在這一期的資安月報中,國內上市櫃公司遭受網路攻擊的情形再成焦點,原因在於:臺灣證券交易所在5月底發布新的規範,要求上市公司發生資安事件,不論是否涉及核心、機密都要發布重訊,後續櫃買中心在7月8日也做出同樣修訂

這樣的變化,一方面將讓投資人更清楚知道企業遭遇的資安問題,一方面也讓國內整體遭受威脅的態勢可以更浮上檯面,而我們也預期,日後資安事件重大訊息的數量與頻率,很有可能大幅增加。

如今一個多月過去,是否資安重訊數量更為增加?根據我們統計:
●1月有3起:京鼎、恩德、伯文。
●2月有6起:美琪瑪、富野、瑩碩生技、建準、昶昕、中華電。
●3月有1起:華航(發現暗網販售會員資料,但研判為之前個資外洩情事。)
●4月有7起:佰研、富野、聯華、聯成、聯合再生、群光、長榮航。
●5月有1起:台名。

到了今年6月,我們資安日報報導的資安重訊發布新聞,共有7起,數量確實不少,再次達到今年單月最多,但也好在沒有暴增太多的情況,導致大家可能會感到資安警告疲乏。我們整理如下:

●6月有7起:
第一周(6月3日到6月7日)
-走著瞧(Gogolook)說明網路資安事件。
-華邦電子說明因合作廠商遭駭疑似資料外洩事件。
-藍天電腦在媒體報導疑似遭駭後,說明部份網路系統受駭客攻擊。
第二周(6月11日到6月14日)
-環球晶說明發生網路資安事件,之後又兩度重訊說明復工情形。
第三周(6月17日到6月21日)
-永信藥品說明公司部分資訊系統遭受駭客攻擊。
第四周(6月24日到6月28日)
-華碩說明發生資通安全事件。
-崴寶精密科技說明公司遭冒名通知客戶更改收款帳戶事件。

這樣的數量確實比之前更增加,但也有好處,隨著事件陸續被揭露出來,主管機關與外界將更容易掌握我國上市櫃遭受網路攻擊的狀況與態勢。對於企業而言,同樣可以更警覺到公司周遭最近遭遇的資安事故。

在此當中,我們也發現一些新的態勢,例如,首度有公開發行公司在發生資安事件後,利用公開資訊觀測站申報系統來揭露,也就是永信藥品。

此外,首度有遭遇BEC詐騙事件的揭露,也就是崴寶精密科技揭露遭冒名通知客戶更改收款帳戶事件。這也不禁讓我們思考,其他公司在遭遇這類情事時,是否也會想到要發布資安重訊去揭露?

還有另一起重大訊息的發布內容,也與資安事件有相當的關聯性,我們注意到,在6月21日世界健身-KY說明了接獲教育部裁處的事件,我們進一步檢視其內容,發現是關於違反個資法後的裁罰,並且是裁罰金額破200萬元的情況。

根據該重訊內容顯示,世界健身-KY說明子公司「香港商世界健身事業」因違反個人資料保護法第12條,以及第27條第1項及個人資料保護法施行細則第12條第2項規定,因此受到教育部的裁處,這家子公司遭罰鍰140萬元,子公司代表人也遭罰鍰140萬元。換言之,違反個資法的開罰的金額,已有一次兩罰總金額超過200萬元的案例,而且是公司代表人也會被罰。

補充資訊:2024年7月(截至26日止),單月已有9起資安事件重訊發布,包括:驊訊、東元、宅配通、聖暉系統集成集團(聖暉代子公司公告),宏盛、助群營造(宏盛代子公司公告)、燦坤、燦星網、光寶科。

 

【資安週報】2024年6月3日到6月7日

這一星期的漏洞修補動向,以PHP程式語言修補CGI參數注入弱點CVE-2024-4577的RCE漏洞最受關注,所有Windows版本的PHP都存在這項漏洞,XAMPP也受影響。特別的是,這項弱點是由臺灣資安業者戴夫寇爾通報與揭露,以PHP搭配Apache HTTP Server的情境為例,當Windows作業系統執行正體中文、簡體中文或日文,攻擊者就有機會觸發上述漏洞,該公司資安研究人員Orange Tsai另也指出,誰會想到12年前已證明妥善修補的漏洞CVE-2012-1823,會因為Windows的一個小功能而被繞過。

其他重要漏洞消息,包括兆勤針對產品生命周期已經結束的NAS設備提供緊急更新;還有一個已知漏洞利用情形值得留意,是多年前Oracle WebLogic Server就修補的CVE-2017-3506,最近被美CISA列入已知漏洞利用清單。

在資安事件焦點方面,以國內而言,特別要注意的是,上市公司資安事件揭露範圍擴大,臺灣證券交易所在5月底有新規範,現在不論是否涉及核心、機密都要發布重訊,而6月初就有3起上市公司發布資安重訊。
●防詐公司Gogolook發布資安事件重訊,網站部分服務遭非法存取,雖然這次事件看似只涉及靜態網站服務遭非法存取,但該公司也依證交所新規範如實公布。
●記憶體大廠華邦電子發布重大訊息,說明合作廠商資訊系統遭不明人士入侵,導致華邦與該公司合作的相關資料疑似有部分資料外洩情形。
●老牌筆電廠藍天電腦傳出遭駭,勒索軟體駭客RansomHub聲稱竊得200 GB資料,該公司直到國外媒體曝光消息2日後才發布重大訊息,但僅說明資安單位偵測到網路傳輸異常,隨即啟動資安防禦及復原機制。

國際間也有多起重要事件,主要涉及醫療供應商、政府機關、礦業,以及ML應用代管平臺等不同層面,我們整理如下:

●英國倫敦多家醫院因服務供應商Synnovis遭網路攻擊而中斷部分服務,該國NCSC指出,這次事件是經濟動機的俄羅斯勒索軟體駭客組織Qilin所為。
●臺灣邦交國帛琉傳出遭遇網路攻擊,紐約時報報導指出遭竊資料涉及當地美國雷達部署、日本海軍造訪該國的成員名單,以及臺灣與帛琉關係的數百份文件,該國政府已證實2萬份政府文件遭竊,並指出此事是中國出於政治動機所謀劃。
●澳洲礦業公司Northern Minerals在澳洲證交所公布遭網路攻擊,勒索軟體「變臉」(BianLian)組織宣稱是他們所為,此事引起澳洲金融媒體關注,因為澳洲政府日前才要求中資減持Northern Minerals股份。
●南韓資安業者揭露北韓駭客組織Andariel近期攻擊行動目標,是當地教育機構、製造業、營造業,鎖定虛擬化平臺VMware Horizo​​n的Log4Shell漏洞下手,意圖散布後門程式Dora RAT。
●Hugging Face在5月底揭露發生秘密洩露事件,說明偵測到ML應用代管平臺Spaces有未經授權存取的活動,該公司呼籲用戶重設密碼或Token等登入憑證。

還有2項威脅態勢,我們認為值得重視,包括:多個中國駭客組織聯手發起網路間諜攻擊行動,以及駭客持續濫用生成式AI以發動輿論操弄的影響力行動(Influence Operations)。

(一)資安業者Sophos揭露最新研究報告指出,中國政府資助的多個駭客組織自2022年開始聯手,針對東南亞知名的政府機關,發動網路間諜攻擊行動Operation Crimson Palace,這些組織包括了Backdoor Diplomatic、REF5961、Worok、TA428,以及APT41旗下的團隊Earth Longzhi。

(二)OpenAI揭露最近3個月他們破壞了5個隱密操弄輿論的影響力行動,指出中俄等駭客組織試圖濫用GAI來達到操控輿論。這些攻擊行動主要針對烏克蘭戰爭、加薩衝突、印度選舉、歐美政治,以及異議人士對中國政府的批評等議題,並藉助OpenAI的語言模型來產生多種語言的簡短評論與長篇內容,為社交媒體編造姓名與簡介帳戶,以及進行開源研究、調校程式碼,還有翻譯與校對文字等。

在資安防禦態勢上,關於藉助AI來精進社交工程演練方面,我們注意到有國內企業提出新的方法:遠東新世紀在2024臺灣資安大會分享了他們在這方面的經驗,主要是善用AI提高演練和教育效率,例如,他們先是製作風險履歷、定義8種弱點特質,進而繪製成風險雷達圖,在實際社交工程演練上,他們也會設法盤點出高風險的郵件用戶,加上風險分析,並用AI來做到推播個人化的課程、輔助自動評分、給予考試內容輔導意見,甚至也打造釣魚郵件家教的應用來即時告知員工判斷要點。

 

【資安週報】2024年6月11日到6月14日

這一星期的資安新聞中,以防禦面向而言,臺灣企業資安發展狀況的年度調查是主要焦點,也就是我們第1186期封面故事,所公布的iThome資安大調查第二輪深度分析,涵蓋資安信心資安投資重點資安阻礙資安人才,以及資安預算這5大層面的調查結果。例如,這次調查特別結合美國NIST CSF 2.0的6大核心構面,了解國內企業資安信心的分布,結果顯示企業對於「復原」能力最具信心,對於「偵測」、「識別」的信心程度較低;在資安阻礙面的分析當中,呈現了企業認為做好資安的最大挑戰因素;關於資安人才面的分析,顯示臺灣企業現階段最看重的三大資安能力,分別是:資安事件應變能力、威脅分析或鑑識能力,以及資安風險分析與評估。

國際間也有重要資安活動,6月11日AWS在美國費城舉辦的雲端安全會議re:Inforce 2024,我們應邀參加,值得一提的是,該公司資安長發表演講強調資安文化的重要性,說明該公司定期與各部門總經理、產品經理與開發人員面對面溝通,每週五會面談論資安問題,也談及資安落實、擴及全組織的作法,以及推動員工自主決策的文化,並指出應該採用獎勵方式,促使大家及早意識到問題嚴重性,而非以負面態度去看待。

在資安事件焦點方面,有兩則重大消息,首先是與政府組織有關的發現:荷蘭政府針對今年2月發現該國國防部遭中國駭客入侵,如今有新調查結果公布,指出受害規模遠遠超出先前的發現;另一個是與臺灣企業有關,那就是,國內上櫃公司環球晶發布資安重訊,並有產線受影響的情況。

●荷蘭國家網路安全中心(NCSC)6月10日公布中國駭客入侵國防部的深入調查,指出全球至少數十個政府機關、國防工業受害,逾2萬臺FortiGate防火牆被滲透,且駭客使用的惡意程式Coathanger相當難以識別與刪除,並認為攻擊者仍能存取大量受害系統。同時,NCSC提供邊緣設備處理情況說明書讓企業組織參考。
●國內半導體廠商環球晶圓在6月13日發布資安重訊,說明部分資訊系統遭受攻擊,並指出尚在釐清對於公司營運的影響。隔日該公司再度發布重訊,說明目前已局部陸續復工。而另有國內媒體指出,這次事件是該公司美國密蘇里廠受襲擊,產線正暫停仔細檢修。
●我們還發現關於CACTUS勒索軟體在6月11日攻擊臺灣企業的情資,該組織將上櫃通信網路業康聯訊(Connection Technology Systems,CTS)列為受害者,隔日我們即持續聯絡該公司,但他們一周後仍未回應此事。

在其他重要威脅態勢上,包括:有駭客在暗網社群推廣網路釣魚工具包V3B,該工具包主要鎖定超過54個歐盟金融機構的用戶;另一個資安威脅活動,則是出現假冒GitHub資安及人力資源團隊的攻擊行動。

在漏洞消息方面,這一星期的漏洞修補新聞主角是多家IT大廠,包括微軟、Adobe、SAP等,因為又到了每月例行安全更新修補的時間,需要盡速因應,特別的是,開源機器學習框架PyTorch修補重大漏洞的消息,登上iThome網站當週最多瀏覽資安新聞之一,也獲得相當多的關切。

還有5個漏洞利用狀況需留意,首先,臺灣資安業者戴夫寇爾在本月7日揭露他們向PHP通報的重大漏洞CVE-2024-4577,並呼籲外界盡速修補,兩日後,有資安業者發現開始有勒索軟體駭客組織TellYouThePass利用這項漏洞從事攻擊;其次,微軟3月修補的Windows錯誤回報服務漏洞CVE-2024-26169,如今有資安業者發現勒索軟體駭客組織Black Basta在修補釋出3個月前,就已用於攻擊行動,顯然當時就有零時差漏洞利用攻擊情形。

至於另外3個,包括Progress Telerik漏洞(CVE-2024-4358)、Android手機Pixel漏洞(CVE-2024-32896),以及Arm Mali GPU漏洞(CVE-2024-4610),它們也都被美CISA列入已知漏洞利用清單。

 

【資安週報】2024年6月17日到6月21日

在這一星期資安新聞中,在防禦動向上,臺灣有兩篇探討網路防詐作法的消息,一是富邦金公布他們成立偽冒案件應變小組,一是資安院首度發表AI打詐技術的應用。

畢竟,社群平臺的網路廣告機制與帳號時常成被詐騙或駭客組織濫用,儘管社群平臺表示有自動化過濾方式攔阻,但仍有相當多詐騙廣告成功刊登或透過假帳號散布,導致民眾只能憑藉自己的見識與經驗來判斷,只是這些詐騙以前就有,但現在詐騙更猖狂,臺灣企業與政府也不得不積極處理,要透過業者的通報機制進行事後下架。最近有兩則新聞,就是關於企業與政府的最新因應方式。

●假冒企業的網路詐騙不斷,是多數企業都面臨的問題,除了提醒用戶小心冒名詐騙,企業還能如何積極因應?富邦金在2024臺灣資安大會上提出他們的因應方式,目標是讓集團可以更系統化的機制,去下架偽冒網站和詐騙群組。他們特別制定處理準則,畫分3大步驟,包括定義案件樣態、成立應變小組、建立處理機制。而這半年來,他們已發現近300件偽冒案件,並也點出目前企業面對的防詐困境。

●最近資安院公布今年1月開始採用AI技術偵測詐騙廣告的成果與經驗,當中顯示AI偵測出詐騙的準確率可達93%,並發現有97%詐騙廣告只刊登兩天就結束,以及現在詐騙經常用「不是詐騙」或「追回詐騙」來再次誤導民眾。數位部強調,要能有效防詐須建立詐騙防治生態系,不論是在聯防、情資交換格式、應變流程、通報平臺上都要有所搭配,並表示已在規畫政府提供的「打詐通報查詢網」。

在資安威脅態勢上,有2則新聞我們認為值得關注,一是網釣簡訊攻擊持續轉向全球不同國家的態勢,一是部分零時差漏洞利用攻擊已悄悄進行多年、最近才被發現的現況,並且都與中國駭客組織有關。

(一)國際大規模網釣簡訊攻擊行動的揭露,同樣值得我們注意。這是資安業者Resecurity的警告,他們指出,去年中國駭客組織發動Smishing Triad攻擊行動,已經針對美國、歐洲、阿拉伯聯合大公國下手,最近發現攻擊轉向巴基斯坦,以假冒巴基斯坦郵政局的名義,藉由iMessage或是簡訊,向電信業者的用戶發送惡意訊息,目的是竊取民眾的個資與財務資料。

(二)資安業者Mandiant揭露這一兩年有多個已知漏洞被利用,其實是中國駭客組織UNC3886早在2021年就利用的零時差漏洞,但先前並沒有被發現,這些漏洞包括,VMware vCenter的漏洞(CVE-2023-34048,CVE-2022-22948)、FortiOS的漏洞(CVE-2022-41328)、Mware Tools的漏洞(CVE-2023-20867)。這代表對方恐早已滲透並潛伏,因此,Mandiant提供了入侵指標(IOC)供企業識別惡意活動。

其他重要威脅態勢包括:有研究人員揭露針對機器學習模型而來的攻擊手法Sleepy Pickle,以及有駭客組織鎖定簡體中文用戶並假借提供VPN等翻牆工具,目的是在使用者電腦植入後門程式Winos 4.0。

在資安事件焦點方面,國內外發生多起網路攻擊事件,涵蓋網釣攻擊、勒索軟體、資料外洩等,我們整理如下:

●駭客鎖定曾介紹群暉產品的臉書粉絲專頁,並假冒群暉公司名義針對這些粉專管理者,發出侵害智財權的釣魚信,誘使粉專管理者開啟附件內的惡意軟體。
●國內老牌製藥公司永信藥品工業遭駭客攻擊,雖然該公司仍只是公開發行公司,但也發布重訊揭露這起資安事件。
●日本影音共享平臺Niconico、角川書店資料中心遭勒索軟體攻擊,導致服務中斷近一週。
●晶片大廠AMD傳出機密資料疑似外洩,有駭客在論壇兜售該公司的產品研發資料、客戶資料及員工資訊,並提供部分檔案的螢幕擷圖作為佐證。
●提供汽車經銷管理SaaS服務的CDK Global傳遭勒索軟體攻擊,該公司先暫時關閉全部系統,已引起經銷商抱怨買車客戶轉向其他汽車經銷商。

在漏洞消息方面,近期沒有新的漏洞利用被揭露,主要是針對已知被利用的情況示警,像是有資安業者公布一起資安事故調查案例,發現攻擊者是運用企業棄用的負載平衡設備入侵,由於該設備未補漏洞且暴露在外網,突顯企業設備與漏洞管理上的疏失。

至於最新漏洞修補動向上,要注意的包括:華碩公布路由器重大身分驗證繞過漏洞,7款機型受到影響,以及VMware修補vCenter Server的遠端執行漏洞。

還有研究人員特別警告,上星期微軟修補Windows內建Wi-Fi驅動程式的高風險漏洞(CVE-2024-30078),特別危險,可能與無線封包處理不當有關,只要攻擊者連上目標設備所在的Wi-Fi網路,就可針對同網路下的設備發動攻擊,且所有Windows版本都受影響。

 

【資安週報】2024年6月24日到6月28日

在這一星期的資安新聞中,有兩起資安事件引發關注,國內有華碩電腦發布資安重訊,說明因資訊系統的參數設定不當,使該公司產品資料發生不慎曝光的情況;國外則是勒索軟體LockBit聲稱入侵美國聯準會,不過,根據駭客目前釋出的資料,有資安業者指出這批資料實際應來自一家美國金融機構。

在資安威脅態勢上,中國駭客組織RedJuliett近期鎖定我國75個企業組織攻擊的消息,令人擔憂。資安業者Recorded Future指出,該組織主要從事情報蒐集行動,在去年11月至今年4月間,這群駭客針對的目標包括:臺灣的科技產業、外交機構,還有8所大學、11個政府機關,以及媒體、慈善機構、NGO等社會運動團體。該組織使用哪些攻擊手法?包含:以devilzShell、AntSword等開源Web Shell從事後期行動,以及利用SoftEther VPN存取目標基礎設施。

在其他威脅態勢上,我們認為有5個消息值得留意,包含軟體供應鏈攻擊、後門程式部署,以及勒索軟體與殭屍網路的最新動向,我們整理如下:
●前端開發人員注意!知名的Polyfill程式庫polyfill.io在今年2月賣給一家中國CDN業者後,有資安業者發現新版本已被嵌入惡意程式,需儘速移除。
●網站管理者請提高警覺!須留心駭客組織Boolka隨機對全球網站發動SQL注入攻擊的情形,目的是針對瀏覽這些網站的使用者電腦,植入木馬程式Bmanger。
●有資安業者揭露亞洲一國的多家電信業者遭植入後門,並說明該攻擊活動使用的工具與多個中國駭客組織有關,並表示這樁攻擊最早可追溯至2021年。
●今年新竄起的勒索軟體RansomHub,最近有研究人員指出該組織不只針對Windows、Linux電腦下手,也鎖定VMware ESXi虛擬化環境攻擊。
●對於去年7月興起的殭屍網路P2PInfect,最近研究人員發現駭客針對綁架電腦的病毒,增加勒索軟體功能。

在漏洞消息方面,這星期有3個已知漏洞被美國CISA列入已知漏洞利用清單,分別是2020年Roundcube Webmail修補的漏洞(CVE-2020-13965),以及2022年Linux Kernel修補的漏洞(CVE-2022-2586),GeoSolutionsGroup修補JAI-EXT的漏洞(CVE-2022-24816),需要限時確認修補。

其中的CVE-2022-24816漏洞不容小覷,因為它影響發布地理空間資訊的GeoServer開源專案,並顯示目前正被積極利用,這讓我們聯想到資安業者中芯數據今年5月示警,當時指出我國GIS系統與相關單位遭中國駭客組織攻擊,該公司研判攻擊目的是不斷試圖情搜本國地理資訊。雖然上述兩件事不一定彼此相關,但也突顯地理資訊系統已成為駭客攻擊的目標。

還有Phoenix UEFI韌體存在高風險漏洞(CVE-2024-0762)的消息,登上iThome網站當週最多瀏覽資安新聞之一。由於收到通知的Phoenix已在4月釋出緩解措施,5月中旬漏洞正式對外公布,如今研究人員則是進一步公布漏洞細節,並提醒用戶注意筆電廠商發布的韌體更新消息。

其他也可留意的漏洞修補動向,包括:Progress針對MOVEit產品線的修補、西門子針對工業控制系統SICAM產品線的修補,以及Zyxel Networks針對已終止支援的NAS產品,破例修補重大漏洞。

 

2023年5月資安月報

2024年4月資安月報

2024年3月資安月報

2024年2月資安月報

2024年1月資安月報

2023年12月資安月報

 

 

 

熱門新聞

Advertisement