【資安日報】3月3日，中國駭客組織TA416針對臺灣政府機關而來、APT41鎖定亞洲材料業者下手

中國駭客的攻擊行動最近再度傳出，其中最值得注意的是駭客組織TA416的攻擊行動，而且臺灣首當其衝──該組織已對一個臺灣政府機關下手。

另一個惡名昭彰的駭客組織APT41，則是針對材料公司下手竊取專利技術的情況，引起研究人員關注。

SIM卡挾持（SIM Swapping）攻擊為何如此氾濫？很有可能是駭客極為容易取得所需的資料促成。有資安新聞網站指出，3個專門從事這類攻擊的駭客組織，在去年就入侵美國電信業者T-Mobile超過100次。

【攻擊與威脅】

中國駭客TA416利用MQTT通訊協定遠端控制受害電腦，主要目標是臺灣的政府機關

資安業者ESET發現中國駭客組織TA416（亦稱Mustang Panda）新的攻擊手法，這些駭客自2023年1月，運用名為MQsTTang的後門程式，透過釣魚郵件發動攻擊，他們假借提供外交使團成員的護照，或是向大使館進行照會為名義，在RAR壓縮檔挾帶MQsTTang。此後門程式的獨特之處在於。與C2伺服器通訊過程採用了MQTT通訊協定，而有可能讓攻擊者的基礎設施更難被找到。

研究人員表示，這起攻擊行動主要是針對臺灣某個政府機關而來，但根據駭客使用的誘餌檔案名稱，他們研判亞洲及歐洲的政府機關也可能是目標。

中國駭客組織APT41鎖定亞洲材料業者下手

資安業者賽門鐵克揭露中國駭客組織APT41的攻擊行動，駭客約於2022年底至2023年初，鎖定一家亞洲集團從事材料處理的兩家子公司，利用後門程式Winnkit、帳密匯出工具Mimikatz等多種工具作案，進行撈取帳密資料、截取螢幕畫面、注入Shell Code、查詢SQL資料庫等行為，目的可能是竊取智慧財產。

這種針對材料產業而來的攻擊行動並非首例，日前有名為Clasiopa的駭客組織，利用木馬程式Atharvan RAT、Lilith RAT變種，以及駭客工具Thumbsender進行竊密。

駭客聲稱在2022年入侵電信業者T-Mobile超過100次

根據資安新聞網站Krebs on Security的報導，有研究人員針對3個駭客組織Telegram頻道的對話內容進行分析，結果發現這些駭客在2022年5月中旬到年底，對美國電信業者T-Mobile攻擊超過100次，他們藉由誘騙該公司的員工，進而取得內部工具，竊取用戶資料以便進行SIM卡挾持（SIM Swapping）攻擊。

該新聞網站指出，上述駭客組織雖然也會竊取AT&T、Verizon的用戶資料並兜售，但相較於從T-Mobile竊得的資料介於1,000至1,500美元，來自上述兩家電信業者的資料價格通常開價高出一倍。

此外，其中一組駭客於10月下旬發現，原本的手法很可能因T-Mobile採取新的管制措施而受到限制，導致他們竊得的員工存取權限很快就失效。對此，T-Mobile拒絕回應採取那些措施強化資安。

法律事務所員工遭到水坑式攻擊，駭客企圖散布惡意軟體GootLoader和SocGholish

資安業者eSentire發現針對6家法律事務所的惡意軟體攻擊行動，其中一種是利用搜尋引擎最佳化污染（SEO Poisoning）手法，鎖定尋找業務相關文件檔案的使用者下手，企圖透過偷渡式下載（Drive-by Download）於受害電腦投放JavaScript惡意軟體。在攻擊行動裡，駭客也入侵WordPress網站並植入新的文章，來誘騙這些法律事務所的員工，一旦使用者依照指示下載檔案，電腦就有可能被植入惡意程式GootLoader 。

其中，也有部分攻擊行動駭客使用名為SocGholish的惡意軟體──他們先是破壞美國佛羅里達州一家公證人事務所的網站，藉由水坑式攻擊吸引使用者上當，駭客在網頁上加入彈出式訊息，表示使用者的需要更新Chrome瀏覽器，然而若是依照指示下載、安裝，電腦就會被部署SocGholish。

木馬程式Parallax RAT鎖定加密貨幣業者而來

資安業者Uptycs揭露鎖定加密貨幣業者的攻擊行動，駭客透過釣魚郵件散布木馬程式Parallax RAT，先是執行以Visual C++打造的惡意酬載，然後透過處理程序挖空（Process Hollowing）手法，將Parallax RAT注入微軟Tablet PC元件pipanel.exe來執行，進而於受害電腦收集系統資訊，或是側錄鍵盤輸入的內容，甚至能進行遠端控制受害電腦。

值得一提的是，一旦成功植入上述木馬程式，攻擊者將會收到通知，他們也利用記事本軟體（Notepad）和受害者互動，要求使用Telegram頻道來對話，但這麼做的目的是什麼？研究人員沒有說明。

駭客組織Iron Tiger鎖定Windows、Linux電腦而來，接下來Mac電腦也可能是目標

資安業者趨勢科技公布駭客組織Iron Tiger（亦稱APT27）近期的攻擊行動。在其中一起事故裡，駭客針對菲律賓賭博業者下手，並使用與受害公司雷同的網域名稱來架設C2伺服器，攻擊者透過即時通訊軟體作為誘餌，結果有員工依照指示下載初期的惡意酬載，該酬載一旦執行，就會透過Microsoft Resource Compiler（rc.exe），進而利用DLL側載的手法執行Shell Code，接著在電腦重新開機後執行惡意軟體SysUpdate。

在針對Windows電腦之餘，該組織也開始鎖定Linux主機發動攻擊，他們在2022年7月首度測試Linux版惡意程式，並在10月用於攻擊行動。研究人員分析後，發現此版本的加密金鑰與檔案處理方式與Windows版本雷同，但不同的是，Linux具備DNS隧道（DNS Tunneling）功能，而使得該惡意軟體的行蹤更加隱密。

根據駭客採用Asio程式庫開發Linux版惡意程式，而可能較為容易跨平臺移植的情況，研究人員推測駭客很快就會將Mac電腦納入攻擊範圍。

又有GoAnywhere系統遭駭的組織出現！Fintech業者Hatch Bank近14萬客戶資料外洩

根據科技新聞網站TechCrunch的報導，金融科技（Fintech）業者Hatch Bank向主管機關通報資料外洩事故，起因是駭客鎖定他們部署的MFT系統GoAnywhere漏洞下手，在1月30日至31日未經授權存取存取他們的帳號資料，導致139,493名客戶資料外洩，而入侵管道很有可能就是零時差漏洞CVE-2023-0669，他們在2月3日接獲系統開發商的通知，確認資料遭到異常存取。

因上述MFT系統漏洞遭到攻擊Hatch Bank並非首例，美國醫療系統Community Health Systems於2月中旬通報資料外洩事故，導火線就是上述的GoAnywhere漏洞。

【漏洞與修補】

TPM 2.0被挖出資安漏洞，有可能因此外洩裝置機密資訊

Quarks Lab研究人員根據參考程式碼，發現信賴平臺模組（TPM）2.0的漏洞CVE-2023-1017、CVE-2023-1018，有可能造成裝置機密資料外洩，或是讓駭客提升權限執行惡意程式碼。這些漏洞出現在CryptParameterDecryption()函式，與記憶體越界寫入及讀取有關，具備基本權限的攻擊者，可藉由傳送含有加密參數的惡意指令，對存在漏洞的韌體下手。

美國電腦緊急應變小組（CERT/CC）指出，在某些情況下，攻擊者有機會覆寫TPM韌體裡受到保護的資料，而且，由於這樣的弱點出現在TPM層面，使得電腦的防毒軟體也無法偵測相關攻擊行動。Red Hat指出，這兩個漏洞CVSS風險評分為7.7分及5.5分。

思科修補網路電話的命令注入漏洞

3月1日思科發布資安通告，修補旗下網路電話系統的重大漏洞CVE-2023-20078，此漏洞存在於網頁管理介面，起因是對於使用者輸入的內容驗證不足，而衍生的命令注入弱點，攻擊者一旦利用，就有可能在未經身分驗證的情況下，遠端執行任意程式碼，或是發動阻斷服務（DoS）攻擊，CVSS風險評分為9.8分，影響IP Phone 6800、7800、8800系列網路電話系統。

另一個思科修補的漏洞是CVE-2023-20079，也與網頁管理介面對於使用者輸入的內容驗證不足有關，CVSS風險評分為7.5分，影響IP Phone 6800、7800、7900、8800、8831系列，但值得留意的是，7900與8831系列已達生命週期結束（EOL）狀態，思科不會提供新版韌體。

【資安產業動態】

台積電加入FIRST國際資安應變組織，成國內第二家高科技製造業會員

根據FIRST國際資安應變組織的最新消息，國內半導體產業龍頭台積電的TSMC-CIRC在2月24日加入成為會員，而成為群創光電之後，國內第二家入會的高科技製造業會員。

同日，資安新創微智安聯的ShieldX PSIRT也加入FIRST。在此之前，我國已有幾家資安業者成為會員，包括早年就加入的趨勢科技，以及3年前加入的奧義智慧。截至2月底，臺灣會員增至14個，而國際間共有683個組織與企業參與。

【資安防禦措施】

國際資安應變組織FIRST發布DNS濫用技術矩陣

FIRST國際資安應變組織的DNS濫用工作小組在2月28日發布了「DNS濫用技術矩陣（DNS Abuse Techniques Matrix）」的文件，目的希望幫助事件應變人員與安全團隊在應對DNS濫用事件時，快速找到相關建議資訊。該工作小組表示，這份文件主要關注DNS濫用技巧，總共歸納出21種濫用技術，並依據偵測、減緩與防禦這三大行動面向，分成三個矩陣表單來一一說明。

舉例來說，在涉及DNS快取污染（DNS Cache Poisoning）的事件中，團隊可以透過緩解矩陣的表單，查看DNS快取污染有關的內容，找出可能有所關連的利益關係者來共同緩解資安事件。

CISA局長提出警告，一旦中國對臺灣動武，也有可能同時對西方國家展開大規模網路攻擊

美中臺之間持續處於政治緊繃狀態，臺灣的網路安全若出現重大危機，美國也無法置身事外。美國網路安全暨基礎設施安全局（CISA）局長Jen Easterly於卡內基美隆大學發表演說中提到，有鑑於烏克蘭戰爭當中，援助烏克蘭的歐美國家成為俄羅斯駭客鎖定的目標，她認為美國與盟友也要針對中國做好準備，以防該國攻擊臺灣的時候，中國駭客也會針對美國多個關鍵基礎設施（CI）下手的情形，這些包含了天然氣管線、供水系統、電信系統、交通系統等，駭客的用意是製造恐慌，並動搖美國民眾的意志，達到阻止美國調度軍事資源聲援臺灣的目的。

【其他資安新聞】

加拿大書店Indigo遭勒索軟體攻擊，員工資料外洩

英國連鎖超市WH Smith傳出資料外洩

影片行銷軟體Animker洩露用戶個資

美國速食店Chick-fil-A證實遭到帳號填充攻擊

近期資安日報

【3月2日】惡意軟體BlackLotus繞過UEFI安全開機、勒索軟體LockBit鎖定西班牙語用戶而來

【3月1日】駭客假借Amazon Prime會員名義發動網釣攻擊、應用程式框架ZK Framework漏洞被用於攻擊行動

【2月24日】 1.5萬個NPM套件含有網釣URL連結、逾4成企業2022下半發現Log4Shell相關攻擊