【资安周报】2021年11月22日至26日

继上星期国内传出民众资料外泄的事故，本周的国内资安新闻焦点，主要与旅游业、游乐园有关：前者是因系统遭骇而客户资料外泄；而后者则是疑似因遭到入侵，出现儿童不宜的画面。另一个国内的焦点，金管会打算发布的新法规，要求具备一定规模的上市柜公司，设立资安长、专属单位，以及专职人力等。

本周五、周六，则有台湾骇客年会HITCON 2021的活动，探讨居家工作、物联网装置盛行所带来的资安趋势变化。

值得留意的是，国际上的资安新闻也有不少重大漏洞（ProxyLogon、ProxyShell、CVE-2021-41379、CVE-2021-40444）被用于攻击行动的事故，再者，则是新兴攻击手法（RATDispenser、CronRAT）也相当值得留意。其中最值得留意的是恶意软件Squirrewaffle攻击行动中，所使用的Exchange Server漏洞，而使得攻击者冒用组织部分用户的名义来发送钓鱼信件。

【攻击与威胁】

饭店票券系统“墨攻票券”遭骇客入侵

近日正值双11线上旅展期间，饭店票券系统“墨攻票券”遭骇客入侵，发生资料外泄事件，根据东森新闻报导，已有民众接到诈骗电话。关于这起事件，墨攻是在11月16日发现骇客行为，当下他们通知各厂商（饭店业），并要厂商发布防诈骗提醒，让消费者有所注意，墨攻也于17日向警方报案。

对于消费者交易资料外泄，该公司董事长黄少风表示，该系统的个资皆经由银行等加密处理，且不含信用卡资料，但黑市的名单众多，骇客还是有可能透过比对的方式，拼凑出民众的个资。由于适逢双11线上旅展期间，可能会引发甫购买饭店票券的民众恐慌，担心自己的个资因此外泄。

丽宝乐园电子看板疑似遭骇，播放限制级影片

随着疫情趋缓，娱乐场所开始解封，不少人携家带眷到游乐园游玩，但最近却传出游乐园疑似遭到网络攻击，电子看板出现异状的现象。丽宝乐园疑似因遭到骇客入侵，以致在11月21日下午5时30分，探索世界园区里的电子看板出现播放成人影片的情况。

丽宝乐园表示，事发时员工发现异状即关闭看板的电源处理，现场10多名游客看到影片，他们严正谴责骇客散播不雅影片的行为，并于22日向警方报案。但此事是否为网络攻击造成？有待警方进一步厘清。

风力发电机制造商Vestas遭到网络攻击

丹麦大型风力发电机制造商Vestas于11月20日发出公告，他们在19日遭到网络攻击，导致该公司多处营业据点的IT系统被迫关闭。该公司表示，他们正与内部及外部伙伴通力合作，来还原受影响的系统，对于用户、员工，以及合作伙伴，可能会受到波及。至于对于事故的性质，以及影响范围，该公司没有说明。

勒索软件骇客Conti修补服务器遭到他人存取的漏洞，起因是研究报告公布的资讯过于详细

资安业者Prodaft于11月18日，针对勒索软件Conti发布37页的分析报告，当中提及Conti的复原服务器详细资讯，包含IP地址、操作系统、含有存取帐密的htpasswd档案等，并指出该服务器存在漏洞。

然而，资安新闻网站The Record指出，Prodaft的做法在资安界引起争议，因为，Conti骇客在得知报告的内容后，便强化了服务器的安全，而使得执法单位无法利用Prodaft的发现，来摧毁该勒索软件组织。

北朝鲜骇客Lazarus锁定中国资安研究员，意图窃取黑客技术作为己用

资安业者CrowdStrike向新闻网站The Daily Beast透露，他们约从今年6月发现，北朝鲜骇客组织Lazarus（CrowdStrike称为Stardust Chollima）发动网络钓鱼攻击，锁定中国的资安研究人员下手，该组织使用以中文书写的诱饵文件发动攻击，这些档案的名称是Securitystatuscheck.zip与_signed.pdf。

这些骇客近年来已多次针对资安人员下手，而这次不同的是，他们专门锁定中国的研究人员而来，但原因为何？The Daily Beast取得赛门铁克的说法指出，中国黑客最擅长利用零时差漏洞发动攻击，Lazarus很可能想要借此取得这类漏洞。

伊朗骇客锁定IT服务业者下手，借此存取其客户的内部网络

微软于11月18日提出警告，伊朗的骇客针对IT服务业者的攻击升温，该公司今年已向超过40家IT服务业者，发出1,647个通知，相较之下，2020年仅有20则。

此外，因为这类业者开始于印度等国成立主要的服务中心，微软也看到攻击者约自8月中旬，针对印度的IT服务公司攻击开始显著增加。从8月中旬至9月底，微软共对印度企业发出1,788则国家级通报，约有8成与此类业者有关。

恶意软件Squirrewaffle利用Exchange Server的重大漏洞，发动钓鱼邮件攻击

在9月中旬，思科看到攻击者使用名为Squirrewaffle的恶意软件，透过钓鱼邮件下手，入侵受害者电脑并便植入其他的攻击工具，当中提及过程中骇客疑似盗用遭骇的电子邮件信箱。而针对Squirrewaffle的渗透手法，近期趋势科技揭露新的发现，指出这些骇客掌控这些用于攻击行动的电子邮件信箱，途径是针对组织的Exchange Server漏洞下手，这些漏洞是ProxyLogon、ProxyShell等已知漏洞，从而取得部分用户的SID，进而以他们的名义，在组织内部寄送钓鱼邮件来散布Squirrewaffle。

为了隐藏攻击意图，木马软件竟加入不会执行的程式码

资安业者Sansec发现名为CronRAT的木马程式，正锁定做为电商平台的Linux操作系统而来，攻击者将其用于侧录取信用卡的资料。该木马程式混淆研究人员的方式相当特别，是透过一段呼叫Linux工作排程器cron的程式码，并设定于2月31日执行多项工作，而能规避所有的防毒引擎侦测。研究人员指出，攻击者实际将有问题的Bash程式，存放在工作排程的名称字段，并透过多层Base64算法加以埋藏。

攻击者利用JavaScript载入器散布木马程式

HP资安研究团队揭露名为RATDispenser的恶意程式载入器，这是以JavaScript制作而成，攻击者用来散布RAT木马程式与窃密软件，该团队看到攻击者借此工具散布至少8种RAT，且在VirusTotal上仅有11%防毒引擎能够识别有害。研究人员指出，这项工具几乎都被用于投放恶意软件，他们推测背后提供RATDispenser的人士，身份是专门销售恶意软件服务（Malware-as-a-Service）的骇客。

恶意软件试图利用Windows Installer零时差漏洞

资安研究员Abdelhamid Naceri于11月22日指控，微软针对Windows Installer漏洞CVE-2021-41379修补不完全，并提供概念性验证程式佐证。思科于11月23日提出警告，他们已经发现有数个恶意软件开始利用这项漏洞发动攻击，该公司指出，他们看到利用此漏洞的恶意软件数量不多，研判目前可能是测试阶段，但这个现象也代表了一件事，就是攻击者能够快速将公开的漏洞资讯应用于攻击。

伊朗骇客锁定MSHTML漏洞发动攻击

资安业者SafeBreach指出，伊朗骇客利用近期甫被修补的MSHTML重大漏洞CVE-2021-40444，锁定使用波斯语的用户发动攻击，并使用名为“PowerShortShell”的程式码来进行窃密－－这是PowerShell指令码，内容仅约153行，但具有多种窃密能力，包含了收集屏幕截图、Telegram档案、文件，以及受害电脑环境等资讯。

研究人员指出，近半数受害者位于美国，研判攻击者很有可能是伊斯兰政权有关，认为这些居住境外的伊朗人可能对政权带来威胁，所发动的攻击行动。

 

【漏洞与修补】

思科防火墙严重漏洞恐导致服务中断

资安业者Positive Technologies指出，思科的Adaptive Security Appliance（ASA）与Firepower Threat Defense（FTD）系列防火墙存在严重漏洞CVE-2021-34704，一旦遭到利用恐导致设备服务中断，防火墙及VPN等功能无法使用，这项漏洞的CVSS风险层级为8.6分，他们呼吁用户应尽速修补。

开源VPN系统OpenVPN存在任意程式码执行漏洞，影响工控VPN解决方案

资安业者Claroty指出，多个透过开源VPN系统OpenVPN所打造的工控VPN解决方案遭锁定，攻击者使用这些系统的弱点提升权限，并能执行任意程式码发动攻击，受影响的VPN厂牌是HMS Industrial Networks、Siemens、PerFact、MB connect line，CVSS风险层级为7.8分到9.6分。这些业者获报后已着手修补，并提供更新程式。

英国Sky Broadband宽频业者用户端路由器漏洞影响600万台设备，业者修补近18个月才完成

近日资安业者Pen Test Partners揭露，英国Sky Broadband提供宽频用户的600万台路由器，存在DNS重新绑定（DNS Rebinding）漏洞，若用户未曾变更该路由器设备的密码，攻击者可引诱用户连至一个含有恶意程式的网站，并利用该漏洞入侵用户内网的装置。值得关注的是，这个漏洞是在2020年5月由Pen Test Partners发现并通报，但Sky Broadband修补速度慢，2021年5月才只有半数设备修补完成，到了2021年10月底才达到9成9完成修补。

联发科SoC存在漏洞，恐影响近4成手机

资安业者Check Point指出，他们在联发科SoC中，发现数字信号处理器（DSP）的固件，以及处理声音讯号的硬件抽象层（HAL）中，存在数个漏洞。一旦攻击者利用，将能透过错误的处理器讯息，在DSP固件藏匿恶意程式码并执行，进而窃听用户。由于目前联发科的SoC市占约37%，上述漏洞将会波及采用该厂牌SoC的手机与物联网设备。联发科获报后，已于10月完成修补。

WordPress安全插件Hide My WP存在SQL注入漏洞

超过26,000个WordPress网站采用，防堵SQL注入与XSS攻击的插件Hide My WP，被发现严重的SQL注入漏洞，一旦攻击者利用，就能在未经身份验证的状态下，停用这款外挂软件。这项漏洞是资安业者Patchstack在稽核客户网站的插件安全性时所发现的，该业者表示，这样的漏洞相当严重，攻击者只需要如SQLmap的工具，就能加以利用。该公司通报后，开发者已于10月26日发布6.2.4版修补漏洞。

 

【资安防御措施】

金管会预告修法，要求上市柜公司设置资安长与专责单位

金融监督管理委员会于11月25日发布公告，研拟修正“公开发行公司建立内部控制制度处理准则”第9条之1及第47条，明定达到一定规模的上市柜公司，应配置适当的资安人力，并依据不同的规模，要求设置资安长或主管，以及配置专责的资安人员等要求。在修订的法规后，符合规模百亿元，或主要经营电商等条件的上市柜公司，共约111家，将需于2022年底设立资安长并成立专责单位。

台湾骇客年会HITCON 2021将于11月26日举行

台湾骇客年会（HITCON）将于11月26日、27日于中央研究院人文社会科学馆举行，这次的主题与武汉肺炎疫情爆发后，居家工作（WFH）与云端服务的盛行，带来的资安态势变化，企业需要适应分散式的网络边界，而成为现今防御方式所需要因应的挑战。

本次年会另一个探讨的焦点，则是与智慧装置有关──这些装置促成了Society 5.0、虚实整合系统（CSP）等趋势，但也带来新的资安问题，而需要骇客之间通力合作，推进资安的发展。