【資安週報】1118~1122，中國駭客組織持續攻擊全球，發起間諜行動與零時差漏洞利用等攻擊

11月第3周的資安新聞中，在威脅態勢方面，最重要是中國駭客鎖定電信業者的間諜行動，後續消息不斷，不只是多家美國電信業受害，其他國家電信業也傳出遭攻擊，如今資安業者CrowdStrike公布最新研究證實此事，指出中國駭客Liminal Panda已鎖定南亞、非洲電信業者多年。

此外，11月中旬適逢黑色星期五行銷活動前夕，以這項活動為誘餌、騙取信用卡及個資的網釣威脅揭露，一直是每年這個時間的新聞焦點，而最近一起攻擊行動的發現中，顯現是中國駭客SilkSpecter主導。

另要關注的是，中國駭客組織是近期零時差利用的主要威脅來源之一。繼上星期我們報導資安業者BlackBerry揭露APT41的近期行動，後續資安業者Volexity揭露該群駭客組織的最新手法，指出發現利用FortiClient零時差利用情形，先前已經通報業者（尚未登記CVE），用戶需多加偵測並注意廠商的修補與緩解。

在漏洞消息方面，有多達6個明確的零時差漏洞利用的情形，涵蓋資安產品、企業產品，與消費端裝置，這些漏洞已被攻擊者利用，用戶應儘速更新並清查是否遭入侵，尤其Palo Alto Networks的漏洞，Shadowserver基金會追查發現全球約有2千臺防火牆疑似遭入侵，臺灣也有58臺。
●Palo Alto Networks針對旗下防火牆修補2個已出現攻擊行動的零時差漏洞，分別是CVE-2024-0012 、CVE-2024-9474。
●Oracle針對旗下產品生命週期管理Agile PLM產品，修補已遭利用的零時差漏洞CVE-2024-21287。
●臺廠奇偶科技多款已終止支援的視訊監控設備，發現零時差漏洞CVE-2024-11120被鎖定利用的情形，用戶應汰換設備因應。
●蘋果針對旗下多個作業系統與Safari瀏覽器修補2個已遭利用的零時差漏洞CVE-2024-44309、CVE-2024-44308，尤其Intel處理器的Mac電腦用戶最要注意。

還有3個已知漏洞，近期被發現有駭客鎖定利用，包括Progress今年2月修補Kemp LoadMaster負載平衡設備的CVSS滿分重大漏洞CVE-2024-1212，以及VMware今年9月修補vCenter Server的漏洞CVE-2024-38812、CVE-2024-38813。

至於資安事件方面，這一星期國內有3家上市櫃公司資安重訊，涵蓋網通、電腦周邊設備與電子零組件業。
●電信寬頻設備大廠中磊代子公司Sercomm Philippines發布重訊，說明該菲律賓公司有部份資訊系統遭受駭客網路攻擊。
●印表機製造商誠研發布資安重訊，說明部份資訊系統遭受駭客網路攻擊。
●電子零組件業晟楠發布資安重訊，說明外部伺服器遭受駭客攻擊。
●上星期國巨代美國子公司發布資安重訊，由於事故發生日是在10月12日，等於事發相隔一個月才公布，證交所開罰5萬元。
●美國汽車大廠福特傳出4萬多筆顧客資料外洩，先是有駭客在地下論壇兜售，後續該公司表示資料是從第三方業者流出。

在資安防護發展方面，我們看到AI治理與個資法的議題，分別是全球與臺灣關注資安風險的重點。首先，BSI揭露國際趨勢與展望，指出AI引發的「錯誤資訊與假消息」，已經被世界經濟組織（WEF）列為近兩年10大風險之首，同時強調AI系統管理標準ISO 42001與AI治理力的重要性，以及國內企業需掌握到國際間對「董事會義務」的高度重視。

其次，在臺灣，關於個人資料檔案安全維護管理辦法有新重要變動，過去政府已規範多個產業，包括數位經濟相關產業、製造業及技術服務、綜合商品零售業等。近日焦點在於「綜合零售業」更名「零售業」，且擴大列管的範圍，涵蓋所有資本額達到1千萬元的零售業，從原本600多家，擴大至包含服飾業者Uniqlo、NET，以及全國電子等6,800多家零售業者。

【11月18日】中國駭客利用FortiClient零時差漏洞存取VPN，入侵受害組織網路環境洞

上週二資安業者BlackBerry揭露對於間諜軟體LightSpy攻擊行動的最新調查結果，指出攻擊者的身分是中國駭客APT41，並提及另一款模組化的惡意程式框架DeepData Framework，事隔3日，有研究人員透露更多關於該框架的外掛模組功能細節，其中最引起他們注意的是，專門針對FortiClient用戶端程式零時差漏洞而來的外掛元件。

值得留意的是，這項漏洞的修補狀態並不明朗，後續發展相當值得觀察。

【11月19日】中國駭客鎖定想趁機撿便宜的黑色星期五購物者發動網釣攻擊

經過雙11購物潮，緊接著由歐美國家發起的黑色星期五（Black Friday）也即將於月底展開，但在此同時，駭客盯上想要藉此買到大幅折扣商品的購物者，企圖偷取他們的信用卡與詳細個資。

威脅情報業者EclecticIQ揭露中國駭客發起的網釣攻擊行動，就是典型的例子。駭客聲稱商品只需2折就能買到，一旦購物者依照指示下單，就會將自己的資料傳送給駭客。

【11月20日】勒索軟體Helldown潛入受害組織，管道是兆勤防火牆的弱點

本週資安業者Sekoia針對勒索軟體Helldown的攻擊行動提出警告，指出這些駭客從原本針對Windows進行加密，如今也開發了破壞VMware ESXi虛擬化平臺的檔案加密工具。

值得留意的是，這些駭客潛入受害組織的方法，是利用兆勤防火牆的漏洞，駭客聲稱他們也成功入侵該公司的歐洲分公司，對此我們試圖聯繫兆勤科技，但在今天資安日報截稿之前，我們尚未得到他們的回應，目前無法進一步證實此事。

【11月21日】中國駭客鎖定南亞及非洲一帶一路國家的電信業者從事間諜活動

這2個月，中國駭客Salt Typhoon鎖定美國電信業者發動攻擊，從而竊取特定政治人物的通話內容，不斷有消息浮出檯面，但值得留意的是，中國駭客並非只針對美國而來，其他國家也有電信業者受害的情形。

例如，中國駭客Liminal Panda針對南亞、非洲電信業者下手，活動已長達4年。值得留意的是，受害電信業者所屬國家，都剛好參與中國的一帶一路計畫，因此研究人員認為，這些攻擊很可能與國家利益有關。

【11月22日】駭客疑似利用零時差漏洞入侵2千臺Palo Alto Networks防火牆

資安業者Palo Alto Networks在2週前發出不尋常的警告，指出他們得知有人掌握一項漏洞，呼籲用戶要限縮管理介面的存取管道因應，到了本週，該公司公布漏洞細節，並指出有一定數量的防火牆遭到攻擊。

但究竟有多少防火牆受害？這幾天Shadowserver基金會表示，約有2千臺防火牆疑似遭到入侵，值得留意的是，雖然多數受害設備位於美國、印度，但臺灣也有災情。