【資安日報】2022年1月13日，俄羅斯APT駭客接連攻擊關鍵基礎設施，引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

在國際局勢上，俄羅斯APT駭客APT29、APT28、Sandworm Team，不斷針對關鍵基礎設施（CI）發動攻擊，而使得美國政府向相關業者發出警告，呼籲要積極監控工業控制系統（ICS）與操作科技（OT）環境，一旦發現疑似的攻擊跡象，就要進行通報。而類似針對CI的APT駭客，還有隸屬伊朗軍情單位的MuddyWater，他們主要的攻擊目標是電信業者、政府機構，以及石油公司。

而中國通訊設備傳出可能會向中國政府回傳資料的跡象，過往集中的焦點多半是在行動裝置，但企業採用的IP電話也出現類似情形。最近有報導指出，美國有參議員向商務部提出，該國政府各級單位大量採用的億聯（Yealink）IP電話，不只設計上存在嚴重的資安問題，還會連線到阿里雲交換加密訊息。這樣的情形商務部會如何因應，相當值得觀察。

除了上述的資安通告，以及中國產品的威脅，美國醫療機構資安事故頻傳的現象也引起關注。在我們今天提到的佛州消化道照護機構（FDHS）、美國醫療檢測研究所（MRIoA）的事故之餘，近期還有Ravkoo網路藥局、伊州生育中心、愛達荷州醫療機構Saltzer Health、佛州醫療照護系統Broward Health等組織傳出相關攻擊事件。

【攻擊與威脅】

俄羅斯駭客APT29、APT28、Sandworm Team鎖定美國關鍵基礎設施下手

臺灣在資安即國安的戰略下，關鍵基礎設施（CI）成為重要的一環，而針對這類設施的相關威脅，國外也相當重視。例如，美國網路安全暨基礎架構安全局（CISA）、聯邦調查局（FBI）、國家安全局（NSA）聯合提出警告，APT29、APT28、Sandworm Team等俄羅斯政府資助的駭客組織，連年針對關鍵基礎設施，攻擊全球的工業控制系統（ICS）與操作科技（OT）環境，尤其對於美國CI攻擊的情況加劇，他們呼籲相關業者要加強防護，保留各式事件記錄檔案（Log），並在察覺疑似遭駭的事件就進行通報。

美國指控MuddyWater駭客組織與伊朗軍情機構有關

伊朗駭客組織MuddyWater（亦稱SeedWorm、TEMP.Zagros）近期動作頻頻，且都是鎖定電信業者、政府機構，甚至是航空公司等關鍵基礎設施下手，這樣的攻擊策略是否與軍事情報的收集有關？美國網站司令部（United States Cyber Command，USCYBERCOM）指出，MuddyWater是伊朗情報暨國家安全部（MOIS）下屬單位，他們也公布該組織於近期攻擊行動所使用的惡意軟體PowGoop情資，並指出這些駭客可能會透過DLL側載（DLL Side-loading）來執行，並混淆PowerShell指令以隱藏攻擊意圖。

億聯IP電話設備疑似會每天向中國伺服器發送訊息

中國品牌的行動裝置會回傳資料到中國，而引起關注，但該國品牌的IP電話，也可能存在類似的情況。根據美國國防新聞網站Defense One的報導，該國參議員Chris Van Hollen於2021年9月28日，向商務部提及億聯（Yealink）IP電話潛藏的資安威脅，並引用資安業者Chain Security對於該廠牌T54W電話的分析報告，確認商務部是否知情。由於億聯為當地政府IP電話的10大供應商之一，該廠牌IP電話廣受美國政府與企業採用，這名參議員認為，恐會造成國安威脅。

資安業者Chain Security在研究報告指出，T54W會每天透過其管理平臺（YDMP）連線到阿里雲，多次交換加密訊息，而且億聯中國的員工可透過YDMP超級管理員身分，來監控網路流量。此外，T54W的韌體沒有使用數位簽章，有可能遭到攻擊者竄改。再者，根據億聯的使用者授權條款，中國政府可基於國家利益考量，要求億聯對使用者進行主動監控。

菲律賓選舉委員會伺服器遭駭，恐波及總統大選

菲律賓即將於今年5月舉行總統大選，相關的競選活動與籌畫正在如火如荼進行，卻驚傳辦理選務的單位資料外洩。當地媒體馬尼拉公報（Manila Bulletin）發現，有駭客組織於1月8日入侵菲律賓選舉委員會（Comelec）的伺服器，並下載該單位的內部網路資料，包括網域相關資料及選務資料。攻擊者不只下載了網域管理員帳密、特權用戶名單、網域政策，並取得投票區地點與選務人員名冊等細節。馬尼拉公報認為，這起資料外洩事件很可能會影響接下來的總統大選。

美國佛州腸胃醫療機構驚傳資料外洩，21萬病人可能受到影響

商業郵件詐騙（BEC）橫行，不只導致組織財務損失，還可能洩露客戶的資料。美國佛州消化道照護機構（FDHS）近日向212,509人發出資料外洩通知，表明一年前（2020年12月）數名員工電子郵件帳號遭到入侵的事故，不只該構構有部分資金遭竊，還有可能使得病人的資料外洩。這些資料包含了姓名、財務資料、聯絡方式、醫療診斷，以及保險與補助的資料。FDHS表示，電子病例系統（EMR）並未受到本起事故影響。

美國醫療檢測機構MRIoA資料外洩，恐波及逾13萬人

美國醫療檢測研究所（MRIoA）發出公告指出，他們在2021年11月9日察覺遭到複雜的網路攻擊，並於同月12日出現客戶資料遭到未經授權存取的現象，這些資料包含了個人聯繫方式、社會安全碼、實驗室檢測資料，以及保險資料等。MRIoA強調，尚無證據顯示，外洩的資料導致客戶身分遭到盜用，該單位亦提供受影響的人士免費信用監控與身分保護服務。根據MRIoA繳交給緬因州總檢察長辦公室的文件，超過134,000人受到影響。

美商藝電驚傳FIFA玩家帳號遭駭

社群網站如臉書、Instagram、推特等，名人帳號遭到挾持事件頻傳，但這樣的現象也出現在電玩遊戲上。美商藝電（EA）近期發布公告，指出足球電玩FIFA 22的玩家，有接近50個帳號遭到接管，攻擊者使用網路釣魚與其他社交工程手法，藉由客服人為錯誤來繞過雙因素驗證（2FA），來存取這些玩家的帳號，該公司將加強相關人員的訓練，以及改進身分驗證流程來因應。由於遭駭的玩家包含了直播主，甚至是Valentin Rosier等足球運動員，此事件的後續發展有待觀察。

義大利駭客鎖定出版業發動網釣攻擊，竊取未上市書籍稿件

攻擊者利用商務郵件詐騙（BEC）的手法，大多是鎖定財務部門與相關主管，但也有針對出版業剽竊智慧財產的情況。美國於1月5日逮捕29歲的義大利人Fillippo Bernardini，這名男子藉由曾在大型出版商Simon & Schuster工作，但自2016年8月，他涉嫌冒充出版業的人士，使用超過160個假造網域名稱的電子郵件，佯稱是出版社或是文學偵察員（literary scout），要求作者在書籍出版前提供手稿，其中不乏得到普立茲獎肯定的作家。該名男子亦針對紐約市一家文字偵察員公司發動網路釣魚攻擊，進而從中得知即將出版的書籍資訊。一旦被判有罪，Fillippo Bernardini恐面臨20年以上的監禁。

東森購物、誠品書店與王品集團履列高風險賣場名單，到2022年初仍多起民眾通報，單誠品去年就有939件

針對國內疑似個資外洩造成詐騙的問題，內政部刑事警察局165反詐騙諮詢專線，持續公布解除分期詐騙高風險賣場名單示警，到了2022年第一週，去年傳出客戶個資外洩的東森購物、誠品書店，仍位列名單第一第二，王品集團旗下餐飲品牌陶板屋也持續入榜。

日前警方曾針對誠品書店個資外洩事件說明，指出該公司並未找到事件根因，而我們追問後得知，2021全年單是誠品的民眾通報件數，已高達939件，而東森購物與王品集團還在調閱資料中，但也可能有如此多，相較於前兩年，2020年是MOMO購物（383件）最高、2019年是MKUP美咖（421件），去年個資外洩引發詐騙的問題，明顯比往年嚴重。近期，165就會揭露2021年度的前五大高風險賣場。

【近期資安日報】

2022年1月12日，微軟發布1月例行修補，修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日，網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷，原因是NPM套件作者自毀程式碼

2022年1月10日，Log4Shell再被用於攻擊VMware遠端工作平臺，小心透過Google語音電話挾持帳號的詐騙

2022年1月7日，NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字，Java的RMI協定可被用於SSRF攻擊

2022年1月6日，駭客針對17家公司進行撞庫攻擊，惡意軟體ZLoader透過網管軟體投放

2022年1月5日，研究人員發現70個網站快取中毒漏洞，摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日，從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日，Log4Shell漏洞被用於攻擊學術機構，網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日，加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日，密碼管理系統LastPass驚傳遭到帳號填充攻擊，音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日，資安成國際半導體展要角，勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS