【資安日報】7月4日，勒索軟體駭客BlackCat鎖定組織系統管理員，假借提供WinSCP應用程式取得初始入侵管道

勒索軟體駭客入侵受害組織的管道，往往可能透過特定應用系統的漏洞，在受害組織建立初期的存取管道，但現在有駭客針對系統管理員、網路管理員而來，打算利用他們的電腦做為初期據點，並藉此搜刮各種管理員帳密資料，來做為後續攻擊之用。

中國駭客針對歐洲外交單位的網路釣魚攻擊，也引起研究人員關注。這些駭客利用HTML挾帶（HTML Smuggling）手法，於受害電腦植入惡意軟體，根據駭客埋入HTML的檔案，研究人員看到兩大類型感染手法。

有資安業者針對上個月Fortinet修補的防火牆SSL VPN漏洞CVE-2023-27997提出警告，因為他們看到仍有近7成防火牆系統尚未套用相關的更新程式，而有可能成為駭客下手的目標。

【攻擊與威脅】

勒索軟體駭客BlackCat藉由提供WinSCP應用程式的名義，透過惡意廣告推送Cobalt Strike

資安業者趨勢科技揭露勒索軟體BlackCat（亦稱Alphv）近期的攻擊行動，駭客在Google、Bing兩大搜尋引擎投放惡意廣告，引誘想要下載檔案傳輸工具WinSCP的系統管理員、網路管理員上鉤，目的是藉此初步入侵企業網路環境。

一旦使用者透過廣告存取惡意網站winsccp[.]com，並依照指示下載安裝程式，就會從遭到入侵的WordPress網站下載ISO映像檔，然而使用者一旦開啟映像檔並執行其中的安裝程式，電腦在安裝WinSCP的過程裡，就有可能被植入木馬程式python310.dll，以及Cobalt Strike。

駭客成功執行上述的滲透測試工具後，便透過AdFind、PowerView、PsExec、BitsAdmin、Curl等應用程式，進行後續的攻擊行動，值得一提的是，駭客也使用了名為SpyBoy terminator的惡意軟體，繞過防毒軟體與EDR系統的偵測。

中國駭客發起SmugX攻擊行動，鎖定歐洲國家外交單位而來

資安業者Check Point揭露中國駭客自2022年12月開始的攻擊行動SmugX，駭客鎖定英國、法國、瑞典、烏克蘭、捷克、匈牙利、斯洛伐克的大使館或是外交部，以歐洲國家及外交政策為主題發動網路釣魚攻擊，利用HTML挾帶（HTML Smuggling）手法，將惡意酬載埋藏於HTML檔案的程式碼，最終於受害電腦部署惡意程式PlugX。

研究人員看到的感染流程可歸類為兩種，一種是HTML檔案會導致受害者下載含有LNK檔案的ZIP壓縮檔，而另一種HTML檔案則是會執行JavaScript指令碼，從遠端伺服器下載MSI安裝程式。

而對於駭客的身分，研究人員認為，SmugX攻擊行動與RedDelta、Mustang Panda兩個中國駭客組織有所交集，研判攻擊者是中國駭客，但無法確定是那個組織。

逾33萬臺Fortinet防火牆尚未修補SSL VPN重大漏洞CVE-2023-27997

資安業者Fortinet於6月8日修補防火牆作業系統零時差漏洞CVE-2023-27997（CVSS風險評分9.2），並指出已出現攻擊行動，但現在有研究人員發現，仍有大量的FortiGate防火牆尚未套用修補程式而曝險。

資安業者Bishop Fox指出，他們找到約有489,337萬臺啟用SSL VPN相關介面的防火牆曝露於網際網路，當中僅有153,414臺安裝相關更新，換言之，仍有335,923尚未修補上述漏洞，也就是有69%的防火牆曝露相關風險。

研究人員指出，他們發現部分防火牆長達8年未套用更新程式，亦有已屆生命週期終止（EOL）的防火牆仍在運作。

駭客組織Anonymous Sudan聲稱竊得3千萬筆微軟帳號資料，遭到該公司否認

6月上旬駭客組織Anonymous Sudan癱瘓微軟Outlook.com、OneDrive.com、Azure入口網站等數項服務，近期又有了新的動作。根據資安新聞網站Bleeping Computer的報導，該組織於7月2日聲稱成功入侵微軟，並盜走了大型資料庫，內含3千萬筆微軟帳號、電子郵件，以及密碼，他們以5萬美元的價格兜售上述資料，並提供100筆帳密供買家比對。

對此，微軟發言人向該新聞網站表示，他們目前並未發現客戶資料遭到異常存取的跡象。而對於駭客公布的部分資料，該新聞網站認為，有可能是從第三方服務供應商流出的舊資料。

【資安防禦措施】

兩家瑞典企業因使用Google Analytics違反GDPR遭罰

7月3日瑞典隱私保護局（IMY）宣布，已要求境內4家企業Tele2、CDON、Coop、Dagens Industri，停止使用網站流量分析工具Google Analytics，並對於其中的兩家業者Tele2及CDON，分別祭出1,200萬瑞典克朗及30萬瑞典克朗的罰款，原因是這些企業透過Google Analytics把瑞典民眾的資料傳輸至美國，違反了歐盟隱私保護法GDPR。

IMY的稽核行動源自於非營利歐洲數位權利中心（NOYB）的投訴，原因是上述4家瑞典企業違反歐盟法院於2020年裁決（當時歐盟法院廢除了歐美之間的Privacy Shield資料傳輸保護協議），且對於資料保護採取的安全防護措施皆未符合歐盟GDPR要求，其中，Tele2與CDON因未採取與另兩家業者同樣的廣泛保護，IMY處以行政罰款。

【資安產業動態】

臺美金融資安論壇6月底召開，指出資訊安全威脅與氣候變遷、環境永續議題同等重要

臺灣金融研訓院與美國在臺協會（AIT）於6月29日，舉辦臺美金融資安論壇，總統蔡英文、AIT處長孫曉雅皆出席此會議。

孫曉雅指出，資訊安全威脅的議題，與氣候變遷、環境永續同等重要，無論是美國還是臺灣，金融業經常面臨勒索軟體與駭客攻擊的威脅，在不法份子持續演進、變化的情況下，防守方的合作變得更為重要，美國政府已採取措施及祭出策略，透過資安領域的臺美合作機制，以及全球交流工作，美國持續致力於與理念相近夥伴打造更可信賴的供應鏈，此次論壇開啟了臺美金融資安聯防交流平臺的合作序幕。

資料來源

1. https://www.facebook.com/tabf.org/posts/pfbid02dLc5wUUQTrteCnkpHdNwhdN1Yy32Z2qiGjU31f1KmHGQYR1EM1vWNLTQdKWnnvr3l
2. https://www.facebook.com/AIT.Social.Media/posts/pfbid0Dig8wfckGdKMvNbCCshPUZ4ehrQjoNE7cxPwRWa16Se5YS26JUXJctFy1ZFQAHw2l
3. https://www.cna.com.tw/news/afe/202306290062.aspx