【資安日報】2021年11月3日

圖片來源:

股市公開資訊觀測站

今天在股市公開觀測站的重大訊息中，有一則是資安事故的消息，且與10月29日上市營建公司日勝生於股市公開資訊觀測站所發布的重大訊息有關：該公司旗下的零售業京站公司於昨日傍晚，也證實遭到網路攻擊，該公司最為人知的就是位於臺北轉運站的京站時尚廣場。由於日勝生指出有些伺服器是集團共用，很有可能還有旗下的其他公司也受到影響，而京站發布的重大訊息也印證了這樣的情形。

同時，今天還有多則資安新聞與勒索軟體有關，例如，研究人員提出警告，攻擊者積極找尋的目標，是正在進行併購的公司；而這些勒索軟體駭客除了會在自己的網站公布受害者之外，近期也有駭客組織是透過推特機器人，建立多個看起來是女性使用者的帳號，來散布勒索軟體攻擊事故的新聞，藉此向受害組織施壓。

【攻擊與威脅】

日勝生子公司京站證實遭到網路攻擊

營建商日勝生近期傳出遭網路攻擊，在10月29日臺灣證券交易所發布重大訊息，表明該公司及其子公司，部分資訊系統遭受駭客網路攻擊。相隔4日，日勝生旗下興櫃的百貨零售業者京站實業，也在證交所發布重大訊息，表明公司部分資訊系統遭受攻擊。京站發言人陳岱慧表示，此次事件與日勝生10月底事故有關，他們因集團共用的伺服器而連帶受到影響。

針對日勝生受駭客攻擊事件，勒索軟體組織LockBit 2.0聲稱握有141 GB資料，並打算向其索討8萬美元贖金。

巴基斯坦國家銀行遭駭，ATM與行動App用戶遭到波及

有2名消息人士向The Record透露，巴基斯坦國家銀行（NBP）於10月29日與30日的晚上，遭到破壞性的網路攻擊，導致該銀行的後端系統，以及與分行互相連接的伺服器，還有控制ATM網路與行動裝置App的後端基礎架構都受到影響。NBP於30日表示，他們已將受影響的系統進行隔離。知情本次攻擊事故與調查人士指出，儘管部分系統因此癱瘓，但沒有發現存款遭竊的跡象。

在經歷週末全力搶修，11月1日NBP宣稱，該國1千多家分行和全部的ATM已恢復運作，但當地媒體報導疑似有9家不同的銀行遭駭，仍然造成大批民眾當日早上從ATM把錢領出來。對於媒體的報導，巴基斯坦政府特地澄清，只有NBP遭到攻擊，其他銀行沒有受到波及。

勒索軟體駭客利用併購訊息，脅迫受害企業付贖金

美國聯邦調查局發布公告，指出勒索軟體駭客為了讓受害企業就範，攻擊過程會收集公司財務資訊，運用如併購等重大事件，以操控股價來做為籌碼，要脅這些受害企業付錢。他們也舉出駭客會透過多種管道得知受害企業的財務內幕，像是與投機者交換情報，或是從竊得的資料找到有用的資訊等。

為增加竊取機密的速度，勒索軟體駭客BlackMatter自製新的工具

資安業者賽門鐵克發現，勒索軟體駭客BlackMatter為了提高攻擊的速度，開始使用名為Exmatter的自製工具，目的是從多個指定的資料夾裡，竊取特定類型的檔案，然後在植入勒索軟體之前，將這些資料上傳到攻擊者的伺服器。這是繼Ryuk開發的竊密工具，以及LockBit所使用的StealBit之後，第3款由勒索軟體駭客自製的竊密工具。

勒索軟體駭客組織Grief透過推特機器人散布攻擊事故

資安業者Mandiant向新聞網站The Daily Beast透露，他們發現勒索軟體駭客Grief疑似攻擊美國步槍協會（NRA），並透過推特帳號散布有關報導。為何這個組織使用推特而非在自己的網站公布此事？研究人員認為，很有可能是Grief的攻擊沒有引起關注，且有可能拿不到贖金，才會透過這種方式來傳播攻擊事故。

加拿大紐芬蘭省的醫療照護系統疑遭勒索攻擊而服務中斷

加拿大衛生部於11月1日表示，紐芬蘭省的醫療照護系統疑似遭到網路攻擊，導致服務被迫中斷，部分預約掛號取消，這起攻擊事故在10月30日被發現，當局正展開調查。而對於此起事故的攻擊類型，加拿大廣播公司取得消息人士的說法，疑似是勒索軟體攻擊，電腦的檔案遭到加密，攻擊者要求支付贖金才能復原。不過，這個說法並未得到加拿大衛生部的證實。

韓國造船廠證實遭網路攻擊，身為韓國國防承包商而引起關注

韓國國防承包商大宇造船與海洋工程公司（DSME）於10月31日表示，他們正在針對電腦系統疑似遭到破壞進行調查。DSME指出，這是今年第2次、12月內的第3次系統遭到入侵，並強調本次事故並未外洩國防資訊。

【漏洞與修補】

GitLab已修補的RCE漏洞被用於攻擊行動

程式碼代管平臺GitLab於4月修補重大漏洞CVE-2021-22205，一旦攻擊者利用這項漏洞，可遠端執行任意指令發動攻擊，CVSS風險層級達到滿分。但近期資安業者HN Security與Rapid7先後提出警告，表示已有實際攻擊行動出現，而能夠從網際網路上存取的GitLab伺服器，仍約有3萬臺曝露於此漏洞的風險當中。

資安公司Hawsec與Census實驗室聯手，發現Hitachi Vantara的資料分析軟體Pentaho Business Analytics存在多個漏洞，一旦遭到攻擊者利用，可透過上傳任意檔案的方式發動攻擊，甚至能在底層主機系統上執行任意程式碼。這些漏洞存在於9.1版Pentaho Business Analytics，其中的CVE-2021-31599與CVE-2021-34684屬重大漏洞，CVSS風險評分達到9.9與9.8分。

Google宣布推出為期3個月的Linux漏洞懸賞加碼計畫

為加強Linux核心的安全性，Google在11月1日宣布，他們即日起自2022年1月31日，打算將去年針對Kubernetes基礎架構舉辦的搶旗賽（kCTF）時，所推出的漏洞獎勵計畫（VRP）為基礎，並將獎金提高為3倍－－每個漏洞基本獎金從31,337美元起跳，若是研究人員發現的是零時差漏洞，或是漏洞運用了Google認定的新攻擊手法，獎金最高可能會有50,337美元。

【資安產業動態】

Akamai完成對於Guardicore的併購，擴展防禦勒索軟體的能力

資安業者Akamai於9月29日宣布，將以6億美元併購以色列新創Guardicore，並在10月21日完成併購作業，Akamai表示，此併購案將有助於擴展他們的零信任解決方案，保護企業防禦勒索軟體攻擊。

東吳大學與以色列網路資安訓練中心ThinkCyber及新加坡公司Centre for Cybersecurity合作，引進資安培訓證照課程、資安培訓模擬實作平臺

為提供更為全面的資安訓練，東吳大學於11月1日宣布與以色列網路資安訓練中心ThinkCyber、新加坡公司Centre For Cybersecurity合作，引進資安證照培訓課程，以及模擬實作平臺Cyberium Arena。

宏碁旗下安碁資訊將於11月3日發布重大訊息，已有外界猜測與集團資源整併有關

安碁資訊發布公告，將於11月3日暫時交易，並將於18時30分召開記者會。由於母公司宏碁日前在1星期內2度遭到駭客攻擊，因而傳出有意透過安碁資訊成立資安學院，外界猜測，此次停牌將與該集團對於資安領域的布局有關。

【資安防禦措施】

教育部招標TANet系統優化採購案驚傳採用中國貨

教育部於2020年招標臺灣學術網路（TANet）系統優化採購案，由亞太電信以1.49億元得標，但今年4月驗收時，卻被發現違規採用中國製造的零組件。為釐清零組件是否存在資安疑慮，教育部邀集行政院資安處與多名專家、學者研商，討論後認為這些中國製零組件沒有控制網路連線及運算的能力，研判無明顯的資安風險。

雖然初步認定應不妨礙安全及使用需求，但廠商交付元件明確違約，教育部依政府採購法第72條及採購契約第4條規定，依照合約對於違約的項目扣減95%金額，進行減價收受。教育部亦表示，與此採購案有關的網路設備，已加強各項資安管理機制。