KeySteal約從2021年出現，現在駭客假借提供ChatGPT、UnixProject等應用程式的名義，以多重架構的Mach-O執行檔來散布這個竊資軟體，但其途徑仍不明朗。研究人員發現此竊資軟體能完全躲過XProtect的偵測，而被上傳至惡意軟體檢測平臺VirusTotal的KeySteal檔案，僅有不到10款的防毒引擎視為有害。此外，駭客使用Objective C打造此惡意程式，並濫用臨時憑證進行簽章。

而在去年出現多起攻擊行動的Atomic Stealer，1月10日資安業者Malwarebytes揭露以Go語言打造的版本，蘋果發布的1月份XProtect特徵碼納入相關偵測規則，但SentinelOne隨後看到駭客改以C++打造新版竊資軟體，VirusTotal能將其歸為惡意程式的防毒引擎更少，僅有5款。駭客以提供名為CrackInstaller、Cozy World Launcher的遊戲破解程式為由，透過與遊戲有關的社交平臺來散布。特別的是，駭客在惡意軟體的執行過程，引導受害者繞過Gatekeeper的管制。

而對於第3款竊資軟體CherryPie，研究人員發現大部分版本都能逃過XProtect的偵測，且在VirusTotal上竟然沒有防毒引擎將其視為有害。此竊資軟體以Go語言打造而成，啟動時會透過特定參數停用Gatekeeper，然後以管理員權限執行sudo。

殭屍網路Androxgh0st鎖定PHPUnit、Laravel、Apache HTTP伺服器弱點，竊取AWS及微軟帳密

1月16日美國聯邦調查局（FBI）及網路安全暨基礎設施調查局（CISA）聯手，針對Python惡意程式Androxgh0st的攻擊行動提出警告。

此惡意軟體的主要攻擊目標是PHP單元測試框架PHPUnit、PHP網頁框架Laravel，以及Apache HTTP伺服器，分別鎖定遠端執行任意程式碼（RCE）漏洞CVE-2017-9841、CVE-2018-15133、CVE-2021-41773（CVSS風險評分為9.8、8.1、7.5）下手，得逞後對方會尋找Laravel存放的ENV檔案，挖掘敏感資料，包含AWS、Microsoft Office 365、SendGrid、Twilio等應用系統的帳密資料，該惡意程式也能盜取Laravel的應用程式金鑰，並透過PHP程式碼進行跨網站請求偽造（CSRF）攻擊，從而遠端執行任意程式碼（RCE）。

此外，攻擊者還會透過Androxgh0st下載其他惡意檔案到網站伺服器，設置假冒網頁，透過URI開啟後門，使攻擊者可以下載更多惡意程式到網站中進行操作，並且存取網站的資料庫。一旦這些駭客取得特定雲端服務的帳密資料，他們就能採取進一步的攻擊行動，以AWS為例，對方可建立新的使用者及政策，FBI和CISA看到攻擊者建立新的AWS執行個體，用於進行其他掃描活動。

機器學習框架PyTorch存在軟體供應鏈弱點，攻擊者可鎖定CI/CD流程下手

研究人員John Stawinski IV揭露針對機器學習框架PyTorch的軟體供應鏈攻擊手法，這種手法源於軟體開發自動化系統服務GitHub Actions的漏洞CVE-2023-49291（CVSS風險評分為9.8），一旦利用該漏洞，攻擊者就有機會操縱其CI/CD流程。

而在PyTorch的供應鏈攻擊當中，攻擊者透過入侵PyTorch的CI/CD工作管線，向主儲存庫分支添加程式碼，上傳惡意的PyTorch版本到GitHub，還能在PyTorch的相依項目植入後門，進而影響PyTorch及其相依項目整個生態系。

針對這種資安漏洞，研究人員指出，Meta對於PyTorch安全問題的回應極為緩慢，且修復措施的有效性也讓他們持保留態度。因此，他們認為用戶應尋求自保，方法是變更GitHub預設配置，要求所有外部合作者的分叉拉取請求都要進行批准，對於需要使用自行管理執行器（Self-Hosted Runners）的組織，應當使用隔離且一次性的執行器。

旅遊業者KKday前員工帶槍投靠新東家，竟是藉由沒有修改密碼的帳號存取後臺

2022年9月旅遊業者KKday（酷遊天國際旅行社）進行內部資安稽核時發現，一名陳姓前經理在離職後，竊取相關帳密資料提供給新東家Klook（客遊天下旅行社）使用，KKday向調查局報案後，最近有了新的進展。

根據臺蘋新聞網、自由時報、中時新聞網等媒體報導，檢調單位表示，KKday的前經理陳鈞暘於任職期間收集內部資訊，2019年離職投靠競爭對手Klook，並將相關資訊洩露給Klook員工陳柏安、孫儀芬，2人自2021年1月藉此存取KKday的系統，臺北地檢署偵查後，1月17日依涉犯《營業秘密法》起訴。

但陳男離職後之所以能存取KKday的系統，是因為他在該公司任職期間得知KKday後臺系統的登入，是使用員工電子郵件信箱做為帳號，預設密碼皆為123456，後續到了Klook便與新同事進行測試，結果至少發現16個沿用預設密碼的後臺帳號。上述狀況代表KKday未強制要求員工變更系統登入帳號的預設密碼，使得有心人士能夠輕而易舉地闖進公司後臺系統拿走機密。

1. https://tw.nextapple.com/local/20240117/C0733ECAB34F4AAD1A3FF4ECF0CF4FA1
2. https://news.ltn.com.tw/news/society/breakingnews/4554650
3. https://www.chinatimes.com/realtimenews/20240117001501-260402

【漏洞與修補】

Oracle發布2024年第1季例行更新，提供389個修補程式

1月17日Oracle發布今年第1個季度更新（Critical Patch Update，CPU），總共針對超過200個漏洞發布389個修補程式。

其中比例最多的是Financial Services應用系統，該公司發布了71個修補程式，裡面有54個弱點，攻擊者可在未經身分驗證的情況下遠端觸發；其次是Communications、Communications Applications產品線，分別有55個、43個漏洞，且皆有超過半數能讓未通過身分驗證的攻擊者遠端利用（43個、25個）。

此外，資料庫軟體MySQL本次該公司也修補了40個漏洞，當中有12個能被遠端利用，且過程中無須通過身分驗證。

Bosch恆溫器存在漏洞，有可能被用於部署惡意軟體

針對智慧家庭的物聯網裝置資安，防毒業者Bitdefender針對Bosch旗下用於控制溫度的恆溫器BCC100進行調查，結果發現含有漏洞CVE-2023-49722。

研究人員指出，此裝置透過2個微控制器運作，其中1個是漢楓Wi-Fi晶片HF-LPT230，另1個則是主要控制器，為意法半導體（STMicroelectronics）晶片STM32F103，處理恆溫器的命令。意法的晶片仰賴Wi-Fi晶片進行網路通訊，並與伺服器建立連線、接收命令並執行，而該無線通訊晶片監聽TCP的8899埠，透過UART通訊協定將接收到的訊息鏡像到主要控制器。

而他們發現，該設備無法區別命令是否來自雲端伺服器，再加上伺服器發送的訊號並未加密，使得攻擊者能輕鬆進行破解，然後對恆溫器發送惡意訊號，部署惡意更新檔案。此漏洞CVSS風險評為8.3分，影響該系列旗下BCC101、BCC102、BCC50等3款機型，對此，Bosch發布4.13.33版韌體予以修補。

【