在業界廣泛使用的容器管理應用程式 Kubernetes ，近來被披露有三個互相關聯的高嚴重性安全漏洞，可能被利用來對同一個集群中的 Windows 端點上實現帶有提升權限的遠程代碼執行。此三個安全漏洞的CVE編號分別為：CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，它們的 CVSS 評分為 8.8，影響所有帶有 Windows 端點的 Kubernetes 環境。

這些漏洞的主要威脅是它們允許攻擊者在 Kubernetes 集群中的 Windows 端點上執行遠程代碼，並進而獲得 SYSTEM 權限。具體來說，攻擊者需要將一個惡意的 YAML 文件於目標集群內執行，然後就可以在受害的 Windows 機器上執行任意代碼操作。

CVE-2023-3676 影響了所有版本低於 1.28 的 Kubernetes，能夠讓攻擊者以低權限進行攻擊，只需具有對端點的訪問權限和應用權限即可將惡意代碼在 Windows 端點上以 SYSTEM 權限執行。這樣的低門檻使得攻擊變得相對容易，大幅提升了組織受到攻擊的風險。另一方面，CVE-2023-3893 則涉及 Container Storage Interface (CSI) 代理中的特權升級，允許攻擊者獲得端點上的管理者訪問權限。

這些漏洞的共同性是在處理 Pod （Kubernetes的計算單元）時，對於使用者的輸入缺乏適當的驗證。這使得攻擊者能夠創建包含惡意代碼的 Pod，從而實現特權升級和遠程代碼執行。

這組漏洞對企業的安全性構成了嚴重威脅，特別是那些大量使用 Windows 端點設備的企業。因此，企業應該盡快採取必要的措施，包括更新和修補 Kubernetes，以確保其系統免受潛在的攻擊風險。

竣盟科技針對此項漏洞的建議如下：

立即進行版本更新：確保您正在使用已經修補這些漏洞的最新版本的 Kubernetes。

限制訪問權限：限制誰可以在您的集群中創建或修改 pod。實施嚴格的基於角色的訪問控制（RBAC）政策。

稽核與監控：密切關注您的日誌活動，標記和調查不尋常或未經授權的 pod 創建活動，特別是包含嵌入式 PowerShell 命令的項目，所有這些都是潛在攻擊的強烈徵兆。

Kubernetes是什麼？

Kubernetes是一個開源的容器管理平台，它用於自動化和管理應用程式的部署、維護和擴充。可以幫助開發人員和維運團隊更輕鬆地管理容器化的應用，提供了一個可擴充、高度可用的平台，支持應用程式在不同的環境中運行，包括本地、雲端和混合雲環境。Kubernetes提供了自動化的容器部署、擴充、故障恢復和負載平衡等功能，使應用程式更加穩定、可靠且易於管理。它已成為容器化應用程式的標準，被廣泛用於現代雲原生應用的開發和運營。

最新一款針對Mac使用者的資訊竊取惡意軟體MetaStealer已經現身，攻擊者專門瞄準企業用戶。這種惡意軟體通常偽裝成Adobe應用程式或檔案，或者隱藏在一般的檔案文件之中。SentinelOne的研究人員表示，目前發現的MetaStealer樣本多數都是隱藏在使用.dmg副檔名的檔案之中，這種直接挑明了針對macOS的惡意軟體是相當罕見的，因此也被猜測可能有要針對某些特定的企業用戶。

MetaStealer專為搭載Apple M1和M2處理器的Mac設計，其代碼經過重重隱藏跟混淆，企圖令人看不清他的用意為何。儘管如此，研究人員還是發現到MetaStealer能夠竊取已保存的密碼、iCloud鑰匙圈的功能、以及多數的文件檔案，甚至有些變種是專門瞄準Telegram和Meta應用程序。

MetaStealer首次於2023年3月被發現，此後不斷更新、進化、並發展不同變種。最近，蘋果公司已將該惡意軟體增加到macOS的XProtect防惡意軟體系統中。儘管一些版本中嵌入了蘋果開發者代碼簽名，但多數樣本未使用簽名，這代表攻擊者會透過各種方式來引導受害者進行一系列操作，藉以繞過Gatekeeper等保護機制。

MetaStealer並非首款針對Mac使用者的資訊竊取惡意軟體，研究單位還發現了一款稱為Atomic Stealer的惡意軟體，與MetaStealer相同，是針對macOS的使用者所設計，但目前為止尚不清楚兩者之間是否有任何關聯。MetaStealer等惡意軟體的出現，代表惡意軟體作者正積極瞄準MacOS的使用者，特別是那些慣以macOS進行日常作業的企業用戶，藉此竊取更多機敏資訊。

這一趨勢令安全人員感到擔憂，當這些惡意軟體開始橫跨到不同系統並且積極開發之時，意味著針對不同作業系統的設備都需要有相應的解決方案，這使得原先就已捉襟見肘的資安預算更加顯得不足。

更多關於針對macOS惡意軟體之消息：

LockBit 勒索軟體組織轉向以mac電腦為目標？！專家發現首款針對macOS 機器的 LockBit 加密工具！
https://blog.billows.com.tw/?p=2593

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

MetaStealer的部分入侵指標(Indicator of compromise -IOCs):

SHA256        ef0dd9ee92148dfc1d731d42812688f28dd276c2307ac8674a216a2371d156cd                                 

SHA256        8dd5bcc737e7b4bf98db09b082c34469b7095da3a4d314b1ca9b43316340da20                                               

SHA256        7344c02c3c366be28df78afb2df87a02a96f82d6fce1df8604067dcb02363dc8                                             

SHA256        50427037543eb5d8be12940c8fac6b4710e15125ee2b77b0743b017eafd8af9f                                  

SHA256        3725b015c4d5e5632e2ab87327f5f20733fc5d821ce500725b6d6c84694de670                          

SHA256        2d70d5965f201d97f4a763e95c7074dfd7ddbf9b7118e79ebf79c13235e1d821

親印尼駭客組織Vulz Sec Team，因不滿日本排放福島核廢水，於8月28日發動稱為OpJapan的攻擊日本的行動，攻擊了多家政府機構並聲取得有關政府部門職員的個資。當中包括日本的厚生勞働省、國土交通省、金融廳和國立國會圖書館等。Vulz Sec Team在其Twitter表示，「日本在公海處理核廢料的不光采行動的後果。這是日本政府和聯合國在這種情況下表現出自私的本性，沒有與其他國家進行任何協調。海洋是一種豐富的自然資源，有很多好處。除了在食物方面是自然資源外，它還是一個充滿魅力的旅遊景點。對於這種浪費，即使他們提供了大約二億美元的賠償，也沒有人可以承擔責任，這並不能保證更換資源。」因此我們特此聲明發動OpJapan的行動。」並於2023年8月28日至9月5日對日本組織發動網路攻擊。

據了解，除了Vulz Sec Team宣布的OpJapan之外，其他駭客組織如Anonymous宣布了OpTEPCO和OpFukushima等網路攻擊行動的消息，向日本政府發出威脅，聲稱日本政府網站和與福島設施相關的其他網站遭到網路攻擊。該消息談到了核廢料傾倒對環境和人類的影響。在一項名為“Tango Down”的行動中，聲稱攻擊了與福島核電站相關的21個政府網站和其他網站。

據《日本時報》報導，Anonymous組織的一名成員最近告訴共同社，日本政府釋放處理過的水的政策缺乏透明度，因為公民無法參與其決策過程。

利用惡意二維條碼的廣泛網路釣魚活動已經攻擊了各個行業的組織，包括美國的一家大型能源公司。研究員觀察到攻擊者發送的 1,000 多封網路釣魚電郵，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電郵

8 月 16 日，根據資安公司Cofense觀察到，網路釣魚活動主要針對美國一家著名能源公司，利用二維條碼將惡意電子郵件放入收件箱並繞過安全措施。Cofense 解釋說，網路釣魚連結隱藏在二維碼中利用嵌入 PNG 圖像或 PDF檔案中的惡意 QR code，旨在在攻擊中獲取目標機構員工的 Microsoft 帳號憑證。與直接嵌入電子郵件中的網路釣魚連結相比，使用二維條碼的優點是，最重要的是能繞過反網路釣魚解決方案，因為網路釣魚連結隱藏在 QR code中。研究人員觀察到該活動的平均月增長率超過 270%。自 2023 年 5 月以來，整體的活動增加了 2,400% 以上。研究人員表示，這是 Cofense 觀察到的有史以來最大規模的利用二維條碼的攻擊活動，這種情況表明攻擊者正在測試二維條碼攻擊的功效。

作為該活動的一部分，攻擊者發送了 1,000 多封網路釣魚電子郵件，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電子郵件。

Cofense觀察到的電子郵件一直在偽冒Microsoft安全通知，大多數已識別的網路釣魚連結是 Bing 重定向 URL (26%)，其次是與 Salesforce 應用程式 (15%) 和 Cloudflare 的 Web3 服務相關的兩個網域，分別是krxd[.]com和cf-ipfs[.]com。Cofense 指出，觀察到的攻擊數量每月增長約 270%，其中 5 月至 6 月期間觀察到的峰值最高。然而，經過 7 月份長達數週的攻擊活動後，8 月份觀察到的攻擊數量有所減少。大多數電子郵件包含涉及更新帳號資料的誘餌，包括雙因素和多因素身份驗證或一般帳戶安全詳細資訊。利用Bing URL 重定向，加上隱藏圖像或文檔中嵌入的二維條碼中的網路釣魚連結以及其他混淆策略，有助於惡意資源繞過安全控制並進入收件人的收件箱。

據 Cofense 稱，儘管攜帶二維條碼的網路釣魚電子郵件能夠進入收件箱，但完成攻擊的效率可能不那麼高，因為它們需要用戶掃描條碼（通常使用手機）並點擊網路釣魚連結。

該公司還指出，雖然二維條碼掃描儀和圖像識別系統可以自動識別惡意二條維碼，但教育員工避免掃描電子郵件中的此類條碼也很重要。 2022 年 1 月，聯邦調查局 (FBI)發布公共服務公告 (PSA)，警告網路犯罪分子正在使用二條維碼竊取他們的憑證和財務資料。FBI 的公告包括保護人們免受此類攻擊的提示，建議檢查通過掃描二維條碼獲得的 URL，以確保它是預期網站並且看起來是真實的。攻擊者可能會使用與預期 URL 類似但有拼寫錯誤或字母放錯位置的惡意網域名。在提供登錄資料、個人資料或財務資料之前，請仔細檢查通過二條維碼導航到的任何網站。

不要從非官方商店下載二維條碼掃描儀應用程式，以免感染受污染的應用程式，現在大多數手機都通過相機應用程式內置了掃描儀。如果用戶從他們認識的人那裡收到二維條碼，可通過其他渠道聯繫他們，以驗證該條碼是否來自他們，切勿通過二維條碼導航的網站進行支付，建議手動輸入已知且可信的 URL 來完成支付。11 月，FBI 互聯網犯罪投訴中心 (IC3) 發布警報 ，警告公眾注意利用加密貨幣 ATM 和快速回應QRcode完成支付交易的詐欺活動。