资安一周第170期：国内多家上市柜公司遭到网络攻击。半导体资安标准即将于12月发布

10/28-11/3必看资安新闻

 

＃勒索软件攻击

日胜生集团接连发布资安事件重大讯息

营建商日胜生近期传出遭网络攻击，在10月29日台湾证券交易所发布重大讯息，表明该公司及其子公司，部分资讯系统遭受骇客网络攻击，但日常营运并未受到重大影响。日胜生公司发言人陈婷婷指出，他们疑似遭到勒索软件LockBit 2.0的攻击。

相隔4日，日胜生旗下兴柜的百货零售业者京站实业，也在证交所发布重大讯息，也表明公司部分资讯系统遭受攻击。京站发言人陈岱慧表示，此次事件与日胜生10月底事故有关，他们因集团共用的服务器而连带受到影响。

针对日胜生受骇客攻击事件，勒索软件组织LockBit 2.0声称握有141 GB资料，并打算向其索讨8万美元赎金。详全文

 

＃勒索软件攻击

钢铁大厂中鸿备份系统遭到病毒攻击，骇客留下勒索讯息

隶属于中钢集团的中鸿钢铁，于10月27日下午5时25分，在股市公开资讯观测站发出公告，指出他们的资料备份服务器遭到病毒攻击。

中鸿行政副总经理罗嘉文表示，他们看到受影响的备份资料副档名遭到窜改，骇客亦留下了勒索讯息。由此迹象看来，很有可能就是勒索软件攻击。详全文

 

＃网络攻击  ＃高科技产业

半导体封测硅格遭网络攻击，受影响生产机台逐步恢复

在11月1日下午2时，封测厂硅格于台湾证券交易所发布重大讯息，说明公司发生网络安全事件，他们发现公司服务器遭受病毒感染，虽然生产机台也受到此事件冲击，但公司表示无重大影响。详全文

 

＃资安产业动态  ＃高科技产业

历经三年制定，半导体资安标准即将于12月发布

为解决高科技产业资安防护难题，台湾半导体界在2019年也凭借自身影响力，推动晶圆设备资安标准（案号6506：Activity Start: 2019/01/01）制定，让半导体产业供应商能够遵循。历经多次来回提交SEMI修改，在近日举办的SEMICON Taiwan线上资安趋势高峰论坛上，台积电企业资讯安全处长屠震表示，这项标准将在2021年底12月正式发布，SEMI台湾资安委员会亦于今年6月成立。详全文

图片来源：SEMI

 

＃供应链安全  ＃Unicode

Unicode惊传出现漏洞，恐让骇客在程式码中植入人类无法察觉的内容

两名来自剑桥大学的研究人员Nicholas Boucher与Ross Anderson，揭露藏匿在万国码（Unicode）中的安全漏洞CVE-2021-42574，此漏洞涉及万国码的双向（Bidi）支援机制，将影响所有支援万国码的程式语言，目前已确定受波及者，涵盖C、C++、C#、JavaScript、Java、Rust、Go，以及Python等，研究人员推测，其他程式语言也可能会受到影响。

骇客一旦运用这项漏洞，便能在软件的程式源代码中，注入人类看不见的安全漏洞，因此，研究人员将其命名为Trojan Source。详全文

 

＃零信任  ＃密码破解

密码泼洒攻击大增，锁定多种管理员与高阶主管而来

为了取得组织高权限账号的使用权，且不致被资安系统察觉，近期攻击者在猜测密码的做法，以极低频率进行这类行为。对此，微软提出警告。他们发现，今年以密码泼洒（Password Spray ）手法攻击企业的事件大增，对此，他们特别提醒企业，并列出多项防御建议。

研究人员指出，攻击者锁定未强制执行多因素验证（MFA）的老旧协定下手，并针对具有管理权限或是CxO等级的公司高层发动攻击。详全文

图片来源：微软

 

＃漏洞修补不全  ＃LPE

微软LPE漏洞修补不全，影响所有版本Windows

由研究人员Abdelhamid Naceri发现并通报的CVE-2021-34484，微软甫于8月修补，但该名研究员指出，在检视修补程式后，他发现微软只处理其中一个概念性验证程式（PoC），而导致攻击者仍能在不知密码的状况之下，以其他使用者的身份执行任意程式。

这项漏洞存在于Windows的使用者设定档服务（Windows User Profile Service），一旦遭到利用，攻击者便能获得本机权限升级（Local Privilege Elevation，LPE），包含Windows 11与Windows Server 2022在内的操作系统皆受影响。详全文

 

＃勒索软件攻击

欧洲刑警组织一举逮捕12名勒索软件骇客

经过8个国家的联手调查与行动，欧洲刑警组织（Europol）宣布，在10月26日一举于乌克兰及瑞士，逮捕了12名勒索软件骇客，扣押了5.2万美元现金，5辆名贵汽车，以及许多的电子装置。而这些嫌犯是LockerGoga、MegaCortex，以及Dharma等勒索软件RaaS服务的主嫌，这些勒索软件于71个国家展开攻击，受害组织超过1,800家。详全文

图片来源：Norway National Criminal Investigation Service

 

＃网络攻击  ＃关键基础设施

伊朗的国营石油公司NIOPDC遭骇，有骇客组织承认犯案

伊朗的国营石油公司NIOPDC于10月26日，疑似遭到国家级骇客攻击，迫使该国境内近4千个加油站运作中断，伊朗-认为此起事故是国外的骇客所为，并对此强力谴责。

事隔一天，这起事故有了新的进展──根据BBC新闻网的报导，名为Predatory Sparrow骇客组织在Telegram的频道上宣称，这起事故是他们所为，目的是对于德黑兰恐怖政权的抗议。详全文

 

＃资安产业动态  ＃资安人才培育

微软计划于4年内培养25万个资安人才

为了因应美国资安人力不足的情况，微软于10月28日宣布，将展开为期4年的培训活动，针对资源不足的社区大学提供协助，包括将提供全美所有社区大学免费课程，替150所社区大学的老师培训，以及提供奖学金与资源予2.5万名学生，企图在2025年时，替美国增加25万个资安人才。详全文

 

 

更多资安动态

●勒索软件Hive锁定Linux、FreeBSD发动攻击
●卡巴斯基Amazon服务凭证被窃，被用钓鱼邮件攻击
●骇客借由出帐管理系统漏洞入侵，发动勒索软件攻击