【資安週報】2024年9月9日到9月13日

回顧9月第二星期的資安新聞，有3起與臺灣息息相關的事件需要我們密切關注，包括臺灣多達45個單位與企業遭遇DDoS攻擊，以及臺灣無人機製造商被中國駭客鎖定攻擊，且疑似是涉及ERP相關的供應鏈攻擊。

（一）中租、兆豐、彰銀以及臺灣證券交易所接連公告遭DDoS攻擊，親俄駭客NoName057宣稱是他們所為，還有多個臺灣政府機關也是這波攻擊目標。
（二）中國駭客組織TIDrone今年不斷攻擊臺灣衛星及軍事工業，資安業者警告這些駭客似乎特別偏好攻擊無人機製造商。
（三）臺灣無人機製造商遭攻擊行動Operation WordDrone鎖定被揭露，研究人員指出駭客使用舊版Word主程式，並關注為何是臺灣無人機產業遇害。

關於第一則消息，親俄駭客NoName057近期先針對捷克、法國、烏克蘭的政府機關發動DDoS攻擊，自9月9日開始再針對我國網站攻擊，不僅持續鎖定臺灣政府機關，後續幾波又延伸到財稅單位、官股金融機構及部分企業。關於後續消息，數位發展部在周日9月14日召開記者會說明，目前統計45件DDoS攻擊，各機關皆可於短時間內恢復，另指出我國遭受攻擊目標還包括地方稅務機構、區域民航站、主計總處、財金相關機關及部分電信業者等。

這起事件不僅考驗國內應對DDoS的防護能力，特別的是，由於該組織宣稱攻擊原因是，不滿我國總統賴清德引用中俄領土爭議來反駁中國收復臺灣的主張，但該組織的說詞反而促使國際社會可以討論俄羅斯領地不歸中國、臺灣也是如此的狀況，並吸引到更多關注。

第二與第三則消息有密切關聯，一是趨勢科技研究人員揭露，一是Acronis研究人員揭露，其共通點在於均指出臺灣無人機製造商遭駭客鎖定的狀況，並說明攻擊手法涉及利用Word與ERP軟體，可能涉及供應鏈攻擊情形。特別的是，Acronis還點出受害企業使用的鼎新電腦ERP軟體的程式可能遭竄改，鼎新電腦在Acronis揭露3日後做出回應，指出研究人員所提的「Digiwin」資料夾，實為協助企業服務的連線工具－－鼎新雲管家「DigiwinSCP」，目前已預防性關閉此連線並改用其他工具服務客戶。

還有一起國內公司遭駭事件，發生在專注於複合螺絲及螺栓製造的臺灣上櫃公司世鎧精密，他們發布重訊說明公司部分資訊系統遭駭客發動加密攻擊。

在漏洞消息方面，這一星期適逢多家IT廠商的每月例行安全更新修補發布，包括微軟、SAP、Adobe等，在盡速更新修補之餘，有7個漏洞利用情形需要特別重視。
●微軟修補4個已被用於攻擊行動的零時差漏洞，分別是涉及Windows MOTW的CVE-2024-38217，Windows Installer的CVE-2024-38014，Windows Update的CVE-2024-43491，以及Publisher保護機制的CVE-2024-38226。
●SonicWall在8月下旬修補的SonicOS重大漏洞CVE-2024-40766，9月初有多家資安業者示警指出已發現針對該漏洞的攻擊行動。
●有兩個早年的漏洞被美國CISA列入已知利用清單（KEV），分別是2017年Linux Kernel PIE的CVE-2017-1000253，以及開源圖像處理軟體ImageMagick的CVE-2016-3714。

在資安事件與威脅態勢方面，國際間有多個重要消息，當中以Fortinet遭駭事故受矚目，該公司在24小時內發出公告證實此事，承認是存放於第三方雲端共享硬碟內的有限檔案遭未經授權存取，並表示該公司的產品及服務未受影響，後續Fortinet臺灣也說明此次事件對臺灣的客戶並未造成任何影響。

●有人在Breach Forum論壇發文聲稱入侵Fortinet的Azure SharePoint帳戶並竊取440 GB資料，Fortinet證實第三方雲端共享硬碟出現未經授權存取。
●法國IT顧問公司Capgemini疑似發生資安事故，有人在駭客論壇公布20GB的資料，涉及該公司檔案、程式碼與客戶資料。
●卡巴斯基提供移除惡意程式rootkit的工具TDSSKiller，竟遭勒索軟體RansomHub駭客利用此工具來關閉EDR。
●微軟免費開發工具遭中國駭客Stately Taurus濫用，企圖滲透東南亞政府機關竊取機密。
●中國政府主導的網路間諜行動Operation Crimson Palace被揭露，有3波鎖定東南亞的攻擊行動至少4個駭客組織參與，且其入侵手法會利用公開工具隱匿行蹤。

在資安防禦動向上，以國際支付巨擘在資安領域的投入最受關注。由於早年我們經常看到VISA舉辦資安高峰會，公布支付安全的進展，揭露針對交易安全的紅隊攻擊演練，以及併購資安業者等，最近Mastercard也展示他們對資安的重視與投資，不僅在上個月舉行的Black Hat USA 2024大會參展，如今他們更是宣布以26.5億美元併購威脅情報供應商Recorded Future。

【9月9日】鎖定臺灣衛星及軍事工業的中國駭客組織TIDrone引起研究人員關注

臺海局勢日益緊張，中國駭客對臺發動攻擊也更加頻繁，過往這些駭客的目標，往往鎖定政府機關、高科技產業、教育機構，但如今出現專門攻擊臺灣新興國防科技產業的駭客組織。

上週趨勢科技揭露的中國駭客TIDrone，就是典型的例子，駭客不斷針對臺灣衛星、軍事工業下手，特別的是，他們偏好攻擊無人機製造商，但為何如此？研究人員並未說明。

【9月10日】勒索軟體駭客將SonicWall防火牆重大漏洞用於實際攻擊

資安業者SonicWall指出，他們在8月修補的重大漏洞CVE-2024-40766，疑似被用於攻擊行動，如今陸續有資安業者公布調查結果，印證真有此事。

其中，最早透露的是資安業者Arctic Wolf，他們指出是使用勒索軟體Akira的駭客所為，昨日另一家資安業者Rapid7也公布他們的發現，值得一提的是，這樣的情況也得到美國網路安全暨基礎設施安全局（CISA）證實，因為他們將這項漏洞加入已遭利用的漏洞名冊（KEV）。

【9月11日】微軟發布9月例行更新，揭露與修補4個已被用於攻擊行動的零時差漏洞

微軟近期發布了9月份的例行更新（Patch Tuesday），漏洞數量較上個月明顯變少，但IT人員仍然不能掉以輕心，因為本次公布的4個零時差漏洞，皆已遭到駭客利用。

值得留意的是，CVSS風險評分最高的CVE-2024-43491，這項漏洞影響特定版本的Windows 10，會將部分元件還原成尚未修補的舊版，引起研究人員高度關注。

【9月12日】CosmicBeetle駭客針對中小企業發動勒索軟體攻擊

有些駭客為了增加成功犯案的機率，他們採取與眾不同的做法，像是資安業者ESET近期透露對於駭客組織CosmicBeetle活動的觀察，就是典型的例子。

這些駭客雖然擁有自行開發的勒索軟體，但他們也成為勒索軟體駭客RansomHub附屬組織而能借助其工具；另一方面，這些駭客也聲稱是LockBit，向受害組織進行恐嚇。

【9月13日】中租、兆豐、彰銀接連遭遇DDoS攻擊發布重訊，俄羅斯駭客聲稱是他們所為

最近與臺灣最為相關的資安事故，莫過於資安業者趨勢科技、Acronis先後揭露鎖定無人機製造商的攻擊行動，但昨天有3家上市公司發布重大訊息，表明他們網站遭到DDoS攻擊的情況，尤其是過往鮮少有企業因DDoS攻擊發布重訊，這樣的資安事故相當值得關注。

值得留意的是，宣稱犯案的駭客組織，是最近2年專門針對協助烏克蘭的歐美國家下手的俄羅斯駭客NoName057，以近半個月而言，該組織在針對捷克、法國、烏克蘭政府機關發動攻擊之外，也鎖定臺灣發動攻擊。

本星期漏洞利用狀況一覽表

零時差漏洞利用：4個

CVE-2024-38217 ／Windows MOTW保護機制失效漏洞
CVE-2024-38014 ／ Windows Installer不當權限管理漏洞
CVE-2024-43491 ／ Windows Update記憶體空間釋放後利用漏洞
CVE-2024-38226 ／ Publisher保護機制失效漏洞

本星期已知漏洞遭利用：3個

CVE-2024-40766／SonicWall SonicOS的漏洞（8月23日公開，9月6日警告已遭利用）
CVE-2017-1000253／Linux Kernel PIE的漏洞（2017年10月公開，2024年9月9日警告已遭利用）
CVE-2016-3714／開源圖像處理軟體ImageMagick的漏洞（2016年5月公開，2024年9月9日警告已遭利用）

本星期資安事件重大訊息一覽表

世鎧／上櫃鋼鐵工業／9月9日發布／說明本公司發生網路資安事件
中租-KY／上市其他／9月12日發布／本公司公告官網遭受DDOS攻擊事件說明
兆豐金／上市金融保險業／9月12日發布／本公司及證券、票券、投信子公司網站遭受DDOS攻擊事件說明
彰銀／上市金融保險業／9月12日發布／本行官網遭受網路DDoS攻擊事件說明