【資安週報】2024年3月4日到3月8日

回顧這一星期的資安新聞前，先來聊聊最近臺灣上市櫃公司接連發布資安事件重大訊息的現況，最近我們發布的封面故事，就是特別以此為題的報導與探討，當中整理出2023年臺灣上市櫃公司有23起資安事件相關重大訊息，並得知這些資安事故的背後，多半是勒索攻擊造成，另一方面，早已不斷受媒體關注的個資外洩消息，近一年也登上重訊版面，在我們進一步追蹤下，更是發現先前諾貝兒、雄獅遭網路駭客攻擊事件的後續消息，就有因個資外洩受個資法的情形，且開罰金額已經提高至200萬，不同於過去的20萬。

這些現象的出現，在在突顯企業經營層在看待營運風險時，需更重視勒索攻擊的危害，以及個資外洩的影響。特別的是，在我們與證交所聯繫過程中，還發現資安事件「重大性」的認定，已有明確標準可依循，上市公司的部分在1月已經完成相關修訂，上櫃公司的部分也確定即將發布。

在關注企業揭露資安事件之餘，我們還有不同資安領域的消息需要重視。

在本星期的漏洞利用消息方面，有3個重點，企業需優先因應的是蘋果與JetBrains的漏洞。
（一）蘋果修補多款產品的2個記憶體損壞漏洞CVE-2024-23225、CVE-2024-23296，都是已遭鎖定攻擊的零時差漏洞。
（二）JetBrains修補旗下CI/CD軟體平臺TeamCity的兩個漏洞，特別的是，由於該公司沒有知會通報漏洞的Rapid7、私下修補且不公開漏洞，使得Rapid7同日公開漏洞細節。後續，外界發現漏洞CVE-2024-27198已遭鎖定利用。
（三）兩個老舊漏洞近期發現遭鎖定利用，包括：2021年8月的Sunhillo SureLine OS命令列注入漏洞（CVE-2021-36380），以及去年6月的Android Pixel資訊揭露漏洞（CVE-2023-21237）。本期資安日報尚未提及，在此補上。
其他可留意的漏洞修補消息，包括VMware修補旗下多款產品的4個重大漏洞，以及臉書修補密碼重置漏洞。

在資安事件焦點方面，一開始提及勒索軟體與個資外洩的威脅態勢，本週也有多起這方面的新聞報導，我們整理如下：
●勒索軟體駭客組織Dunghill在2月29日聲稱入侵上櫃公司安瑞科技，我們取得安瑞的回應，他們表示子公司Array US於3月1日，偵測到資訊系統遭受病毒攻擊。目前調查未有客戶敏感資料外洩，也不影響營運。
●美國CISA等多個機構針對近期勒索軟體Phobos的攻擊態勢提出警告，2月有新的變種出現，主要鎖定關鍵基礎設施、地方政府、急難、教育與醫療單位。
●去年底Line用戶個資外洩事件有後續消息，原因是LYC與關係企業Naver Cloud因部分系統共用，而雙方於韓國採用的外包廠商，其員工電腦遭到惡意程式感染，因此最近日本總務省要求兩家公司應切割IT基礎架構。
●美國運通向客戶通知發生資料外洩事件，原因是第三方信用卡交易處理服務提供商的系統遭駭客入侵 ，導致有未經授權存取的情況。

還有一項針對我國而來的攻擊活動，需要大家關注。繼月前有資安業者Trellix發布報告，指出臺灣總統大選投票前一天所遭受的網路攻擊大幅增加，近日又有趨勢科技揭露這方面的態勢，指出中國駭客組織Earth Lusca在去年12月至今年1月的新一波攻擊活動中，會使用地緣政治議題為誘餌來發動網釣攻擊，並且其內容疑似盜用未發表的專家文章。由於研究報告中提到相關文章遭盜用、相關政治專家或所屬組織可能遭入侵，我們認為，上述人士需趕緊檢視自身裝置、帳號的防護，避免受害卻仍不自覺。

在資安防禦態勢上，我們注意有3個重點，主要針對開發安全與LLM的安全。

首先，開發者要注意！最近GitHub將去年推出的推送保護（Push Protection）功能，改為預設啟用。特別的是，我們發現GitHub在宣布此消息之餘，同時提到他們最近在公開儲存庫掃描時的發現：今年已偵測到上百萬筆機密資料洩漏（API金鑰、令牌與各種機密），如此大量只發生在短短兩個月內。此一情形，很有可能就是現在將Push Protection改為預設啟用的原因。

此外，前幾年美國白宮邀科技大廠解決開源安全問題時，改用記憶體安全程式語言，就是十大重點工作之一，最近美國白宮更是發布相關報告，親自呼籲科技界主動減少網路攻擊面，不要使用缺乏記憶體安全相關功能的C和C++。這樣的態勢值得臺灣政府及所有IT資訊產業關注，畢竟要打造可信賴的供應鏈生態體系，軟體開發安全亦是關鍵，尤其是各種可濫用的軟體漏洞中，記憶體安全漏洞佔了絕大多數，因此是所有程式開發相關都要設法克服的挑戰。

最後是大型語言模型（LLM）當紅，如今面對提示詞注入、模型拒絕服務，以及敏感資訊洩漏這三種模型攻擊，如何設法應對成挑戰，最近開始有資安業者發表可應對這些威脅的網頁應用防火牆（WAF），Cloudflare指出，其作用可阻擋有問題的請求輸入模型，並具備敏感資料偵測能力，可用於阻止在回應中洩漏機密資料，另一方面，也可阻止使用者將資料傳送到公用LLM。

【3月4日】駭客組織Savvy Seahorse從事投資詐騙攻擊並濫用DNS CNAME紀錄鎖定目標

投資詐騙的攻擊行動可說是相當氾濫，而過往研究人員察覺的資安事故當中，多半是涉及駭客如何引誘使用者上當，但最近有新型態的攻擊手法出現。

已經暗中進行超過2年的駭客組織Savvy Seahorse攻擊行動，就是這種例子，對方濫用網域名稱服務（DNS）的CNAME紀錄打造惡意流量分配系統（Traffic Distribution System，TDS），而能精確鎖定目標下手。

【3月5日】中國駭客組織Earth Lusca在臺灣總統大選前夕對關心臺海局勢的人士發動網路釣魚攻擊

上個月有資安業者Trellix揭露針對臺灣總統大選而來的網路攻擊行動，並指出攻擊行動在投票日前24個小時達到高峰，駭客的目的是收集特定候選人情資。而針對這場選舉而來的網路攻擊不僅止於此，最近有研究人員公布與此有關的資安威脅活動。

趨勢科技近期公布中國駭客組織Earth Lusca的網路釣魚攻擊，巧合的是，這起事故發生在選舉前2天，駭客疑似透過地緣政治議題來引誘使用者上鉤。

【3月6日】國家級駭客跟進利用ScreenConnect漏洞並用來散布惡意程式

2月下旬公布的ScreenConnect漏洞CVE-2024-1709、CVE-2023-1708，不久後就傳出遭到利用，而且利用這些漏洞的主要是勒索軟體駭客組織，最初被發現的是甫被執法單位圍剿基礎設施的LockBit，但隨後也傳出Black Basta、Bl00y兩個組織將漏洞用於攻擊行動。

但現在也有國家級駭客加入行列，將這項漏洞用於散布惡意軟體。Kroll旗下的威脅情報團隊發現，北韓駭客組織Kimsuky將其用於散布新的後門程式。

【3月7日】Meta旗下社群網站服務出現中斷，有3個駭客組織聲稱是他們所為

日前科技巨頭Meta旗下的社群網站臉書、Instagram、Threads同時傳出無預警大當機的情況，引起全球各界關注，但Meta始終並未說明如何發生，而這樣的情況，可能讓駭客有機可乘，假借這類事故拉擡自己的聲勢。

資安業者Cyberint發現，有3個從事DDoS攻擊的駭客組織表示是他們造成這起大當機事故，但研究人員目前尚未找到相關證據。

【3月8日】Linux惡意軟體攻擊鎖定DevOps常用的4種平臺

我們之前報導過針對雲端運算環境從事挖礦行為的攻擊行動，駭客通常運用這類環境常見的應用系統而來，利用配置不當或是尚未修補的已知漏洞入侵這些伺服器。

值得留意的是，駭客對於Docker、Hadoop、Redis，或是Confluence伺服器發動攻擊的情況，不時傳出有關事故，但在最近一起資安事故當中，駭客同時鎖定上述4種環境下手。