資安研究員觀察到一個中國網路間諜組織利用VMware ESXi零時差漏洞進行權限提升，廣泛使用一系列攻擊者腳本來獲取 vpxuser憑證、枚舉 ESXi 主機及其來賓虛擬機，並操縱連接的 ESXi 主機防火牆規則以竊取數據。

6 月 14 日，資安公司Mandiant 警告稱，一個追踪為 UNC3886 的中國駭客間諜組織被發現利用 VMware ESXi 零時差漏洞來提升客戶虛擬機的權限。UNC3886 最初於 2022 年 9 月詳細介紹，一直在使用惡意 vSphere 安裝服務包(VIB)（通常用於維護系統和部署更新的軟體包）在 ESXi 管理程式上安裝後門並獲得命令執行、檔案操作和反向 shell 功能。該組織的惡意行為會影響 VMware ESXi 主機、vCenter伺服器和Windows 虛擬機 (VM)。

在最近的攻擊中，UNC3886從 vCenter Server 獲取所有連接的 ESXi 主機的憑證，使用 VMCI套接字(一種用於虛擬機通信介面的網路套接字API)部署後門以實現橫向移動和持久性，以及修改和關閉受感染系統上的日誌記錄服務。此外，該組織一直在利用 VMware Tools 中的零時差漏洞繞過身份驗證並在 Windows、Linux 和 PhotonOS (vCenter) 來賓虛擬機上執行特權命令。該漏洞編號為 CVE-2023-20867，具有低嚴重性評級，因為它的利用需要攻擊者擁有對 ESXi 伺服器的root存取權限。VMware 在一份公告中表示，受感染的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作，從而影響客戶虛擬​​機的機密性和完整性，並在VMware Tools的12.2.5版本中解決了該漏洞，建議用戶進行修補。

根據 Mandiant 的說法，UNC3886 被發現使用腳本通過連接的 vPostgreSQL 數據庫從受感染的 vCenter伺服器獲取憑證，枚舉所有 ESXi 主機及其來賓虛擬機，並修改所有連接的ESXi主機的允許IP清單。

UNC3886組織還使用安裝腳本將惡意安裝服務包(VIB)部署到主機，並利用 CVE-2023-20867 執行命令並將檔案從受感染的 ESXi 主機與來賓 VM 來回傳輸，而無需身份驗證且不留痕跡。

Mandiant進一步說，當從 ESXi 主機執行命令時，利用 CVE-2023-20867 不會在來賓虛擬機上生成身份驗證日誌事件。Mandiant還觀察到該組織使用 VMCI 套接字部署了兩個後門（VirtualPita 和 VirtualGate）以實現橫向移動和持續持久性，以確保他們的惡意活動不被發現。該惡意軟體為攻擊者提供了新級別的持久性（通過存取 VM 重新獲得對受感染 ESXi 主機的存取權限），還允許網路分段繞過和逃避對開放偵聽端口的安全審查。

Mandiant 指出，與 CVE-2023-20867 結合，將重新獲得對 ESXi 主機的存取權限允許攻擊者在該 ESXi 主機下運行的任何虛擬機上使用最高特權帳戶執行未經身份驗證的操作。如果 vCenter 作為 ESXi 主機下的虛擬機存在，攻擊者可以繼續連接到 vCenter 的所有 ESXi 主機獲取所有連接的 vpxuser 憑證，並繼續在環境中橫向移動。Mandiant 補充道，UNC3886以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點偵測與回應(EDR)功能的防火牆和虛擬化平台中的零時差漏洞，組織必須保持警惕，確保他們不僅在操作系統層監控網路，而且還要繼續修補和維護。

在親俄羅斯駭客組織 Anonymous Sudan 聲稱已開始了一項專門針對美國公司和基礎設施的攻擊活動之後，微軟 Outlook 在週一當掉，造成全球用戶受到影響。

美國東部時間週一上午 10 點左右，總部位於蘇丹的駭客組織 Anonymous Sudan開始在其Telegram 頻道上發布已發動攻擊微軟的消息，大約在同一時間，Outlook 用戶開始在 Twitter 上發布抱怨Outlook.com當掉，這影響了他們的工作效率的消息。從 Anonymous Sudan 分享的 check-host.net URL 來看，他們的目標是“ https://outlook.live.com/mail/0/ ”，這是 Outlook.com 網路服務的主要 URL。當時，約 15,000 名微軟用戶向Downdetector 報告故障事件。

What's going on here @Outlook – are you down? pic.twitter.com/pFxYubSM5z

— dan richardson (@njsdanrich) June 5, 2023

It's happened. Monday broke @Outlook.
Drafts are disappearing, scheduled emails are shuffling between drafts and outbox. It's chaos.

— Abhilasha Meshram (@AbhilashaMesh) June 5, 2023

微軟在推特上回覆了預設回覆，“您好。對於由此造成的不便，我們深表歉意。我們已讓相關團隊了解此問題，我們正在努力讓您盡快恢復正常運行。感謝您的耐心等待，”Outlook說。

隨後，微軟證實當掉的不僅是Outlook.com， Microsoft 365與其他服務包含OneDrive for Business、Microsoft Teams、SharePoint Online等也當掉，同時表示正在檢查網路系統與更新活動，以確認造成服務中斷的原因。

Anonymous Sudan為了向其followers提供背景資料，該組織在Telegram中特別提到了美國國務卿安東尼·布林肯 (Antony Blinken)。布林肯上周訪問了沙特阿拉伯，討論處理蘇丹危機的戰略方法。美國國務卿還宣布對蘇丹的多個實體實施經濟制裁，包括蘇丹武裝部隊 (SAF) 和快速支援部隊 (RSF)，以應對最近“對平民住宅和基礎設施的搶劫、佔領和襲擊”。

Anonymous Sudan駭客組織自今年 1 月出現，它擅長對目標進行分散式服務阻斷攻擊 (Distributed Denial of Service -DDoS)，分散式阻斷服務攻擊為DoS (Denial of Service)的延伸，為駭客利用大量偽造且無意義的封包，藉以消耗被攻擊者的網路頻寬與系統資源，導致網路癱瘓，無法提供正常的服務。

韌體安全公司 Eclypsium 表示，技嘉主機板中的更新過程可能會忽略驗證下載是否來自官方的來源

韌體安全服務提供商 Eclypsium的研究人員在超過200款技嘉主機板主中發現了類似後門的功能，進一步分析表明，技嘉系統中的韌體在系統啟動過程中會投下並執行Windows本機執行檔。執行檔用於不安全下載和執行其他有效負載。專家指出，這與其他OEM類似後門的功能（如Computrace後門（又名LoJack DoubleAgent）和韌體植入物（如Sednit LoJax，MosaicRegressor，Vector-EDK）觀察到的行為相同。

Eclypsium analysis found a backdoor in Gigabyte systems implementing intentional functionality during system startup. Due to significant #supplychainrisk, we're disclosing this info & defensive strategies on an accelerated timeline >> https://t.co/HgmUUmFPq2#supplychainsecurity

— Eclypsium (@eclypsium) May 31, 2023

Eclypsium分析這個後門似乎正在實施有意的功能，需要韌體更新才能將其從受影響的系統中完全刪除，並表示雖然我們正在進行的調查尚未證實特定攻擊者的利用，但一個活躍的、廣泛存在的、難以移除的後門給擁有技嘉系統的組織帶來了供應鏈風險。

Eclypsium 表示， 它於 2023 年 4 月首次檢測到該異常情況，在分析受影響的 UEFI韌體後，研究人員確定了一個名為8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin的檔案，這是一個 Windows 原生二進制執行檔，Windows 執行檔駐留在 UEFI韌體卷中。

韌體在系統啟動過程中將執行檔案寫入磁盤，這種技術通常被 UEFI 植入程式和後門程式採用。

該執行檔案可用於執行惡意活動，例如下載和執行其他有效負載。

Windows 可執行檔案是一個 .NET 應用程式，它根據其配置從以下位置之一下載並運行可執行負載：

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://software-nas/Swhttp/LiveUpdate4

專家指出，使用 HTTP 為中間人攻擊打開了大門，研究人員還注意到，即使使用 HTTPS 協議，遠端伺服器憑證的驗證也未能正確實作，在這種情況下也允許 MITM 攻擊，使情況更加複雜的是，韌體不支援執行檔案的數位簽名驗證。

“投下的執行檔案和正常下載的技嘉工具確實具有滿足 Microsoft Windows 程式簽名要求的技嘉加密簽名，但這對抵消惡意使用幾乎沒有作用，尤其是在使用離地生存技術（如在最近關於Volt Typhoon攻擊者的警報中  ）因此任何攻擊者都可以利用它通過 MITM 或受損的基礎設施持續感染易受攻擊的系統，類似後門的行為可能會影響超過三百個 Gigabyte 系統。

這些問題使組織面臨範圍廣泛的攻擊場景:

*攻擊者濫用 OEM 後門。

*OEM 更新基礎設施和供應鏈的妥協

*使用 UEFI Rootkit 和植入程式的持久性

*MITM 攻擊韌體和軟體更新功能

*由於官方韌體中的不良行為而持續存在風險

Eclypsium建議採取以下措施將風險降至最低：

*掃描和監控系統和韌體更新

*將系統更新到經過驗證的最新韌體和軟體。

*檢查並禁用技嘉系統上 UEFI/BIOS 設置中的App Center下載和安裝功能，並設置 BIOS 密碼以阻止惡意更改

*阻止上述網站加入封鎖名單

6 月 1 日， 技嘉更新：已發布修復程式以解決主機板漏洞，並表示其程師在對技嘉主機板的新BIOS進行全面測試和驗證後，已經降低了潛在風險，並將Intel 700/600和AMD 500/400系列Beta BIOS上傳至官網。

#CVE-2023-33009

#CVE-2023-33010

網路設備製造商兆勤科技Zyxel 警告客戶其數款防火牆和 VPN 產品中存在兩個嚴重漏洞，攻擊者無需身份驗證即可利用這些漏洞。

這兩個安全問題都是緩衝區溢出的漏洞，並可能允許在易受攻擊的設備上執行阻斷服務攻擊 (DoS) 和遠端程式碼。

“兆勤已經發布了針對受多個緩衝區溢出漏洞影響的防火牆的修補，”該供應商在一份安全公告中表示。“建議用戶安裝它們以獲得最佳保護，”該公司補充道。

緩衝區溢出問題允許內存操作，使攻擊者能夠在分配的部分之外寫入數據。它們通常會導致系統崩潰，但在某些情況下，成功利用可以允許在設備上執行代碼。

Zyxel 的最新修補解決了以下漏洞，以下是對這兩個漏洞的簡要說明:

CVE-2023-33009：通知功能中的緩衝區溢出漏洞可能使未經身份驗證的攻擊者能夠導致拒絕服務 (DoS) 條件和遠端程式碼執行（CVSS 分數為 9.8）

CVE-2023-33010：ID 處理函數中的緩衝區溢出漏洞，允許未經身份驗證的攻擊者執行遠端程式碼或導致拒絕服務 (DoS)（CVSS 分數為 9.8）

該公司表示，以下設備受到影響：

ATP（版本 ZLD V4.32 到 V5.36 Patch 1，在 ZLD V5.36 Patch 2中修補）

USG FLEX（版本 ZLD V4.50 到 V5.36 Patch 1，在 ZLD V5.36 Patch 2中修補）

USG FLEX50(W) / USG20(W)-VPN（版本 ZLD V4.25 到 V5.36  Patch 1，在 ZLD V5.36 Patch 2 中修補）

VPN（版本 ZLD V4.30 到 V5.36 Patch 1，在 ZLD V5.36 Patch 2中修補），以及

ZyWALL/USG（版本 ZLD V4.25 到 V4.73 Patch 1，在 ZLD V4.73 Patch 2 中修補）

供應商建議受影響產品的用戶盡快應用最新的安全更新，以消除駭客利用這兩個漏洞的風險。

中小型企業使用運行上述易受攻擊版本的設備來保護他們的網路，並允許遠端或在家辦公的員工進行安全網路訪問 (VPN)。攻擊者密切關注影響此類設備的任何重大漏洞，因為它們可以促進輕鬆存取公司網路。

上週，網路安全研究員Kevin Beaumont報告稱，4 月底，Zyxel 在其防火牆設備中修復了一個嚴重的 RCE 漏洞，跟踪為 CVE-2023-28771  （CVSS 分數為9.8），並敦促客戶安裝補丁。該公司還修復了影響某些特定防火牆版本的高嚴重性身份驗證後命令注入問題（CVE-2023-27991 ，CVSS 分數為8.8）。

Key Points:

*鈴木摩托車印度廠提供全球近一半的鈴木汽車產品，該國也是該品牌在 2023 財年增長最快的市場

*除了造成超過 20,000輛摩托車的生產損失外，該資安事件還迫使鈴木推遲其年度供應商大會

*該公司尚未透露攻擊的來源或何時恢復生產

負責製造鈴木摩托車的印度廠在遭受網路攻擊後被迫關閉，據印度媒體報導，由於營運受到網路攻擊，Suzuki Motorcycle India 的工廠被迫停產，自 5 月 10 日(星期六)以來，生產一直停滯不前，估計在此期間造成了至少 20,000 多輛摩托車的生產損失。鈴木摩托車稱已採取措施應對這一情況，包括因前所未有的業務需求(unprecedent business requirement)而推遲了原定於本週開始的年度供應商會議。該公司已將事件報告給有關政府部門，並正在配合調查。不過，該發言人補充說出於安全考慮，目前無法提供更多細節，因此並未透露此次攻擊的來源，也未提供恢復生產的具體時間表。如果該公司之後透露遭受到勒索軟體攻擊，相信任何人都不會感到驚訝。儘管如此，消息人士表示，該工廠將在未來幾天恢復營運。

據印度Acko Drive的報導，鈴木摩托車是 2023 財年該國第五大兩輪車生產商，產量接近 100 萬輛，就像其姊妹公司 Maruti Suzuki 一樣，印度是這家兩輪車製造商在日本以外的最大市場。它是日本鈴木汽車的主要出口中心，印度 20% 的產品供應全球主要市場。印度佔鈴木汽車公司全球產量的 50%，是上一財年增長最快的市場之一。鈴木的全球產量在 2023 財年增長了超過 22 萬輛，其中近 85% 的增量來自印度。

鈴木摩托車在競爭激烈的印度兩輪車市場中佔有接近 5% 的市場份額，其 Burgman Street 和 Access 踏板車系列享有很高的市場佔有率。踏板車佔其 2023 財年總產量的 90% 以上，該公司在該領域的市場份額為 14%。憑藉在踏板車領域 14% 的市場份額，鈴木計劃在其產品線中推出更多產品，但像這樣的資安事件肯定會破壞或延誤其一些計劃。

印度公司經常成為攻擊目標

此次鈴木遭攻擊前，在過去 3-4 年中，包括印度國家銀行 (SBI)、印度最大的電力公司Tata Power、印度最大的醫療機構全​​印度醫學科學研究所( AIIMS ) 、頂級醫院Safdarjung

印度香料航空SpiceJet、印度航空和達美樂印度等幾家大企業亦曾被網路或勒索軟體攻擊，在所有行業中，醫療保健受到網路攻擊的打擊最嚴重，其次是教育和政府。然而印度並不孤單，因為全球網路攻擊在2022年激增38%後達到歷史最高水平，隨著 ChatGPT 開啟了駭客快速生成程式碼的可能性，網路安全變得更具挑戰性。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

台灣成為了今年第一季度全球網路攻擊的頭號目標，根據Checkpoint，2023年第一季度全球每個組織每周遭受的平均網路攻擊次數較上年同期增長 7% 至 1,248 次，攻擊目標為政府和軍事機構、私營企業和教育機構。然而，在此期間，台灣每個組織每週的網路攻擊次數平均為 3,250 次，是全球平均水平的 2.6 倍。另外根據Trellix的一份資安報告<<China-Taiwan Tensions Spark Surge in Cyberattacks on Taiwan>>，中國與台灣的緊張局勢導致針對台灣的網絡攻擊顯著增加。特別是對其主要目標部署惡意軟體和竊取敏感資料。Trellix觀察到針對台灣政府官員的勒索郵件顯著增加，1 月份惡意郵件數量同比增長了30 倍。另外瞄准其他組織的攻擊，從 4 月 7 日開始一直持續到 4 月 10 日，在此期間，惡意電子郵件的數量猛增到平時數量的四倍。

Trellix 高級研究中心高級副總裁 Joseph Tal 在報告中表示，在過去幾年中，他們注意到地緣政治衝突是各種行業和機構遭受網路攻擊的主要驅動力之一，從惡意電子郵件和 URL 到惡意軟體。Trellix表示，在中國宣稱台灣是其領土的一部分與台灣保持獨立之間的緊張關係已經演變成令人擔憂的激增網路攻擊。在這種情況下，Trellix 觀察到網路釣魚攻擊帶有國家級駭客組織的特徵。

他們發現，在 4 月 7 日到 4 月 10的期間，惡意電子郵件的數量增加到平時數量的四倍多。這些活動針對政府機構以及 IT、製造和物流行業，駭客部署了被稱為PlugX的一種遠端存取特洛伊木馬程式(RAT)，這也是一種Windows 後門。PlugX被發現自2012 年以來已被許多中國APT駭客組織用來控制受害機器並使用DLL 側載技術來躲避被檢測。針對台灣的惡意電子郵件數量激增之後，Trellix檢測到PlugX惡意軟體的數量增加了 15 倍，這表明網路釣魚誘餌充當了初始存取向量以投遞額外的有效負載，使用 PlugX 的一些已知APT駭客包括 APT10、APT27、APT41、MustangPanda 和 RedFoxtrot。PlugX 以其逃避防毒軟體的能力而聞名，並使駭客能夠跟踪擊鍵、在受害者設備上螢幕截圖和存取檔案，一些 PlugX 插件包括磁碟枚舉、鍵盤記錄、網路資源枚舉、port mapping、進程終止、登錄檔編輯、服務控制和遠端 shell 存取等功能。

Photo Credit: Trellix

除了 PlugX，Trellix 表示還發現了其他惡意軟體的系列，例如混淆工具Kryptik 特洛伊木馬式以及針對國家的竊取程式FormBook 和 Zmutzy間諜軟體。在攻擊活動中發送的一些惡意電子郵件涉及來自律師事務所的虛假逾期付款通知，其中包含惡意附件，而另一些則是聲稱來自 DHL 的虛假發貨通知電子郵件，這些電子郵件包含指向網路釣魚頁面的連結，其他電子郵件在報價或採購訂單請求中則附加了惡意軟體。Trellix說，注意到許多不同主題針對台灣組織的的惡意網頁，如通過登錄頁面、目標公司特定頁面、多種品牌登錄頁面等，用於定位用戶以獲取憑證。

中國和台灣之間日益緊張的關係，加上越來越多的網路安全攻擊，引起了全球個人、企業和政府的關注。在中國外交部上個月發表戰狼言論言論後，美國國會參、眾兩院跨黨派議4月20日同步提出法案，要求美國政府協助強化台灣網路安全，因應中國的網路威脅，大幅擴大與台灣的網路安全合作。兩黨的《台灣網路安全韌性法案》Taiwan Cybersecurity Resiliency Act將授權美國國防部與台灣進行網絡訓練演習，保衛其軍事基礎設施和系統，並消除針對台灣的惡意數位活動。

Trellix 高級研究中心高級副總裁 Joseph Tal 最後表示，監控地緣政治事件可以幫助組織預測其運營所在國家/地區的網路攻擊。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”