【資安週報】2023年4月17日到4月21日

這一周的漏洞消息中，有6個漏洞遭利用的情形最受關注，首要焦點就是Chrome的兩個零時差漏洞CVE-2023-2033、CVE-2023-2136，後者更是影響所有基於Chromium瀏覽器，而列印管理軟體系統PaperCut在3月修補的CVE-2023–27350的RCE漏洞，近日亦發現出現攻擊活動，還有俄羅斯駭客組織APT28利用存在於Cisco IOS與Cisco XE軟體的SNMP子系統漏洞CVE-2017-6742漏洞的揭露。另有兩個漏洞本期周報尚未提及，以物件儲存服務MinIO公告的CVE-2023-28432漏洞須特別留意，另一是Apple macOS的漏洞CVE-2019-8526。在漏洞修補方面，焦點包括Oracle季度更新修補433個漏洞，以及VMware、ChatGPT、Juniper的漏洞修補。

在重要資安事件方面，3CX VoIP系統軟體供應鏈的攻擊事故有後續消息，格外引發關注，因為3CX之所以被入侵，是因為攻擊者先入侵股票交易自動化業者Trading Technologies的網站散布被駭客竄改的X_Trader應用程式，等於是藉由供應鏈攻擊入侵，再發動影響更廣泛的供應鏈攻擊。

其他值得警惕的資安事件，除了Volvo的巴西經銷商Dimas Volvo在網站上曝露敏感資料甚至包含Laravel的金鑰，企業淘汰的網路設備在二手市場上被發現有洩露企業內部網路環境敏感資訊的狀況，同樣必須留意，這如同企業淘汰的列印設備其硬碟資料未妥善清除狀況相同，重點是，可別以為這些汰換的網路設備沒有機敏資訊要清除，就能直接汰換，應該也要針對組態設定重置並確定無疑慮再丟棄。

在威脅態勢方面，以勒索軟體新動向受矚目，包括勒索軟體LockBit攻擊的平臺已從Windows、Linux及VMware ESXi環境擴及macOS，以及勒索軟體Vice Society近期威脅增加，並有資安業者揭露該攻擊者利用新的PowerShell指令碼w1.ps1來規避資安系統，還有勒索軟體駭客濫用名為Action1的遠端管理平臺（RMM）的揭露；竊資軟體消息也不少，包括竊資軟體Aurora利用Youtube影片宣傳假破解軟體來散布，以及Zaraza Bot竊資軟體、Chameleon的安卓惡意軟體的揭露。

【4月17日】ChatGPT付費帳號在駭客之間炙手可熱，相關買賣在地下論壇不斷出現

時下熱門的大型語言機器學習模型ChatGPT，很多駭客正在研究如何用來發動攻擊，因此對於如何取得使用的管道也變得相當熱衷，甚至衍生出在網路犯罪圈的相關買賣。資安業者Check Point發現，從上個月開始駭客在地下論壇頻繁買賣ChatGPT的付費帳號，或是提供暴力破解帳號的工具，但駭客偏好取得付費帳號的主要原因，就是想要迴避免費帳號的諸多限制。

應用系統曝露開發環境組態（ENV）檔案的情況，有可能導致組織內部環境的狀態遭到掌控！例如，資安新聞網站Cybernews發現，西門子元宇宙系統Siemens Metaverse的ENV檔案可讓攻擊者存取辦公室管理系統，進而得知辦公室配置、員工行程的資料。

Google對4月上旬發布的Chrome 112發布更新版本的情況也值得留意，因為，這次新版本涉及的零時差漏洞，已被用於攻擊行動，甚至有研究人員呼籲用戶不要等待自動派送更新，應手動執行升級。

【4月18日】駭客組織Conti與FIN7成員另起爐灶，打造惡意軟體Domino來散布竊資軟體

曾遭到圍剿而銷聲匿跡的駭客組織，待風頭一過東山再起的情況再度傳出，而且還是不同組織之間的合作。例如，最近IBM的研究人員發現，前駭客組織Conti及FIN7的成員聯手開發了惡意程式Domino，並用於收集受害電腦的系統資訊，以便進行後續的攻擊行動。

針對網頁瀏覽器而來的竊資軟體攻擊，也同樣值得我們留意──資安業者Uptycs揭露俄羅斯駭客流傳的竊資軟體Zaraza Bot，並指出該惡意程式能針對38款瀏覽器的使用者組態檔案進行解密，進而竊取存放的各式帳密資料。

除了竊資軟體的攻擊行動，駭客散布惡意程式的手法也變得更加複雜，例如，研究人員發現，有人同時運用惡意PDF檔案及Windows指令碼來散布惡意軟體QBot，若收件者為了要檢視PDF文件內容而未及早察覺有異，即有可能依照指示執行指令碼而中標。

【4月19日】駭客挾持YouTube頻道散布竊資軟體Aurora，過程中利用惡意程式載入工具迴避資安系統偵測

駭客發布號稱可提供破解軟體下載的影片，藉機散播惡意網址，但為了要迴避偵測，他們在YouTube頻道列出的網址，可下載的是惡意程式載入工具，待受害者安裝之後，才開始進行後續的植入。

企業在淘汰網路設備的時候也要謹慎，務必清除設備存放的網路配置！有研究人員發現，他們從網路上購得、企業淘汰的二手設備竟儲存不少內部網路組態資料，而有可能成為駭客用於入侵組織的管道。

【4月20日】Oracle發布2023年第2季例行更新，修補433個漏洞

上週二（11日）多家廠商發布4月份例行修補，包含微軟、Adobe、SAP等軟體業者，以及西門子、施耐德電機等OT設備業者。本週Oracle也發布了2023年4月的例行修補，當中總共修補超過400個漏洞，有相當大的比例是在Oracle Communications系列產品線，每6個漏洞就有1個與此有關。

公部門不慎將資料庫公開的情況也相當值得留意，例如，有研究人員發現菲律賓執法單位曝露的資料庫，不僅含有個資，甚至還有組織之間的行政命令。但該資料庫是否真為菲國政府機關所擁有？目前尚無法完全確定，因為研究人員通報了當地十餘個機關後，僅有收到菲律賓國家電腦緊急應變小組（NCERT）回復，表示他們將確認需要負責的單位。

勒索軟體駭客的攻擊也出現了新的手法，像是Trigona發動的攻擊裡，運用一種稱之為CLR Shell的惡意程式先進行探勘、提升權限，使得後續行動更加順利。

【4月21日】久未發布軟體更新的網站平臺外掛可能淪為防禦破口，一支WordPress外掛慘遭濫用，被人用於植入後門程式

駭客攻擊WordPress網站的情況不時傳出，但近期出現了新型態的手法，而可能讓攻擊行動更難察覺──他們利用了長期沒有更新，而可能存在可利用漏洞的外掛程式，而使得攻擊行動有這種合法的外掛程式掩人耳目。

VMware針對Aria Operations for Logs修補的漏洞也相當值得留意，因為，這次他們特別呼籲用戶要儘速修補CVE-2023-20864，怪異的是卻沒有公布其CVSS風險評分。

近日微軟公布新的駭客組織命名規則，與過往不同的是，該公司以特定類型的氣候來命名駭客組織，並標榜這麼做使用者可更容易識別駭客的性質。