【資安週報】2023年6月26日到6月30日

這一週的資安消息中，以Lockbit與Akira勒索軟體的動向最受關注。以Lockbit而言，30日他們聲稱台積電為受害者，但其實不然，當日下午台積電指出是IT硬體供應商遭駭，而被多家媒體指為真正受害的擎昊科技也坦承遭駭，而我們後續也向該公司了解狀況，該公司表示已於30日在網站發布遭遇資安事件的公告，當中指出因為外洩資料揭露的硬體初始設定資訊中出現特定客戶名稱而導致：以Akira而言，資安新聞網站Bleeping Computer提出警告，指出該組織的駭客已打造Linux版本，正鎖定VMware ESXi虛擬機器攻擊，而我們在周五密切關注勒索軟體受害者的消息時，也發現資安業者所監控暗網這方面資訊中，近期的確有相當大量Akira勒索軟體受害者被公布的情況，不過，防毒公司Avast在月底發布了免費解密工具，為受害者提供幫助。

在漏洞消息方面，近日有多個漏洞已遭攻擊者成功利用，成為必須關注的焦點，包括前一周Zyxel修補的CVE-2023-27992重大漏洞，VMware在6月初修補的網路分析系統Aria Operations for Networks的CVE-2023-20887，如今已遭攻擊者鎖定。

此外，從美國CISA已知漏洞利用清單，我們新發現還有多個老舊漏洞被納入，因此這裡也特別補充，包括：微軟Win32漏洞（CVE-2016-0165）、Mozilla Firefox ESR與Thunderbird的漏洞（CVE-2016-9079），Roundcube Webmail的3個漏洞（的CVE-2021-44026、CVE-2020-12641、CVE-2020-12641），三星裝置的6個漏洞（CVE-2021-25372、CVE-2021-25371、CVE-2021-25395、CVE-2021-25394、CVE-2021-25489、CVE-2021-25487），以及D-Link兩款路由器的漏洞（CVE-2021-25487、CVE-2019-20500）。

在其他威脅態勢上，值得關注的焦點主要有三，包括，處理程序注入新手法Mockingja，駭客組織Muddled Libra針對業務外包業者（BPO）的攻擊手法，以及駭客濫用OpenSSH部署以Shell指令碼打造後門程式的揭露。

【6月26日】殭屍網路Mirai變種鎖定D-Link、Zyxel、Netgear網路設備而來

殭屍網路的攻擊行動，最近幾個星期又有再度增加的情況，大都是針對單一機種的網路設備而來，而最近資安業者Palo Alto Networks揭露的Mirai殭屍網路攻擊當中，駭客自今年3月開始，運用多個廠牌網路設備的漏洞來發動攻擊，截至目前為止，駭客已鎖定22款設備的漏洞下手，且攻擊行動仍在持續。

另一起針對Linux設備的挖礦攻擊也相當值得留意，因為，駭客罕見地竄改了開源加密程式庫OpenSSH，並拿來竊取SSH連線的帳密資料。

卡巴斯基日前揭露的iOS零點擊攻擊行動Operation Triangulation，駭客透過零時差漏洞攻擊該公司員工的iPhone手機。到了最近，蘋果針對上述的零時差漏洞發布修補程式，但值得留意的是，該公司不光針對iOS，也對於Mac電腦、穿戴裝置的作業系統進行修補。

【6月27日】駭客散布植入木馬程式的瑪利歐電玩安裝軟體，目的將玩家電腦高性能的CPU與GPU運算資源用於挖礦

駭客發動挖礦攻擊的事故近期出現數起，其共通點是主要針對執行Linux作業系統的裝置而來，但Windows電腦的使用者也不能掉以輕心。因為最近出現以提供電玩遊戲為誘餌的攻擊行動，駭客看上玩家電腦往往會是採用運算效能較佳的硬體，而打算將其電腦資源用於挖礦而牟利。

圖像化資料分析解決方案Grafana最近修補的漏洞也相當值得留意，這項漏洞與Azure AD有關，一旦遭到利用，攻擊者就有可能透過OAuth身分驗證流程接管使用者的Azure AD帳號，使得開發團隊呼籲用戶要儘速採取緩解措施。

【6月28日】兩大工業控制系統解決方案業者傳出遭遇MOVEit Transfer零時差漏洞攻擊

5月底MFT檔案傳輸系統MOVEit Transfer的零時差漏洞攻擊事故發生至今，已經過了一個月，駭客於6月中旬公布了部分受害組織的名單，也有組織證實遭到攻擊而外洩資料。最近駭客公布更多受害組織而引發關注，當中有兩家大型的工業控制系統業者。

駭客企圖繞過防毒軟體與EDR偵測的情況不時出現，例如，使用自帶驅動程式（BYOVD）的方法，但如今有研究人員發現能繞過這類系統偵測的新型態攻擊手法。

鎖定業務外包業者的攻擊行動，也相當值得注意。過往相關的攻擊行動裡，駭客往往將此類業者視為他們攻擊目標組織的跳板，被針對的業務外包業者較為單一，但如今出現了專門針對這類產業下手的駭客組織。

【6月29日】NPM套件說明資訊未經過檢核，有可能偷偷被挾帶安裝惡意相依性套件

鎖定NPM套件攻擊行動時有所聞，駭客上傳惡意套件引誘開發人員下載，進而入侵開發環境，但為何開發人員會上當？原因很可能與NPM網站上的套件資訊可能與實際內容不符有關。

又有勒索軟體駭客鎖定VMware虛擬化平臺而來，但與其他同類型的Linux勒索軟體不同的是，這個勒索軟體Akira導入了新功能，而有可能讓加密檔案的速度更快，讓受害組織難以反應。

Linux作業系統提供的軟體出現漏洞，也值得留意。有資安業者揭露Gentoo Linux作業系統套件Soko的重大漏洞，並指出可被用於SQL注入攻擊。

【6月30日】勒索軟體LockBit聲稱入侵台積電，索討7千萬美元贖金

歐美國家日前聯合針對勒索軟體LockBit提出警告，指出此為去年全球最猖獗的勒索軟體，但此駭客組織的行徑越來越囂張，現在號稱竊得台積電資料並索討7千萬美元。對此，台積電表示是他們的供應商遭到攻擊所致。

2021年底揭露的Log4j重大漏洞Log4Shell，在去年相關攻擊大量爆發，到了今年幾乎可說是較為緩和，但相關攻擊行動並未就此消聲匿跡。有北韓駭客組織仍藉由Log4Shell入侵受害組織，並進一步部署木馬程式EarlyRAT。

針對商用軟體大廠SAP專屬通訊協定遠端功能呼叫（RFC）的漏洞研究，也相當值得留意。有資安業者針對此通訊協定進行長達3年的調查，結果發現4個可被利用的漏洞，研究人員指出，這些漏洞廣泛影響SAP近10款產品，而且具備蠕蟲特性，攻擊者可用來進行橫向移動。