【資安週報】2023年10月16日到10月20日

在這一週漏洞利用消息中，有兩個新漏洞及兩個已知漏洞遭鎖定的消息，成為企業必需關注的重點，包括：

（一）思科公開網路設備作業系統IOS XE作業系統的零時差漏洞CVE-2023-20198，嚴重等級達到CVSS滿分，並警告大家已出現攻擊者成功利用該漏洞的情形，他們建議，目前用戶系統若是暴露在公開網路，應將IOS XE的HTTP Server功能關閉，並注意後續修補更新的釋出。揭露此消息之後的隔天，隨即有資安業者回報災情，因為他們發現多達數千臺Cisco IOS XE裝置已被植入了惡意檔案。
（二）Milesight工控路由器（industrial cellular routers）漏洞CVE-2023-43261已公開揭露，儘管該設備商表示已修補，但值得注意的是，有資安業者透露此漏洞可能已被惡意利用，並指出這類產品用於鐵路貨運運輸、自動提款機（ATM）網路與緊急車輛使用。依此態勢來看，交通與金融服務均可能面臨威脅。
（三）今年7月WinRAR修補的零時差漏洞（CVE-2023-38831），自4月即遭到攻擊者成功利用，本周有多家資安業者分別指出，發現俄羅斯與中國國家駭客組織所發動的網釣攻擊，正積極利用這個已知漏洞。
（四）今年9月JetBrains修補CI/CD軟體平臺TeamCity重大漏洞（CVE-2023-42793），如今傳出有北韓駭客組織Lazarus及旗下團體Andariel鎖定該已知漏洞利用的消息。

其他漏洞消息方面，包括：Juniper Networks修補網路設備作業系統逾30個漏洞、Oracle季度安全更新修補185個漏洞。

在網路威脅焦點上，我們選出幾個重大事件，包括2個新攻擊手法，以及4個鎖定不同產業而來的網路攻擊行動的揭露：

●新型態Magecart信用卡側錄（Card Skimming）攻擊行動的揭露，駭客使用了網站預設404錯誤訊息頁面來隱藏他們的惡意程式碼。我們甚至看到揭露的資安研究人員指出，這是他們前所未見的創造性隱匿手法。
●還有攻擊者部署竊資軟體時的新手法揭露，駭客濫用了幣安智能鏈（BSC）數位貨幣合約，也就是先利用植入WordPress的惡意程式碼，將流量導向幣安，再從區塊鏈取得惡意指令碼注入網站，這也導致攻擊程式碼難以清除的挑戰。
●關於電信產業的威脅，烏克蘭電腦緊急應變小組（CERT-UA）指出，最近半年來，該國至少11家電信業者遭到俄羅斯駭客組織Sandworm攻擊，他們也公布目前發現的駭客攻擊手法。
●東南亞國協會員國的外交單位遭鎖定，資安研究人員發現中國駭客使用的後門程式Bloodalchemy。
●東歐石油產業、天然氣公司、國防工業遭後門程式框架Meta鎖定，資安業者發現攻擊者從工控環境入侵總公司內部網路，並利用釣魚郵件、IE瀏覽器漏洞CVE-2021-26411觸發感染鏈，入侵財務系統的伺服器。
●程式開發與資料科學領域常用的Jupyter Notebook遭鎖定，駭客除了將伺服器的運算資源拿來挖礦，也企圖竊取組織使用的AWS、Google Cloud雲端服務帳密資料，進一步擴大危害的範圍。

另外，還有3起資料外洩消息，包括：卡西歐坦承他們的教育網頁應用程式ClassPad.net的開發環境伺服器，遭到未經授權存取而洩漏資料，波及149國客戶；基因檢驗業者23andMe傳出資料外洩，410萬筆英國民眾資料流入駭客論壇；臺灣網路設備廠商友訊科技（D-Link）傳資料外洩，該公司證實的確有程式碼外洩的情況，起因是員工遭網釣攻擊，而且，他們表示，外流資料並非駭客宣稱的D-View原始碼，而是舊的會員註冊網站的程式碼。這項說法顯然有別於先前傳聞，孰是孰非仍有待觀察。

至於防護態勢上，開源軟體供應鏈安全領域今年受到各界重視，範圍相當廣泛，雖然多家廠商均宣示要強化管控，但在開發人員之間流通的各種延伸套件，資安問題仍層出不窮，現在終於出現提升能見度的新做法。由於過去缺乏惡意套件公共資料庫，不易匯總相關發現與報告，因此開源安全基金會OpenSSFGitHub上推出惡意套件儲存庫，幫助外界更有效掌握已知惡意套件；在金融詐騙安全防護領域，臺灣今年積極引進與推動AI進行協助，例如，內政部警政署刑事警察局4月成立AI鷹眼識詐聯盟，其AI偵測專利技術的「鷹眼模型」由北富銀與內政部刑事警察局合作開發，本周有32家銀行宣布加入該聯盟，擴大鷹眼模型防護範圍，預計明年6月前完成導入。

【10月16日】Skype用戶注意！駭客利用外洩帳號發送訊息，透過內嵌VBA指令碼的檔案散布惡意程式DarkGate

小心！合作夥伴傳來的即時通訊軟體訊息，有可能是駭客散布惡意程式的手段！研究人員揭露利用Skype散布惡意軟體DarkGate的攻擊行動，駭客先是利用已經外洩的帳號，向受害者的合作廠商來發送訊息，若一時不察而開啟檔案，就會中標。

值得留意的是，駭客會解析外洩帳號的對話內容，而刻意依循此脈絡來調整作為誘餌的檔案名稱，命名方式可能與自己在此溝通的業務內容有關，目的是降低收訊者的警覺而使其開啟檔案。由於過去已有駭客利用Teams訊息散布DarkGate惡意軟體的前例，現在改用Skype來傳播，日後攻擊者可能也會會濫用其他服務來發動攻擊。

【10月17日】駭客假借提供以色列民眾空襲警報應用程式，意圖搜括安卓手機用戶各式資料

以色列與巴勒斯坦的軍事衝突已經進行超過一個星期，表達支持態度的網路攻擊也隨之而來，駭客組織選邊站，近100個團體對各式關鍵基礎設施發動攻擊，多是宣示立場的DDoS攻擊。這當中比較特別的攻擊目標，是以色列空襲警報行動應用程式Red Alert，有人假借提供該App，針對安卓用戶散布惡意程式。

但針對Red Alert的攻擊行動並非首例。巴勒斯坦駭客組織AnonGhost日前聲稱透過此通報系統的API，向以色列民眾發出假的核彈警報。

【10月18日】使用Telegram、AWS、阿里雲的開發人員遭到鎖定，駭客透過PyPI套件發動供應鏈攻擊

散布惡意NPM、PyPI套件攻擊開發者的事故頻傳，許多程式碼檢測工具供相關機制因應，但道高一尺魔高一丈，有攻擊者刻意將惡意程式碼埋於他處，導致檢測工具難以偵測這類狀況。

最近由資安業者Checkmarx揭露的攻擊就用這種手法，駭客埋藏的程式碼須在應用系統呼叫特定功能函數，才會觸發，於受害電腦挖崛開發人員的各種資料。

【10月19日】互動式運算平臺Jupyter Notebook遭到鎖定，駭客部署惡意程式，從中挖礦並盜取雲端服務帳密

在程式開發與資料科學領域常用的Jupyter Notebook，傳出遭到網路攻擊鎖定的情況，今年7月有人將其用於散布惡意程式PyLoose，將這種伺服器拿來挖礦牟利，如今針對這類運算平臺的攻擊行動再度出現。

資安業者Cado揭露的Qubitstrike，正是這種型態的惡意行為，但不同的地方在於，駭客除了將伺服器的運算資源拿來挖礦，也企圖找尋組織的雲端服務帳密資料，進一步擴大危害的範圍。

【10月20日】駭客利用後門程式框架Meta攻擊東歐國家的石油產業、天然氣公司、國防工業

資安防護通常較為薄弱的工廠操作科技（OT）環境，駭客可能將其視為入侵整個企業的管道！有研究人員揭露去年下旬出現的惡意軟體Meta的攻擊行動，駭客先是針對工業控制系統下手，得逞後進一步攻擊總公司及其他分公司。

值得留意的是，有別於許多攻擊行動的網釣攻擊是針對Chrome而來，近日一波攻擊駭客仍利用2年前的IE已知漏洞，來鎖定仍未汰換IE的企業組織。