【資安月報】2023年6月

在今年6月的資安新聞中，以勒索軟體攻擊與供應鏈攻擊為主要焦點。

在國內方面，首要焦點就是勒索軟體Lockbit駭客在6月30日聲稱，台積電成為他們的受害者，當日台積電否認遭駭，並表示已注意到一家合作IT硬體供應商發生資安事故，並已依照標準作業程序來處置。而關於這家IT硬體供應商的身分，媒體報導指向擎昊科技，後續，擎昊科技在同一日發布資安事件的公告，說明遭遇網路攻擊並被擷取相關資訊的環境為工程測試區，主要是出貨的基本設定等參數資訊流出，而因為當中使用到特定客戶的公司名稱，因此引起攻擊者的注意，並指出這些資訊無關用戶的實際應用。這起事件的發生，有可能是攻擊者搞錯攻擊對象，但多少反映供應鏈安全的議題，也提醒我們勒索軟體組織近年時常針對供應鏈發動攻擊，從供應鏈脆弱的環節著手的態勢。

關於Lockbit的危害，其實這兩年新聞已經是不斷，值得留意的是，今年6月中旬，多國網路安全機構對其發出聯合安全公告，指出近三年來，Lockbit受害組織數量達1,653個，是這兩年最活躍的勒索軟體即服務（RaaS），而當中也剖析了LockBit的攻擊步驟，並提供攻擊流程各階段的防護緩解措施。

此外，在我們盤點這一個月的臺灣重大資安消息時，新發現國內上櫃公司、主推GPS相關應用的環天世通科技（環天科），在6月19日發布資安事件重大訊息，說明公司發生部分資訊系統遭受駭客網路攻擊的狀況。

在國際方面，5月底MFT檔案傳輸系統MOVEit Transfer的零時差漏洞攻擊爆出後，這起軟體供應鏈攻擊的事件，所造成的災情在整個6月變得更加顯著，隨著後續消息不斷揭露，曝光的受害企業是越來越多。

當中備受矚目的受害者包括：英國電信主管機關Ofcom、英國航空、BBC、愛爾蘭航空、藥妝連鎖Boots、薪資軟體服務商Zellis，石油巨擘Shell，以及美國能源部等多個聯邦與州政機關受害，而在後續勒索軟體組織Clop陸續公布的受害名單中，還包括資安業者Gen Digital、以及美國多個金融、醫療領域的公司與組織，最新還出現德國西門子能源公司、法國施耐德電機等。

由於美國受害單位眾多，這也引發美國國務院外交安全局在其正義獎勵計畫中，祭出了千萬懸賞，鼓勵外界舉報幕後攻擊者的資訊。而根據微軟的調查指出，這波攻擊與發動Clop勒索軟體的駭客組織有關，攻擊背後應是Lace Tempest（又名DEV-0950、FIN11與TA505等）的駭客組織所為。此外，我們也找到研究公司Kon Briefing的網站，他們設立了專頁整理、統計受害者的資訊，當中顯示有20多國、逾170家公司或組織受影響，美國數量最多，其次為德國、英國。

其他重要資安焦點新聞方面，包括：本月歐洲議會針對AI法《AI Art》草案的投票通過，即將成為全球第一個人工智慧法案，將針對某些可能嚴重影響人類安全的AI應用予以禁止，並設計AI風險等級，用以規範開發商與採用組織的義務；關於MITRE發布的CWE通用弱點列表，近日公布2023年版最常見且危險的軟體安全缺陷，占據前三名的是越界寫入的CWE-787，XSS的CWE-79，SQL Injection的CWE-89，特別的是，使用已釋放記憶體（Use After Free）的CWE-416比去年上升三名。還有像是Google發表了安全AI框架（Secure AI Framework，SAIF），美國CISA、NSA發布了伺服器基板管理控制器（BMC）的安全強化指南。

【資安週報】2023年6月5日到6月9日

在這一週的漏洞消息中，有3個重點，首先是Google釋出新版Chrome修補零時差漏洞CVE-2023-3079，這是一個Chromium的V8類型混淆漏洞，該公司指出已出現攻擊行動，另一是上週（６月１日）有資安業者警告，攻擊者可能利用Zyxel新修補的漏洞CVE-2023-33009、CVE-2023-33010，如今也被美國CISA列入已知漏洞利用清單。另外值得注意的是，有研究人員示警，微軟4月修補的一項Visual Studio漏洞，是容易被利用的漏洞，恐被用於滲透開發環境。

在攻擊活動與威脅態勢方面，最大焦點，是5月下半針對MOVEit Transfer零時差漏洞的攻擊事件，受到多家資安業者關注，並揭露後續消息，包括其攻擊背後是勒索軟體駭客組織Clop所發動，以及受害企業可能達百家之多，還有攻擊者可能在2年前就發現了漏洞，經長期測試後才根據排程發動攻擊。另外，我們在整理事件後續進展時，新發現已有資安調查業者整理與公告事件相關脈絡。

關於勒索軟體持續與中國駭客組織的消息不少。在勒索軟體方面，包含0mega鎖定企業用SharePoint Online，以及Cyclops結合竊資軟體功能的揭露：在中國駭客攻擊方面，有多家資安業者揭露不同組織的新動向，分別是Camaro Dragon利用後門程式TinyNote鎖定東南亞外交單位，PostalFurious鎖定星、馬，甚至阿拉伯國家發動網釣簡訊攻擊，以及SharpPanda透過Office方程式編輯工具老舊漏洞的攻擊行動，已從東南亞擴散至G20國家。

另外還有3個威脅活動也值得關注，包括資料流自動化處理系統Apache NiFi遭駭客鎖定，殭屍網路TrueBot鎖定稽核軟體Netwrix重大漏洞，以及PowerDrop的PowerShell惡意程式鎖定美國太空產業部署RAT的揭露。

【資安週報】2023年6月12日到6月17日

在這一週的漏洞消息中，在漏洞利用方面，有兩個需優先注意，首先是Fortinet修補其防火牆產品的SSL VPN漏洞CVE-2023-27997，已被美國CISA列入已知成功利用清單，另一是VMware ESXi一項CVSS評分為3.9分的零時差漏洞CVE-2023-20867被中國駭客UNC3886運用於最新攻擊的揭露，VMware亦於同日釋出修補。

在漏洞修補方面，微軟釋出6月例行性安全更新以修補近80個漏洞，還有多家科技大廠發布安全性更新修補公告，包括Progress、SAP、西門子、施耐德電機等。

國際間還有4項值得關注的重要資安事件，包括瑞士國家網路安全中心（NCSC）公布，該國聯邦機構與國營企業的網站遭俄羅斯駭客組織NoName攻擊；韓國國家情報院（NIS）警告，北韓駭客偽冒韓國最大入口網站Naver，透過即時鏡像複製Naver網站內容、並註冊以NAVER混淆的相近網域名稱；以及智利軍隊遭勒索軟體攻擊的揭露。

此外，前陣子的2起重大資安事件有新消息，包括遭遇MOVEit Transfer零時差漏洞攻擊的受害者名單陸續浮上檯面，以及針對Barracuda郵件安全閘道零時差漏洞的攻擊，疑為中國駭客組織UNC4841所為。在其他威脅態勢方面，有中國駭客組織ChamelGang針對Linux主機攻擊，並以DoH方式連線C2中繼站規避偵測的揭露，以及發現駭客假冒資安研究人員姓名照片上傳零時差漏洞PoC的情形。同時，有研究指出ChatGPT回答程式語言問題時，會給出不存在的NPM套件、PyPI套件的名稱，因而存在可被駭客加以濫用的風險。

在資安防護焦點上，最受關注的莫過於歐洲議會針對AI法《AI Art》草案的歷史性投票通過，不僅是針對某些可能嚴重影響人類安全的AI應用予以禁止，並以AI風險等級，規範開發商與採用組織的義務，而臺灣AI基本法的立法倡議仍不明朗亦因此受關注。另外，針對近兩年危害最大的勒索軟體LockBit，多國網路安全機構發布新的聯合安全公告，說明其攻擊手法與防護建議。

【資安週報】2023年6月19日到6月21日

在這一週的漏洞消息方面，有兩大焦點，蘋果在21日針對較早版本iOS、iPadOS（16.5.1、15.7.7），共修補3個已獲報遭鎖定利用的零時差漏洞（CVE-2023-32434、CVE-2034-32435及CVE-2023-32439），而微軟Azure AD的OAuth身分驗證機制被揭露其實作存在缺陷，微軟正著手修補。其他還有兆勤修補NAS漏洞，施耐德電機、Wago設備修補的消息，以及WD將針對未修補重大漏洞的設備，限制存取其雲端服務。

在威脅態勢方面，以路由器安全漏洞消息與殭屍網路動向最受關注，首先是19日華碩發布路由器的韌體更新，修補了9個漏洞，其中3個是今年的新漏洞，6個是早年就揭露的已知漏洞，其中CVE-2022-26376和CVE-2018-1160是重大漏洞；接著是20日TP-Link路由器3月修補的一項漏洞遭新殭屍網路Condi Network鎖定，而我們整理這週資訊時，由於端午連假期間還有一起相關事件，因此這裡也特別補充，那就是Mirai殭屍網路鎖定多家路由器去年或今年上半修補的已知漏洞，針對未修補用戶發動攻擊的情形。

其他攻擊與威脅焦點中，有兩大活動揭露值得注意，一是用戶刪除的AWS S3儲存桶竟遭非法人士占用並散布惡意軟體，另一是針對釣魚工具包去年普遍納入MFA Bypass能力的揭露。其他焦點包括：殭屍網路Tsunami鎖定SSH伺服器，竊資軟體RDStealer透過RDP向C2傳送竊取資料，以及竊資軟體Vidar、Mystic均有攻擊升溫的揭露。

另外，MOVEit Transfer零時差漏洞攻擊持續有後續消息，包括美國有兩個州政府公告民眾個資外洩，以及旗下擁有Avast、Avira、AVG、Norton、LifeLock多家防毒品牌的資安業者Gen Digital也受害，而美國國務院外交安全局更宣布，在其正義獎勵計畫祭出千萬美元懸賞，鼓勵外界舉報幕後Clop勒索軟體集團的資訊。

【資安週報】2023年6月26日到6月30日

這一週的資安消息中，以Lockbit與Akira勒索軟體的動向最受關注。以Lockbit而言，30日他們聲稱台積電為受害者，但其實不然，當日下午台積電指出是IT硬體供應商遭駭，而被多家媒體指為真正受害的擎昊科技也坦承遭駭，而我們後續也向該公司了解狀況，該公司表示已於30日在網站發布遭遇資安事件的公告，當中指出因為外洩資料揭露的硬體初始設定資訊中出現特定客戶名稱而導致：以Akira而言，資安新聞網站Bleeping Computer提出警告，指出該組織的駭客已打造Linux版本，正鎖定VMware ESXi虛擬機器攻擊，而我們在周五密切關注勒索軟體受害者的消息時，也發現資安業者所監控暗網這方面資訊中，近期的確有相當大量Akira勒索軟體受害者被公布的情況，值得關注。

在漏洞消息方面，近日有多個漏洞已遭攻擊者成功利用，成為必須關注的焦點，包括前一周Zyxel修補的CVE-2023-27992重大漏洞，VMware在6月初修補的網路分析系統Aria Operations for Networks的CVE-2023-20887，如今已遭攻擊者鎖定。

此外，從美國CISA已知漏洞利用清單，我們新發現還有多個老舊漏洞被納入，因此這裡也特別補充，包括：微軟Win32漏洞（CVE-2016-0165）、Mozilla Firefox ESR與Thunderbird的漏洞（CVE-2016-9079），Roundcube Webmail的3個漏洞（的CVE-2021-44026、CVE-2020-12641、CVE-2020-12641），三星裝置的6個漏洞（CVE-2021-25372、CVE-2021-25371、CVE-2021-25395、CVE-2021-25394、CVE-2021-25489、CVE-2021-25487），以及D-Link兩款路由器的漏洞（CVE-2021-25487、CVE-2019-20500）。

在其他威脅態勢上，值得關注的焦點主要有三，包括，處理程序注入新手法Mockingja，駭客組織Muddled Libra針對業務外包業者（BPO）的攻擊手法，以及駭客濫用OpenSSH部署以Shell指令碼打造後門程式的揭露。

2023年5月資安月報

2023年4月資安月報

2023年3月資安月報

2023年2月資安月報

2023年1月資安月報

2022年12月資安月報