【資安週報】2023年5月29日到6月2日

在這一周的漏洞消息中，有兩個漏洞利用情形需優先關注，包括Progress旗下MFT檔案共享系統MOVEit Transfer產品的SQL Injection漏洞CVE-2023-34362，已遭零時差漏洞攻擊，以及Zyxel在4月底修補旗下多款防火牆產品的OS Command Injection漏洞CVE-2023-28771，確認已有攻擊者針對此已知漏洞發動攻擊。另一漏洞關注焦點在於，有韌體安全業者警告技嘉主機板軟體更新機制不安全、存有供應鏈攻擊風險，後續我們整理這項消息時，技嘉在6月1日已宣布釋出新版BIOS，增加簽名驗證與權限存取限制的增強保護，並呼籲用戶盡速更新。

在攻擊活動與威脅態勢方面，首要關注兩大焦點，包括商業間諜軟體Predator的攻擊行動，當中串連了Google於2022年5月公開的5個安卓零時差漏洞及利用Alien惡意程式，以及新型間諜軟體鎖定iOS濫用iMessage發動攻擊。其他受關注的攻擊活動，包括：微軟加密附件RPMSG遭濫用於釣魚郵件攻擊，Google開放頂級網域名稱ZIP後有攻擊者將惡意網頁偽冒為WinRAR畫面，以及加殼程式AceCryptor打包惡意軟體威脅態勢的揭露。

其他重要資安消息，包括工控大廠ABB傳出5月上旬即遭勒索軟體Black Basta攻擊並導致營運中斷的事故，以及我國數位部首度針對民間個資保護不力業者做出裁罰，主要是多次限期要求改善個資保護措施卻均未改善的蝦皮與誠品。

【5月29日】微軟加密附件檔案遭到釣魚郵件濫用，鎖定企業收款部門而來

駭客在釣魚攻擊行動裡，利用多種檔案格式的附件來迴避資安系統偵測的情況，包含了運用光碟映像檔（ISO、IMG、CDR），或是壓縮檔（ZIP、RAR）。但現在出現了另一種較為特別的檔案格式「RPMSG」，這是受到微軟權限管理服務（RMS）保護的檔案類型，只允許特定使用者存取，這樣的釣魚郵件攻擊顯得相當有針對性。

另一個很可能被用於網釣攻擊的手法，則是與Google開放ZIP頂級網域名稱（TLD）有關。最近有研究人員公布了在瀏覽器裡打造解壓縮軟體WinRAR視窗的概念性驗證攻擊手法，並指出這樣的網頁若是搭配特定的ZIP網域，很有可能讓使用者以為自己在開啟WinRAR程式而上當。

Google Cloud Platform（GCP）資料庫代管服務CloudSQL出現的漏洞也值得留意，這項漏洞與代管微軟SQL Server的部分配置不當有關，而使得攻擊者可取得SQL Server管理員權限並進行控制。

【5月30日】木馬程式GobRAT鎖定日本路由器而來

針對路由器設備而來的惡意程式攻擊行動，這兩年不斷傳出相關事故。最近日本電腦網路危機處理暨協調中心（JPCERT/CC）揭露木馬程式GobRAT的攻擊行動，並指出該惡意程式具備多達22種通訊的功能，而能運用這些管道向C2通訊，或是進行橫向感染，且難以追溯其行蹤。

行動裝置作業系統漏洞被商業間諜軟體利用的情況，日益嚴重，昨天我們報導間諜軟體Pegasus介入2020年的納戈爾諾卡拉巴赫戰爭，現在對於另一款間諜軟體Predator的行蹤，研究人員也有新的發現──駭客主要針對記者、歐洲政治人物，以及Meta的高階主管下手，並根據目標手機的廠牌來挖掘受害者的資料。

加殼工具（Cryptor）被大肆用於混淆惡意軟體程式碼的情況，也相當值得留意。有資安業者揭露利用加殼程式AceCryptor的攻擊態勢，2年內有24萬個惡意程式以此工具打包，平均每個月就有1萬個惡意程式藉此增加研究人員反組譯的難度。

【5月31日】圖靈驗證CAPTCHA出現人工破解服務

為了防範駭客運用機器人來存取網頁服務，透過圖靈驗證機制CAPTCHA可說是相當常見的做法，這樣的機制也從在圖片裡解讀文字內容，不斷增加難度來因應駭客透過自動化工具進行破解的情況。但現在網路犯罪圈卻出現了截然不同的做法，他們將解讀CAPTCHA內容的工作交由真實人類代打，完成後再交回駭客的機器人回應CAPTCHA挑戰，這樣的情況使得圖靈驗證機制面臨更為嚴峻的挑戰。

鎖定企業而來的網路釣魚攻擊，不少都是針對財務部門與高層而來，但現在也有針對人資部門而來的攻擊行動。有資安業者揭露假借申請休假名義而來的網釣攻擊，並指出這樣的手法很有可能隨著許多人會在夏天放假出遊而變得更加頻繁。

數位部首度針對民間企業個資保護不力祭出處罰的情況，也值得留意。數位發展部數位發展署針對蝦皮、誠品開罰，並指出他們在兩家公司查核的缺失。

【6月1日】技嘉主機板更新機制存在弱點，恐被用於供應鏈攻擊，研究人員呼籲IT人員封鎖相關更新功能

資安業者Eclypsium針對技嘉主機板用戶提出警告，指出該公司規畫的軟體更新機制不安全，大致上有兩個層面，一個是UEFI韌體能被用於在Windows部署軟體，另一個部分則是不安全的更新機制，而這樣的情況使得研究人員呼籲用戶，先透過UEFI設定與網路管理，暫時停用相關的更新機制。

木馬程式SeroXen的攻擊行動也相當值得留意，電信業者AT&T的資安研究員揭露這種攻擊升溫的情況，並認為雖然現在的受害者都是電玩玩家，但由於此惡意軟體的行蹤相當隱密，不排除日後會被用於攻擊大型企業。

繼特斯拉傳出放任員工隨意瀏覽、取用使用者車輛鏡頭錄下的影片，又有其他業者也出現類似的情況！美國聯邦交易委員會（FTC）針對Amazon祭出裁罰，原因是該公司旗下的智慧家庭裝置子公司Ring放任員工存取監視器影像，並在未經使用者同意的情況下拿來改善其演算法。

【6月2日】MFT檔案共享系統MOVEit Transfer出現零時差漏洞，傳出駭客藉此竊取組織機密資料

繼Accellion FTA、Forta旗下的GoAnywhere等MFT檔案共用系統遭受零時差漏洞攻擊，又有另一家系統的用戶成為駭客的攻擊目標！Rapid7、Huntress、TrustedSec等多家資安業者提出警告，近期Progress揭露的MOVEit Transfer漏洞已出現攻擊行動，這些資安業者也公布入侵指標（IoC），讓組織能防範相關攻擊。

另一個也引起許多人關注的事故，則是發生在資安業者身上的手機間諜軟體攻擊行動。卡巴斯基最近公布一起有數十名員工iPhone手機遭間諜軟體攻擊的情況，並指出這起攻擊駭客很有可能在2018年就開始行動。

開源套件庫被用於散布惡意程式的攻擊行動，近期也出現了新的手法。有人看上大部分PyPI套件檢測工具只檢查Python原始碼檔案的情況，將惡意程式碼置入編譯後而成的Python Bytecode檔案，再打包成PyPI散布。