【資安週報】2023年3月13日到3月17日

這一周包括微軟、SAP、思科、Adobe、西門子、施耐德電機等多家科技大廠，相繼發布產品安全性更新公告，紛紛呼籲用戶盡速修補，值得關注的是，有4個漏洞已出現利用情形要特別留意，包括：微軟本周安全性更新釋出，當中有兩個零時差漏洞已遭鎖定利用，一是涉及Outlook（CVE-2023-23397）另一是涉及SmartScreen（CVE-2023-24880），Fortinet針對一周前修補的防火牆產品漏洞（CVE-2022-41328）示警，已發現針對該漏洞的攻擊行動，最後是Adobe ColdFusion的漏洞（CVE-2023-26360）。

關於威脅態勢與攻擊活動揭露方面，有三類議題值得關注，包括在近期熱門的ChatGPT與矽谷銀行（SVB）新聞事件下，有更多駭客組織假借名義的攻擊活動出現；在網釣攻擊上，微軟揭露新一波大規模攔截使用者Cookie的AiTM網釣攻擊，駭客組織已發展出網釣工具包並出售套件；去年底已有攻擊者利用的Progress Telerik漏洞，本周有更多技術細節公開，揭露攻擊者是如何利用美國政府IIS服務器中的這項漏洞。

在資安事件方面，國際間有兩起與供應鏈安全有關事件，包括傳出SpaceX的零件製造商遭LockBit入侵，駭客聲稱取得SpaceX設計藍圖，以及AT&T用戶發生資料外洩，已調查出事件起因為合作廠商遭駭；在國內，不只是故宮博物院館藏的數位圖檔證實外洩的事件受注目，也傳出國光客運遭網路攻擊使訂票服務停擺狀況。

【3月13日】資安業者Acronis傳出資料外洩、歐美媒體與科技業者的資安人員遭到北韓駭客UNC2970鎖定

又是資安業者傳出資料外洩事故！這次Acronis事故與過往有所不同的是，疑似客戶的帳密遭竊，而導致回傳給技術支援團隊的組態資料外洩。但為何客戶的帳密遭竊？該公司沒有說明。

Go語言殭屍網路病毒GoBruteforcer針對多種應用系統而來的攻擊行動也值得留意，這些駭客專門針對特定的資料庫、網頁管理系統、檔案共用伺服器而來，而且，其惡意軟體同時針對x86及Arm的類Unix主機下手。

想要透過LinkedIn求職的資安人員要提高警覺！北韓駭客組織假借這類名義找尋攻擊目標，並透過測試研究人員能力為由來散布惡意程式。

【3月14日】惡意Chrome擴充套件假借ChatGPT的名義，竊取臉書廣告帳號

人工智慧語言模型ChatGPT當紅，駭客假借提供相關工具來發動攻擊的情況不斷出現，而最近一起資安事故裡，攻擊者將竊密軟體包裝在Chrome延伸套件，並成功通過審核機制上架到Chrome Web Store市集，突顯這類攻擊的手法變得越來越隱蔽。

除了時下熱門的ChatGPT，勒索軟體攻擊的態勢也同樣值得我們關注。例如，衛星網路業者SpaceX零件供應商傳出遭勒索軟體LockBit攻擊的情況，駭客揚言若不付錢，就將竊得的專利資料賣給相關競爭對手。

回到國內，去年因摔壞國寶引起各界撻伐的故宮博物院，傳出館藏文物的數位圖檔外流事故。該單位也證實確有此事，並指出外洩的原因是承辦人員將資料搬移到連結到網際網路的應用系統上。

【3月15日】美國矽谷銀行面臨倒閉危機引發全球關注，駭客趁機進行網釣攻擊

大型銀行倒閉影響範圍甚廣，許多用戶擔心自己的存款會拿不出來，也會影響往來企業的資金周轉，因此受到各界高度關注。最近，美國矽谷銀行（Silicon Valley Bank，SVB）宣布倒閉，駭客隨即註冊大量網域，並隨著事態的變化發動多起網路釣魚攻擊。

除了SVB相關的攻擊行動，多家IT與OT業者近期發布了每月的軟體例行更新公告，也相當值得我們留意。微軟、Adobe、SAP、西門子、施耐德電機等廠商都在這幾天發布本月份的例行修補，值得留意的是，已有部分是出現攻擊行動的零時差漏洞，用戶應儘速安裝相關更新軟體。

論及零時差漏洞的利用攻擊，MFT檔案共享系統GoAnywhere的資安弱點再傳有組織受害！這次公告受害的組織身分，是資料安全保護業者，所幸他們沒有用戶資料外流的情況。

【3月16日】AI製作的影片遭到濫用，駭客將其用於取信觀眾，散布竊資軟體

駭客假借提供破解軟體，並透過YouTube影片告訴觀眾如何下載相關檔案的名義，藉此散布惡意軟體的情況時有所聞，但最近這種類型的攻擊行動出現新的變化──駭客利用AI產生有人現身說法、透露如何操作的影片，一改過往錄下電腦桌面環境的操作影片的做法。這麼做的目的，就是透過「有人」現身說法，來拉近與觀眾之間的距離，進而讓他們卸下心防。

除了上述的散布手法，惡意軟體的威脅態勢也值得我們留意──有雲端服務業者根據DNS流量分析，發現殭屍網路病毒Emotet東山再起，還有NAS惡意軟體QSnatch也藉此大肆發動攻擊，流量竟在2022年超越其他的惡意程式。

不只是惡意軟體攻擊的態勢出現變化，挖礦攻擊也有新的招式，駭客疑似嘗試挖掘另一種名為Dero的數位貨幣，使得資金流量有可能變得更難追蹤。

【3月17日】本月初Fortinet修補的防火牆零時差漏洞，傳出去年就遭到中國駭客利用

Fortinet近日透露旗下防火牆作業系統FortiOS的路徑穿越漏洞CVE-2022-41328已出現攻擊行動，呼籲用戶儘速修補，但並未說明更多資訊。直到這幾天，協助調查的資安業者Mandiant表示，該漏洞在2022年的攻擊行動就被利用，並指出駭客也對受害組織部署的Fortinet其他類型的產品出手。

今天我們也注意到另一起利用漏洞進行攻擊的重大攻擊，那就是發生在美國行政機關（FCEB）的資安事故，有多個駭客組織攻入該機構，而他們利用的是3年前被揭露的應用程式框架Progress Telerik漏洞CVE-2019-18935，而這些攻擊者當中，有1個是國家資助的駭客組織。

但不只是漏洞攻擊，與烏克蘭戰爭有關的網路攻擊也相當值得留意。俄羅斯駭客組織APT29看上波蘭想要尋求美國的軍事援助，藉此發動網釣攻擊。特別的是，過程中駭客濫用了歐盟的文件交換系統。