【資安週報】2023年12月25日到12月29日

時至2023年最後一星期，適逢歐美各國聖誕連假，各大資安媒體雖然大多暫停發布新聞，期間仍有零時差漏洞攻擊的揭露。在12月24日，資安業者Barracuda Networks發布資安公告，指出中國駭客UNC4841再次鎖定他們的產品發起零時差漏洞攻擊，導致部分郵件安全閘道（ESG）植入惡意軟體Seaspy及Saltwater的新型變種，該公司已於21日派送自動軟體更新修補，並指出該漏洞CVE-2023-7102存在於ESG產品中，Amavis病毒掃描程式元件的第三方程式庫Spreadsheet::ParseExcel。這項消息呼應我們先前報導，當時我們提醒大家注意零時差漏洞攻擊出現鎖定底層元件進行濫用的狀況，而上述事件無疑再次反映此一態勢。

還有兩個漏洞修補消息值得重視，首先，Apache基金會在12月先後修補旗下ERP系統OFBiz的2個CVSS風險評分9.8分的重大漏洞，分別是：CVE-2023-49070、CVE-2023-51467。值得注意的是，資安業者已發現攻擊者掃描存在漏洞的系統，再加上有不少系統將之整合或採用，因此影響範圍預估不小，像是Atlassian的JIRA就包含了OFBiz，企業須注意相關後續修補動向；另一是英商Canonical針對Ubuntu作業系統修補了文字編輯器Vim的15個漏洞，其中4個為CVSS風險評分7.8分的高風險層級。

此外，關於半年前攻擊者針對iOS發起的Operation Triangulation攻擊行動，最近卡巴斯基揭露相關細節之外，還指出攻擊者所利用4個零時差漏洞中，仍有一個漏洞的濫用方式不明。

在威脅態勢方面，SSH安全問題在這星期幾篇資安新聞當中均提及，例如，先前有大學研究人員揭露Terrapin攻擊手法與3個漏洞，最近韓國資安業者AhnLab提出警告，指出發現攻擊者鎖定執行Linux作業系統的SSH伺服器，並針對缺乏相關安全設置的主機發動攻擊。

而從產業面來看，這星期我們看到網路訂房與飯店業，以及遊戲業的狀況較多，各有兩篇資安新聞。

首先是旅館業者的服務生態鏈，例如，這幾個月持續有駭客鎖定Booking.com用戶詐騙的揭露，如今又有資安業者指出這是一種B2B2C形式的手法，先針對飯店員工網釣下手，在以飯店業者帳號登入Booking.com去詐騙客戶；另一是竊資軟體RedLine、Vidar的攻擊行動，同樣是駭客假借客人投訴與訂房為由，引誘飯店人員點擊釣魚郵件。

遊戲業者的資安事故方面，這段期間各大資安媒體均報導下列兩則消息，一是法國遊戲開發商Ubisoft遭駭客入侵48小時，所幸公司管理員察覺異常、險些遇害的揭露；另一是傳出俠盜獵車手V（GTA 5）原始碼外流的情況，根據後續的情報表示這是2022年RockStar Games遭駭時流出。

在防禦態勢方面，2023年全球資安界均相當關注生成式AI資安應用的現況，而我們最近發布的封面故事也特別以此為題進行報導，當中可以看出不少全球大型IT與資安廠商已經實際付諸行動，也出現臺灣資安業者及早布局、累積發展此類新技術的經驗，原因在於他們看重生成式AI能分析龐大資料的能力，用自然語言輸入來提示與回答，大幅提升資安事件處理效率，預料未來會有更多廠商跟進，將開啟2024年AI資安的新格局。

【12月25日】駭客集團UAC-0099鎖定烏克蘭組織並利用WinRAR漏洞植入惡意程式LonePage

駭客近期利用WinRAR漏洞CVE-2023-38831的情況，有越來越頻繁的趨勢，而且有不少是國家級駭客組織從事相關攻擊。攻擊者利用該漏洞最重要的原因之一，就是此壓縮軟體並未內建自動更新機制，使用者若不手動升級新版軟體，就會持續曝露在這項漏洞當中，而使得對方有機會成功利用。

最近有研究人員針對駭客組織UAC-0099的攻擊行動進行調查，結果發現，這些駭客散布惡意軟體的管道，其中一種就是這項WinRAR漏洞。

【12月26日】有人入侵遊戲開發商Ubisoft並企圖竊取《虹彩六號：圍攻行動》的內部資料

今年有多起鎖定遊戲公司的攻擊行動，從年初電玩遊戲開發商Riot Games證實遭駭，旗下《英雄聯盟》及防作弊系統的原始碼遭竊，到最近Sony旗下電玩業者Insomniac Games遭勒索軟體Rhysida入侵，偷走處於開發狀態的電玩遊戲《金鋼狼》相關資料，這類資安事故有越來越頻繁的情況。

而在本日的資安新聞裡，傳出有人對電玩開發商Ubisoft發動攻擊，該公司在兩天之內察覺有異，並做出處理，使得受害情況得到控制，但攻擊者身分仍不得而知。

【12月27日】有人散布《俠盜獵車手V》原始碼並向甫遭判決的駭客組織Lapsus$成員致敬

近期歐美國家取締網路犯罪組織的執法行動大有斬獲，例如，1月破壞勒索軟體Hive的基礎設施，8月摧毀70萬臺電腦組成的QBot殭屍網路等，駭客因此元氣大傷、消聲匿跡一段時日。

12月19日再度傳出美國FBI宣布奪下勒索軟體駭客組織BlackCat網站，但對方在一天內又取回網站，顯然這次執法行動受到阻礙。駭客表示，只要是在獨立國家國協以外的企業組織，都可能是他們的目標。

【12月28日】別以為使用SSH連線就會比較安全！採用容易猜到的帳密有可能將Linux伺服器拱手送給駭客

透過SSH連線遠端管理Linux伺服器的方法相當普遍，但若是使用極為容易猜到的帳號和弱密碼，小心！很有可能成為下手的目標，而成為駭客擺布的對象。

這樣的現象，資安業者AhnLab今年多次提出警告，而這次他們指出駭客對其部署挖礦程式、DDoS機器人，同時還有可能植入各式的惡意軟體來上下其手。

【12月29日】Booking.com合作旅館、房客面臨網釣攻擊且外洩個資出現轉交其他團體兜售現象

今年駭客針對Booking.com房客發動攻擊的情況不時傳出，其特別之處在於，駭客並非直接對房客下手，而是先對旅館發動網釣攻擊，再假借這些旅館的名義對房客行騙，房客一不注意對方提供的網址是假冒的就點進去查看，很容易上當。

值得留意的是，這樣的情況日益惡化，甚至已經在網路犯罪圈發展成上下游分工的情況──有人專門收集旅館的Booking.com帳密供打手運用。