現駭客已在地下論壇兜售大量AnyDesk帳密，後續發展有待觀察。

【2月6日】駭客利用Deepfake視訊會議從跨國企業員工騙得2億港幣

大約3、4年前，用深度學習（Deep Learning）進行AI影像合成的假訊息及詐騙手法Deepfake出現，引起資安界高度關注，而最近有2起事故再度讓Deepfake帶來的威脅浮上檯面。

其中之一是網路上有人利用這類技術產生知名歌手Taylor Swift的色情照片；而另一起則是直接造成財務損失，駭客用於對跨國企業財務人員的視訊會議詐騙，利用該公司高階主管網路上公開的影片進行合成，讓這名員工信以為真。

【2月7日】求職網站遭駭客組織ResumeLooters鎖定竊取求職者應徵資料，臺灣、印度是主要目標

為了竊取大量使用者資料，不少攻擊行動鎖定電商網站而來，甚至發展出側錄使用者信用卡的手法Magecart，但現在，也有專門針對提供其他服務的網站而來的情況。

最近資安業者Group-IB揭露的ResumeLooters攻擊行動，就是針對求職網站而來，駭客的主要目標是亞太地區，其中，又以印度和臺灣的災情最嚴重。

【2月15日】臺灣總統大選前夕出現大規模網路攻擊，目的疑為找出能抹黑特定候選人的資料

駭客意圖藉由網路攻擊來操縱國家重要選舉的情況，可說是越來越常見，而這樣的情況，也出現在臺灣上個月舉行的總統與立委大選。

根據資安業者Trellix的觀察，他們發現中國駭客在選舉的前一天，企圖透過網路攻擊找出能用於抹黑的資料，研究人員認為駭客選擇此時間點的原因在於，一旦找到相關的資訊大肆散布，候選人將沒有足夠時間進行澄清，而有機會左右選舉的結果。

【2月16日】金融木馬GoldPickaxe鎖定泰國安卓與iOS用戶而來，收集臉部辨識資料企圖洗劫存款

民眾透過手機操作網路銀行的情況在全球各地可說是相當普遍，針對手機而來的金融木馬攻擊，在最近2到3年有越來越頻繁的現象，但過往這類惡意程式幾乎都是針對安卓手機而來，如今也出現同時攻擊iPhone用戶的金融木馬程式。

本週資安業者Group-IB揭露的金融木馬GoldPickaxe，就是典型的例子。特別之處在於，駭客濫用的管道是蘋果專供開發人員發布測試版應用程式的平臺TestFlight，對這類手機用戶發動攻擊。

【2月17日】近1個月Ivanti公布的Connect Secure漏洞皆出現攻擊行動，但仍有超過1.3萬臺設備尚未修補

這1個月以來，Ivanti公布了5個Connect Secure漏洞，其中有3個在該公司發出公告之前就被用於攻擊行動，也因此這些漏洞後續的情況，引起不少研究人員高度關注。

這些漏洞導致IT人員須持續追蹤公告、安排套用緩解措施及部署更新的行程，疲於奔命。話雖如此，研究人員發現，可透過網際網路存取的Ivanti系統，仍有超過半數未修補。