【資安日報】2022年1月18日，數個WordPress外掛驚傳CSRF漏洞，SAP開發平臺重大漏洞恐被用於供應鏈攻擊

廣受許多組織使用的網站內容管理系統WordPress，再度傳出有數個外掛程式存在重大的存在請求偽造（CSRF）漏洞，CVSS風險層級高達8.8分，研究人員估計總共有8.4萬個網站受到影響。

另外，不少企業採用的SAP，其中一個CVSS風險層級9.1分的重大漏洞，研究人員發現可被用於供應鏈攻擊，讓攻擊者在SAP應用程式植入惡意軟體，呼籲用戶要儘速修補漏洞。

除了上述的嚴重漏洞之餘，北韓APT駭客組織去年大肆透過加密貨幣業者竊取資金的現象，也較以往增加4成，而成為北韓在許多國家對其經濟制裁下，用來發展軍事的資金來源。

【攻擊與威脅】

中華職棒YouTube頻道被盜，直播內容變比特幣演說

根據國內多家媒體報導，中華職棒YouTube官方頻道在1月17日晚間21時20分被盜用，頻道名稱被更改為MicroStrategy，直播內容則是講解比特幣，狀況在22時30分左右排除，但張貼的影片有被刪除的狀況。不過這起事件並未結束，我們從PTT網友針對此事的回應來看，在1月18日上午5時到9時，被盜狀況仍繼續發生，並指出這樣的直播維持有2千人觀看。

勒索軟體Qlocker曾於2021年4月下旬，鎖定威聯通（QNAP）的NAS用戶發動攻擊，利用備份資料同步元件HBS 3的漏洞入侵。但最近，該勒索軟體再度出現新一波的攻擊行動而值得留意。根據資安新聞網站Bleeping Computer於1月15日的報導，他們發現Qlocker疑似在1月6日有了新的攻擊行動，一旦NAS遭到威染，檔案被加密後攻擊者會留下勒索訊息，要求支付0.02至0.03個比特幣來恢復檔案，至少有數十臺NAS遭到感染。該新聞網站呼籲用戶，參考威聯通的最佳實務來強化NAS安全。

臺資安業者TeamT5揭露鎖定俄羅斯政府的APT入侵攻擊手法

今年1月初，資安業者Cluster25揭露北韓駭客組織鎖定俄國外交部的攻擊，對於這樣的攻擊行動，臺灣資安業者TeamT5在1月中旬也公開自家分析結果，解析其攻擊手法，是透過惡意魚叉式電子郵件進行，一旦使用者上鉤開啟郵件附檔中的螢幕保護程式поздравление.scr，該程式背地裡將連線中繼站並下載惡意Payload，再透過Base64演算法取得惡意CAB檔案，當中將包含後門程式scrnsvc.dll，經TeamT5分析，該後門程式與北韓駭客組織Konni所慣用的後門程式家族Sanny有關，與Cluster25的研究分析有相同結論。

近四分之一網釣攻擊冒用DHL的名義出手

過往網路釣魚攻擊中，攻擊者較為偏好利用微軟和Google等IT業者的名義，來取得受害者的信任，進而得手對方的帳密等資料，但這個情況近期出現了變化。資安業者Check Point針對2021年第4季，駭客在發動網路釣魚攻擊的行動裡，所假冒的廠牌名稱，調查後發現，全球有23%網路釣魚是利用物流業者DHL的名義發動攻擊，不只比2021年第3季（9%）高出不少，也超越微軟（20%）、WhatsApp（11%）、Google（10％）。

北韓Lazarus旗下駭客組織鎖定加密貨幣新創公司，將其貨幣盜領一空

北韓駭客鎖定加密貨幣來獲利的情況，近期又有相關的攻擊行動出現。卡巴斯基揭露Lazarus旗下的駭客組織BlueNoroff，約在2021年11月發起SnatchCrypto攻擊行動，鎖定專門處理加密貨幣、數位合約、DeFi、區塊鏈的中小型新創公司下手，對於這些企業的員工傳送具備監控功能的後門程式，最終目的是清空受害組織的加密錢包。為了讓受害者上當，該組織偽裝成超過15家風險投資業者。

北韓駭客2021年竊得4億美元加密貨幣，較前年多出4成

美國與其他國家長期對於北韓實施經濟制裁，使得該國長期以來，倚賴APT駭客攻擊全球各地的金融機構，來竊取資金。但最近2到3年，北韓駭客更加關注如何偷取加密貨幣，根據區塊鏈資安業者Chainalysis調查，這些駭客在2021年總共對於加密貨幣平臺發起至少7次攻擊行動，並取得近4億美元的加密貨幣，較2020年要多出40%。其中，被竊的加密貨幣以太幣占超過半數（58%）、比特幣居次（20％）、22%是ERC-20或替代幣（Altcoin）。

Linux惡意軟體在2021年增加35%，XorDDoS、Mirai、Mozi最為氾濫

攻擊者鎖定Linux作業系統發動攻擊的現象，去年頻繁傳出攻擊事故，許多勒索軟體駭客開始針對這種環境製作專屬攻擊工具，就連Log4Shell漏洞攻擊，也有不少是針對Linux伺服器而來，但這種情況有多嚴重？根據資安業者CrowdStrike的調查，2021年Linux惡意軟體的數量，較2020年多出35%，其中XorDDoS、Mirai、Mozi家族最為氾濫，占所有惡意軟體的22%，其中又以Mozi攻擊出現爆炸性成長，去年的惡意軟體數量是前年的十倍。

【漏洞與修補】

WordPress外掛程式存在高風險漏洞，恐波及8.4萬網站

專注於WordPress網站安全的Wordfence指出，他們發現3個WordPress外掛程式存在請求偽造（CSRF）漏洞CVE-2022-0215，CVSS風險層級為8.8分。這些存在漏洞的外掛程式為Login/Signup Popup、Side Cart Woocommerce、Waitlist Woocommerce，各有超過2萬個、4千個、6萬個網站使用，套件開發者XootiX獲報後已修補上述漏洞。

重大SAP軟體漏洞恐被用於供應鏈攻擊

甫被公布細節不久的軟體漏洞，很可能因為有其他利用的方式，而使得漏洞潛藏的危害比原本預期的還要嚴重，甚至可能引發類似SolarWinds供應鏈攻擊的事故。例如，專精於SAP安全的資安業者SecurityBridge，針對一項存在於NetWeaver AS ABAP、ABAP平臺的重大漏洞CVE-2021-38178提出警告，表示這項漏洞原先被發現是不正確的授權問題，能讓攻擊者將程式碼跳過檢測程序就發布，但研究人員發現，攻擊者還能竄改發布狀態，允許在正式發布程式碼後將狀態變更為「可修改」，使得攻擊者可以任意加入惡意程式進行供應鏈攻擊。這項漏洞SAP已於2021年10月發布修補程式，研究人員呼籲用戶要儘速安裝相關更新。

Safari驚傳頁面呈現引擎漏洞，恐曝露瀏覽器記錄與Google帳號細節

資安業者FingerprintJS揭露Safari 15瀏覽器的WebKit頁面呈現引擎漏洞，這項漏洞與Indexed Database（IndexedDB）的API有關，一旦被攻擊者利用，可透過網站追蹤使用者的網路活動，甚至得知用戶的身分，例如Google帳號的細節，無論是蘋果個人電腦（macOS）或是行動裝置（iOS、iPadOS）用戶都受到影響。這項漏洞自研究人員於1月15日公開後，蘋果已於17日著手於WebKit原始碼加入相關的修補程式，但尚未提供給一般用戶。

【資安產業動態】

半導體資安標準SEMI E187正式發布上架

在2022年1月17日，全球首個半導體晶圓產線設備資安標準已正式上架於SEMI網站，名稱為「SEMI E187 - Specification for Cybersecurity of Fab Equipment」。特別的是，這也是首次由臺灣主導制定的半導體相關國際標準，此項標準在四大方面提出要求，包括：作業系統規範、網路安全相關、端點保護相關，以及資訊安全監控，建立晶圓廠設備資安最低標準。

【近期資安日報】

2022年1月17日，俄國攻擊烏克蘭數十個政府網站，又大舉逮捕勒索軟體REvil成員，引起全球關注

2022年1月14日，美國商討Log4Shell開源軟體安全；電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日，俄羅斯APT駭客接連攻擊關鍵基礎設施，引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日，微軟發布1月例行修補，修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日，網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷，原因是NPM套件作者自毀程式碼

2022年1月10日，Log4Shell再被用於攻擊VMware遠端工作平臺，小心透過Google語音電話挾持帳號的詐騙

2022年1月7日，NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字，Java的RMI協定可被用於SSRF攻擊

2022年1月6日，駭客針對17家公司進行撞庫攻擊，惡意軟體ZLoader透過網管軟體投放

2022年1月5日，研究人員發現70個網站快取中毒漏洞，摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日，從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日，Log4Shell漏洞被用於攻擊學術機構，網路叫車系統Uber郵件系統可被冒名寄詐騙郵件