【资安周报】2021年11月4日至10日

在最近一周的资安新闻里，诈骗事件、开发工具Npm套件COA的供应链攻击，以及线上股市交易平台Robinhood的资料外泄，都相当值得留意。尤其是与一般民众有关的秀泰影城遭骇，导致近百人接到诈骗电话，其中有人损失上百万元，民众应该要对于这种类型的诈骗事件提高警觉。此外，因疫情持续延烧而更加普遍采用的QR Code付款，也出现在加密货币的诈骗事件，而使得这些被骗走的钱财更难以追回。

而对于漏洞的部分，骇客利用企业尚未修补的GitLab、AD自助管理平台ManageEngine ADSelfService Plus漏洞、飞利浦电子病历系统（EMR）漏洞发动攻击的现象，也有待IT人员尽速安装修补程式来因应。

【攻击与威胁】

秀泰影城被骇、波及逾90人，有人8小时内被骗走114万元

知名电影院秀泰影城遭骇客入侵，会员资料被诈骗集团拿来行骗，这起事故得到内政部警政署刑事警察局的证实。该单位表示，从今年10月开始，他们已接获逾90件民众报案或洽询相关状况，其中，1名居住于台北市的40岁林姓男子上当后，在8小时之内就转出114万元。

这名男子因对方声称会员系统设定错误，他的秀泰影城账号一口气订购20张电影票，且即将从信用卡扣款，一时不察依照指示操作，陆续从网络银行、自动柜员机转账20多笔，直到账户金额持续减少才惊觉被骗。

刑事警察局表示，为防范类似的情况再度发生，民众若接获商家、网购平台、银行客服的电话，告知因系统错误需重新设定，民众应直接挂断电话，并在确认客服的联络资讯后，自行拨打电话确认。

美国警告使用加密货币ATM、QR Code付款的诈骗活动升温

美国联邦调查局发现，在越来越多网络诈骗中，骇客为了让骗得的金钱难以被执法单位追回，他们会将受害者引导到实体的加密货币ATM，或是透过QR Code的方式，让受害者付钱购买加密货币。

该单位提醒投资人，切勿与只有在网络上交谈过的人士交易，并在线上支付加密货币时提高警觉。

热门Npm套件COA疑遭劫持，恐导致开发者帐密遭窃

根据资安新闻网站Bleeping Computer的报导，有一个名为COA（Command-Option-Argument）的Npm热门套件，于11月4日晚间疑似遭到劫持，而在数个小时内连续发布带有恶意程式的版本。经过该新闻网站的比对、分析之后，发现恶意版本COA会在受害电脑植入窃密软件Danabot。

骇客入侵美国线上股市交易平台Robinhood，700万个资外泄

美国线上股市交易平台Robinhood于11月3日遭到网络攻击，该公司近期公布初步调查结果，其中攻击者疑似取得500万人的电子邮件信箱、200万人的姓名，以及310人的生日与邮递区号等。

本次的事故中，也传出骇客在入侵成功之后，向Robinhood索讨赎金。不过，Robinhood并未回应上述传闻，仅表示已通报执法机关，并通知受影响客户，且聘请资安业者Mandiant协助调查。

骇客兜售国际航运与货运公司的内部网络存取权限，恐干扰物流运作

威胁情资业者Intel 471提出警告，他们自7月开始，陆续看到有人销售国际航运与物流公司的内部网络存取帐密，这些卖家提供买家存取受害公司的方式，包含了远端桌面连线（RDP）、VPN，以及Citrix和SonicWall的网络设备等。

卖家很可能是透过上述网络设备的漏洞，来获得帐密，Intel 471看到这些卖家，将上述的存取资讯卖给Conti、FiveHands等勒索软件骇客组织。

锁定能源产业的行动装置网钓攻击大增，近半年增加161％

资安公司Lookout指出，今年攻击者锁定远距办公的员工，进行行动装置的网络钓鱼攻击，这样的情况尤其对于能源产业最为显著，因为一旦窃得员工的帐密，就有机会进一步对这些产业的工控系统发动攻击。

攻击者使用AI语音仿造公司老板声音，要求转账得逞

有位香港的银行经理于2020年初，接到对方自称是公司董事的来电，并收到相关法律电子邮件，佯称因并购案须转出巨额资金3,500万美元，由于对方的声音听起来是这名经理曾经交谈过的董事，该经理不疑有他将资金转出。但实际上，这是全球第2起使用AI语音仿造公司老板声音的诈骗案。

最近一份美国法院文件透露，阿拉伯联合酋长国正寻求美国协助，追回上述诈骗案其中的40万美元。该文件亦指出，这起事件至少有17人涉案。

勒索软件骇客利用并购讯息，胁迫受害企业付赎金

美国联邦调查局发布公告，指出勒索软件骇客为了让受害企业就范，攻击过程会收集公司财务资讯，运用如并购等重大事件，以股价来做为筹码，要胁这些受害企业付钱。这些骇客甚至会与想要买空卖空的投机

 

【漏洞与修补】

尚有3万台GitLab服务器尚未修补重大漏洞，恐遭骇客锁定

程式码代管平台GitLab于4月修补重大漏洞CVE-2021-22205，一旦攻击者利用这项漏洞，可远端执行任意指令发动攻击，CVSS风险层级达到满分。但近期资安业者HN Security与Rapid7先后提出警告，表示已有实际攻击行动出现，而能够从互联网上存取的GitLab服务器，仍约有3万台曝露于此漏洞的风险当中。

AD自助管理平台遭到锁定、渗透，骇客以此传送多项攻击工具

管理AD的系统，一旦遭到滥用，攻击者得以在组织内快速大量散布作案工具。美国-于9月中旬，针对ManageEngine ADSelfService Plus用户提出警告，呼吁要尽速修补漏洞CVE-2021-40539，不久之后资安业者发现，锁定该漏洞的攻击增加。

资安业者Palo Alto Networks于9月17日至10月初，发现有其他攻击行动也利用上述AD自助管理平台的漏洞──攻击者先是在互联网上扫描存在漏洞的系统，然后于受害组织植入Godzilla Webshell、NGLite木马程式，以及KdcSponge窃密工具。该公司指出，他们至少发现9个组织遇害，这些组织横跨高科技、国防、医疗保健、能源、教育等产业。

飞利浦医疗保健资讯系统存在SQL注入漏洞，恐导致病人资讯外泄

美国-提出警告，飞利浦病历与医疗照护管理系统Tasy EMR，出现2个SQL注入漏洞CVE-2021-39375、CVE-2021-39376，CVSS风险层级皆达到8.8分，由于全球各地有数百家医院采用这套系统，他们呼吁采用的医疗院所应尽速修补。

Pwn2Own Austin 2021漏洞挖掘竞赛成果揭晓

由趋势科技旗下Zero Day Initiative（ZDI）推出的漏洞研究竞赛，于11月2至5日连续四天举行，这次共有22组参赛者及58项参赛作品，而参赛者所挖掘出的漏洞，ZDI将通报有关业者修补。比赛最终结果出炉，第一名为法国资安厂商团队Synacktiv，台湾资安业者Devcore团队以2分之差获得亚军。

 

【资安产业动态】

Akamai并购Guardicore完成，扩展防御勒索软件的能力

资安业者Akamai于9月29日宣布，将以6亿美元并购以色列新创Guardicore，并在10月21日完成并购作业，Akamai表示，此并购案将有助于扩展他们的零信任解决方案，保护企业防御勒索软件攻击。

东吴大学成立资安卓越中心，引进证照培训课程

为提供更为全面的资安训练，东吴大学于11月1日宣布成立资安卓越中心，并与以色列网络资安训练中心ThinkCyber、新加坡公司Centre For Cybersecurity合作，引进资安证照培训课程，以及模拟实作平台Cyberium Arena。该校宣称，他们是全台湾第一个成立资安卓越中心的大学。