【資安週報】2024年3月25日到3月29日

在這一星期有多個已知漏洞出現首度遭利用的消息，其中1個是短短一週前才修補，就發現被利用於攻擊行動，因此特別受關注，那就是Fortinet端點管理伺服器FortiClient EMS的漏洞CVE-2023-48788。

其他近期確認遭鎖定利用的已知漏洞，還包括：微軟SharePoint Server的漏洞（CVE-2023-24955），Ivanti EPM CSA的漏洞（CVE-2021-44529），以及門禁解決方案Nice Linear eMerge E3-Series OS的漏洞（CVE-2019-7256）。後兩項本期資安日報尚未提及，一併補上。

另補充周末一則最新消息是關於XZ Utils資料壓縮程式遭植入後門，紅帽已指派漏洞CVE-2024-3094，由於此事件涉及SSHD（Secure Shell Daemon）供應鏈攻擊，正受廣泛關注。

關於零時差漏洞攻擊的最新態勢，持續受大眾關注，隨著2023年過去，最近Google公布這方面的年度報告，我們認為，有3個現象值得大家關注：（一）針對第三方元件攻擊顯著增加；（二）針對企業裝置、資安產品攻擊，比往年增長近5成，（三）中國政府支持駭客組織發動的攻擊大增，去年利用了12個零時差漏洞發動攻擊。

此外，關於上述提到中國駭客組織的危害，最近另一起資安新聞也提到這方面的狀況。最近美國方面有新的消息，該國司法部起訴7名參與APT31的中國公民，其財政部也宣布制裁武漢曉睿智科技（Wuhan XRZ），已確認這是一家幌子公司，背後是負責APT 31行動的中國湖北省國家安全局設立。在此同時，還有多國網路安全機構與執法單位，出面指控近年遭到中國政府支持駭客組織的攻擊，包括英國、芬蘭、紐西蘭與澳洲等。

在最近的資安威脅態勢上，殭屍網路TheMoon的攻擊活動，是本星期的一大焦點事件。這是因為，雖然它的攻擊目標都是挾持生命週期終止（EOL）的家用及小型辦公室（SOHO）路由器、物聯網設備，但最近短短72小時內，竟有超過6千臺華碩路由器被攻佔。

在其他威脅態勢方面，有勒索軟體與網釣工具的揭露，值得企業與資安研究人員重視，還有一些攻擊技術與資安風險的揭露，雖然存在於不同領域，但可能的危害情境貼近於生活日常，引發許多人的好奇與重視，我們整理如下：

●勒索軟體Agenda的攻擊在去年底顯著增加，如今更是發現，攻擊活動中會利用嵌入勒索軟體檔案的PowerShell指令碼，對VMware ESXi、vCenter進行橫向感染，竄改ESXi主機root密碼。

●網路犯罪領域有新的攻擊工具出現，被不同資安業者揭露，例如，半年多前現身的Tycoon 2FA的AiTM網釣攻擊套件，最近有被廣泛使用的情形；還有網路釣魚套件工具包Darcula，是針對手機用戶而來。

●飯店業者注意！全球數百萬間的飯店房門能被一張複製的偽造鑰匙卡破解，有資安研究人員發現，經常被應用在飯店與住宅大樓Saflok系統的RFID電子鎖產品有漏洞（Unsaflok），由於門鎖更新或更換耗時，五個月來進度僅完成36%。

●Google搜尋引擎近期加入SGE功能，將生成式AI融入搜尋結果，但有人發現給出的結果中，會推薦垃圾網站及惡意網站，推測可能是SEO中毒攻擊造成。

●資安部落格KrebsonSecurity指出最近出現針對蘋果用戶的「MFA轟炸」攻擊，這種釣魚攻擊，涉及一個看似蘋果密碼重置功能的漏洞。雖然近期資安日報尚未報導這方面消息，但已引發不小的討論與關注。

另外，防禦態勢上，這星期有兩項新進展，成為資安圈與開發圈的焦點。例如，上星期Pwn2Own漏洞挖掘大賽舉行，參賽的資安研究人員在8個競賽類別總計找出29個零時差漏洞，除了研究人員共獲得113萬美元的獎勵，提供產品的廠商後續也將針對這些漏洞予以修補，目前Firefox、Google以針對各自不同的2個漏洞進行修補。

另一是美國CISA發布第4則Secure by Design Alert，強調SQL注入漏洞不該一再發生，他們並以去年駭客利用MOVEit Transfer漏洞大舉入侵為例，呼籲開發人員、軟體製造商在出廠前務必審查程式碼是否含有SQL注入漏洞。

【3月25日】俄羅斯駭客APT29鎖定德國政黨散布惡意程式WineLoader

近期俄羅斯駭客APT29的動作頻頻，多國政府與資安專家接連對其攻擊行動提出警告，呼籲各界強化防禦措施，以防對方從事網路間諜活動、竊取組織內部機密的情況。

但近期有一起攻擊衝著德國政黨而來，揭露此事的資安業者Mandiant認為對方別有目的，很有可能是為了影響該國政治情勢。

【3月26日】Google搜尋提供的AI建議竟列出詐騙網站和惡意網站

去年5月Google在I/O大會宣布啟動搜尋引擎的生成式搜尋體驗（Search Generative Experience，SGE）專案，今年初開放部分用戶使用，可在完成搜尋後一併得到生成式AI的建議，然而，有專家發現，SGE竟會提供垃圾網站及惡意網站作為參考資料。

對此，有研究人員進行調查，並指出可能是遭遇SEO中毒所致。

【3月27日】AiTM網釣攻擊工具包Tycoon 2FA針對微軟365、Google用戶而來

為了突破雙因素驗證（2FA）的防護機制，駭客採用中間人攻擊（AiTM）網釣攻擊套件的情況相當氾濫，最近出現新型態的工具包Tycoon 2FA，在短短半年內，已有駭客採行而濫用超過1千個網域，引起研究人員關注。

值得留意的是，這個套件採用多階段攻擊流程，其產生的釣魚郵件不僅具有URL，也有出現QR Code的情況，這代表行動裝置用戶也可能是對方攻擊的目標。

【3月28日】殭屍網路TheMoon挾持4萬臺SOHO路由器、物聯網裝置供網路罪犯藏匿蹤跡

駭客鎖定路由器、物聯網裝置等小型辦公室（SOHO）及家用網路設備發動攻擊，控制後將其組成殭屍網路，已有多起攻擊行動出現，但大多還是針對有受到支援的設備而來，如今有駭客專門針對已不再受到廠商支援的設備下手，暗中從事攻擊行動長達10年，直到最近才被發現。

值得留意的是，這些駭客挾持設備後，專門提供網路罪犯代理伺服器服務，甚至有其他殭屍網路的經營者也是他們的客戶。

【3月29日】研究人員揭露專門針對行動裝置的新型態網釣工具包Darcula

近期攻擊者大肆利用網路釣魚攻擊工具套件（Phishing Kit）的情況浮上檯面，繼本週有研究人員揭露專門挾持微軟365、Google帳號的套件Tycoon 2FA，鎖定行動裝置用戶的作案工具也相當值得留意。

有資安業者揭露名為Darcula的網釣攻擊套件，並指出與其他同樣針對行動裝置而來的工具最大的不同，就是採用全程加密的通訊方式，向攻擊目標傳送誘騙內容。