【資安週報】1028~1101，中國駭客組織動作頻頻，打造可攔截Session及Cookie的惡意工具，挖掘產品未知漏洞並用於攻擊行動

10月最後一星期的資安消息中，在國家級駭客威脅態勢上，有3起關於中國駭客組織攻擊的重要消息，其中兩起備受重視，一是中國駭客組織Evasive Panda打造惡意軟體工具包CloudScou的情形被資安業者揭露，而且已被用於針對臺灣政府機關和宗教團體的實際攻擊行動，由於該工具包可攔截Session及Cookie，將能存取Google Drive、Gmail、Outlook等公有雲服務；另一是資安業者Sophos揭露有駭客在四川地區從事漏洞的研究、利用與開發，再提供給中國政府資助的多個駭客組織進行使用，除此之外，中國政府支持的攻擊者也針對其他品牌的網路與資安設備，同樣是近年多家資安業者不斷警告的嚴重威脅。

●中國駭客Evasive Panda開發可攔截Session及Cookie的惡意軟體工具包，資安業者ESET發現臺灣政府機關與宗教團體在前兩年成為其攻擊目標。
●中國駭客近5年鎖定多家廠牌的網路設備、資安設備，挖掘零時差漏洞從事攻擊行動，資安業者Sophos揭露最新研究報告Pacific Rim。
●前兩個月殭屍網路Quad7的威脅大幅提升，微軟揭露最新調查結果，指出中國駭客Storm-0940所為，並有多組中國駭客使用該殭屍網路所竊得的帳密資料。

還有俄羅斯駭客Midnight Blizzard（APT29）的威脅，需關注其大規模攻擊活動，因為根據微軟威脅情報中心釋出的最新消息顯示，APT29正寄送內含惡意RDP組態檔案且高度針對性的釣魚郵件，英國、歐洲、澳洲、日本等數十國的政府、學術界、國防、非政府組織都是目標。

勒索軟體也是主要的威脅焦點，有多家資安業者揭露不同勒索軟體的最新動向。例如，SonicWall在8月下旬修補的SonicOS漏洞CVE-2024-40766，如今有資安業者指出勒索軟體Fog、Akira的攻擊行動在初期入侵時，就是利用SonicWall防火牆設備的SSL VPN帳號；10月底資安研究人員發現Cyber​​Panel伺服器管理平臺存在3種弱點，後續發現已有攻擊者鎖定可公開存取的CyberPanel發動攻擊，並部署勒索軟體Psaux；有資安業者揭露勒索軟體駭客Black Basta使用新的戰術，先透過網釣郵件，再透過微軟Teams進行社交工程攻擊引誘使用者上當。

還有兩個威脅態勢同樣值得留意，包括有研究人員展示新的Windows安全降級手法，可在Windows核心植入Rootkit，以及有資安業者揭露香港、巴基斯坦關鍵基礎設施遭遇Cobalt Whisper攻擊，發現濫用紅隊演練工具Cobalt Strike並使用超過30個誘餌檔案。

在資安事件方面，當中許多是先前公眾已知事故的後續消息，涵蓋國內外的紡織業、電信與ISP業者、醫療業。

●臺灣上市紡織纖維業力鵬在28日發布重訊，說明楊梅廠部分主機於凌晨遭受加密攻擊，本地備份資料亦遭刪除，現正自異地備援資料還原中。
●美國多家ISP業者先前傳出中國駭客Salt Typhoon入侵，美國FBI與CISA證實這項消息，說明已通知受影響的公司，並鼓勵潛在受害者與政府機關共同應對。
●法國大型ISP業者Free先前傳出資料被兜售於駭客論壇，該公司證實資料遭到外流，並說明是管理工具被鎖定而遇害，導致部分個資遭到未經授權存取。
●美國醫療服務供應商UnitedHealth今年2月遭勒索軟體攻擊，該公司半年多後通報美國衛生及公共服務部的資料顯示新的消息，外洩的用戶資料高達1億筆。

在資安防護上，我們認為有3個消息最要注意，分別是：找出產品未知漏洞的競賽、攻破駭客網路基礎設施的行動，以及面對AI時代發展的國安政策。首先，Pwn2Own Ireland 2024幫助提前找出逾70個零時差漏洞，其次歐盟與荷蘭執法單位搗毀竊資軟體RedLine、Meta的基礎設施，第三是美國政府發布首個AI國家安全備忘錄。

【10月28日】上周四勒索軟體RansomHub聲稱攻擊臺灣被動元件製造廠

過去一週以來，有5家上市櫃公司發布資安重大訊息，證實遭遇資安事故，其中一起被動元件製造商華新科技公告的網路攻擊事件，有資安業者透露很有可能是勒索軟體攻擊。

值得留意的是，勒索軟體駭客組織RansomHub對臺灣企業下手的情況並非首例，今年6月，這些駭客聲稱從老牌筆電廠藍天電腦竊得200 GB內部資料。

【10月29日】中國駭客開發專偷雲端資料的惡意軟體工具包並用於實際攻擊行動

中國駭客組織Evasive Panda最近動作頻頻，先是使用後門程式Macma攻擊臺灣及美國的macOS用戶，後來對網際網路服務供應商（ISP）發動DNS中毒攻擊，再對不安全的軟體更新機制下手，最近有研究人員指出，這些駭客最近2年開發了惡意軟體工具包，專門偷取企業組織的雲端資料。

值得留意的是，這款工具包在駭客從事攻擊行動2年後才被發現、揭露，且有部分元件用途仍不明朗，代表相關行蹤可能相當不易察覺。

【10月30日】竊資軟體RedLine遭到執法單位查封擊

近期歐洲及美國跨國打擊網路犯罪的情況，有不少新的斬獲，本週有參與執法行動Operation Magnus的執法機構表示，他們已成功破壞惡名昭彰的竊資軟體RedLine、Meta的基礎設施，並將循線追查買家。

特別的是，這次執法單位特別製作影片並透過駭客論壇嗆聲，警告罪犯已被嚴密監控，表明能夠控制基礎設施並取得他們的顧客資料，並將採取法律活動。

【11月01日】中國駭客鎖定各家廠牌的網路設備下手，挖掘零時差漏洞並用於攻擊行動

先前美國政府與微軟聯手提出警告，中國駭客Volt Typhoon鎖定SOHO網路設備而來，架設殭屍網路KV Botnet用於攻擊關鍵基礎設施，但如今有資安業者指出，中國駭客濫用SOHO網路發動攻擊的情況，背後存在更為龐大的網路犯罪生態。

資安業者Sophos表示，針對這些設備的中國駭客組織還有APT31、APT41等多組人馬，而且，在找出漏洞後，會交由其他中國資助的駭客運用。