【資安週報】1209~1213，逾30萬臺開源監控軟體Prometheus主機曝露資安風險

在12月第2個星期，適逢多家IT廠商釋出每月例行安全更新，包含微軟、SAP、Adobe、西門子、施耐德電機，需要大家關注與儘快修補，而漏洞新確認遭利用的消息更需密切關注，例如，微軟修補1個已遭利用的零時差漏洞CVE-2024-49138，以及10月底Cleo修補三款MFT檔案傳輸系統的漏洞CVE-2024-50623，因當時修補不全，如今有零時差漏洞利用攻擊出現。

另要留意的是，還有資安業者0Patch針對微軟Windows零時差漏洞示警，尚未有CVE編號，也尚未有修補釋出，但強調此漏洞涉及NTLM，且引誘使用者觸發漏洞的難度並不高，因此暫時不會公布相關細節。

在資安威脅態勢上，有一則關於開源工具Prometheus的重要消息，這款工具經常被用於監控Kubernetes狀態，近期有資安業者對其進行調查，結果發現約有33.6萬臺主機曝露資安風險，原因在於這些伺服器與Exporter多半缺乏合宜的身分驗證，恐讓攻擊者可以輕易地收集帳密或API金鑰等敏感資料。

其他重要威脅態勢，軟體供應鏈攻擊的狀況再次出現，AI模型套件Ultralytics遭滲透成主要焦點，南歐資訊服務業者遭中國駭客鎖定被兩家資安業者聯手揭露的消息，也引發關注，因為攻擊者濫用Visual Studio Code遠端開發功能來隱匿入侵。此外，關於瀏覽器隔離技術的攻擊研究也必須重視，發現可突破防護的攻擊手法，提醒企業不能完全仰賴RBI，仍需要有多層防護與整體資安強化策略。

●PyPI套件Ultralytics被入侵，攻擊者在釋出的新版本植入挖礦軟體，其相依性套件SwarmUI和ComfyUI也受影響，且後續仍傳出相關攻擊行動。
●中國駭客今年6至7月入侵南歐大型B2B資訊科技服務供應商，兩資安業者聯手揭露其特殊隱匿手法，指出駭客濫用VSCode的遠端開發功能來控制受害電腦。
●企業員工上網若採用瀏覽器隔離技術進行保護，仍有機可乘，仍要關注與研究可能威脅，有資安廠商紅隊發現用QR Code傳遞C2命令的技倆，可突破RBI等三大類型瀏覽器隔離防護機制。
●DroidBot安卓遠端存取木馬（RAT）自今年6月起鎖定77家銀行的客戶，資安業者特別指出此木馬顯示行動惡意軟體生態系也出現開發與攻擊分工的情況。
●資安業者Lockout發現新一個安卓間諜軟體EagleMsgSpy，循線追查背後使用該程式的是中國公安。

還有一起關於2020年國家級駭客攻擊的幕後兇手浮上檯面，11月資安業者Sophos公布歷時5年調查的「Pacific Rim」行動，揭露駭客在四川進行漏洞研究與開發，並將結果提供給中國政府支持的駭客團體使用。美國財政部外國資產控制辦公室於12月10日指控，當時利用Sophos防火牆零時差漏洞、入侵全球近8.1萬臺設備的是四川無聲信息技術（Sichuan Silence）員工關天峰，美國國務院則祭出關於該嫌情報的千萬美元獎金懸賞。

勒索軟體攻擊事件仍不斷發生，這一星期有兩則消息，特別是羅馬尼亞電力公司Electrica Group遭遇網路攻擊的事故，羅馬尼亞國家網路安全局（DNSC）已指出是遭到勒索軟體Lynx攻擊，並呼籲其他能源業者要嚴加防範；另一是上月SaaS軟體服務供應商Blue Yonder遭網路攻擊，如今傳出攻擊者是勒索軟體Termite。

在資安防禦上，以臺灣加入FIRST國際資安應變組織的消息最受矚目，今年數量從17個變25個，特別是電子業有更多類型的公司加入，包括IC設計、工業電腦與電腦設備大廠，而且還有國內金融機構首度成為FIRST成員。

在國際間則有多項打擊網路犯罪成果發布，包括歐洲警方關閉網路犯罪市集Manson Market，歐洲刑警組織號召15國合作關閉27個非法DDoS租用服務，以及比利時與荷蘭聯手、西班牙與秘魯聯手，各自破獲跨國電話網釣集團，這也突顯跨國界合作成為打擊犯罪的關鍵，特別是歐洲地區在執法合作上持續有進展與突破。

【12月9日】AI模型PyPI套件Ultralytics成駭客散布挖礦軟體的管道

軟體供應鏈攻擊事故日益頻繁，上週一共發生了兩起，先是傳出JavaScript軟體開發套件Solana Web3.js遭駭，開發人員若是不慎部署有問題的套件，開發環境就會被植入竊資軟體，到了週末，又有AI模型PyPI套件Ultralytics遇竊的情形。

值得留意的是，雖然兩起事故開發團隊都迅速做出處置，撤下有問題的惡意套件，但Ultralytics後續還是有新的惡意套件出現，這起資安事故的進展相當值得留意。

【12月10日】資安業者揭露用QR Code突破瀏覽器隔離防線的攻擊手法

上網威脅日益嚴重，有些企業會採用遠端瀏覽器隔離（Remote Browser Isolation，RBI）系統，將威脅隔離在遠端的伺服器，使得用戶裝置能夠得到保護，這種看似能夠「隔岸觀火」的防護機制，如今有新的手法能夠突破，對使用者電腦進行滲透。

資安業者Mandiant找到一種方法，那就是利用帶有QR Code的網頁來傳遞C2的命令，從而在無需建立正常C2連線的情況下，達到遠端控制的目的。

【12月11日】美國宣布制裁中國資安業者，起因是該公司利用零時差漏洞從事大規模攻擊

上個月資安業者Sophos公布中國駭客大規模攻擊行動Pacific Rim，指出駭客於四川地區從事漏洞調查及開發，將發現的漏洞提供給中國政府資助的駭客運用，如今美國政府也證實這樣的發現。

昨天美國財政部外國資產控制辦公室宣布，他們將對於中國資安業者四川無聲信息技術（Sichuan Silence）祭出制裁，原因是該公司員工找到特定廠牌防火牆的漏洞，將其用於發動全球性的大規模勒索軟體攻擊。

【12月12日】羅馬尼亞政府證實電力公司Electrica遭遇勒索軟體Lynx攻擊

疑為勒索軟體Inc另起爐灶的Lynx，兩個月前資安業者Palo Alto Networks指出他們從今年7月發現此勒索軟體活動的跡象，當時研究人員指出駭客的主要範圍為美國及英國，涵蓋零售、房地產、建築業、金融等產業，但如今這些駭客針對能源產業而來而引起關注。

羅馬尼亞電力公司Electrica Group週一證實遭遇網路攻擊，透露他們與當局合作調查此事，事隔數日，羅馬尼亞國家網路安全局（DNSC）指出是遭到勒索軟體Lynx攻擊，並呼籲其他能源業者要嚴加防範。

【12月13日】西班牙與秘魯共同破獲跨國大型電話網釣集團

12月份有多起執法行動開花結果，例如：歐洲刑警組織（Europol）這兩週先後宣布，比利時與荷蘭共同破獲電話網釣集團，以及15個國家共同圍剿非法27個DDoS租用服務（DDoS-for-hire），昨天再傳好消息。

西班牙警方表示，他們在秘魯協助之下，破獲另一個大型電話網釣集團，這些歹徒於秘魯設置「客服中心」行騙，估計至少已有1萬人上當，損失金額高達30億歐元。