【資安日報】2022年7月21日，上櫃生技醫療永昕生物醫藥遭遇資安事件、LinkedIn是今年第2季駭客偏好用於網釣攻擊的品牌

駭客攻擊臺灣生技公司的情況，最近再添一例。上櫃公司永昕生物醫藥證實遭到電腦病毒攻擊，並表示有部分資通訊系統受到波及。

網釣攻擊裡，駭客假冒知名廠商的情況相當普遍，而根據資安業者Check Point的分析，他們偏好的品牌依序是LinkedIn、微軟，以及DHL。由於大部分使用者對這些廠商寄來的信件相當習以為常，很有可能降低戒心而上當。

進行網站側錄攻擊（Web Skimming）的駭客，過往目標集中於線上商城，但最近有研究人員發現，駭客開始將目標轉向線上訂餐平臺，發動Magecart攻擊，因為，這麼做很有可能竊得所有餐廳交易的金融卡資料。

【攻擊與威脅】

上櫃生技醫療永昕生物醫藥遭遇資安事件，部分資通訊系統受影響

臺灣上櫃公司永昕生物醫藥遭電腦病毒攻擊事件，在7月18日於臺灣證券交易所發布重大訊息說明，指出有部分資通訊系統受影響，目前評估對公司營運無重大影響。值得關注的是，這是繼去年11月雙美實業遭駭客網路攻擊後，近一年內，第二起生技醫療業的重大資安事件。

LinkedIn是今年第2季駭客偏好用於網釣攻擊的品牌

駭客組織冒用知名品牌來取信受害者，這樣的情況相當普遍，但他們又偏好那些品牌呢？根據資安業者Check Point針對今年第2季網路釣魚活動進行分析，有45%是使用LinkedIn，其次是微軟和DHL，分別為13%與12%。再者，Amazon與蘋果位居第4與第5，但比例都較今年第一季大幅成長而相當值得留意。

又有新的勒索軟體以程式語言Rust打造而成，並採用獨特的演算法

駭客以程式語言Rust打造的勒索軟體，已有BlackCat、Hive，而最近有新的勒索軟體也使用這種程式語言進行開發。卡巴斯基在地下論壇看到有人在宣傳新的勒索軟體Luna，並表明他們只打算與使用俄文的駭客合作。從宣傳的資料來看，駭客已經打造了Windows版、Linux版的勒索軟體，並開發了針對虛擬化平臺VMware ESXi的專屬版本。

研究人員指出，Luna採用的加密演算法是x25519與AES，可說是相當少見的配置。此外，上述版本的勒索軟體使用相同的程式碼編譯而成，但有一些差異，例如，僅有Linux版本必須要下達參數才會執行。

Google關鍵字的廣告相當容易模仿，而讓人難以分辨真假。資安業者Malwarebytes指出，他們近期看到有人濫用這種關鍵字廣告的攻擊行動，駭客投放了YouTube網站的廣告，雖然根據內容來看，其網址正確，同時也顯示了與之相關的網站連結，內容與正常的廣告相同，但是只要使用者一旦點選廣告，就會被帶往一個Windows Defender資安警報的網站，並告知使用者的電腦偵測到可疑活動並予以攔截，疑似是遭到木馬與間諜程式感染，使用者可撥打技術支援專線來處理。

一旦使用者依照指示聯繫「技術支援」人員，就會被要求安裝TeamViewer來遠端控制並修復電腦，而使得電腦遭到控制。

虛擬竉物網站Neopets資料外洩，6,900萬用戶與原始碼遭竊

電玩產業遭到攻擊與資料外洩的情況經常發生，最近又有業者傳出受害。根據資安新聞網站Bleeping Computer的報導，虛擬竉物網站Neopets的資料外洩，駭客在地下論壇以4個比特幣的價格（9.4萬美元）兜售，並宣稱內含6,900萬個會員的帳號及密碼，以及該網站的原始碼。Neopets在他們的Discord伺服器上坦承此事，並著手處理。有人向該新聞網站透露，駭客很可能在先前的資料外洩事故取得網站的原始碼，進而找到漏洞再度行竊。

駭客鎖定美國線上訂餐平臺，竊得逾5萬張金融卡資料

隨著疫情蔓延，線上訂餐平臺也跟著崛起，但這類平臺也成為駭客盜取交易資料的攻擊目標。根據資安新聞網站Recorded Future的調查，駭客先後於去年11月與今年1月，發動兩起Magecart攻擊，將惡意程式碼注入參與美國線上訂餐平臺MenuDrive、Harbortouch，以及InTouchPOS的餐廳，結果有超過311家餐廳、共5萬張金融卡資料遭竊，並在暗網市場求售。

研究人員指出，較不知名的線上訂餐平臺已成為Magecart攻擊者的重要目標，因為攻擊這類平臺，很有可能竊得大部分餐廳的交易資料。

網釣簡訊攻擊Roaming Mantis鎖定法國發動攻擊

專門從事網釣簡訊（Smiphing）攻擊的中國駭客組織Roaming Mantis，最近又有新的攻擊行動引起研究人員關注。資安業者Sekoia指出，他們在7月上詢偵測到新的Roaming mantis網釣簡訊攻擊，駭客鎖定7萬名法國人的手機而來，若是使用者的手機執行安卓作業系統，遭到攻擊後會被植入惡意程式MoqHao（亦稱Wroba），此惡意程式偽裝成Chrome並暗中收集資料。

但假如受害者使用的手機是iPhone，還是不能掉以輕心。iPhone用戶點選網釣簡訊連結後，會被帶往釣魚網站，駭客目的是騙取Apple ID與iCloud等相關資料。

研究人員揭露可透過SATA排線外洩資料的手法

位於隔離網路環境（Air-gapped）的電腦，因為沒有直接與外部網路連線，而具有較高的安全性，但研究人員還是發現有方法能夠突破這樣的限制，把資料傳送到外部。以色列本．古里安大學（Ben-Gurion University）資安研究人員Mordechai Guri發現名為SATAn的攻擊手法，駭客可在成功入侵位於隔離網路的目標電腦後，利用連接磁碟機的SATA排線發送無線電波，進而將資料傳輸到攻擊者的接收裝置。

雖然這項手法接收器最多只能距離目標電腦1.2公尺，但這種能突破網路隔離措施的手法仍有可能造成威脅。

美國從勒索軟體Maui追回50萬美元加密貨幣

遭到勒索軟體攻擊並選擇支付贖金的組織，因為迅速向執法單位通報，而幸運拿回贖金。美國司法部（DOJ）於7月19日指出，他們從使用Maui的勒索軟體駭客組織手上，成功追回50萬美元的贖金，支付贖金的受害組織都是醫療保健機構──其中，位於堪薩斯州的醫院、科羅拉屬州的醫院，分別向該駭客組織支付了10萬及12萬美元的加密貨幣。該單位表示，由於受害的醫院迅速通報，調查人員能取得更為有效的跡證，進而加速破案。

【漏洞與揭露】

車輛GPS追蹤器MiCODUS MV720存在重大漏洞，恐讓駭客進行跟蹤或控制車輛

GPS追蹤器讓企業能準確掌握車輛的狀態，但這類設備一旦出現漏洞，有可能讓他人進行跟蹤，甚至是遠端中斷車輛動力。資安業者BitSight在MiCODUS MV720車輛追蹤器上發現6個漏洞，當中包含了寫死（Hard-coded）帳密、驗證不當、跨網站指令碼弱點等，其中最嚴重的漏洞是CVE-2022-2107和CVE-2022-2141，CVSS風險評分皆為9.8分，攻擊者可利用前者存取管理伺服器，假冒用戶傳送命令到車輛；後者則是能讓攻擊者不需通過檢查密碼的身分驗證流程，就可以下達命令。

由於此裝置用戶遍及169國、部署逾150萬輛車，涵蓋政府機關、軍隊、警方，以及財星50大企業，影響的範圍相當廣，但研究人員自去年9月開始，多次向MiCODUS通報沒有得到回應，今年初找上美國網路安全暨基礎設施安全局（CISA）協助進行溝通，該公司始終沒有提供修補程式，於是，研究人員與CISA決定公布相關細節，並呼籲用戶最好先暫停使用。