【資安週報】2024年9月2日到9月6日

在9月第一星期的資安新聞，防護態勢上有兩個重點消息，第一個新聞突顯網際網路BGP路由安全的重要性，先前已有一些國家推動這項議題，像是去年荷蘭政府宣布全面導入RPKI標準，現在美國拿出具體規畫要求聯邦政府實施。至於臺灣，過去幾年TWNIC曾推動RPKI、路由來源驗證等，但後續發展狀況還需要大家關注。

第二個新聞是呈現後量子密碼學（PQC）在產業的最新發展態勢，工研院在2024國際半導體展秀出後量子安全晶片公版的設計，而且有多家業者投入PQC應用發展，包括全濠、宇鼎、威宏、智能資安、竣盟科技、池安量子資安等。

●美國白宮針對邊界閘道協定（BGP）安全問題，發布強化網路路由安全的藍圖，強調聯邦政府須以身作則，加速對BGP安全措施的採用。
●2024國際半導體展登場，數發部數產署與臺灣資安業者在「SECPAAS資安館」呈現半導體產業資安最新方案，其中又以PQC公版應用案例的發展最吸睛。

關於威脅態勢方面，我們列出下列4大消息，其中法國資安業者開發的紅隊演練工具MacroPack遭濫用值得關注，因為其中有一起攻擊行動範圍涵蓋臺灣，而有兩個新聞與濫用合法雲端服務有關。

●紅隊演練工具MacroPack遭多組攻擊者濫用，已發現4起攻擊行動。
●後門程式Voldemort的攻擊行動被揭露，濫用Google Sheets並假冒美、歐、亞洲稅務機關名義以竊取企業稅務資料。
●有鎖定M365用戶的攻擊活動在7月暴增，當中濫用微軟雲端簡報服務Sway來引誘受害者上當，並結合QR Code網釣手法。
●美國司法部宣布扣押俄羅斯用來散布不實言論的網域，以打擊俄羅斯持續操弄美國總統大選的行徑。

在資安警訊與事件方面，有4則重要新聞，當中以RansomHub勒索軟體的相關消息最要重視，不僅多個美國政府機關發布聯合公告，揭露其手法與入侵指標，同時傳出美國石油公司Halliburton向美國SEC通報的網路安全事件，也是遭其所駭。

●美政府警告半年前現身的RansomHub勒索軟體，受害者已超過210家。
●美國石油及天然氣業者Halliburton證實內部資料遭到外流
●英國倫敦交通局證實遭遇網路攻擊，傳出問題出在外部供應商系統。
●提供思科品牌服裝與配件的思科網路商店遭植入惡意JavaScript，信用卡資料、帳密恐外流。

至於漏洞利用消息方面，居易的VigorConnect有兩個2021年修補的已知漏洞：CVE-2021-20123和CVE-2021-20124，用戶要注意是否已進行緩解或更新修補，因為它們近期被美國CISA列入已知漏洞利用清單，此外，上週Chrome零時差漏洞修補有後續消息揭露，指出北韓駭客Citrine Sleet是幕後挖掘漏洞並利用的組織，攻擊行動還利用了另一微軟零時差漏洞，而能在受害電腦作業系統核心植入rootkit程式FudModule。

還有一個漏洞修補情形引起硬體安全界的重視，因為Yubico旗下FIDO裝置存在Eucleak弱點，Yubico指出這是英飛凌加密庫中關於ECDSA實作的旁路攻擊漏洞，將導致攻擊者有機會取得ECDSA金鑰。

【9月2日】勒索軟體RansomHub受害企業組織半年已超過200家

近期勒索軟體RansomHub不斷登上資安新聞的版面，最近一起是美國石油及天然氣業者Halliburton遭遇網路攻擊的事故，到了上週，這些駭客聲稱是他們所為。而在此之前，臺灣也有老牌筆電廠藍天電腦傳出受害的消息。

有鑑於這些駭客的威脅加劇，美國政府近期發布相關防禦指引，揭露這些駭客的攻擊手法和底細，呼籲IT人員要嚴加防範。

【9月3日】駭客盯上資安廠商的SSL VPN系統當作誘餌，意圖散布惡意程式

過往駭客意圖藉由提供應用程式發動攻擊，引誘使用者上當，從而散布惡意軟體，進而存取企業內部網路環境，過往駭客多半是宣稱提供常見的應用程式，或是IT人員會用到的系統工具，但如今，有人以特定廠牌SSL VPN軟體作為幌子發動攻擊。

值得留意的是，這意味著駭客的攻擊目標相當有針對性，因為使用者很有可能是該廠牌SSL VPN系統的用戶，這樣的誘餌顯然能夠降低使用者的戒心，而有可能得逞。

【9月4日】駭客組織Head Mare鎖定俄羅斯企業組織發動攻擊

在烏克蘭戰爭開打之後，有許多專門攻擊敵對企業的駭客組織出現，其中名為Head Mare的駭客組織引起資安業者卡巴斯基的注意，並於近日公布這些駭客的作案手法。

研究人員特別提及這些駭客作案的獨特之處，包含過程中利用特定的WinRAR漏洞，以及使用勒索軟體加密檔案，來向受害組織索討贖金的情況。

【9月5日】美國針對俄羅斯干預總統大選採取執法行動

美國總統大選如火如荼進行，這段期間不時傳出伊朗駭客攻擊川普、賀錦麗陣營，並企圖散布假消息影響選情的情況。不過，俄羅斯想要採取類似手段干預該國選舉已有先例，但美國直到最近才採取執法行動引起關注。

本週美國宣布扣押俄羅斯用來散布不實言論的網域，原因是這些網域都被用來架設冒充民主陣營的新聞網站，並指出俄羅斯不只打算操弄美國總統大選，也意圖干預其他國家選舉。

【9月6日】北韓駭客使用冒牌視訊會議軟體感染求職者電腦

近年來北韓駭客假借徵才名義，透過LinkedIn等管道，鎖定想要面試的開發人員下手，如今又出現新一波的攻擊行動。 揭露此事的研究人員指出，這起攻擊行動與過往最大的不同之處在於，駭客不光會假借測試求職者的能力為由散布惡意程式，現在也會要求使用特定視訊會議軟體進行面試的名義，讓求職者降低警覺，不慎讓電腦中毒。