【資安月報】2023年7月

在2023年7月的資安新聞與事件中，有兩大議題成為焦點，包括資安事件揭露的法規態勢，以及簡訊詐騙因應的議題。

上市公司重大資安事件揭露現況受注目

關於政府對於企業資安層面的資訊公開揭露，已是各國趨勢，並且要求越來越謹嚴。例如，國際間，美國證券交易委員會（SEC）在7月26日宣布通過一項新規定，就是要求當地上市公司在遭遇重大資安事件的4個工作天內，需透過8-K文件對外揭露事發細節，包含對事件的性質、範圍與時間的描述。另外，若對國家安全或公共安全構成重大風險，將在美國司法部確定後，得以延遲揭露。特別的是，SEC還強調，「網路安全事件」一詞必須廣義解釋，並擴大到「一系列相關的未經授權的事件」。

事實上，在此新規定通過之前，我們可以看到當地企業針對資安事件提出的8-K表單內容，會公布相關事發細節。例如，美國政府業務承包商Maximus在26日發布的8-K表單中，說明該公司遭遇了資料外洩事故，起因是遭MOVEit Transfer零時差漏洞攻擊，估計有800萬至1,100萬人的個資受到影響，這些個資包含社會安全碼、受保護的健康資訊及其他個人資料等，同時也說明該公司正在審查這些受影響的資料，並將通知受影響的個人，以及提供免費的信用監控與身份恢復服務。另外，美國SEC也會針對未如實揭露而開罰，像是今年3月，SEC指控雲端服務業者Blackbaud在2020年遭勒索軟體攻擊，未如實揭露該起資安事故的影響，後續Blackbaud為了解決訴訟而必須支付300萬美元罰款。

在國內，本月亦有兩起上市櫃公司的資安事件重大訊息，包括：上市公司中華汽車在24日、上櫃公司大樹醫藥在28日，分別公告遭遇網路攻擊事件。值得我們留意的是，中華汽車在27日又用說明媒體報導方式，更新資安事件說明，指出本次資安事件造成部分產線停工，經檢修後已陸續恢復生產，另也說明這次停工所減少的產能，將以原定8月歲休進行調整，算是多透露了一些狀況。而從大樹醫藥的公告來看，似乎有資料外洩的情況發生，因為公告中已經提到以簡訊方式提醒消費者反詐騙警語，但卻沒有明確的指出。

與美國上市公司揭露重大資安事件的內容相比，臺灣企業的資訊揭露的詳細程度低，對於狀況的描述相當貧乏，在事故成因，受災範圍上也不夠具體，這是需要進一步關注的狀況。雖然這些公司受害，已經依照法令公布遭遇資安事件的狀況，但若沒有顯現出企業積極因應資安事件調查的一面，表達企業對受害情形的掌握程度，將可公開的資訊對外說明，可能無助於企業與外界的溝通。

簡訊詐騙、廣告安全持續氾濫的狀況亦成焦點

關於簡訊詐騙的議題，近年針對我國民民眾的惡意簡訊攻擊活動頻傳，日本最近也有這類事件發生。資安業者McAfee日本研究人員在21日揭露，攻擊者發布簡訊假冒當地東京電力公司、東京都水道局名義，聲稱支付電費或水費出現異常並留下網址，使用者若是誤信點擊，將安裝包含惡意軟體SpyNote的App。

而我們整理本月相關資訊時，發現臺灣近日也有水電公司遭假冒名義的詐騙活動，是這個月資安日報上未提及的消息。例如，台電公司在27日發出防詐騙提醒，指出有假借【台灣電力公司】名義發送提醒用戶電費未繳或停電的簡訊及電子郵件，並提供假網址、假檔案連結，誘使詐騙用戶信用卡個資及下載惡意程式等；臺灣自來水公司於31日發布詐騙簡訊提醒公告，指出有用戶收到假借【台灣自來水公司】名義的簡訊，內容聲稱水費欠繳將於今晚12點停水，呼籲民眾不要相信這類詐騙簡訊，應前往真正的官方網站查詢。

簡訊安全開始有新因應方式

過去這類事件之前相當多，近期仍持續不斷且零星，特別的是，我們現在也終於看到有更多因應詐騙簡訊的消息，因此這裡也針對資安日報未提及的方面再做補充。

例如，在7月初，我們注意到數位發展部有所表示，由於詐騙網頁的內容現在常偽裝與真實網頁相像，以及AI技術發達，數位發展部在7月初表示，將從簡訊源頭號碼端做管理，將打造政府專屬短碼簡訊平臺，希望讓民眾更好識別簡訊發話方是來自政府機關。

此外，中華電信於7月初在其App推出「2G偽裝基地台主動偵測功能」，避免攻擊者會透過2G偽基站利用2G網路的單向認證安全漏洞，向民眾詐騙簡訊與連結，月中又推出「固網國際來話語音警示服務」，讓「+886 9」的來話顯示，會先撥放國語、台語警示語音，說明這通是國際電話，請注意，小心詐騙，讓接聽民眾可再決定掛斷或接聽電話。

廣告安全議題同樣受重視

另外一提的是，不肖份子除了利用簡訊、電子郵件等管道來散布詐騙與惡意，也有利用廣告行銷這樣的管道來散布。對於廣告安全問題，最近我們參與Google在臺舉辦的一項活動，剛好有這方面的說明。他們指出幾個挑戰，包括民眾需要瞭解哪些是廣告？因為他們發現很多檢舉的是內容，並非廣告，以及民眾可能不瞭解廣告生態，不清楚網站上的廣告內容有些是Google提供，有些是其他廣告商提供；在威脅態勢上，Google在2022年移除了超過52億則廣告，相較2021年高出20億則，顯示這方面的危害是越來越高，較可惜的是，當中並未揭露有多少比例是廣告上架後才被申訴移除。另也說明Google廣告的內容來自「廣告客戶」與「發布商」兩種類型，而之前在Google搜尋上有假冒家樂福名義的廣告，之所以規避自動偵測，原因是不肖份子新註冊發布商的方式將廣告上架。

【資安週報】2023年7月3日到7月7日

這一週有兩個存在於Arm Mali GPU kernel Driver的漏洞受關注，一是今年Google TAG小組通報的CVE-2023-26083漏洞，以及兩年前蘋果Media Products Radteam通報的CVE-2021-29256，近日Google發布7月份Android例行更新，修補了這兩個漏洞，並指出這兩個漏洞如今已被用於攻擊行動。另外，Chrome瀏覽器桌面版在4月修補零時差漏洞CVE-2023-2136，在這次Android例行更新中也獲得修補。

在網路攻擊重要事件方面，勒索軟體LockBit持續成為焦點，前一周才因聲稱入侵台積電卻是國內昊擎科技遭駭而成焦點，後續Lockbit駭客也在7月4日突然調降了勒索金額並緊急公開資料，而在同一天，日本名古屋港的港口裝卸系統出現嚴重系統故障情形，導致裝卸貨櫃業務中斷，貨櫃車排隊等待的現象，後續證實是遭勒索軟體攻擊導致，有日本媒體報導，禍首指向是LockBit駭客所為。

在最新威脅焦點方面，可留意的消息有兩起，首先是駭客鎖定太陽能發電監控系統SolarView，利用RCE漏洞CVE-2022-29303的揭露，其次是具竊資與勒索功能的RedEnergy Stealer惡意程式的揭露。此外，近期美國多個產業出現遭遇DDoS攻擊的情況，還有中國駭客鎖定歐洲國家外交單位發起SmugX攻擊行動的揭露，值得關注。在國內，刑事局偵破了一起跨國盜刷行動，發現陳嫌自學架設釣魚網站與中國駭客聯手在國內購物網站盜刷，再由車手領貨進而轉賣銷贓獲利的情況。

其他可留意的資安報告與研究方面，包括：電信業者Verizon的年度資料外洩調查報告（DBIR）出爐，資安業者CardinalOps發布針對多家SIEM平臺（Splunk、Microsoft Sentinel、IBM QRadar、Sumo Logic等）的調查報告，還有MITRE公布2023年版25個最危險且常見的軟體安全缺陷清單。

【資安週報】2023年7月10日到7月14日

在這一週漏洞利用消息中，有9個漏洞需特別關注，首先是微軟本月例行性安全性更新，這次修補的132個漏洞中，就有多達6個零時差漏洞，由於都已出現攻擊利用情形，用戶需盡速修補。蘋果這周也緊急修補一個已遭濫用的零時差漏洞，是今年該公司修補的第10個零時差漏洞。

而在前一週的攻擊活動揭露中，有關於針對太陽能發電監控系統SolarView漏洞，與鎖定資產管理工具Netwrix Auditor漏洞的消息，如今兩漏洞均被列入美國CISA的已知漏洞清單。上述漏洞資訊如下：

• CVE-2023-32046（MSHTML）
• CVE-2023-36874（SmartScreen）
• CVE-2023-36874（Windows錯誤報告服務）
• CVE-2023-36884（Office與Windows HTML元件）
• CVE-2023-35311（Outlook）
• ADV230001公告（與惡意驅動程式含有簽章有關）
• CVE-2023-37450（存在於WebKit、影響macOS、iOS、iPadOS與Safari）
• CVE-2022-29303（SolarView Compact）
• CVE-2022-31199（Netwrix Auditor）

另外，還有PDF檔案開源解析元件Ghostscript的重大漏洞修補要注意，以及多家科技大廠發布安全性更新修補公告，包括Progress、SAP、Adobe、西門子、施耐德電機等。

在重要攻擊事件焦點方面，有3起事件受注目，包括：中國駭客利用Windows的相容性政策瑕疵，利用名為HookSignTool、FuckCertVerifyTimeValidity開源工具，竄改核心驅動程式的簽章日期，用來載入過期憑證或未經驗證的驅動程式，從而操縱受害電腦；以及中國駭客Storm-0558濫用微軟帳號（MSA）的簽章金鑰，利用偽造身分驗證Token，入侵使用OWA及Outlook.com服務的電子郵件帳戶，影響歐美地區的25個組織（包括政府機構）與相關個人；還有持續傳出鎖定北約國家高峰會的網釣攻擊的消息，駭客正利用新的Office零時差漏洞。

在最新威脅焦點方面，近來挖礦攻擊行動出現新手法值得重視，包括使用Python指令碼PyLoose的無檔案惡意軟體，以及濫用AWS無伺服器運算服務Fargate來代管部分攻擊指令碼的情形，其他留意焦點包括木馬程式LokiBot攻擊行動的揭露，Wise Remote Stealer惡意軟體的揭露。另外，有大學研究人員研究出可繞過語音身分驗證的攻擊手法，可破解現有偵測Deepfake聲音的技術。

【資安週報】2023年7月17日到7月21日

在這一週漏洞消息中，有3個漏洞利用情形最受關注，主要是Citrix在18日修補影響NetScaler ADC、NetScaler Gateway的CVE-2023-3519零時差漏洞，當時已獲報遭鎖定利用，而Adobe在11日修補ColdFusion產品CVE-2023-29298後，資安業者發現開始出現駭客針對該漏洞與另一零時差漏洞的攻擊情形，後續Adobe又在17日修補CVE-2023-38205漏洞。此外，郵件伺服器系統Zimbra被發現遭用於攻擊的零時差漏洞，要注意後續更新修補釋出，還有物聯網裝置的即時通訊服務框架QuickBlox存在漏洞，AMI的基板管理控制器MegaRAC的重大漏洞（CVE-2023-34329、CVE-2023-34330） 揭露，以及CI/CD代管服務Google Cloud Build的設計缺陷揭露，需要留意。

在最新威脅與攻擊活動上，有三大焦點受關注，首先是駭客組織TeamTNT發起殭屍網路Silentbob攻擊行動，受到多家資安業者揭露，其目標是眾多類型伺服器，甚至Azure與GCP也再其攻擊範圍；其次是惡意軟體AVrecon針對SOHO族路由器設備的揭露，研究人員指出其規模更甚於Qakbot，並在近年兩年多時間內一直未被發現；第三是中國駭客組織Mustang Panda透過USB裝置散布惡意軟體Sogu，以及UNC4698針對亞洲石油與天然氣業者散布惡意軟體Snowydrive的揭露。

而在資安事件方面，以IT管理服務業者JumpCloud遭國家級駭客網路攻擊，雅詩蘭黛同時被BlackCat、Clop勒索軟體宣稱為其受害者，最受關注。此外，還有惡意程式分析平臺VirusTotal驚傳資料外洩的消息。

這段期間，有多個新興威脅活動也引發資安界的注目，例如，有網路犯罪論壇兜售專為惡意活動設計的WormGPT工具；勒索軟體故意用資安業者名義、取名SophosEncrypt，不知是為了挑釁或是混淆資安人員辨識；UEFI惡意程式BlackLotus傳出原始碼外洩；尚未登陸歐洲的Meta社交平臺Threads，其冒牌App竟登上蘋果App Store該地區第一名。另有一項資安研究也值得我們警惕，德國亞琛工業大學研究人員指出有2萬8千多個（佔整體調查8.5%）的Docker映像檔，包含不該洩露外界的私鑰、API密鑰與其他敏感資訊。

在防護焦點方面，近日FIRST公布CVSS風險評分4.0預覽版本，目前徵集意見中，新變化在於改進精細程度，並是首度針對OT、ICS、IoT提供額外評估指標。此外，月前有專家向國內資安長介紹資安監控維運中心（SOC）成熟度的概念及SOC-CMM模型，這期我們也報導相關資訊並實際檢視這方面的內容，過程中亦從評估問卷了解到，SOC精進原來可細分至26種評估構面。

【資安週報】2023年7月24日到7月28日

在這一週漏洞消息中，有3個漏洞利用消息需要優先關注，包括：（一）行動裝置管理平臺Ivanti Endpoint Manager Mobile（原名MobileIron Core）的CVE-2023-35078零時差漏洞遭利用，已導致挪威12個政府遭入侵；（二）Apple緊急修補一個零時差漏洞CVE-2023-37450，該漏洞存在於作業系統的核心內，該公司指出已得知有攻擊者利用此漏洞；（三）Zimbra前一週被發現有零時差漏洞攻擊，如今公布Zimbra Collaboration（ZCS）的CVE-2023-37580漏洞已遭利用。

其他可留意的漏洞消息，包括：首度出現無線通訊標準協定Terrestrial Trunked Radio（TETRA）的研究與漏洞揭露，還有AMD處理器漏洞Zenbleed，OpenSSH的RCE漏洞，以及WordPress外掛程式Ninja Forms漏洞的揭露。

在威脅態勢方面，近日勒索軟體的動向引發關注，其中Mallox威脅擴大值得留意，另外我們注意到近日Clop、BlackCat勒索軟體駭客變得更為囂張的情形。

　●勒索軟體Mallox的攻擊行動在今年上半出現大幅增加的情況，研究人員並指出其入侵管道是鎖定微軟SQL Server，並以暴力破解來獲取權限
　●Clop駭客將竊取自受害者的外洩資料，發布到可透過網際網路存取的網站，而非暗網
　●lackCat駭客為資料外洩網站加入API、Python爬蟲，這些舉動顯然是向受害組織施加更多壓力

其他值得關注的消息與事件，以網路犯罪工具FraudGPT的出現最受關注，另一個則是惡意簡訊App攻擊，近期臺灣時常傳出這類惡意活動，日本近來也有這類事件發生。同時國內近期接連有兩家上市櫃公司發布資安事件重大訊息，說明遭遇網路攻擊事件：

　●有駭客製作出FraudGPT，號稱能用AI製作釣魚郵件及打造破解工具
　●中華汽車遭遇網路攻擊事件，因產線配合系統檢修而發生局部停止生產情況
　●我們整理這週消息時，新發現另一事件，大樹醫藥在28日說明遭受網路攻擊
　●日本傳出惡意簡訊App攻擊，攻擊者發布簡訊假冒當地東京電力公司、東京都水道局名義，聲稱支付電費或水費出現異常並留下網址，使用者若誤信點擊，將安裝包含惡意軟體SpyNote的App
　●本月中有資安業者揭露中國駭客濫用的微軟帳號簽章的事件，後續又有研究人員警告，指出其影響可能更為範圍廣泛

關於資安防護焦點方面，國際間對資安事件訊息的公開揭露是更為重視，美國證券交易委員會（SEC）在一年多前提案，規定上市公司要在4天內披露重大資安事件，如今這項新規定已正式通過。

2023年6月資安月報

2023年5月資安月報

2023年4月資安月報

2023年3月資安月報

2023年2月資安月報

2023年1月資安月報