【資安月報】2024年1月

在2024年1月的資安月報中，最引發我們關注的就是，美國司法部宣布瓦解了由國家級駭客打造的殭屍網路KV Botnet，以及該國針對SOHO設備製造商發布Secure by Design警報，特別的是，這兩個不同層面的新聞事件，其實在某種程度上存在著一定的關聯。

事實上，我們在今年1月，也正好報導了上述提到的Security by Design警報。因為這個警報系列，是美國網路安全暨基礎設施安全局（CISA）去年底才剛剛新推出不久，不同於過去都是聚焦在最新攻擊與軟體漏洞。

這樣的轉變，讓我們可以明顯感受到，這個談論許久的「安全設計（Security by Design）」議題，不僅再次浮上檯面，並且成為連國家政府將要積極推動的重要工作項目。

不只破壞中國駭客組織挾持的殭屍網路，同時針對SOHO設備製造商發布Secure by Design警報

首先，我們先來聊聊殭屍網路，這是指攻擊者藉由入侵裝置並連結而成的網路。攻擊者可以控制殭屍網路，執行有組織且有惡意意圖的任務，而且受害者多半不知道自己的裝置被感染，已經成為駭客發動網路攻擊時的幫兇。

近年來，已有資安業者示警，指出駭客組織入侵家用路由器來建立自己的物聯網殭屍網路的態勢，是持續升溫。而為了因應這類網路威脅，最近幾年，我們看到美國政府經常與多國執法單位聯手，發起掃蕩殭屍網路的行動。

這次美國政府所發起的新一項行動，目標是破壞由中國駭客組織Volt Typhoon所挾持的殭屍網路KV Botnet。

這次事件之所以引發更高關注，是因為微軟去年5月發現Volt Typhoon鎖定美國與關島的重大基礎設施攻擊，然後去年12月，資安業者Lumen揭露了殭屍網路KV-botnet，並指出Volt Typhoon會使用該殭屍網路發動攻擊。

因此，這次破壞殭屍網路的行動，可說是美方政府對Volt Typhoon的反制，讓對方在未來這一段期間，無法立即利用這個殭屍網路來發動攻擊。

綜觀這樣的事件，我們其實是可以看出美國政府是如何應對的，整體上他們是以多管齊下的方式，從不同層面來一起因應。

例如，在面對中國駭客組織Volt Typhoon威脅的過程中，一方面，他們重視該國關鍵CI防護的強化，另一方面，他們也破壞了該組織使用的KV-botnet殭屍網路，以緩解對方可能伺機發動的攻勢。

這次值得我們一提的是，美國政府在摧毀殭屍網路方面採取了更積極的行動──不只破壞殭屍網路KV Botnet，還要求通知裝置所有者，並且向SOHO裝置製造商發布指引。

簡單來說，過去我們已經看過美國聯邦調查局（FBI）破壞殭屍的情形，就是接管其控制權，透過遠端方式刪除當中的惡意程式，以及採取額外措施來中斷受駭裝置與殭屍網路的連結。而這次美國FBI所採取的行動，也就是針對美國境內數百臺遭受KV-botnet控制的私人SOHO路由器而來。

但這次，我們更是注意到，美國CISA也在美國司法部公告的同一日，發布了第三則Security by Design警報，而當中的內容，就是針對中國駭客組織Volt Typhoon的惡意網路活動而來，並聚焦於敦促SOHO 路由器製造商要有安全設計的實踐。

換言之，為了預防網路設備再次被殭屍網路感染，FBI不只著手聯繫設備供應商，要求這些供應商向受害者提供通知，讓用戶知道他們的裝置曾經發生遭駭一事，以及知道可以有的應對方式。

現在，還更進一步對SOHO路由器製造商發布警報，說明供應商的決策能幫助全球減少相關危害，並提供可遵循的原則，要製造商能夠主動消除相關風險，而不是依賴客戶去執行與防範，因為過去經驗證明這並不可行。

因此，在給予SOHO設備製造商的Secure by Design警報中，我們可以看到一些重點，我們整理如下：

●應在SOHO路由器網頁管理介面（WMIs）的產品設計與開發階段，就消除可被攻擊者利用的弱點。

●應調整產品預設配置，讓設備可以有自動更新的能力，並將網頁管理介面（WMI）設置在區域網路（LAN）端的連接埠，這意味著可在內部網絡中存取與操作，而不是在外部網路中可見或可存取。同時，需要手動操作才能移除相關安全設定。

●做到產品的漏洞修補與揭露，並將這些漏洞做到準確的分類，以免受到Volt Typhoon活動與其他網路威脅的侵害。

無論如何，產品要有基於安全的設計、要有預設的安全……，我們早已經看到許多科技大廠強調其重要性，分享這方面工作的推動與落實經驗，但我們更期盼的是，所有的製造商都在進行軟體開發之餘，都能共同重視Security by Design的問題。

儘管近年不論歐洲、美國、日本、亞洲等國，都在物聯網資安的立法有新的進展，但我們從美國CISA的推動上來看，他們更是明確指出，資安防護並不只是用戶層面的問題，產品製造商也必須負起責任，對於政府而言，不能單靠法規遵循，迫使廠商解決這個問題，及早建立這樣的意識、落實安全設計，才能有效減少產品資安風險。

FBI指出：這次破壞行動儘管意義重大，但還不是結束，需要更多資源投入

另一方面，除了關心SOHO設備製造商的Secure by Design實踐，臺灣民眾應該也要知道的是，對於中國駭客組織Volt Typhoon的威脅，美國FBI也在美國司法部公布這次成果的同日，一連發布了3則新聞。

他們的局長Christopher Wray在出席眾議院特別委員會時指出，大眾很少關注中國駭客組織瞄準他們的關鍵基礎設施——包括他們的水處理廠、電網、石油和天然氣管道、運輸系統。但現在，每個美國人都面臨風險，需要他們大家都能去特別注意。

這樣的說法，我們認為，即便放在臺灣也很適合，對於我國遭受中國駭客網路攻擊、遭受資訊戰的情形，社會大眾需要更多的關注與認知，例如，多知道我們遭受網路攻擊的現況，多了解事件背後的多方知識，多從邏輯角度去思考，才能減少被似是而非、觀念錯置的手法操弄。

另外，Christopher Wray也強調，這次破壞殭屍網路的意義相當重大，原因在於，這次Volt Typhoon的入侵相當隱密，很可能會在美中一旦爆發衝突時，用以摧毀美國水處理廠、電網、石油和天然氣管道、運輸系統等重要資源，並對美國民眾造成直接傷害，又或是在中國入侵臺灣，限制美國援助臺灣的能力。因此，這次破壞行動，對於抵抗中國政府惡意網路攻擊的威脅而言，並非事件的結尾，FBI還需要爭取更多資源、預算，來增加人力，來增強資安上的反應能力，以及加強情報收集與分析能力。

這點也令我們相關有所感觸，因為就連FBI局長都在強調，一旦美國關鍵CI遭受嚴重網路攻擊，他們的資安防護做得不好，影響的不只美國民眾，也會影響該國援助臺灣的能力。

【資安週報】2024年1月2日到1月5日

新的一年到來，首要關注的漏洞消息是，去年底有研究人員揭露SSH通訊協定的漏洞問題，可透過Terrapin新手法進行攻擊，但1月3日Shadowserver基金會指出，網路上仍可發現近1,100萬臺的大量伺服器未因應，依然存在CVE-2023-48795漏洞的風險。

在新興威脅焦點上，以Google服務cookies可被劫持的後續揭露最受關注，還有勒索軟體Zeppelin2與竊資軟體Meduza的最新動向。
（一）前陣子名為PRISMA的駭客聲稱能夠竊取Google服務相關cookie，引起廣泛關注，如今我們終於看到有資安業者揭露其攻擊手法與原理，指出駭客除了鎖定Chrome瀏覽器中名為token_service的表單，進而取得的GAIA ID/token，另一關鍵，更是鎖定Google文件未提及的MultiLogin端點跨服務同步機制，這個端點是Google OAuth系統的重要環節。這也顯示，攻擊者對於Google內部身分驗證機制，有著更深層的研究與理解。
（二）勒索軟體Zeppelin2傳出被他人破解的消息，近日有駭客在地下論壇散布的原始碼與建置工具，資安界憂心遭更多不肖分子利用。
（三）有駭客在地下社群與Telegram頻道廣為宣傳新版竊資軟體Meduza，由於標榜功能豐富，以及可針對更多應用程式下手，而受到資安業者重視。
（四）關於新型態DLL搜尋順序挾持手法的揭露值得留意，駭客可濫用系統資料夾WinSXS，進而繞過Windows 10及11防護措施，這樣的手法將讓攻擊更加隱密。

在上述Google服務cookies劫持的手法揭露之外，我們認為同樣值得關注的是，近期社群平臺X（推特）的企業組織帳號遭不明手法劫持的安全問題，最近報導了兩篇資安新聞，其中一篇是資安業者本身也發生遭盜用的情形。

首先是有資安業者CloudSEK揭露，隨著去年底X推出新的驗證帳號方案，但駭客為了假冒企業帳號，目前也正利用各種技術來偽造或盜竊具有金色認證標章；隔沒幾天，資安業者Mandiant發生X帳號遭盜用情形，被利用於假冒加密貨幣錢包供應商Phantom名義的詐騙活動，後續Mandiant表示已取回帳號，並指出已啟用MFA仍遭挾持，目前仍在調查原因。近日資安團體MalwareHunterTeam也指出，發現不少非營利組織、政治人物的X帳號，同樣遭劫持與盜用的情況。

在資安事件方面，這星期我們看到國際間發生食品零售業、保險業、外送平臺業者、政府單位與企業受害的狀況。

首先要注意的是零售服務業，近日瑞典食品零售供應商Coop遭駭，目前傳出遭勒索軟體駭客組織Cactus攻擊；保險業者也要當心，伊朗發生大規模資料外洩事件，該批資料涉及23家保險業者，駭客這波攻擊竟能一次鎖定如此多家保險業者，相當不尋常；還有外送平臺業者，伊朗Snappfood平臺發生資料外洩，研究人員發現1名SnappFood員工的電腦感染StealC竊資軟體，使得公司帳密外洩與資料遭存取。其他重大事件包括：澳洲法院也傳出遭駭客入侵，造成聽證會錄音恐外流的情形；全錄（Xerox）的美國分公司Xerox Business Solutions（XBS）遭遇網路攻擊，部分個資外洩。

【資安週報】2024年1月8日到1月12日

2024年才剛開始沒多久，已有相當多的漏洞消息需要留意，包括零時差漏洞攻擊、已知漏洞遭鎖定利用，以及漏洞修補等不同面向：

（一）這星期又有駭客發動零時差漏洞攻擊。此次被鎖定的目標，是Ivanti的VPN產品Ivanti Connect Secure，以及網路安全存取產品Ivanti Policy Secure，當中2個零時差漏洞已被成功利用，分別是CVE-2024-21887與CVE-2023-46805，有資安業者研判是中國國家支持的駭客組織所為。
（二）我們看到美國CISA公布的新消息指出，有多個去年已知漏洞近期開始發現遭鎖定利用。包括：Adobe ColdFusion的兩個漏洞（CVE-2023-38203、CVE-2023-29300），Apache Superset的漏洞（CVE-2023-27524），蘋果多款產品的漏洞（CVE-2023-41990），Joomla的漏洞（CVE-2023-23752），微軟SharePoint Server的漏洞（CVE-2023-29357），除此之外，還有D-Link DSL-2750B的2016年老舊漏洞（CVE-2016-20017），先前的資安日報尚未提及，在此補上。。
（三）適逢微軟等多家廠商的每月例行安全性更新釋出，需要大家關注相關消息，並且儘快著手修補。例如：微軟本月修補49個安全漏洞，當中有兩個是重大等級。還有其他漏洞修補消息，包括：臺灣NAS廠商威聯通針對QTS等多項產品的修補，思科針對Unity Connection重大漏洞修補，Bosch智慧扳手（氣動扳手）也存在一系列漏洞。
另外，去年5月Apache基金會雖然修補RocketMQ重大漏洞CVE-2023-33246，但近期有開發團隊的成員指出，這項弱點尚未得到完整修復，後續修補動向需密切關注。

在資安威脅態勢上，勒索軟體攻擊仍是關注重點，SMTP走私手法與關鍵基礎與電信受害情形也引起我們的關注，我們整理相關消息如下。
●勒索軟體Akira的危害在12月增加，引起芬蘭國家網路安全中心（NCSC-FI）示警，不僅針對已知路由器漏洞攻擊，並針對儲存資料的NAS系統下手。
●微軟SQL Server用戶注意！勒索軟體Mimic正發起鎖定此系統的攻擊行動，對方的目標是曝露於網際網路的SQL Server，其手法包含濫用PowerShell指令碼，並將深度混淆處理的Cobalt Strike酬載注入Windows內建的處理程序SndVol.exe。
●新型態SMTP走私（SMTP Smuggling）攻擊手法，有人提出具體分析，問題在於SMTP伺服器的進出流程中，處理資料結尾序列不一致，導致攻擊者可能偷渡SMTP命令。
●在關鍵基礎設施與電信領域方面，相關業者也要留意，包括荷蘭IT業者與電信公司遭滲透的揭露，以及木馬程式AsyncRAT鎖定美國關鍵基礎設施的揭露。其他可留意的惡意程式動向，包括FBot鎖定雲端及SaaS平臺，以及後門程式SpectralBlur鎖定Mac電腦設備。

另一個要注意的資安威脅，在於企業社群平臺的帳號安全問題。繼日前資安業者Mandiant的Ｘ帳號被盜用後，遭張貼加密貨幣詐騙活動，如今有更多事件登上新聞版面，甚至美國證券交易委員會的X帳號都遭盜用，被假冒其名義公布宣稱比特幣ETF商品核准上市的消息。隔日，美國SEC才正式宣布，批准11檔比特幣現貨ETF交易。其他被盜的X企業帳號還包括：區塊鏈資安業者CertiK、網路設備業者Netgear、現代汽車中東及非洲的帳號。由於過往多是名人帳號遭駭，但近期事件集中發生在X平臺，並且都是企業組織官方帳號被盜，是否有不尋常的新手法出現，需要持續追蹤。

【資安週報】2024年1月15日到1月19日

這一星期的漏洞利用威脅情形，有兩個新事件需要特別留意，一是Citrix NetScaler設備管理介面存在零時差漏洞，包括CVE-2023-6548、CVE-2023-6549，已被用於攻擊行動；另一是Google修補Chrome的V8 JavaScript引擎的CVE-2024-0519漏洞，同樣已遭成功利用。

還有兩個已知漏洞遭利用的狀況，包括：Laravel網頁應用程式框架在2018年修補的已知漏洞CVE-2018-15133，另一個是這段期間資安日報未報導的漏洞CVE-2023-35082，這個弱點存在行動裝置管理平臺MobileIron Core，以及EPMM。特別的是，關於上述鎖定Laravel的攻擊，我們從美國FBI與CISA近期近期的示警，可以發現是惡意程式Androxgh0st的攻擊行動所為。

還有多家業者發布漏洞修補公告，需要企業採取行動，包括Oracle第1季例行安全更新發布，Atlassian修補Confluence的漏洞，GitLab修補零點擊帳號劫持漏洞，以及Juniper修補防火牆及交換器重大漏洞。

在國內資安消息方面，近日有多家上市櫃公司發布資安事件重大訊息，而且短短一週之內，居然發生三起的情況，格外引人注目。我們整理如下：

（一）上市半導體設備業京鼎精密在1月16日公告，部份資訊系統遭受駭客網路攻擊。

（二）上市印刷電路板廠恩德科技在1月17日公告，部份資訊系統遭受駭客網路攻擊。

（三）上市運動休閒業者柏文健康事業在1月19日公告，說明旗下「健身工廠」會員個資遭駭客竊取。本期資安日報尚未提及，在此補上。

值得關注的是，京鼎精密發生2024年首起上市櫃資安事件，而且狀況相當特別，因為駭客的勒索訊息，還藉由竄改京鼎公司的網站於16日上午公諸於外，行徑非常囂張。

關於健身工廠會員個資遭竊，他們的公告這方面消息的時機有爭議，因為他們載明的事實發生日是去年7月30日，但竟然等到2024年1月才曝光，這顯然違反「應於資安事件發生次一營業日開盤前2小時公告」，而且拖延幾乎長達半年時間。依照先前資料外洩的公司諾貝兒遭到主管機關開罰的經驗，金管會應同樣會對此祭出處分。

另一家同樣在去年11月遭到網路駭客攻擊的雄獅，交通部近期依違反個人資料保護法第27條第1項，開罰200萬元。

還有一項值得警惕的事件，是KKday前員工跳槽對手Klook所涉的外洩營業機密案，最近調查局資安工作站更詳細說明其手法與事發過程，包括利用未修改的預設密碼、不法登入KKday系統等，並起訴涉案3人。

在資安威脅焦點方面，近期鎖定蘋果電腦、Docker主機的惡意軟體，引發研究人員重視。他們的研究對象是3款針對macOS的竊資軟體，包括KeySteal、Atomic Stealer、CherryPie，經過調查分析之後，他們指出這類惡意程式普遍具有繞過作業系統內建XProtect的能力；近期有攻擊者鎖定易受攻擊的Docker主機部署惡意容器，當中使用了網路流量交換軟體9hits盜取流量，相當罕見。

最後，還有兩個涉及GPU與UEFI的漏洞揭露，都是去年夏天已經通報、如今分別有資安業者對外揭露相關細節，並指出問題所在。

例如，被命名為LeftoverLocals的漏洞CVE-2023-4969，影響蘋果、AMD、高通的GPU產品。研究人員重點提醒，如WebGPU的許多GPU框架，存在著未充分隔離記憶體的狀況；UEFI開源參考實現TianoCore EDK II存在9個漏洞，統稱為PixieFAIL，研究人員並指出，其他廠商的UEFI解決方案也受波及，包括Arm、系微（Insyde）、AMI、Phoenix Technologie與微軟。由於廠商們的修補時程未定，不確定是否修補相當棘手。

【資安週報】2024年1月22日到1月26日

這一星期的漏洞利用消息，分別是關於蘋果、VMware與Atlassian的三大漏洞。

（一）蘋果修補已遭成功利用的零時差漏洞CVE-2024-23222，該漏洞影響iPhone、Mac、iPad 與Apple TV，可能導致任意程式碼執行，這也是蘋果今年修補的第一個零時差漏洞。

（二）最近有駭客針對VMware去年10月修補vCenter伺服器的漏洞CVE-2023-34048攻擊。但Mandiant最新研究調查指出，這個漏洞至少從2021年開始就被利用，意味當時已有零時差漏洞攻擊存在，並指出攻擊者是中國駭客組織UNC3886。

（三）上週Atlassian才修補DevOps協作平臺Confluence的重大漏洞CVE-2023-22527，現在已經發現遭駭客鎖定利用，有資安研究團隊示警，他們指出發現逾600個IP位址嘗試利用該漏洞發動攻擊。

還有其他業者發布漏洞修補公告，也需要企業採取行動，包括持續整合工具Jenkins修補了12個Jenkins主程式及外掛程式漏洞，以及VMware修補雲端基礎架構自動化平臺Aria Automation重大漏洞。

在資安事件焦點方面，以微軟、HPE接連向美國證交所（SEC）提交8-K表單通報資安事故，引發外界重視。

因為兩家公司陸續公布的資訊顯示，其雲端電子郵件環境遭到俄羅斯駭客組織Midnight Blizzard入侵。目前不確定兩起事件是否有關，而且時間點也不同，微軟是在1月12日發現狀況，調查出駭客約從去年11月下旬開始攻擊；HPE是在去年12月12日收到通知，研判事故與另一起6月獲報的事件有關。

另外，還有大型服飾集團VF Corp針對去年12月資安事故，二度向SEC提交文件，補充說明該事故的最新消息。

在勒索軟體的威脅態勢上，2024年仍持續傳出有多家企業遇害，影響IT產業、服務業，以及水資源處理業者。例如，芬蘭IT服務與企業雲端代管業者Tietoevry，全球速食連鎖業者Subway，英國水資源處理業者Southern Water，以及水資源處理業者Veolia的北美分公司。

還有一項惡意活動情形，我們認為值得特別留意，是關於惡意流量系統的揭露，不僅是過去這類新聞較少，近期更是有兩家資安業者都發布這方面的研究內容。

一是駭客使用Parrot TDS植入合法網站的伺服器，將受害者帶往惡意網站，針對這些指令碼進行分析，根據資安廠商的研究人員的分析，可分成4個版本，並發現最新版本的混淆手法更進化，採用不同的陣列索引，可影響特徵碼偵測機制；另一是駭客使用VexTrio控制多個TDS網路，且運作方式都不一樣，資安研究人員認為，這是他們在一個月內首次發現基於DNS的新TDS，並指出攻擊者通常使用「atob()」與「String.fromCharCode()」的 JavaScript，目的是隱藏其程式碼。

2023年12月資安月報

2023年11月資安月報

2023年10月資安月報

2023年9月資安月報

2023年8月資安月報

2023年7月資安月報