【資安週報】2024年5月27日到5月31日

這一星期有4個漏洞利用狀況需特別關注，其中有3個是零時差漏洞利用，包括包括Check Point修補旗下Quantum Security Gateway的CVE-2024-24919，以及Google修補5月第四個已遭利用的Chrome漏洞CVE-2024-5274，還有一個較為特別，是JAVS法庭錄影軟體被揭露遭遇供應鏈攻擊，隨後該產品的漏洞CVE-2024-4978也被美CISA列入已知漏洞利用清單。

此外，另一個今年初已修補的Linux Kernel漏洞CVE-2024-1086，美CISA最近也確認出現遭鎖定利用的情形。

其他重要漏洞修補消息，包括Mozilla基金會修補Firefox中PDF檢視元件（PDF.js）的漏洞，TP-Link修補C5400X路由器重大層級漏洞，近期還有9個WordPress外掛程式的漏洞修補要注意，新加坡網路安全局特別對此提出警告。

在資安事件焦點方面，國內外各有兩則重要消息，均與個資外洩有關，我們整理如下：
●臺灣電腦硬體製造商「Cooler Master」傳出50萬會員個資外洩的消息，有駭客向國外媒體聲稱竊得該公司103 GB的內部資料。
●台名保險經紀人公司發布重大訊息，公布遭遇供應鏈攻擊及資料竊取的資安事件，導致發生個資外洩。
●美國售票平臺Ticketmaster遭駭客入侵，5.6億客戶資料流入暗網，駭客集團Shiny Hunters宣稱是他們所為。
●英國精品拍賣業者佳士得（Christie's）遭勒索軟體駭客組織RansomHub攻擊，50萬筆客戶個資可能外流。

以臺灣本身這一星期的資安事件而言，我們還發現關於Hunters International勒索軟體攻擊臺灣企業的情資，與國內上市電子零組件業佳必琪（JPC Connectivity）有關，攻擊者在5月下旬聲稱取得439.5 GB資料，但該公司至今尚未回應我們的詢問，因此仍有待該公司說明。

在威脅態勢上，我們認為2項消息需要特別重視，包括鎖定政府的網路間諜攻擊，鎖定網路設備的殭屍網路攻擊。
●中國APT駭客TGR-STA-0043這一年半鎖定中東、非洲、亞洲政府組織下手被資安業者Palo Alto Networks揭露，至少7個政府單位被長期滲透，其後門程式包括用Gh0st RAT打造的TunnelSpecter、SweetSpecter。
●殭屍網路CatDDoS鎖定思科、D-Link、居易、華為、瑞昱、Totolink、TP-Link、中興、Zyxel等多家網路設備商，中國資安業者奇安信警告，攻擊者除了利用80多個已知漏洞，並推測可能有零時差漏洞。

其他可留意的威脅活動，包括：身分驗證解決方案業者Okta針對帳號填充攻擊提出警告，以及Chalubo遠端存取木馬攻擊活動的揭露，造成一家美國ISP業者提供的路由器在去年被攻擊而無法使用，逾60萬裝置受影響。

至於防護態勢方面，國內有一個重要新聞，近日臺灣證券交易所針對資安重訊發布規範有新調整，在5月24日已放寬「重大性標準」，擴大揭露範圍，對於上市公司而言，現在遭駭後，不論是否涉及核心、機密都要發布重訊。

還有一個國內企業可省思的議題，是關於郵件社交工程演練，Google專家近期撰文指出，這類演練的負面效果可能多過好處，而且實施多年來，會上當的人仍然持續上當。因此他們認為，教育員工辨識與主動回報更重要，而演練也應預先公告，如防災演練一般，而不是突襲測試，如此的長期效果可能會更好。

【5月27日】中東、非洲、亞洲政府機關遭中國駭客長期從事網路間諜攻擊行動並散布後門程式

近期中國駭客發起的攻擊行動接連傳出，上週末才有駭客組織APT41利用惡意程式KeyPlug攻擊義大利企業組織的消息，本週有資安業者揭露另一駭客組織從事的網路間諜行動。

值得留意的是，這些駭客專門針對Exchange伺服器下手，對其植入後門程式，企圖從中搜刮機密資料，而他們利用的漏洞，就是3年前公布的ProxyLogon、ProxyShell。

【5月28日】Check Point針對啟用VPN服務防火牆的用戶提出警告，有人企圖透過電腦本機舊帳號入侵

上個月思科對於大規模鎖定VPN系統的攻擊行動提出警告，並指出攻擊者的目標涵蓋多個廠牌的VPN系統，這樣的情況，如今也有資安業者提出警告，他們旗下的資安系統也面臨相關的攻擊。

本週資安業者Check Point針對客戶提出警告，並指出對方意圖用於存取VPN系統的方式，是只需通過密碼驗證的本機帳號。

【5月29日】精品拍賣業者佳士得遭到勒索軟體駭客組織RansomHub攻擊，50萬筆客戶個資可能外流

針對藝術界的服務廠商發動攻擊的資安事故，最近幾年陸續傳出，而本月發生一起攻擊事件，是針對精品拍賣業者佳士得（Christie）而來。

值得留意的是，這起事件之所以被發現，最初是因為用戶察覺該公司部分網站無法運作，當時該公司僅表示其中一場拍賣會被迫延後，但並未透露更多細節，如今有駭客組織聲稱犯案，他們才坦承客戶個資遭竊的情況。

【5月30日】鎖定Check Point VPN的攻擊行動出現新的發展，兩家資安業者透露對方利用零時差漏洞挖掘AD帳密資料

鎖定VPN服務進行大規模的帳號填充攻擊，先前有思科證實他們的用戶受害，本週一資安業者Check Point也對用戶提出警告，他們在數日前察覺相關攻擊行動並著手調查，並公布新的發現。

該公司表示，這起事故中駭客疑似利用零時差漏洞CVE-2024-24919；另一家資安業者Mnemonic發現，相關攻擊行動4月底就有跡象，當時對方已企圖嘗試利用這項漏洞。

【5月31日】歐洲刑警組織與十多個國家執法單位聯手，掃蕩數個用於散布惡意程式的殭屍網路

繼美國、新加坡、泰國、德國執法單位聯手，宣布拆毀專門綁架個人電腦的大型殭屍網路911 S5，有許多歐洲國家參與的另一個執法行動Operation Endgame，也傳出捷報，他們在本週成功破壞數個用於散布惡意程式的殭屍網路。

值得一提的是，這波執法掃蕩的惡意程式類型，是駭客用來向受害電腦傳遞其他作案工具的惡意程式載入工具（Dropper），帶來的後續效應值得觀察。