【資安月報】2023年3月

在今年3月資安月報中，與ChatGPT相關的資安新聞最受矚目，自從去年11月底OpenAI推出生成式AI的ChatGPT聊天機器人，終於讓聊天機器人的發展，有了明顯的進步，同時也對搜尋帶來新影響。

到了今年3月，OpenAI發布多模態模型GPT-4，由於解答能力與正確率大幅超越GPT-3.5，只要給予更多更好的提示或引導，就能越來越符合使用者期望，實用程度也隨之提升，儘管還未到真正的成熟，但在實質的輔助與幫助上又提升了一些，到了3月底，Google也基於自家對話AI模型LaMDA，發表生成式對話AI Bard。而在ChatGPT等技術應用火熱的同時，其資安面向的議題，就成為本月最大焦點。

例如，在資安防禦發展態勢上，就有相關消息。微軟在3月底發布Security Copilot，由於當中整合了OpenAI的GPT-4模型的生成性AI，並能整合多個資料源，可幫助資安從業人員，透過對話式AI助理介面，快速從龐大的網路威脅活動訊號，發現攻擊活動、做出摘要，也能資料關聯分析，提供回應行動建議，成為幫助企業解決資安人力及分析能力不足的輔助應用；而在Security Copilot發布的一個月前，GitHub與OpenAI合作開發的智慧工具Copilot也有強化，加入了基於AI的漏洞過濾系統，讓程式碼可以更安全。

不過，新科技除了帶來幫助，相關威脅也隨之而來，在3月的資安新聞中就有相當多與ChatGPT有關。我們簡單分為三大類，包括：新興技術的濫用風險，過去假借名義的攻擊與威脅也會藉機行動，還有類似過去影子IT議題的風險。
最近這一個多月，不少新聞就是這種類型。

首先，以濫用風險來看，之前就有資安研究人員示警，指出攻擊者可能利用ChatGPT撰寫網路釣魚電子郵件，並產生基本的惡意VBA程式碼，甚至利用Codex產生reverse Shell的情境，可能導致相關攻擊門檻降低，而在3月27日歐洲刑警組織更提出警告，有越來越多網路罪犯正濫用ChatGPT與其他大型語言模型（LLM），特別要注意的威脅，是攻擊者運用於模仿特定人士的書寫與說話，以及產生網路釣魚的社交工程與假訊息散布。不僅如此，在3月初也有資安研究人員揭露，駭客可能利用ChatGPT等大型語言模型檢索公開網站資源的行為，執行新型態的指令注入，以及利用LLM的對話能力，引導使用者洩露隱私。

第二，以假冒名義的威脅來看，由於攻擊者普遍都會利用當紅的時事話題來引誘受害者上當，本月持續有不少新聞，包括散布山寨ChatGPT App、假借ChatGPT名義的投資詐騙，假裝是ChatGPT應用的惡意Chrome擴充套件等。

第三，以員工不當使用而言，近期包括資安研究人員與企業都在關注，員工是否可能將公司機密資訊，擅自輸入到ChatGPT的問題，這與員工擅自將公司資料上傳到個人雲端儲存空間存放情形其實類似，因此，員工對於使用ChatGPT服務，以及企業對於員工使用ChatGP應有的資安認知，可能都需要更多討論，才能訂定大家都能配合的具體規範。

【4月29日補充更新】
附帶一提的是，3月還有多起臺灣發生的資安事件受到注目，包括：宏碁以說明媒體報導方式發布重大訊息，指出該公司合作伙伴權限遭竊而發生資料外洩，以及威秀影城傳出50萬筆客戶資料外洩。

而我們在整理本月事件時，另外新整理出多起事件，包括：連接器廠宏致在6日發布資安事件重大訊息，說明資訊系統遭受駭客網路攻擊的事件；台鋼資源有部份資訊系統遭受駭客網路攻擊，而其母公司鋼聯在14日也代子公司發布重大訊息說明；IC設計大廠智原在16日發布重大訊息，說明發生網路資安事件；還有電源供應器廠商立德電子在28日發布重大訊息，說明部分資訊系統及備份系統遭受網路攻擊。

【資安週報】2023年3月1日到3月3日

3月初的漏洞消息中，最受關注的就是網頁應用程式開發框架ZK Framework的CVE-2022-36537漏洞，該漏洞在去年8月公開，近期已發現攻擊者鎖定利用的情形，由於ZK Framework是一個開源的Java框架，採用的軟體不少，因此有多款產品都會受到波及，其影響性受關切。其他漏洞消息方面，以TPM 2.0的CVE-2023-1017、CVE-2023-1018漏洞最受關注。

在資安威脅與事件焦點方面，首要焦點是ESET揭露中國駭客組織TA416（亦稱Mustang Panda）針對臺灣某個政府機關的攻擊行動，自今年1月即運用MQsTTang後門程式與發動釣魚郵件攻擊。其他資安業者揭露的重要消息，包括：針對容器化工作負載而來的Scarleteel攻擊行動；針對亞太與北美政府機關的惡意軟體下載器PureCrypter；可在Windows 11上繞過繞過UEFI安全開機的惡意軟體BlackLotus。在資安事件方面，受關注的包括：美國衛星通訊服務業者Dish Network遭勒索軟體攻擊，加拿大電信業者Telus資料外洩。

資安防禦態勢方面，FIRST國際資安應變組織這一週發布「DNS濫用技術矩陣（DNS Abuse Techniques Matrix）」，臺灣半導體龍頭台積電與國內資安新創Shield宣布加入FIRST會員，還有一則是當週資安日報未提及，但可優先關注的消息，那就是，近日美國CISA釋出免費工具Decider，可幫助攻擊者行為與MITRE ATT&CK框架的對應。

【資安週報】2023年3月6日到3月10日

這一周的漏洞消息中，最受關注的是有應用程式漏洞檢測業者警告，已出現針對程式庫XStream CVE-2021-39144漏洞的攻擊行動，而在漏洞修補消息上，以Jenkins，Fortinet與Veeam的漏洞修補與揭露值得留意。另外我們要提醒的是，關於最新的漏洞利用情形，除了上述XStream的漏洞，還有4個是前兩年的已知漏洞，雖然本周iThome資安新聞尚未提到，但近期都已確認出現鎖定利用情形，同樣需要優先重視，包括：Plex Media Server（CVE-2020-5741），Zoho ManageEngine（CVE-2022-28810），Apache Spark（CVE-2022-33891），以及Teclib GLPI（CVE-2022-35914）的漏洞。

資安防護態勢上，零信任（Zero Trust）網路安全防護策略持續受到全球重視，最近有調查機構指出開始制定相關策略的歐洲組織，從兩年前的比例是四分之一，到2022年，比例已提升至三分之二，顯現更積極且普遍的態勢。

在資安威脅焦點方面，首先是ChatGPT仍是主要話題，因此近來仍持續被發現有冒牌平臺的惡意活動，還有三個威脅態勢可以留意，包括：以規避而言，有資安業者持續對惡意軟體QBot透過微軟筆記軟體OneNote檔案散布的活動提出警告，木馬程式Remcos RAT的攻擊可規避系統內建UAC機制的揭露；以漏洞攻擊而言，有HiatusRAT的木馬程式鎖定居易Vigor 2960、3900路由器攻擊，上百企業受害的狀況曝光；以安全實作而言，Booking.com在登入OAuth實作上被資安業者發現有不安全的設計缺陷。

在資安事件中，有宏碁與Acronis遇駭的事件。我們在周二報導資安業者Gridinsoft揭露宏碁在2月中疑發生資料外洩事故，隔日傍晚，宏碁以說明媒體報導方式發布重大訊息，指出是該公司提供當地商業夥伴下載產品文件的伺服器，因某廠商密碼保存與管理不當造成資料外洩。另外，備份解決方案業者Acronis也有遭駭的消息，並傳出上述兩起事件外洩資料的可能是同一人。

【資安週報】2023年3月13日到3月17日

這一周包括微軟、SAP、思科、Adobe、西門子、施耐德電機等多家科技大廠，相繼發布產品安全性更新公告，紛紛呼籲用戶盡速修補，值得關注的是，有4個漏洞已出現利用情形要特別留意，包括：微軟本周安全性更新釋出，當中有兩個零時差漏洞已遭鎖定利用，一是涉及Outlook（CVE-2023-23397）另一是涉及SmartScreen（CVE-2023-24880），Fortinet針對一周前修補的防火牆產品漏洞（CVE-2022-41328）示警，已發現針對該漏洞的攻擊行動，最後是Adobe ColdFusion的漏洞（CVE-2023-26360）。

關於威脅態勢與攻擊活動揭露方面，有三類議題值得關注，包括在近期熱門的ChatGPT與矽谷銀行（SVB）新聞事件下，有更多駭客組織假借名義的攻擊活動出現；在網釣攻擊上，微軟揭露新一波大規模攔截使用者Cookie的AiTM網釣攻擊，駭客組織已發展出網釣工具包並出售套件；去年底已有攻擊者利用的Progress Telerik漏洞，本周有更多技術細節公開，揭露攻擊者是如何利用美國政府IIS服務器中的這項漏洞。

在資安事件方面，國際間有兩起與供應鏈安全有關事件，包括傳出SpaceX的零件製造商遭LockBit入侵，駭客聲稱取得SpaceX設計藍圖，以及AT&T用戶發生資料外洩，已調查出事件起因為合作廠商遭駭；在國內，不只是故宮博物院館藏的數位圖檔證實外洩的事件受注目，也傳出國光客運遭網路攻擊使訂票服務停擺狀況。

【資安週報】2023年3月20日到3月25日

在這一周的漏洞消息中，主要焦點包括：微軟針對去年11月可繞過BitLocker的WinRE元件漏洞，新提供簡化的緩解措施，以及思科網路設備與Netgear有新的漏洞修補釋出，值得注意的是，近兩年美國CISA每週均發布多個ICS漏洞通告（ICS Advisory），本週有13則，呼籲企業修補包括台達電、西門子、ABB、Rockwell等廠商ICS設備的漏洞。

在攻擊活動與威脅方面，國內主要焦點是：有中國駭客針對國內金融機構持續發動釣魚郵件攻擊的揭露，其意圖是散布並濫用Cobalt Strike以入侵，國際間，有北韓駭客利用釣魚郵件散布惡意擴充套件以竊取Gmail信件的事件，受到德國BfV與南韓NIS聯手警告；以及俄羅斯駭客組織攻擊歐洲政府機關的新活動被揭露，其手法是架設假冒波蘭、義大利、烏克蘭政府與電信特定機構並帶有惡意軟體的網站，並以釣魚郵件引誘上當。其他重要威脅消息包括，有駭客正濫用Adobe Acrobat Sign以散布竊資軟體RedLine，以及中國與俄羅斯駭客正使用Silkloader惡意軟體的揭露。

而威脅態勢的揭露方面，Android木馬FakeCalls偽冒20多種金融機構名義App並發動語音網釣，目前正針對韓國民眾攻擊，影響層面廣泛，需特別注意。特別的是，在CatB勒索軟體方面，近期發現會針對瀏覽器與郵件軟體去竊取機密，突顯近年惡意軟體朝多功能發展。另外，還有兩個針對伺服器的攻擊活動要留意，包括殭屍網路HinataBot會鎖定未知Hadoop YARN伺服器漏洞，以及出現大規模入侵網站植入惡意JavaScript的情形。

【資安週報】2023年3月27日到3月31日

在這一周的漏洞消息中，最主要的焦點，就是2022年底兩起商業間諜公司攻擊活動的揭露，Google TAG公布了當時被使用的零時差漏洞與串連多個漏洞，這意味著當時這些修補的漏洞，都已出現鎖定利用情形，包括：iOS（CVE-2021-30900）、Arm Gpu（CVE-2022-38181、CVE-2022-22706）、Google Chrome（CVE-2022-3038）與Linux Kernel（CVE-2023-0266）的5個漏洞。同時，週末我們整理這方面消息時，新注意到幾個老舊漏洞如今也被列入已知漏洞成功利用清單，包括Cobalt Strike去年的漏洞（CVE-2022-39197、CVE-2022-42948），以及Samba的漏洞（CVE-2017-7494），還有微軟IE相關的漏洞（CVE-2014-1776、CVE-2013-3163）。另外，本周Pwn2Own Vancouver 2023新找出的27個零時差漏洞，後續業者將有修補釋出。

在威脅態勢方面，殭屍網路與DDoS受關注，包括發現ShellBot與MooBot利用監控系統Cacti或瑞昱Realtek近兩年的漏洞，以及MacStealer竊資軟體借助殭屍網路散布的情形，值得一提的是，有英國國家刑事局為抓捕網路罪犯，設置多個DDoS租賃服務誘餌並發現有數千人存取。此外，還有勒索軟體Dark Power新動向，以及又有軟體供應鏈攻擊出現，這次鎖定的是VoIP IP-PBX業者，同樣值得留意。

在其他攻擊活動與威脅揭露方面，ChatGPT的濫用隱憂持續受重視，歐洲刑警組織警告，注意網路罪犯正濫用ChatGPT與其他的大型語言模型（LLM）的威脅，需注意模仿特定人士的書寫與說話，以及產生網路釣魚的社交工程與假訊息散布；在國際間有多個攻擊活動被資安業者揭露，包括中國駭客組織Mustang Panda近期攻擊行動，以及中國駭客鎖定中東電信業者攻擊行動Operation Soft Cell。

至於國內資安事件方面有兩起事件受關注，包括：威秀影城公告系統升級與鄭重提醒反詐騙，數日後傳出50萬客戶資料外洩消息，以及出現國內大學教授紛紛遭到變臉不雅照勒索的情況。

2023年2月資安月報

2023年1月資安月報

2022年12月資安月報

2022年11月資安月報

2022年10月資安月報

2022年9月資安月報