親印尼駭客組織Vulz Sec Team，因不滿日本排放福島核廢水，於8月28日發動稱為OpJapan的攻擊日本的行動，攻擊了多家政府機構並聲取得有關政府部門職員的個資。當中包括日本的厚生勞働省、國土交通省、金融廳和國立國會圖書館等。Vulz Sec Team在其Twitter表示，「日本在公海處理核廢料的不光采行動的後果。這是日本政府和聯合國在這種情況下表現出自私的本性，沒有與其他國家進行任何協調。海洋是一種豐富的自然資源，有很多好處。除了在食物方面是自然資源外，它還是一個充滿魅力的旅遊景點。對於這種浪費，即使他們提供了大約二億美元的賠償，也沒有人可以承擔責任，這並不能保證更換資源。」因此我們特此聲明發動OpJapan的行動。」並於2023年8月28日至9月5日對日本組織發動網路攻擊。

據了解，除了Vulz Sec Team宣布的OpJapan之外，其他駭客組織如Anonymous宣布了OpTEPCO和OpFukushima等網路攻擊行動的消息，向日本政府發出威脅，聲稱日本政府網站和與福島設施相關的其他網站遭到網路攻擊。該消息談到了核廢料傾倒對環境和人類的影響。在一項名為“Tango Down”的行動中，聲稱攻擊了與福島核電站相關的21個政府網站和其他網站。

據《日本時報》報導，Anonymous組織的一名成員最近告訴共同社，日本政府釋放處理過的水的政策缺乏透明度，因為公民無法參與其決策過程。

利用惡意二維條碼的廣泛網路釣魚活動已經攻擊了各個行業的組織，包括美國的一家大型能源公司。研究員觀察到攻擊者發送的 1,000 多封網路釣魚電郵，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電郵

8 月 16 日，根據資安公司Cofense觀察到，網路釣魚活動主要針對美國一家著名能源公司，利用二維條碼將惡意電子郵件放入收件箱並繞過安全措施。Cofense 解釋說，網路釣魚連結隱藏在二維碼中利用嵌入 PNG 圖像或 PDF檔案中的惡意 QR code，旨在在攻擊中獲取目標機構員工的 Microsoft 帳號憑證。與直接嵌入電子郵件中的網路釣魚連結相比，使用二維條碼的優點是，最重要的是能繞過反網路釣魚解決方案，因為網路釣魚連結隱藏在 QR code中。研究人員觀察到該活動的平均月增長率超過 270%。自 2023 年 5 月以來，整體的活動增加了 2,400% 以上。研究人員表示，這是 Cofense 觀察到的有史以來最大規模的利用二維條碼的攻擊活動，這種情況表明攻擊者正在測試二維條碼攻擊的功效。

作為該活動的一部分，攻擊者發送了 1,000 多封網路釣魚電子郵件，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電子郵件。

Cofense觀察到的電子郵件一直在偽冒Microsoft安全通知，大多數已識別的網路釣魚連結是 Bing 重定向 URL (26%)，其次是與 Salesforce 應用程式 (15%) 和 Cloudflare 的 Web3 服務相關的兩個網域，分別是krxd[.]com和cf-ipfs[.]com。Cofense 指出，觀察到的攻擊數量每月增長約 270%，其中 5 月至 6 月期間觀察到的峰值最高。然而，經過 7 月份長達數週的攻擊活動後，8 月份觀察到的攻擊數量有所減少。大多數電子郵件包含涉及更新帳號資料的誘餌，包括雙因素和多因素身份驗證或一般帳戶安全詳細資訊。利用Bing URL 重定向，加上隱藏圖像或文檔中嵌入的二維條碼中的網路釣魚連結以及其他混淆策略，有助於惡意資源繞過安全控制並進入收件人的收件箱。

據 Cofense 稱，儘管攜帶二維條碼的網路釣魚電子郵件能夠進入收件箱，但完成攻擊的效率可能不那麼高，因為它們需要用戶掃描條碼（通常使用手機）並點擊網路釣魚連結。

該公司還指出，雖然二維條碼掃描儀和圖像識別系統可以自動識別惡意二條維碼，但教育員工避免掃描電子郵件中的此類條碼也很重要。 2022 年 1 月，聯邦調查局 (FBI)發布公共服務公告 (PSA)，警告網路犯罪分子正在使用二條維碼竊取他們的憑證和財務資料。FBI 的公告包括保護人們免受此類攻擊的提示，建議檢查通過掃描二維條碼獲得的 URL，以確保它是預期網站並且看起來是真實的。攻擊者可能會使用與預期 URL 類似但有拼寫錯誤或字母放錯位置的惡意網域名。在提供登錄資料、個人資料或財務資料之前，請仔細檢查通過二條維碼導航到的任何網站。

不要從非官方商店下載二維條碼掃描儀應用程式，以免感染受污染的應用程式，現在大多數手機都通過相機應用程式內置了掃描儀。如果用戶從他們認識的人那裡收到二維條碼，可通過其他渠道聯繫他們，以驗證該條碼是否來自他們，切勿通過二維條碼導航的網站進行支付，建議手動輸入已知且可信的 URL 來完成支付。11 月，FBI 互聯網犯罪投訴中心 (IC3) 發布警報 ，警告公眾注意利用加密貨幣 ATM 和快速回應QRcode完成支付交易的詐欺活動。

8月3日，美國CISA、NSA 和 FBI 與五眼聯盟的網路機構合作，共同發布了2022年前12名最常被駭客開採的漏洞清單，其中許多漏洞出現在上一年的清單中，鑑於這些機構對針對美國、澳洲、加拿大、新西蘭和英國組織的攻擊的所有了解，聯合諮詢警告稱，攻擊者更喜歡舊的漏洞，而不是新的漏洞。該清單與去年發布的清單沒有什麼不同，包括常被駭客開採的 Log4Shell（追踪為 CVE-2021-44228）和 Zoho 漏洞（CVE -2021- 40539）等。英國國家網路安全中心 (NCSC) 表示，清單上重新出現的漏洞數量突顯了，攻擊者持續針對先前披露的面向互聯網的系統中的漏洞。去年被開採最多的頭號漏洞實際上早在 2018 年就已披露，各大組織和企業已有四年的時間來修補，該漏洞並且一直是CISA，FBI和NCSC重複警告的漏洞為FortiOS SSL VPN Web中的路徑漏洞，此漏洞讓攻擊者可以透過下載FortiOS系統檔案來竊取VPN憑據。世界各地有關部門已留意到這個漏洞可被利用的情況，這漏洞更可包括使用Fortinet VPN設備的機構的VPN網路，該漏洞編號為CVE-2018-13379，長期以來，這是一個眾所周知的漏洞，西方當局警告稱，該漏洞被與俄羅斯 SVR 外國情報服務機構有關聯的駭客組織 APT29 以及其他惡意組織所利用。

最常被駭客開採的漏洞清單中的第2, 3和4名是Microsoft Exchange 伺服器的一系列漏洞，通常稱為ProxyShell（漏洞編號為 CVE-2021-34473、CVE-2021-31207、CVE-2021-34523），分屬遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞，影響Microsoft Exchange Server 2013、2016與2019。微軟已在今年4、5月修補，這些漏洞於2021年發現。

NCSC 表示：“攻擊者通常會在公開披露的頭兩年內利用已知漏洞取得最大成功，並可能將其利用目標最大化，從而強調組織及時應用安全更新的好處。”

儘管截至 2022 年底，通用漏洞揭露(CVE)計畫發布了超過 25,000 個新安全漏洞，以下是去年前12個最容易被利用的安全漏洞:

這個漏洞清單提供了對網路犯罪活動背後策略的深入了解，新西蘭國家網路安全中心副主任 Lisa Fong 表示，這一建議強化了網路安全的一個基本方面，惡意行為者繼續一遍又一遍地使用相同的技術取得成功，通過了解您的資產並在修補可用時快速應用修補。強調做好基本面的重要性。Fong進一步說，由於攻擊者通常在漏洞公開披露後的頭兩年內獲得最大的利用成功，及時修補會降低已知、可利用漏洞的有效性，可降低惡意網路行為者的行動速度，並迫使攻擊者尋求成本更高、更耗時的方法（例如開發零日漏洞或進行軟體供應鏈操作）

該聯合諮詢還包括 2022 年另外 30 個經常被利用的漏洞，此外該諮詢還為供應商和開發人員提供了緩解措施。

了解更多，有關該諮詢:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a

Key Points:

*美國在多個軍事系統中發現了中國惡意軟體

*與之前監控來自中國的惡意軟體不同，其用途是破壞而不是監視

*惡意軟體還可能會擾亂正常的平民生活和和商業

據《紐約時報》報導，美國政府認為中國已將惡意軟體隱藏在控制美國和世界各地軍事基地的電網、通信系統和供水系統的深處，旨在發生衝突時激活的惡意軟體來擾亂軍隊，美國將該惡意軟體形容為“定時炸彈”。紐約時報指出，該惡意軟體的發現引發了人們的擔憂，即中國駭客為中國政府工作，他們插入了旨在在發生衝突時擾亂美國軍事行動的程式，包括北京在未來幾年對台灣採取行動的情況。美國情報和軍事官員正在搜尋和追縱中國惡意軟體，專家們認為該惡意軟體可能會在美「中」爆發衝突時，恐在關鍵時刻切斷美軍基地的水電與通信，從而減緩補給與部署行動；加以美國許多軍事基地與民宅及民間企業，使用相同的供應基礎設施，因此，許多民用水電通信亦可能遭波及與影響。

《紐時》的報導，與今年 5 月間微軟(Microsoft)的公開警告相呼應，微軟揭露，中國APT駭客組織 Volt Typhoon 滲透到了美國和關島的關鍵基礎設施組織中，該組織設法盡可能長時間地保持存取而不被發現。Volt Typhoon 組織至少自 2021 年中期以來一直活躍，針對關鍵基礎設施開展網路行動。在最近的攻擊活動中，該組織將通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門的組織作為目標。Volt Typhoon主要運用就地取材（Living off the Land）技術發動攻擊，在受害者裝置上安裝惡意程式以便遠端手動控制，之後將檔案壓縮外傳，蒐集到的網路存取憑證則使其得以長期潛伏。同時，以hands-on-keyboard輸入命令的攻擊模式，以躲避防毒軟體的偵測。

報道指，美國當局發現這款中國惡意軟體後，白宮戰情室最近幾個月就事件召開了一系列會議，來自國家安全委員會、國防部及國土安全部等高層官員，正努力追查並旨在將其剷除。然而美國對該軟體的辨識、追查與消除工作，已進行一段時間，但截至目前，仍無法完整得知中共駭客植入惡意軟體的範圍與深度，因為其「隱藏得非常好」。

同時，拜登政府官員開始向國會議員、一些州州長和公用事業公司通報調查結果，並在接受《紐約時報》採訪時證實有關這次行動的一些結論，美國總統拜登的一位最高級顧問解釋說，所謂的惡意軟體的存在引發了一個問題：他們到底在做什麼準備。該程式碼可以用來減緩美國在中國軍隊入侵台灣時的反應，但另一種理論認為該程式碼的目的是為了轉移注意力。美國情報機構評估稱，中國官員可能認為，在攻擊台灣或其他行動期間，美國基礎設施的任何中斷都可能會吸引美國公民的注意力，以至於他們很少考慮海外衝突。

白宮國家安全會議（National Security Council）的發言人Adam Hodge在28日發布的聲明稱，拜登政府正努力保護美國關鍵基礎設施免受任何干擾，這包括跨部門協調工作，以保護供水系統、管線、鐵路和航空系統等，並首度透過一系列行政命令強制要求採取嚴格的網路安全措施，但聲明並未提到中國或美軍基地。

中國國家級駭客的網路行動似乎出現轉變，美國官員表示，最近的入侵與過去的入侵不同，因為目標似乎是破壞，而不是監視。

有關中國惡意軟體操作的報導在中美關係緊張時期浮出水面，中國聲稱台灣是其領土的一部分，而美國則旨在禁止向北京出售先進半導體。

Maximus 已在截至 6 月 30 日的季度中預留了 1500 萬美元的費用，用於支付此次安全事件估計的所需調查和補救費用的成本，例如信用監控和身份恢復服務

一家為醫療補助、醫療保險、美國學生貸款服務商和其他政府項目提供服務的 IT 公司Maximus證實，駭客利用其MFT檔案共享系統MOVEit Transfer獲取了多達1000 萬人的個資。Maximus已向美國證券交易委員會 (SEC)通報並提交的監管備案。Maximus 表示，它使用的 MOVEit系統用於內部和外部檔案共享目的，包括與參與各種政府活動的個人及政府客戶共享數據程式，公司正在就此次網路安全事件配合執法部門，Maximus 在外部法律、取證和數據分析專家的協助下立即開始對此事件進行調查，並採取了補救措施來解決所報告的漏洞，但認為少 800 至 1100 萬人的個人資料，包括社會安全號碼、受保護的健康資料和/或其他個人資料遭存取，Maximus 表示，它正在向客戶以及聯邦和州監管機構通報這一事件，然後再開始向受影響的人發送通知。受影響的人將獲得免費的信用監控和身份恢復服務，具體時間未公開。

該事件預計將給該公司造成 1500 萬美元的損失，但Maximus指出調查仍在進行中，並將持續數週以上。Maximus 擁有超過 34,000 名員工，年收入超過 30 億美元，Maximus 與聯邦、州和地方政府簽訂合同，負責管理和管理政府資助的項目，例如醫療補助、醫療保險、醫療改革和工作福利，它還積極參與新冠肺炎 (COVID-19) 大流行期間的福利轉工作計劃以及政府記錄跟踪。

據網路安全公司Emsisoft的威脅分析師Brett Callow統計，至少 514 個組織受到 MOVEit 事件的影響，包括 97 所美國學校。近日Clop 勒索軟體在其揭秘網站上添加了數十家新公司、大學和組織，其包括中德勤(Deloitte)和豐田，根據Recorded Future News，德勤的一位發言人稱，他們沒有看到客戶數據受到影響的證據。該發言人表示，在意識到這個零日漏洞後，德勤立即應用了供應商的安全更新，並根據供應商的指導採取了緩解措施，並進一步說根據他們的分析，他們的全球網路對易受攻擊的 MOVEit Transfer 軟體的使用是有限的，然而該發言人沒有回答有關此次洩露涉及哪些資料以及員工數據是否被存取的問題。總部位於倫敦的德勤是全球收入規模最大的專業服務網路，也是繼普華永道(PwC)和安永(EY)被證實受到 Clop 勒索軟體組織攻擊之後的第三家受到檔案傳輸軟體利用影響的會計巨頭。

另外根據Recorded Future News，豐田紡織集團 (Toyota Group of Companies) 的成員公司豐田紡織 (Toyota Boshoku Corporation) 週三也(7/26)被添加到 Clop 的名單中，並在 6 月 10 日發布的一份聲明中確認其受到了影響。該公司表示，駭客存取了其歐洲子公司豐田紡織歐洲公司的數據，他們沒有透露哪些數據被存取。

MOVEit 漏洞

MOVEit 漏洞是 MOVEit Transfer 軟體中發現的一個嚴重安全漏洞，該軟體是 Progress Software 開發的託管文件傳輸 (MFT) 解決方案。該漏洞允許攻擊者在 MOVEit Transfer伺服器上執行任意 SQL 命令，從而竊取數據、安裝惡意軟體或控制伺服器。

該漏洞於 2023 年 5 月首次披露，Progress Software 於 6 月 1 日發布了修補來解決該漏洞。然而，當時該漏洞已被 CL0P 勒索軟體組織利用，針對全球數百個組織進行攻擊。此後，漏洞搜尋者發現了其他漏洞並向 Progress 報告，截至 7 月 5 日，漏洞總數達到 6 個，所有這些漏洞均已得到修復。截至 2023 年 7 月，估計有超過 500 個組織成為 MOVEit 攻擊的目標。這些組織包括政府機構、金融機構、醫療保健提供者和科技公司。這些攻擊導致數百萬份個人和財務記錄被盜，並導致關鍵業務運營中斷。

MOVEit 漏洞嚴重提醒我們保持軟體更新最新安全修補的重要性，使用 MOVEit Transfer 的組織應立即應用 Progress Software 發布的修補，以保護自己免受攻擊。