【資安月報】2023年5月

在今年5月的資安新聞中，有兩大議題成為焦點，一是國內資安威脅現況的揭露，另一是資料外洩與電信詐騙。

在近年國內資安威脅現況的揭露方面，以iThome電腦報週刊第1129期公布的資安大調查結果而言，顯示了2022臺灣企業資安災情，當中有幾項數據值得關注，包括：去年資安事件超過50次以上的企業比例為23.4%，其中以醫療業、服務業的比例最高，分別為26.7%及26.2%，再從各產業平均遭遇的資安事故數量來看，則以服務業者的18.8次最高，高科技製造業的17.3次之。此外，整體企業平均要6天才能發先自己遭駭，更得花上近5天才能復原。

本月有三起有關臺灣的攻擊事件揭露，同樣受注目。包括：Check Point在5月4日揭露駭客打造冒牌國內的遠通電收ETC、越南大型銀行VPBank NEO的App，並帶有FluHorse安卓木馬程式的威脅；5月10日臺灣媒體揭露法務部調查局正在偵辦企業營業秘密事件，有一位曾任職台達電與飛宏科技的高階主管竊取公司充電系統關鍵機密文件，並帶槍投靠中國公司；資安業者Trellix在5月19日揭露近幾個月中國對於臺灣的網路攻擊明顯增加，並且是廣泛針對各種產業攻擊，不同於平時攻擊偏重IT、製造業與物流業，同時指出這些惡意軟體攻擊包括PlugX、Kryptik、Zmutzy，以及Formbook等。

此外，在我們重新盤點這一個月的臺灣重大資安事件時，新發現國內輪胎大廠「正新輪胎」在5月30日發布資安事件重大訊息，說明旗下子公司Cheng Shin Rubber USA部份資訊系統遭受駭客網路攻擊。

在資料外洩與電信詐騙方面，事實上，這類事件存在多年，近兩三個月更是頻繁爆發，到了5月又有統聯客運發生這類事故。如今政府再次祭出新的行動，包括：行政院陸續通過「打詐5法」（中華民國刑法、人口販運防制法、個人資料保護法、洗錢防制法、證券投資信託及顧問法）修正草案，並頒布打擊詐欺策略行動綱領1.5版，而在個資法最新修正中，重大或屆期未改善者，得按次開罰15萬至最高1,500萬元的罰鍰，而在5月30日，數位發展部數位發展署也公告，針對限期未改正的蝦皮與誠品開罰，而旋轉拍賣因已配合改正未開罰。

談完上述威脅態勢，本月還有一場重要資安活動－－那就是iThome舉辦的CYBERSEC 2023臺灣資安大會，期間亦有國內外專家在臺分享了網路威脅現況。例如，Google TAG小組揭露烏克蘭戰爭背後的網路威脅態勢，俄羅斯廣泛的網路攻擊行動使更多國家也成目標；趨勢科技資安研究員揭露專攻臺灣的Taidoor駭客組織擁有12種以上獨有後門，入侵手段層次多變難用自動化分析工具排除；以及警政署揭中國網軍攻臺演進轉變等。

另一方面，以資安防護而言，在諸多最新資安議程之外，現場資安展覽不僅提供了個視資安解決方案，同時也呈現出重要的資安趨勢，包括生成式AI的進展、零信任的實施、XDR的運用，都是今年重要亮點，而CMMC、雲端安全、安全意識培訓、資安治理、供應鏈安全、AI安全等也都是關注重點。

特別的是，隨著今年底前還有1,100家企業得依法設立資安主管，因此iThome針對臺灣資安大會製作特別報導，彙集多位專家們給未來這些資安長的上手指引，助其掌握企業資安防護和治理的關鍵。同時，近年國際間探討資安能力短缺可能為企業組織帶來額外風險，iThome在臺灣資安大會活動上亦發布了臺灣資安人才專刊，介紹臺灣與全球的資安人才需求現況，以及國內外資安人才框架的最新發展。

【資安週報】2023年5月2日到5月5日

在這一周的漏洞消息中，有4個主要焦點，首先是飯店、酒店、度假村等普遍使用的Oracle物業管理系統，有研究人員指出今年4月修補的一項漏洞嚴重性被低估，以及SLP協定漏洞恐被用於DDoS流量放大攻擊，影響平臺廣泛受注目，還有TBK Vision視訊監控畫面側錄設備傳出5年前的漏洞遭駭客鎖定攻擊的情況，並有思科針對伺服器管理系統Prime Collaboration Deployment的漏洞示警，預計5月釋出更新修補。

在網路攻擊重要事件方面，有中國駭客組織Earth Longzhi利用新手法停用資安防護系統的揭露，由於臺灣、泰國、菲律賓是鎖定對象，因此備受關注；國際間還有塔吉克政府、電信、公共服務基礎設施遭網路攻擊的揭露，當地有499個系統遭設置後門，而其背後是俄羅斯駭客發動Paperbug網路間諜攻擊。

在最新威脅焦點方面，假冒ChatGPT等AI工具散布惡意的情況有新的消息，光是今年3月就發現至少10個惡意軟體家族用此手法；AI技術複製聲音的威脅有竄升的跡象，如今正影響社會大眾，企業也須防範與BEC攻擊手法的混合。其他值得注意的消息，包括竊資軟體NodeStealer動向，惡意程式載入器AresLoader鎖定Citrix用戶情況，以及駭客使用雙重DLL測載手法試圖逃避資安檢測的揭露。

另外值得警惕的資安消息是，本周傳出美國許多銀行、政府組織、醫療服務供應商使用Salesforce卻有錯誤配置情形，導致未經身分驗證的使用者也能存取資源。

【資安週報】2023年5月8日到5月12日

在這一周漏洞利用消息中，共有8漏洞需特別關注，其中2個要優先注意的是，微軟本月例行性安全性更新所修補的Win32k權限提升漏洞CVE-2023-29336，以及Ruckus Wireless修補旗下多款路由器產品的CSRF與RCE漏洞CVE-2023-25717，還有6個本周尚未提及，屬於早年已知漏洞，分別是Red Hat Polkit（CVE-2021-3560）、Linux kernel（CVE-2014-0196、CVE-2010-3904）、Jenkins UI（CVE-2015-5317）、Oracle Java SE與JRockit（CVE-2016-3427）、Apache Tomcat（CVE-2016-8735）。

在威脅焦點新聞事件與趨勢方面，以微星3月遭駭事件波及Intel開機安全機制BootGuard最受矚目，以及工控資安業者Dragos揭露自身遭勒索軟體意圖攻擊但未被得逞的狀況，還有自從勒索軟體Babuk原始碼遭公布後，有研究人員發現，近期不少勒索組織因為自身不擅長在Linux平臺開發惡意程式，而選擇使用現有的原始碼加以修改。

在國內方面，iThome主辦的2023 CYBERSEC臺灣資安大會於本周舉行，今年持續有多位世界知名資安領袖與專家在臺發表主題演說，提供國內產業更多最新資安動態，包括美國前國土安全部長Janet Napolitano、Google威脅分析小組（TAG）負責人Shane Huntley、Cyber Defense Matrix發明人Sounil Yu，以及趨勢科技首席技術策略長David Chow、Fortinet資安策略長Derek Manky等，以及現場共有二百多場演講的專業資安會議，加上大會活動現場的資安展覽與Cyber Talent資安人才展區，整場共吸引超過1萬8千人參與，再創歷年之最。同時，iThome 2023資安大調查也在本周出爐，揭露來自國內兩千大企業最新調查的資安災情、資安投資動向。

【資安週報】2023年5月15日到5月19日

在這一週的漏洞消息中，以蘋果揭露修補3個WebKit零時差漏洞成為最大焦點，除了影響廣泛，並且都已有遭鎖定利用情況。此外，我們在盤點漏洞消息時，新注意到Samsung裝置的漏洞（CVE-2023-21492），並且還有兩個Cisco早年的已知漏洞(CVE-2016-6415、CVE-2004-1464），也都確認遭成功利用情形需優先關注。

其他值得關注的新漏洞修補動向，包括：Cisco、KeePass，以及物聯網與工控相關有Teltonika Networks、Wemo Mini、研華、Rockwell Automation的更新修補釋出。

在威脅態勢與攻擊焦點方面，以勒索軟體新動向受矚目，包括BianLian近期攻擊態勢的揭露，以及MalasLocker鎖定郵件伺服器Zimbra，CheckMate鎖定SMB檔案共用協定的情形，而利用Babuk原始碼打造勒索軟體的狀況，也持續有資安業者揭露相關事件。其他可留意的威脅活動與事件，包括：駭客利用Go語言開發的Cobalt Strike，以及MerDoor的後門程式的揭露，以及中國駭客在TP-Link路由器植入惡意程式並鎖定歐盟外交機關攻擊的情形。

至於國內方面，本週有多起資安事件引發關注，包括計程車派遣服務Yoxi公告遭帳號填充攻擊，誠品外洩個資問題又成焦點，統聯客運客戶接到詐騙電話疑資料外洩而緊急關閉線上訂票，以及財政部電子發票平臺企業帳號竟採共通預設密碼的情形被揭露，另外，還有最新一起事件是微笑單車，他們在19日(週五)公告其官網遭駭客網路攻擊，臺北市政府交通局也在同日傍晚七點公告YouBike系統遭攻擊，並指出預估全國約有2.1萬會員交易資料被取得。

【資安週報】2023年5月22日到5月26日

在這一週的漏洞消息中，以Barracuda揭露修補郵件安全閘道CVE-2023-2868漏洞最受關注，已遭零時差漏洞攻擊，上周提及蘋果修補已遭攻擊的三個零時差漏洞，本週CISA也將之列入已知漏洞利用清單。其他值得關注的漏洞修補消息，包括GitLab重大漏洞修補、應用程式框架Expo的OAuth漏洞修補、D-Link網路管理系統漏洞修補，以及Zyxel防火牆設備在23日遭遇大規模的記憶體緩衝區溢位攻擊，因而呼籲儘速升級韌體的消息。

在全球威脅活動方面，有三起資安業者揭露的攻擊活動受矚目，首要焦點是，中國駭客組織Volt Typhoon鎖定美國關島（Guam）重大基礎設施攻擊的揭露最受關注，微軟並提供防護建議，後續中國外交部則否認，以及伊朗駭客組織TA456針對以色列航運、物流、金融服務領域網站植入惡意JavaScript指令碼的揭露，還有惡意驅動程式Wintapix近兩年鎖定中東多國攻擊的揭露。

在威脅態勢方面，以PyPI暫停接受新用戶與專案最受關注，原因是近期發現大量惡意使用者與惡意專案，已超出管理者處理能量。還有一些威脅狀況可留意，包括：殭屍網路Mirai變種鎖定事件記錄分析系統漏洞、惡意軟體CosmicEnergy鎖定電力供應商工控系統，以及惡意軟體Legion鎖定SSH伺服器與AWS帳密的揭露。

【資安週報】2023年5月29日到6月2日

在這一周的漏洞消息中，有兩個漏洞利用情形需優先關注，包括Progress旗下MFT檔案共享系統MOVEit Transfer產品的SQL Injection漏洞CVE-2023-34362，已遭零時差漏洞攻擊，以及Zyxel在4月底修補旗下多款防火牆產品的OS Command Injection漏洞CVE-2023-28771，確認已有攻擊者針對此已知漏洞發動攻擊。另一漏洞關注焦點在於，有韌體安全業者警告技嘉主機板軟體更新機制不安全、存有供應鏈攻擊風險，後續我們整理這項消息時，技嘉在6月1日已宣布釋出新版BIOS，增加簽名驗證與權限存取限制的增強保護，並呼籲用戶盡速更新。

在攻擊活動與威脅態勢方面，首要關注兩大焦點，包括商業間諜軟體Predator的攻擊行動，當中串連了Google於2022年5月公開的5個安卓零時差漏洞及利用Alien惡意程式，以及新型間諜軟體鎖定iOS濫用iMessage發動攻擊。其他受關注的攻擊活動，包括：微軟加密附件RPMSG遭濫用於釣魚郵件攻擊，Google開放頂級網域名稱ZIP後有攻擊者將惡意網頁偽冒為WinRAR畫面，以及加殼程式AceCryptor打包惡意軟體威脅態勢的揭露。

其他重要資安消息，包括工控大廠ABB傳出5月上旬即遭勒索軟體Black Basta攻擊並導致營運中斷的事故，以及我國數位部首度針對民間個資保護不力業者做出裁罰，主要是多次限期要求改善個資保護措施卻均未改善的蝦皮與誠品。

2023年4月資安月報

2023年3月資安月報

2023年2月資安月報

2023年1月資安月報

2022年12月資安月報

2022年11月資安月報