【资安周报】2021年11月15日至19日

在本周的国内资安新闻中，云林县国中小共构网站于11月4日遭到勒索软件攻击的事故，经过1周因媒体的报导而曝光，而受到各界的观注。幸运的是，这起事故没有波及学校的校务档案，以及学生的学习记录等敏感资料，但这也突显该共构系统的配置问题：所有学校网站的内容与样式，都集中存放于单一数据库，也就是说，只要这个数据库出现异状，就有可能再度出现全云林县国中小的师生无法存取网站的情况。

另外国内也引起大家注意的是民众个资外泄事故，分别是学生与家长的个资被盗取，以及员警串通征信业者泄露民众个资的情况，前者主嫌非法取得大量学生资料，涵盖几乎全国的高中、国中，以及小学学生资料；而后者则可能是泄露特定民众的资料－－后续检方调查后发现，征信业者疑似透过员警取得25名民众的资料。

值得留意的是，国际上的资安新闻也有不少事故，包含了在上周末美国联邦调查局惊传发出数万封恐吓信，经资安研究团队调查发现，是该单位遭入侵所致；再者，恶名昭彰的Emotet恶意软件，在基础设施于1月遭欧洲刑警组织等单位摧毁之后，最近竟然再度活动，使得资安业者和研究人员开始留意该组织接下来情势的发展。此外，则是针对DRAM与Windows事件检视器（ETW），研究人员发现新的漏洞与攻击手法，而且，前者因DRAM元件已在市面上流通而难以修补，后者研究人员认为是微软设计上的瑕疵，微软很可能否认是漏洞而不予处理，但却会影响所有透过ETW取得电脑执行记录的资安防护系统，因此，这些漏洞与攻击手法的后续也值得观察。

【攻击与威胁】

云林县教育处遭勒索软件攻击，百余所学校网站无法存取

云林县教育处与当地185所国中小的共构网站，传出11月4日遭到勒索软件攻击，导致云林县百余所学校网站全数无法运作－－老师和学生无法上网，家长亦不能查阅孩童成绩、阅读学校公告。事发后，教育处报警并寻求资讯工程师抢救资料，至13日时救回约8成资料。云林县教育处邱孝文表示，骇客透过RDP入侵，并针对数据库服务器攻击，而且，不只数据库，连带备份的档案也遭到加密。教育处已成立紧急应变小组，并加强共构平台的资安，并提升备份效能。

对此，云林县-于15日发出公告进一步说明，指出遭到勒索软件攻击的数据库，只有存放每个学校的网站架构及样式，以及学校的公告，没有学生的学习记录外泄。这突显了此网站共构系统将资料集中存放问题，因为，一旦这个数据库出现异常，类似本次事故师生无法存取网站的情况，将会再度发生。

全国高中小个资遭盗取贩售长达5年，台南地检署宣布逮捕幕后3名主嫌

台南地检署在11月17日揭露全国学生个资盗卖事件，关于这起事件的侦办，台南市调查处在7月接获检举，历经2个月调查，先是掌握到贩售个资的陈男IP地址，首波搜索后查到幕后主嫌47岁蔡男，他亦是知名补习班数学老师。调查结果显示，蔡男自2015年开始组团犯罪，与具资讯背景的36岁柴男，以及具骇客知识的27岁张男合作，非法取得750万笔个资，几乎涵盖全国高中、国中、国小学生，包含校名、年级与班级、姓名、身份证号、住址、电话，还有父母姓名与职业，以每笔个资10元至20元转售其他补习班。警方并呼吁，补教业招生勿透过不明管道取得学生家长个资，以免受罚。

北市员警涉勾结征信业并泄漏民众个资

台北市警察局在11月17日发布公告，指出台北市警局去年侦办刑事案件时，在搜索征信业电脑时，发现与北市员警的往来资讯，有员警涉嫌利用警政知识联网查询民众个资，再泄露给征信业者，因此昨日已与警政署政风室进行搜索，并以刑法泄密罪，以及违反个人资料保护法侦办。警方同时强调，此事由内部发现主动查办防弊，并表示将加强落实内部资安管理，以及资讯稽核作为。

美国联邦调查局邮件服务器遭骇，发出数万封垃圾邮件

美东时间11月12日深夜，在数个小时内，出现数万封疑似来自美国联邦调查局（FBI）与美国国土安全部（DHS）的恐吓邮件。威胁情资组织Spamhaus发出警讯，指出这些邮件的来源，确实是从FBI与DHS的基础架构“执法企业入口网站（LEEP）”寄出，但经过分析之后，证实这些邮件的内容都是捏造的。此事FBI亦于11月13日发出公告，证实确有此事，并于14日指出是LEEP的软件组态配置错误所致。

中东网站遭到以色列网络攻击公司Candiru攻击

资安业者ESET发现2波针对中东网站的水坑式攻击，第1波始于2020年4月，持续到同年7月底；第2波出现于今年1月，攻击延续至8月，这2波攻击总共危害数十个网站，受害者包含了专门报导中东新闻的英国媒体Middle East Eye，伊朗外交部、也门内政部、也门财政部、叙利亚电力部，以及叙利亚和也门的ISP等。至于攻击者的身份，ESET研判就是甫遭美国制裁的以色列网络攻击公司Candiru。

伊朗-资助的骇客利用Exchange Server与Fortinet漏洞，针对关键基础设施发动攻击

美国网络安全暨基础架构安全局（CISA）、美国联邦调查局（FBI）、澳洲网络安全中心（ACSC）、英国国家网络安全中心（NCSC）联手提出警告，他们自2021年3月以来，发现由伊朗-资助的APT骇客，锁定多个关键基础设施下手，其中入侵受害组织的管道，包含了Fortinet SSL VPN漏洞CVE-2018-13379、CVE- 2019-5591、CVE-2020-12812，以及Exchange Server的ProxyShell漏洞（CVE-2021-34473）。

恶意软件Emotet卷土重来，透过TrickBot基础设施重建僵尸网络

今年年初，由欧洲刑警组织与欧洲司法组织联手，接管了Emotet的基础设施，并逮捕2名成员，但最近，研究人员看到Emotet再度活动的迹象。资安业者GData、Advanced Intelligence，以及资安研究团队Cryptolaemus指出，他们看到攻击者透过TrickBot恶意软件在受害装置上，植入Emotet的载入器，经调查后发现，Emotet背后的骇客透过TrickBot现有的基础设施，重新建置Emotet的僵尸网络。

俄罗斯勒索软件骇客企图寻求与中国骇客结盟

资安业者Flashpoint发现，骇客论坛RAMP近期一改以俄文为主要的使用语言，管理者不只改以英文发布讯息，且针对中文使用者提供专属讨论区。研究人员提到，10月便有使用者向2名中国用户，寻求勒索软件与漏洞购买的消息。目前此论坛约有30名中国用户。

网络钓鱼攻击利用Glitch服务窃取帐密

资安业者DomainTools揭露一起利用软件专案管理平台Glitch的网钓攻击，攻击者以看似无害的PDF档案做为诱饵，引导受害者存取建置于Glitch的钓鱼网站。这起攻击约自7月30日起开始活动，并利用免费版本Glitch网页只能执行5分钟的限制，让研究人员难以追查行踪。

钓鱼邮件攻击锁定125个TikTok名人账号下手

邮件安全业者Abnormal Security指出，他们看到攻击者在10月2日及11月1日，总共向超过125个名人或是企业，发送钓鱼邮件，疑似锁定TikTok用户而来。信件的内容宣称，用户疑似上传侵权影片，必须依照指示回复，否则TikTok账号将在48小时内删除。一旦依照指示回信，攻击者就会要求透过WhatsApp进行对话，借此绕过TikTok的双因素验证，进而挟持受害者的账号。

冒牌Netflix注册系统挟持用户账号

卡巴斯基揭露锁定Netflix影音串流平台用户的网络钓鱼攻击，骇客同时针对想要订阅该平台服务的新用户与现有用户下手，目的是挟持使用者的Netflix账号。对于新用户而言，他们成立了冒牌的注册网页，并使用热门影片的预告来引诱新用户上当；而针对现有的Netflix用户，他们则是发送付款确认通知的钓鱼信，要求用户依照指示处理，否则将关闭账号。无论是新旧Netflix用户，一旦遵照歹徒的指引，就有可能面临信用卡遭到盗刷，或是Netflix账号被转卖给他人的情况。

利用HTML偷渡作案工具的攻击显著增加

微软的研究人员提出警告，一种利用正常的HTML5和JavaScript功能，来发动HTML走私攻击（HTML Smuggling）的手法，最近有升温的现象。他们曾在5月，观察到Nobelium骇客在网络钓鱼攻击使用这类手法，但研究人员最近看到，有人用来散布多种恶意软件，如TrickBot、AsyncRAT，以及Mekotio等。

新的Rowhammer攻击绕过现有的内存防御机制

资安研究团队Comsec发现新的内存攻击手法，能绕过现有DDR4的Rowhammer防护机制，研究人员将其命名为Blacksmith，这项漏洞编号为CVE-2021-42114。这项漏洞得到DRAM大厂三星、海力士、美光，以及英特尔、AMD、微软、甲骨文、Google的证实，研究人员与英特尔合作，企图找出缓解的方法。

研究人员揭露可绕过Windows事件追踪器的手法，恐影响EDR系统运作

固件安全业者Binarly在Black Hat Europe 2021上，揭露2种可绕过Windows事件追踪器（ETW）的攻击手法，并实际利用Process Monitor与Microsoft Defender展示。由于ETW受到不少端点侦测与回应（EDR）系统使用，此次研究人员展示的ETW绕过手法，将会让多款EDR系统无法发挥作用。虽然该公司针对Windows内建的防毒软件进行展示，但他们强调，这种手法恐导致运用ETW的资安系统失效，而且难以被发现。

全球骇客偏好开发中国家的顶级网域

资安业者Palo Alto Networks调查了全球恶意网域所使用的顶级网域名称（Top-Level Domains，TLD），结果发现，骇客所使用的恶意网域名称，有超过9成集中在25个顶级网域名称，而且特别偏好开发中国家的国家顶级网域名称（ccTLD），像是.tk、.pw及.ws等。

 

【漏洞与修补】

Npm修补他人能冒名发布新版套件的漏洞

知名Node.js套件管理器Npm近期修补了2个漏洞，其中1个可让他人在未经充分授权的情况下，以开发者的名义发布新版Npm套件。这项漏洞发生的原因，是Npm注册表与多个微服务之间，身份验证查核与资料验证不当所致。此外，有鉴于日前UA-Parser.js、COA、Rc等多个套件遭到挟持，Npm也预告，将于2022年第一季要求开发者启用双因素验证（2FA）。

FBI警告近日有攻击者利用FatPipe产品零时差漏洞发动攻击

FBI在11月16日示警，他们发现有APT组织锁定FatPipe网络公司的WARP、MPVPN与IPVPN的零时差漏洞，该漏洞可让攻击者任意上传档案，然后导致特权提升与潜在的后续行动，以此漏洞作为进入其他漏洞的起点。值得关住的是，这样的攻击行动最早可以追溯到今年5月，目前该漏洞尚未通过CVE编号，FatPipe已经发布更新修补，建议用户立即更新到最新版，另一方面，FBI也发布相关IOC与YARA资讯，供使用FatPipe的企业检查是否受影响。此外，根据The Record报导，思科、微软、F5 Networks、Palo Alto Networks、Fortinet与Citrix等公司也可能受影响。

Netgear网络设备存在RCE漏洞

资安研究团队Grimm指出，Netgear旗下锁定小型办公室的网络设备，包含了路由器、调制解调器、Wi-Fi讯号延伸器等，存在RCE漏洞CVE-2021-34991，一旦攻击者利用这项漏洞，可在局域网络的环境里，取得Root权限来发动远端程式码攻击，CVSS风险层级为8.8分。Netgear获报后也发布修补程式，并呼吁用户应尽速更新。

AMD Radeon GPU存在18个高风险漏洞

最近AMD修补50个漏洞，其中有18个为高风险漏洞。新闻网站Digital Trends呼吁用户要进行修补，因为除了资安漏洞获得缓解，厂商也可能同时会改善显卡的执行效能。根据他们的测试，安装最新软件的AMD RX 6800 XT显卡，效能比上市时要多出9%。

 

【资安防御措施】

美国发布资安事故与弱点的因应指引

美国白宫于5月发布行政命令，要求美国网络安全暨基础设施安全局（CISA）制订标准的作业程序，让联邦机构能够遵循。CISA于11月16日，发布《联邦-资讯安全事故与弱点因应指引》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），该指引提供决策树（Decision Tree）与因应步骤的细节，让联邦市民执行分支机构（FCEB）能对于资安事故与漏洞的缓解，有一套标准的操作程序。

 

【隐私保护】

台北通遭质疑实联制资料保管不当，市-进行说明

台北市市议员林亮君在质询时提出，台北市-的手机应用程序“台北通”，可能有暗中收集民众资料多达5千万笔的疑虑，且可能因为有外国人使用而违反GDPR。对此台北市-资讯局指出，上述的5千万笔为实联制资料，在28天后就会删除，台北市-与中央都没有保存历史资料，而对于个资的收集与处理，则是依据个资法办理，并强调个资受到严格保护，甫成立的大数据中心仅会将资料用于辅助市府决策，不会贩卖民众的个资。至于GDPR的部分，资讯局表示，台北通并无出于商业目的之资料监控或个人分析行为，也没有在欧盟境内设立据点与资料运用，故不适用GDPR。

因应Deepfake犯罪行为与保护个人隐私，司法院提出修法草案，修法加重刑责并增订3条罪刑

Deepfake带来的资安隐忧，前两三年已经持续被探讨，包括影音资讯窜改带来的身份冒用、社交工程与假资讯操弄，随着国内出现相关事件，带来隐私层面的影响，-终于开始采取行动，法务部在11月17日下午4时发布公布指出，随着AI发展与运用，电脑合成的各种犯罪行为恐将更为严重，社会大众对于资讯将更难辨别，影响社会安定、国家安全，也冲击民主体制与人性尊严，因此提出修正草案并向行政院陈报，研议刑法增订“散布性私密影音罪”、“制作或散布他人不实性影音罪”、“制作或散布他人不实活动、言论、谈话罪”，并加重处罚“窃录性影音罪”。