今年11月的資安新聞,最讓我們印象深刻的就是,看到防詐議題逐漸升格成為需要獨立看待的威脅。

更關鍵的是,從2019年我們報導深度偽冒Deepfake與AI語音技術門檻降低的情形,現在2023年,許多專家已開始呼籲與提醒,真偽難辨的AI詐騙已是現在進行式。

近期我們注意到有兩大事件,都與這方面的議題相關,包括:

(一)11月下旬,第一屆亞洲防詐高峰會(ASAS)在臺舉行,不僅公布了亞洲10國最常見的詐騙場景,第一嚴重是「身分盜用(含個資盜用/盜刷)」,其次是「購物詐騙」,第三為「投資詐騙」,現場多位專家更是指出,AI詐騙時代已來臨,不肖份子已將文字轉語音、以及一些Deepfake技術用於詐騙,因此,個人與企業的防詐態度也必須調整。

(二)Google Cloud在11月9日,發布2024年網路安全預測報告,當中一項預測就是指出,隨著惡意生成式AI興起,如FraudGPT和WormGPT等,將使網釣內容更逼真,減少過去拼寫或語法錯誤的問題,或是缺乏文化背景的情況。甚至虛假內容的深度偽造照片與影片,將延伸至主流新聞平臺,降低公眾資訊的信任,未來,企業或政府要與其受眾進行交流,可能會變得越來越困難。其實還有多家資安業者都在2024年度資安預測中,提及這方面的議題。

近期資安業者揭露2023年中國駭客網路攻擊的社交工程新樣態

回顧過去十多年,不只是臺灣社會新聞,有非常多的網路詐騙案件報導,在國際間,像是美國FBI旗下網路犯罪投訴中心(IC3)每年也會公布各類詐騙案件與損失金額,尤其是商業電子郵件詐騙(BEC詐騙),因其詐騙金額之高,企業頻頻受害,屢屢登上資安新聞版面。

在許多網釣攻擊事件中,很多也包含了與身分冒用、社交工程有關的詐騙伎倆。事實上,社交工程就是一種利用人類心理與人際關係的攻擊手法,會運用欺騙或誘導的伎倆。

以針對企業組織人員的社交工程手法而言,近期我們也得知,現在的網釣行動,正採用更多一般詐騙會慣用的伎倆。12月1日我們參加安碁資訊的活動時,看到他們介紹了2023年看到的社交工程新攻擊樣態,當中說明了兩起中國駭客組織BlackTech的攻擊手法。

第一起事件,其釣魚郵件的名義是假借活動邀請,並在郵件中提供惡意超連結,若使用者不上當,則會再次發信提醒受害者參加。簡單來說,攻擊者是透過日常溝通方式,設法降低人員的戒心。

第二起事件,則是攻擊者偽裝成一般民眾,先發送正常的內容至民眾服務信箱,詢問政府相關法規事宜,以降低政府人員警覺,並取得信任,等政府人員回覆後,攻擊者再接續詢問,但此時會在郵件中夾帶惡意連結。

這樣的手法,其實跟往年常見的愛情詐騙的過程十分相似,邏輯幾乎相同,一開始先正常交友對話,後面才用其他藉口,來達到其騙錢的意圖,而這裡的目的則是要騙使用者去點擊惡意連結。

可惜的是,一般民眾對於上述這類消息仍然相當陌生。

即便是對於民眾的詐騙手法,到了2023年,有些民眾也是知之甚少。

以解除分期詐騙來說,過去七八年來,警方一再公布這類詐騙手法,駭客會假冒電商或品牌客服人員來電,再假冒金融業者客服來電,不只是新聞報導,還有許多接到詐騙的民眾在網路上分享自身經驗,指出對方知道自己的購物內容,疑似電商發生資料外洩。

但是,有些民眾仍只知道詐騙很多,並不太關心這方面問題。像是最近有受害民眾在網路上分享受害經驗,他表示自己接到電話時,認為應該是詐騙,但等到對方客服跟他確認個人資料與訂單資料後,他又相信了對方,因此聽從對方而造成金錢受騙。

這也意味著,該民眾之前可能沒有深入了解這些警方呼籲的內容,以及新聞或網友分享的這方面的內容,因此不太知道實際網路威脅現況,例如,詐騙者知道你的訂單記錄與個資已是常態,對方會雙重假冒客服及銀行人員,ATM不提供取消分期功能,種種資訊落差造成受害者無法了解為何要再透過第二管道確認。

他們更沒想過的是:這些詐騙都是濫用合法管道去散布,我們與他人用一些常見的管道溝通,詐騙集團也會用同樣管道、假冒名義來跟你溝通。

國際間已有AI詐騙實例,臺灣民眾防詐觀念必須轉變

在2023年更重要的是,面對AI詐騙的新興威脅,全球持續在設法應對,如今更是示警這類威脅已經實際發生。

例如,今年11月16日,美國聯邦貿易委員會(FTC)宣布舉辦一項挑戰賽,目的是防止AI語音複製的危害,當中提到他們今年曾示警,詐騙者正將AI技術用於親人緊急詐騙。

FTC指出,這些AI詐騙,可能使詐騙者更容易冒充家人、朋友或企業主管。因此,聲音也將變得不能相信。最好的方式就是查證與核實情況,從自己知道的號碼回撥,或透過其他家庭成員朋友幫助聯繫,透過第二管道來確認。此外,之前不少執法單位與資安界人士也表示,雙方可能要擁有彼此之間的通關密語,透過更多方式來確認。

值得我們警惕的是,國際間已經開始有此狀況,臺灣雖然少有聽聞,但民眾應該先要知道這件事。

過去可能大家會注意,文字式的即時通訊,網路另一端可能不是真正的對方,除非我們看得到影像、聽得到聲音,才相信是對方是真正的對方。

但是現在,在AI詐騙興起之下,首先要扭轉的觀念就是,即便看到對方影像、聽到對方聲音,都沒有問題,但是,現在不只要想到對方是否可能被要脅,也要預先設想對方是否並非本人,特別是當對方說出異於平時的要求時。

企業更要擔心的是,過去帶來極大損失的商業電子郵件詐騙(BEC),若是也在AI詐騙加持之下,假冒自家老闆來電或視訊,通知財務人員匯款至另一帳戶,將可能使BEC詐騙問題變得更嚴重。

民眾、企業員工、政府人員都要懂自保,但共同打擊詐騙上仍要再努力

除了向民眾宣導如何自保,在詐騙的防堵工作上,也有很多值得政府與企業討論的議題。包括:詐騙金流的阻斷,車手刑罰的提高,平臺業者(電信業者、網路平臺業者)對於詐騙防範的積極度,以及促進民眾共同檢舉與通報。還有就是面對AI詐騙的新問題,如何運用新技術來防範等。這些議題,其實每個都可以單獨去討論。

例如,最近11月15日,臺灣新北地方法院刑事一起判決中,列出多起冒用身分的解除分期詐騙案件,包括詐騙集團成員冒充統聯客運客服,致電民眾佯稱:「因系統遭駭客入侵,使民眾重複訂票,需聽從指示操作」,此案其他被冒用的名義還包括旋轉拍賣賣家、蝦皮買家、豐家大飯店經理、CACO客服,而這個判決是針對執法單位抓到的楊姓民眾,該民眾與詐騙集團合作擔任車手,因而被法院判處1年1個月。當中突顯兩個問題點,有民眾不共同防詐,竟加入車手幫助詐騙民眾,以及政府判刑是否過輕,都成為打詐時的議論焦點。

此外,對於透過電信業與網路平臺的詐騙簡訊、詐騙廣告,這些業者收了簡訊費、廣告費,也表示做了許多防詐措施,但其實仍有相當多漏網之魚,使得民眾依然不斷收到這類詐騙訊息,這也突顯企業與政府在打詐上的挑戰。未來,若是攻擊者所下網路廣告,不只是冒用名人圖片,還用上越來越難辨真偽的AI造假影像與聲音,又將會使詐騙威脅更加嚴峻。

 

【資安週報】2023年10月30日到11月3日

在這一週漏洞利用消息中,有兩個新揭露的已知漏洞隨即遭攻擊者鎖定的消息,持續提醒企業及時修補的重要性。

(一)Apache軟體基金會的訊息導向中介軟體ActiveMQ,在10月25日釋出新版修補CVSS風險高達10分的漏洞CVE-2023-46604。相隔兩日,資安業者發現勒索軟體HelloKitty的駭客開始鎖定此一已知漏洞,針對尚未修補該漏洞的企業發起攻擊行動。
(二)F5在10月27日針對應用程式交付平臺BIG-IP修補兩個漏洞,分別是CVE-2023-46747與CVE-2023-46748,到了10月30日,F5更新公告指出,修補釋出後發現開始有攻擊者在攻擊行動中利用這兩個已知漏洞。

其他重要漏洞修補消息中,包括適用於K8s環境的Nginx Ingress控制器有多個漏洞修補,以及Atlassian針對DevOps協作平臺Confluence的重大漏洞修補,已有研究人員與業者示警應盡速修補。

在資安防禦進展上,本週我們關注到有多個焦點,統整為以下五大範疇:漏洞評分標準、攻擊手法解析、勒索軟體防範、AI安全法規推動,以及科技大廠宣布調整資安應對策略。
●FIRST推出新版漏洞風險評分系統CVSS 4.0:這是2019年6月CVSS 3.1版推出後的重大改版,新版分數呈現上不只有列出基本分數的CVSS-B,還加上威脅評分的CVSS-BT、加上環境評分的CVSS-BE,以及統合3種分數的CVSS-BTE。
●MITRE發布第14版ATT&CK:當中指出隨著攻擊者不斷發展對人性弱點(human vulnerabilities)的利用,因此這次版本擴大到這類非技術攻擊面,例如:T1657的金融竊盜、T1656的模擬冒充、T1598.004的魚叉式網路釣魚語音。
●AI安全持續受全球政府關切:10月30日美國總統拜登簽署首個AI行政命令,11月1日英國號召的首屆AI安全高峰會(AI Safety Summit)舉行,多國簽署布萊切利宣言,並就人工智慧最前線(Frontier AI)所帶來的機會與風險達成共識。
●對抗勒索軟體威脅仰賴全球合作:美國主導的國際反勒索軟體高峰會(CRI)今年邁入第3屆,制訂首個CRI聯合政策聲明,成員數目亦達到50個,新增國際刑警組織,以及埃及、希臘、約旦等12國。
●面對持續升溫的網路威脅,微軟宣布即日起將採新應對措施:該公司提出Secure Future Initiative(SFI)的未來安全倡議,將從三大方面著手,發展基於AI的安全防禦、落實安全軟體開發,以及呼籲制定更全面性的國際資安規範。

在威脅事件焦點方面,近日有兩起受關注,一是航空製造業龍頭波音證實遭遇網路攻擊,導致零件配送網站服務中斷,另一是身分驗證解決方案業者Okta再傳資料外洩,起因為第三方供應商遭駭。

我們也特別注意到一個新的威脅態勢,近期有資安業者揭露網路犯罪供應鏈的分工是越來越細緻,不只是前幾年常提到的「初始入侵管道掮客(Initial Access Broker)」,就連攻擊者使用的短網址也有專門供應商服務,並指出這樣的組織至少已存在4年之久,註冊上萬網域來提供攻擊行動的短網址服務。

另一個無法忽略的狀況是,今年早先發生的資安事件,至今仍持續有相關消息傳出,顯示後續影響仍大。例如,近期有多家業者傳出的資安事件,起因公布是先前MOVEit Transfer零時差漏洞攻擊所導致;有加密貨幣竊盜事故,研究人員指出起因疑與先前密碼管理解決方案LastPass資料外洩有關;此外,針對2020年SolarWinds供應鏈攻擊事故,美國證券交易委員指控該公司蓄意隱瞞。

【資安週報】2023年11月6日到11月10日

在這一週漏洞利用消息中,今年5月曾發動MOVEit Transfer零時差漏洞攻擊的駭客組織,近期有了新的目標,成為最大關注焦點,還有兩個已知漏洞遭攻擊者鎖定利用的情形也必須留意。

(一)IT服務管理軟體供應商SysAid在11月8日修補已遭利用的零時差漏洞CVE-2023-47246,並說明微軟威脅情報團隊已確定幕後攻擊者是勒索軟體駭客組織Lace Tempest(亦稱Clop、TA505),由於該組織在今年5月底曾發動MOVEit Transfer零時差漏洞攻擊,因此格外引發關注。目前,已陸續有資安業者說明,在10月30日、11月2日就發現該漏洞被利用於攻擊行動的跡象。
(二)Atlassian在10月31日修補旗下DevOps協作平臺Confluence重大漏洞CVE-2023-22518,有資安業者發現11月5日該漏洞正開始被用於攻擊行動,並造成Confluence伺服器感染勒索軟體Cerber。
(三)我們新發現這一周資安日報未提及的漏洞利用消息,是關於今年4月底資安業者揭露服務定位協定(Service Location Protocol,SLP)的高風險漏洞CVE-2023-29552,當時指出駭客可藉此漏洞發動DoS攻擊,並警告存在此漏洞的裝置種類與數量都多,包括許多美國財富1000強的企業,在最近11月8日,該漏洞發現被攻擊者實際利用於攻擊行動。

本周其他重要的漏洞修補消息方面,包括:威聯通修補旗下NAS作業系統2個重大漏洞,Veeam針對旗下IT監控解決方案Veeam ONE修補兩個重大漏洞。此外,ZDI本周公開4個Exchange零時差漏洞,呼籲用戶採取緩解,並說明9月已通報微軟,微軟則說明其中之一在8月已修補,其餘則評估沒有立即修補必要。

在威脅事件焦點方面,我們看到持續有不同產業遭遇資安事件的情形,例如:
●雲端SIEM平臺業者Sumo Logic公告資安事故,察覺自家使用的雲端服務遭駭。
●跨國聯鎖五金零售業者Ace Hardware公告發生資安事故,大部分的IT系統皆面臨中斷或暫停運作的情況。
●樂高市集BrickLink遭網路攻擊,有少部分帳號遭未經授權存取並被用來行騙。
●印度政府機關遭駭客組織SideCopy利用WinRAR漏洞攻擊被資安業者揭露
●柬埔寨政府遭中國駭客使用基礎設施偽裝成雲端備份服務的方式攻擊被資安業者揭露

另一關注焦點在於,10月下旬Okta客戶支援系統遭駭,有了後續消息。該公司在11月初揭露調查結果,指出駭客存取的資料影響了134家客戶,並指出攻擊者利用Okta系統之間溝通的Service Account,執行攻擊行動,我們也特別注意到,Okta所公布的事件起因,值得企業警惕:他們認為這起事件可能與員工Google帳號遭駭有關,因為該員工曾在公司筆電上登入個人Google帳號,導致公司的服務帳戶帳密儲存到個人Google帳戶。

在新興威脅態勢上,有惡意程式開發者宣稱,Google Calendar的事件描述可被轉換成C2加以濫用,這類隱密攻擊手法,引起資安界的討論與關注。其他一些惡意活動被揭露的消息,也不容輕忽,包括:透過PyPI套件散布惡意軟體BlazeStealer的情形,透過企業臉書帳號發布惡意廣告散布NodeStealer竊資,透過WordPress網站下達攻擊命令的惡意程式GootLoader變種,以及名為Socks5Systemz的代理伺服器殭屍網路被揭露等。

【資安週報】2023年11月13日到11月17日

在這一星期有微軟、SAP等每月例行安全更新修補釋出需要注意,特別要關切的是,當中包含5個零時差漏洞修補,同時還有更多已知漏洞遭利用的情形,我們持續提醒企業修補要及時,別成為受害者。

(一)有3個已遭利用零時差漏洞,以及2個細節已公開的零時差漏洞。狀態如下:
微軟發布11月例行更新,修補63個漏洞中,有5個零時差漏洞,其中3個修補發布時已遭鎖定利用,包括:位於桌面視窗管理員(DWM)核心程式庫的漏洞CVE-2023-36033,涉及Windows SmartScreen安全功能繞過的漏洞CVE-2023-36025,檔案系統驅動程式CldFlt的漏洞CVE-2023-36036,另2個零時差漏洞相關細節已被公開,幸好修補釋出前沒有被利用的消息。

(二)有多個已知漏洞,近期確認有遭攻擊者利用的消息,是我們整理這星期內容時新發現、資安日報尚未提及,在此補上。
●微軟上個月10月修補涉及MOTW安全功能繞過的漏洞CVE-2023-36584
●Juniper今年9月修補EX、SRX產品的5個可串聯漏洞CVE-2023-36844CVE-2023-36845CVE-2023-36846CVE-2023-36847CVE-2023-36851
●Sophos今年4月修補上網安全閘道系統Web Appliance漏洞CVE-2023-1671
●甲骨文在2020年修補Oracle Fusion Middleware的漏洞CVE-2020-14750

在國內,有兩大事件成為焦點,都與上市公司有關。首先,是化工業上市公司「中華化」在11月12日發布資安事件重大訊息,說明在11日發生部份資訊系統遭受駭客網路攻擊的情況:另一起事件雖是常見的臉書粉專被盜,本週iThome資安日報未報導,因受害的泰山企業是上市櫃公司並涉及對方要求付錢贖回粉專的勒索行為,也引起大眾關注——16日下午5點半,我們得知上市食品工業泰山的臉書粉專在一小時前被盜用的消息,劫持粉專者將粉專名稱改為2607,並公開張貼一則訊息:「給我錢,我會返回頁面」,當日晚間10點泰山也發重大訊息針對媒體報導說明

在資安威脅與事件方面,我們認為有下列5起事件值得留意:
●物流業者杜拜環球港務集團(DP World)近日遭網路攻擊,並導致澳洲多個港口運作受到衝擊,迫使該公司暫停營運三天,特別的是,研究人員指出,除了DP World,近期還有中國工商銀行美國子公司等多起事件,原因都是未修補已知Citrix Bleed漏洞導致。(該漏洞10月10日揭露與修補,10月18日已警告有攻擊者鎖定利用情形)
●駭客行徑更為囂張,惡人先告狀!像是勒索軟體集團AlphV發動攻擊後,近期公開表示他們到美國證交所(SEC)網站填寫資料,聲稱已舉報受害公司並未依規定揭露遭到網路攻擊。
●日本數位廳提出警告,表示有攻擊者假借入境通關線上表單Visit Japan Web名義的App。由於疫情後國內前往日本旅遊暴增,務必防範此事發生。
●丹麥關鍵基礎設施今年5月遭遇俄羅斯駭客大規模攻擊,當地SektorCERT揭露,起因是當地多家經營能源關鍵基礎設施業者的資安工作未落實,因為他們所用的兆勤科技(Zyxel)防火牆有漏洞,廠商在4月底已公告相關消息,這些業者卻遲遲未修補而遭駭。
●勒索軟體Hive疑似重起爐灶,改名Hunters International,特別的是,本期日報未提及的是,近日傳出Hunters International將國內上櫃生技醫療業「大江」列為受害者的消息。

其他最新網路威脅動向,我們認為可留意下列消息,包括:Docker容器環境遭殭屍網路OracleIV鎖定的情形,MySQL伺服器遭中國殭屍網路Ddostf攻擊行動鎖定,以及惡意軟體Ducktail近期將危害目標是時尚產業。

【資安週報】2023年11月20日到11月24日

在這一星期的漏洞消息中,有兩大漏洞修補需重視,包括江森自控修補旗下工業冷凍系統重大漏洞、Fortinet修補旗下FortiSIEM重大漏洞,此外,還有視訊監控影像錄製設備(NVR)與路由器被駭客發現新零時差漏洞、並利用於散布Mirai變種病毒JenX的嚴重威脅,目前揭露此事的Akamai先示警並通知相關製造商,預計12月有新版修補釋出。

另外,10月初我們曾報導GNU C函式庫緩衝區溢位漏洞CVE-2023-4911(Looney Tunables),近日發現攻擊者開始利用這個已知漏洞的跡象,這星期資安日報新聞尚未提及,我們在此補上。

國內方面,有多起資安事件成為焦點,都與上市櫃公司有關,我們整理如下:
(一)首度出現一日內兩起資安事件重訊:在11月20日,旅遊業「雄獅」與塑膠工業「中石化」先後發布資安事件重大訊息,說明遭受駭客網路攻擊事件。其中雄獅提及提醒旅客反詐騙警語,可能有顧客資料外洩情事發生,並是該公司是這兩年來第二次公告遭駭,中石化的揭露相當有限,對於企業與組織聯防,無法提供具體有用的情報。
(二)大江生醫發布資安事件重大訊息,證實資訊系統遭受網路攻擊:上期資安週報於20日發布之際,我們率先報導了生技業「大江」疑似傳出在15日被Hunters International勒索軟體組織列為受害者的消息,其他媒體22日跟進報導這項消息,我們也再去電詢問大江仍未獲得回應,直到11月24日(週五傍晚)為止,大江終於公告他們遭受網路攻擊事件。
(三)訊連科技被微軟揭露遭駭,北韓駭客Lazarus對這家公司發動供應鏈攻擊,他們的Promeo產品新用戶遭鎖定:此事曝光的同一天,訊連在網站發布公告,說明其產品「Promeo」的安裝程式中發現惡意軟體,他們已經移除問題,後續並將更新軟體安全憑證。
此外,這一星期國內還有中心綜合醫院傳出掛號系統無法使用、預約資料消失,疑遭網路攻擊的消息,以及司法院針對判決資料外洩事故做出新的說明。

在資安威脅與事件方面,勒索軟體的威脅與動向最值得關注,有4項消息揭露,我們整理如下:
●對於Rhysida勒索軟體的危害,美國CISA、FBI與MS-ISAC聯合發布警告,說明其攻擊主要鎖定教育、醫療、製造、資訊業與政府部門。這份公開消息揭露該勒索軟體採用的TTP與IoC,供企業了解其攻擊策略與手法,以及各種緩解措施。
●關於勒索軟體BlackCat的新動向,有資安業者指出近期新手段是在Google刊出廣告,假借提供知名的應用程式(如Advanced IP Scanner、Slack、WinSCP),引誘網路使用者連至釣魚網站,下載被植入惡意程式Nitrogen的軟體。
●勒索軟體Phobos再度出沒,資安研究人員揭露近期出現他們鎖定資安社群VX-Underground的情形。
●勒索軟體駭客組織Play威脅恐加劇,近日有資安人員揭露該組織打出將其工具提供出租的旗號,欲吸引更多打手加入的狀況。

在新興攻擊手法與其他重要威脅態勢方面,我們認為竊資軟體Lumma的新手法,利用壓縮檔發動攻擊的現況,最值得留意。
●竊資軟體Lumma為了規避偵測,利用測量滑鼠軌跡來識別真人操作,才執行該竊資軟體;另一資安研究人員更是揭露,Lumma開發者聲稱能復原Google帳號的連線階段,挾持受害者帳號。
●關於利用壓縮檔散布惡意的態勢需要留意,本週有三起相關事件,首先是大使館人員要注意,俄羅斯駭客APT29鎖定歐洲多國大使館網攻,發動WinRAR漏洞攻擊,接著是加密貨幣用戶要注意,駭客組織DarkCasino針對這些用戶利用WinRAR漏洞發動攻擊,還有竊資軟體Agent Tesla新利用ZPAQ格式,將1 GB的大型檔案縮為僅有6 KB的壓縮檔,可能是要規避防毒掃描。
●Python開發人員也要注意,有資安業者揭露近半年有駭客上架了模仿知名套件的27個PyPI套件,同時還會利用PNG圖檔埋藏攻擊意圖。

最後,還有兩個國家級駭客攻擊動向的揭露,值得警惕,包括:中國駭客組織Mustang Panda鎖定東南亞國家軍事單位下手,駭客假借提供Solid PDF Creator、印尼防毒軟體Smadav的名義,藉由這些應用程式來側載惡意軟體;以及俄羅斯駭客Gamaredon鎖定烏克蘭組織,散布USB蠕蟲LitterDrifter。

【資安週報】2023年11月27日到12月01日

在這一星期的漏洞消息中,有4起漏洞利用情況須優先關注,其中以Google修補瀏覽器漏洞的影響需要特別重視:

(一)Google在28日修補已遭利用的Chrome瀏覽器零時差漏洞CVE-2023-6345,值得關注的是,該漏洞存在於Skia繪圖引擎,又是涉及底層,因此可能影響範圍還包括了Android、ChromeOS、Firefox OS、Firefox/Thunderbird、Flutter、Avalonia及LibreOffice等。
(二)蘋果在30日修補兩個已遭到攻擊的零時差漏洞,分別是CVE-2023-42916、CVE-2023-42917),由於這些漏洞是Google威脅分析團隊(TAG)通報,且Google前兩日才修補Chrome零時差漏洞,這些漏洞是否可能同一起攻擊活動所利用,有待後續更多消息揭露。
(三)檔案共享平臺ownCloud在11月21日修補3個重大漏洞,其中CVSS滿分的漏洞CVE-2023-49103,本身並不複雜,修補發布後已快速遭攻擊者用於攻擊行動,用戶需盡速進行緩解或補強。
(四)資料分析系統Qlik Sense有3個已知重大漏洞(CVE-2023-41266、CVE-2023-41265和CVE-2023-48365)被用於攻擊行動,駭客鎖定這些漏洞進而發動勒索軟體Cactus攻擊。

其他可留意的漏洞消息,包括:兆勤修補旗下NAS設備的6個重大漏洞,以及AI框架Ray被揭露存在重大漏洞,但開發商Anyscale目前未有修補打算。

在國內,有兩大事件成為焦點,都與上市公司有關,首先是上海商銀發生1.4萬客戶資料外洩事件,由於事件發生後竟缺乏相關資訊可追查,成為金管會開罰重點,依據銀行法開罰1千萬元;關於中石化在11月中旬發布資安事件重大訊息,說明遭受駭客網路攻擊事件,近期有後續消息傳出,疑為勒索軟體駭客組織BlackCat所為,該組織聲稱取得41.9 GB資料。

另一起事件也與臺灣有關,是即時通訊軟體Line的母公司發布資安通告,說明發生44萬用戶、合作夥伴、員工個資恐外洩事件,而當中有100筆資料屬於臺灣用戶,而目前Line已說明初步調查結果,是承包商員工的電腦感染惡意軟體。

在資安威脅與事件方面,我們認為有下列4起事件值得留意:

●先前10月身分驗證管理業者Okta資料外洩事故有新的調查結果,該公司指出所有曾經存取客戶支援系統的用戶都受波及,影響範圍比之前公布的更大。
●荷蘭半導體業者恩智浦(NXP)驚傳前幾年遭駭,當地新聞媒體NRC報導指出,中國駭客組織Chimera自2017年到2020年初滲透該公司網路環境,並竊得與晶片設計相關的智慧財產。而臺灣資安業者奧義智慧之前也曾揭露,臺灣在2018年及2019年至少7家半導體業者曾遭到中國駭客集團Group Chimera鎖定。
●北韓駭客發動供應鏈攻擊的事件,英國NCSC與韓國NIS提出警告,駭客先挖掘出韓國資安業者Dream Security開發的身分驗證系統MagicLine4NX的零時差漏洞,作為攻擊跳板,再利用另一連網系統的零時差漏洞來入侵特定目標。韓國資安業者AhnLab指出,這起事件是駭客組織Lazarus所為。
●財星500大企業中有數百個曝露了Kubernetes機敏資料,揭露此事的資安業者指出,他們主要針對dockercfg、dockerconfigjson這兩種類型的機敏資料進行調查所發現。

此外,我們還看到,近日國際間持續有多家大型業者遭遇網路攻擊的消息,受害企業與組織遍及研究單位、醫療、關鍵CI等領域,包括:日本航太研究機構JAXA的AD伺服器遭非法存取,美國醫療保健業者Henry Schein傳出遭遇勒索軟體BlackCat攻擊,以及美國賓州自來水公司的工業控制系統傳出遭駭客劫持,斯洛維尼亞大型能源供應商HSE遭遇勒索軟體攻擊等。還有駭客聲稱竊取了奇異(General Electric)的資料,當中並包含大量美國DARPA的軍事資料。

關於資安防護進展方面,有一項消息值得AI系統開發人員注意——英國NCSC與美國CISA在11月26日共同發布全球首份「安全AI系統開發指南」,當中將AI系統開發生命周期分四大階段,包括:安全設計、安全開發、安全部署及安全維運,主要提供AI系統開發的必要建議,確保每個階段都讓開發者有適當的安全措施可遵循。

 

2023年10月資安月報

2023年9月資安月報

2023年8月資安月報

2023年7月資安月報

2023年6月資安月報

2023年5月資安月報

 

熱門新聞

Advertisement