我們昨天報導有研究人員在國際資安大型會議Black Hat USA 2024公布藉由視窗作業系統更新機制「降級」的攻擊手法，這次也有研究人員公布對於特定威脅態勢的觀察，指出這種攻擊手法現在不僅變得非常頻繁，而且，還變得更加刁鑽。

這項威脅態勢，就是駭客濫用雲端服務來掩蓋非法行動的情況。在針對臺灣、香港、越南組織的攻擊行動裡，後門程式Grager存取充當C2的OneDrive帳號手法相當特別。

【攻擊與威脅】

研究人員揭露合法雲端服務被用於散布後門程式的態勢日趨複雜，臺灣也有組織遇害

資安業者賽門鐵克指出，由於攻擊者希望避免引人注目並降低維護基礎設施的成本，他們發現有越來越多駭客加入濫用雲端服務的行列，並開發更多用於這類攻擊的作案工具。研究人員在黑帽大會的議程上，公布相關調查結果。

在這些攻擊行動裡，我們認為名為Grager的後門程式最值得留意，原因是這起資安事故的攻擊目標涵蓋臺灣。研究人員在今年4月，看到中國駭客組織UNC5330針對臺灣、香港、越南的企業組織，部署這支後門程式。

駭客究竟如何尋找攻擊目標，研究人員並未說明，但他們提及惡意檔案來自冒牌的7-Zip網站，一旦使用者依照指示進行下載、安裝MSI檔，電腦就會在部署此壓縮軟體的過程，一併將惡意程式載入工具Tonerjam植入，並用來解密、執行後門程式Grager。而這支後門程式啟動時，會解密用戶端ID（client_id）並根據儲存體（Blob）更新存取OneDrive的憑證（Token），從而與駭客控制的OneDrive帳號連線。

6月WhatsUp Gold修補漏洞，8月初駭客攻擊行動開始現蹤

今年6月Progress針對網路監控系統WhatsUp Gold發布更新，當中修補重大層級的漏洞CVE-2024-4883、CVE-2024-4884、CVE-2024-4885（CVSS風險評分皆達到9.8），攻擊者能在未經授權的情況下，利用這些漏洞遠端執行任意程式碼（RCE），如今有研究人員提出警告，部分漏洞已出現實際攻擊行動。

Shadowserver基金會提出警告，他們自8月1日看到來自6個IP位址的攻擊行動，駭客利用CVE-2024-4885，企圖存取WhatsUp Gold系統的/NmAPI/RecurringReport。

研究人員特別提到，由於這項漏洞的概念性驗證程式碼（PoC）已被公開，駭客無需自行從頭拆解，就能快速將漏洞用於攻擊行動，IT人員應盡快套用相關更新。目前而言，Shadowserver基金會與該組織的全球漏洞濫用儀表板，都尚未公布目前曝險的系統數量。

其他攻擊與威脅

◆瀏覽器存在長達18年的漏洞被用於攻擊行動，Chrome、Firefox、Safari都中招

◆駭客濫用Google Drawing和WhatsApp功能從事網釣攻擊

◆研究人員公布駭客如何將人工智慧機器人Copilot變成武器

◆460萬美國選民資料曝露，起因是科技業者伺服器配置不當

【漏洞與修補】

系統背景自動產生的影子資源恐出現弱點！研究人員揭AWS服務存在Bucket Monopoly、Shadow Resources漏洞

資安業者Aqua Security的研究人員於今年2月，找到6個AWS重大層級的漏洞，並指出這些漏洞可讓攻擊者破壞所有帳號，有可能導致帳號遭到接管，或是遠端執行任意程式碼、資料外洩、曝露義感資料、引發服務中斷的情形。對此，AWS獲報後進行相關驗證，並自3月至6月逐步完成修補。研究人員也在黑帽大會上公布相關的調查結果。

這些漏洞主要偏重於「影子資源」的層面，這類資源的來源，是使用者在進行AWS服務的相關設定過程裡，由系統在背景自動產生的資源，因此這類資源的運作狀態，一般使用者往往不會特別留意。

其中一個漏洞被稱做Bucket Monopoly，起因是S3儲存桶使用了容易被猜到的AWS帳號ID，由於這個ID原本不被視為敏感資料，而讓攻擊者有機可乘。另一個研究人員公布的弱點被稱為Shadow Resources，攻擊者可在使用者不知情的狀態下，藉此產生AWS S3的服務元件。

RISC-V處理器存在GhostWrite漏洞，攻擊者有機會取得設備完整控制權

德國CISPA亥姆霍茲資訊安全中心發現，阿里巴巴旗下的半導體業者平頭哥（T-Head）生產的RISC-V處理器玄鐵C910，存在名為GhostWrite的漏洞，攻擊者在具備特定權限的情況下，能從記憶體讀取或寫入資料，而有機會得到完整、不受限制的存取權限。研究人員也在Black Hat USA 2024國際資安會議上，揭露相關細節。

值得留意的是，雖然這項弱點主要是出現在玄鐵C910，但有鑑於是目前速度最快的處理器，影響的範圍並不小，包括個人電腦、筆電、容器，以及在雲端伺服器執行的虛擬機器（VM）。

研究人員已確認曝險的設備如下： Scaleway Elastic Metal RV裸機（Bare Metal）雲端實體，以及Sipeed Lichee Pi 4A、Milk-V Meles、BeagleV-Ahead單板電腦（SBC）；再者，部分Lichee運算叢集、筆電、電玩主機也存在這項弱點。

已結束生命週期的思科IP電話存在重大漏洞，未經驗證的攻擊者能以root權限執行作業系統層級命令

思科本周發布安全公告，已結束生命週期（EOL）的IP電話設備出現多項漏洞，包含3項可執行任意指令的重大漏洞，影響Small Business SPA300和SPA500系列機種，該公司不打算提供修補程式，呼籲用戶儘速汰換設備。

這次修補的漏洞有5項，影響IP電話系統的網頁管理介面軟體，其中3項特別值得注意，編號分別為CVE-2024-20450、CVE-2024-20452和CVE-2024-20454，屬於風險值9.8的任意指令執行漏洞，可讓未經驗證的遠端攻擊者以root權限，於電話設備的作業系統執行任意命令。

值得留意的是，因為這些設備生命週期已經結束，思科強調不會提供修補。

其他漏洞與修補

◆研究人員揭露微軟Entra ID隱藏的身分驗證機制，恐讓攻擊者取得全域管理員權限

【資安產業動態】

趨勢科技傳出有意吸引買家出售

路透社取得知情人士的消息在8月8日指出，市值約9,500億日元（65億美元）的趨勢科技在吸引外界購買的興趣後，正在考慮出售，消息一出，我們向趨勢科技進一步確認此事，該公司表示對於謠傳訊息不予評論，身為公開發行上市的資訊安全公司，持續專注以領先業界的資安平臺進行營運並服務客戶。

蘋果同態加密技術以開源Swift開源套件釋出

蘋果在自家服務引入同態加密（Homomorphic Encryption）技術保護用戶隱私，近日也把該加密技術Swift實作開源出來，讓開發者可以更簡單地在程式中應用同態加密。

該公司開源Swift同態加密套件使用了Swift Crypto中高效能低階加密原語，支援伺服器端Swift，並且可使用Benchmark函式庫進行簡單的基準測試。

近期資安日報

【8月8日】黑帽大會首度增設AI議程，趨勢科技展示深偽偵測技術

【8月7日】法國博物館驚傳遭遇勒索軟體攻擊

【8月6日】達美航空、CrowdStrike將針對EDR系統大當機事故對簿公堂