【資安月報】2022年9月

最近一個多月來，我們看到許多入侵事件都與駭客突破雙因素驗證防護有關，包括：駭客使用語音網釣，使用簡訊網釣手法的社交工程手法，竊取到多因素驗證MFA的簡訊OTP驗證碼，像是Twilio的資安事件，甚至是不斷嘗試觸發MFA通知的這種轟炸手法，讓員工不小心去同意，像是Uber遭駭的事件，都一再突顯駭客持續不斷使用各種社交工程手法，來作為穿透企業防護的起點，以及多因素驗證須採更安全的強式驗證（Strong Authentication）、實體安全金鑰的重要性。當然，Uber事件也顯示更多議題，包括駭客幾乎取得最高權限管理者身分而接管整個企業的重要系統。

對於勒索軟體的橫行，早已是許多企業都重視的威脅，而在今年我們在9月公布的2022年iThome CIO資安大調查的可能遭遇資安風險結果中，也顯現出持續居高不下的趨勢，不論是在過去一年與未來一來最容易遭遇的資安風險調查項目中，持續有近5成企業CIO與高階資安主管這麼認為，不僅顯示比例沒有下降的趨勢，同時，其排名是逐年上升一名，今年甚至居於第一，超過社交工程與駭客所帶來的風險。

事實上，從國際消息來看，今年來，勒索軟體攻擊事件是不斷發生，也持續有事件被揭露，國內雖然沒有大型事件曝光於外界，但其實仍然是一直都有攻擊事件發生。

例如，在9月初，我們就注意到光學器材製造業、運動成衣製造商、磁磚業者、IT服務業者等國內公司，出現於LockBit 3.0在暗網上所公布的受害者名單上，並揚言不付贖金會將竊取得的資料公開，月底也又有科技廠商列於名單之上。

若以過去經驗來看，我們曾詢問過被揭露在名單上的工程業者，他們表示的確有勒索加密攻擊，但範圍不嚴重，並有備份與復原機制，對營運沒有造成很大的影響，因此沒有對外公告資安事件。但是否有些企業災情嚴重，或是有機敏資料沒有妥善加密保護被竊取，並不得而知。

而在9月底、10月初，我們又獲知國內陸續有建築設計公司的設計圖檔遭勒索軟體惡意加密。還有被其他勒索軟體組織再勒索的情形，導致受害企業需再次面對的無奈情況，無論如何，很多事件雖然沒有一一曝光，勒索軟體對國內企業的危害仍然持續，受害苦主是持續增加。

【資安週報】2022年8月29日到9月2日

近來國內有不少DDoS攻擊的消息，先前有幾家銀行業遭遇，幸因清洗流量加大並未導致網頁癱瘓，近期國內第三方支付藍新金流也因DDoS攻擊發生資安事故，在8月中下旬發生數次金流平臺服務不穩定或服務中斷情形受關注。

在漏洞修補方面，近期Atlassian修補了Bitbucket伺服器與資料中心的一項RCE重大漏洞，其CVE風險評分達9.9分，WordPress在8月30日亦修補一項高風險的SQL注入漏洞。此外，研究人員揭露Linux核心漏洞DirtyCred細節，其中CVE-2021-4154的漏洞，Debian、Ubuntu與Red Hat在今年3月修補，CVE-2022-2588漏洞在8月上半已經釋出修補新版。另外要注意的是，本周美國CISA在8月25日將10個已知漏洞，列入已遭成功利用的高風險漏洞（Known Exploited Vulnerabilities）名單，提醒組織應優先處理，當中有一個關於台達電子DOPSoft 2軟體的漏洞CVE-2021-38406，由於該產品生命週期結束，由於已有攻擊行動，因此呼籲工控系統用戶盡速移除。

在國際資安態勢上，近來位於南歐的蒙特內哥羅，其關鍵CI與政府系統疑遭俄羅斯駭客團體攻擊，以及南美智利政府機關疑遭遇RedAlert或Conti勒索軟體攻擊，都發生政府機關服務中斷的情況。Twilio資安事件有後續消息，該公司確定有163個客戶受到影響，而針對駭客竊取MFA之簡訊OTP驗證碼的活動，資安業者Group-IB與雲端身分驗證Okta也公布其掌握到的相關消息。

【資安週報】2022年9月5日到9月9日

在本週資安新聞中，勒索軟體DeadBolt再度鎖定攻擊威聯通NAS攻擊，該勒索軟體在今年1月就曾鎖定威聯通、華芸NAS設備攻擊，這次則利用相片管理套件Photo Station的漏洞入侵；去年出現的Mirai變種殭屍網路MooBot，資安業者Palo Alto Network表示，最近該殭屍網路病毒鎖定D-Link路由器攻擊，除了利用兩個早年修補的已知漏洞，還包括今年的CVE-2022-26258、CVE-2022-28958這兩個RCE漏洞入侵，對於相關漏洞修補，用戶需密切注意。此外，CVE-2022-3075零時差漏洞影響所有基於Chromium的瀏覽器，Google近期釋出修補並說明已有攻擊行動，用戶需儘速檢查是否更新。另外，資安業者趨勢科技指出，關於臺灣防疫補助有關的詐騙攻擊在8月呈現大幅增加的情形，比上半年問題嚴重受關注。

在威脅態勢上，網釣攻擊套件服務的變化受關注。在2019年，我們即看到有資安業者指出網釣即服務（Phishing-as-a-Service，PaaS）及網釣套件的盛行，讓業餘駭客也能以低成本取得可閃避安全偵測能力的網釣套件，並有8成7套件包含至少一項規避偵測的技術，近日又有資安業者揭露此類消息，揭露一個駭客組織打造、名為EvilProxy的網釣套件租用服務，當中不僅可針對攻擊蘋果、微軟、Google、臉書、推特等服務的帳號發動攻擊，還可對開發者常用的GitHub、PyPI、NPM帳號攻擊，此外，上月微軟曾揭露可繞過多因素認證的大規模網釣活動，在這個EvilProxy服務也提供類似的能力，可將釣魚網站以代理伺服器方式設在用戶連線至目標網站之間，竊取使用者的憑證與期間Cookie，得以規避雙因素驗證並劫持受害者帳號。

抖音、微信資料庫在9月5日傳出遭駭，疑似外洩資料被人放到某駭客論壇，後續業者是否認此消息，也有不少專家給出意見，究竟情況如何受國際關注。

【資安週報】2022年9月12日到9月16日

本周最受關注的資安新聞，包括勒索軟體DeadBolt攻擊活動，最近危害加劇，近期受害設備最多是美國、德國與義大利，而臺灣數量為第4多；鎖定PyPI套件開發者的網釣攻擊，最近又傳出這樣的消息；近一年來許多勒索軟體在技術手法上，採部分加密、間歇式加密的情形增加，有資安業者分析此現象並認為可能會有更多勒索軟體仿效。此外，月前思科公布5月遭遇駭侵事件，當時勒索軟體駭客組織閰羅王（Yanluowang）聲稱是他們所為，如今思科確認該組織最近洩漏的資料，是當時從公司網路所竊取。

在漏洞修補上，微軟本月修補63個漏洞，並特別提醒有三個漏洞最值得留意，首先是CVE-2022-37969漏洞，已有攻擊行動鎖定這個零時差漏洞，此前亦有多家資安業者通報微軟，另兩個一是涉及TCP/IP的CVE-2022-34718漏洞，一是涉及IKE的CVE-2022-34721漏洞，特別的是，我們注意到，微軟本月修補的這68個漏洞，其平均CVSS風險評分，高達7.76分，是至少近3年來所未見的高平均分，而近13個月的平均分為7.19。

另外，有兩個WordPress外掛程式，存在零時差漏洞並且都已有攻擊行動，其中WPGateway的零時差漏洞CVE-2022-3180，先前開發者尚未修補，用戶需注意開發者的修補動向及暫時停用，而BackupBuddy的漏洞CVE-2022-31474已獲得修補，用戶須盡速更新。6月揭露的Mitel MiVoice網路電話系統重大漏洞CVE-2022-29499，最近又一起利用事件。

在國內方面，近期有兩大議題受關注，分別是半導體產線資安標準有了新進展，以及營業秘密保護方面，經濟部智慧財產局發布《營業秘密保護實務教戰手冊3.0》，甚至台積電也將營業秘密註冊制度與系統擴大推廣到更多供應夥伴。

【資安週報】2022年9月19日到9月23日

本周資安新聞中，Uber傳出遭駭事件已證實，駭客於竊得承包商員工帳密後，並在多次嘗試登入之下，導致不斷收到多因素認證通知的員工最終允許；勒索軟體駭客BlackCat近日攻擊手法有新變化，會利用Eamfo惡意程式竊取企業Veeam備份資料中的帳密。

在漏洞消息方面，最受關注的是，Python程式語言的Tarfile模組中，依然存在15年前的CVE-2007-4559漏洞，尚未修補，初估有35萬個專案曝險，揭露的資安業者Trellix已提供相關檢測工具Creosote。

還有一些資安威脅的趨勢演變值得關注，包括出現長達4個小時的DDoS攻擊，以及Domain Shadowing攻擊的一種DNS劫持攻擊手法，外界普遍難以偵測並開始氾濫。此外，傳出勒索軟體LockBit製作工具流出的消息，若被其他駭客利用，將對防守者帶來更多威脅。

在資安推動上，在國內，本周臺灣資安大會2022於南港展覽館登場，不僅是總統蔡英文連續四年蒞臨，副總統賴清德也首度光臨巡視臺灣資安館及重要臺灣廠商， 8月出任數位發展部部長的唐鳳亦是連兩日參與。

【資安週報】2022年9月26日到9月30日

從9月底最後一周的資安新聞來看，中國駭客APT41、TA413的攻擊行動相當值得留意，其中前者運用了具備多種檔案格式特徵的CHM檔案來發動攻擊，而使得將其透過不同的應用程式開啟，會出現完全不同的執行結果。

關於企業遭到入侵的事故，在這一周期間，澳洲大型電信業者Optus遭到攻擊，不過，事隔兩天，駭客聲稱因執法單位的壓力，刪除竊得的資料；Uber指控資料外洩的攻擊者是駭客組織Lapsus$，但現在有資安研究人員認為，英國警方逮捕的一名17歲青少年才是主謀。

本周駭客作案工具遭到外流的情況，也有越來越頻繁的現象！日前流出的勒索軟體LockBit 3.0產生器，如今有駭客將其製作名為Bl00dy的勒索軟體；再者，另一個引起研究人員關注，認為駭客很有可能拿來取代Cobalt Strike的滲透測試工具Brute Ratel C4（BRC4），現在傳出遭到破解且大肆在網路犯罪圈散布的情況。

在重大漏洞部分，Exchange Server這一周再度傳出零時差漏洞，並出現攻擊行動，微軟雖然提出了緩解措施，但尚未提供修補程式。

2022年8月資安月報

2022年7月資安月報

2022年6月資安月報

2022年5月資安月報

2022年4月資安月報