標籤: News

利用惡意二維條碼的廣泛網路釣魚活動已經攻擊了各個行業的組織，包括美國的一家大型能源公司。研究員觀察到攻擊者發送的 1,000 多封網路釣魚電郵，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電郵

8 月 16 日，根據資安公司Cofense觀察到，網路釣魚活動主要針對美國一家著名能源公司，利用二維條碼將惡意電子郵件放入收件箱並繞過安全措施。Cofense 解釋說，網路釣魚連結隱藏在二維碼中利用嵌入 PNG 圖像或 PDF檔案中的惡意 QR code，旨在在攻擊中獲取目標機構員工的 Microsoft 帳號憑證。與直接嵌入電子郵件中的網路釣魚連結相比，使用二維條碼的優點是，最重要的是能繞過反網路釣魚解決方案，因為網路釣魚連結隱藏在 QR code中。研究人員觀察到該活動的平均月增長率超過 270%。自 2023 年 5 月以來，整體的活動增加了 2,400% 以上。研究人員表示，這是 Cofense 觀察到的有史以來最大規模的利用二維條碼的攻擊活動，這種情況表明攻擊者正在測試二維條碼攻擊的功效。

作為該活動的一部分，攻擊者發送了 1,000 多封網路釣魚電子郵件，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電子郵件。

Cofense觀察到的電子郵件一直在偽冒Microsoft安全通知，大多數已識別的網路釣魚連結是 Bing 重定向 URL (26%)，其次是與 Salesforce 應用程式 (15%) 和 Cloudflare 的 Web3 服務相關的兩個網域，分別是krxd[.]com和cf-ipfs[.]com。Cofense 指出，觀察到的攻擊數量每月增長約 270%，其中 5 月至 6 月期間觀察到的峰值最高。然而，經過 7 月份長達數週的攻擊活動後，8 月份觀察到的攻擊數量有所減少。大多數電子郵件包含涉及更新帳號資料的誘餌，包括雙因素和多因素身份驗證或一般帳戶安全詳細資訊。利用Bing URL 重定向，加上隱藏圖像或文檔中嵌入的二維條碼中的網路釣魚連結以及其他混淆策略，有助於惡意資源繞過安全控制並進入收件人的收件箱。

據 Cofense 稱，儘管攜帶二維條碼的網路釣魚電子郵件能夠進入收件箱，但完成攻擊的效率可能不那麼高，因為它們需要用戶掃描條碼（通常使用手機）並點擊網路釣魚連結。

該公司還指出，雖然二維條碼掃描儀和圖像識別系統可以自動識別惡意二條維碼，但教育員工避免掃描電子郵件中的此類條碼也很重要。 2022 年 1 月，聯邦調查局 (FBI)發布公共服務公告 (PSA)，警告網路犯罪分子正在使用二條維碼竊取他們的憑證和財務資料。FBI 的公告包括保護人們免受此類攻擊的提示，建議檢查通過掃描二維條碼獲得的 URL，以確保它是預期網站並且看起來是真實的。攻擊者可能會使用與預期 URL 類似但有拼寫錯誤或字母放錯位置的惡意網域名。在提供登錄資料、個人資料或財務資料之前，請仔細檢查通過二條維碼導航到的任何網站。

不要從非官方商店下載二維條碼掃描儀應用程式，以免感染受污染的應用程式，現在大多數手機都通過相機應用程式內置了掃描儀。如果用戶從他們認識的人那裡收到二維條碼，可通過其他渠道聯繫他們，以驗證該條碼是否來自他們，切勿通過二維條碼導航的網站進行支付，建議手動輸入已知且可信的 URL 來完成支付。11 月，FBI 互聯網犯罪投訴中心 (IC3) 發布警報 ，警告公眾注意利用加密貨幣 ATM 和快速回應QRcode完成支付交易的詐欺活動。

8月3日，美國CISA、NSA 和 FBI 與五眼聯盟的網路機構合作，共同發布了2022年前12名最常被駭客開採的漏洞清單，其中許多漏洞出現在上一年的清單中，鑑於這些機構對針對美國、澳洲、加拿大、新西蘭和英國組織的攻擊的所有了解，聯合諮詢警告稱，攻擊者更喜歡舊的漏洞，而不是新的漏洞。該清單與去年發布的清單沒有什麼不同，包括常被駭客開採的 Log4Shell（追踪為 CVE-2021-44228）和 Zoho 漏洞（CVE -2021- 40539）等。英國國家網路安全中心 (NCSC) 表示，清單上重新出現的漏洞數量突顯了，攻擊者持續針對先前披露的面向互聯網的系統中的漏洞。去年被開採最多的頭號漏洞實際上早在 2018 年就已披露，各大組織和企業已有四年的時間來修補，該漏洞並且一直是CISA，FBI和NCSC重複警告的漏洞為FortiOS SSL VPN Web中的路徑漏洞，此漏洞讓攻擊者可以透過下載FortiOS系統檔案來竊取VPN憑據。世界各地有關部門已留意到這個漏洞可被利用的情況，這漏洞更可包括使用Fortinet VPN設備的機構的VPN網路，該漏洞編號為CVE-2018-13379，長期以來，這是一個眾所周知的漏洞，西方當局警告稱，該漏洞被與俄羅斯 SVR 外國情報服務機構有關聯的駭客組織 APT29 以及其他惡意組織所利用。

最常被駭客開採的漏洞清單中的第2, 3和4名是Microsoft Exchange 伺服器的一系列漏洞，通常稱為ProxyShell（漏洞編號為 CVE-2021-34473、CVE-2021-31207、CVE-2021-34523），分屬遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞，影響Microsoft Exchange Server 2013、2016與2019。微軟已在今年4、5月修補，這些漏洞於2021年發現。

NCSC 表示：“攻擊者通常會在公開披露的頭兩年內利用已知漏洞取得最大成功，並可能將其利用目標最大化，從而強調組織及時應用安全更新的好處。”

儘管截至 2022 年底，通用漏洞揭露(CVE)計畫發布了超過 25,000 個新安全漏洞，以下是去年前12個最容易被利用的安全漏洞:

這個漏洞清單提供了對網路犯罪活動背後策略的深入了解，新西蘭國家網路安全中心副主任 Lisa Fong 表示，這一建議強化了網路安全的一個基本方面，惡意行為者繼續一遍又一遍地使用相同的技術取得成功，通過了解您的資產並在修補可用時快速應用修補。強調做好基本面的重要性。Fong進一步說，由於攻擊者通常在漏洞公開披露後的頭兩年內獲得最大的利用成功，及時修補會降低已知、可利用漏洞的有效性，可降低惡意網路行為者的行動速度，並迫使攻擊者尋求成本更高、更耗時的方法（例如開發零日漏洞或進行軟體供應鏈操作）

該聯合諮詢還包括 2022 年另外 30 個經常被利用的漏洞，此外該諮詢還為供應商和開發人員提供了緩解措施。

了解更多，有關該諮詢:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a

Key Points:

*美國在多個軍事系統中發現了中國惡意軟體

*與之前監控來自中國的惡意軟體不同，其用途是破壞而不是監視

*惡意軟體還可能會擾亂正常的平民生活和和商業

據《紐約時報》報導，美國政府認為中國已將惡意軟體隱藏在控制美國和世界各地軍事基地的電網、通信系統和供水系統的深處，旨在發生衝突時激活的惡意軟體來擾亂軍隊，美國將該惡意軟體形容為“定時炸彈”。紐約時報指出，該惡意軟體的發現引發了人們的擔憂，即中國駭客為中國政府工作，他們插入了旨在在發生衝突時擾亂美國軍事行動的程式，包括北京在未來幾年對台灣採取行動的情況。美國情報和軍事官員正在搜尋和追縱中國惡意軟體，專家們認為該惡意軟體可能會在美「中」爆發衝突時，恐在關鍵時刻切斷美軍基地的水電與通信，從而減緩補給與部署行動；加以美國許多軍事基地與民宅及民間企業，使用相同的供應基礎設施，因此，許多民用水電通信亦可能遭波及與影響。

《紐時》的報導，與今年 5 月間微軟(Microsoft)的公開警告相呼應，微軟揭露，中國APT駭客組織 Volt Typhoon 滲透到了美國和關島的關鍵基礎設施組織中，該組織設法盡可能長時間地保持存取而不被發現。Volt Typhoon 組織至少自 2021 年中期以來一直活躍，針對關鍵基礎設施開展網路行動。在最近的攻擊活動中，該組織將通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門的組織作為目標。Volt Typhoon主要運用就地取材（Living off the Land）技術發動攻擊，在受害者裝置上安裝惡意程式以便遠端手動控制，之後將檔案壓縮外傳，蒐集到的網路存取憑證則使其得以長期潛伏。同時，以hands-on-keyboard輸入命令的攻擊模式，以躲避防毒軟體的偵測。

報道指，美國當局發現這款中國惡意軟體後，白宮戰情室最近幾個月就事件召開了一系列會議，來自國家安全委員會、國防部及國土安全部等高層官員，正努力追查並旨在將其剷除。然而美國對該軟體的辨識、追查與消除工作，已進行一段時間，但截至目前，仍無法完整得知中共駭客植入惡意軟體的範圍與深度，因為其「隱藏得非常好」。

同時，拜登政府官員開始向國會議員、一些州州長和公用事業公司通報調查結果，並在接受《紐約時報》採訪時證實有關這次行動的一些結論，美國總統拜登的一位最高級顧問解釋說，所謂的惡意軟體的存在引發了一個問題：他們到底在做什麼準備。該程式碼可以用來減緩美國在中國軍隊入侵台灣時的反應，但另一種理論認為該程式碼的目的是為了轉移注意力。美國情報機構評估稱，中國官員可能認為，在攻擊台灣或其他行動期間，美國基礎設施的任何中斷都可能會吸引美國公民的注意力，以至於他們很少考慮海外衝突。

白宮國家安全會議（National Security Council）的發言人Adam Hodge在28日發布的聲明稱，拜登政府正努力保護美國關鍵基礎設施免受任何干擾，這包括跨部門協調工作，以保護供水系統、管線、鐵路和航空系統等，並首度透過一系列行政命令強制要求採取嚴格的網路安全措施，但聲明並未提到中國或美軍基地。

中國國家級駭客的網路行動似乎出現轉變，美國官員表示，最近的入侵與過去的入侵不同，因為目標似乎是破壞，而不是監視。

有關中國惡意軟體操作的報導在中美關係緊張時期浮出水面，中國聲稱台灣是其領土的一部分，而美國則旨在禁止向北京出售先進半導體。

Maximus 已在截至 6 月 30 日的季度中預留了 1500 萬美元的費用，用於支付此次安全事件估計的所需調查和補救費用的成本，例如信用監控和身份恢復服務

一家為醫療補助、醫療保險、美國學生貸款服務商和其他政府項目提供服務的 IT 公司Maximus證實，駭客利用其MFT檔案共享系統MOVEit Transfer獲取了多達1000 萬人的個資。Maximus已向美國證券交易委員會 (SEC)通報並提交的監管備案。Maximus 表示，它使用的 MOVEit系統用於內部和外部檔案共享目的，包括與參與各種政府活動的個人及政府客戶共享數據程式，公司正在就此次網路安全事件配合執法部門，Maximus 在外部法律、取證和數據分析專家的協助下立即開始對此事件進行調查，並採取了補救措施來解決所報告的漏洞，但認為少 800 至 1100 萬人的個人資料，包括社會安全號碼、受保護的健康資料和/或其他個人資料遭存取，Maximus 表示，它正在向客戶以及聯邦和州監管機構通報這一事件，然後再開始向受影響的人發送通知。受影響的人將獲得免費的信用監控和身份恢復服務，具體時間未公開。

該事件預計將給該公司造成 1500 萬美元的損失，但Maximus指出調查仍在進行中，並將持續數週以上。Maximus 擁有超過 34,000 名員工，年收入超過 30 億美元，Maximus 與聯邦、州和地方政府簽訂合同，負責管理和管理政府資助的項目，例如醫療補助、醫療保險、醫療改革和工作福利，它還積極參與新冠肺炎 (COVID-19) 大流行期間的福利轉工作計劃以及政府記錄跟踪。

據網路安全公司Emsisoft的威脅分析師Brett Callow統計，至少 514 個組織受到 MOVEit 事件的影響，包括 97 所美國學校。近日Clop 勒索軟體在其揭秘網站上添加了數十家新公司、大學和組織，其包括中德勤(Deloitte)和豐田，根據Recorded Future News，德勤的一位發言人稱，他們沒有看到客戶數據受到影響的證據。該發言人表示，在意識到這個零日漏洞後，德勤立即應用了供應商的安全更新，並根據供應商的指導採取了緩解措施，並進一步說根據他們的分析，他們的全球網路對易受攻擊的 MOVEit Transfer 軟體的使用是有限的，然而該發言人沒有回答有關此次洩露涉及哪些資料以及員工數據是否被存取的問題。總部位於倫敦的德勤是全球收入規模最大的專業服務網路，也是繼普華永道(PwC)和安永(EY)被證實受到 Clop 勒索軟體組織攻擊之後的第三家受到檔案傳輸軟體利用影響的會計巨頭。

另外根據Recorded Future News，豐田紡織集團 (Toyota Group of Companies) 的成員公司豐田紡織 (Toyota Boshoku Corporation) 週三也(7/26)被添加到 Clop 的名單中，並在 6 月 10 日發布的一份聲明中確認其受到了影響。該公司表示，駭客存取了其歐洲子公司豐田紡織歐洲公司的數據，他們沒有透露哪些數據被存取。

MOVEit 漏洞

MOVEit 漏洞是 MOVEit Transfer 軟體中發現的一個嚴重安全漏洞，該軟體是 Progress Software 開發的託管文件傳輸 (MFT) 解決方案。該漏洞允許攻擊者在 MOVEit Transfer伺服器上執行任意 SQL 命令，從而竊取數據、安裝惡意軟體或控制伺服器。

該漏洞於 2023 年 5 月首次披露，Progress Software 於 6 月 1 日發布了修補來解決該漏洞。然而，當時該漏洞已被 CL0P 勒索軟體組織利用，針對全球數百個組織進行攻擊。此後，漏洞搜尋者發現了其他漏洞並向 Progress 報告，截至 7 月 5 日，漏洞總數達到 6 個，所有這些漏洞均已得到修復。截至 2023 年 7 月，估計有超過 500 個組織成為 MOVEit 攻擊的目標。這些組織包括政府機構、金融機構、醫療保健提供者和科技公司。這些攻擊導致數百萬份個人和財務記錄被盜，並導致關鍵業務運營中斷。

MOVEit 漏洞嚴重提醒我們保持軟體更新最新安全修補的重要性，使用 MOVEit Transfer 的組織應立即應用 Progress Software 發布的修補，以保護自己免受攻擊。

該事件外洩了一個313KB檔案，內含約5,600名註冊用戶的姓名和電子郵件地址的資料，當中包括美國、德國和台灣等國家情報機構的員工個資也遭殃

7月18日，據奧地利報紙《Der Standard》和德國新聞雜誌《Der Spiegel》的報導，Google旗下線上掃毒服務VirusTotal平台意外洩露了全球數百名國防和情報機構工作人員的姓名和電子郵件地址。其中包括美國司法部、國家安全局、聯邦調查局等機構的員工。

VirusTotal是世界各地網路安全專家廣泛地使用的工具，以其充當龐大的惡意軟體資料庫。VirusTotal一個惡意檔案分析的網站，可以上傳檔案、或丟入網址裡面，平台包含50家以上的掃毒軟體引擎去判斷是不是惡意軟體。然而，其用戶不僅限於安全專家，該平台還受到駭客和情報機構的青睞。

據了解，外洩的檔案雖然很小，僅有的313KB，但包含個資。外媒《Der Standard》和《Der Spiegel》分別驗證了該清單的真實性。確認名單中有20個與美國網路司令部(Cyber Command)相關的帳號，該司令部是美國軍方負責進攻性和防禦性駭客行動的一部分。據報導名單中的其他著名實體包括美國司法部、聯邦調查局 (FBI) 和國家安全局 (NSA)五角大樓、和美國一些軍事部門有聯繫的個人；其他國家如荷蘭及台灣等國家的情報機構等也榜上名，另外英國十幾名國防部人員的姓名，以及英國國家網路安全中心（GCHQ 的一部分）CERT-UK部門工作人員的電子郵件，以及在內閣辦公室、核退役管理局和養老金監管等機構工作的專家的電子郵件地。在奧地利，受影響的組織是聯邦國防部和內政部。名單還包括三名來自德國聯邦資料安全辦公室（BSI）的員工，以及德國鐵路公司的大約 30 名員工，德國央行和寶馬、戴姆勒集團、安聯集團和德國電信等多家德國公司的員工資料也包括在內。雖然帳碼密碼沒有被外洩，但此事件暴露了IT及資安人員的身份。這種暴露可能會導致針對特定個人的攻擊，估計此次的資料外洩事件，可為日後社交工程和有針對性的網路釣魚攻擊等惡意活動提供了機會。

Google的回應

此外，VirusTotal的所有者Google對此事件做出了回應，報導中引述了Google Cloud發言人的回覆，事件是因VirusTotal 的一名員工無意中讓一小部分客戶數據可供存取而引起，發言人補充說，在上傳後一小時內從平台上刪除了該清單，並將努力加強內部流程和技術控制，以防止將來發生類似事件。儘管Google在數據安全方面的具有優良的聲譽，然而此次個資外洩事件引起了人們的關注，即VirusTotal可能會無意中成為關鍵資料外洩的來源，也突顯了使用此類平台的風險。

微軟披露，一個名為Storm-0558的中國駭客組織，通過利用其雲端中的漏洞獲得了聯邦政府電子郵件帳號的存取權限

美國一家未透露姓名的聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB) 機構於 2023 年 6 月中旬檢測到異常電子郵件活動，導致微軟發現了一項針對二十多個組織的新的與中國相關的間諜活動。

據美國網路安全和基礎設施安全局（CISA）和聯邦調查局（FBI）於2023年7月12日發布的聯合安全諮詢，中國駭客組織利用微軟遠端平台中發現的安全漏洞存取了包括美國政府機構在內的 25個組織的電子郵件帳號。當局表示：“2023 年 6 月，聯邦文職行政部門 (FCEB) 機構在其 Microsoft 365 (M365) 雲端環境中發現了可疑活動，微軟確定高級持續威脅 (APT) 攻擊者存取並外洩了非機密 Exchange Online Outlook 數據。雖然該政府機構的名稱並未透露，但美國有線電視新聞網《CNN》和《華盛頓郵報》援引知情人士表示，該機構是美國國務院，商務部以及國會工作人員、美國人權倡導者和美國智囊團的電子郵件帳號也帳號成為攻擊目標。

微軟於7月11日將此次活動歸因於一個名為 Storm-0558 的新興中國駭客組織，該組織主要針對西歐政府機構，專注於間諜活動和數據盜竊。到目前為止收集的證據表明，微軟得出結論，從 5 月 15 日開始， Storm-0558獲得了屬於大約 25 個獨立組織（包括政府實體）的電子郵件帳戶的存取權限。該公司在近一個月後開始調查異常郵件活動，並確定 Storm -0558 使用偽造的身份認證權杖來獲取帳戶的存取權限。根據公告，駭客使用 Exchange Online 和 Outlook.com 中的 Microsoft Outlook Web Access 來存取非機密電子郵件帳號，這顯然是收集情報和“實現間諜目標”的一部分。Storm-0558 還使用兩個名為 Bling 和Cigril的自訂義惡意軟體工具來促進憑證權限，Cigril被描述為一種特洛伊木馬程式，可以解密加密檔案並直接從系統內存運行它們以避免檢測。微軟表示，攻擊已成功緩解，Storm-0558 無法再存取受感染的帳號。然而，該公司尚未透露在攻擊者帳號的一個月時間內是否有任何敏感數據被洩露。

美國CISA在一份報告中表示，攻擊者存取了非機密電子郵件數據，一名聯邦調查局高級官員將這次長達一個月的入侵描述為一場“有針對性的行動”，他拒絕證實受害者總數，但表示受影響的政府機構數量為個位數，該官員拒絕透露受影響機構的名稱。CISA 表示，FCEB 機構能夠通過利用 Microsoft Purview Audit 中的增強日誌記錄功能（特別是使用MailItemsAccessed郵箱審核操作）來識別入侵行為。該機構進一步建議組織啟用 Purview Audit (Premium) 日誌記錄，打開 Microsoft 365 統一審核日誌記錄 ( UAL )，並確保操作員可以搜索日誌，以允許搜索此類活動並將其與環境中的預期行為區分開來。CISA 和 FBI 補充道：“鼓勵組織尋找異常值並熟悉基線模式，以更好地了解異常流量與正常流量。

然而，中國否認了駭客事件背後的指控，中國外交部發言人汪文斌週四(7/13)敦促美國官員提供有關駭客攻擊的更多細節，稱美國是世界上最大的駭客帝國和全球網路竊賊，並稱美國現在是解釋其網路攻擊活動並停應止散佈假訊息以轉移公眾注意力的時候。