【資安週報】1104~1108，用戶身分安全受矚目，焦點涵蓋Passkey無密碼登入、金融Fast-ID、強制啟用MFA

11月第一週的資安消息中，在防護動向上，以身分安全為主要焦點，有3起消息都與此有關，其焦點涵蓋Passkey無密碼登入、金融Fast-ID，以及強制啟用MFA。

例如：我們最近發布的封面故事，就是關於臺灣網路服務業者至少已有3家業者，包括：露天市集、可樂旅遊、智冠科技，均在大力宣傳「Passkey無密碼登入」，或是「FIDO生物識別登入」，這不僅代表開始跟上國際業者腳步，也讓用戶能有更安全簡便的登入方式；關於金融Fast-ID驗證轉接中心的進度，先前金管會已透露將於明年6月上線，11月初台北金融科技展上更是公布先導機構預計達20家，不只銀行、保險、證券期貨，也擴及投信投顧與政府機構；Google Cloud宣布明年強制啟用MFA的消息中，提到目前仍有3成帳號未啟用MFA，打破眾人對IT人員早就啟用MFA、重視帳號安全的想像，因此引發外界關注。

還有兩則新聞突顯資安防護上的新技術焦點，我們認為同樣值得關注，一是聯合學習，一是AI抓漏。前者是在科技防詐的發展中，臺灣金融業正聚焦聯合學習技術的應用，目前已有3項實證計畫都在檢驗其有效性，並要促進應用落地；後者是涉及LLM模仿人類安全專家找出漏洞的發展，Google的Project Zero團隊與DeepMind共同研發的AI抓漏專案Big Sleep，已有首個公開實例出現。

另外值得一提的是，臺灣駭客年會企業場在11月登場，副總統蕭美琴也到場支持並給予鼓勵，不只推動產官學研與社群力量的持續合作，更強調確保供應鏈的穩定，將能增強外商對臺灣的信心。

在威脅態勢方面，有一起針對臺灣的攻擊最值得留意，思科Talos指出今年7月出現針對臺灣的臉書企業用戶及廣告帳號的攻擊，其手法是以侵犯版權為由，或假冒企業的法律部門，企圖散布竊資軟體LummaC2、Rhadamanthys。還有兩則駭客攻擊活動揭露，都與資安產品被鎖定有關。

●臺灣企業臉書粉專管理員遭鎖定，駭客聲稱收信人的公司盜用他們的圖片及影片，揚言採法律行動，誘騙收信人開啟偽冒為PDF的可執行檔，以植入竊資軟體。
●英國國家網路安全中心（NCSC）揭露有攻擊者鎖定Sophos XG防火牆設備植入Pygmy Goat的後門程式，資安業者Mandiant分析攻擊者與與中國駭客有關。
●有攻擊者將舊版的Cortex XDR代理程式部署到企業，資安業者Palo Alto Networks指出這是藉由自帶驅動程式（BYOVD）手法。
●繼上月美國多家電信業者電信業者傳出遭中國駭客Salt Typhoon入侵，新加坡電信也傳出受駭，並且疑為同一駭客所為。
●安卓惡意軟體FakeCall的攻擊手法有新招，不僅藉由網路釣魚以植入惡意程式，還可將通話重新導向至攻擊者控制的詐騙號碼。
●研究人員揭露可濫用ChatGPT-4o的新手法，將惡意指令編寫成16進位可繞過原有安全護欄的防護。

至於資安事件方面，在國內，以生產汽機車聞名的上市公司三陽工業，發布資安重訊說明部份資訊系統遭受駭客網路攻擊；國際間，則有2起消息受關注，包括：施耐德電機傳出Jira伺服器資料外洩、駭客聲稱從Nokia合作廠商竊得原始碼。

在漏洞消息方面，這一星期有4大漏洞利用狀況，其中CyberPanel伺服器管理平臺的漏洞最受關注，因為在研究人員揭露相關漏洞資訊後出現攻擊行動，這可能突顯安全研究人員與供應商之間溝通不良，造成用戶需要為此買單的狀況。

●CyberPanel上月修補經研究人員通報的安全漏洞，後續發現攻擊者鎖定並布署勒索軟體Psaux，美國CISA將CVE-2024-51567列入已知漏洞利用清單。
●11月Android例行安全更新中，修補已遭利用的安卓框架元件零時差漏洞CVE-2024-43093，以及高通上月修補的零時差漏洞CVE-2024-43047。
●Palo Alto Networks在7月修補Expedition轉移工具的漏洞CVE-2024-5910，11月8日該業者接獲CISA通知，已有證據顯示該漏洞正被積極利用。
●開源Web伺服器Nostromo nhttpd在2019年修補的老舊漏洞CVE-2019-16278，如今仍有攻擊者鎖定未修補用戶發動攻擊。

至於其他漏洞修補動向，還可以留意的包括：HPE Aruba Networking的Wi-Fi基地臺系統軟體、思科的工控無線URWB路由器、以及ABB的智慧建築能源管理系統的漏洞修補。

【11月4日】安卓語音網釣惡意軟體FakeCall出現新手法

使用語音網釣（vishing）的攻擊手法，最近2年陸續有惡意軟體出現，但大多是針對視窗作業系統的用戶而來，假借提供遊戲、應用程式、破解軟體等名義散布，但如今，也有專門針對行動裝置的攻擊事故。

近期資安業者Zimperium揭露的安卓惡意軟體FakeCall攻擊，就是典型的例子，不過值得留意的是，攻擊者整合了手機的電話功能，而能在使用者授權的情況下，挾持電話內容，以便騙取相關金融資料。

【11月5日】臉書粉專管理員、廣告管理員請提高警覺！竊資軟體鎖定臺灣用戶攻擊

駭客針對臉書企業帳號的管理員，以及管理廣告的用戶而來的情況，每隔一兩個月就出現相關攻擊行動，但最近出現專門鎖定臺灣用戶而來的攻擊。

究竟攻擊者身分為何？目前仍不得而知，但從駭客使用了中國用語的情況，容易讓人聯想是來自中國或是華人。

【11月6日】國際警方破獲2.2萬個用於網釣及勒索軟體攻擊的惡意IP位址

各國執法機關共同合作，破壞特定的勒索軟體、竊資軟體運作，近期有所斬獲，繼上個月荷蘭國家警察在跨國執法行動Operation Magnus當中，成功破獲竊資軟體RedLine及Meta的網路基礎設施，本週國際刑警組織（Interpol）宣布，他們與全球95個國家執法單位聯手，經過5個月的時間，總共查獲約3萬個疑似用於網路犯罪的IP位址，並成功封鎖超過2.2萬個。

特別的是，他們提及香港、蒙古、澳門的執法單位參與這次行動的情況，並公布成果。

【11月7日】惡意程式框架Winos 4.0鎖定中國遊戲玩家而來

惡意程式朝向模組化設計的現象，可說是越來越普遍，因為攻擊者藉此能夠彈性搭配不同的外掛模組，從事各式活動，本週資安業者Fortinet揭露的Winos 4.0，就是典型的例子。

研究人員特別提到，Winos 4.0已從一般的後門程式發展成惡意程式框架，功能與滲透測試工具Cobalt Strike、Silver相當，攻擊者能藉此控制受害電腦並執行多種惡意行為。

【11月8日】德國提出刑法修正草案，確立資安漏洞研究的合法地位

研究人員在調查資安漏洞的過程，很有可能面臨系統維護業者、軟體開發業者的關切，認為研究人員在從事駭客行為而採取法律行動，對此，近期有國家特別針對研究人員調整相關法律，而引起注目。

德國聯邦司法部本週提出新的刑法修正草案，就是針對此事而來，而透過修法保護資安研究人員的做法已有先例，2022年，美國修訂《電腦詐欺及濫用法案（CFAA）》，豁免研究人員遭到起訴的風險。