【資安週報】2024年7月29日到8月2日

這一星期的資安新聞中，在資安威脅態勢上，我們認為有3項消息需要特別重視，涵蓋勒索軟體、網釣攻擊、GitHub遭濫用。

（一）駭客開出的勒索金額出現獅子大開口的情形，在Zscaler的一份最新報告指出，勒索軟體集團Dark Angels今年成功勒索一家企業7,500萬美元（約24億元），區塊鏈分析業者Chainalysis也證實此情形，並擔心引起其他駭客集團仿效。

（二）有資安業者揭露一起大規模網路釣魚攻擊行動，攻擊者竟然可以發送具有通過SPF和DKIM簽章驗證的大量郵件，調查後發現，駭客疑似利用Proofpoint的郵件防護服務漏洞EchoSpoofing。Proofpoint也提出說明，表示這起事件呈現的弱點並非他們的系統獨有。

（三）關於程式碼儲存庫GitHub遭駭客濫用的情形，最近又有新的發現，有資安業者示警，發現駭客組織Stargazers Ghost專門經營大量帳號並提供儲存庫讓駭客與犯罪集團使用，進而形成龐大的網路犯罪生態圈。

在APT威脅與資安事件方面，主要有2個重點，分別是關於APT45、APT10的攻擊活動揭露，還有國內外的2起重大資安事件。我們整理如下：
●近日北韓駭客組織APT45的攻擊行動被大量揭露，包括Google旗下Madiant、微軟，還有美國司法部起訴APT45中一名北韓駭客成員Rim Jong Hyok，當中更是透露受害者不只美空軍基地、NASA，還有臺灣與美、韓的國防承包商。
●在上個月，日本JPCERT/CC揭露當地製造業、研究機構發動攻擊遭受攻擊，被植入後門程式NoopDoor，如今有資安業者公布該惡意程式細節並指出是中國駭客組織APT10所慣用的惡意程式。
●華經資訊發布資安重訊，說明已啟動相關防禦機制與復原作業。
●日本夏普的網路商店Cocoro Store遭入侵，逾10萬人個資恐外流。

在漏洞消息方面，本星期共有7個漏洞利用狀況，其中Broadcom在6月底修補VMware ESXi的漏洞CVE-2024-37085最要注意。因為通報的微軟最近揭露相關細節，並指出這個漏洞在修補前就已遭多個攻擊者鎖定利用。換言之，該漏洞在當時就已是零時差漏洞被積極利用，但修補釋出當時公告並未提及此一狀況。

其他已知漏洞遭利用的情形，有2個是7月初才修補，包括： ServiceNow的漏洞（CVE-2024-4879、CVE-2024-5217），以及Twilio的Authy漏洞（CVE-2024-3989），還有1個是去年底Acronis修補的漏洞（CVE-2023-45249）。特別的是，2012年微軟修補的IE漏洞（CVE-2012-4792），最近也被美國CISA列入已知漏洞利用清單。

還有一個Secure Boot繞過漏洞「PKfail」的揭露，有資安業者發現共發現22個獨特但不可信的平臺金鑰，影響將近900款產品，包括技嘉、Supermicro、Dell等9大業者，並指出這是韌體供應鏈在加密金鑰管理實務上的嚴重問題。

關於0719的CrowdStrike引發大當機事件，持續有後續消息，例如，有駭客趁機利用這起事故鎖定CrowdStrike用戶發動攻擊，佯稱提供當機報告程式，但其目的是散步惡意軟體；iThome持續追蹤當時的發生狀況原因，以及對於整個資安產業的影響，我們找到幾位臺灣資安專家，分享對此事故的觀察，他們指出CrowdStrike的病毒特徵碼設計不良之餘，也提及類似CrowdStrike更新出包的意外，是所有端點防護公司都可能發生的，因此，要避免類似意外發生，一定需要重複經過各種驗證程序。

至於資安防禦態勢上，有3個重要消息不容錯過，涵蓋AI評估測試、同態加密技術相關工具的釋出，以及cookie theft的防範。例如，美國CISA釋出可用於評估AI安全及可靠性的軟體測試平臺的Dioptra 1.0版，以及Apple將自家發展用於保護隱私的同態加密技術，以開源Swift開源套件釋出。此外，Google為了應對現在許多竊資軟體具有cookie theft手段，宣布將針對Windows版Chrome瀏覽器，提供應用程式導向的加密（App-Bound Encryption）。

【7月29日】北韓駭客APT45遭美國司法部通緝，揭露受害者涵蓋美國、臺灣、韓國的國防承包商

近日北韓駭客組織APT45的攻擊行動被大量揭露，但值得注意的是，美國司法部也公告緝拿該組織一位北韓駭客成員，當中意外揭露了有臺灣國防承包商也是APT45的受害者。

由於許多媒體報導可能忽略了這一消息，但這樣的狀況是需要我們國防單位去進一步了解。

【7月30日】上個月公告、修補的VMware ESXi身分驗證繞過漏洞，去年已有多組人馬將其用於攻擊行動

VMware虛擬化平臺的漏洞，最近幾年已是駭客頻頻鎖定的攻擊目標，這樣的情況，在最近微軟發布的漏洞警訊也能反映這種情況。

研究人員針對博通上個月發布的身分驗證繞過漏洞CVE-2024-3708進行調查，指出這項漏洞已在去年就遭到利用，而且，Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest等多個駭客組織都加入利用漏洞的行列。

【7月31日】研究人員揭露針對性的PyPI惡意套件攻擊行動，意外扯出AI搜尋引擎被誤導的新型態社交工程危機

透過NPM、PyPI等軟體套件儲存庫發動攻擊的情況日益頻繁，但通常都是針對特定套件的使用者下手，透過模仿網域名稱的手法，引誘開發人員上當，但如今出現了結合社交工程的攻擊手法。

例如，資安業者Checkmarx近期揭露的惡意PyPI套件攻擊行動，駭客的目的是竊取特定用戶的Google Cloud帳密資料，但為了誘騙使用者，疑似還設置專門的LinkedIn帳號，並誤導知名的AI搜尋引擎產生錯誤的結果。

【8月1日】Azure服務出現不穩定的異常情況，微軟表示起因與DDoS攻擊有關

本週再度傳出微軟多項雲端服務運作異常的現象，許多使用者面臨不穩定，甚至是無法存取，由於一週前才發生了類似的情況，因此，這起事故發生的原因，引起許多用戶的高度關注。

7月31日微軟對此提出說明，起因是Azure的基礎設施遭到DDoS攻擊時，他們實作的防護措施竟然放大了流量而釀禍，導致重要元件運作效能大幅降低，嚴重影響各項雲端服務的運作。

【8月2日】駭客透過網路問答平臺Stack Exchange散布惡意PyPI套件，目標是Raydium區塊鏈用戶

過往駭客發動惡意NPM、PyPI套件攻擊，通常會針對知名套件的使用者而來，藉由網域名稱模仿的手法讓開發人員上當。但如今，駭客改變了做法，他們利用網路問答平臺，假裝認真解答問題，藉此散布惡意套件。

最近資安業者Checkmarx揭露的資安事故，就是這種例子。駭客在Stack Exchange針對特定問題進行回答，「順便」提供惡意套件的下載連結，使得用戶降低警覺而有可能因此上當。