【資安週報】2024年1月22日到1月26日

這一星期的漏洞利用消息，分別是關於蘋果、VMware與Atlassian的三大漏洞。

（一）蘋果修補已遭成功利用的零時差漏洞CVE-2024-23222，該漏洞影響iPhone、Mac、iPad 與Apple TV，可能導致任意程式碼執行，這也是蘋果今年修補的第一個零時差漏洞。

（二）最近有駭客針對VMware去年10月修補vCenter伺服器的漏洞CVE-2023-34048攻擊。但Mandiant最新研究調查指出，這個漏洞至少從2021年開始就被利用，意味當時已有零時差漏洞攻擊存在，並指出攻擊者是中國駭客組織UNC3886。

（三）上週Atlassian才修補DevOps協作平臺Confluence的重大漏洞CVE-2023-22527，現在已經發現遭駭客鎖定利用，有資安研究團隊示警，他們指出發現逾600個IP位址嘗試利用該漏洞發動攻擊。

還有其他業者發布漏洞修補公告，也需要企業採取行動，包括持續整合工具Jenkins修補了12個Jenkins主程式及外掛程式漏洞，以及VMware修補雲端基礎架構自動化平臺Aria Automation重大漏洞。

在資安事件焦點方面，以微軟、HPE接連向美國證交所（SEC）提交8-K表單通報資安事故，引發外界重視。

因為兩家公司陸續公布的資訊顯示，其雲端電子郵件環境遭到俄羅斯駭客組織Midnight Blizzard入侵。目前不確定兩起事件是否有關，而且時間點也不同，微軟是在1月12日發現狀況，調查出駭客約從去年11月下旬開始攻擊；HPE是在去年12月12日收到通知，研判事故與另一起6月獲報的事件有關。

另外，還有大型服飾集團VF Corp針對去年12月資安事故，二度向SEC提交文件，補充說明該事故的最新消息。

在勒索軟體的威脅態勢上，2024年仍持續傳出有多家企業遇害，影響IT產業、服務業，以及水資源處理業者。例如，芬蘭IT服務與企業雲端代管業者Tietoevry，全球速食連鎖業者Subway，英國水資源處理業者Southern Water，以及水資源處理業者Veolia的北美分公司。

還有一項惡意活動情形，我們認為值得特別留意，是關於惡意流量系統的揭露，不僅是過去這類新聞較少，近期更是有兩家資安業者都發布這方面的研究內容。

一是駭客使用Parrot TDS植入合法網站的伺服器，將受害者帶往惡意網站，針對這些指令碼進行分析，根據資安廠商的研究人員的分析，可分成4個版本，並發現最新版本的混淆手法更進化，採用不同的陣列索引，可影響特徵碼偵測機制；另一是駭客使用VexTrio控制多個TDS網路，且運作方式都不一樣，資安研究人員認為，這是他們在一個月內首次發現基於DNS的新TDS，並指出攻擊者通常使用「atob()」與「String.fromCharCode()」的 JavaScript，目的是隱藏其程式碼。

【1月22日】微軟坦承遭到俄羅斯駭客組織入侵並挖掘高階主管電子郵件的內容

微軟上週五坦承遭遇俄羅斯駭客APT29的攻擊，2個月前駭客成功入侵其內部環境收集情報，直到一個禮拜前才被發現並予以阻止。

國家級駭客組織鎖定該公司下手的情況，已非首例。半年前微軟針對中國駭客Storm-0558攻擊行動進行說明，對方自5月中旬濫用微軟帳號（MSA）的簽章金鑰，挾持約25個組織的電子郵件帳號 ，這些駭客取得MSA的管道，就是挾持了微軟工程師的帳號而能得逞。

【1月23日】勒索軟體駭客組織LockBit聲稱入侵速食連鎖業者Subway

勒索軟體駭客組織LockBit的攻擊行動肆虐，上週這些駭客疑似入侵鴻海旗下的半導體設備廠京鼎，竄改該公司網站聲稱竊得5 TB內部資料，放話若不付錢要讓京鼎「不復存在」，並宣稱付錢就像支付IT人員薪水一樣合理，其張狂的行徑，實在令人髮指。

而這週該組織聲稱攻陷知名速食連鎖企業Subway，並取得多種財務資料而引起外界關注，但究竟實際情況如何，該公司目前未提出說明。

【1月24日】北韓駭客ScarCruft假借提供威脅情報並鎖定資安研究人員規畫攻擊行動

資安從業人員被駭客盯上的情況，過往傳出數起網路釣魚攻擊行動，但大致上可分成2種型態的誘餌，其中一種是針對想要求職、爭取工作的求職者而來，假借提供相關職缺引誘他們上當；另一種則是宣稱要共同進行資安研究，提供概念性驗證程式碼（PoC），對研究人員散布惡意程式。

而最近北韓駭客ScarCruft的攻擊行動引起資安廠商注意，原因是這些駭客另有目的，打算針對資安人員規畫新一波攻擊行動。

【1月25日】HPE證實遭遇俄羅駭客組織APT29入侵Microsoft 365郵件系統環境

大型IT業者被俄羅斯駭客組織APT29入侵、竊取電子郵件的情況，上週五（19日）先是微軟坦承內部郵件系統遭駭，對方企圖從高階主管、資安人員的往來信件當中，得知該公司對此駭客組織的了解程度，如今HPE也傳出他們以Microsoft 365建置的郵件系統被入侵的跡象。

巧合的是，發動上述2起攻擊者的駭客團體都是APT29，而且，目標都包含公司資安部門的員工，究竟兩者之間是否有關？有待進一步調查。

【1月26日】中國駭客組織鎖定當地知名應用程式進行軟體供應鏈攻擊並部署間諜程式Nspx30

駭客針對軟體供應鏈發動攻擊，從而對其使用者下手的情況，最近幾年最為重大的事故莫過於SolarWinds的供應鏈攻擊，去年美國證券交易委員會（SEC）指控，該公司長期忽略內部安全風險而釀禍，並對其提告。

但一般用戶使用的應用程式，也有可能遭遇類似的攻擊。現在有研究人員揭露一起軟體供應鏈攻擊，駭客的目標是中國IT業者提供的即時通訊軟體、辦公室軟體、輸入法用戶，且已有企業組織受害。