【資安週報】2023年8月21日到8月25日

在這一週有多個漏洞利用消息，其中併入Ivanti的MobileIron產品線與WinRAR的開發商Rarlab各修補了一項零時差漏洞。

●Ivanti在8月21日修補行動裝置安全閘道Sentry的CVE-2023-38035漏洞，並表示已有部分用戶遭受相關漏洞攻擊。
●RARLab在7月20日修補WinRAR的CVE-2023-38831漏洞，不過近期有資安業者研究發現，今年4月已出現針對該漏洞的攻擊。
●由Ignite Realtime社群開發的開源即時通訊系統Openfire，今年5月修補了主控臺路徑穿越漏洞CVE-2023-32315，最近出現有關攻擊手法。
●Veeam今年3月修補Backup & Replication（VBR）備份解決方案的漏洞CVE-2023-27532，近日發現勒索軟體Cuba針對未修補的系統進行攻擊。

還有兩起已知漏洞後續出現遭成功利用狀況，本週收錄的資安日報新聞尚未提及，也必須要重視：
●Adobe在3月修補的ColdFusion反序列化漏洞（CVE-2023-26359）
●Citrix在6月修補Content Collaboration的漏洞（CVE-2023-24489）

其他值得注意的漏洞消息，包括開源網路管理軟體OpenNMS於8月9日修補一重大漏洞，以及Dell Compellent的vCenter整合工具DSITV有一資訊洩露漏洞的揭露，但由於產品生命週期已終止，廠商不再修補，可能成為駭客鎖定目標。

在重要資安消息方面，有三起事件值得我們關切，包括：
●惡意軟體HiatusRAT攻擊的揭露，因為有資安業者指出該木馬程式原先3月駭客鎖定歐洲及拉丁美洲，但在今年6到8月間已將目標轉向臺灣及美國，並觀察到有臺灣半導體、化學製造廠與縣市政府遭鎖定情況。
●關於勒索軟體Akira的威脅態勢上，近日有新的研究調查結果，指出該組織很有可能鎖定思科VPN軟體的漏洞下手，繞過身分驗證流程以入侵目標系統。
●AT&T的資安研究團隊揭露名為ProxyNation的惡意活動，攻擊者主要鎖定Windows電腦並部署代理伺服器應用程式（Proxyware）。

其他值得關注的消息與事件，在國際間，我們看到丹麥主機代管業者CloudNordic、Azero Cloud遭遇勒索軟體攻擊，災情非常嚴重，伺服器磁碟資料與主要次要備份系統全遭加密，這導致大多數的用戶資料無法復原，還有大型語言學習網站DuoLingo傳資料外洩，中國駭客鎖定東南亞賭博產業攻擊行動的揭露。

關於攻擊手法上，在最近的資安新聞中我們看到幾個惡意活動也不容輕忽，例如，建置殭屍網路Smoke Loader的駭客，正散布名為Whiffy Recon的Wi-Fi掃描惡意程式，其特性是會向C2回傳受害電腦的無線網路與地理位置資訊；有攻擊者假冒網管工具Advanced IP Scanner名義，透過SEO Poisoning手法來散布惡意程式DarkGate；又有新一波針對Mac電腦攻擊的活動，是假借OfficeNote等生產力應用程式名義並帶有開發人員簽章，用以散布惡意軟體XLoader。

至於防禦焦點上，近日我國鴻海研究院聯手美國麻省理工學院（MIT）多媒體實驗室推出黑客松的競賽，相當難得，當中推出了更容易入門的輕型無人車車用平臺EVπ，盼推動電動車創新服務將Security by Design視為基礎。此外，美國CISA公布JCDC遠端監控與管理（RMM）的網路防禦計畫，強調將提升RMM生態系的安全性與韌性。

【8月21日】逾3千個安卓惡意軟體採用不支援的壓縮格式演算法，目的是防止被研究人員反組譯

駭客鎖定安卓裝置散布惡意軟體的情況，近期可說是相當頻繁， 但最近出現較為罕見的攻擊手法引起研究人員關注。因為，這種手法鎖定研究人員而來，防止他們利用各式的工具拆解惡意APK檔案。有資安業者進一步調查，發現市面上至少有3千個惡意App採用此類方法來打包安裝程式，從而影響各式靜態分析工具的運作。

值得一提的是，上述手段並非新的攻擊手法，有研究人員指出，最早曾在2014年就出現類似的攻擊行動。

【8月22日】木馬程式HiatusRAT鎖定臺灣而來，半導體、化學製造業、縣市政府成為目標

木馬程式HiatusRAT今年3月被揭露，當時研究人員發現駭客主要針對歐洲及拉丁美洲而來，但事隔3個月，現在這些駭客轉移目標，竟然針對臺灣的製造業、縣市政府，以及美國軍事採購系統而來，由於目標出現如此大幅度的轉變，使得研究人員推測這群攻擊者很可能與中國政府有關。

另一起與地緣政治有關的攻擊行動，則是針對美韓進行的大規模軍事演習Ulchi Freedom Shield而來，傳出北韓駭客Kimsuky對參與演習的承包商發送釣魚郵件。

【8月23日】研究人員揭露勒索軟體Akira新攻擊手法，駭客鎖定思科VPN系統做為初始入侵管道

有駭客使用了較為罕見的攻擊模式，使得研究人員難以找出其確切的作案手法和過程。例如，勒索軟體Akira的攻擊行動，最早是資安業者Sophos於5月發現跡象，直到最近有了新的進展。惡意軟體分析員Aura、資安業者SentinelOne指出，駭客鎖定特定廠牌的VPN系統入侵受害組織，但究竟他們如何成功通過身分驗證？兩組研究人員有不同的推測。

另一方面，資安業者SentinelOne指出這些駭客還會利用開源的遠端桌面連線工具RustDesk存取受害組織網路，而這是他們首度看到有人濫用此工具來進行網路攻擊。

【8月24日】DuoLingo用戶個資傳出在駭客論壇兜售，疑似因API臭蟲而外洩

駭客透過網頁抓取手法收集網站使用者的資料，屢見不鮮，然而面對這類資料外洩行為，站方不易察覺，通常要等到駭客兜售之後，網站服務業者才意識到商譽嚴重受損，而開始著手進行調查，但為時已晚。例如，有人在駭客論壇BreachedForums宣稱取得260萬筆語言學習網站DuoLingo的用戶資料，該公司著手調查此事，並強調他們沒有遭到入侵。

但值得留意的是，有資安新聞網站指出，駭客很可能是利用該公司曝露超過半年的API漏洞，取得相關資料，後續情況有待進一步觀察。

【8月25日】北韓駭客Lazarus鎖定歐洲、美國組織，利用Zoho ManageEngine服務臺系統漏洞發動攻擊

北韓駭客Lazarus近期的動作頻頻，不時傳出對於臨近的韓國，以及位於地球另一端的歐洲國家發動攻擊，而最近研究人員揭露的新一波攻擊行動，是針對IT服務臺系統Zoho ManageEngine ServiceDesk而來。值得留意的是，駭客在漏洞公布的數天後，就將其用於攻擊行動，而讓尚未修補的企業組織措手不及。

另一方面，研究人員發現駭客也改良了作案工具，使得在上述攻擊行動出現的惡意軟體行蹤更難察覺。