資安一周[0812-0818]：惡意木馬藏身投影播放檔，透過Office的OLE漏洞入侵受害電腦

駭客再度鎖定臺灣證券商發動DDoS攻擊，台新證券下單系統中斷服務半小時

繼今年2月臺灣13家證券商首次遭DDoS攻擊事件後，臺灣再度發生證券商網路系統癱瘓事件。臺灣證券交易所8月14日公告證實，台新證與旗下證券早上8點54分遭駭客利用殭屍網路發動DDoS攻擊，影響下單系統一度中斷，搶修半小時後，直到9點32分才恢復運作。上個月南韓也有7家金融機構受勒索DDoS攻擊。更多資料

2年前駭客遙控10萬殭屍網路的判決出爐，竟有2,500臺QNAP設備

先前2014年全球爆發Shellshock漏洞事件（漏洞編號：CVE-2014-6271），一名義籍駭客Fabio Gasperini趁漏洞爆發期間，駭入10萬臺設備做殭屍裝置，並利用自動化程式點擊網站廣告，偽造使用者流量來賺取收入，美國法院日前調查此事件結果顯示，其中超過2,500臺殭屍裝置竟然是QNAP NAS網路設備。QNAP臺灣總公司於11日回應，早在2014年釋出了Qfix v1.0.2更新檔來修復此問題。由於Gasperini犯了電腦入侵罪，美國法院最終判決Gasperini監禁一年與罰款10萬美元（約新臺幣300萬元），以及沒收所有與控制殭屍網路相關的裝置。更多新聞

烏克蘭網路攻擊危機仍未消除，烏克蘭郵政局連續2日遭DDoS攻擊

先前烏克蘭電廠遭惡意程式lackEnergy攻擊造成大停電，烏克蘭總統也在去年底指出，烏克蘭政府單位在2個月內受到俄羅斯駭客攻擊了6,500次，然而，烏克蘭面對的資安威脅還未消除，烏克蘭郵政局（Ukrposhta）在臉書官方粉絲頁指出，它們在8月7日、8日連續兩天遭到DDoS攻擊，造成所有行政服務中斷，直到8日下午5點才恢復正常。烏克蘭郵政局在今年不是第一次受網路攻擊，6月勒索蠕蟲NotPetya襲擊烏克蘭部分國家關鍵基礎設施，包含電力公司、烏克蘭銀行、電視臺和公共服務系統，郵政局也在這一波攻擊名單內。更多資料

惡意木馬藏身投影播放檔，透過Office的OLE漏洞入侵受害電腦

趨勢科技研究人員在14日揭露新投影片釣魚攻擊手法，近日有假借電纜製造商名義寄發含惡意投影片播放檔（ppsx格式）給電子公司，內容只有一行「CVE-2017-8570」漏洞編號的文字。在此惡意檔案，攻擊者利用Office的OLE漏洞（Object Link and Embedding，漏洞編號CVE-2017-0199）在遠端植入REMCOS RAT木馬至目標裝置，發動其他惡意攻擊，如側錄鍵盤打字記錄、擷取螢幕畫面、操控攝影機、開啟麥克風監聽，也能遠端執行命令。研究人員指出，攻擊者並非利用CVE-2017-8570漏洞攻擊，而是利用原來是零時差漏洞CVE-2017-0199入侵，投影片號碼應該是攻擊者輸入錯誤。目前，微軟在4月已針對此漏洞發布了修補檔。更多資料

檔案系統F2FS驚爆3項漏洞，恐造成數百萬臺Android裝置記憶體損毀

趨勢科技研究人員近期揭露，使用Linux OS裝置的檔案系統F2FS有3項漏洞（漏洞編號CVE-2017-10663、CVE-2017-10662、CVE-2017-0750），允許攻擊者利用惡意App攻擊支持F2FS檔案系統的Android裝置，不僅能藉由漏洞在目標裝置執行任何程式，甚至還能破壞設備內部記憶體，受影響手機廠牌包含華為、Motorola和OnePlus，恐數百萬位用戶面臨此風險。更多資料

俄駭客利用EternalBlue漏洞攻入8家飯店Wi-Fi設備，員工與房客資料恐遭駭

今年4月影子掮客（The Shadow Brokers）外洩美國國安局（NSA）開發EternalBlue駭客工具後，陸續出現許多針對EternalBlue漏洞攻擊的駭客工具，如勒索蠕蟲WannaCry、勒索軟體Petya、挖礦工具，以及其他木馬程式等發動攻擊，資安公司FireEye於8月11日又揭露，知名俄羅斯駭客組織APT 28利用EternalBlue漏洞，入侵歐洲和中東地區8家飯店網路系統，竊取飯店提供Wi-Fi服務的帳密，並進一步取得飯店員工和房客資料。更多新聞

間諜軟體SonicSpy化身上千款App散播，Google緊急下架

通訊軟體除了聊天、分享檔案和線上開會外，竟然還能當作駭客執行惡意攻擊的控制臺。資安公司Lookout研究人員Michael Flossman於10日揭露，他發現間諜軟體SonicSpy偽裝Google Play上千款App，暗中蒐集資料與操控攻擊目標，如竊聽、開啟相機功能拍攝照片、撥打電話、發送簡訊、蒐集通話紀錄和聯絡人資料。研究人員分析，駭客利用通訊軟體Telegram，特別開發了專門執行間諜功能的版本，能夠鎖定攻擊目標在遠程執行73種不同命令。目前，Google Play已經逐漸撤下SonicSpy偽裝的App。更多資料

微軟8月例行更新大修48項漏洞，還首度幫Linux子系統補漏洞

微軟在8月8日公布了最新漏洞修補更新，總共修補了48個安全漏洞，比上個月減少了7項安全漏洞，影響產品為IE、Microsoft Edge、Microsoft Windows、Microsoft SharePoint、Microsoft SQL Server及Adobe Flash Player等，其中18個重大漏洞藏身在微軟腳本引擎（Microsoft Scripting Engine）中，駭客能夠利用該漏洞在遠端執行攻擊程式。此外，微軟也首度修補Windows中Linux子系統（Windows Subsystem for Linux）的2項安全漏洞分別是CVE-2017-8627和CVE-2017-8622，前者為阻斷服務漏洞，後者是權限擴張漏洞，都屬於重要（Important）等級以上的漏洞。更多新聞

英國政府提議資料保護法案，外洩匿名資料企業最高罰6.8億

隨著歐盟在2018年5月正式貫徹資料防護規範（GDPR），嚴格保護歐盟各國公民資料避免遭外洩，否則外洩企業需支付全球營業額4%或2,000萬歐元（約新臺幣7.2億元）。英國雖然已經不是歐盟一分子，但政府也跟著GDPR規範在8月7日公布了新的資料保護法案提案，個資定義比GDPR增加了包括IP地址、Cookie和DNA資料，強調匿名資料若遭他人辨識出同刑事犯罪，最高處罰1,700萬英鎊（約新臺幣6.84億元）或企業全球營業額4%。更多資料

Google宣布iOS裝置開始支援Gmail反釣魚防護功能

Google於10日在官方部落格宣布，iOS裝置的用戶也擁有Gmail反網路釣魚偵測功能。用戶在Gmail信件內點擊可能含有惡意行為的連結時，Google提醒用戶該連結為不可信任連結，詢問用戶是否進入該連結網頁或取消進入。更多資料