【资安日报】2021年11月30日

今天最受到瞩目的资安新闻，应该是日本家电大厂Panasonic证实遭到入侵，虽然该公司没有透露太多细节，但当地媒体指出，骇客存取该公司网络至少接近半年的时间才被发现。究竟如何遭到入侵，以及资料外泄的程度如何？显然有待进一步的调查。

而在国际间的资安新闻中，也有针对性的攻击事件，例如，北朝鲜骇客Zinc发动的钓鱼邮件攻击，他们并非直接在附件挟带恶意程式，也没有在信件附上URL，而是用无法开启的PDF文件当诱饵，收信人很可能为了开启文件，而上当依照指示安装PDF检视器，在此同时，电脑也被植入安装程式所挟带的木马程式。这种过往相当少见的攻击手法，也值得留意。

至于国内新闻的部分，多半是资安事故的后续：证券交易所联手证券、期货相关单位，成立了资安事故的紧急应变支援小组，刚好上周证券业者、期货业者接连遭到攻击，这样机制或许能帮助到这些业者来因应资安事故。再者，则是台湾大哥大A32手机出厂被植入恶意程式的事故，有了新的进展。

【攻击与威胁】

Panasonic证实遭到入侵，内部资料被非法存取

日本家电大厂Panasonic于11月26日发布新闻稿指出，他们于11月11日发现，内部网络遭到第三方非法存取。该公司已经向有关执法单位通报，并强化资安，且会同外部专家进行调查，以厘清本次事故中，是否有客户的个资或敏感资料与社交基础架构（Social Infrastructure）有关。根据当地媒体NHK与每日新闻的报导，攻击者疑似在6月22日至11月3日之间，多次存取Panasonic的内部网络，直到网络流量异常才被发现。

北朝鲜骇客Zinc伪装三星征才，锁定资安研究人员下手

Google在近期推出的Threat Horizons威胁情资报告里，提及他们发现了背后有北朝鲜-撑腰的骇客组织Zinc，佯装成三星的人力资源部门发动钓鱼邮件攻击，向韩国防毒软件公司的员工发出求才信件做为幌子，这封信件会挟带PDF文件。但Google指出，实际上这个PDF文件的格式错误，无法透过一般的PDF检视器检视，一旦收信者向对方反应，骇客便会提供“安全的PDF检视器”应用程序的下载连结。Google分析之后指出，这个安装档案是攻击者将PDFTron检视器加入恶意程式而成，一旦收信人信以为真依照指示安装，电脑就会被植入木马程式。

骇客组织ScarCruft监视脱北者和人权斗士

卡巴斯基日前接受新闻网站NK News的委托，在进行资安事故调查提供协助，他们遂而对于骇客组织ScarCruft（亦称APT37、Temp.Reaper）进一步调查。这个组织专门锁定脱离北朝鲜的人士（脱北者）、专门报导北朝鲜新闻的记者，以及与北朝鲜有关的-组织。卡巴斯基发现，ScarCruft至少使用3种类型不同，但功能相似的恶意软件，这些恶意软件为分别是透过PowerShell执行的程式码、Windows应用程序，以及Android应用程序。其中，Windows版恶意软件透过钓鱼邮件散布，一旦成功入侵后。会检查受害电脑是否安装卡巴斯基防毒软件，再窜改登录档启用Visual Basic应用程序（VBA）宏的存取。

Wirte骇客组织锁定中东地区-单位下手

卡巴斯基发现名为Wirte的骇客组织，涉及一项自2019年以来针对-组织的攻击行动，这起事故中使用恶意的Excel 4.0宏发动攻击，主要的目标为中东的知名公共与私人实体，包含外交单位、金融机构、-、律师事务所、军事机构，以及科技公司，不过，Wirte也曾对其他地区发动攻击。卡巴斯基指出，与其他的骇客组织相比，Wirte具有较好的操作安全（OpSec）与更为隐蔽的手法，而能够长时间躲避资安系统的侦测。

国际刑警组织逮捕逾千名网络诈骗嫌犯

国际刑警组织（Interpol）于11月26日宣布，中国、印度、印尼、日本、韩国、马来西亚、新加坡、罗马尼亚、泰国、越南，以及西班牙等20个国家联手，自今年6月至9月，执行名为HAECHI-II的扫荡行动，总计逮捕1,003名涉及网络金融诈骗的嫌犯，封锁2,350个银行账户，拦截近2,700万美元的诈骗所得，并发现10个新型态的犯罪手法。

Google针对自家云端服务进行研究，不当组态设定的GCP虚拟机器，半小时就可能遭到攻击

Google针对50个遭到入侵的Google Cloud Platform（GCP）虚拟机器进行分析发现，75％的受害虚拟机器，源自安全措施不足，或者是使用有问题的第三方软件；其中，48%受害者账号与API连线，因为使用弱密码甚至是没有设置密码，使得攻击者容易进行暴力破解，而有26%则是与部署存在漏洞的外部软件有关。研究人员指出，骇客攻击GCP所需时间并不长，4成个体在8小时内就被攻破，其中最短可能只需30分钟。

台湾大哥大A32手机出厂被植入恶意程式，受害者等近一年未有妥善协调，台南市议员再开记者会吁企业应善尽责任

年初台湾大哥大Amazing A32手机在供应链被恶意软件渗透事件余波荡漾，多位手机用户因此沦为诈骗人头账号并被传唤出庭，从事件揭露至今快要一年，即便NCC指出台湾大哥大需赔偿用户经济损失，还要订出相关赔偿标准，然而至今赔偿问题仍未解决，台南市议会王家贞议员接获自救会陈情，原订于11月29日上午10时召开“Amazing A32让万人惊吓的台哥大手机事件”记者会，邀请包括台南市-法治处主任消保官、台南示警察局刑警大队，以及与台湾大哥大代表出席，对此次资安事件后续带来的损害与赔偿做进一步协调，但台湾大哥大拒绝派遣高阶主管与会，市议员呼吁企业应善尽责任。

民众遭诈骗26万却谎称银行资安有问题，银行提起告诉以正视听，台中地院判决出炉

去年底有民众向社团与媒体爆料，宣称网络银行账户款项遭盗用，并直指国泰世华银行资安防护不安全，银行在详细调查后，于今年4月向该民众提起提出妨害名誉及信用罪等告诉，今年11月，台中地方法院对此案判决出炉，指出实际情形是该江姓民众遭诈骗集团话术所骗，自行操作网络银行App汇款，因担心受骗被家人发现，在社群媒体上散布不实资讯，骗称国泰银行有安全性因素而遭盗转，并接受媒体采访散布于众及引导风向，最终法院判决散布文字诽谤罪与诽谤罪，处拘役60日，可易科罚金6万元。

 

【漏洞与修补】

Zoom惊传程式码执行漏洞，影响个人电脑与手机用户

Zoom于11月24日修补2项漏洞，这些漏洞是Google研究员发现及通报，它们是CVE-2021-34424与CVE-2021-34423。前者为高风险缓冲溢位漏洞，CVSS风险层级为7.3分，一旦攻击者加以利用，就能导致应用程序或系统服务当机；后者则是中度风险的内存泄露漏洞，攻击者一旦利用，就有机会读取Zoom的应用程序内存区块。执行于Windows、macOS、Linux、Android，以及iOS操作系统的Zoom皆有可能受到影响。

 

【资安防御措施】

证交所针对证券、期货业者，设置资安事故紧急应变支援小组

券商、期货商的资安事故接连发生，使得有关业者的应变处理能力变得相当重要。为了能强化该产业处理资安事故的能量，台湾证券交易所等证券期货相关机构于11月30日，共同成立“证券暨期货市场电脑紧急应变支援小组（Securities and Futures Computer Emergency Response Team，SF-CERT）”，将全天候协助证券期货业者因应资安事件。

为达到资安联防的策略，台湾证券交易所、台湾期货交易所、财团法人中华民国证券柜台买卖中心、台湾集中保管结算所、中华民国证券商业同业公会、中华民国期货业商业同业公会，以及中华民国证券投资信托暨顾问商业同业公会等相关机构，将共同维运此资安事件应变处理体系。

 

【资安产业动态】

Google云端安全管理平台纳入新过滤能力，能缄默特定调查结果

Google为旗下的安全管理平台（Security Command Center，SSC）增加新的功能，其中，为了让资安分析师能更有效率识别与修复关键的风险，Google加入了“缄默（Mute）”功能，协助用户减少需过滤的事件数量，并能实际应用组织的风险模型与优先层级，集中调查资源在特别需要优先处理的事故上。即使用户开启了缄默功能，SSC仍会记录其他事件，以便日后能用于稽核与法规遵循。

在资安业者协助下，意大利逮捕透过Telegram兜售假疫苗接种证明文件的嫌犯

为了规避没有接种武汉肺炎疫苗而可能无法出国、入境的情况，不时传出有人在贩售接种证明（亦称绿色通行证）的现象。意大利金融犯罪防治局（GdF）宣布，他们在威胁情报业者Group-IB的协助下，顺利逮捕涉嫌在网络上贩卖假疫苗认证文件的歹徒。这些人透过Telegram频道来进行宣传，警方至少发现35个Telegram频道，拥有超过10万名用户，这些歹徒以100欧元（113美元）的价格，兜售宣称与某些国家的卫生部门串通后，所产生“有效的”疫苗接种证明。

 

 

【近期资安日报】

2021年11月29日

2021年11月26日

2021年11月25日