【資安月報】2024年9月，數十個臺灣政府機關、企業的網站服務遭受DDoS攻擊

9月國內最盛大的活動是國際半導體展，當中的半導體資安最新概況，成為本月主要資安焦點之一，其他重要資安消息中，臺灣政府機關及企業本月遭遇多起網路攻擊，有的是企業組織自己宣布，有的是資安業者公布駭客攻擊手法提到臺灣有企業遭鎖定，我們整理7大焦點，幫助大家快速回顧本月重要新聞。

展示PQC晶片與應用的公版平臺

資安已成2024國際半導體展重要一環，不論半導體設備合規、工控資安防護，已是這幾年常見的展出重點，特別的是，今年還有後量子資安產業聯盟的最新概況的揭露，例如，工研院秀出可供產業界開發PQC晶片與應用的公版平臺，以及多家業者投入PQC應用發展，由於從晶片設計到硬體設備、韌體、網路通訊等都需要PQC密碼標準的導入，因此協助產業串接驗證數位邏輯設計的發展亦受關注。

大規模DDoS攻擊再現

臺灣至少45個單位與企業遭受DDoS攻擊。過去臺灣遭受大規DDoS攻擊，大家可能都會聯想到是中國駭客組織雖為，像是兩年前美國眾議院議長裴洛西訪臺前後的攻擊事件，這次情況頗令人訝異，因為這次攻擊是親俄駭客NoName057發動，他們並宣稱是不滿我國總統賴清德引用中俄領土爭議來反駁中國收復臺灣的主張。但該組織對於中俄領土的說詞，其實反而吸引更多國際關注，並意識到俄羅斯領地不歸中國、臺灣也是如此的狀況，而其攻擊行動也呈現親俄分子跟隨中國對臺灣政府發動攻擊。

另外值得留意的是，該組織相當猖狂，其實不只對臺灣多個政府和企業網站進行DDoS攻擊，在前半個月也以不同藉口持續對多國發動攻擊，包括烏克蘭、捷克、法國等地的政府機關網站。

臺灣重大資安事件

資安業者揭露多起駭客攻擊，其中幾起事件顯示臺灣政府與企業被鎖定，因此引發關注，另有4家上櫃公司揭露遭遇資安事故，涵蓋鋼鐵、半導體、環保與電子零組件業。
●臺灣無人機製造商遭駭客鎖定。關於本土軍工產業遭鎖定的消息，近來持續受到關注，特別的是本月又有兩家資安業者揭露臺灣無人機製造商遭鎖定的狀況，一是趨勢科技揭露臺灣衛星及軍事工業今年持續遭鎖定，並指出攻擊者是中國駭客組織TIDrone，另一是Acronis研究人員揭露臺灣無人機業者遭鎖定，並指出攻擊手法包括濫用臺灣企業數位憑證，且可能涉及供應鏈攻擊。
●臺灣政府機關在7月遭中國駭客Earth Baxia攻擊。趨勢科技指出其手法是藉由6月下旬GeoServer修補的漏洞取得初始入侵管道，並使用後門程式EagleDoor。
●多家上櫃公司遭遇網路資安事件。有公司說明部份伺服器遭受駭客攻擊，例如，知名IC設計業者「創惟科技」，還有3家公司說明部分資訊系統遭受駭客網路攻擊，包括專注於複合螺絲及螺栓製造的「世鎧精密」、專注磁性元件與印刷電路板業務的「松上電子」，以及「崑鼎綠能環保」。

殭屍網路威脅生生不息

殭屍網路的威脅態勢不可輕忽，這個月不只是有殭屍網路Quad7最新一波攻擊行動的揭露，還有駭客組織入侵家用路由器來建立自身的物聯網殭屍網路的威脅態勢，要特別注意。繼去年打擊中國駭客Volt Typhoon使用的KV-botnet殭屍網路後，美國司法部今年9月宣布破獲由20萬網路設備組成的殭屍網路Raptor Train，並指出這是由中國駭客組織Flax Typhoon建立，目的是針對臺灣及美國的軍事、政府、高等教育、電信及國防工業等領域展開攻擊。

當心勒索軟體RansomHub

在勒索軟體威脅方面，有一項消息值得關切，今年上半才現身的RansomHub勒索軟體，美國多個安全機構發布在8月底發布聯合公告，指出全球至少210個企業組織受害，因此提供該組織的入侵手法（TTP）與入侵指標（IOC），呼籲外界對於該組織所帶來的危害更要有所警覺。還可以留意的是，趨勢科技9月底揭露最新研究報告，指出該組織還會利用存在弱點的驅動程式來發動攻擊，並運用名為EDRKillShifter的工具，將防毒軟體或端點防護工具EDR停用。

國家級駭客鎖定東南亞各國

多年來中國駭客組織在網路上頻頻發動攻擊，持續引發資安界的重視，這個月又有許多攻擊行動被揭露，其中突顯亞洲、東南亞政府遭鎖定的情形。例如：
●思科威脅情報團隊Talos揭露中國駭客DragonRank的最新攻擊行動，主要針對亞洲、歐洲國家而來，並鎖定代管企業網站的IIS伺服器。
●資安業者Palo Alto Networks揭露中國駭客組織Stately Taurus的最新行動，是鎖定東南亞政府機關從事網路間諜活動。
●資安業者Sophos揭露中國政府主導的大規模網路間諜攻擊行動Operation Crimson Palace，東南亞政府持續遭鎖定。

資安業者更新竟釀災

關於7月19日CrowdStrike更新引發的全球IT大當機事件，由於後續消息的不斷揭露，我們在9月初的封面故事進行完整回顧，幫助大家了解事件在臺灣與全球的影響，同時也統整出5大層面議題，包括：資安業者部署驗證測試發生的問題，微軟為何開放作業系統核心模式驅動程式使用，IT系統風險過於集中，企業應變能力的狀況，還有開發者寫出越界記憶體讀取的情形，也成為本次事件衍生議題。

【資安週報】2024年9月2日到9月6日

在9月第一星期的資安新聞，防護態勢上有兩個重點消息，第一個新聞突顯網際網路BGP路由安全的重要性，先前已有一些國家推動這項議題，像是去年荷蘭政府宣布全面導入RPKI標準，現在美國拿出具體規畫要求聯邦政府實施。至於臺灣，過去幾年TWNIC曾推動RPKI、路由來源驗證等，但後續發展狀況還需要大家關注。

第二個新聞是呈現後量子密碼學（PQC）在產業的最新發展態勢，工研院在2024國際半導體展秀出後量子安全晶片公版的設計，而且有多家業者投入PQC應用發展，包括全濠、宇鼎、威宏、智能資安、竣盟科技、池安量子資安等。

●美國白宮針對邊界閘道協定（BGP）安全問題，發布強化網路路由安全的藍圖，強調聯邦政府須以身作則，加速對BGP安全措施的採用。
●2024國際半導體展登場，數發部數產署與臺灣資安業者在「SECPAAS資安館」呈現半導體產業資安最新方案，其中又以PQC公版應用案例的發展最吸睛。

關於威脅態勢方面，我們列出下列4大消息，其中法國資安業者開發的紅隊演練工具MacroPack遭濫用值得關注，因為其中有一起攻擊行動範圍涵蓋臺灣，另有兩個新聞與濫用合法雲端服務有關。

●紅隊演練工具MacroPack遭多組攻擊者濫用，已發現4起攻擊行動。
●後門程式Voldemort的攻擊行動被揭露，濫用Google Sheets並假冒美、歐、亞洲稅務機關名義以竊取企業稅務資料。
●有鎖定M365用戶的攻擊活動在7月暴增，當中濫用微軟雲端簡報服務Sway來引誘受害者上當，並結合QR Code網釣手法。
●美國司法部宣布扣押俄羅斯用來散布不實言論的網域，以打擊俄羅斯持續操弄美國總統大選的行徑。

在資安警訊與事件方面，有4則重要新聞，當中以RansomHub勒索軟體的相關消息最要重視，不僅多個美國政府機關發布聯合公告，揭露其手法與入侵指標，同時傳出美國石油公司Halliburton向美國SEC通報的網路安全事件，也是遭其所駭。

●美政府警告半年前現身的RansomHub勒索軟體，受害者已超過210家。
●美國石油及天然氣業者Halliburton證實內部資料遭到外流
●英國倫敦交通局證實遭遇網路攻擊，傳出問題出在外部供應商系統。
●提供思科品牌服裝與配件的思科網路商店遭植入惡意JavaScript，信用卡資料、帳密恐外流。

至於漏洞利用消息方面，居易的VigorConnect有兩個2021年修補的已知漏洞：CVE-2021-20123和CVE-2021-20124，用戶要注意是否已進行緩解或更新修補，因為它們近期被美國CISA列入已知漏洞利用清單，此外，上週Chrome零時差漏洞修補有後續消息揭露，指出北韓駭客Citrine Sleet是幕後挖掘漏洞並利用的組織，攻擊行動還利用了另一微軟零時差漏洞，而能在受害電腦作業系統核心植入rootkit程式FudModule。

還有一個漏洞修補情形引起硬體安全界的重視，因為Yubico旗下FIDO裝置存在Eucleak弱點，Yubico指出這是英飛凌加密庫中關於ECDSA實作的旁路攻擊漏洞，將導致攻擊者有機會取得ECDSA金鑰。

【資安週報】2024年9月9日到9月13日

回顧9月第二星期的資安新聞，有3起與臺灣息息相關的事件需要我們密切關注，包括臺灣多達45個單位與企業遭遇DDoS攻擊，以及臺灣無人機製造商被中國駭客鎖定攻擊，且疑似是涉及ERP相關的供應鏈攻擊。

（一）中租、兆豐、彰銀以及臺灣證券交易所接連公告遭DDoS攻擊，親俄駭客NoName057宣稱是他們所為，還有多個臺灣政府機關也是這波攻擊目標。
（二）中國駭客組織TIDrone今年不斷攻擊臺灣衛星及軍事工業，資安業者警告這些駭客似乎特別偏好攻擊無人機製造商。
（三）臺灣無人機製造商遭攻擊行動Operation WordDrone鎖定被揭露，研究人員指出駭客使用舊版Word主程式，並關注為何是臺灣無人機產業遇害。

關於第一則消息，親俄駭客NoName057近期先針對捷克、法國、烏克蘭的政府機關發動DDoS攻擊，自9月9日開始再針對我國網站攻擊，不僅持續鎖定臺灣政府機關，後續幾波又延伸到財稅單位、官股金融機構及部分企業。關於後續消息，數位發展部在周日9月14日召開記者會說明，目前統計45件DDoS攻擊，各機關皆可於短時間內恢復，另指出我國遭受攻擊目標還包括地方稅務機構、區域民航站、主計總處、財金相關機關及部分電信業者等。

這起事件不僅考驗國內應對DDoS的防護能力，特別的是，由於該組織宣稱攻擊原因是，不滿我國總統賴清德引用中俄領土爭議來反駁中國收復臺灣的主張，但該組織的說詞反而促使國際社會可以討論俄羅斯領地不歸中國、臺灣也是如此的狀況，並吸引到更多關注。

第二與第三則消息有密切關聯，一是趨勢科技研究人員揭露，一是Acronis研究人員揭露，其共通點在於均指出臺灣無人機製造商遭駭客鎖定的狀況，並說明攻擊手法涉及利用Word與ERP軟體，可能涉及供應鏈攻擊情形。特別的是，Acronis還點出受害企業使用的鼎新電腦ERP軟體的程式可能遭竄改，鼎新電腦在Acronis揭露3日後做出回應，指出研究人員所提的「Digiwin」資料夾，實為協助企業服務的連線工具－－鼎新雲管家「DigiwinSCP」，目前已預防性關閉此連線並改用其他工具服務客戶。

還有一起國內公司遭駭事件，發生在專注於複合螺絲及螺栓製造的臺灣上櫃公司世鎧精密，他們發布重訊說明公司部分資訊系統遭駭客發動加密攻擊。

在漏洞消息方面，這一星期適逢多家IT廠商的每月例行安全更新修補發布，包括微軟、SAP、Adobe等，在盡速更新修補之餘，有7個漏洞利用情形需要特別重視。
●微軟修補4個已被用於攻擊行動的零時差漏洞，分別是涉及Windows MOTW的CVE-2024-38217，Windows Installer的CVE-2024-38014，Windows Update的CVE-2024-43491，以及Publisher保護機制的CVE-2024-38226。
●SonicWall在8月下旬修補的SonicOS重大漏洞CVE-2024-40766，9月初有多家資安業者示警指出已發現針對該漏洞的攻擊行動。
●有兩個早年的漏洞被美國CISA列入已知利用清單（KEV），分別是2017年Linux Kernel PIE的CVE-2017-1000253，以及開源圖像處理軟體ImageMagick的CVE-2016-3714。

在資安事件與威脅態勢方面，國際間有多個重要消息，當中以Fortinet遭駭事故受矚目，該公司在24小時內發出公告證實此事，承認是存放於第三方雲端共享硬碟內的有限檔案遭未經授權存取，並表示該公司的產品及服務未受影響，後續Fortinet臺灣也說明此次事件對臺灣的客戶並未造成任何影響。

●有人在Breach Forum論壇發文聲稱入侵Fortinet的Azure SharePoint帳戶並竊取440 GB資料，Fortinet證實第三方雲端共享硬碟出現未經授權存取。
●法國IT顧問公司Capgemini疑似發生資安事故，有人在駭客論壇公布20GB的資料，涉及該公司檔案、程式碼與客戶資料。
●卡巴斯基提供移除惡意程式rootkit的工具TDSSKiller，竟遭勒索軟體RansomHub駭客利用此工具來關閉EDR。
●微軟免費開發工具遭中國駭客Stately Taurus濫用，企圖滲透東南亞政府機關竊取機密。
●中國政府主導的網路間諜行動Operation Crimson Palace被揭露，有3波鎖定東南亞的攻擊行動至少4個駭客組織參與，且其入侵手法會利用公開工具隱匿行蹤。

在資安防禦動向上，以國際支付巨擘在資安領域的投入最受關注。由於早年我們經常看到VISA舉辦資安高峰會，公布支付安全的進展，揭露針對交易安全的紅隊攻擊演練，以及併購資安業者等，最近Mastercard也展示他們對資安的重視與投資，不僅在上個月舉行的Black Hat USA 2024大會參展，如今他們更是宣布以26.5億美元併購威脅情報供應商Recorded Future。

【資安週報】2024年9月16日到9月20日

中秋假期間的資安威脅不容小覷，近期有多個攻擊行動被揭露，其中兩起消息值得留意，一是資安業者揭露中國駭客Earth Baxia今年7月曾針對臺灣某個政府機關發動攻擊，值得注意的是，該攻擊利用GeoServer已知漏洞發動攻擊，並植入後門程式EagleDoor；一是發現中國駭客鎖定代管企業網站的IIS伺服器入侵的情形，主要利用特定的網頁應用程式服務來部署Web Shell，而其針對的目標是歐亞地區的企業網站。

●臺灣政府機關遭中國駭客Earth Baxia攻擊，資安業者指出是其手法是藉由GeoServer已知漏洞發動攻擊。
●中國駭客DragonRank攻擊亞洲、歐洲IIS伺服器，還會利用惡意程式PlugX、BadIIS來操縱搜尋引擎的排名。
●惡意程式Amadey竊取帳密資料有新招，利用瀏覽器的Kiosk模式來提升憑證竊取的攻擊成功率。
●防毒業者Dr.Web驚傳遭入侵，暫時切斷所有伺服器的連線。
●臺美國防工業會議相關人士遭到鎖定，資安業者Cyble揭露發現相關誘餌檔案，是偽裝PDF檔案的Windows捷徑檔。

在漏洞消息方面，本周有多個漏洞利用狀況，我們注意到前不久修補的IE漏洞CVE-2024-43461，出現新的變化——當時微軟指出該漏洞並未被大規模利用，一星期後確認該漏洞在修補之前就被利用。
●微軟本月修補的Windows MSHTML平臺漏洞CVE-2024-43461，後續發現在修補前已遭Void Banshee駭客組織利用。
●Progress在8月底修補WhatsUp Gold的漏洞CVE-2024-6670，資安業者警告已出現實際攻擊行動。
●Ivanti修補Cloud Services Appliance已遭利用的2個零時差漏洞：CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修補的漏洞CVE-2024-27348，最近發現遭積極利用。
●多個舊漏洞被美CISA列入已知漏洞利用清單，包括微軟的漏洞（CVE-2020-0618）、Oracle的漏洞（CVE-2022-21445、CVE-2020-14644），以及Adobe的漏洞（CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502）。

還有多個漏洞修補消息需盡速因應，包括：GitLab修補CVSS滿分漏洞，以及OpenShift、VMware vCenter伺服器、新興AI系統AutoGPT、Docker、D-Link Wi-Fi路由器等的漏洞修補。

特別的是，本星期還有一類型資安新聞也成重要焦點，因為駭客攻擊家用連網設備的消息不斷，涵蓋家用路由器與Android電視機上盒。

例如，殭屍網路Quad7最新一波攻擊行動的揭露，繼先前TP-Link路由器發現被鎖定，如今攻擊範圍擴大，兆勤（Zyxel）、華碩、Ruckus等廠牌的路由器產品都成鎖定目標；還有美司法部宣布破獲中國駭客組織Flax Typhoon委由中國業者Integrity Technology Group建立的Raptor Train殭屍網路。

上百萬Android電視機上盒的韌體遭植入後門程式的狀況，亦受不少人關注，是本周資安新聞排行的焦點。研究人員指出這是在今年8月發現，受害裝置多為知名度較低的品牌，但尚不清楚感染途徑。

由於近年來駭客組織入侵家用路由器來建立自身的物聯網殭屍網路，其態勢是日益嚴峻，像是去年美國即拿下中國駭客Volt Typhoon使用的KV-botnet殭屍網路，因此如何持續緩解這方面的威脅，相當關鍵。

【資安週報】0923~0927，有駭客假冒GitHub站方並以漏洞處理名義發送社交工程詐騙信

在9月最後一星期的資安新聞中，在威脅態勢上，有兩則鎖定開發人員的網路威脅消息值得關切。

一是近期許多GitHub用戶反映收到電子郵件通知，聲稱用戶參與的專案有處理儲存庫的資安漏洞要處理，但該郵件內的連結是指向github-scanner[.]com，這根本不是GitHub的網域，目的就是欺騙不謹慎檢查網域的用戶，另一起是北韓駭客Citrine Sleet於PyPI上傳惡意Python套件，吸引開發人員上當的攻擊活動，研究人員指出很可能是為了發動供應鏈攻擊；還有鎖定雲端挖礦的威脅值得持續留意，有兩起鎖定不同系統的揭露。

●駭客網釣佯稱GitHub用戶自己的儲存庫有資安漏洞需要處理，目的是散布竊資軟體Lumma Stealer。
●北韓駭客Citrine Sleet上傳惡意Python套件，意圖散布RAT木馬PondRAT。
●Docker引擎API遭鎖定，有駭客發動大規模挖礦攻擊行動。
●資安業者針對駭客組織TeamTNT疑似重出江湖提出警告，並揭露近期鎖定CentOS的虛擬專屬伺服器。
●揭露新的安卓金融木馬Octo2，已發現歐洲國家出現受害裝置

在資安事件方面，在國內有3起新聞，都是上櫃公司發布資安事件重大訊息，包含知名IC設計的創惟，以及專注磁性元件與印刷電路板業務的松上，特別的是，松上在資訊揭露上相當主動，於官方網站也有同步發布消息；在國際間則有一起關於水利關鍵基礎遭遇網路攻擊的消息，所幸不影響其服務與用水。

●上櫃綠能環保「崑鼎」揭露部分資訊系統遭受駭客攻擊
●上櫃半導體業「創惟」說明部份伺服器遭受駭客攻擊
●上櫃電子零組件業「松上」揭露部分資訊系統遭受駭客攻擊
●美國堪薩斯州供水設施宣布遭遇網路安全事件，被迫切換手動操作因應。

在漏洞消息方面，本星期有一個漏洞利用需要優先注意，那就是8月初修補Ivanti的Virtual Traffic Manager漏洞CVE-2024-7593，如今發現已有攻擊者鎖定該漏洞利用。

特別的是，本週的重大漏洞修補新聞相當多，有3項涉及開源需儘速檢查因應，包括：圖像化資料分析系統Grafana開發團隊修補軟體開發套件，FreeBSD開發團隊針對Hypervisor元件的修補，資料庫管理工具pgAdmin開發團隊的修補；在產品面也有多個重大漏洞修補發布，需要用戶儘速處理，包括：臺廠Cellopoint針對郵件安全閘道的修補，Pure Storage針對旗下儲存系統FlashArray和FlashBlade的修補，Acronis備份軟體Plug-in程式的修補，以及晶片製造廠商Microchip針對ASF進階軟體框架的修補。

另外值得一提，8月初美國CISA警告臺廠陞泰科技（Avtech）旗下視訊監控攝影機AVM1203的重大漏洞被攻擊者散布Mirai變種，時隔近一個月陞泰科技終於回應，指出該產品停產近7年，但他們決定破例提供新版韌體予以修補。

在網路威脅防禦的面向，這一星期有兩大焦點，首先，是臺廠網擎資訊在Hello World Dev Conference的一場演說上，解析本土電子郵件系統防禦的演進與挑戰，當中並呼籲國內IT主管需改變思維：「千萬不要覺得一家公司的CVE（通用漏洞揭露）很多，就認為他們不安全」，這是廠商負責任的態度，勇於及時公布，並且分享情資讓大家趕快更新。

另一是Gogolook呼籲企業需負起責任應對網路詐騙，目前全球已有主要國家率先立法因應，包括臺灣、英國、歐盟、美國、新加坡等，也有少數企業已經強烈意識到企業要更主動保護消費者，不僅推動詐騙偵測阻擋及識詐教育，同時將「防詐政策與作為」納入永續報告書。

2024年8月資安月報

2024年7月資安月報

2024年6月資安月報

2023年5月資安月報

2024年4月資安月報

2024年3月資安月報