【資安週報】2023年9月4日到9月8日

在這一週的漏洞消息中，最受關注的就是蘋果在7日緊急更新macOS、iOS，修補兩個零時差漏洞：CVE-2023-41064、CVE-2023-41061，揭露消息的加拿大公民實驗室，將這批漏洞鏈稱為BLASTPASS，並強調它們是可透過iMessageu傳送且不用使用者互動的零點擊漏洞，已在8月底發現有攻擊者藉此漏洞遞送Pegasus間諜程式。此外，Google的9月Android例行性安全更新中，也修補一個零時差漏洞CVE-2023-35674，並說明已遭攻擊者成功利用。

還要注意的是，今年7月Adobe修補ColdFusion的3個漏洞（2023-29300、CVE-2023-38203、CVE-2023-38204），如今資安業者指出已有針對未修補用戶的攻擊行動。另外，我們在此補充本週資安日報未提及的一個重大漏洞消息。今年5月23日揭露的Apache RocketMQ漏洞CVE-2023-33246，當時已釋出5.1.1版修補，最近有資安業者發現，6月開始出現持續對此漏洞利用的行為。

在國際攻擊活動焦點方面，有6起事件值得關注，涉及勒索軟體、合作供應商遇害，國家關鍵基礎建設遭鎖定，以及網釣等形式的惡意行為。

●英國柵欄設備製造商Zaun發布資安公告說明上月初遭勒索軟體LockBit攻擊，該國的軍事要塞採用該公司的產品，但因為駭客發動攻擊而拿到Zaun資料，以及駭客後續流出數千頁資料的影響，引發英國國防機密因合作廠商遭駭而外洩的事件。
●德國聯邦憲法保護局（BfV）發出報告指出，中國駭客組織APT15、APT31針對路由器、防火牆、NAS、網路印表機、智慧家電等家用IoT裝置的漏洞發動攻擊，接管這些裝置後，再用於向政府機關發動攻擊。
●烏克蘭電腦緊急應變小組（CERT-UA）揭露當地的能源基礎設施受到攻擊，並指出是遭俄羅斯駭客組織APT28攻擊行動鎖定。
●韓國資安業者揭露北韓駭客Lazarus旗下組織Andariel鎖定韓國國防工業，自今年開始使用多種惡意程式發動攻擊。
●有駭客組織GhostSec聲稱取得伊朗IT金融服務及IT服務業者FANAP的原始碼，並指出該公司的軟體被伊朗政府用於監控民眾。
●資安業者揭露中國駭客發起大規模釣魚簡訊攻擊行動Smishing Triad，攻擊者假冒多個郵政單位名義，透過遭駭的iCloud帳號對使用者發送iMessage訊息。

另外，今年5月中國駭客Storm-0558入侵25個使用微軟電子郵件系統的組織，以及今年8月勒索軟體Akira鎖定思科SSL VPN設備的攻擊行動，近期都有更詳細的後續調查公布。

而在最新的威脅態勢上，有三起事件值得留意，包括：勒索軟體駭客Ransomed竟以付贖金可免受GDPR巨額罰款的話術來進一步要脅，以及販售多種網釣工具W3LL Store的揭露，還有微軟SQL Server遭勒索軟體FreeWorld鎖定的消息。

另有2份個資隱私研究出爐，大家應關注與敦促廠商強化相關防護，一份是針對瀏覽器安全設計的研究，美國的大學研究人員指出，Chrome、Firefox與Safari瀏覽器的安全設計不夠完善，若有心人士結合網站漏洞，可透過瀏覽器外掛程式，存取使用者密碼等機密資料：另一是個資保護政策在汽車品牌業者領域未獲重視，25個品牌均未達Mozilla最低安全標準，最離譜的是，廠商居然表示能蒐集車主的性活動，顯然與車輛無關的個資，卻又未說明如何蒐集。

至於防禦態勢方面，在半導體資安、軟體開發與供應鏈安全領域有新動向。首先是SEMI E187資安標準規範，這一週舉行的國際半導體展臺灣場，宣布有首批設備通過合格性驗證，它們分別是均豪精密的AOI自動光學檢測設備，以及東捷科技的OHS空中行走式無人搬運系統：另一個進展是Google Cloud與GitLab宣布擴大合作，未來Google Cloud的開發人員可存取GitLab的DevSecOps平臺，而GitLab的用戶也可存取Google Cloud的軟體供應鏈安全框架SLSA評等，以及軟體物料清單（SBOM）。

【9月4日】Adobe應用程式開發平臺ColdFusion重大漏洞被用於部署挖礦軟體、後門程式擊

Adobe在7月份的例行更新裡，修補了應用程式開發平臺ColdFusion的重大漏洞CVE-2023-29300，不久後就有研究人員公布概念性驗證程式（PoC），接著就出現相關的漏洞攻擊。雖然Adobe已推出修補軟體，但現在仍有駭客針對相關漏洞而來，目的是想濫用這個平臺挖礦牟利。

值得留意的是，駭客一口氣至少部署3種以上的挖礦程式，部分還能操控受害伺服器進行DDoS攻擊。

【9月5日】瀏覽器的安全設計不良再加上網站漏洞讓惡意擴充程式有機可乘，挖掘用戶機密資料

瀏覽器的健全左右所有使用者的上網安全，因此Google、Mozilla等業者與組織頻繁推出軟體更新、希望能盡快修補漏洞。但有研究人員發現，這些瀏覽器普遍存在安全設計瑕疵，攻擊者可透過外掛程式竊取使用者輸入的密碼，或是信用卡資料。為了證實這樣的風險，他們進行概念性驗證（PoC），打造可進行這類攻擊的Chrome擴充套件，結果通過Web Store市集的審核而成功上架。

由於採用較嚴謹的Manifest V3而成的Chrome擴充套件，存在上述弱點，研究人員認為，使用Manifest V2規範的Firefox、Safari，也同樣可能受到相同手法的攻擊。

【9月6日】瀏覽器的開發工具元件成駭客竊取資料管道，研究人員揭露惡意軟體Chaes新一波攻擊行動

最近幾個月駭客利用瀏覽器來發動攻擊的情況不斷上演，其中最常見的手法，是利用惡意擴充套件來上下其手，但最近有駭客是直接濫用瀏覽器的內建工具來從事攻擊行動。

例如，資安業者Morphisec針對今年年初出現的惡意程式Chaes新版Chae$ 4進行分析，結果發現，駭客盜取資料的管道，竟是直接利用Chrome的內建開發工具（DevTools），並透過其通訊協定來傳輸竊得資料。

【9月7日】惡意程式Agent Tesla透過5年前Office漏洞發動攻擊

攻擊者利用Office檔案散布惡意程式的方式，算是相當常見，而過往最普遍的手法就是利用帶有巨集的Office檔案來進行，但隨著微軟這幾年封鎖惡意巨集的執行，駭客也尋求其他突圍手法。

例如，在近期的惡意軟體Agent Tesla攻擊當中，駭客利用的就是含有物件連結與嵌入（OLE）物件的Excel檔案，並宣稱使用者必須依照指示開啟，才能檢視完整內容。

【9月8日】網釣工具包W3LL挾持微軟帳號，並繞過雙因素驗證，暗中運作6年才曝光

駭客透過網路釣魚工具包發動攻擊的情況極為氾濫，不只是資安媒體報導的眾多團體，有些行跡相當隱密，最近資安業者Group-IB揭露的W3LL，就是一例。網路犯罪生態圈經營時間長達6年，主賣功能豐富的網釣工具包套件，並能加購可從事商業郵件詐騙（BEC）的相關模組。

為何W3LL一直沒被發現？因為他們只靠駭客私下介紹買家，未曾在網路犯罪論壇進行宣傳。