【資安週報】2022年10月11日到10月14日

本週的資安新聞中，又傳出針對微軟Exchange伺服器、Zimbra零時差漏洞入侵的消息，突顯企業電子郵件系統持續成為駭客組織的鎖定目標。此外，Fortinet的CVE-2022-40684漏洞修補通知亦成焦點，該公司相隔三日才公布於官方資安通告網站，並說明已有相關攻擊行動。

在威脅趨勢上，滲透測試工具Brute Ratel C4出現破解版並在網路犯罪圈散布，最受注目，還有簡體中文管理介面Alchimist的C2框架與Insekt惡意軟體被揭露，以及名為Caffeine的網釣攻擊套件租賃服務（PhaaS）興起的消息。

在國際的資安事件中，美國10多座機場網站遭DDoS攻擊，Toyota揭露一起關於委外管理與稽核不足的情形，以及三家澳洲公司近期接連揭露發生資安事件的消息，引發不小的關注。

至於資安產業防護動向上，Google將推出的FIDO Passkey受到極大關注，以及半導體產業中的SEMI E187的設備資安標準的Reference Practice指引本週釋出。

【10月11日】資安業者Fortinet修補漏洞先私下通知部分用戶、400個手機App竊取百萬用戶臉書帳號資料

為了能讓用戶儘速修補漏洞，IT業者往往會發布資安通告，讓用戶能儘速部署相關的更新程式或是韌體，但最近資安廠商Fortinet揭露這類訊息的方式令人意外，因為對於一個嚴重等級評分高達9.6的資安漏洞，他們並未先在自家網站公告，而是私下向部分使用者通知，有用戶將這訊息公布之後，大家才知道有這個漏洞。

因外部廠商管理不當，不慎將用戶資料在網路上公開的情況也相當值得注意。汽車大廠Toyota最近就因為車輛管理系統T-Connect的原始碼公開，導致可存取使用者資料庫的帳密曝光，原因與他們配合的網站開發業者有關。

以臉書登入（Log-in with Facebook）的功能相當常見，但也成為攻擊者騙取該社群網站帳號資料的手段！Meta表示他們找到400個惡意App，其共通點就是會要求使用者需要登入臉書帳號，而且，這些應用程式幾乎可從Google Play與蘋果App Store市集下載（現已全數移除）。

【10月12日】Exchange傳出有新的零時差漏洞被用於攻擊行動、SEMI E187設備資安標準導入指南正式發布

越南資安業者GTSC在9月底通報的Exchange零時差漏洞ProxyNotShell還沒有得到修補，現在傳出可能又有新的漏洞被用於攻擊行動！微軟傳出針對資安業者AhnLab揭露的勒索軟體LockBit攻擊行動進行調查並得到證實，背後的原因疑似就是與Exchange漏洞有關。

上述的ProxyNotShell漏洞經過兩週仍未獲得修補，已讓不少人跳腳，但有漏洞接近一年都還沒有修補程式！研究人員去年11月通報的VMware vCenter Server的漏洞CVE-2021-22048，迄今不只尚未有修補程式，就連大改版vCenter Server 8.0仍存在相關漏洞。

國際半導體產業協會SEMI Taiwan針對今年1月推出的半導體產線設備資安標準，他們最近發布了導入指南，並表示未來還會提供更為完備的標準實務指引。

【10月13日】駭客濫用Google表單攻擊美國小型企業、勒索軟體Black Basta以滲透測試工具BRC4入侵受害組織

駭客看上近期小型企業面臨通貨膨脹，亟需資金周轉的情況發動網釣攻擊，假借美國政府的名義行騙。但值得留意的是，駭客利用了廣為人知的Google表單來騙取這些企業資料，而使得收信人可能因此降低戒心而上當。

引起資安界高度關注，且認為駭客將會用於取代Cobalt Strike的滲透測試工具Brute Ratel C4，在網路犯罪圈出現了破解版本後，已被勒索軟體駭客用於實際攻擊行動。

在本週的資安公告中，SAP、西門子、Aruba都針對旗下產品發布例行修補，值得留意的是，這些資安通告裡，都提及了CVSS風險評分近滿分的重大漏洞，用戶應儘速套用更新軟體，或是採取緩解措施。

【10月14日】資安業者發現簡中介面的C2攻擊框架Alchimist、駭客使用新網釣攻擊套件租賃服務Caffeine

網路攻擊者在APT攻擊中使用現成C2框架的趨勢增加，近來出現一個名為Alchimist的C2框架與Insekt惡意軟體，並是以GoLang程式語言開發，並具有簡體中文的管理介面，疑為中國駭客使用的新攻擊工具。而在此之前，資安業者也曾揭露最近中國駭客最近廣泛使用的Manjusaka，兩者有類似的特點，但研判打造的駭客組織並不相同。

在網釣威脅持續嚴峻之下，背後黑色產業中所發展的網釣攻擊套件租賃服務（PhaaS），也持續有新的平臺誕生，近期一款名為Caffeine的PhaaS平臺，正被網路犯罪分子廣泛用於網釣攻擊活動。

此外，近日國際間出現結合網釣與語音誘騙的手法，值得金融業及用戶留意，已有多家義大利金融業遭冒名。