【資安週報】2024年4月8日到4月12日

在這一星期的漏洞消息方面，包含微軟、SAP、Adobe、西門子、施耐德電機等每月例行安全更新修補釋出，Rust開發團隊修補CVSS滿分10分的重大漏洞，以及LG修補智慧電視多個漏洞，而且，傳出5個漏洞已遭利用的消息。

（一）微軟修補了兩個已經遭利用的零時差漏洞，分別是涉及SmartScreen繞過的漏洞CVE-2024-29988，以及關於Proxy Driver欺騙的漏洞CVE-2024-26234。
（二）臺廠D-Link停止維護的多款NAS機型被發現多個新漏洞，其中2個已遭利用，除了本周資安日報提及的漏洞CVE-2024-3273，還有CVE-2024-3272也已經遭到利用。D-Link呼籲用戶應儘速淘汰這些設備。
（三）另一個本周資安日報尚未提及的漏洞，是Palo Alto Networks週五揭露旗下防火牆產品的零時差漏洞CVE-2024-3400，並計畫於14日釋出修補，然而，發現漏洞被利用於攻擊活動的情形最早在3月下旬。

還有兩項漏洞的揭露也值得留意，一是影響多個專案的新型態HTTP/2漏洞遭揭露，已登記9個CVE編號，另一是有研究人員發現網頁伺服器元件Lighttpd漏洞曾在2018年被默默修補，不只影響AMI MegaRAC的BMC韌體，進而影響Intel、聯想伺服器廠商。

在資安事件焦點方面，國內上市櫃接連遭遇資安事件的狀況備受矚目，等於短短一週內，就有5家公司發布資安重訊，涵蓋生技、旅遊、塑化、食品與光電等不同產業，我們整理如下：

●4月7日，上櫃生技醫療業佰研說明旗下電商「無毒的家」會員資料外洩事件。
●4月8日，上櫃觀光餐旅業富野說明旗下分公司資訊系統遭受網路攻擊。
●4月9日，上市塑膠工業聯成說明發生網路資安事件。
●4月9日，上市食品工業聯華說明發生網路資安事件。
●4月11日，上市光電業聯合再生公告有部分系統遭受駭客攻擊，導致工廠停工。

值得注意的是，聯華實業、聯成化科均屬於聯華神通集團（MiTAC-Synnex Group），而我們在今年2月也曾注意到該集團的通路大廠聯強有疑似遭駭的消息在流傳，是否有更多災情尚不得而知；富野是近兩個月第二度遭遇事件，該公司表示上次事件後已規畫資安強化作為，但需要更多時間建置，因此未能阻擋這次攻擊。關於聯合再生的後續狀況，我們在此補充，該公司隔日已對此事件發布重訊更新近況，表示在確認工廠產線設備未受影響後，已於11日當日下午復工生產。

綜觀這些事件的公告，我們認為，由於主管機關證交所對於資安事故揭露要求越來越嚴格，因此不只是資料外洩開始出現在上市櫃公司的重訊，企業對於事件後續狀況的揭露，也比過往要積極，雖然短期內會讓大家產生資安問題似乎發生得比過去密集的印象，然而，隨著企業資安威脅態勢越來越透明，這些攤在陽光底下的亂象才是真正反映現況，有助於大家正視問題！

在關注臺灣資安事件之餘，國際間也有一些重大事件，包括：日本光學設備製造商Hoya傳出遭勒索軟體駭客組織Hunters International攻擊，遭索討1,000萬美元贖金，越南石油公司PV Oil遭到勒索軟體攻擊，以及智利資料中心IxMetro Powerhost遭遇勒索軟體SEXi攻擊。

此外，全球還有多個資安威脅的最新態勢，我們特別注意到在金融業、媒體政要領域，各有一項需要慎防的威脅。

●對於金融業而言，國際信用卡組織Visa發布資安通報，說明最近一波的惡意軟體JsOutProx攻擊，並呼籲發卡銀行、處理機構及相關單位需嚴加防範；
●對於手持iPhone的記者、官員或政治人物而言，蘋果最近發現部分用戶遭到傭兵間諜軟體（Mercenary Spyware）鎖定，已通知可能遭鎖定的92國用戶，並建議依照步驟來提升裝置防護層級。

在其他惡意活動的揭露方面，我們認為可留意下列消息，例如，語音網釣威脅又一例，LastPass示警，說明該公司員工收到一連串的電話、簡訊、語音郵件，並指出對方透過WhatsApp冒充公司執行長傳送Deepfake的語音訊息；過去曾攻擊Canon、全錄、LG的勒索軟體組織Maze，最近有資安業者揭露其成員可能東山再起，以名為Red CryptoApp的勒索軟體駭客組織重新出發，再度危害企業。

【4月8日】勒索軟體駭客組織Red CryptoApp聲稱入侵超過10個企業組織引起研究人員關注

勒索軟體駭客組織更換名稱捲土重來的情況，迄今已有數起，最近有個名為Red CryptoApp的駭客團體，宣稱已攻擊超過10個企業組織。察覺該組織行動的資安業者Netenrich推測，很有可能是2020年收手的Maze成員組成。

值得留意的是，Red CryptoApp的做法較為激進，因為他們直接公布受害組織的資料，企圖藉此形成壓力讓受害組織乖乖付錢。

【4月9日】惡意軟體JsOutProx鎖定亞太地區、中東及北非而來

鎖定金融機構的惡意程式攻擊事故頻傳，一旦這些惡意軟體入侵受害者的裝置，便會試圖將他們的銀行帳戶洗劫一空，但如今，有一支名為JsOutProx的惡意程式引起國際信用卡組織注意，並對發卡銀行及相關單位提出警告。

資安業者Resecurity也公布調查結果，並指出這起攻擊行動最大的特色之一，就是對方大肆濫用程式碼儲存庫GitLab。

【4月10日】微軟在本月例行更新揭露近150個漏洞，數量創近年新高

昨天（9日）有許多廠商發布本月份的漏洞例行更新，微軟、Adobe、SAP、西門子、施耐德電機皆公布相關資安公告及修補程式，用戶應留意相關資訊，並儘速安排、部署相關更新軟體。

其中最值得留意的部分，是微軟這次公告的內容，他們總共緩解了149個漏洞，數量再創新高，一舉超越去年7月揭露與緩解132個漏洞的紀錄。

【4月11日】臉書出現提供生成式AI服務桌面軟體的詐騙粉絲頁，目的是誘使大家安裝惡意程式

散布竊資軟體的攻擊行動頻傳，其中結合時下熱門的生成式AI服務為誘餌的情況，相當值得留意。最近就有一起假借提供桌面版程式的攻擊行動，駭客透過臉書廣告來從事攻擊行動，使用者若是依照指示取得對方提供的桌面版軟體，電腦就有可能被植入竊資軟體。

特別的是，攻擊者其中一個臉書粉絲頁竟維持長達一年，累積120萬用戶追蹤，但為何此粉絲頁這麼久才被發現，研究人員並未說明。

【4月12日】蘋果一口氣對92個國家發出間諜軟體攻擊警報，要求受影響用戶應儘速採取保護措施

這兩天蘋果大動作發出警告，而受到全球關注，他們向部分疑似遭到傭兵間諜軟體（Mercenary Spyware）鎖定的用戶發出通知，提醒這些用戶應提高自己使用的裝置防護層級，並尋求專家協助及進行後續調查。

而這並非該公司首度針對間諜軟體呼籲用戶提高詧覺，去年10月，他們就曾對國家級駭客的竊密攻擊提出警告。