【資安週報】2022年11月14日到11月18日

本週加密貨幣交易所FTX宣告破產後傳出遭駭客攻擊的消息，超過5億美元加密貨幣被盜取，甚至傳出FTX社群管理員警告移除FTX App的消息，成為國際矚目焦點。

在國內，本週傳出有上市公司遭駭客網路攻擊的消息，業者已經發布資安事件重大訊息，說明部份資訊系統受影響，儘管事故細節未有太多揭露，但我們認為可能是勒索軟體攻擊導致。

在漏洞消息方面，最受關注的是，微軟在17日發布例外更新，緊急修補Windows關於Kerberos登入問題，以及F5發布產品安全公告修補旗下BIG-IP、BIG-IQ系統重大漏洞的消息。其他值得注意的包括，開發人員入口網站平臺Backstage的重大漏洞SandBreak的修補，網頁伺服器軟體OpenLiteSpeed修補重大漏洞的修補，以及Android手機可繞過解鎖畫面漏洞的修補。

還有一些威脅趨勢值得留意，例如，賽門鐵克指出中國駭客組織持續鎖定亞洲多個國家政府與國防單位攻擊，並會攻擊憑證認證機構（CA），進而運用具合法簽章的惡意軟體來規避偵測；有資安業者指出，AWS提供公開的RDS快照功能，可能成為駭客組織覬覦的目標受關注，提醒企業注意；威脅情報業者Cyjax指出駭客組織Fangxiao發動大規模的網釣攻擊行動，主要鎖定中國以外市場攻擊，將使用者導向4.2萬個惡意與釣魚網站。另外，還有惡意軟體載入器BatLoader攻擊行動升溫，關於PCspooF漏洞的漏洞研究。

【11月14日】加密貨幣交易所FTX疑遭駭客攻擊、美國警告醫療照護機構遭到勒索軟體Venus鎖定

加密貨幣交易所FTX宣告破產的效應如雪球般越滾越大，但雪上加霜的是，該交易所傳出可能因遭到駭客攻擊，導致5億美元的加密貨幣被轉走，此起事故發生的原因有待後續調查。

於8月中旬出現的勒索軟體Venus，駭客專門透過遠端桌面連線（RDP）入侵受害電腦，如今該勒索軟體的攻擊行動已引起政府的關注。美國提出警告，此勒索軟體鎖定當地醫療機構而來，且已出現受害單位。

又是連鎖零售業者遭到勒索軟體攻擊的事故！加拿大食品零售業者Sobeys傳出遭到勒索軟體Black Basta攻擊，波及部分服務，但因為POS機臺與支付系統採用專屬網路而倖免於難，使得多數門市仍能營業。

【11月15日】中國駭客鎖定維吾爾人等少數民族發動攻擊、大規模網釣活動濫用逾400個品牌

中國駭客鎖定該國少數民族進行監控的情況，已有數起攻擊行動傳出，但多數是針對iOS零時差漏洞而來。而最近有資安業者發現針對維吾爾族人的攻擊行動，駭客主要針對安卓手機植入惡意軟體。

透過即時通訊軟體散布惡意網址的網釣攻擊行動時有所聞，最近有一起攻擊行動比較特別的地方，是針對中國以外的地區而來。

手機的解鎖畫面竟出現可被繞過的漏洞！Google本月修補了CVE-2022-20465，這是在攻擊者能實際接觸手機的情況下，能繞過鎖定畫面存取手機的漏洞，該公司對研究人員發出7萬美元的高額獎勵。

【11月16日】亞洲政府機關與憑證機構遭中國駭客Billbug鎖定、開發人員入口網站平臺Backstage出現重大漏洞

中國駭客組織發動攻擊的情況屢見不鮮，資安業者揭露駭客組織Billbug的行動，當中值得留意的是，已經有憑證認證機構（CA）受害，而可能讓該機構的簽章工具用於簽署惡意軟體。

多家企業與IT廠商採用的開發人員入口網站平臺Backstage出現了重大漏洞SandBreak，該漏洞源於此系統採用的VM2沙箱，而可能讓攻擊者存取開發團隊擁有的各式開發系統。

推特被馬斯克（Elon Musk）買下後引發用戶出走潮，不少人選擇改用去中心化社群網站Mastodon，但有研究人員發現該社群網站出現可竊取使用者密碼的漏洞，使得Mastodon用戶可能曝險。

【11月17日】公有雲業者AWS關聯式資料庫服務的快照暴露在外、惡意軟體載入器BatLoader攻擊行動升溫

雲端關聯式資料庫服務提供的快照功能，有可能會洩露用戶存放的資料！有研究人員發現數百個AWS關聯式資料庫的快照曝露在外，而使得其內容有可能成為駭客濫用的目標。研究人員指出，有些快照甚至曝露了超過一個月。

惡意軟體載入器被用於發動攻擊的情況屢見不鮮，最近有名為BatLoader惡意軟體載入器攻擊行動，值得留意的是，駭客也運用了寄生攻擊（LoL）手法，來避免資安系統的偵測。

黑色星期五購物季即將到來，有資安業者針對Magento電子商務平臺的用戶提出警告，駭客鎖定今年2月被修補的漏洞發動攻擊，然而，有近4成以Magento 2架設的電子商務網站並未套用修補程式而曝險。

【11月18日】勒索軟體ARCrypter攻擊範圍從拉丁美洲擴及全球、北美線上購物者遭到網釣駭客鎖定

智利政府與哥倫比亞研究所日前傳出遭到未知的勒索軟體攻擊，有資安研究人員表示，這兩起事故的攻擊者很可能相同，並表示雖然上述事件都發生在拉丁美洲，但駭客現在已開始攻擊其他國家的組織。

隨著一年一度的大型購物季即將到來，除了有人鎖定電子商務平臺Magento的漏洞而來，也有針對購物者竊密的駭客組織。值得留意的是，這些駭客運用了相當特殊的URL混淆手法，而能逃過資安系統的攔截。

F5針對旗下BIG-IP、BIG-IQ系統修補兩個重大漏洞CVE-2022-41622、CVE-2022-41800，這些漏洞一旦被成功利用，就有可能發動RCE攻擊。