【资安日报】2021年11月18日

近期中东的局势严峻，不时有资安事故传出，例如，日前伊朗的国营石油公司遭到入侵，导致民众无法加油，而今天有数则资安新闻也与中东有关，包含了中东当地的攻击事故揭露：以色列网络攻击业者Candiru攻击中东多个国家的网站，以及脸书拦截了巴基斯坦骇客攻击阿富汗用户的行动，而来自于中东对于其他地区的攻击行动，则有伊朗-资助的骇客对于美国、英国、澳洲等地的关键基础设施下手的情况。

而从国际的资安趋势来看，最近不只是多起国家之间要宣布结盟对抗勒索软件等网络攻击的合作计划，但现在不是只有防守方想要团结起来，发动攻击的组织也打算寻求结盟：俄罗期勒索软件骇客正寻求跨国合作，征求中国骇客提供有关资源。

【攻击与威胁】

巴基斯坦骇客攻击阿富汗脸书用户

脸书于11月16日公告，他们在今年8月，移除巴基斯坦骇客SideCopy所经营的账号，这些攻击者多半佯称是年轻的女性，借此诱骗受害者点选恶意URL，然后下载恶意的即时通讯软件，内有PJobRAT或Mayhem恶意程式，一旦受害者信以为真安装，装置上的资料将遭到窃取，甚至连结受害装置的电脑，资料也可能会被偷走。

中东网站遭到以色列网络攻击公司Candiru攻击

资安业者ESET发现2波针对中东网站的水坑式攻击，第1波始于2020年4月，持续到同年7月底；第2波出现于今年1月，攻击延续至8月，这2波攻击总共危害数十个网站，受害者包含了专门报导中东新闻的英国媒体Middle East Eye，伊朗外交部、也门内政部、也门财政部、叙利亚电力部，以及叙利亚和也门的ISP等。至于攻击者的身份，ESET研判就是甫遭美国制裁的以色列网络攻击公司Candiru。

伊朗-资助的骇客利用Exchange Server与Fortinet漏洞，针对关键基础设施发动攻击

美国网络安全暨基础架构安全局（CISA）、美国联邦调查局（FBI）、澳洲网络安全中心（ACSC）、英国国家网络安全中心（NCSC）联手提出警告，他们自2021年3月以来，发现由伊朗-资助的APT骇客，锁定多个关键基础设施下手，其中入侵受害组织的管道，包含了Fortinet SSL VPN漏洞CVE-2018-13379、CVE- 2019-5591、CVE-2020-12812，以及Exchange Server的ProxyShell漏洞（CVE-2021-34473）。

俄罗斯勒索软件骇客企图寻求与中国骇客结盟

资安业者Flashpoint发现，骇客论坛RAMP近期一改以俄文为主要的使用语言，管理者不只改以英文发布讯息，且针对中文使用者提供专属讨论区。研究人员提到，10月便有使用者向2名中国用户，寻求勒索软件与漏洞购买的消息。目前此论坛约有30名中国用户。

安卓银行木马BrazKing运用新手法，在几乎不需权限的情况下照样窃密

IBM威胁情报团队指出，他们针对新版BrazKing银行木马进行分析后发现，攻击者采用过往相当少见的手法，来回避资安系统的侦测。像是有别于其他的银行木马程式会向用户要求各式权限，BrazKing使用系统的无障碍服务，而只需要少量的权限即可执行窃密工作；对于覆盖手机屏幕的内容，研究人员发现BrazKing会先侦测正在执行的处理程序，再从C2中继站下载所需的工具，而能躲过沙箱的虚拟机器环境检测。

英国揭露2021年资安事故处理情形

英国国家网络安全中心（NCSC）发布了年度报告指出，他们在2020年9月至2021年8月，总共处理了777起资安事故，较前1年增加7%，且其中的五分之一，与医疗产业及武汉肺炎疫苗有关。该单位指出，上述的资安事故数量增加的主要原因，与他们主动识别威胁的能力强化有关。

环球购物中心疑似客户资料外泄，在165最新高风险卖场预警名单中，受理案件排第二多，东森购物与王品集团也受关注

刑事警察局165反诈骗在11月18日下午两时公告最新高风险卖场，本周解除分期诈骗受理案件以东森购物案件最多，加总近一季来已超过300件，值得关注的是，环球购物中心也疑似资料外泄，新入榜排第二，而王品集团的疑似资料外泄情形也受关注，今年3月就有事件，前几周西提牛排与王品牛排有多起报案，本周陶板屋也入榜。

 

【漏洞与修补】

FBI警告近日有攻击者利用FatPipe产品零时差漏洞发动攻击

FBI在11月16日示警，他们发现有APT组织锁定FatPipe网络公司的WARP、MPVPN与IPVPN的零时差漏洞，该漏洞可让攻击者任意上传档案，然后导致特权提升与潜在的后续行动，以此漏洞作为进入其他漏洞的起点。值得关住的是，这样的攻击行动最早可以追溯到今年5月，目前该漏洞尚未通过CVE编号，FatPipe已经发布更新修补，建议用户立即更新到最新版，另一方面，FBI也发布相关IOC与YARA资讯，供使用FatPipe的企业检查是否受影响。此外，根据The Record报导，思科、微软、F5 Networks、Palo Alto Networks、Fortinet与Citrix等公司也可能受影响。

 

【资安防御措施】

美国发布资安事故与弱点的因应指引

美国白宫于5月发布行政命令，要求美国网络安全暨基础设施安全局（CISA）制订标准的作业程序，让联邦机构能够遵循。CISA于11月16日，发布《联邦-资讯安全事故与弱点因应指引》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），该指引提供决策树（Decision Tree）与因应步骤的细节，让联邦市民执行分支机构（FCEB）能对于资安事故与漏洞的缓解，有一套标准的操作程序。

研究人员透过机器学习，识别用于中间人攻击的作案工具

石溪大学（Stony Brook University）和资安业者Palo Alto Networks联手，研发了一种网络指纹辨识技术，借由网络层的属性，自动化识别攻击者用于中间人（MitM）攻击的网钓工具包，这项侦测工具被命名为Phoca，能用于发现过往难以察觉的攻击行动，并且能够检测及隔离有关的恶意连线请求。研究人员宣称，Phoca能够成功侦测工具包的正确性达99.9%。

 

【隐私保护】

台北通遭质疑实联制资料保管不当，市-进行说明

台北市市议员林亮君在质询时提出，台北市-的手机应用程序“台北通”，可能有暗中收集民众资料多达5千万笔的疑虑，且可能因为有外国人使用而违反GDPR。对此台北市-资讯局指出，上述的5千万笔为实联制资料，在28天后就会删除，台北市-与中央都没有保存历史资料，而对于个资的收集与处理，则是依据个资法办理，并强调个资受到严格保护，甫成立的大数据中心仅会将资料用于辅助市府决策，不会贩卖民众的个资。至于GDPR的部分，资讯局表示，台北通并无出于商业目的之资料监控或个人分析行为，也没有在欧盟境内设立据点与资料运用，故不适用GDPR。

因应Deepfake犯罪行为与保护个人隐私，司法院提出修法草案，修法加重刑责并增订3条罪刑

Deepfake带来的资安隐忧，前两三年已经持续被探讨，随着国内出现相关事件，-终于开始采取行动，法务部在11月17日下午4时发布公布指出，随着AI发展与运用，电脑合成与身份冒用的各种犯罪行为恐将更为严重，社会大众对于假资讯与社交工程将更难辨别，影响社会安定、国家安全，也冲击民主体制与人性尊严，因此提出修正草案并向行政院陈报，研议刑法增订“散布性私密影音罪”、“制作或散布他人不实性影音罪”、“制作或散布他人不实活动、言论、谈话罪”，并加重处罚“窃录性影音罪”。

 

【近期资安日报】

2021年11月17日

2021年11月16日

2021年11月15日