【資安週報】2024年5月20日到5月24日

在這一星期漏洞消息中，有兩個已知漏洞利用情形需優先關注，包括2021年初修補的Apache Flink漏洞CVE-2020-17519，以及2023年修補的NextGen Healthcare Mirth Connect（醫療保健資料整合平臺）漏洞CVE-2023-43208，最近美CISA已確認有攻擊者鎖定利用的情形。

本期日報提及的重要漏洞修補動向，包括Git、GitLab、GitHub，以及Veeam與威聯通NAS的漏洞修補。特別的是，還有兩項修補與AI相關，包括Python套件llama_cpp_python修補一重大漏洞，研究人員揭露此一名為Llama Drama的漏洞恐導致系統資料外流，而在Intel的5月例行安全更新中，亦修補一項存在於AI模型壓縮工具Neural Compressor的重大漏洞。

在威脅態勢焦點上，這一星期有多起網路攻擊事件揭露與中國駭客鎖定攻擊有關，攻擊目標涵蓋歐洲、美洲與南海多國，我們整理如下：

●南海各國政府高層接連遭中國駭客組織Unfading Sea Haze鎖定攻擊，資安業者Bitdefender已確認至少有8個軍事單位與政府機關受害，而調查相關攻擊行動顯示駭客已暗中活動超過5年。
●義大利企業遭中國駭客組織APT41鎖定，被部署名為KeyPlug的後門程式，資安業者將其手法與今年2月中國資安業者安洵流出資料比對，發現文件所提Hector的RAT木馬程式，很可能就是本次調查的KeyPlug。
●美國AI專家遭鎖定，攻擊者對其散布惡意程式SugarGh0st RAT，資安業者Proofpoint指出這起攻擊行動鎖定目標不到10人，極具針對性。由於5月初傳出美國政府有意限制中國存取生成式AI服務，不排除攻擊者與中國有所關連。

其他攻擊手法與態勢，我們認為近期有2類型的攻擊活動可多加留意，包括利用非法代理伺服器、濫用Foxit PDF Reader與PuTTY等多款知名工具的現況。

●駭客藉由代理伺服器服務（Residential Proxy）從事攻擊的情況增加，最新發現是中國駭客利用非法代理伺服器ORB網路隱藏連線行蹤。
●Foxit PDF Reader用戶近期遭攻擊行動鎖定，駭客是利用使用者經常未詳細檢視彈出式對話框內容等方式，針對其用戶散布包含惡意的PDF文件。
●又有攻擊者透過惡意廣告聲稱提供PuTTY、WinSCP等知名工具，顯然這樣的攻擊行動是鎖定企業對企業組織的系統管理員而來。

在資安防禦態勢上，臺灣資安大會的新聞仍是最大焦點，不僅揭露國內最新發展，像是我國金管會資安推動與政府零信任架構推動現況，也有最新國際動向解析，包括最新歐盟重要資安法規（NIS 2、DORA、網路韌性法）趨勢，荷蘭網路威脅態勢與防護經驗等。

另外，在打擊網路詐騙領域最近一連有兩起重要消息，一是Tinder母公司Match Group，社交平臺Meta與Coinbase等多家加密貨幣交易平臺連首宣布成立Tech Against Scams聯盟，聚焦打擊網路愛情詐騙與殺豬騙局；一是臺灣防詐及資安公司Gogolook（走著瞧-創）舉行重大訊息記者會，宣布董事會通過1.56億元併購荷蘭的數位防詐服務商ScamAdviser，期待進一步深入走進企業防詐服務，以及跨入歐美市場。

【5月20日】與人工智慧系統開發相關的Python套件存在漏洞，恐導致資料外流、遠端執行程式碼攻擊

今天的資安日報新聞幾乎都與AI有關，這些包含了鎖定人工智慧專家的攻擊行動，針對人工智慧開發工具的漏洞揭露，以及相關資安框架的發表。

其中最值得留意的部分，是關於人工智慧開發工具的漏洞公布，其中用於開發相關系統的Python套件llama_cpp_python漏洞CVE-2024-34359相當值得留意，因為有可能引發供應鏈攻擊。資安業者Checkmarx指出，在AI技術與資料共享平臺Hugging Face有超過6千個模型以此套件打造而曝險。

【5月21日】金融木馬Grandoreiro傳出東山再起，駭客攻擊範圍從拉丁美洲擴及全球逾60個國家

惡名昭彰的金融木馬Grandoreiro，曾在今年1月跨國執法行動後消聲匿跡，但最近有研究人員提出警告，這些駭客準備了2個月就捲土重來，而且發動攻擊的範圍變得更廣，從拉丁美洲擴及全世界。

究竟駭客如何大幅增加攻擊的力道及範圍？研究人員推測，對方很有可能透過惡意軟體租賃服務的方式，吸引許多打手上門、加入攻擊的行列。

【5月22日】針對研究人員指控修補NAS作業系統漏洞速度太慢，威聯通發布聲明說明處理進度

想要快速處理漏洞的修補，單靠研究人員及早通報是不夠的，IT設備廠商必須設法加快漏洞的確認與修補，最近資安業者揭露NAS廠商威聯通產品漏洞，再度突顯此問題的影響。上週五（5月17日）資安業者watchTowr表示，他們已向威聯通通報15個NAS漏洞，但僅有4個完成修補，大部分從通報至今已超過4個月卻尚未處理。

事隔4日，威聯通發布新聞稿公布處理情形，罕見的是，他們也對於修補速度過慢的情況做出承諾，表明日後針對重大及高風險層級漏洞，將於45日內完成處理，並發布修補程式。

【5月23日】微軟推出AI電腦新功能Recall引發隱私爭議，英國主管機官宣布啟動調查

微軟近日揭露新一代NPU加速的AI筆電，並將其命名為Copilot+ PC，主打內建40多個地端AI模型和原生AI應用程式，包括能快速找出所需資訊的Recall、圖像創作Cocreator，以及能將四十多種語言即時翻譯為英文的即時字幕（Live Caption）等AI加持的工具。

然而值得留意的是，以背景快照記錄使用者活動，以便用戶搜尋電腦檔案及上網活動的Recall，公布後便引發外界對於隱私上的爭議，英國個資保護主管機關宣布將介入調查此事。

【5月24日】研究人員揭露中國駭客組織APT41的作案工具KeyPlug，並指出有可能也提供當地資安業者安洵運用

最近有研究人員針對惡名昭彰的中國駭客駭客組織APT41攻擊行動進行調查，並指出對方使用名為KeyPlug的後門程式攻擊義大利的企業組織，其手法相當複雜、刁鑽。

雖然這並非這些駭客首度運用KeyPlug，但研究人員比對這次的作案工具特徵，認為他們疑似曾更換軟體的名稱提供中國資安業者安洵使用，這間接印證兩者之間有合作關係的現象。