【資安週報】2023年7月17日到7月21日

在這一週漏洞消息中，有3個漏洞利用情形最受關注，主要是Citrix在18日修補影響NetScaler ADC、NetScaler Gateway的CVE-2023-3519零時差漏洞，當時已獲報遭鎖定利用，而Adobe在11日修補ColdFusion產品CVE-2023-29298後，資安業者發現開始出現駭客針對該漏洞與另一零時差漏洞的攻擊情形，後續Adobe又在17日修補CVE-2023-38205漏洞。此外，郵件伺服器系統Zimbra被發現遭用於攻擊的零時差漏洞，要注意後續更新修補釋出，還有物聯網裝置的即時通訊服務框架QuickBlox存在漏洞，AMI的基板管理控制器MegaRAC的重大漏洞（CVE-2023-34329、CVE-2023-34330） 揭露，以及CI/CD代管服務Google Cloud Build的設計缺陷揭露，需要留意。

在最新威脅與攻擊活動上，有三大焦點受關注，首先是駭客組織TeamTNT發起殭屍網路Silentbob攻擊行動，受到多家資安業者揭露，其目標是眾多類型伺服器，甚至Azure與GCP也再其攻擊範圍；其次是惡意軟體AVrecon針對SOHO族路由器設備的揭露，研究人員指出其規模更甚於Qakbot，並在近年兩年多時間內一直未被發現；第三是中國駭客組織Mustang Panda透過USB裝置散布惡意軟體Sogu，以及UNC4698針對亞洲石油與天然氣業者散布惡意軟體Snowydrive的揭露。

而在資安事件方面，以IT管理服務業者JumpCloud遭國家級駭客網路攻擊，雅詩蘭黛同時被BlackCat、Clop勒索軟體宣稱為其受害者，最受關注。此外，還有惡意程式分析平臺VirusTotal驚傳資料外洩的消息。

這段期間，有多個新興威脅活動也引發資安界的注目，例如，有網路犯罪論壇兜售專為惡意活動設計的WormGPT工具；勒索軟體故意用資安業者名義、取名SophosEncrypt，不知是為了挑釁或是混淆資安人員辨識；UEFI惡意程式BlackLotus傳出原始碼外洩；尚未登陸歐洲的Meta社交平臺Threads，其冒牌App竟登上蘋果App Store該地區第一名。另有一項資安研究也值得我們警惕，德國亞琛工業大學研究人員指出有2萬8千多個（佔整體調查8.5%）的Docker映像檔，包含不該洩露外界的私鑰、API密鑰與其他敏感資訊。

在防護焦點方面，近日FIRST公布CVSS風險評分4.0預覽版本，目前徵集意見中，新變化在於改進精細程度，並是首度針對OT、ICS、IoT提供額外評估指標。此外，月前有專家向國內資安長介紹資安監控維運中心（SOC）成熟度的概念及SOC-CMM模型，這期我們也報導相關資訊並實際檢視這方面的內容，過程中亦從評估問卷了解到，SOC精進原來可細分至26種評估構面。

【7月17日】駭客打造專門用於網路犯罪的AI語言模型WormGPT，可製作更具說服力的惡意郵件

駭客利用生成式語言模型產生用於網路釣魚、商業郵件詐騙（BEC）攻擊的情況，不少是利用紅極一時的ChatGPT，產生相關信件的內容。但最近有人在網路犯罪論壇推出專為駭客量身打造的AI工具WormGPT，研究人員進行驗證後發現其威力極為強大，不僅產生出來的信件內容幾乎沒有什麼瑕疵，就連郵件安全系統也難以偵測出攻擊特徵。

Meta甫推出的社交平臺Threads並未在歐洲地區提供服務，也成為駭客用來發動攻擊的目標。有開發人員發現，駭客假借提供此社交網站App的名義，在歐洲數個國家的蘋果App Store市集上架，且離譜的是，這冒牌App竟登上社交網站類型的第一名，顯然有不少使用者上當。

有許多發動殭屍網路攻擊的駭客，會無所不用其極地壓榨受害電腦的各式資源，但也有人選擇低調行事，等到數年後被發現時，已形成大型殭屍網路，例如，有資安業者最近揭露的惡意軟體AVrecon攻擊行動就是如此，駭客感染逾7萬臺路由器，其規模迄今已超越惡名昭彰的QBot。

【7月18日】駭客組織TeamTNT將鎖定雲端竊取帳號的攻擊行動，企圖從AWS延伸至其他兩大公有雲

駭客組織TeamTNT的攻擊行動Silentbob引起研究人員高度關注，先是有資安業者Aqua Security揭露攻擊行動的部分樣貌，駭客的殭屍網路攻擊範圍不只包含了Docker、Kubernetes環境，還有多種資料庫及網頁伺服器的伺服器，現在有另外2家資安業者也公布他們的調查結果，指出這些駭客原本的攻擊範圍是AWS，但現在也打算擴及Azure與Google Cloud Platform（GCP）。

針對應用程式開發系統而來的攻擊行動，也相當值得留意。資安業者Rapid7指出，他們發現有人針對Adobe ColdFusion伺服器發動攻擊，利用的就是上週才修補的漏洞CVE-2023-29298。

【7月19日】惡意程式分析平臺VirusTotal驚傳資料外洩，恐曝露歐美多個政府機關的資安人員身分

專門提供分析惡意軟體的知名網站VirusTotal竟出現了資安事故，而引發全球關注。而這份外洩的資料是逾5千筆使用者的姓名與電子郵件帳號，值得留意的是，此處列出的資安人員，來自歐美多個公私部門，亦有臺灣政府機構。後續效應需觀察。

攻擊者針對安卓手機發動惡意軟體攻擊的管道，多半是在Google Play市集上架App的方式進行，但最近又有新的手法能夠繞過該市集的審核機制。資安業者RIFFsec、電腦資安事件應變小組CSIRT KNF揭露利用WebAPK技術的攻擊行動，而能突破上述市集與作業系統的防護機制，於使用者手機部署惡意軟體。

有勒索軟體駭客將腦筋動到了資安業者身上，想要嫁禍給這類公司。研究人員發現了名為SophosEncrypt的勒索軟體，一度以為是資安業者Sophos用於紅隊演線的工具，但該公司對此表示否認。

【7月20日】Google旗下CI/CD代管服務存在提升權限漏洞，恐被用於發動供應鏈攻擊

開發環境的相關應用系統出現漏洞，所帶來的威脅很有可能連帶波及用戶。例如，資安業者Orca、Rhino Security Labs對於Google旗下的CI/CD代管服務Cloud Build提出警告，當中存在權限提升漏洞Bad.Build，駭客可趁機在該服務代管的映像檔植入惡意程式碼，危害取用這些映像檔進行組建程序的應用系統。

這幾天，知名的化妝保養品業者雅詩蘭黛證實遭到網路攻擊，但目前遇害情況仍相當混亂，因為該公司可能同時受到兩個勒索軟體團體的攻擊。因為，同時有2個勒索軟體駭客組織Clop、BlackCat（Alphv）聲稱對其下手，且突破該公司採用的微軟及Mandiant資安防護服務。後續情況有待進一步追蹤。

中國駭客APT41的攻擊行動相當值得留意，資安業者Lookout針對間諜軟體WyrmSpy及DragonEgg進行調查，找出攻擊者的身分就是APT41，並指出該組織的攻擊標的已從電腦逐漸轉向行動裝置。

【7月21日】兆勤設備遭到殭屍網路Dark.IoT鎖定，並將被控制的設備用於DDoS攻擊

兆勤科技（Zyxel）於4月下旬，針對旗下多款防火牆及VPN設備產品線，修補重大漏洞CVE-2023-28771，並於6月初證實已出現攻擊行動，而且駭客還有可能利用另外2個5月底修補的漏洞。但相關漏洞的攻擊行動，似乎沒有減緩的跡象。資安業者Fortinet揭露從6月出現的殭屍網路Dark.IoT攻擊行動，並表示他們已經看到多個殭屍網路也透過CVE-2023-28771發動攻擊。

鎖定加密貨幣廠商開發人員的攻擊行動DangerousPassword，也同樣相當值得留意，因為，這些開發者無論使用Windows、macOS、Linux作業系統，都可能成為駭客下手的目標。

元老級駭客Kevin Mitnick過世的消息相當令人震驚，此人曾是美國聯邦調查局（FBI）首位通緝的駭客，後來成為白帽駭客為資安界做出貢獻。