【資安日報】3月14日，惡意Chrome擴充套件假借ChatGPT的名義，竊取臉書廣告帳號

人工智慧語言模型ChatGPT當紅，駭客假借提供相關工具來發動攻擊的情況不斷出現，而最近一起資安事故裡，攻擊者將竊密軟體包裝在Chrome延伸套件，並成功通過審核機制上架到Chrome Web Store市集，突顯這類攻擊的手法變得越來越隱蔽。

除了時下熱門的ChatGPT，勒索軟體攻擊的態勢也同樣值得我們關注。例如，衛星網路業者SpaceX零件供應商傳出遭勒索軟體LockBit攻擊的情況，駭客揚言若不付錢，就將竊得的專利資料賣給相關競爭對手。

回到國內，去年因摔壞國寶引起各界撻伐的故宮博物院，傳出館藏文物的數位圖檔外流事故。該單位也證實確有此事，並指出外洩的原因是承辦人員將資料搬移到連結到網際網路的應用系統上。

【攻擊與威脅】

冒牌ChatGPT瀏覽器延伸套件企圖竊取臉書帳號，目的是投放惡意廣告

資安業者Guardio揭露假借ChatGPT名號的惡意Chrome擴充套件，一旦使用者依照指示安裝，此擴充套件就有可能協助攻擊者偵察受害電腦的Cookie，並將這些資訊回傳C2伺服器進行解析（而且C2是架設在Cloudflare的Workers服務），然後得到與臉書有關的Cookie及連線階段（Session）資料，接著再以此挾持受害者臉書帳號，並在受害電腦部署惡意版本的臉書應用程式，投放惡意廣告。

研究人員在3月3日於Chrome Web Store發現上述擴充套件，Google獲報後9日將其下架，這段期間每天約有2千次下載。

醫療設備廠商Zoll Medical資料外洩，波及百萬人士

提供AED及心肺等生理監控裝置的Zoll Medical證實於1月遭駭，他們在1月28日發現內部網路出現異常活動並採取阻斷措施，偕同外部資安專家著手調查，初步發現攻擊者在2月2日存取部分用戶資訊，包含姓名、生日、社會安全碼（SSN），推測是該公司產品用戶的個資。Zoll Medical也向美國緬因州州長總檢察長辦公室通報，指出約有1,004,443人受到影響。

衛星網路SpaceX零件製造商傳出遭到勒索軟體LockBit入侵

根據新聞媒體The Register的報導，勒索軟體駭客組織LockBit聲稱入侵為衛星網路業者SpaceX提供零件的廠商Maximum Industries，並竊得SpaceX開發的3千個專利設計圖。

駭客要脅Maximum Industries與SpaceX，若是不願支付贖金，他們將在3月20日出售相關資料，協助其競爭對手快速生產相關產品，並聲稱這些專利資料經過SpaceX工程師「驗證」。對此，SpaceX和Maximum Industries並未做出回應。

資安業者揭露支付贖金助長勒索軟體攻擊的態勢，駭客得到的資金可發動9次攻擊

資安業者趨勢科技揭露勒索軟體攻擊事故的分析，並指出受害組織一旦支付贖金，就有可能讓駭客取得執行後續6至10次（平均9次）攻擊所需的資金。研究人員根據勒索軟體Conti和LockBit的受害組織進行分析，結果發現，非洲受害組織超過三分之一（34.8%）會付錢，但歐洲僅有11.1%妥協；此外，金融與法律相關行業會較為傾向付錢了事，至於規模較大的企業，通常不願意支付贖金。

另一方面，研究人員也提及駭客為了獲利，會催促受害者儘速付款的情況──他們發現向勒索軟體DeadBolt購買解密金鑰的受害者裡，有超過半數20天內付錢，四分之三在40天裡付款。

故宮博物院館藏的數位圖檔傳出遭到中國盜賣，起因是將檔案存放在對外提供服務的伺服器

根據鏡週刊的報導，故宮博物院數千件國寶的數位圖檔傳出被中國駭客盜取，於百度等網站兜售，甚至免費提供下載。

對此，故宮博物院發出聲明，表示他們於2022年6月得知資料外洩情形，政風室於8月12日啟動調查，結果於2023年1月確定，因助理研究員建檔過程將資料儲存於「公務系統中可提供對外服務之伺服器」，「有心人士得以使用工具軟體或拼圖軟體等方式，操作讀取局部的高階圖檔後加以拼接存取。」，後續導致這些數位圖檔被中國駭客盜取，於百度等網站兜售，甚至免費提供下載。

故宮博物院表示，他們在2022年底已改採內部封閉式儲存設備，阻絕人為操作可能外流之風險，並打算透過法律顧問要求淘寶網、書格網等平臺下架，或是提出訴訟。

【漏洞與修補】

NFT市集OpenSea出現跨網站搜尋漏洞

資安業者Imperva揭露NFT市集OpenSea的漏洞，攻擊者可透過簡訊或電子郵件寄送惡意URL來觸發。此連結的功能，就是讓駭客將IP位址、電子郵件信箱，或是瀏覽器的連線階段（Session），與特定的NFT串連。

一旦用戶存取這類URL，他們的身分、裝置詳細資料、軟體版本等資訊就有可能曝露，接著，攻擊者利用上述的漏洞來得知受害者的NFT名稱，並與使用者的個資進行關聯。

研究人員指出，此漏洞為該市集採用的程式庫iFrame-resizer配置錯誤造成，因沒有管制跨來源（Cross-Origin）通訊，導致出現前述的跨網站搜尋（XS-Search）漏洞，OpenSea獲報後已完成修補。

【資安產業動態】

美國網路安全暨基礎設施安全局（CISA）於3月8日婦女節，與非營利組織「網路資安女性（Women in Cybersecurity，WiCyS）」簽署合作備忘錄，目的是藉由更為緊密的合作，來減少網路安全的性別差距。

CISA局長Jen Easterly表示，她在去年的WiCyS年會宣布，要號召更多女性和少數族群投入網路安全領域，並期望在2030年能達到50%的比率，這次簽署備忘錄的目的，就是促使更多女性能從事相關工作。WiCyS執行董事Lynn Dohm認為，她們與CISA的使命一致，合作後將提供更多女性所需資源，讓她們能在相關領域展開職業生涯。

雙方宣布合作後的第一項任務，是CISA投入WiCyS的引路計畫（Mentorship Program），目的是媒合女性資安專家，協助新手投入資安職場。

無人機資安聯合驗測實驗室正式成立

財團法人電信技術中心（TTC）於數位發展部的指導下，結合民間資安廠商中華資安國際、安華聯網、鑑智實相等，在3月1日於高雄科學園區總部，舉辦「無人機資安聯合驗測實驗室」揭牌儀式，宣告檢測服務正式啟動。行政院政務委員吳政忠、數位發展部部長唐鳳、高雄市政府副市長羅達生、交通部黃荷婷、民航局局長林國顯等首長親臨現場致詞。