【資安日報】8月31日，駭客組織Earth Estries從事網路間諜活動，包含臺灣在內的多國政府機關、科技業者成為目標

中國駭客攻擊行動日益頻繁。幾乎每天都會出現在資安新聞當中，但今天更誇張，幾乎全部都與他們有關。這群駭客的攻擊目標從企業組織的應用系統、行動裝置應用程式、郵件安全閘道，甚至是透過社群網站來散布各式吹捧中國、批判西方國家的訊息。這樣的威脅態勢，可說是變得越來越險峻。值得留意的是，這些攻擊行動當中，大多都把臺灣視為主要目標，我們無法再置身事外。

【攻擊與威脅】

資安業者趨勢科技揭露，該組織自今年初，開始針對臺灣、美國、德國、南非、馬來西亞、菲律賓的政府機關與科技業者下手，但也有印度、加拿大、新加坡組織受害。

研究人員先是看到駭客成功入侵目標組織的伺服器，便利用管理者權限掌控既有的使用者帳號，然後部署Cobalt Strike來投放更多惡意程式，接著開始進行橫向移動，藉由網路資料夾共享（SMB）及WMI命令列工具（WMIC），在受害組織的其他電腦上，散布後門程式Zingdoor、HemiGate，竊資軟體TrillClient，以及其他作案工具。

特別的是，駭客在每一輪攻擊工作當中，都會定期清除後門程式，然後在下一階段攻擊重新部署惡意程式，且將收集的資料進行歸檔，並使用curl.exe上傳至AnonFiles、File.io等檔案共用服務，駭客竊取資料的檔案類型，主要是PDF與DDF。

資安業者ESET揭露，他們製作帶有間諜軟體BadBazaar的冒牌即時通訊軟體應用程式，名為FlyGram、Signal Plus Messenger，在Google Play市集、三星Galaxy Store上架，鎖定烏克蘭、波蘭、荷蘭、西班牙、葡萄牙、德國、香港、美國的Telegram及Signal使用者而來。

一旦使用者安裝了FlyGram，攻擊者就有可能取得設備的基本資訊，以及手機上的聯絡人名單、通話記錄、Google帳號等，同時也能盜取Telegram有關的部分配置資料（但不包括Telegram好友、對話內容或其他敏感資料）。然而，若是使用者透過FlyGram備份Telegram帳號，攻擊者就能得到這些資料，研究人員看到至少13,953個用戶啟用上述備份機制。

若是使用者安裝了Signal Plus Messenger，攻擊者同樣能藉此取得手機資料，但有別於FlyGram的部分是，該惡意程式能監控受害者的Signal對話內容，並且竊取用於保護Signal帳號的PIN碼，以及濫用電腦版或iPad版應用程式與手機連結的功能。

8月29日，中國駭客組織UNC4841於去年10月至今年6月，利用CVE-2023-2868發動攻擊，並在11月上旬開始出現顯著升溫的情況，僅有農曆新年（1月20日至22日）略為下降。

而到了5月23日Barracuda發布資安通告之後，這類攻擊行動又出現2波，第一次是在公告的數日之後，駭客重新調整攻擊的手段，第二次則是在6月上旬，攻擊者採用更多新的惡意程式，包括Skipjack、Depthcharge、Foxtrox、Foxglove等，目的是為了維持在特定受害組織持續進行活動。Skipjack主要被用於監聽特定的信件標頭及主旨，然後執行惡意內容；Depthcharge則是利用LD_PRELOAD環境參數，藉由Barracuda SMTP的Deamon處理程序載入、執行，接收加密的命令；比較值得留意的是Foxtrox與Foxglove，有別於研究人員發現的惡意程式，這兩個惡意軟體並非專門針對ESG而來，駭客可能以此攻擊其他應用系統。

而對於這起攻擊的目標，研究人員指出近三分之一是政府機關、高科技產業及資訊業者、電信業者、製造業，而且，臺灣及香港的貿易辦公室與學術研究機構，以及東南亞國協的外交部，這些單位的網域名稱及使用者，都遭到鎖定，駭客利用Shell指令碼發動攻擊。

8月28日Meta發布今年第二季的對抗威脅報告（Adversarial Threat Report），當中提及名為Spamouflage的大規模攻擊行動，駭客活躍於超過50個社群網站，包括：臉書、Instagram、抖音、YouTube、X（原推特），他們大力讚揚中國與新疆省、批判美國等西方國家的外交政策、轉載記者與研究人員對中國政府的批評。

這些駭客主要目標是臺灣、美國、澳洲、英國、日本，以及其他使用中文的用戶，總共設置了超過7,700個臉書帳號、15個Instagram帳號來散布垃圾訊息，Meta表示，這是他們有史以來規模最大的掃蕩行動。而對於攻擊來源，該公司表示來自中國，他們找到該國執法部門人士與這起攻擊行動有關的跡象。

【漏洞與修補】

8月29日VMware針對旗下的Aria Operations for Networks（原名vRealize Network Insight）發布資安通告，指出該系統存在漏洞CVE-2023-34039、CVE-2023-20890，影響6.10以前的版本（6.11版不受影響）。

屏東借錢。感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器。大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款！如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車。三洋服務站全台據點。

上述漏洞最嚴重的是身分驗證繞過漏洞CVE-2023-34039，起因是該系統在驗證流程裡，使用相同的加密金鑰，攻擊者可用於繞過SSH身分驗證流程，進而存取該網路監控系統的命令列介面（CLI），CVSS風險評分為9.8。

另一個漏洞CVE-2023-20890，與檔案任意寫入有關，攻擊者若是取得管理權限，就有機會藉此遠端執行任意程式碼（RCE），CVSS風險評為7.2分。對此，VMware針對6.2至6.10版Aria Operations for Networks，發布KB94152更新程式予以修補。

【資安產業動態】

由於資安面向廣泛、技能需求多元，過去美國曾發布NICE網路安全人才框架，到了2022年10月，歐盟網路安全局（ENISA）亦發布ECSF網路人才技能框架，定義出資安團隊12種角色。2022年初，國家資通安全研究院開始積極行動，先從供給與需求面來調查臺灣資安人才現況；今年初接續打造適合我國的通用資安職能基準，強調以ECSF的12類人才為基礎，建構符合國需求的資安人才類別雛形。

在8月24日舉行的研討會，資安院宣布最新的工作成果，當中揭露2023臺灣資安人才培力研究報告的藍皮書，資安院副院長林盈達表示，我國資安人才類別框架的發展，已定義「12+7」種類型，並完成政府與民間的資安課程開設調查，提出未來開課方向的建議，林盈達預告，培訓課程將從資安長的人才類別先啟動，預計最晚今年底就會開設。

這19種資安工作的角色，包括與ECSF框架共通的12種，以及額外新增的資安系統規畫師、資安顧問師、資安專案經理、資安檢測工程師、資安系統維運員、資安監控防禦工程師、漏洞分析工程師等7種。

8月30日蘋果宣布2024年度的iPhone安全研究設備專案（SRDP），研究人員可在10月31日前提出申請，若是通過審核，將能取得用於安全研究的專屬設備（SRD），這是停用安全功能且具備Shell存取權限的iPhone 14 Pro裝置，使得資安人員能進行更多有關的研究，如：安裝自製的核心並用來開機、在非沙箱環境以root權限執行任意程式碼、設定NVRAM參數、針對iOS 17的新功能Secure Page Table Monitor（SPTM）及Trusted Execution Monitor（TXM）部署自製韌體。

而對於這項專案的執行成果，蘋果指出，自2019年發起至今，研究人員總共找出130個極具影響力的重大漏洞，近半年取得37個CVE編號，蘋果也為研究人員提供獎勵，最高達到50萬美元，中位數則為1.8萬美元。

【其他新聞】

近期資安日報

https://www.ithome.com.tw/news/158534