【資安日報】4月25日，PaperCut列印管理系統傳出漏洞被用於攻擊消息，但完成修補的系統只有1成

上週列印管理系統供應商PaperCut提出警告，該公司於1個月前修補的高風險漏洞出現攻擊行動，資安業者Huntress提出警告，根據他們的調查，大部分的PaperCut用戶仍在使用存在漏洞的軟體版本，呼籲IT人員儘速安裝更新程式。

針對Mac電腦而來的惡意程式攻擊也相當值得留意。近期名為RustBucket惡意程式攻擊行動就是其中1例，在此之前，勒索軟體駭客LockBit也開始針對這種電腦製作惡意軟體。

在前述的資安威脅之餘，時下熱門的大型語言模型（LLM），現在被用於強化惡意程式的檢測上，將可能減少誤判的現象。例如，惡意軟體分析平臺VirusTotal就宣布導入名為Code Insight的機制，希望能改善檢測的能力。

【攻擊與威脅】

列印管理軟體PaperCut漏洞已出現攻擊行動，但仍有9成伺服器尚未修補

4月19日列印管理軟體業者PaperCut提出警告，表示3月修補的漏洞CVE-2023-27350、CVE-2023-27351，傳出已被用於攻擊行動的狀況，現在有研究人員透露更多細節。

資安業者Huntress於4月21日指出，他們約在16日開始看到相關的漏洞利用攻擊行動，並向PaperCut通報，當時駭客先是透過PowerShell於受害主機部署遠端管理軟體Atera、Syncro，企圖植入名為Truebot的惡意程式。

根據該資安業者的掃描，他們有710個客戶建置了執行Windows作業系統的PaperCut主機，總數為1,014臺，但其中有908臺存在上述的漏洞。而對於攻擊者的身分，研究人員指出，很有可能是與勒索軟體駭客Clop有關的另一個組織Silence所為。

Mac用戶遭到北韓駭客鎖定，發動惡意軟體RustBucket攻擊

蘋果裝置管理平臺供應商Jamf揭露惡意軟體攻擊行動RustBucket，發起者是北韓駭客組織BlueNoroff，他們透過尚未完成數位簽署的應用程式Internal PDF Viewer，傳送第一階段的惡意程式，後續再到受害電腦載入第二階段的惡意酬載。

而到了第二階段，駭客透過帶有簽章的應用程式（名稱亦為Internal PDF Viewer）發動攻擊，並向受害者顯示含有投資訊息的特定PDF檔案，目的是讓受害電腦向攻擊者進行通訊，從駭客的C2伺服器下載以Rust語言寫成的惡意程式RustBucket，能於Arm與x86架構的Mac電腦執行。

駭客透過重新上架PyPI同名套件來散布惡意程式

資安業者ReversingLabs揭露名為termcolour的惡意PyPI套件，研究人員在3月初發現此套件，但引起他們注意的地方在於，同名套件曾於2年前上架，直到今年駭客才再發布同名的惡意套件。

研究人員認為，駭客利用這種曾發布的套件名稱，而將刻意使用相同命名的惡意套件上架到PyPI套件儲存庫，有可能因此導致那些使用已下架套件卻不知其被「掉包」的用戶，成為駭客的攻擊目標。

【漏洞與修補】

思科修補工控系統的重大漏洞

4月19日思科發布資安通告，坦承他們的工業網路管理系統Industrial Network Director（IND）、網路模擬工具Modeling Labs存在重大漏洞。

IND有一個CVE-2023-20036漏洞，起因是IND對於上傳的裝置套件未進行足夠的驗證，攻擊者可在無需通過身分驗證的情況下，用管理者權限執行任意命令，CVSS風險評分為9.9。

Modeling Labs的漏洞是CVE-2023-20154，原因是在處理外部身分驗證伺服器回傳訊息不當，CVSS風險評分為9.1。

SolarWinds修補高風險漏洞

IT基礎架構管理軟體業者SolarWinds針對旗下的管理平臺SolarWinds Platform發布修補程式，修補2個高風險漏洞CVE-2022-36963、CVE-2022-47505。

前者為命令注入漏洞，攻擊者若是能取得管理者帳號的權限，就可能利用這項漏洞，CVSS風險評分為8.8。

另一個漏洞則是與提升權限有關，攻擊者可在取得電腦使用者帳戶的情況下，藉此提升本機權限，CVSS風險評分為7.8。

開源物件儲存系統MinIO存在漏洞，起因是ChatGPT採用了含有漏洞的版本

資安業者GrayNoise研究人員發現，OpenAI在大型語言模型ChatGPT的範例程式當中，使用的開源物件儲存系統MinIO存在漏洞CVE-2023-28432，有可能導致環境變數外流，例如：MINIO_SECRET_KEY、MINIO_ROOT_PASSWORD。一旦攻擊者利用上述漏洞，MinIO叢集就有可能將所有環境變數傳送給攻擊者，CVSS風險評分為7.5。

研究人員表示，目前尚未有ChatGPT系統遭到攻擊的跡象，但他們已經看到網路上有積極嘗試利用漏洞的行動，呼籲用戶應儘速更新此框架元件。

【資安產業動態】

惡意軟體分析網站VirusTotal導入大型語言模型

4月24日惡意軟體分析網站VirusTotal於本週巨型的RSA全球資安大會上宣布，他們將提供程式碼分析服務名為Code Insight。

此服務以Google Cloud發布的Security AI Workbench為基礎，並採用專門針對資安領域調整的大型語言模型Sec-PaLM來進行解讀，找出可能有害的檔案並進行調查，以便有效提升用於分析的資源。

該網站表示，Code Insight將會獨立進行分析，不會參考防毒引擎的分析結果或是其他資料，而有機會找出原本被誤報的情況。

【其他新聞】

DNS惡意軟體工具包Decoy Dog鎖定組織的網路設備而來

勒索軟體CrossLock繞過作業系統的事件追蹤機制

惡意軟體Raspberry Robin採用新的迴避偵測手法

俄國駭客組織Tomiris利用惡意軟體Turla混淆視聽

加拿大黃頁搜尋網站Yellow Pages傳出遭到勒索軟體Black Basta攻擊

ESET分析二手企業路由器，56%含有前用戶的配置資料

近期資安日報

【4月24日】 美國、歐洲組織遭到惡意軟體EvilExtractor攻擊，駭客不只從瀏覽器Cookie竊密，還會加密檔案

【4月21日】 久未發布軟體更新的網站平臺外掛可能淪為防禦破口，一支WordPress外掛慘遭濫用，被人用於植入後門程式

【4月20日】 Oracle發布2023年第2季例行更新，修補433個漏洞