【資安週報】2024年6月17日到6月21日

在這一星期資安新聞中，在防禦動向上，臺灣有兩篇探討網路防詐作法的消息，一是富邦金公布他們成立偽冒案件應變小組，一是資安院首度發表AI打詐技術的應用。

畢竟，社群平臺的網路廣告機制與帳號時常成被詐騙或駭客組織濫用，儘管社群平臺表示有自動化過濾方式攔阻，但仍有相當多詐騙廣告成功刊登或透過假帳號散布，導致民眾只能憑藉自己的見識與經驗來判斷，只是這些詐騙以前就有，但現在詐騙更猖狂，臺灣企業與政府也不得不積極處理，要透過業者的通報機制進行事後下架。最近有兩則新聞，就是關於企業與政府的最新因應方式。

●假冒企業的網路詐騙不斷，是多數企業都面臨的問題，除了提醒用戶小心冒名詐騙，企業還能如何積極因應？富邦金在2024臺灣資安大會上提出他們的因應方式，目標是讓集團可以更系統化的機制，去下架偽冒網站和詐騙群組。他們特別制定處理準則，畫分3大步驟，包括定義案件樣態、成立應變小組、建立處理機制。而這半年來，他們已發現近300件偽冒案件，並也點出目前企業面對的防詐困境。

●最近資安院公布今年1月開始採用AI技術偵測詐騙廣告的成果與經驗，當中顯示AI偵測出詐騙的準確率可達93%，並發現有97％詐騙廣告只刊登兩天就結束，以及現在詐騙經常用「不是詐騙」或「追回詐騙」來再次誤導民眾。數位部強調，要能有效防詐須建立詐騙防治生態系，不論是在聯防、情資交換格式、應變流程、通報平臺上都要有所搭配，並表示已在規畫政府提供的「打詐通報查詢網」。

在資安威脅態勢上，有2則新聞我們認為值得關注，一是網釣簡訊攻擊持續轉向全球不同國家的態勢，一是部分零時差漏洞利用攻擊已悄悄進行多年、最近才被發現的現況，並且都與中國駭客組織有關。

（一）國際大規模網釣簡訊攻擊行動的揭露，同樣值得我們注意。這是資安業者Resecurity的警告，他們指出，去年中國駭客組織發動Smishing Triad攻擊行動，已經針對美國、歐洲、阿拉伯聯合大公國下手，最近發現攻擊轉向巴基斯坦，以假冒巴基斯坦郵政局的名義，藉由iMessage或是簡訊，向電信業者的用戶發送惡意訊息，目的是竊取民眾的個資與財務資料。

（二）資安業者Mandiant揭露這一兩年有多個已知漏洞被利用，其實是中國駭客組織UNC3886早在2021年就利用的零時差漏洞，但先前並沒有被發現，這些漏洞包括，VMware vCenter的漏洞（CVE-2023-34048，CVE-2022-22948）、FortiOS的漏洞（CVE-2022-41328）、Mware Tools的漏洞（CVE-2023-20867）。這代表對方恐早已滲透並潛伏，因此，Mandiant提供了入侵指標（IOC）供企業識別惡意活動。

其他重要威脅態勢包括：有研究人員揭露針對機器學習模型而來的攻擊手法Sleepy Pickle，以及有駭客組織鎖定簡體中文用戶並假借提供VPN等翻牆工具，目的是在使用者電腦植入後門程式Winos 4.0。

在資安事件焦點方面，國內外發生多起網路攻擊事件，涵蓋網釣攻擊、勒索軟體、資料外洩等，我們整理如下：

●駭客鎖定曾介紹群暉產品的臉書粉絲專頁，並假冒群暉公司名義針對這些粉專管理者，發出侵害智財權的釣魚信，誘使粉專管理者開啟附件內的惡意軟體。
●國內老牌製藥公司永信藥品工業遭駭客攻擊，雖然該公司仍只是公開發行公司，但也發布重訊揭露這起資安事件。
●日本影音共享平臺Niconico、角川書店資料中心遭勒索軟體攻擊，導致服務中斷近一週。
●晶片大廠AMD傳出機密資料疑似外洩，有駭客在論壇兜售該公司的產品研發資料、客戶資料及員工資訊，並提供部分檔案的螢幕擷圖作為佐證。
●提供汽車經銷管理SaaS服務的CDK Global傳遭勒索軟體攻擊，該公司先暫時關閉全部系統，已引起經銷商抱怨買車客戶轉向其他汽車經銷商。

在漏洞消息方面，近期沒有新的漏洞利用被揭露，主要是針對已知被利用的情況示警，像是有資安業者公布一起資安事故調查案例，發現攻擊者是運用企業棄用的負載平衡設備入侵，由於該設備未補漏洞且暴露在外網，突顯企業設備與漏洞管理上的疏失。

至於最新漏洞修補動向上，要注意的包括：華碩公布路由器重大身分驗證繞過漏洞，7款機型受到影響，以及VMware修補vCenter Server的遠端執行漏洞。

還有研究人員特別警告，上星期微軟修補Windows內建Wi-Fi驅動程式的高風險漏洞（CVE-2024-30078），特別危險，可能與無線封包處理不當有關，只要攻擊者連上目標設備所在的Wi-Fi網路，就可針對同網路下的設備發動攻擊，且所有Windows版本都受影響。

【6月17日】日本影音共享平臺Niconico、角川書店傳出服務中斷近一週，起因是資料中心遭勒索軟體攻擊

本月上旬日本知名的影片共享平臺Niconico證實出現服務異常的情況，引起外界關注，然而隨著這起事故的發展，母公司角川集團表示，不光是Niconico，旗下也有其他網站停止運作。

但值得留意的是，事隔一週，他們終於承認這是一起勒索軟體攻擊，不過，究竟是那個勒索軟體駭客組織所為，該集團表示，由於這起事故尚在調查，不便公布相關細節。

【6月18日】未補漏洞且暴露在外網的舊款F5 BIG-IP設備成駭客入侵企業內部環境的破口，中國駭客潛入竊密長達3年

企業部署但最終並未正式採用、而遺留在網路環境的IT系統，很有可能會遭到攻擊者濫用。

最近資安業者Sygnia揭露的一起事故，就是這樣的例子，駭客維持於受害企業活動的管道，就是該公司曾打算建置的災難復原系統當中，所使用的F5 BIG-IP設備。而這些設備不僅直接曝露在網際網路上，還執行存在弱點的作業系統，而讓對方有利用的機會。

【6月19日】初始入侵管道掮客IntelBroker聲稱握有晶片大廠AMD內部機密資料，該公司表示將著手調查

晶片大廠遭駭的情況，最近幾年已有數起，例如：2020年Intel傳出遭駭，20 GB的晶片、韌體、開發工具及程式碼等機密資訊外流；2022年Nvidia遭到駭客組織Lapsus$入侵，偷走1 TB內部資料。如今，有駭客組織聲稱取得AMD內部檔案引起關注。

值得留意的是，聲稱握有這批資料的駭客組織，是惡名昭彰的初始入侵管道掮客IntelBroker，在一個月前，這些駭客宣稱手上握有多個組織與公司的的內部資料，例如，歐洲刑警組織（Europol）、五角大厦、 英國家具裝修零售業者Home Depot。

【6月20日】中國駭客UNC3886利用多項防火牆及虛擬化平臺的零時差漏洞隱匿行蹤，並部署後門程式持續存取網路環境

利用尚未公布的零時差漏洞發動攻擊的情況，近期有數則消息揭露，例如：中國駭客利用CVE-2022-42475入侵FortiGate防火牆，並部署難以清除的惡意程式；勒索軟體駭客組織Cardinal於微軟修補CVE-2024-26169的3個月前，就將其用於攻擊行動，但如今中國駭客組織UNC3886，他們一口氣運用4個防火牆、虛擬化平臺的漏洞，以便長時間於受害組織活動。

【6月21日】駭客組織Void Arachne藉由提供中國用戶翻牆工具、Deepfake人工智慧工具散布惡意程式

利用惡意廣告宣稱提供實用的應用程式，藉此來散布惡意軟體的情況，不時有事故傳出，但最近一起惡意軟體攻擊行動相當特別，因為這些駭客也同時利用Telegram頻道來進行。

比較特別的是，由於透過即時通訊軟體的頻道來從事攻擊行動，這些駭客不只散布常見的應用程式，還散布能用於犯罪的Deepfake脫衣軟體，以及變臉、變聲工具。