【資安週報】2024年8月5日到8月9日

這一星期Black Hat USA 2024於美國拉斯維加斯登場，今年是第27屆，照往年慣例，有很多資安新聞都在此時發布，特別的是，今年新納入的AI Summit研討會於當地時間6日舉行，趨勢科技也在一場演說中展示偵測深偽（Deepfake）商用解決方案，同時闡釋AI世代的企業資安風險管理差異，幫助大家因應未來的局勢。

黑帽大會主活動於7日與8日展開，當中有許多全球頂尖資安研究人員揭露最新的研究成果，我們在這一星期資安日報的新聞，也陸續報導相關消息。

●賽門鐵克揭露6起攻擊者濫用合法雲端服務的攻擊行動，不僅指出這些手法日趨複雜，特別的是，研究人員提及中國駭客組織UNC5330散布Grager後門程式，攻擊目標是臺灣、香港、越南的企業組織。
●德國CISPA亥姆霍茲資訊安全中心揭露GhostWrite漏洞，問題發生在阿里巴巴旗下平頭哥半導體（T-Head）所生產的RISC-V處理器玄鐵C910，並指出其影響範圍可能很廣泛且難以修補。
●Zenity研究人員公布了如何將Copilot變成駭客武器的最新研究，並釋出新的LOLCopilot紅隊工具模組，當中主要探討駭客如何在滲透後利用Microsoft Copilot來搜尋、解析並竊取敏感資料，而且不會產生日誌。
●資安業者Bitdefender揭露Solarman太陽能發電監控系統、寧波德業（Deye）逆變器的漏洞，兩家業者在接獲通報後皆著手修補。（研究人員是在美國黑帽大會附近另一場於8日到11日舉行的DEF CON 32資安會議展示這項成果。）

臺灣資安研究人員也在本次黑帽大會揭露重要發現，並且於臺灣時間周末登場，因此我們在本期資安週報先行整理。例如，戴夫寇爾首席資安研究員蔡政達（Orange Tsai），今年他揭開名為Confusion Attacks的全新攻擊面向，當中探索了Apache HTTP Server中存在的架構問題，並在攻擊研究中找到9個漏洞，而Orange先前也已將這些漏洞通報給Apache軟體基金會，在7月已有修補釋出（還有1個漏洞的CVE編號待公布）；睿控網安的研究人員鄭仲倫、馬聖豪、林怡安‍則公開資安防護上對於惡意程式分析的新方法，主要針對攻擊者將惡意程式碼混淆以規避偵測與分析的問題，提出一種新穎且基於神經網路的符號執行大型語言模型－－CuIDA，以模擬人類專家分析策略來進行，並可在不對加殼器進行解壓或解密的情況下，直接檢測被保護的可執行文件。

在漏洞消息方面，本星期共有3個漏洞利用狀況值得我們重視，其中一項已知漏洞的防範，需要國內特別重視，因為資安業者指出有中國駭客利用該漏洞入侵臺灣研究機構。

（一）思科旗下Talos揭露APT41針對臺灣政府所屬研究機構的攻擊行動，當中具體列出該組織的手法，以及使用已知漏洞CVE-2018-0824，將惡意程式ShadowPad、Cobalt Strike等攻擊工具植入這個研究機構。
（二）開源ERP系統Apache OFBiz在今年5月修補的漏洞CVE-2024-32113，大家要當心！因為最近出現攻擊者鎖定利用這個管道的狀況。SANS網路風暴中心指出，最近利用此漏洞的攻擊行動，其目的是將殭屍網路病毒Mirai植入OFBiz。
（三）在Android的8月例行更新中，包含1個已遭利用的零時差漏洞CVE-2024-36971修補。該漏洞今年6月公布時存在Linux作業系統核心，但該漏洞也影響到Android系統，後續Google TAG小組發現有此漏洞的針對性攻擊跡象。

還有2個與臺灣有關的漏洞消息，首先是美國CISA針對臺灣視訊監控設備廠商陞泰科技（Avtech）發布警告，指出其產品存在漏洞CVE-2024-7029並被用於攻擊行動， 但陞泰尚未公布緩解措施，因此CISA特別提供可降低此漏洞遭利用的作法；另一是上月底PKfail漏洞揭露後，技嘉於8月1日回應此問題的解法，他們表示，將在8月、9月釋出不同平臺的新版BIOS，予以修補。

在資安事件方面，有2起消息與國內上市櫃公司有關，還有MDM業者遭駭引發上萬平板筆電無法使用，以及DigiCert撤銷8萬憑證的情形。我們整理如下：
●上市電腦及週邊設備業「偉聯科技」在8月5日發布資安重訊，說明部份資訊系統遭受駭客網路攻擊事件。
●上櫃資訊服務業「智聯服務」在8月5日發布資安重訊，說明部份僅供內部人員使用的資訊系統遭受駭客攻擊。
●在法國奧運賽事期間，當地博物館法國巴黎大皇宮說明遭遇網路攻擊事件，但也指出僅影響博物館內的書店與精品店。
●行動裝置管理（MDM）方案業者Mobile Guardian遭駭，導致列管的大量iOS及ChromeOS裝置遭未經授權存取，而這起事故也造成許多災情，例如新加坡就有1.3萬學生上課用的平板筆電無法使用。
●SSL數位憑證機構DigiCert宣布撤銷8萬多個憑證，影響6千多用戶，原因是他們自身未做好網域控制驗證。

在資安防禦動向上，有兩個重要消息，一是中華資安國際預計於8月20日登錄興櫃，為臺灣證券市場新增一個資安生力軍；另一是美國CISA首任AI長在8月初出爐，這是因為美國OMB在今年3月的規範，強調在AI時代需有人來主導及監督如何使用AI技術，並考慮安全及可靠性，以此幫助眾人真正獲得AI帶來的好處。

【8月5日】研究人員公布去年中國駭客APT41攻擊臺灣研究機構的事故

隨著政治情勢日益緊張，中國駭客針對臺灣企業組織發動攻擊的情況不斷傳出，而在上週四又有這類事故的調查出爐，有資安廠商去年發現一個附屬於臺灣政府機關的研究機構遭駭。

值得留意的是，在這起攻擊行動裡，駭客運用過往較為少見的手法，其中一種是利用舊版微軟Office軟體搭配的輸入法編輯器（IME），該元件推出已長達13年，且不再受到支援。

【8月6日】達美航空、CrowdStrike將針對EDR系統大當機事故對簿公堂

7月19日臺灣時間下午發生的CrowdStrike更新出錯事故，導致全球各地都出現災情，其中最早傳出受害的是航空業者及醫療機構，如今有航空公司指控，他們因故招致業務停擺及名譽受損，求償5億美元。

但CrowdStrike不以為然，認為該公司較晚復原與IT運作疏失有關，控告目的其實是在推卸責任。

【8月7日】法國博物館驚傳遭遇勒索軟體攻擊

奧運賽事正如火如荼進行，臺灣也有不少選手獲得佳績，但在此同時，提供擊劍和跆拳道比賽場地的法國巴黎大皇宮（Grand Palais Rmn），傳出遭遇網路攻擊，當地媒體取得知情人士的說法，這起事故是勒索軟體攻擊，駭客疑似打算向博物館索討贖金。

不過，由於所有的博物館及奧運賽事皆正常運作，這樣的說法隨即就遭到否認，其中一個被點名的博物館羅浮宮出面反駁，他們並未遭遇勒索軟體攻擊。

【8月8日】黑帽大會首度增設AI議程，趨勢科技展示深偽偵測技術

在全球目光集中在奧運的同時，上週末（8月3日）重量級資安會議黑帽大會Black Hat USA 2024正式在美國拉斯維加斯展開，前4天是資安訓練活動，最後兩天則有超過100場精選議程。

其中最吸引眾人注意的安排，是大會前一天舉辦AI Summit研討會，趨勢科技也在上午議程展示偵測深偽（Deepfake）的商用解決方案。

【8月9日】資安業者公布6起濫用雲端服務的後門程式攻擊行動，並指出有臺灣組織受害

我們昨天報導有研究人員在國際資安大型會議Black Hat USA 2024公布藉由視窗作業系統更新機制「降級」的攻擊手法，這次也有研究人員公布對於特定威脅態勢的觀察，指出這種攻擊手法現在不僅變得非常頻繁，而且，還變得更加刁鑽。

這項威脅態勢，就是駭客濫用雲端服務來掩蓋非法行動的情況。在針對臺灣、香港、越南組織的攻擊行動裡，後門程式Grager存取充當C2的OneDrive帳號手法相當特別。