【資安週報】1125~1129，中華電信提供寬頻網路用戶的D-Link數據機被發現漏洞，該設備年初已終止支援，近6萬臺仍在使用

11月最後一周的資安新聞中，在漏洞消息方面，有2大漏洞利用消息與1項漏洞警訊需要優先關注，都與邊緣裝置安全有關，涵蓋Array Networks、Zyxel Networks與D-Link的網路產品。

●大宇集團旗下Array Networks去年3月修補的SSL VPN系統漏洞CVE-2023-28461，如今發現有駭客開始利用此已知漏洞發動攻擊。
●兆勤科技（Zyxel Networks）今年9月修補防火牆漏洞CVE-2024-42057，隨著資安業者Sekoia示警，後續兆勤警告攻擊者開始鎖定這項已知漏洞。
●中華電信提供許多個人及政府機關的D-Link數據機DSL-6740C，本月被國內資安研究人員揭露存在8個漏洞。

值得注意的是，這2項漏洞利用的幕後凶手已被資安業者查出，趨勢科技揭露中國駭客組織Earth Kasha最新攻擊行動，就是利用上述Array的漏洞與另一Fortinet已知漏洞作為入侵起始點，臺灣與日本的企業均有受害案例；資安業者Sekoia揭露勒索軟體Hellodown的攻擊行動，指出是利用上述兆勤漏洞入侵。由於已出現攻擊行動，我們要提醒的是，還沒修補的用戶需盡速更新與清查是否已受影響。

而D-Link數據機的DSL-6740C漏洞揭露亦是一大警訊，因為該設備今年初已終止支援，加上臺灣現在還有多達57,945臺仍在運作，顯示出中華電信處理EOL設備的速度太慢，以及還有很多人並不知道這類設備需要中華電信更換。

在資安事件上，11月底感恩節前夕有一起勒索軟體攻擊事件受矚目。美國供應鏈管理業者Blue Yonder遭攻擊後導致服務中斷，影響北美1.1萬家星巴克門市與英國2家連鎖超市等系統，使其員工只能手動作業，且3天後系統仍未恢復。

國內也發生一起事件值得我們警惕，就是北捷AI客服被測試發現可代寫程式碼。過去ChatGPT等生成式AI常因提示注入攻擊（Prompt Injection）被誘導，超出違反原本的安全或使用限制，因此後續各界不斷強調提高AI安全護欄能力。雖然此次未達惡意濫用程度，但已暴露國內可能輕忽系統AI安全護欄的問題。

在資安威脅態勢上，有多個中國與俄羅斯駭客組織的攻擊活動被揭露，其攻擊目標相關廣泛，涵蓋瀏覽器、作業系統，也有鎖定電信業者，以及針對圖博（西藏）民眾等：
●近兩個月Firefox與微軟分別修補的零時差漏洞（CVE-2024-9680、2024-49039），如今資安業者ESET公布幕後攻擊者是名為俄羅斯駭客Tropical Scorpius（又名UNC2596）所串連利用，並會植入後門程式RomCom。
●電信業注意！關於中國駭客組織Salt Typhoon攻擊全球電信業又有後續消息，趨勢科技揭露攻擊者會植入名為Demodex的rootkit程式，而近期攻擊東南亞電信業者的事故中，還使用先前未曾揭露的GhostSpider等多款後門程式。
●中國駭客TAG-112新一波鎖定圖博新聞媒體、大學網站的攻擊被揭露，目的是針對瀏覽網站的使用者電腦植入Cobalt Strike，目前尚不知駭客利用那些漏洞。
●鄰居被駭也是自家被攻擊的前奏，最近資安業者Volexity公布俄羅斯駭客APT28在俄烏戰爭前夕藉由Wi-Fi管道的攻擊方式－－Nearest Neighbor Attack。
●駭客濫用防毒軟體元件從事自帶驅動程式（BYOVD）攻擊的手法越來越多，最近一起是針對Avast的驅動程式元件而來，以停用受害電腦防護機制。

在資安防禦新聞中，我們觀察到兩個關鍵議題備受關注，包括：促進民間資安情報的聯防合作以及打擊網路犯罪，分別是臺灣與全球關注資安風險的重點。

首先是今年台灣資安通報應變年會，透露了TWCERT/CC的日後新方向，指出為了讓聯防更有效果，將以情資角度作為向企業溝通的方式，而不像過去從事件通報角度向企業溝通，目標是讓企業回報的內容，可以更聚焦在聯防需要的情資，意即：何種類型攻擊、可能攻擊標的、入侵指標（IoC）、攻擊手法等關鍵資訊。

另一個是全球在查緝網路犯罪方面取得新成果。國際刑警與非洲刑警聯手行動，在19個非洲國家逮捕了千餘名嫌犯。其中部分犯罪行動涉及高技術含量，例如在肯亞破獲的一起網路信用卡詐騙案中，駭客利用修改銀行系統安全協議的方式，執行惡意腳本竊取資金，並流向多國司法管轄區內的金融相關機構。

【11月25日】俄羅斯駭客在軍事行動前夕，藉由跳版入侵目標組織的無線網路環境

最近幾年，有研究人員揭露利用Wi-Fi無線網路從事近距離、非接觸式的攻擊手法，但這樣的手段鮮少在實際的資安事故曝光，如今有研究人員公布此種類型攻擊行動。

資安業者Volexity指出，2年前俄羅斯駭客組織APT28就是利用類似的策略，先攻擊目標組織鄰近的企業，再藉由這些跳板存取目標組織的Wi-Fi網路，從而進行相關的情報收集。

【11月26日】軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊，客戶受到波及

供應鏈攻擊事故頻傳，最近軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊，傳出已對客戶的運作造成影響，目前已有連鎖咖啡店星巴克、英國兩大超市證實受到波及。

值得留意的是，11月21日Blue Yonder證實因資安事故導致代管服務中斷，但目前尚未確認復原的時間，相關災情與影響範圍有待後續觀察。

【11月27日】攻擊者串連Firefox與Windows的零時差漏洞，能在使用者毫無察覺的狀況下植入惡意程式

攻擊者利用瀏覽器零時差漏洞的情況不時傳出，但多半會針對較多人使用的Chrome而來，發生在今年10月上旬的Firefox零時差漏洞攻擊相當引人關注，如今通報漏洞的研究人員更多細節。

他們提及這波攻擊行動由俄羅斯駭客RomCom發起，在過程裡還會運用Windows零時差漏洞CVE-2024-49039，使得攻擊者無須與使用者互動，就能將後門程式散布到受害電腦。

【11月28日】第一款針對Linux主機的UEFI Bootkit現身

埋藏在UEFI韌體的惡意啟動工具UEFI Bootkit相當神秘，攻擊者藉此隱匿行蹤，並能從開機階段就挾持整臺電腦，讓執行於作業系統之上的防護機制失效，這樣的情況最近有了新的變化。

本週資安業者ESET揭露新的惡意啟動工具Bootkitty，並指出雖然這支程式很可能仍在開發階段，但是第一個專門針對Linux作業系統的UEFI Bootkit，後續發展相當值得留意。

【11月29日】駭客利用CleverSoar惡意程式於中國、越南電腦散布多種惡意軟體

惡意軟體框架Winos 4.0的攻擊行動，最近半年已出現數起相關事故，但值得留意的是，過往駭客的主要攻擊目標，都是使用簡體中文的使用者，而在最近一起事故當中，慣用越南文的用戶也是目標。

不只攻擊的範圍擴大，散布該惡意程式的駭客也搭配其他新工具來進行，其中一種引起研究人員關注的是惡意程式部署工具CleverSoar。