【资安日报】2021年11月23日

在国内疫情趋缓，娱乐场所逐渐开放的情况下，攻击者针对相关产业发动攻击的情况，陆续有事故发生：包含甫于周末遭骇的饭店票券业者墨攻票券，以及秀泰影城遭遇网络攻击，这些事故都有民众因此接到诈骗电话。但攻击者也有可能入侵娱乐场所的设备，让业者营运受到影响：丽宝乐园在周日傍晚，有电子看板疑似遭到入侵，播放成人影片。有民众向媒体投诉，他们带着小孩到该游乐园游玩，竟出现这种儿童不宜的影片，质疑该乐园的管理不当。

但在国内这起资安事故之外，国际上有多则重大的资安新闻，同样值得留意，例如，GoDaddy的SSL金钥外泄，波及代管WordPress网站的客户，但这起事件的曝光，是该公司依据相关法规要求，向美国证券交易委员会（SEC）通报，被媒体发现才予以揭露。到截稿之前，GoDaddy并未在网站上进行公告。

除了资料外泄议题，资安研究成果的公布，也是两面刃：防守方会用来防范攻击者的手法，而攻击者也会借此调整自己的做法，让防守方更难以预防，究竟研究人员应该公布那些内容、透露多少资讯，也引起争论──日前资安业者揭露勒索软件骇客Conti的分析报告，竟因为内容过于详细，而使得Conti饱受其他勒索软件骇客攻击之后，趁机修补漏洞，加强服务器的防护措施。另一起引发注意的事件，则是有关资安人员与骇客之间的攻防：北朝鲜国家骇客Lazarus，针对最擅长挖掘零时差漏洞的中国资安研究员出手，希望取得这种漏洞作为己用。

【攻击与威胁】

丽宝乐园电子看板疑似遭骇，播放限制级影片

随着疫情趋缓，娱乐场所开始解封，不少人携家带眷到游乐园游玩，但最近却传出游乐园疑似遭到网络攻击，电子看板出现异状的现象。丽宝乐园疑似因遭到骇客入侵，以致在11月21日下午5时30分，探索世界园区里的电子看板出现播放成人影片的情况。

丽宝乐园表示，事发时员工发现异状即关闭看板的电源处理，现场10多名游客看到影片，他们严正谴责骇客散播不雅影片的行为，并于22日向警方报案。但此事是否为网络攻击造成？有待警方进一步厘清。

勒索软件骇客Conti修补服务器遭到他人存取的漏洞，起因是研究报告公布的资讯过于详细

资安业者Prodaft于11月18日，针对勒索软件Conti发布37页的分析报告，当中提及Conti的复原服务器详细资讯，包含IP地址、操作系统、含有存取帐密的htpasswd档案等，并指出该服务器存在漏洞。

然而，资安新闻网站The Record指出，Prodaft的做法在资安界引起争议，因为，Conti骇客在得知报告的内容后，便强化了服务器的安全，而使得执法单位无法利用Prodaft的发现，来摧毁该勒索软件组织。

北朝鲜骇客Lazarus锁定中国资安研究员，意图窃取黑客技术作为己用

资安业者CrowdStrike向新闻网站The Daily Beast透露，他们约从今年6月发现，北朝鲜骇客组织Lazarus（CrowdStrike称为Stardust Chollima）发动网络钓鱼攻击，锁定中国的资安研究人员下手，该组织使用以中文书写的诱饵文件发动攻击，这些档案的名称是Securitystatuscheck.zip与_signed.pdf。

这些骇客近年来已多次针对资安人员下手，而这次不同的是，他们专门锁定中国的研究人员而来，但原因为何？The Daily Beast取得赛门铁克的说法指出，中国黑客最擅长利用零时差漏洞发动攻击，Lazarus很可能想要借此取得这类漏洞。

伊朗马汉航空坦承遭到网络攻击

伊朗交通运输设施再度传出遭到攻击的事故。该国大型民营航空公司马汉航空（MahahAir）于11月21日表示，他们遭到网络攻击，导致该公司的网站无法运作，不过，所有的国内与国际航线仍维持正常运作，并不受此次事件影响。

GoDaddy惊传外泄SSL金钥，影响120万WordPress用户

提供网域名称注册与主机代管的GoDaddy，于11月22日向美国证券交易委员会（SEC）通报，他们在11月17日发现，有未经授权的外部人士，存取该公司代管的WordPress网站，他们随即委请鉴识公司协助调查，并连系执法单位。攻击者疑似利用已经外泄的密码，存取代管WordPress的供应系统中，旧有的程式码基础。

经调查后发现，本起事故自9月6日发生，约有120万代管WordPress网站的用户受到波及，他们的客户编号与电子邮件信箱都遭到外泄，其中，活跃客户sFTP及数据库的账号、密码也被曝露；部分活跃客户的SSL私钥亦遭泄露。

英国逾4千家中小企业网站的客户交易明细遭窃

今年的黑色星期五购物档期即将开跑（11月26日），英国国家网络安全中心（NCSC）于11月22日提出警告，他们在9月底前，总共发现了4,151家线上购物商城遭骇，客户交易明细可能遭窃，该单位已通报这些商家进行处理，而这些商城网站多数使用Magento建置而成，攻击者疑似使用特定的已知漏洞下手。NCSC呼吁，这些电子商城的管理者，应该要保持软件为最新的版本。

美国向投资人提出警讯，慎防佯称证券交易委员会的诈骗手法

美国证券交易委员会（SEC）于11月19日发布警讯，要求该国的投资人要留意冒名他们的诈骗电话，以及语音信箱讯息。SEC指出，他们获报近期有人接到来自该单位的电话，对方宣称，这些投资者的账户出现未经授权的交易，或是其他可疑行为。SEC指出，他们不会用这种方式联系投资人，假如民众接到这类电话，切勿提供个人资料给对方，并向SEC监察长办公室（OIG）通报。

 

【资安防御措施】

资安联防风潮已起，桃园国际机场公司与法务部调查局签署合作备忘錄

资安联防已成-与产业共识，台湾-也正持续推动这样的政策，今年国内有相当多行动，是地方-与法务部调查局或调查站签署资安情资或支援合作方面的备忘录，而国家关键基础设施也不例外，以确保营运环境的安全，以及各项资讯服务不中断，在11月23日，桃园国际机场公司资讯处发布公告，表示在昨日与法务部调查局签署“国家资通安全联防与情资分享备忘錄”，未来，调查局将提供事前情资或事后调查的协助。此外，在今年8月，桃捷公司也与法务部调查局桃园市调处签署“强化运输资通安全 资安联防”合作备忘录。

 

【近期资安日报】

2021年11月22日

2021年11月19日

2021年11月18日