【資安週報】2024年2月19日到2月23日

這星期釋出的安全性漏洞消息，以ConnectWise在19日修補遠端桌面軟體ScreenConnect的漏洞CVE-2024-1709，最受關注，因為在公告的隔日，就發現有駭客開始鎖定利用，該業者也在20日示警、公布入侵威脅指標（IoC），並在21日針對已結束維護支援服務的用戶內部環境建置版本，提供最新升級。

在資安威脅焦點方面，最大消息就是勒索軟體LockBit組織的伺服器被攻破。在英、美等10國家聯合發起的打擊行動之下，已接管其技術基礎設施與資料外洩網站，並凍結相關加密貨幣帳戶，美方也拘留兩名利用LockBit服務的聯盟夥伴，並公布新起訴兩名發動攻擊的俄羅斯人。

由於全球已有上千家企業組織遭受LockBit的危害，因此這次國際查緝行動具有相當大的意義。我們也注意到，在此次行動成果公布後，在打擊勒索軟體網路犯罪的No More Ransom計畫網站，已釋出由日本警方打造的相關解密工具。

還有前陣子農曆過年期間，有南韓研究人員發表破解勒索軟體Rhysida的論文，如今在No More Ransom平臺上，也有資安業者Avast釋出的相關解密工具。

另一件大消息，是中國資安業者「安洵信息」傳出資料外洩，意外曝露該國政府對全球各國發動網路間諜行動的情況，引發國際關注。研究人員指出，這些資料很有可能來自該公司專門研發間諜軟體的部門。根據外洩資料的內容顯示，該公司替客戶（中國政府）滲透印度、泰國、越南、韓國、臺灣、馬來西亞、北約組織的政府機關，曾開發攻擊工具RAT木馬程式Hector，以及外觀與行動電源相似的「Wi-Fi 抵近攻擊系統」，同時也經營DDoS攻擊業務，還有APT攻擊與間諜行動業務。日後是否有更進一步的研究分析，值得持續追蹤。

關於最新威脅態勢的揭露上，我們注意到4個值得留意的技術手法與狀況：

●資安業者揭露網釣簡訊攻擊背後的新手法Smishing，他們發現濫用AWS SNS簡訊服務的惡意Python腳本，並指出這是雲端攻擊工具中前所未見的技術。

●駭客不斷挖掘出Ivanti Connect Secure的零時差漏洞並成功利用，因此有研究人員針對這樣的狀況進行分析，發現其系統採用許多老舊、已終止支援的元件。

●關於網路犯罪組織在臉書投放詐騙廣告，資安業者揭露使用竊資軟體VietCredCare的攻擊者，正鎖定大量越南企業臉書帳號，並在接管帳號後用以實施臉書詐騙。

●網路拓樸架構呈現工具SSH-Snake被駭客濫用於攻擊行動，資安業者指出，這是竊取SSH金鑰的新手法，該工具還具有主動修改和無檔案的特性，若採用靜態偵測的作法，會不容易找到。

還有多個惡意威脅的最新動向，源自不同資安業者的揭露，包括勒索軟體RansomHouse組織使用新的自動化工具MrAgent，來鎖定虛擬化平臺VMware ESXi平臺，以及惡意程式TicTacToe Dropper，殭屍網路病毒Glupteba，還有商業間諜公司掌握「多媒體簡訊指紋（MMS Fingerprint）」技術的細節。

最後值得一提的是，國內再傳上市櫃公司遭遇資安事件，已是今年第7起上市櫃公司因資安事件發布重大訊息。以散熱風扇聞名的上市大廠建準，19日公告當天凌晨遭遇加密攻擊。該公司表示，已確認公司資料沒有外流，資訊系統當日可修復。

【2月19日】Ivanti Connect Secure採用極為老舊的Linux核心及元件而存在數千個漏洞

最近Ivanti頻繁對於Connect Secure漏洞發布資安公告，並指出部分漏洞已確認被用於攻擊行動，使得這套SSL VPN系統的安全問題再度浮上檯面，然而有研究人員發現，這套系統採用大量早就已經終止支援的元件，而曝露於許多已知漏洞的資安風險。

這也突顯Ivanti在2020年買下Pulse Secure公司之後，歷經多次資安漏洞相關事故與爭端之後，此系統竟然被發現至今仍延用老舊架構，並未逐步汰換、更新元件，而使得攻擊者有機會藉由已知漏洞上下其手。

【2月20日】勒索軟體駭客組織LockBit的基礎設施傳出遭到執法單位圍剿

自2019年出現的勒索軟體LockBit在全球橫行，是最近2至3年最具威脅的勒索軟體。根據美國政府的統計，自2020年該勒索軟體駭客組織已發起超過1,700次攻擊，以美國而言，他們向受害組織總共索討了9,100萬美元的不法所得。這些駭客甚至還設立漏洞懸賞專案，尋求各界尋找該勒索軟體的漏洞，囂張的程度可見一斑。

如此猖獗的態勢，也引起多個國家的執法單位採取行動。最近有許多在追蹤該勒索軟體動態的研究人員發現，執法單位已拿下該組織暗網的網站，這些駭客也對他們的附屬組織證實遭遇「資安事件」。

【2月21日】中國資安業者驚傳資料外洩，意外曝露中國政府對全球各國從事網路間諜行動的情況

中國政府資助的駭客佯裝成資安公司，在全球從事網路間諜活動，過往通常是藉由研究人員找到的蛛絲馬跡，才能揭露駭客暗中從事多年的行為，但最近有一批文件的曝光，間接反映了這樣的情形，而引起資安圈的高度討論。

根據一位臺灣資安研究員的揭露，中國資安業者「安洵信息」發生內部資料外洩，而導致中國當局網路間諜活動曝光，當中提及該公司從事網路間諜行動的經驗，並說明他們使用的作案工具，雖然資料的來源與真實性仍有待進一步確認，但根據其內容來看，他們提供了各式各樣的網路攻擊服務，很有可能聽從中國政府的指示對指定目標下手。

【2月22日】鎖定越南而來的竊資軟體VietCredCare意圖挾持企業臉書帳號，該國逾三分之二省份出現受害組織

鎖定企業臉書帳號的大規模網路攻擊行動，去年7月、8月，資安業者WithSecure、Zscaler揭露名為DuckTail的竊資軟體攻擊行動，這起事故是越南駭客特別針對數位行銷及廣告領域的人才下手，藉由職場社群網站LinkedIn尋找目標。

但類似的手法，最近又有新的發現。資安業者Group-IB發現另一起專門針對越南企業組織而來的攻擊行動，對方使用另一款竊資軟體VietCredCare，從事攻擊行動迄成約有一年半，受害組織遍及當地三分之二省份。

【2月23日】遠端桌面連線軟體ScreenConnect重大漏洞被用於散布勒索軟體LockBit

本週多國執法單位宣布接管勒索軟體LockBit的基礎設施，但這些駭客疑似隨即東山再起，利用甫公布的重大漏洞發動攻擊。

資安業者Sophos、Huntress發現，有人利用ScreenConnect的漏洞CVE-2024-1708、CVE-2024-1709發動攻擊，從而在目標組織執行勒索軟體LockBit，其中包含與911相關的系統和醫療機構，研究人員推測，這些攻擊很有可能是尚未遭到取締的LockBit附屬團體所為。