【資安週報】2023年1月30日到2月4日

在這一周資安新聞中，有4個漏洞消息需特別關注，因為這些漏洞都開始有攻擊者鎖定利用的情形，包括Oracle電子商務套件（E-Business Suite）於去年10月修補的CVE-2022-21587漏洞，客戶關係管理平臺SugarCRM在1月中旬修補的CVE-2023-22952漏洞，老舊漏洞也被攻擊鎖定，那就是網頁應用程式框架Telerik UI的CVE-2017-11357漏洞。另外，還有一個Zoho ManageEngine的CVE-2022-47966漏洞，也要留意盡速修補。

而以新揭露的漏洞而言，有四項消息值得留意，包括威聯通（QNAP）修補旗下NAS產品SQL注入漏洞CVE-2022-27596，DNS伺服器軟體Berkeley Internet Name Domain（BIND）新修補4個漏洞，電信網路程式庫Open5GS GTP的CVE-2023-23846漏洞，以及AMI的BMC解決方案的CVE-2022-26872、CVE-2022-40258漏洞。

在威脅態勢焦點方面，法國CERT-FR警告，有駭客積極針對VMware ESXi，利用CVE-2021-21974漏洞以及OpenSLP連接埠（427埠）入侵並部署勒索軟體；資安業者揭露Vector Stealer的竊密程式，目標是包含遠端桌面連線所需的詳細資料的RDP檔案；還有資安業者揭露有POS機臺惡意軟體Prilex的攻擊行動。

在國內方面，農曆年節期間至今，有兩大資安新聞事件成為國人的關注焦點，一是汽機車共享業者iRent資料庫曝險在公開網路長達9個月，引發民眾對於個資是否調查出證實外流、以及如何身分證明文件若外流如何自保的關注，和雲行動服務公司尚未有這方面說明，最新回應是提及將向40萬潛在影響用戶影響出補償；另一是多名永豐銀行信用卡用戶遭盜刷，疑3D Secure的OTP驗證碼經電子郵件傳送被竊取而導致，由於我們注意到12月已有其他銀行示警，其背後問題也引發金管會與整個社會的重視。

【1月30日】研究人員揭露以Python打造的RAT木馬程式、密碼管理服務Bitwarden用戶遭鎖定

有研究人員近日揭露名為Py#Ration的RAT木馬程式，此惡意軟體由Python打造。雖然此木馬程式針對Windows電腦而來，但研究人員指出，由於Python跨平臺的特性，只要稍加修改，駭客也能用於攻擊其他電腦。

物聯網（IoT）裝置採用的晶片出現漏洞，也可能成為駭客鎖定的目標。有研究人員發現，自去年8月針對Realtek Jungle SDK的RCE漏洞CVE-2021-35394攻擊行動大幅增加，超過50款連網設備可能成為目標。

繼今年1月駭客攻擊NortonLifeLock防毒軟體的密碼管理器元件，意圖盜取使用者儲存的密碼，這類密碼管理服務遭到攻擊的現象也越來越常見。最近有駭客針對密碼管理服務Bitwarden用戶下手，濫用Google廣告來挾持帳號。其他密碼管理服務的使用者也要提高警覺。

【1月31日】資料破壞軟體SwiftSlicer被用於破壞AD網域、密碼管理器KeePass漏洞恐讓攻擊者取得帳密資料

烏克蘭戰爭開打至今，俄羅斯駭客利用資料破壞軟體（Wiper）發動攻擊的情況不時傳出，而最近又有相關事故傳出。有別於過往的資料破壞軟體，新的惡意程式也摧毀Windows系統的重要檔案，甚至能夠破壞整個AD網域。

開源密碼管理軟體KeePass的漏洞CVE-2023-24055也相當引人注意，一旦駭客成功利用，將能取得明文的帳密資料，且已有概念性驗證攻擊程式流傳。不過，開發團隊認為這並非漏洞，後續發展有待觀察。

有研究人員發現臺灣共享汽機車服務iRent的客戶資料庫在網路上曝露長達9個月，但離譜的是，科技媒體TechCrunch詢問和泰汽車始終沒有得到回應，直到聯繫數位發展部，才得到TWCERT/CC已介入處理的說法。

【2月1日】中國駭客組織Dragonbridge對臺散布統戰訊息、臺灣近2千臺威聯通NAS設備尚未修補重大漏洞

中國駭客組織Dragonbridge散布特定訊息來企圖左右政治局勢的情況，日前已有資安業者揭露相關攻擊行動，但過往大多針對美國而來。近期Google揭露該組織濫用旗下服務來張貼訊息的情況，並特別提及這些駭客在去年裴洛西訪臺期間，不斷發布對臺恫嚇的資訊。

一月底威聯通修補了NAS重大漏洞CVE-2022-27596，事隔數日有資安業者提出警告，全球至少有近3萬臺設備尚未更新韌體而曝險，但值得我們注意的是，臺灣曝險的設備數量全球第3，僅次於義大利和美國。

今年農曆新年期間傳出永豐銀行信用卡遭到盜刷的情況，此事近日得到金管會證實，有34名持卡人受害、被盜刷110萬元。永豐銀行認為，很有可能是他們在刷卡過程寄送的OTP驗證碼郵件遭到攔截所致。

【2月2日】竊密軟體Vector Stealer被用於挾持遠端桌面連線、駭客透過微軟認證的藍勾勾帳號發動OAuth網釣

利用竊密軟體（Info Stealer）收集目標電腦各式帳密資料，或是洗劫使用者的加密貨幣錢包的情況不時傳出，但這類惡意程式鎖定了新的攻擊目標，駭客將其用來收集遠端桌面連線的組態資料（RDP檔案），而有機會在不需知道帳密資料的情況下存取受害電腦。

在社群網站、開發工具有許多系統提供了藍勾勾的機制，來表明這是通過驗證的名人或是開發者，但這樣的機制也被濫用於OAuth網路釣魚攻擊。資安業者Proofpoint揭露發生在12月初的網釣攻擊行動，但與過往不同的是，駭客發出請求授權的惡意雲端應用程式，其開發者竟有此種標章，而可能讓使用者降低警覺。

資安業者Eclypsium於12月公布了3個AMI MegaRAC的BMC軟體漏洞，但他們最近又再公布2個發現的漏洞，而延遲近2個月才公布的原因，是要讓AMI能有較為充分的時間完成修補。

【2月3日】駭客濫用Visual Studio的附加工具VSTO執行惡意巨集、惡意PyPI套件被用於竊取開發者電腦資料

針對駭客利用挾帶惡意VBA巨集的Office檔案發動攻擊的情況，微軟去年祭出了封鎖來自網路（MoTW）的巨集執行的措施，而使得駭客也隨之調整做法，其中最常見的方式就是利用ZIP壓縮檔、ISO映像檔挾帶作案工具，並引誘使用者點選LNK捷徑檔案來突破相關限制。但最近有資安業者提出警告，他們觀察到有越來越多駭客採用Visual Studio的附加工具VSTO，來製作能讓惡意Office檔案執行VBA巨集的元件，部分元件甚至能採取遠端下載的做法來躲避防毒軟體偵測。

惡意PyPI套件的攻擊行動也相當值得留意。有研究人員近日發現兩款惡意套件，其中一款被用於竊密，並將偷得資料上傳到Slack頻道；另一款則是被用於部署惡意軟體。

思科最近針對部分IOS XE設備修補漏洞CVE-2023-20076，值得留意的是，攻擊者一旦成功利用漏洞，即可任意存取這些具有漏洞的網路設備。

【2月4日】VMware虛擬化平臺遭到勒索軟體鎖定、駭客組織Firebrick Ostrich發起大規模的BEC網路攻擊

針對VMware虛擬化平臺而來的勒索軟體攻擊行動引起了CERT-FR、雲端服務業者OVHcloud、資安新聞網站Bleeping Computer關注，其中最值得關注的是，攻擊者竟是利用2年前已被公開的漏洞CVE-2021-21974來下手，且已傳出可能有伺服器受害。

研究人員揭露駭客組織Firebrick Ostrich的BEC攻擊行動，該組織2年內竟發動至少350起攻擊，相當於每2天就有一起。駭客能這麼頻繁發動攻擊的原因，研究人員認為是採取了與先前同類型攻擊相當不同的策略而能達成。

美國CISA最近將Oracle電子商務套件漏洞CVE-2022-21587、客戶關係管理平臺SugarCRM漏洞CVE-2023-22952列入已被用於攻擊的漏洞（KEV）名單，並要求聯邦機構限期修補。