【資安月報】2024年3月

以今年3月的資安新聞而言，隨著2023年的結束，如今正有多個重要的資安年度報告揭露，統整出2023全年的真實威脅態勢，包括零時差漏洞利用、BEC詐騙、投資詐騙、勒索軟體攻擊等面向。

雖然我們先前已經報導部分重點，然而，當中其實還有一些關鍵態勢，我們認為相當值得企業關切。

2023零時差漏洞利用報告出爐，5大重點受關注

首先，Google在3月27日公布一份2023零時差漏洞利用的年度報告，指出這方面的威脅又變嚴峻，因為2023年共有97個零時差漏洞利用的情形，比2022年的62個增加了5成。不過仍低於2021年創記錄的106個。

為何零時差漏洞攻擊、零時差漏洞利用的威脅需要重視？大家先要能夠區別的是，以零時差漏洞（Zero-day）而言，其實包含了被成功利用與尚未被利用的狀態，而這份報告一直以來都是聚焦在－－零時差漏洞利用，也就是駭客先找出未知漏洞並在外部成功利用（Zero-day Exploited in-the-wild），已經造成災情，廠商只能在事後發現、修補並釋出更新。

關於這份2023年度報告所呈現的重要態勢？基本上，我們可以簡單統整為5大重點，包括：

●針對第三方元件如函式庫的零時差漏洞攻擊，有越來越多的趨勢。事實上，我們在去年10月就察覺到涉及底層、上游漏洞增加的情形。
●針對企業產品（含資安產品與裝置）的零時差漏洞攻擊，比往年增長近5成。
●商業間諜供應商（CSV）持續挖掘大量消費者平臺（如行動裝置、OS、瀏覽器等）的零時差漏洞。
●中國政府駭客組織發動的零時差漏洞攻擊大增，並且遠高於俄羅斯、北韓、伊朗等駭客組織
●經濟動機駭客組織發動的零時差漏洞攻擊，比往年減少。

駭客鎖定企業產品的零時差漏洞利用，比往年激增5成！每年都有更多IT供應商遭鎖定

我們還可以如何解讀這些內容？最近4月，剛好Google在臺舉辦資安研討會，來自Google Cloud的專家對於這份報告，提供更深入說明。

雖然，我們看到，2023年度的零時差漏洞利用數量，還不及2021年，但Google Cloud Security暨Mandiant亞太區及日本首席技術總監Steve Ledzian認為，有一項重要變化值得關切。他指的是上述5大重點中，所提的第2點。

Steve Ledzian指出，在企業方面，現在已有更多的供應商與產品成為攻擊目標，例如，2023年這類型數量增加為36個，而2021年與2022年則是25個與22個。而且針對企業特定技術的攻擊，同樣有所增加。

特別的是，Steve Ledzian還強調一個現況：近年被鎖定的IT供應商是越來越多。

他解釋，多年來，IT技術一直由少數主要供應商主導，但隨著企業使用了更多不同廠商的產品與服務，成為攻擊目標的廠商數量，也成逐年持續增加的情況。

Steve Ledzian並給出明確統計數據，例如，2019年只有4個供應商的產品，成為零時差漏洞利用的攻擊鎖定目標，2020年為7個，2021年13個，2022年17個，到了2023年則是增加至21個。

這樣的結果，也呼應了Steve Ledzia在這場研討會上所介紹的一個觀點－－Securing Edge Devices，他指出，我們現在需要建立抵禦邊緣裝置攻擊的韌性。

為何會有這項說法？他列出了5大類型，並且指出在這些不同層面，近期都發生了零時差漏洞被利用的情形。包括：郵件邊緣裝置（Email Edge Device）、檔案分享邊緣裝置（File Sharing Edge Device）、遠端存取邊緣裝置（Remote Access Edge Device）、行動存取邊緣裝置（Mobile Access Edge Device）、虛擬裝置（Virtualization Device）。

換言之，我們其實也可以透過這樣的類型畫分，來了解Google是如何看待邊緣裝置被鎖定的威脅態勢。

這當中又以遠端存取邊緣裝置，是最嚴重的類型。因為單是最近一年多的時間內，就可看到多個品牌產品的零時差漏洞被利用。例如，Ivanti Connect Secure（CVE-2023-46805、CVE-2024-21887、CVE-2024-22024），Citrix NetScaler（CVE-2023-4966），GoAnywhere（CVE-2024-0204），ScreenConnect（CVE-2024-1709、CVE-2023-1708）等。

此外，對於這份報告的發布，Steve Ledzian還提到了一個新的變化，他表示：「這次發布的研究報告，是首次由Google威脅分析小組（TAG）與Mandiant全面整合分析結果而成。」

換言之，這並不像過往我們所知的，Google與Madiant這兩家公司會各自發布相關統計數據。顯然，自2022年Google宣布併購Madiant後，雙方在此方面已有深入的整合。

不過，由於過去兩家公司提出的數據不同，有各自整理的資料，因此我們特別詢問，這樣的統計數量是否還會有遺漏情形？Steve Ledzian表示，這些數量大部分是他們自己追蹤，以及從可以信賴的OSINT公開來源情報所得，的確可能還有其他零時差漏洞利用，但因為沒有放在公開來源情報，他們也無從知道與了解。

FBI發布2023網路犯罪調查報告，BEC詐騙、投資詐騙、勒索軟體的危害變更嚴峻

另一份重要年度報告，是美國聯邦調查局（FBI）網路犯罪投訴中心（IC3）在3月7日發布的《2023 Internet Crime Report》，雖然這裡的數據統計以美國地區為主，但因為IC3在此方面所蒐集的資料，相對其他國家執法單位而言，其樣本數量夠大且類型豐富，因此IC3所統計的資料也常視為一重要指標。

在這份最新年度報告中，FBI指出2023年受理的案件達88萬件，比前一年增長10%，損失金額也比前一年增加22%，持續呈現逐年增長的態勢。

至於去年網路犯罪態勢有哪些重要變化？我們認為有3大焦點，分別是：BEC詐騙、投資詐騙、勒索軟體。

BEC詐騙

首先，商業電子郵件（BEC）詐騙的威脅已經被FBI警告多年，2023年帶來的損失金額已接近30億美元，共有21,489件被受理。平均起來，每日都有58家企業報案，相當驚人。

特別的是，我們找出過去3年的IC3的統計數據可以發現，這類網路犯罪投訴數量均維持在1.9萬到2.2萬件之間。這也意味著，每年都有2萬家當地企業遭遇BEC詐騙，並沒有趨緩的情形。

對於臺灣企業而言，雖然我國警政署往年也會公布這方面的統計數據，但現在少有這類新聞事件曝光，因此，我們認為有需要再度提醒普遍企業，這類威脅態勢在國際間其實並未減少，不應輕忽。警政署今年2月也宣導有南部科技公司遇害的案例（連結），所幸能及早發現，及時報案圈存，請求原匯出銀行圈存該爭議款項。

投資詐騙

其次，投資詐騙日益嚴峻，成為近兩年最猖獗的網路犯罪型態。自從2022年開始，帶來的相關損失躍居網路犯罪首位，到了2023年，損失金額再度攀高，已經達到2020年的3倍，且大多數與加密貨幣詐欺有關。

在臺灣，近來有這類事件發生，例如今年我國檢警調偵辦「ACE王牌交易所」勾結虛擬貨幣詐騙集團吸金一案。

勒索軟體

第三，勒索軟體攻擊的網路犯罪再趨嚴重，IC3去年收到2,825多件關於勒索軟體攻擊的投訴案件，顯示在2022年下降後、2023年又呈現上升趨勢。

值得注意的是，根據IC3指出，2023年有1,193個重大基礎設施遭到勒索軟體攻擊，比2022年的870個明顯更高，突顯攻擊重大基礎設施持續成鎖定目標，其中醫療保健部門佔這些投訴的2成，在當地16種關鍵基礎設施中最高。

雖然臺灣沒有較全面的這類統計資訊，但以我們在3月報導的上市櫃資安封面故事而言，可看出民間企業遇駭事件確實增加，且2023年的勒索軟體攻擊事件，的確比2022年更多。

無論如何，上述這些2023全年威脅態勢的公布，已經告訴我們，這些威脅引發的危害仍在加劇，並未有減緩跡象，因此，儘管臺灣企業組織現在越來越重視資安，但也要記住，我們在2024年所面對的威脅與挑戰，也是變得更為嚴峻。

月底發生XZ後門事件，軟體供應鏈攻擊威脅也不容輕忽

除了上述4大威脅面向，還有軟體供應鏈攻擊的態勢要注意，這是因為3月底發現了一起重大事件，XZ程式庫竟遭潛伏的維護者植入後門。

關於這起事件，最令開發圈、資安圈在意的是，攻擊者竟然以長期臥底方式，將自己長期假扮為正常的開源貢獻者，一開始提交的內容都要幫助專案維護，行動很正常，等到取得原始專案開源維護者的信任，自己擁有更多權限之後，才露出真實目的，進而要以神不知鬼不覺的技術，將後門植入上游軟體供應鏈。

由於開源貢獻者來自全球各地，要如何防範一開始沒有任何異常舉動的臥底內鬼？要如何揪出這個在GitHub使用代號Jia Tan（JiaT75）且暗中植入後門的攻擊者真實身分？如今都成為開源界積極探討的議題。

雖然過去也有主打開源安全管理的資安業者，有發布軟體供應鏈攻擊的年度報告。只是，我們認為，這一威脅面的影響深遠，但又可能不像其他網路威脅那樣受關注，因此產業間是否會有更好的辦法來面對？或許值得各界都能更進一步去探討。

【資安週報】2024年3月4日到3月8日

回顧這一星期的資安新聞前，先來聊聊最近臺灣上市櫃公司接連發布資安事件重大訊息的現況，最近我們發布的封面故事，就是特別以此為題的報導與探討，當中整理出2023年臺灣上市櫃公司有23起資安事件相關重大訊息，並得知這些資安事故的背後，多半是勒索攻擊造成，另一方面，早已不斷受媒體關注的個資外洩消息，近一年也登上重訊版面，在我們進一步追蹤下，更是發現先前諾貝兒、雄獅遭網路駭客攻擊事件的後續消息，就有因個資外洩受個資法的情形，且開罰金額已經提高至200萬，不同於過去的20萬。

這些現象的出現，在在突顯企業經營層在看待營運風險時，需更重視勒索攻擊的危害，以及個資外洩的影響。特別的是，在我們與證交所聯繫過程中，還發現資安事件「重大性」的認定，已有明確標準可依循，上市公司的部分在1月已經完成相關修訂，上櫃公司的部分也確定即將發布。

在關注企業揭露資安事件之餘，我們還有不同資安領域的消息需要重視。

在本星期的漏洞利用消息方面，有3個重點，企業需優先因應的是蘋果與JetBrains的漏洞。
（一）蘋果修補多款產品的2個記憶體損壞漏洞CVE-2024-23225、CVE-2024-23296，都是已遭鎖定攻擊的零時差漏洞。
（二）JetBrains修補旗下CI/CD軟體平臺TeamCity的兩個漏洞，特別的是，由於該公司沒有知會通報漏洞的Rapid7、私下修補且不公開漏洞，使得Rapid7同日公開漏洞細節。後續，外界發現漏洞CVE-2024-27198已遭鎖定利用。
（三）兩個老舊漏洞近期發現遭鎖定利用，包括：2021年8月的Sunhillo SureLine OS命令列注入漏洞（CVE-2021-36380），以及去年6月的Android Pixel資訊揭露漏洞（CVE-2023-21237）。本期資安日報尚未提及，在此補上。
其他可留意的漏洞修補消息，包括VMware修補旗下多款產品的4個重大漏洞，以及臉書修補密碼重置漏洞。

在資安事件焦點方面，一開始提及勒索軟體與個資外洩的威脅態勢，本週也有多起這方面的新聞報導，我們整理如下：
●勒索軟體駭客組織Dunghill在2月29日聲稱入侵上櫃公司安瑞科技，我們取得安瑞的回應，他們表示子公司Array US於3月1日，偵測到資訊系統遭受病毒攻擊。目前調查未有客戶敏感資料外洩，也不影響營運。
●美國CISA等多個機構針對近期勒索軟體Phobos的攻擊態勢提出警告，2月有新的變種出現，主要鎖定關鍵基礎設施、地方政府、急難、教育與醫療單位。
●去年底Line用戶個資外洩事件有後續消息，原因是LYC與關係企業Naver Cloud因部分系統共用，而雙方於韓國採用的外包廠商，其員工電腦遭到惡意程式感染，因此最近日本總務省要求兩家公司應切割IT基礎架構。
●美國運通向客戶通知發生資料外洩事件，原因是第三方信用卡交易處理服務提供商的系統遭駭客入侵 ，導致有未經授權存取的情況。

還有一項針對我國而來的攻擊活動，需要大家關注。繼月前有資安業者Trellix發布報告，指出臺灣總統大選投票前一天所遭受的網路攻擊大幅增加，近日又有趨勢科技揭露這方面的態勢，指出中國駭客組織Earth Lusca在去年12月至今年1月的新一波攻擊活動中，會使用地緣政治議題為誘餌來發動網釣攻擊，並且其內容疑似盜用未發表的專家文章。由於研究報告中提到相關文章遭盜用、相關政治專家或所屬組織可能遭入侵，我們認為，上述人士需趕緊檢視自身裝置、帳號的防護，避免受害卻仍不自覺。

在資安防禦態勢上，我們注意有3個重點，主要針對開發安全與LLM的安全。

首先，開發者要注意！最近GitHub將去年推出的推送保護（Push Protection）功能，改為預設啟用。特別的是，我們發現GitHub在宣布此消息之餘，同時提到他們最近在公開儲存庫掃描時的發現：今年已偵測到上百萬筆機密資料洩漏（API金鑰、令牌與各種機密），如此大量只發生在短短兩個月內。此一情形，很有可能就是現在將Push Protection改為預設啟用的原因。

此外，前幾年美國白宮邀科技大廠解決開源安全問題時，改用記憶體安全程式語言，就是十大重點工作之一，最近美國白宮更是發布相關報告，親自呼籲科技界主動減少網路攻擊面，不要使用缺乏記憶體安全相關功能的C和C++。這樣的態勢值得臺灣政府及所有IT資訊產業關注，畢竟要打造可信賴的供應鏈生態體系，軟體開發安全亦是關鍵，尤其是各種可濫用的軟體漏洞中，記憶體安全漏洞佔了絕大多數，因此是所有程式開發相關都要設法克服的挑戰。

最後是大型語言模型（LLM）當紅，如今面對提示詞注入、模型拒絕服務，以及敏感資訊洩漏這三種模型攻擊，如何設法應對成挑戰，最近開始有資安業者發表可應對這些威脅的網頁應用防火牆（WAF），Cloudflare指出，其作用可阻擋有問題的請求輸入模型，並具備敏感資料偵測能力，可用於阻止在回應中洩漏機密資料，另一方面，也可阻止使用者將資料傳送到公用LLM。
 

【資安週報】2024年3月11日到3月15日

這一星期適逢多家廠商發布每月安全更新，包括微軟、Adobe、SAP等多家IT業者，以及西門子、施耐德電機等ICS工控業者，大家關切這些例行修補之餘，還有一些安全性弱點消息也要留意，例如：威聯通NAS，思科SSL VPN用戶端軟體，以及應用程式開發平臺OpenEdge的漏洞修補。

特別的是，我們近期還注意到WordPress有多個外掛程式漏洞的陸續揭漏，當中以存在Bricks Builder外掛編輯器的重大RCE漏洞CVE-2024-25600，需要特別重視，因為多家業者發現已將其用於攻擊行動。此外，另一外掛程式Popup Builder去年修補的漏洞CVE-2023-6000，近期也發現被遭駭客積極鎖定利用的狀況。

在資安事件方面，有一起關於臺灣企業的事件引發極大關注，是宏碁菲律賓分公司傳出資料外洩，宏碁已證實當地分公司有部分員工資料被存取，是菲律賓的外部供應商發生資料外洩事故造成。值得注意的是，日前我們報導上市櫃遭網路攻擊的現況時，資安專家指出，現在勒索攻擊的型態，並不全是用加密方式綁架資料而進行勒索，「偷資料的勒索」也逐漸成為常態，而上述事件中，目前傳出消息是只有資料被偷，對方並未使用勒索軟體或是加密檔案，至於後續是否有向宏碁勒索的行為，暫不得而知。

此外，還有美法兩國的重大資料外洩消息，例如，美國移民主管機關的敏感資料流入駭客論壇，原因是IT承包商遭駭，以及法國失業救濟機構France Travail遭入侵，4,300萬人個資恐流出。

國際有個重大資安事故的消息，全球也正在關注後續發展。法國總理辦公室最近公開表示，當地多個政府機構遭受了「前所未有的強度」的網路攻擊，據當地媒體指出，法國各部會網站是遭DDoS攻擊，而法國政府也採取措施，成立危機反制小組來應對，由於今年7月法國將舉辦2024奧運，還有6月舉行的歐洲議會選舉，該國國防顧問先前也示警，近期相關活動可能成為網路攻擊的重要目標。

在威脅態勢上，美國聯邦調查局（FBI）發布2023年度網路犯罪報告，強調勒索軟體駭客攻擊關鍵基礎設施日益頻繁，我們在此列出重點，幫助大家快速了解。
●勒索軟體的影響再次上升，在FBI接獲的2,825件勒索軟體攻擊事故中，有1,193件是針對關鍵基礎設施（CI）有關的組織而來，相當於每5起事故就有2起是針對CI，這樣的比例比前一年度更高。
●從犯罪型態來看，商業電子郵件詐騙（BEC）危害程度居高不下，FBI表示，2023年此類犯罪損失高達29億美元。我們對比了前兩年的BEC損失，分別是23億美元、27億美元，可看出企業必須持續嚴防這類威脅。
●投資詐騙問題越來越大，2022年損失達33億美元，超越BEC而成為傷害最大的犯罪型態，2023年這類損失金額更是達到45億美元。

在其他重要威脅態勢上，這星期還有不少勒索軟體最新動向的揭露，我們整理如下：

●勒索軟體駭客組織BianLian最近的攻擊行動，是利用前一陣子TeamCity的漏洞來發起入侵。
●由勒索軟體駭客組織GhostSec、Stormous發起的雙重勒索攻擊，正利用名為GhostLocker 2.0的勒索軟體，鎖定中東、非洲、亞洲企業發動攻擊。
●去年4月出現的勒索軟體駭客組織RA World，攻擊目標原本是美國、韓國，後續擴展至德國、印度，以及臺灣，拉丁美洲現在也被鎖定。

回到國內，關於上市櫃公司資安事件揭露的規範，最近有重要消息發布。我們先前報導臺灣證券交易所發布新版重訊問答集，裡面具體列出「上市公司」的資安事件重大性標準，而對於「上櫃公司」資安事件重大性標準的規範，則是在3月8日由證券櫃檯買賣中心發布。簡單來說，當中明訂核心系統遭駭，官網遭駭、DDoS、個資外洩、造成服務受影響中斷等，都屬重大性事件，而且，都需要發布重大訊息告知投資人。
 

【資安週報】2024年3月18日到3月22日

這一星期的漏洞消息，在留意Atlassian修補CI/CD工具Bamboo重大漏洞，以及Ivanti修補同步應用系統Standalone Sentry的重大漏洞之餘，還一個大家可能容易忽略的消息是，1月HTTP非同步傳輸框架Aiohttp修補漏洞CVE-2024-23334，近期出現利用該漏洞的攻擊行動，研究人員認為，可能是勒索軟體駭客組織ShadowSyndicate所為。

在重大資安新聞方面，我們認為，最需要優先關注國際貨幣基金組織與富士通的遭駭事件。

國際貨幣基金組織（IMF）在15日公布遭遇網路攻擊事件，全球也正在關注後續發展。基本上，IMF是在二戰後為了穩定國際金融而成立，最近他們公布在一個月前發現遭遇網路攻擊，有11個電子郵件帳號被入侵。這不免令人聯想到1月微軟、HPE遭俄羅斯駭客Midnight Blizzard攻擊的事件，因為共通點這些機構都使用微軟雲端電子郵件服務。

另一個IT界很關注的消息是富士通遭駭，該公司在15日發布資安公告，說明IT系統遭入侵，發現多臺電腦出現惡意軟體，目前該公司正調查被入侵的情況與確認資料是否外洩，暫不清楚是否有其他企業或其客戶資料受波及，有待後續調查結果公布。

至於臺灣資安近況方面，趨勢科技近期發布2023年資安威脅態勢報告的新聞稿，當中特別強調臺灣須留意駭客組織Earth Estries動態，並指出對方專門針對政府機關與科技業而來，大家要密切關注後續狀況。

其他重要資安新聞焦點，包括涉及Firebase曝險、竊資軟體與中國駭客組織動態的新聞，我們整理如下：
●企業需注意Firebase配置不當的曝險問題，研究人員進行這方面的大規模盤點，發現有900個網站曝險，暴露近2千萬筆明文帳密資料。
●駭客不只利用HTML Smuggling手法來迴避偵測，最近還出現新的作法，例如竊資軟體AZORult還用上反射式程式碼載入的手法來規避偵測並啟動。
●中國駭客組織Earth Krahang近兩年的攻擊活動被揭露，有45國、上百個組織被鎖定，已確認70個組織遭入侵，多是政府機關，另發現116個組織遭鎖定。

關於新攻擊手法研究與漏洞的揭露，我們認為有3項消息，值得企業與資安研究人員重視，涵蓋DoS攻擊、LLM漏洞，以及利用處理器微架構特性的旁路攻擊手法：
（一）發現新型阻斷服務攻擊手法Loop DoS，德國CISPA亥姆霍茲資安中心指出，利用UDP通訊協定上封包驗證不足的弱點CVE-2024-2169，可導致彼此訊息無限循環回應，不只老舊通訊協定有同樣狀況，目前普遍常用的DNS、NTP、TFTP也受影響。
（二）有研究人員揭露3個新的Google Gemini聊天機器人潛在的威脅，分別是可繞過安全防護機制的漏洞，利用Gemini Pro虛構生成功能的提示越獄漏洞，以及模擬重新設定的漏洞。
（三）多名大學研究人員共同揭露GoFetch微架構旁路攻擊，資安日報近期尚未報導這方面消息，但已引發不小的關注，此手法是透過記憶體資料預先讀取機制DMP，從常數時間程式實作中竊取加密金鑰，且蘋果M系列處理器易受此攻擊影響。

在防禦態勢上，這星期有2項新進展，成為資安圈與開發圈的焦點。例如，提升組織內軟體供應鏈可見性的軟體安全評估工具GUAC，如今成為OpenSSF孵化專案，以及程式碼儲存庫GitHub發布程式碼自動掃描修復功能（Code Scanning Autofix），可協助開發者快速解決程式碼中的漏洞，目前已經支援JavaScript、TypeScript、Java與Python。

此外，國際間還有兩個安全指引的頒布，可以作為企業組織的借鏡與參考。一是英國發布雲端資料收集與監控系統（SCADA）安全指引，因為已有許多企業組織將SCADA遷移到雲端，而這樣的資訊過去也算比較少見；另一是因應中國駭客組織Volt Typhoon的威脅，最近英美等多國網路安全機構，提出防禦指引。
 

【資安週報】2024年3月25日到3月29日

在這一星期有多個已知漏洞出現首度遭利用的消息，其中1個是短短一週前才修補，就發現被利用於攻擊行動，因此特別受關注，那就是Fortinet端點管理伺服器FortiClient EMS的漏洞CVE-2023-48788。

其他近期確認遭鎖定利用的已知漏洞，還包括：微軟SharePoint Server的漏洞（CVE-2023-24955），Ivanti EPM CSA的漏洞（CVE-2021-44529），以及門禁解決方案Nice Linear eMerge E3-Series OS的漏洞（CVE-2019-7256）。後兩項本期資安日報尚未提及，一併補上。

另補充周末一則最新消息是關於XZ Utils資料壓縮程式遭植入後門，紅帽已指派漏洞CVE-2024-3094，由於此事件涉及SSHD（Secure Shell Daemon）供應鏈攻擊，正受廣泛關注。

關於零時差漏洞攻擊的最新態勢，持續受大眾關注，隨著2023年過去，最近Google公布這方面的年度報告，我們認為，有3個現象值得大家關注：（一）針對第三方元件攻擊顯著增加；（二）針對企業裝置、資安產品攻擊，比往年增長近5成，（三）中國政府支持駭客組織發動的攻擊大增，去年利用了12個零時差漏洞發動攻擊。

此外，關於上述提到中國駭客組織的危害，最近另一起資安新聞也提到這方面的狀況。最近美國方面有新的消息，該國司法部起訴7名參與APT31的中國公民，其財政部也宣布制裁武漢曉睿智科技（Wuhan XRZ），已確認這是一家幌子公司，背後是負責APT 31行動的中國湖北省國家安全局設立。在此同時，還有多國網路安全機構與執法單位，出面指控近年遭到中國政府支持駭客組織的攻擊，包括英國、芬蘭、紐西蘭與澳洲等。

在最近的資安威脅態勢上，殭屍網路TheMoon的攻擊活動，是本星期的一大焦點事件。這是因為，雖然它的攻擊目標都是挾持生命週期終止（EOL）的家用及小型辦公室（SOHO）路由器、物聯網設備，但最近短短72小時內，竟有超過6千臺華碩路由器被攻佔。

在其他威脅態勢方面，有勒索軟體與網釣工具的揭露，值得企業與資安研究人員重視，還有一些攻擊技術與資安風險的揭露，雖然存在於不同領域，但可能的危害情境貼近於生活日常，引發許多人的好奇與重視，我們整理如下：

●勒索軟體Agenda的攻擊在去年底顯著增加，如今更是發現，攻擊活動中會利用嵌入勒索軟體檔案的PowerShell指令碼，對VMware ESXi、vCenter進行橫向感染，竄改ESXi主機root密碼。

●網路犯罪領域有新的攻擊工具出現，被不同資安業者揭露，例如，半年多前現身的Tycoon 2FA的AiTM網釣攻擊套件，最近有被廣泛使用的情形；還有網路釣魚套件工具包Darcula，是針對手機用戶而來。

●飯店業者注意！全球數百萬間的飯店房門能被一張複製的偽造鑰匙卡破解，有資安研究人員發現，經常被應用在飯店與住宅大樓Saflok系統的RFID電子鎖產品有漏洞（Unsaflok），由於門鎖更新或更換耗時，五個月來進度僅完成36%。

●Google搜尋引擎近期加入SGE功能，將生成式AI融入搜尋結果，但有人發現給出的結果中，會推薦垃圾網站及惡意網站，推測可能是SEO中毒攻擊造成。

●資安部落格KrebsonSecurity指出最近出現針對蘋果用戶的「MFA轟炸」攻擊，這種釣魚攻擊，涉及一個看似蘋果密碼重置功能的漏洞。雖然近期資安日報尚未報導這方面消息，但已引發不小的討論與關注。

另外，防禦態勢上，這星期有兩項新進展，成為資安圈與開發圈的焦點。例如，上星期Pwn2Own漏洞挖掘大賽舉行，參賽的資安研究人員在8個競賽類別總計找出29個零時差漏洞，除了研究人員共獲得113萬美元的獎勵，提供產品的廠商後續也將針對這些漏洞予以修補，目前Firefox、Google以針對各自不同的2個漏洞進行修補。

另一是美國CISA發布第4則Secure by Design Alert，強調SQL注入漏洞不該一再發生，他們並以去年駭客利用MOVEit Transfer漏洞大舉入侵為例，呼籲開發人員、軟體製造商在出廠前務必審查程式碼是否含有SQL注入漏洞。

2024年2月資安月報

2024年1月資安月報

2023年12月資安月報

2023年11月資安月報

2023年10月資安月報

2023年9月資安月報