【資安週報】2024年8月26日到8月30日

在8月最後一週的漏洞消息中，有5個漏洞利用狀況，其中金山WPS Office零時差漏洞CVE-2024-7262遭韓國駭客挖掘並利用最受矚目，因為金山應該早就知道漏洞已被利用的情況，並且悄悄在前幾個月就修補一小部分，再加上通報後金山的回應出現矛盾狀況，使得研究人員公開揭露這兩個漏洞，並且發布這次研究報告來警告金山用戶。

●韓國駭客利用WPS Office零時差漏洞，企圖於東亞組織植入後門SpyGlace
●2個已遭利用零時差漏洞情形與Chrome有關，Google分別修補了存在V8的漏洞CVE-2024-7971、CVE-2024-7965。
●開源ERP系統Apache OFBiz在8月初修補的漏洞CVE-2024-38856，月底時被美國CISA列入已知漏洞利用清單
●WordPress外掛程式LiteSpeed Cache修補漏洞CVE-2024-28000，一週後已發現有鎖定的攻擊行動。

還有一個是先前Versa Director零時差利用的後續消息，如今攻擊者的身分被揭曉，是中國國家級駭客Volt Typhoon所為，並且是美國電信業者旗下資安團隊揭露，指出有5家業者遭入侵，涵蓋ISP電信商業與MSP服務託管供應商，並說明早在6月就有鎖定的攻擊行動，而修補也是在當時就釋出。

在資安威脅態勢上，我們列出5個重點新聞，其中下列第一則是前所未見的重導NFC、竊取感應支付的犯罪手法，由於在捷克已有3家銀行客戶受害，值得留意；第二則反映了新的APT威脅態勢，俄羅斯駭客APT29疑似取得商業間諜組織（CSV）的攻擊程式並加以改造，因為近期APT29使用的攻擊工具非常類似Intellexa與NSO Group開發的攻擊程式。

●出現使用NFCGate的流量分析開源工具並重導NFC通訊流量的攻擊手法，可將受害者Android手機內的支付卡資訊傳給駭客。
●俄羅斯駭客APT29開始利用Intellexa與NSO Group所開發的攻擊程式
●RansomHub攻擊行動使用可破壞EDR運作的新版惡意驅動程式PoorTry
●發現新一款鎖定macOS攻擊的竊資軟體Cthulhu Stealer
●保險公司旗下風險管理業者揭露名為sedexp的Linux惡意軟體，會濫用Linux核心的裝置管理系統udev的規則，並在網頁伺服器竊取信用卡資料。

至於資安事故焦點方面，美國西雅圖Tacoma國際機場（SEA）在24日傳出疑似遭到網路攻擊，且數天都還沒有恢復，不止影響網站、郵件系統等數個系統網路中斷，也影響行李托運相關的系統。

在國內，則傳出一起因資安檢測引發駐點工程師誤刪檔案的事故，發生在勞動部勞動力發展署（勞發署）高屏澎東分署。該分署當日已證實廠商人員維護時發生人員作業疏失，造成部分電腦本機備份資料遭到刪除。

不過，自由時報的報導中還透露更多消息，像是有484部電腦受影響，並提到廠商工程師是為了資訊安全檢查，將電腦D槽內檔案全部加密，包含歷年資料及正在進行的計劃都被刪光。但由於陳述較為凌亂、事件脈絡未能完全疏理，這讓外界更好奇事發經過，但目前也很難以釐清事件經過與原因。

在國內資安社群動向方面，今年臺灣駭客年會（HITCON）社群場的舉辦，有多場精彩的漏洞挖掘經驗的公開。包括：戴夫寇爾資安研究人員蔡政達（Orange Tsai）闡釋Apache HTTP Server方面的研究，說明Confusion Attacks的新攻擊面，還有楊安傑（Angelboy）公開在Pwn2Own Vancouver 2024中攻下Windows 11的成果，並闡釋對於Kernel Streaming的研究歷程。而在本次大會活動方面，最特別是我們看到半導體封裝測試大廠日月光的參與，相當難得，他們資安團隊並設計了一個SOC事件調查的情境解題遊戲。

【8月26日】Telegram創辦人暨執行長Pavel Durov傳出遭到逮捕

加密即時通訊軟體Telegram近年來已成為許多駭客在從事網路犯罪的過程濫用的平臺，包括駭客之間用來討論如何犯案，或是用來代管、散布惡意軟體，甚至有人將Telegram頻道充當C2中繼站，這樣的情況也引發政府單位認為該平臺管理不力，逮捕其負責人的情況。

值得一提的是，在為期超過2年的烏克蘭戰爭裡，不僅兩國駭客利用該平臺從事網路攻擊，就連政府高層也藉此向對方放話。

【8月27日】WordPress網站加速外掛LiteSpeed Cache漏洞已遭利用

為了提升使用者瀏覽網站的體驗，許多WordPress網站可能會導入外掛程式LiteSpeed Cache，但最近開發商修補的重大層級漏洞CVE-2024-28000，已有實際攻擊行動出現。

由於此外掛程式全球有超過500萬個網站採用，但事隔一週仍有近4成尚未修補而成為駭客下手的目標。值得留意的是，該外掛程式今年已二度遭遇大規模漏洞攻擊。

【8月28日】Versa Director零時差漏洞成中國駭客用來入侵ISP的管道

本週SASE供應商Versa Networks發布了一則不太尋常的資安公告，提及SD-WAN管理主控臺Versa Director的高風險遭到APT駭客利用，他們將協助客戶儘速緩解漏洞。

值得留意的是，該公司已於6月下旬發布修補程式，但為何事隔2個月特別發布資安公告？很有可能與近期電信業者Lumen公布相關攻擊事故有關，Lumen指出，這項漏洞在Versa修補之前就遭到利用。

【8月29日】破壞EDR系統運作，惡意驅動程式PoorTry出現新手法

為了避免端點防護系統干擾勒索軟體加密檔案，最近2至3年，駭客利用含有弱點的驅動程式來達到目的，其中一款名為PoorTry的惡意驅動程式，最近引起研究人員高度關注。

研究人員特別提及，此惡意驅動程式也納入了資料破壞軟體（Wiper）的功能，而能刪除EDR系統的EXE、DLL元件，使其無法再度運作。

【8月30日】殭屍網路病毒Mirai變種透過陞泰網路攝影機漏洞散布

本月初美國網路安全暨基礎設施安全局（CISA）針對臺廠陞泰科技（Avtech）旗下的視訊監控攝影機漏洞提出警告，並指出廠商尚未提供修補程式，但已有攻擊行動出現。究竟該漏洞如何被用於攻擊，通報此事的資安業者最近透露更多資訊。

他們提及駭客用來植入殭屍網路病毒Corona Mirai的情況，而這是約自2020年出現的Mirai變種病毒。

本星期漏洞利用狀況一覽表

零時差漏洞利用：3個

CVE-2024-7262 ／ WPS Office漏洞（今年3月悄悄修補且未公開有攻擊行動，2024年8月28日ESET對外示警）
CVE-2024-7971 ／ Chrome V8漏洞
CVE-2024-7965 ／ Chrome V8漏洞

本星期已知漏洞遭利用：2個

CVE-2024-38856／ Apache OFBiz漏洞（8月5日公開，8月28日警告已遭利用）
CVE-2024-28000／ WordPress外掛程式LiteSpeed Cache漏洞（8月21日公開，事隔一週兩家資安業者警告已遭利用）