【资安日报】2021年11月22日

从上周末到本日的资安新闻中，国内最受到关注的，应该就是饭店票券系统“墨攻票券”遭遇网络攻击，而导致资料外泄，且有民众接到诈骗电话的事故。而对于此事的说明，目前墨攻票券仅向新闻媒体透露处理的情形，尚未在网站上发布有关的警讯。

而在国外的资安事故里，则有大型风力发电设备制造商Vestas遭受网络攻击。但根据该公司的公告，他们仅透露部分营业据点的IT系统停止运作，部分的客户、员工、合作伙伴会受到影响，并未对于细节进一步说明。由于该公司的客户遍及全球，这些客户的风力发电机会不会也受到影响？有待日后的追踪。

【攻击与威胁】

饭店票券系统“墨攻票券”遭骇客入侵

近日正值双11线上旅展期间，饭店票券系统“墨攻票券”遭骇客入侵，发生资料外泄事件，根据东森新闻报导，已有民众接到诈骗电话。关于这起事件，墨攻是在11月16日发现骇客行为，当下他们通知各厂商（饭店业），并要厂商发布防诈骗提醒，让消费者有所注意，墨攻也于17日向警方报案。

对于消费者交易资料外泄，该公司董事长黄少风表示，该系统的个资皆经由银行等加密处理，且不含信用卡资料，但黑市的名单众多，骇客还是有可能透过比对的方式，拼凑出民众的个资。由于适逢双11线上旅展期间，可能会引发甫购买饭店票券的民众恐慌，担心自己的个资因此外泄。

风力发电机制造商Vestas遭到网络攻击

丹麦大型风力发电机制造商Vestas于11月20日发出公告，他们在19日遭到网络攻击，导致该公司多处营业据点的IT系统被迫关闭。该公司表示，他们正与内部及外部伙伴通力合作，来还原受影响的系统，对于用户、员工，以及合作伙伴，可能会受到波及。至于对于事故的性质，以及影响范围，该公司没有说明。

伊朗骇客锁定IT服务业者下手，借此存取其客户的内部网络

微软于11月18日提出警告，伊朗的骇客针对IT服务业者的攻击升温，该公司今年已向超过40家IT服务业者，发出1,647个通知，相较之下，2020年仅有20则。

此外，因为这类业者开始于印度等国成立主要的服务中心，微软也看到攻击者约自8月中旬，针对印度的IT服务公司攻击开始显著增加。从8月中旬至9月底，微软共对印度企业发出1,788则国家级通报，约有8成与此类业者有关。

骇客宣称窃得近3万名印尼员警资料

根据新闻网站Cna的报导，有一个骇客在推特上声称，他从印尼国家警察队的服务器上，取得了28,000名员警的资料，包含了姓名、居住地址、电子邮件信箱、电话号码，以及血型等，当地警方表示已着手调查。该名骇客曾在上个月底宣称，他骇入了当地的网络与加密保护局（BSSN），不过BSSN并未针对此起事故提出说明。

美国放射医学中心外泄近60万病人资讯

位于美国犹他州的放射中心Utah Imaging Associates发布公告，指出在9月4日发现有网络渗透攻击，攻击者可能在8月29日入侵，该单位察觉异状后委托资安公司协助调查，发现未经授权的人士能存取个人姓名、出生日期、社会安全号码，以及医疗诊断及处方笺等资料，该单位亦指出，目前尚未发现这些个资在网络上遭到泄露的迹象。

恶意软件Squirrewaffle利用Exchange Server的重大漏洞，发动钓鱼邮件攻击

在9月中旬，思科看到攻击者使用名为Squirrewaffle的恶意软件，透过钓鱼邮件下手，入侵受害者电脑并便植入其他的攻击工具，当中提及过程中骇客疑似盗用遭骇的电子邮件信箱。而针对Squirrewaffle的渗透手法，近期趋势科技揭露新的发现，指出这些骇客掌控这些用于攻击行动的电子邮件信箱，途径是针对组织的Exchange Server漏洞下手，这些漏洞是ProxyLogon、ProxyShell等已知漏洞，从而取得部分用户的SID，进而以他们的名义，在组织内部寄送钓鱼邮件来散布Squirrewaffle。

骇客锁定电子商务网站下手，植入Linux窃密工具

资安业者Sansec接获电子商务网站委托，发现新的Linux后门程式。攻击者先是锁定该电子商务网站，探测这种网站常见的数十种弱点，在受害网站的插件里，发现任意文件上传的漏洞，进而上传WebShell来窜改网站程式码，植入伪装成JPG图档的网页侧录程式（Web Skimmer），该侧录程式以PHP编写，再将客户付款的网页里，注入假的付款表单窃取付款资料。其中，攻击者也利用名为linux_avp的可执行档案做为后门程式，该档案由Golang编写而成，且等待托管在阿里云的北京服务器发号司令。此后门程式攻击者疑似于10月8日上传到VirusTotal，但没有防毒引擎能识别为有害。

-机关10月资安事件通报数63件，需注意骗取机关账密的钓鱼信件

行政院资通安全处发布10月资通安全网络月报，报告中指出，上月资安联防情资共50,545件，以可明确辨识的威胁种类而言，入侵攻击类（45%）排第一，主要是网页攻击行为与跨目录存取攻击居多；扫描刺探类（25%）排第二，主要是外部主机执行扫描探测攻击；政策规则类（19%）排第三，主要是单一账号持续登入失败。值得注意的是，近期“邮件账户已遭停用”电子邮件主旨的钓鱼信大增，且寄件人字段夹带-机关网域名称。另外，10月资安事件通报数量共63件，比上月件数要低，主要是账号密码外泄攻击活动已持续4个月，近期有趋缓的迹象。

 

【漏洞与修补】

Azure AD存在高危险漏洞，恐导致自动化账号遭到滥用

资安业者揭露Azure Active Directory（Azure AD）的漏洞CVE-2021-42306，这项漏洞疑似与微软的配置不当有关，起因是自动化账号的执行身份（即使用PFX凭证）功能里，会将帐密以明文存放，而且任何Azure AD使用者能透过应用程序注册（App Registration）功能，取得上述明文存放的帐密。攻击者一旦滥用这项漏洞，将能用来通过应用程序注册的身份验证。微软对此表示，自2020年10月15日至2021年10月15日，若用户曾经使用自动化账号的执行身份功能，就可能受到影响，再者，部分Azure Site Recovery的用户也受到波及。

 

【资安防御措施】

美国要求银行若遭遇网络攻击，需在36小时内通报主管机关

美国联邦存款保险公司（FDIC）、美国货币总稽核办公室 （Office of the Comptroller of the Currency）、联邦准备理事会联手，公布《网络安全通知最终规则》（Cybersecurity Incident Final Rule）草案，当中要求银行必须在察觉到指定层级的资安事件时，必须尽速通报主管机关，且最晚不得超过36小时。该法案也要求，在资安事故可能导致重大服务中断4小时的情况下，也要通知所有受到影响的客户。此法规预计于2022年4月1日生效，银行必须在5月1日前完全遵守有关规范。

 

【资安产业动态】

勤业公布2021网络资安调查结果，并指出网络安全零信任浪潮需重视

对于这一年企业在资安准备上的趋势，勤业众信在10月底发布了《2021 Future of Cyber Survey》调查报告，在11月18日，他们根据相关资料发布《2021年网络资安大调查》报告，当中指出数位转型浪潮下，有7成企业感受到今年网络攻击比往年更甚的趋势，而且，有高达9成首席财务官表示要将财务系统或ERP上云，而对于网络风险管理的挑战上，CIO与CISO认为数位转型（41%）与网络卫生（26%）是两大难题。同时，勤业众信提出建议，强调零信任网络安全策略的浪潮正兴起，值得企业重视，需透过Zero Trust思维来建立资安防护措施，推动企业在数位转型之路顺利前进。

 

【近期资安日报】

2021年11月19日

2021年11月18日

2021年11月17日