【資安週報】2023年5月2日到5月5日

在這一周的漏洞消息中，有4個主要焦點，首先是飯店、酒店、度假村等普遍使用的Oracle物業管理系統，有研究人員指出今年4月修補的一項漏洞嚴重性被低估，以及SLP協定漏洞恐被用於DDoS流量放大攻擊，影響平臺廣泛受注目，還有TBK Vision視訊監控畫面側錄設備傳出5年前的漏洞遭駭客鎖定攻擊的情況，並有思科針對伺服器管理系統Prime Collaboration Deployment的漏洞示警，預計5月釋出更新修補。

在網路攻擊重要事件方面，有中國駭客組織Earth Longzhi利用新手法停用資安防護系統的揭露，由於臺灣、泰國、菲律賓是鎖定對象，因此備受關注；國際間還有塔吉克政府、電信、公共服務基礎設施遭網路攻擊的揭露，當地有499個系統遭設置後門，而其背後是俄羅斯駭客發動Paperbug網路間諜攻擊。

在最新威脅焦點方面，假冒ChatGPT等AI工具散布惡意的情況有新的消息，光是今年3月就發現至少10個惡意軟體家族用此手法；AI技術複製聲音的威脅有竄升的跡象，如今正影響社會大眾，企業也須防範與BEC攻擊手法的混合。其他值得注意的消息，包括竊資軟體NodeStealer動向，惡意程式載入器AresLoader鎖定Citrix用戶情況，以及駭客使用雙重DLL測載手法試圖逃避資安檢測的揭露。

另外值得警惕的資安消息是，本周傳出美國許多銀行、政府組織、醫療服務供應商使用Salesforce卻有錯誤配置情形，導致未經身分驗證的使用者也能存取資源。

【5月2日】俄羅斯駭客APT28再度對烏克蘭政府機關下手，這次是假借IT人員名義發動網釣攻擊

在開戰期間，俄羅斯駭客頻頻針對烏克蘭發動網路釣魚攻擊，他們大多假借提供有關戰爭情勢、空襲警報的資訊來做為幌子，但現在這些駭客假扮成組織的IT人員，宣稱要收信人執行電腦更新的名義來進行情資收集的工作，而很有可能讓收信人信以為真，照著對方的指示操作。

新的勒索軟體病毒出現，也值得留意。最近研究人員揭露名為Rapture的勒索軟體，並指出其罕見的手法，有別於許多勒索軟體為了讓加密檔案流程更順利，會在加密檔案之前會停用各種處理程序，Rapture則是先偵察防火牆政策、PowerShell版本等措施來進行。

隨著烏克蘭戰爭進行超過1年，已有針對衛星網路攻擊的事故，相關的資安議題也開始受到重視。在近日舉行的太空產業資安展（CYSAT）上，歐洲太空總署（ESA）徵求研究人員進行演練，結果資安業者Thales的研究員成功展示了相關攻擊手法。

【5月3日】中國駭客組織Earth Longzhi鎖定臺灣、泰國、菲律賓而來，透過多種手法繞過防毒軟體偵測機制

在繞過防毒軟體偵測的手法當中，近期駭客最常用的管道之一，就是利用含有弱點的驅動程式檔案，進行自帶驅動程式攻擊（BYOVD）。但在近期中國駭客組織的攻擊行動裡，出現了新的手法——駭客竄改Windows系統的登錄機碼，濫用Image File Execution Options（IFEO）機制來癱瘓防毒軟體。

自微軟去年下旬祭出新措施，封鎖Office應用程式執行來自網際網路的巨集，有許多駭客組織改以捷徑檔案（LNK）做為散布惡意程式的管道，北韓駭客組織APT37也不例外，但特別的是，這些駭客使用的LNK檔案都非常大（動輒10 MB以上），而有可能導致防毒軟體不予處理。

在疫情大爆發的期間，不少企業、組織緊急建置Salesforce伺服器來因應遠距辦公需求，但如今傳出這類伺服器存在不安全配置的情況，而有可能讓攻擊者存取其中儲存的使用者資料。

【5月4日】NIST CSF網路安全框架2.0草案釋出，原五大功能構面有新變化，新增「治理」一項

美國國家標準與技術研究所（NIST）提出了網路安全框架Cybersecurity Framework（CSF），已經成為組織建構整體安全防護網的重要參考，去年8月我們注意到NIST正舉辦CSF 2.0版討論，就開始注意改版動向，如今相隔9個月，NIST CSF 2.0版草案終於釋出，受到各界關切。

上個月Oracle發布季度安全更新，但近期有資安研究人員指出，Oracle修補Opera物業管理系統的其中一個漏洞，要特別重視，因為其風險層級只被評為中級，但研究人員認為應該是滿分10分的重大漏洞，因此呼籲使用該產品的廣泛飯店業者儘速修補。

自去年來，Passkey無密碼登入屢屢成為焦點，如今Google宣布，Google帳戶已經支援Passkey登入，可提升用戶帳號登入安全與便利，在科技大廠的帶動下，預期也將帶動更多網路服務業者能夠支援，以因應網釣攻擊威脅持續加劇的現況，給予用戶更好的保障。

【5月5日】有越來越多資安威脅透過ChatGPT的名義散布，1個月內就有10個惡意軟體家族藉此引誘使用者上當

駭客透過臉書廣告來散布惡意程式的情況，在今天有數則與此相關，值得注意的是，除了資安業者的警告，Meta資安團隊也證實這類攻擊行動升溫的現象，他們看到多起攻擊行動裡，駭客都運用了臉書等社群網站來為惡意軟體「宣傳」。其中，駭客打著大型語言模型（LLM）ChatGPT的名號來發動網路攻擊裡，研究人員在今年3月就看到10個惡意軟體家族的攻擊行動，而且，過程中會濫用社群網站和搜尋引擎廣告。

攻擊者運用臉書帳號、惡意廣告的情況，也相當值得留意。資安業者Groupt-IB發現，駭客利用假冒臉書或Meta的客戶，濫用臉書個人檔案、廣告貼文來進行網釣攻擊的情況，於今年2月開始顯著增加，而他們的目標是從名人帳號下手，進而挾持更多使用者的臉書帳號。

VMware桌面虛擬化平臺再度傳出成為攻擊目標！資安業者AhnLab揭露鎖定南韓能源產業而來的挖礦攻擊，駭客利用的弱點，很可能就是這些虛擬化平臺Tomcat元件的Log4Shell漏洞。