【資安週報】2024年6月24日到6月28日

在這一星期的資安新聞中，有兩起資安事件引發關注，國內有華碩電腦發布資安重訊，說明因資訊系統的參數設定不當，使該公司產品資料發生不慎曝光的情況；國外則是勒索軟體LockBit聲稱入侵美國聯準會，不過，根據駭客目前釋出的資料，有資安業者指出這批資料實際應來自一家美國金融機構。

在資安威脅態勢上，中國駭客組織RedJuliett近期鎖定我國75個企業組織攻擊的消息，令人擔憂。資安業者Recorded Future指出，該組織主要從事情報蒐集行動，在去年11月至今年4月間，這群駭客針對的目標包括：臺灣的科技產業、外交機構，還有8所大學、11個政府機關，以及媒體、慈善機構、NGO等社會運動團體。該組織使用哪些攻擊手法？包含：以devilzShell、AntSword等開源Web Shell從事後期行動，以及利用SoftEther VPN存取目標基礎設施。

在其他威脅態勢上，我們認為有5個消息值得留意，包含軟體供應鏈攻擊、後門程式部署，以及勒索軟體與殭屍網路的最新動向，我們整理如下：
●前端開發人員注意！知名的Polyfill程式庫polyfill.io在今年2月賣給一家中國CDN業者後，有資安業者發現新版本已被嵌入惡意程式，需儘速移除。
●網站管理者請提高警覺！須留心駭客組織Boolka隨機對全球網站發動SQL注入攻擊的情形，目的是針對瀏覽這些網站的使用者電腦，植入木馬程式Bmanger。
●有資安業者揭露亞洲一國的多家電信業者遭植入後門，並說明該攻擊活動使用的工具與多個中國駭客組織有關，並表示這樁攻擊最早可追溯至2021年。
●今年新竄起的勒索軟體RansomHub，最近有研究人員指出該組織不只針對Windows、Linux電腦下手，也鎖定VMware ESXi虛擬化環境攻擊。
●對於去年7月興起的殭屍網路P2PInfect，最近研究人員發現駭客針對綁架電腦的病毒，增加勒索軟體功能。

在漏洞消息方面，這星期有3個已知漏洞被美國CISA列入已知漏洞利用清單，分別是2020年Roundcube Webmail修補的漏洞（CVE-2020-13965），以及2022年Linux Kernel修補的漏洞（CVE-2022-2586），GeoSolutionsGroup修補JAI-EXT的漏洞（CVE-2022-24816），需要限時確認修補。

其中的CVE-2022-24816漏洞不容小覷，因為它影響發布地理空間資訊的GeoServer開源專案，並顯示目前正被積極利用，這讓我們聯想到資安業者中芯數據今年5月示警，當時指出我國GIS系統與相關單位遭中國駭客組織攻擊，該公司研判攻擊目的是不斷試圖情搜本國地理資訊。雖然上述兩件事不一定彼此相關，但也突顯地理資訊系統已成為駭客攻擊的目標。

還有Phoenix UEFI韌體存在高風險漏洞（CVE-2024-0762）的消息，登上iThome網站當週最多瀏覽資安新聞之一。由於收到通知的Phoenix已在4月釋出緩解措施，5月中旬漏洞正式對外公布，如今研究人員則是進一步公布漏洞細節，並提醒用戶注意筆電廠商發布的韌體更新消息。

其他也可留意的漏洞修補動向，包括：Progress針對MOVEit產品線的修補、西門子針對工業控制系統SICAM產品線的修補，以及Zyxel Networks針對已終止支援的NAS產品，破例修補重大漏洞。

【6月24日】北美汽車經銷商軟體服務業者CDK Global遭攻擊而停擺，傳出是勒索軟體BlackSuit所為

上週北美汽車經銷商軟體服務業者CDK Global因網路攻擊而導致相關服務停擺的情況，多家汽車經銷商隨之業務受到影響，客戶被迫向其他經銷商購車而造成營業損失，如今出現新的進展。

根據多家媒體報導，攻擊者的身分疑為勒索軟體駭客組織BlackSuit，而且，這些駭客還假冒CDK Global客服打給汽車經銷商，使得情況更加嚴重。

【6月25日】中國駭客組織RedJuliett近半年鎖定臺灣高科技產業、外交經濟、社會運動團體從事網路間諜攻擊

中國駭客鎖定今年臺灣總統大選的網路攻擊，已有數家資安業者公布他們觀察到的攻擊行動，但最近研究人員揭露的最新發現，攻擊者從事相關活動的期間，從去年11月到今年4月，也就是自總統選舉的2個月前，到新任總統即將上任前夕，時間接近半年。

值得留意的是，這些駭客不僅針對外交經濟和社會運動團體而來，也鎖定高科技產業，企圖偷取相關機密。

【6月26日】惡意軟體沙箱服務業者Any.Run遭到網釣攻擊，所有員工收到內部人員寄來的釣魚信

身為資安業者卻遭到駭客入侵的情況，最近傳出新的資安事故。例如，有許多研究人員使用的雲端惡意軟體沙箱Any.Run，其服務供應商傳出遭到網路攻擊，公司所有的員工都收到來自內部人士寄送的釣魚郵件。

這起事故可追溯到一個月前有員工上當，雖然他嘗試利用沙箱環境檢查惡意連結，但並未做好相關設定，且依照對方指示提供自己的帳號密碼，導致帳號遭到對方挾持。

【6月27日】舊版瀏覽器網站相容套件Polyfill.io被中國公司買下，驚傳被植入惡意程式碼，恐影響逾10萬網站

鎖定網站而來的供應鏈攻擊頻傳，在昨天我們報導有人對上架到WordPress.org市集的外掛程式植入惡意程式碼後，有另一款熱門的網站程式庫Polyfill.io，也傳出更換經營團隊後，被植入惡意內容。

值得留意的是，這個程式庫在輾轉交給中國一家內容傳遞網路（CDN）業者經營後，該業者就開始隨意竄改回傳用戶端的檔案，使得研究人員呼籲網站管理者應儘速移除，並尋求替代方案。

【6月28日】前幾天Polyfill.io供應鏈攻擊事件曝光震撼整個IT界，後續傳出中國CDN業者另起爐灶，再度對10萬網站下手

知名的網站功能相容性程式庫polyfill.io本週傳出供應鏈攻擊，研究人員提出警告，他們發現程式碼在中國CDN業者今年初接手後，就開始植入惡意程式，由於採用這款程式庫的網站眾多，且不乏許多知名企業組織與政府單位，所以，這起供應鏈攻擊引發軟體開發與資安領域的密集關注，如今出現新的進展。

有研究人員發現，在Namecheap註銷polyfill.io之後，經營者透過新的polyfill[.]com提供服務，並聲稱相關服務透過Cloudflare快取未含供應鏈風險。