【資安週報】2024年2月26日到3月1日

告別2月，迎接3月，我們要提醒大家注意的資安消息，包括兆勤、Canon、思科的漏洞修補消息，以及開源軟體存在Wi-Fi身分驗證繞過漏洞的相關修補，需要企業著手因應之外，特別的是，還有兩個與微軟有關的漏洞利用，這些問題都必須重視，請用戶及早修補或實施緩解機制。
（一）微軟在2月修補的漏洞CVE-2024-21338，通報此漏洞的資安業者Avast最近指出，發現修補前已有北韓駭客組織Lazarus利用，以關閉特定的防護處理程序、迴避偵測。由於上述狀況的發生，也表示此弱點已導致零時差漏洞攻擊。
（二）去年6月微軟修補微軟Streaming Service相關漏洞CVE-2023-29360，這是存在於驅動程式mskssrv.sys的權限提升漏洞，近日發現鎖定利用的情形。這段時間的iThome資安日報尚未提及，在此補上。
另外，前幾期週報我們已提醒的Ivanti Connect Secure漏洞，以及ScreenConnect漏洞，如今傳出中國駭客與多個駭客團體正鎖定攻擊的情形，尚未因應的企業需要趕緊行動。

在資安事件方面，國內有3項消息受到矚目，都與上市公司有關，包括：
●2月26日，上市綠能環保、PCB廢液處理業者昶昕公告，部份資訊系統遭受駭客網路攻擊事件。
●2月29日，中華電信因媒體報導有人在暗網兜售該公司的內部資料，發布重大訊息，表明資安團隊查知疑似資料外流的情況，正展開調查。
●2月27日，散熱風扇廠商建準在一星期前已公告發生網路資安事件，但這天再次發布新的重訊，說明該事件的後續處理情形。

在資安威脅焦點方面，上星期發生的兩起重大事件，都有後續消息傳出。例如，才被11個國家執法單位圍剿的勒索軟體駭客組織LockBit，已傳出重起爐灶的消息；關於中國資安業者「安洵信息」的資料外洩，曝露該國政府對全球20國發動網路間諜行動的情況，後續有更多與臺灣資安現況有關的內容被分析出來，像是國外研究人員指出，當中蒐集了臺灣道路地圖檔案的情資，已竊取495 GB的相關檔案，臺灣資安業者TeamT5亦指出，當中透露該公司與中國政府打交道的情形，產品細節與財務，以及上報RAT木馬程式ShadowPad開發的細節，顯示這批資料的可信度相當高。

其他最新威脅態勢的揭露上，我們注意到5個值得留意的狀況，其中有3則是多國網路安全機構的示警：
●AI開發者與用戶要當心！近日有兩起資安新聞，一是機器學習模型共享平臺Hugging Face出現100個惡意模型，不慎下載恐將被安裝後門程式，另一是AI影片編輯平臺Cutout.Pro傳出資料外洩，2千萬名會員個資流入駭客論壇。
●電信業者注意！有研究人員揭露駭客近期使用的後門程式Gtpdoor，主要針對鄰近GPRS交換網路（GRX）的電信網路環境入侵，並將攻擊流量混入合法流量，隱匿攻擊行動。
●德國BfV、韓國NIS提出警告，北韓駭客針對全球國防單位從事網路間諜行動，這份警告也揭露當中存在供應鏈攻擊的狀況：對方入侵維護廠商竊取SSH帳密，從而存取海事及航運研究中心的Linux網頁伺服器主機。
●10國執法機關聯手針對俄羅斯駭客組織APT28的攻擊行動提出警告，指出攻擊者正鎖定Ubiquiti路由器入侵，並濫用EdgeRouter迴避偵測、建置殭屍網路，以隱匿攻擊行動。
●美國CISA與英國NCSC示警，俄羅斯駭客組織APT29（亦稱Midnight Blizzard）是俄羅斯情報部門SVR的一部分，近期經常針對服務帳戶使用密碼噴灑攻擊，以取得對雲端環境的初始存取權限。本週刊出的資安日報尚未提及，在此補上。

還有一個威脅態勢，我們認為也相當值得企業警惕，是棄用的子網域名稱遭濫用，有攻擊者正進行這方面的大規模網路掃描，以奪取控制權，進而盜用企業身分發動網路釣魚攻擊。近期已有MSN、VMware、eBay等多家企業的網域遭利用，這也突顯即使大型知名企業，仍可能在這方面產生疏忽。

至於防禦態勢上，最大焦點就是美國NIST正式發布了網路安全框架CSF 2.0，新版不僅加入治理功能，還有一系列的資源與工具，讓企業更容易去實踐。例如，在5種快速入門指南中，有小型企業（SMB）適用的快速入門指南，在CPRT工具中則針對各項子類別，提供了易於理解的實踐範例。

【2月26日】勒索軟體駭客組織LockBit在執法單位控制基礎設施不到一週就捲土重來

執法單位針對勒索軟體駭客組織LockBit出手，成功接管34臺LockBit伺服器，凍結逾200個加密貨幣帳戶，逮捕2名嫌犯，隨後日本警方也在No More Ransom網站提供LockBit 3.0解密工具。但這群駭客也不是省油的燈，不到一週的時間，他們重新架設網站，並聲稱已有組織受害。

在此期間，已經有駭客利用遠端桌面連線軟體ScreenConnect的重大漏洞，對醫療機構散布LockBit用來加密檔案，但當時研究人員推測，可能是未被取締的附屬組織所為。

【2月27日】知名組織棄置的網域與子網域淪為掩護惡意郵件攻擊的新興工具

駭客註冊特定名稱的網域並用於攻擊行動很常見，而且，過往這類手法最常見的做法，便是註冊與目標組織名稱類似的網域，企圖混淆使用者來達到目的，但最近，研究人員發現使用新型態手法的攻擊行動，駭客能夠繞過垃圾郵件過濾器或是郵件安全閘道的防護。

特別的是，這次駭客是尋找知名企業組織棄用許久的網域名稱，並重新註冊納為己有，然後用這些網域、子網域來大量發送惡意郵件。

【2月29日】Hugging Face平臺上面出現惡意模型！能在用戶電腦部署後門程式

最近2到3年，駭客偏好散布惡意程式的新興管道，其中之一就是針對開發人員使用的開源套件儲存庫NPM、PyPI而來，藉由在此發行有問題的套件，進而在安裝、使用這些套件的電腦散布惡意程式，但隨著生成式AI技術的崛起，類似的情況也出現在共享機器學習模型的平臺。

在譽為AI界GitHub之稱的Hugging Face平臺，研究人員發現裡面存在惡意的機器學習模型，值得留意的是，儘管該公司已採取多項檢測措施來掃描機器學習模型的檔案是否有害，然而，這些模型居然可以繞過這些機制而能成功上架，因此平臺端和使用者端都要提高警覺。

【3月1日】惡意程式Gtpdoor埋伏於電信網路環境從事網路間諜攻擊

電信業者遭到駭客組織鎖定，長期埋伏於電信網路環境的情況，最近幾年陸續有研究人員公布相關的攻擊行動，如今又有新的發現。

研究人員發現新的後門程式Gtpdoor，與過往發現的作案工具有所不同的是，駭客組織LightBasin疑似直接使用GPRS隧道通訊協定（GTP）來隱匿流量內容，並將其混入合法流量，而使得電信業者難以偵測該組織從事的網路間諜行動。