【資安週報】2024年7月8日到7月12日

在7月第2個星期，適逢多家廠商釋出每月例行安全更新，包含微軟、SAP、Adobe、西門子、施耐德電機，Citrix、VMware也在這段期間發布漏洞修補公告，需要大家關注與儘快修補，而漏洞已遭利用的消息更需密切關注。

（一）微軟修補4個零時差漏洞，有2個已遭駭客利用，包括：MSHTML平臺漏洞CVE-2024-38112，以及Hyper-V漏洞CVE-2024-38080。另兩個漏洞則是已被公開。
（二）Rejetto檔案伺服器系統HTTP File Server（HFS）在5月底修補的漏洞CVE-2024-23692，近期已有一些資安業者示警，發現有駭客鎖定並用於攻擊行動。
（三）文件轉換程式庫Ghostscript在5月初修補的RCE漏洞CVE-2024-29510，該漏洞CVE編號於7月初公開，並有研究人員公布相關細節，同時警告該漏洞已被用於實際攻擊行動。

還有一個名為Blast RADIUS（CVE-2024-3596）的漏洞揭露要留意，微軟、Cloudflare及加州大學聖地牙哥分校的研究人員認為，設備廠商與標準組織IETF都應汰除RADIUS over UDP，考慮使用更安全的傳輸技術，或翻新此協定的設計。

在資安威脅焦點方面，有2則新聞我們認為值得優先關注，一是多國網路安全機構聯手針對中國駭客組織APT40的攻擊行動提出警告，同時揭露了鎖定澳洲發動攻擊的2起案例，供外界了解該組織的作案手法；一是資安業者揭露中國駭客組織SneakyChef的最新攻擊行動，指出該組織從2023年8月開始針對歐洲、中東、非洲、亞洲，散布名為SugarGh0st的惡意程式，並常利用政府機關掃描文件作誘餌。

商業電子郵件（BEC）詐騙的威脅仍不容輕忽，本星期有兩則這方面的新聞，首先，臺灣近期有崴寶精密科技與其客戶遭BEC詐騙，其客戶依指示將3000萬元款項匯至另一個不屬於崴寶精密科技的帳戶，所幸及時發現，特別的是，這是國內上市櫃企業資安重訊發布，首次有企業主動揭露遭遇BEC詐騙；另一起事件是與惡意軟體沙箱服務業者有關，他們揭露自身遭遇網釣與BEC詐騙活動，並進一步指出郵件備份應用程式PerfectData有郵件外洩的問題。

在資安事件方面，有3起與國內上市櫃公司有關，有2起是國際間資料外洩的消息，包括：

●上市公司東元電機說明發生網路資安事件
●上市公司宅配通說明部份資訊系統遭受駭客網路攻擊
●上櫃公司聖暉系統工程代子公司公告，揭露聖暉系統集成集團發生資安事件。
●駭客論壇流傳一份近100億帳號密碼的「rockyou2024.txt」檔案，較2021曝光的版本多出15億組資料。
●網路犯罪論壇傳出有人公布Nokia的7千多名員工個資，以及微軟的2千多名員工個資，並宣稱這些資料來自兩家公司的第三方合作夥伴。

值得注意的是，上述發布資安重訊的東元電機、宅配通，均屬於東元集團，他們在證交所發布資安公告之後，後續在網路論壇有人討論東元電機的空調及家電產品服務，似乎也受到資安事故的影響而停擺，例如，有網友在PTT上指出，東元冷氣報修的安欣科技服務網站在遭駭前就連不上，領料系統也有狀況，在TECO東元家電的臉書粉絲專頁上，也有網友詢問服務連不上的狀況，小編則回應官網維修中。由於安欣科技也隸屬於東元集團，TECO東元家電也是其事業部之一，這樣的狀況也不禁令人產生更多聯想。

此外，先前其他國家發生的重大資安事件，最近有更多後續消息。包括：今年3月富士通揭露IT系統遭入侵，如今調查結果出爐，說明發現一個進階偽裝技術的蠕蟲程式，從一臺公司電腦進而感染49臺電腦，並研判部分客戶姓名和公司資訊外洩，已通知受影響客戶；今年5月美國最大售票平臺Ticketmaster遭駭，近期傳出駭客為了提高勒索該公司的贖金，不僅公開17萬張Taylor Swift演唱會的行動門票條碼，還有Ticketfast服務的門票條碼檔案連結。

【7月8日】勒索軟體Eldorado同時鎖定Windows與Linux電腦、虛擬化平臺VMware ESXi發動攻擊

最近1年新興的勒索軟體駭客組織不斷出現，但大部分採用已被外洩的LockBit、Babuk開發工具或是程式碼，加以修改就用於攻擊行動，但現在資安業者Group-IB揭露的Eldorado相當不同，對方是自行從頭打造惡意程式，使得他們的惡意軟體不像其他的勒索軟體容易推測其運作特徵，而難以防範。

【7月9日】留意BEC詐騙攻擊，惡意軟體沙箱服務業者遭網釣攻擊後，查出郵件備份程式PerfectData恐洩漏電子郵件

電子郵件是企業日常運作中不可或缺的溝通工具，然而電子郵件也持續是駭客和網路犯罪分子的主要攻擊目標之一，最近惡意軟體沙箱服務業者Any.Run不僅揭露自身遭網釣攻擊，有員工帳戶被洩露並遭遇BEC詐騙活動，同時他們另也強調，問題出在電子郵件備份應用程式PerfectData，已導致多起郵件外洩事故。

特別的是，還有一起事件發生在國內，崴寶精密科技公司與其客戶遭遇BEC詐騙，同樣顯現電子郵件中的交易內容資訊被掌握，以及冒其名義寄送變更匯款通知信的危害。

【7月10日】微軟發布本月例行更新，修補超過140個漏洞，其中包含4個零時差漏洞引起關注

昨（7月9日）有許多軟體業者發布每月例行更新及相關資安公告，其中微軟這次的公告內容相當值得留意，因為他們一口氣緩解143個漏洞，這樣的修補規模，已超過5月、6月兩個月的總和。

值得留意的是，本次有4個零時差漏洞，其中有2個已被用於攻擊而受到關注。但資安業者Rapid7、漏洞懸賞專案Zero Day Initiative認為，遠端桌面連線授權服務、圖像編碼器、SharePoint的重大漏洞也必須優先處理。

【7月11日】富士通公布今年3月發生駭客入侵事故調查結果，證實近50臺電腦感染蠕蟲程式，並有資料外洩跡象

本日最受到關注的消息，應該就屬日本資通大廠富士通公布今年3月資安事故最新發現，他們指出對方使用的作案工具具備高深的偽裝技術，且具備蠕蟲特性進行橫向感染。

這次的調查結果也證實當初懷疑資料外流的情況，他們發現駭客利用惡意程式進行複製，有部分客戶及公司資訊流出。但究竟有多少人受到影響，該公司並未說明。

【7月12日】研究人員揭露鎖定巴黎奧運購票民眾的詐欺駭客組織Ticket Heist，並警告接下來的歐洲盃足球賽也被鎖定

針對即將到來的巴黎奧運，有研究人員發現，駭客鎖定想要親臨現場觀賞比賽的民眾下手，架設冒牌購票網站行騙。他們指出，這些冒牌網站佈置極為完整，使用者若非察覺網站有少量因翻譯造成的拼寫錯誤，很難察覺有異。

比較特別的是，這些駭客為增加騙得的金錢，冒牌網站的票價竟是正牌的3倍起跳。但是否有其他誘因能說服買家下單？研究人員推測，對方這樣做的目的，很有可能是讓消費者誤以為支付較高金額能得到較佳的待遇，或是因正牌網站銷售一空票價被哄抬。