【資安日報】2022年10月7日，利用電信公司Optus外洩資料進行簡訊詐騙的青年遭到逮捕、Uber前資安長掩飾被駭事件罪名成立

澳洲大型電信業者Optus資料外洩引起關注，但在此同時，有人竟動起歪腦筋，想要利用流出的資料來恐嚇取財。澳洲警方最近逮捕一名青年，原因就是他利用駭客公布的資料進行簡訊詐騙攻擊。這種青少年參與網路犯罪的情況越來越頻繁，相當值得家人留意。

負責企業網路安全的資安長，竟想要私下付錢給駭客了事！Uber前資安長Joe Sullivan於2016年的資安事故知情不報，近日判決罪名成立。美國司法部指控，他隱匿事故使得另一家公司也遇害。

思科針對旗下的協作系統Expressway、視訊會議系統TelePresence，修補兩個高風險漏洞，並呼籲用戶安裝更新程式。

【攻擊與威脅】

澳洲警方逮捕利用Optus外洩資料進行簡訊詐騙的19歲青年

澳洲聯邦警察（AFP）逮捕居住於雪梨的19歲青年，原因是該人涉嫌利用電信業者Optus外洩的個資，向受害人發送簡訊進行勒索，恐嚇必須將2千美元匯入指定帳號，若不從個資將被用於各式詐騙。

APF指出，該名青年的資料來源，就是自稱optusdata的人士於駭客論壇公布的10,200筆樣本資料，他們在青年家裡找到犯案用的手機，這部手機約向93名Optus用戶發送簡訊，不過目前似乎沒有人轉帳給他。這名青年涉及意圖利用電信網路犯罪及濫用身分資訊，最高可處10年及7年徒刑。

隱匿公司被駭還和歹徒私下協商，Uber前資安長罪名成立

Uber首任資安長Joe Sullivan因2016年前試圖隱瞞公司被駭，還和駭客協議以免事件曝光，在2020年遭到起訴，近日美國聯邦陪審團判決出爐，此人阻撓聯邦交易委員會（FTC）調查及知情不報兩項罪名成立。這也是第一宗公司高層因被駭面臨刑事責任的案件。

根據調查指出，2016年Uber遭駭，駭客於同年11月找上Joe Sullivan，要求支付10萬美元換取駭客刪除竊得資料，但Joe Sullivan不僅沒有向FTC通報，也並未通知Uber用戶，還要求屬下對外宣稱絕無此事，並付款給駭客及簽定保密協議。此事直到Uber新任管理團隊2017年11月接手後才曝光。

美國司法部認為，駭客因Joe Sullivan隱瞞，得以成功入侵另一家公司Lynda.com（現為LinkedIn Learning）。

美國公布中國駭客最常利用的20大漏洞，Log4Shell一舉超越各式應用系統重大漏洞

針對中國政府資助的駭客經常用於攻擊行動的漏洞，美國國安局（NSA）、網路安全及基礎設施安全局（CISA）、聯邦調查局（FBI）公布他們自2020年至今的統計結果，其中最常被利用的漏洞是Log4Shell（CVE-2021-44228），其次是2019年公布的Pulse Secure VPN漏洞CVE-2019-11510。

值得留意的是，這些漏洞有17個CVSS風險評分為9.8分以上的重大漏洞，且超過半數可被用於RCE攻擊。而根據漏洞被公布的時間，大部分是在2021年揭露，但前述的SSL VPN漏洞，以及Citrix ADC漏洞CVE-2019-19781，已經公布超過2年，迄今仍屢遭駭客濫用，顯示有許多組織尚未修補。

Atlassian旗下CI/CD解決方案的重大漏洞已出現攻擊行動

美國網路安全暨基礎設施安全局（CISA）於9月30日，將Atlassian旗下的CI/CD系統Bitbucket漏洞CVE-2022-36804，列入已被用於攻擊的漏洞清單，並要求聯邦政府必須在10月21日完成修補。此漏洞為CVSS風險評分達9.9分的重大漏洞，為命令注入臭蟲，影響6.10.17版以上的版本，Atlassian於8月底發布新版軟體予以修補。在美國政府公告之前，資安保險業者Coalition在9月20日，偵測到掃描該漏洞的攻擊行動。

英國保險交易所勞合社疑遭到網路攻擊

根據路透社的報導，位於英國倫敦的法人團體──保險交易所勞合社（Lloyd's of London）疑似遭到網路攻擊，並著手進行調查。該組織發言人表示，他們已經通知相關人士與組織。而該組織遭到攻擊的原因，很可能與之前表態支持對俄羅斯實施制裁有關。

惡意軟體Bumblebee會依據受害電腦所屬網路環境，下載不同的作案工具

資安業者Check Point指出，惡意軟體Bumblebee會根據受害電腦是否加入網域，而影響其後續執行的工作。研究人員指出，假如受害電腦看起來加入了網域，那麼Bumblebee將會收到命令，下載後期利用工具（如滲透測試工具Cobalt Strike）或Shell Code，然後以注入的方式執行；但如果是沒有加入網域的電腦，Bumblebee將會部署竊密軟體或金融木馬，並執行自我刪除。針對上述的發現，企業應採取相關的端點防護措施。

【漏洞與修補】

思科修補網路通訊系統的嚴重漏洞

思科針對旗下的協作系統Expressway、視訊會議系統TelePresence發布資安通告，指出Expressway系列軟體與TelePresence視訊通訊伺服器，當中的API及網頁管理介面存在漏洞CVE-2022-20814、CVE-2022-20853，可被攻擊者繞過身分驗證，或是進行跨網站請求偽造（CSRF）攻擊，兩個漏洞的CVSS風險評分皆為7.4分。由於沒有其他的緩解措施，該公司呼籲用戶要儘速部署更新軟體。

【其他資安新聞】

【臺灣資安快訊】國內接連有建築設計公司遭遇勒索軟體攻擊，相同產業公司最近需格外注意

2022臺灣資安大會特別報導：企業篇

研究人員公布能繞過Gatekeeper的macOS漏洞CVE-2022-32910細節

微軟簡報展示服務Sway遭到濫用，駭客將其用於網釣與惡意軟體攻擊

美國Family Medical Center遭駭，23萬病人資料恐遭到外流

近期資安日報

【2022年10月6日】  新的ProxyNotShell緩解措施可被繞過、研究人員發現Akamai組態錯誤配置漏洞

【2022年10月5日】  電玩業者暴雪娛樂遭大規模DDoS攻擊、駭客透過YouTube頻道向中國用戶散布惡意Tor瀏覽器安裝程式

【2022年10月4日】  微軟針對Exchange零時差漏洞提出的緩解措施可被輕易繞過、美國防承包商遭勒索軟體BlackCat攻擊