【資安月報】2023年9月

在今年9月的資安新聞中，國家級駭客組織威脅日益嚴峻的議題，成為最受關注的焦點之一。

最讓我們印象深刻就是，我們的iThome總編輯吳其勳在9月中旬應邀前往美國華盛頓特區，參加Mandiant舉辦的mWISE Conference 2023資安防禦會議，直擊了美國政府官員與資安大廠專家們對於當今網路攻擊局勢的看法與解析，當中並探討了中國駭客網攻對國家、企業與民生所帶來的危害與嚴重性。

特別的是，身為美國國內的情報與安全機構，也是美國主要聯邦執法機關的美國聯邦調查局（FBI），該單位最高負責人亦現身這場大會，闡述國家級駭客與網路犯罪的問題，並指出中國策畫的駭客攻擊規模，已經遠比其他所有主要駭客國家攻擊規模加總還大，甚至指出FBI所有資安專家面對人數50倍以上中國駭客的局勢。

這樣的第一手消息報導，不像往常資安日報所匯整的眾多資安攻擊事件與資訊，多是間接透過研究報告發布而取得，因此也讓應邀參與的我們，以身為長期關注臺灣資安動態的媒體角度，在這場活動當中更深刻感受到，國家級駭客發動大規模網攻的嚴重性。

對於臺灣而言，我們多年來飽受中國駭客攻擊威脅，因此這場會議的一些內容，也值得我國政府或企業的一再重視，尤其是聯防、情資與善用AI技術的對抗策略。當然，對於俄羅斯與北韓駭客的網攻威脅，我們同樣也要留意。

面對大50倍的中國駭客人數，FBI局長呼籲公私聯防

具體而言，在這場會議中，除了有多項2023年最新網路威脅趨勢、挑戰與經驗的探討，其中關於講述重大地緣政治事件與新技術需求下，威脅格局的改變的議題上，在今年mWISE Conference 2023大會上有不少這方面的內容，也是我們特別留意的重點。

首先，最令我們印象深刻的是，美國聯邦調查局（FBI）局長Christopher Wray親臨現場，向與會者說明他們正在面對的國家級駭客攻擊挑戰。他指出，隨著中國、俄羅斯、伊朗和北韓的網路攻擊，對全球的威脅持續是有增無減，因此相當需要公部門與民間產業合作，來對抗這些威脅。

Christopher Wray表示，自2001年發生911恐怖攻擊事件後，FBI已經體認到，國家安全相當需要依賴合作夥伴關係與情資分享，而要維護網路空間的安全也是如此。

但是，現今FBI正面臨著新的嚴峻挑戰，就是中國支持的駭客組織威脅，已帶來網路環境攻防失衡的局勢。

例如，Christopher Wray指出，中國政府多年來一直在竊取美國的智慧財產與資訊。他持續向外界告誡此事。

更令大家震撼的是，他坦承，「中國駭客人數是FBI所有資安專家的50倍以上」，並表明，若要應付中國的網路攻擊，FBI人力遠遠不足。因此，他強調，公私聯防，情資分享，以及善用AI技術，將會是最重要的對抗策略。

同時他也提醒，這些網路犯罪組織和敵對外國政府，現在已經在濫用AI技術，像是生成出深度偽造影片與惡意程式碼。

這也讓我們感受到，近年全球都在談資安人才不足的挑戰，隨著全球格局的變化，美國對於網路威脅局勢的憂心更甚以往，從早年網路威脅以俄羅斯與北韓最常見，後續中國也成為主要攻擊者，如今2023年，中國的網路威脅更是已經擴大到，美國FBI局長都在公開場合表明，他們相當憂慮攻防失衡的局勢。

而我們也檢視了FBI的官方網站，看他們是如何說明中國威脅，當中有明確的描述，FBI指出，帶來威脅的對手不是中國人或華裔或有血統的人，而是來自當地威權政府推行的計劃與政策，並強調中國政府、中國共產黨的經濟間諜活動，對美國的經濟福祉和民主價值觀構成了嚴重威脅，並且透過掠奪性貸款和商業行為、有系統性地盜竊智慧財產權，以及厚顏無恥的網路入侵，來達到他們的霸權目標，而中國政府針對的對象，包括企業、學術機構、研究人員、立法者與大眾，因此，需要全體社會、需要公私協力，來回應這一威脅。

Mandiant示警：中國網攻大轉型

關於實際威脅，我們也看到這家資安業者進一步解析，他們與很多資安廠商再度確認，中國就是危害全球資安的重大禍源。例如，Google Cloud Mandiant主席Sandra Joyce揭發了今年中國網路間諜行動有所轉變，在一些攻擊事件調查結果中，除了研判是中國政府有關連的UNC4841駭客組織發動，特別的是，在攻擊的目標上，中國駭客不僅是入侵多國政府機關，更開始染指多個民生關鍵基礎設施產業，2022年針對Barracuda ESG產品零時差漏洞（編號CVE-2023-2868）攻擊就是一例，有很多受害者皆是重要的民生關鍵基礎設施產業，而不僅是傳統針對政府機關、軍事國防、航太產業。

此外，Google Cloud Mandiant行政總裁Kevin Mandia也特別揭露，近年來中國的網路攻擊戰略有三大轉變，包括：

（一）中國駭客近年逐漸捨棄社交工程手法，轉為更系統性挖掘零時差漏洞（Zero Day），可一次性發動大規模攻擊，帶來更強大的破壞力。

（二）不只是有計畫性地挖掘零時差漏洞，並且經常鎖定網通設備，近年已有好幾次攻擊事件，就是中國駭客鎖定知名網通設備的零時差漏洞。

而且，以今年情況來看，至9月前發現的62個零時差漏洞攻擊，調查後就發現一大部分是中國駭客攻擊。

（三）中國網路攻擊朝向複雜匿蹤方式，主要挾持家用或中小企業路由器、IoT等設備，建構擴及全球的網路攻擊跳板。像是他們調查一美國軍事機構遭駭，首先查到的攻擊來源，是位於美國境內的家用路由器，再往後追查則面對複雜的網路跳接，這讓調查人員進度緩慢或難以溯源追查。

綜合來看，國家級駭客組織威脅確實日益嚴峻，而上述提到中國駭客持續鎖定零時差漏洞攻擊的情形，如今也還在持續，以近期關於Confluence的零時差漏洞（CVE-2023-22515）攻擊為例，後續微軟威脅情資中心在10月11日揭露更多調查結果，指出幕後攻擊者是中國駭客組織Storm-0062。

另外一提的是，我們注意到，今年9月出現零時差資安漏洞消息激增的情況，幾乎相隔數日就有新的事件，比起過往頻繁許多，後續我們也將持續追蹤這方面的消息。（10月25日補充：2023Q3零時差資安漏洞激增，短短一個多月爆出20個零時差漏洞，特別是涉及底層漏洞似乎變多）

【資安週報】2023年9月4日到9月8日

在這一週的漏洞消息中，最受關注的就是蘋果在7日緊急更新macOS、iOS，修補兩個零時差漏洞：CVE-2023-41064、CVE-2023-41061，揭露消息的加拿大公民實驗室，將這批漏洞鏈稱為BLASTPASS，並強調它們是可透過iMessageu傳送且不用使用者互動的零點擊漏洞，已在8月底發現有攻擊者藉此漏洞遞送Pegasus間諜程式。此外，Google的9月Android例行性安全更新中，也修補一個零時差漏洞CVE-2023-35674，並說明已遭攻擊者成功利用。

還要注意的是，今年7月Adobe修補ColdFusion的3個漏洞（2023-29300、CVE-2023-38203、CVE-2023-38204），如今資安業者指出已有針對未修補用戶的攻擊行動。另外，我們在此補充本週資安日報未提及的一個重大漏洞消息。今年5月23日揭露的Apache RocketMQ漏洞CVE-2023-33246，當時已釋出5.1.1版修補，最近有資安業者發現，6月開始出現持續對此漏洞利用的行為。

在國際攻擊活動焦點方面，有6起事件值得關注，涉及勒索軟體、合作供應商遇害，國家關鍵基礎建設遭鎖定，以及網釣等形式的惡意行為。

●英國柵欄設備製造商Zaun發布資安公告說明上月初遭勒索軟體LockBit攻擊，該國的軍事要塞採用該公司的產品，但因為駭客發動攻擊而拿到Zaun資料，以及駭客後續流出數千頁資料的影響，引發英國國防機密因合作廠商遭駭而外洩的事件。
●德國聯邦憲法保護局（BfV）發出報告指出，中國駭客組織APT15、APT31針對路由器、防火牆、NAS、網路印表機、智慧家電等家用IoT裝置的漏洞發動攻擊，接管這些裝置後，再用於向政府機關發動攻擊。
●烏克蘭電腦緊急應變小組（CERT-UA）揭露當地的能源基礎設施受到攻擊，並指出是遭俄羅斯駭客組織APT28攻擊行動鎖定。
●韓國資安業者揭露北韓駭客Lazarus旗下組織Andariel鎖定韓國國防工業，自今年開始使用多種惡意程式發動攻擊。
●有駭客組織GhostSec聲稱取得伊朗IT金融服務及IT服務業者FANAP的原始碼，並指出該公司的軟體被伊朗政府用於監控民眾。
●資安業者揭露中國駭客發起大規模釣魚簡訊攻擊行動Smishing Triad，攻擊者假冒多個郵政單位名義，透過遭駭的iCloud帳號對使用者發送iMessage訊息。

另外，今年5月中國駭客Storm-0558入侵25個使用微軟電子郵件系統的組織，以及今年8月勒索軟體Akira鎖定思科SSL VPN設備的攻擊行動，近期都有更詳細的後續調查公布。

而在最新的威脅態勢上，有三起事件值得留意，包括：勒索軟體駭客Ransomed竟以付贖金可免受GDPR巨額罰款的話術來進一步要脅，以及販售多種網釣工具W3LL Store的揭露，還有微軟SQL Server遭勒索軟體FreeWorld鎖定的消息。

另有2份個資隱私研究出爐，大家應關注與敦促廠商強化相關防護，一份是針對瀏覽器安全設計的研究，美國的大學研究人員指出，Chrome、Firefox與Safari瀏覽器的安全設計不夠完善，若有心人士結合網站漏洞，可透過瀏覽器外掛程式，存取使用者密碼等機密資料：另一是個資保護政策在汽車品牌業者領域未獲重視，25個品牌均未達Mozilla最低安全標準，最離譜的是，廠商居然表示能蒐集車主的性活動，顯然與車輛無關的個資，卻又未說明如何蒐集。

至於防禦態勢方面，在半導體資安、軟體開發與供應鏈安全領域有新動向。首先是SEMI E187資安標準規範，這一週舉行的國際半導體展臺灣場，宣布有首批設備通過合格性驗證，它們分別是均豪精密的AOI自動光學檢測設備，以及東捷科技的OHS空中行走式無人搬運系統：另一個進展是Google Cloud與GitLab宣布擴大合作，未來Google Cloud的開發人員可存取GitLab的DevSecOps平臺，而GitLab的用戶也可存取Google Cloud的軟體供應鏈安全框架SLSA評等，以及軟體物料清單（SBOM）。

【資安週報】2023年9月11日到9月15日

在這一週漏洞利用消息中，有多個零時差漏洞修補要優先重視，分別是：（一）微軟本月安全性例行性更新修補兩個零時差漏洞，包括已被公開且遭成功利用的Word的漏洞CVE-2023-36761，以及已遭成功利用的串流服務相關的漏洞CVE-2023-36802；（二）Google、Mozilla先後修補Chrome、Firefox/Thunderbird漏洞CVE-2023-4863，Google指出此零時差漏洞已被外部人士利用，且所有支援WebP圖像處理的瀏覽器都受影響；（三）Adobe修補的Acrobat與Reader漏洞CVE-2023-26369，修補釋出前同樣已被用於攻擊行動；（四）思科在11日針對多功能網路資安設備ASA、FTD存在零時差漏洞CVE-2023-20269先提供緩解，指出漏洞起因是AAA協定與其他軟體功能缺乏適當區隔，已遭勒索軟體駭客用於攻擊。用戶需注意後續更新修補的釋出。

其他重要漏洞修補動向，還包括：SAP、西門子、施耐德電機等業者發布9月份例行更新。

在網路威脅焦點上，國內有2起事件引起最多國人關注：首先，彰化肉品市場與台中大安肉品市場發生拍賣系統遭軟體攻擊，系統無法運作使得豬隻拍賣暫停、延遲；其次，大洸醫院機構管理顧問提供的醫指付在這一兩個月內，持續傳出用戶綁訂的信用卡遭海外盜刷情形，近日金管會已請財金公司督促與釐清事件，甚至去年6月就有資安研究人員在HITCON Zeroday通報醫指付App安全漏洞卻未因應的情形也被挖出。

在國際間，有5起重大事件成為焦點，其中國際連鎖賭場接連遭駭格外引發關注：
●MGM米高梅國際酒店集團在9月11日說明遭遇網路攻擊，不僅訂房或查詢只能採傳統電話方式進行，甚至有報導指出吃角子老虎停擺，房卡無法使用。到了14日ALPHV（BlackCat）勒索軟體集團聲稱這起事件是他們所為。
●連鎖賭場凱撒娛樂（Caesars Entertainment）在9月7日向美國證交所提交8-K文件說明發生資料外洩事件，指出該事件源於公司使用的IT承包商遭社交工程攻擊而導致。另有當地媒體報導指出Caesars遭勒索已支付上千萬美元贖金。
●微軟威脅分析中心發布東亞數位威脅報告，指出中國對南海國家和臺灣發動廣泛的網路攻擊與認知作戰，並強調中國在認知作戰中正大量使用AI生成更好品質的內容，影響力有擴大跡象。
●半年前駭客組織鎖定Zoho的漏洞CVE-2022-47966與Fortinet的漏洞CVE-2022-42475，近日美國CISA、FBI與CNMF再發安全通告，說明年初美國航太機構受害，同時揭露攻擊細節、IoC，以及緩解防範的建議。
●中國駭客組織Redfly鎖定亞洲國家的電網設施攻擊被揭露，攻擊者發動網路間諜攻擊並植入惡意程式ShadowPad。

在其他重要威脅態勢上，我們注意到有多起資料外洩事件與供應鏈攻擊有關，也發現近日持續有Mac電腦接連遭鎖定的消息。前者包括：嬌生醫療照護系統因IBM代管的應用系統遭到攻擊，英國曼徹斯特警局因外部供應商遭勒索軟體攻擊，還有軟體臭蟲追蹤公司Rollbar遭駭的消息；後者包含惡意軟體MetaStealer、竊資軟體Atomic Stealer被揭露近期均針對Mac電腦而來。

還有一些趨勢值得留意，像是有研究人員指出近期DDoS攻擊，針對金融業攻擊的比例呈現越來越高的趨勢；還有研究人員針對Wi-Fi技術的波束形成回應資訊（BFI）揭露新型態攻擊手法WiKI-Eve。

在最新防禦發展焦點上，我們注意到MITRE在9月5日宣布，將開源攻擊模擬工具Caldera延伸到OT環境，新推出MITRE Caldera for OT。另外，我們在此補充本週資安日報未提及的另一防護焦點，9月7日微軟發布儲存服務威脅矩陣（Threat matrix for storage services）第二版，將有助於識別和分析雲儲存服務中資料潛在安全威脅。還有關於PQC演算法升級，我們發現本土廠商網擎資訊開始有具體行動，他們在9月11日表示已開發部署相關防護。

【資安週報】2023年9月18日到9月22日

許多IT廠商在前一週發布9月份例行更新，但在本週的資安新聞裡，有多起漏洞攻擊行動引起研究人員關注，並呼籲企業組織、使用者應儘速修補，這些漏洞包含：

（一）8月份Juniper修補的CVE-2023-36845，當時該廠商評估風險等級為中等，但資安業者VulnCheck發現該漏洞嚴重程度被低估，已有駭客嘗試將其用於攻擊行動；

（二）開源物件儲存服務MinIO於3月修補的漏洞CVE-2023-28432、CVE-2023-28434，駭客針對DevOps工程師下手，在目標系統植入後門程式Evil MinIO，竄改更新伺服器的網址，然後派送惡意更新；

（三）蘋果針對旗下電腦、行動裝置、穿戴裝置，修補零時差漏洞CVE-2023-41991、CVE-2023-41992、CVE-2023-41993，這些由加拿大公民實驗室與Google威脅情報小組（TAG）通報的漏洞，已被用於攻擊iPhone裝置；

（四）趨勢科技針對旗下端點防護產品Apex One、Worry-Free Business Security（WFBS）漏洞CVE-2023-41179發布公告，已有攻擊行動出現，引起日本電腦網路危機處理暨協調中心（JPCERT/CC）注意；

（五）駭客假借提供6月WinRAR修補漏洞的PoC，但其實是利用地圖服務伺服器程式GeoServer的SQL注入漏洞CVE-2023-25157，散布木馬程式VenomRAT。

其他的重要漏洞修補警告，還包括：GitLab修補執行任意自動化工作流程漏洞CVE-2023-4998，以及Fortinet修補防火牆作業系統、上網安全閘道、WAF的高風險漏洞CVE-2023-29183、CVE-2023-34984，網路監控軟體Nagios XI修補高風險漏洞、N-able遠端管理工具的CVE-2023-27470、程式庫ncurses的記憶體毀損漏洞等。

面對日與俱增的資安威脅，本週除了研究人員極力呼籲使用者儘速修補已公開的漏洞，資安界也有多項動態值得留意。

首先是資安業者Mandiant舉辦的mWISE Conference 2023資安防禦會議，FBI局長Christopher Wray提到攻防極度不對等的資安態勢，他表示，中國駭客人數是FBI資安專家的50倍以上，防守方勢必要善用AI人工智慧技術，還有政府、執法機關與民間產業之間更為緊密的合作，才有機會扭轉局勢，他甚至認為企業應該在資安防護計畫裡納入FBI，充分發揮執法的力量。

再者，OpenAI為了改善機器學習模型的安全，擴大原本的紅隊演練規模，成立名為OpenAI Red Teaming Network的紅隊演練網路，從數十個專業領域招募專家，看重的是專家能提供該領域的專業觀點，而有可能突破人工智慧產業的盲點。

本週資安界有兩起重大的廠商併購案，分別是19日資安業者CrowdStrike買下應用程式安全態勢管理（ASPM）新創Bionic，及21日思科買下大數據資安業者Splunk，其中又以思科和Splunk的併購案受到最多關注。值得留意的是，這起合併案2022年2月就傳出風聲，當時思科打算以200億美元買下Splunk，而現在實際成交的金額達到280億美元，較先前的傳聞多出4成。

【資安週報】2023年9月25日到9月28日

在本周重要漏洞修補消息中，有4個最受注目，包括：網際網路系統協會（ISC）修補DNS軟體BIND高風險漏洞，JetBrains修補CI/CD軟體平臺TeamCity重大漏洞，以及Atlassian針對旗下多款產品發布更新。此外，9月上旬思科針對已遭利用的零時差漏洞CVE-2023-20269先提供緩解，當時已遭Akira勒索軟體組織鎖定利用，29日思科新釋出臨時的更新修補。

還有多個已知漏洞，近期因為遭鎖定利用情形被美國CISA列入限期修補清單，是本週資安日報未提及的漏洞消息，我們也特別整理如下，包括：Red Hat JBoss RichFaces Framework的漏洞（CVE-2018-14667）、Laravel的Ignition漏洞CVE-2021-3129、Laravel框架Ignition的漏洞（CVE-2021-3129）、Zyxel EMG2926路由器的漏洞（CVE-2017-6884）、Realtek SDK的漏洞（CVE-2014-8361）、Samsung行動裝置的漏洞（CVE-2022-22265），以及Owl Labs視訊會議設備Meeting Owl的4個已知漏洞（CVE-2022-31463、CVE-2022-31462、CVE-2022-31461、CVE-2022-31459）。

在網路威脅焦點上，有四大議題值得關注：
（一）美國NSA、FBI、CISA與日本國家資安事件整備與策略中心（NISC）發布聯合公告，指出中國駭客組織BlackTech藉由竄改思科路由器的韌體方式來隱藏其行動，從美國、日本企業跨國公司的子公司進一步滲透總公司的網路環境。
（二）近日Akamai與Perception Point相繼揭露新網釣攻擊活動，出現鎖定飯店業者、訂房業，以及訂房客戶的複雜攻擊，尤其是入侵訂房網站或飯店系統冒用合法發動典型網釣。
（三）除了勒索軟體Akira自今年3月以來攻擊活動節節攀升需要關注，美國FBI與CISA在20日也針對勒索軟體Snatch發布安全通告，詳細說明該組織的技術手法與IoC指標。
（四）關於GPU.zip的GPU旁路漏洞早期揭露，目前發現的大學研究人員已通報GPU供應商、以及瀏覽器供應商Google，後續廠商修補的動向需要留意。

其他值得關注的國際威脅態勢，有多個產業被攻擊者鎖定的消息，受到不同資安業者揭露，包括：
●中東、西歐、南亞次大陸的電信業者成鎖定目標，攻擊者散布惡意軟體LuaDream發動精準攻擊。
●烏克蘭軍方成鎖定目標，攻擊者利用無人機手冊散布惡意程式。
●中東政府機關被鎖定，攻擊者利用了新型態後門程式Deadglyph。
●巴西與墨西哥等逾40家拉丁美洲的銀行用戶遭鎖定，有駭客利用銀行木馬BBTok發動大規模攻擊行動。
●美國衛生暨公共服務部（HHS）旗下HS3揭露，近年中國駭客組織APT41、北韓駭客組織APT43與Lazarus肆虐，對美國公衛部門與生技公司已造成嚴重危害。

在防禦態勢的消息上，我們特別注意到，在越來越多人重視的軟體物料清單（SBOM）之外，近日美國CISA推出硬體物料清單框架（HBOM），希望進一步幫助有效評估與減少供應鏈存在的資安風險。在國內，也有兩起事件受關注，一是行政院公共工程委員會新發布資訊服務採購作業指引，明訂公部門編列專屬資安預算；另一是數位部預告修正資安法，將明訂公部門禁用危害國家安全的資安產品。

2023年8月資安月報

2023年7月資安月報

2023年6月資安月報

2023年5月資安月報

2023年4月資安月報

2023年3月資安月報