【資安週報】2023年5月22日到5月26日

在這一週的漏洞消息中，以Barracuda揭露修補郵件安全閘道CVE-2023-2868漏洞最受關注，已遭零時差漏洞攻擊，上周提及蘋果修補已遭攻擊的三個零時差漏洞，本週CISA也將之列入已知漏洞利用清單。其他值得關注的漏洞修補消息，包括GitLab重大漏洞修補、應用程式框架Expo的OAuth漏洞修補、D-Link網路管理系統漏洞修補，以及Zyxel防火牆設備在23日遭遇大規模的記憶體緩衝區溢位攻擊，因而呼籲儘速升級韌體的消息。

在全球威脅活動方面，有三起資安業者揭露的攻擊活動受矚目，首要焦點是，中國駭客組織Volt Typhoon鎖定美國關島（Guam）重大基礎設施攻擊的揭露最受關注，微軟並提供防護建議，後續中國外交部則否認，以及伊朗駭客組織TA456針對以色列航運、物流、金融服務領域網站植入惡意JavaScript指令碼的揭露，還有惡意驅動程式Wintapix近兩年鎖定中東多國攻擊的揭露。

在威脅態勢方面，以PyPI暫停接受新用戶與專案最受關注，原因是近期發現大量惡意使用者與惡意專案，已超出管理者處理能量。還有一些威脅狀況可留意，包括：殭屍網路Mirai變種鎖定事件記錄分析系統漏洞、惡意軟體CosmicEnergy鎖定電力供應商工控系統，以及惡意軟體Legion鎖定SSH伺服器與AWS帳密的揭露。

【5月22日】YouBike證實遭到網路攻擊，2.1萬用戶資料外洩

上週末臺灣再度傳出與車輛共享服務有關的資安事故，共享單車服務業者YouBike於週六（19日）證實，因遭到攻擊而導致用戶資料外洩，呼籲使用者要防範相關的詐騙攻擊，以及悠遊卡、信用卡可能會遭到盜刷的情形。值得留意的是，21日該公司關閉會員登入功能，後續情形有待進一步觀察。

各國政府對於可能會竊取用戶資料、並將其提供給敵對國家政府的應用程式下達禁令，然而，有些使用者無視這些管制，仍設法想要取得這類應用程式，使得這些亟欲使用的人可能成為駭客下手的對象！最近有研究人員揭露假冒影片剪輯軟體CapCut的惡意軟體攻擊行動，並認為攻擊者針對此應用程式的原因，是有許多國家封殺了這款由字節跳動（ByteDance）出品的應用程式，想要取得此軟體的使用者很可能會透過該公司網站以外的管道下載。

【5月23日】勒索軟體駭客BlackCat利用惡意驅動程式Poortry發動攻擊，繞過防毒軟體偵測

勒索軟體BlackCat再度傳出新的攻擊行動，但值得留意的是，駭客運用的作案工具當中，包含了去年年底被揭露的惡意驅動程式Poortry，而有機會停用電腦防毒軟體的處理程序，免於遭到偵測。

於上週末發生資料外洩事故的共享單車服務YouBike，現在又有新的發展，桃園市政府交通局指出，該公司在公布資安事故後二度遭到攻擊，受影響人數也增加快一倍。

【5月24日】研究人員針對Zyxel防火牆漏洞提出警告，至少有4.2萬臺設備尚未修補而可能曝險

一個月前修補的防火牆漏洞，近期有資安業者提出警告，有可能即將發生攻擊行動。資安業者Rapid7針對兆勤科技（Zyxel）上個月修補的重大漏洞CVE-2023-28771提出警告，原因是至少有4萬臺防火牆設備曝險，並認為即將會出現漏洞攻擊行動。巧合的是，今（24日）兆勤呼籲防火牆、VPN設備用戶儘速安裝新版韌體，但並未提及修補的漏洞資訊，是否與Rapid7警告的這項漏洞有關？有待進一步釐清。

印度駭客默默濫用AWS EC2實體挖礦的攻擊行動也相當值得留意，因為，這些駭客之所以能入侵特定的EC2帳號，是從程式碼儲存庫GitHub、GitLab，以及文字共享服務Pastebin下手，找出曝露的AWS帳密資料而能得逞。

【5月25日】伊朗駭客部署後門程式PowerExchange，將受害組織的郵件伺服器當作C2來隱匿行蹤

駭客組織建置C2中繼站又有新的手法，那就是濫用受害組織的郵件伺服器！資安業者Fortinet揭露利用惡意程式PowerExchange的攻擊行動，當中最特別的部分是：駭客既非自行架設C2中繼站，也沒有濫用雲端服務，而是透過前述的惡意程式，把受害組織的Exchange伺服器變成C2。

中國駭客組織Volt Typhoon針對關鍵基礎設施而來的攻擊行動也相當值得注意，微軟揭露針對美國而來的攻擊行動，並指出駭客幾乎沒有使用自行打造的惡意軟體，且透過適用於SOHO族的網路邊界設備將流量導向受害組織。

於今年初完成修補的WordPress外掛程式近期也出現攻擊行動。資安業者Wordfence揭露針對外掛程式Beautiful Cookie Consent Banner而來的攻擊行動，呼籲網站管理者應儘速安裝更新。

【5月26日】模擬紅隊演練的工具傳出遭到濫用，駭客拿來攻擊電網的工控設備

紅隊演練工具被駭客濫用的情況不斷發生，其中最常見的是Cobalt Strike，後來又有Brute Ratel C4（BRC4），以及採用Go語言開發的Geacon，但這些工具主要都是針對IT網路環境而來。最近資安業者Mandiant揭露名為CosmicEnergy的惡意軟體，並指出該程式最初的用途，可能是針對工業控制環境進行紅隊演練的工具。

殭屍網路Mirai的攻擊行動也相當值得留意，其中的IZ1H9變種鎖定了光纖數據機、Wi-Fi無線路由器、上網行為事件記錄系統而來，值得留意的是，駭客特別針對了兆勤（Zyxel）光纖數據機2年前修補的漏洞下手。

D-Link上週修補了網路設備管理系統D-View 8的漏洞，其中有2個屬於重大層級，但引起眾人關注的是，該公司提供的新版程式並非正式版本，而是處於測試階段的版本，此舉將導致使用者面臨修補與否的選擇難題。