【資安週報】2024年6月3日到6月7日

這一星期的漏洞修補動向，以PHP程式語言修補CGI參數注入弱點CVE-2024-4577的RCE漏洞最受關注，所有Windows版本的PHP都存在這項漏洞，XAMPP也受影響。特別的是，這項弱點是由臺灣資安業者戴夫寇爾通報與揭露，以PHP搭配Apache HTTP Server的情境為例，當Windows作業系統執行正體中文、簡體中文或日文，攻擊者就有機會觸發上述漏洞，該公司資安研究人員Orange Tsai另也指出，誰會想到12年前已證明妥善修補的漏洞CVE-2012-1823，會因為Windows的一個小功能而被繞過。

其他重要漏洞消息，包括兆勤針對產品生命周期已經結束的NAS設備提供緊急更新；還有一個已知漏洞利用情形值得留意，是多年前Oracle WebLogic Server就修補的CVE-2017-3506，最近被美CISA列入已知漏洞利用清單。

在資安事件焦點方面，以國內而言，特別要注意的是，上市公司資安事件揭露範圍擴大，臺灣證券交易所在5月底有新規範，現在不論是否涉及核心、機密都要發布重訊，而6月初就有3起上市公司發布資安重訊。
●防詐公司Gogolook發布資安事件重訊，網站部分服務遭非法存取，雖然這次事件看似只涉及靜態網站服務遭非法存取，但該公司也依證交所新規範如實公布。
●記憶體大廠華邦電子發布重大訊息，說明合作廠商資訊系統遭不明人士入侵，導致華邦與該公司合作的相關資料疑似有部分資料外洩情形。
●老牌筆電廠藍天電腦傳出遭駭，勒索軟體駭客RansomHub聲稱竊得200 GB資料，該公司直到國外媒體曝光消息2日後才發布重大訊息，但僅說明資安單位偵測到網路傳輸異常，隨即啟動資安防禦及復原機制。

國際間也有多起重要事件，主要涉及醫療供應商、政府機關、礦業，以及ML應用代管平臺等不同層面，我們整理如下：

●英國倫敦多家醫院因服務供應商Synnovis遭網路攻擊而中斷部分服務，該國NCSC指出，這次事件是經濟動機的俄羅斯勒索軟體駭客組織Qilin所為。
●臺灣邦交國帛琉傳出遭遇網路攻擊，紐約時報報導指出遭竊資料涉及當地美國雷達部署、日本海軍造訪該國的成員名單，以及臺灣與帛琉關係的數百份文件，該國政府已證實2萬份政府文件遭竊，並指出此事是中國出於政治動機所謀劃。
●澳洲礦業公司Northern Minerals在澳洲證交所公布遭網路攻擊，勒索軟體「變臉」（BianLian）組織宣稱是他們所為，此事引起澳洲金融媒體關注，因為澳洲政府日前才要求中資減持Northern Minerals股份。
●南韓資安業者揭露北韓駭客組織Andariel近期攻擊行動目標，是當地教育機構、製造業、營造業，鎖定虛擬化平臺VMware Horizo​​n的Log4Shell漏洞下手，意圖散布後門程式Dora RAT。
●Hugging Face在5月底揭露發生秘密洩露事件，說明偵測到ML應用代管平臺Spaces有未經授權存取的活動，該公司呼籲用戶重設密碼或Token等登入憑證。

還有2項威脅態勢，我們認為值得重視，包括：多個中國駭客組織聯手發起網路間諜攻擊行動，以及駭客持續濫用生成式AI以發動輿論操弄的影響力行動（Influence Operations）。

（一）資安業者Sophos揭露最新研究報告指出，中國政府資助的多個駭客組織自2022年開始聯手，針對東南亞知名的政府機關，發動網路間諜攻擊行動Operation Crimson Palace，這些組織包括了Backdoor Diplomatic、REF5961、Worok、TA428，以及APT41旗下的團隊Earth Longzhi。

（二）OpenAI揭露最近3個月他們破壞了5個隱密操弄輿論的影響力行動，指出中俄等駭客組織試圖濫用GAI來達到操控輿論。這些攻擊行動主要針對烏克蘭戰爭、加薩衝突、印度選舉、歐美政治，以及異議人士對中國政府的批評等議題，並藉助OpenAI的語言模型來產生多種語言的簡短評論與長篇內容，為社交媒體編造姓名與簡介帳戶，以及進行開源研究、調校程式碼，還有翻譯與校對文字等。

在資安防禦態勢上，關於藉助AI來精進社交工程演練方面，我們注意到有國內企業提出新的方法：遠東新世紀在2024臺灣資安大會分享了他們在這方面的經驗，主要是善用AI提高演練和教育效率，例如，他們先是製作風險履歷、定義8種弱點特質，進而繪製成風險雷達圖，在實際社交工程演練上，他們也會設法盤點出高風險的郵件用戶，加上風險分析，並用AI來做到推播個人化的課程、輔助自動評分、給予考試內容輔導意見，甚至也打造釣魚郵件家教的應用來即時告知員工判斷要點。

【6月3日】美國證實Linux核心的網路元件Netfilter高風險漏洞已被用於攻擊行動

美國網路安全暨基礎設施安全局（CISA）上週發布資安公告，表示他們增列2個漏洞至已遭利用的漏洞目錄（KEV），這兩項漏洞分別是：Check Point安全閘道漏洞CVE-2024-24919、Linux核心元件漏洞CVE-2024-1086。

其中，CVE-2024-24919已有資安業者透露相關細節，但今年1月公布的CVE-2024-1086，目前尚未有研究人員或資安機構公布相關攻擊行動細節，後續的發展有待觀察。

【6月4日】帛琉政府資料流入暗網，指控是中國政府指使勒索軟體駭客組織所為

今年3月臺灣邦交國帛琉遭遇網路攻擊，導致數週後2萬份遭竊政府文件流入暗網，而這起事故直到昨日（6月3日）紐約時報報導，此事才曝光，並引起全球各界關注。

值得留意的是，雖然這起事故有勒索軟體駭客坦承犯行，聲稱目的是牟取經濟利益，但有帛琉官員表示，這些駭客並未對於贖金進行談判，認為如此說法顯然與事實不符。

【6月5日】針對烏克蘭政府恢復公營事業收費，俄羅斯駭客組織FlyingYeti策畫利用WinRAR漏洞的網釣攻擊

上週雲端服務業者Cloudflare公布由俄羅斯駭客組織FlyingYeti策畫的網釣攻擊行動，並指出對方架設架設冒牌公營事件網站，意圖在當地政府恢復收取、追討積欠公營事業費用的情況下，引誘烏克蘭民眾上當。

值得一提的是，這起攻擊行動駭客意圖濫用Cloudflare Workers與GitHub的服務隱匿行蹤，這兩家公司進行反制，讓對方難以繼續從事攻擊行動。

【6月6日】病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊導致倫敦醫院服務中斷，傳出是駭客組織Qilin所為

醫療院所及相關服務的供應商遭遇資安攻擊的情況，最近幾年越來越頻繁，一旦特定服務的供應商面臨攻擊，很有可能直接影響數家醫院的運作。

例如，病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊的事故，就是這樣的例子，導致英國倫敦兩家主要醫院的部分業務被迫中斷，病人必須轉院就醫的情況。

【6月7日】勒索軟體駭客RansomHub聲稱入侵老牌筆電製造廠藍天電腦，引起國際資安媒體高度關注

最近一個月勒索軟體駭客RansomHub犯下的資安事故頻頻，英國精品拍賣業者佳士得、美國醫療集團Change Healthcare皆傳出遭受攻擊而影響營運，而最近一起事故引起各界高度關注，駭客聲稱入侵臺灣老牌電腦製造商藍天電腦，並竊得200 GB內部資料。

值得留意的是，已有不少資安專家公布駭客提供的資料，但截至目前為止藍天電腦並未在重大訊息當中，對於資料遭竊做出說明，後續發展有待進一步觀察。