【資安日報】8月14日,DEF CON搶旗攻防賽臺灣勇奪第3
· 2023-08-15

臺灣CTF戰隊TWN 48參加於美國拉斯維加斯舉行的DEF CON搶旗攻防賽(CTF),並獲得第3名佳績

國際資安大會DEF CON 31於8月10日至13日於美國拉斯維加斯登場,搶旗攻防賽(CTF)也在本週末如火如荼地舉行,臺灣CTF戰隊TWN 48也參與其中,並從12個參賽隊伍當中獲得第3名的優異成績,是臺灣第10次組隊參加此項競賽。

另一個也幾乎同時進行的搶旗攻防賽也相當引人關注,那就是針對太空安全的Hack-A-Sat,因為,這次5組參賽隊伍的攻防標的,是實際於太空運作的衛星Moonlighter。

 

【攻擊與威脅】

中國駭客APT31利用Dropbox及其他雲端檔案共享服務外洩資料

資安業者卡巴斯基8月初揭露中國駭客APT31針對東歐工業組織的攻擊行動,駭客專門針對隔離網路環境(Air-gapped)進行竊密,過程中使用超過15種攻擊工具,但駭客究竟如何流出機密資料?現在研究人員透露進一步調查結果。

他們發現,駭客在收集想要竊取的資料後,部署了3款惡意軟體所組成的攻擊套件(Malware Stack),其中一款軟體讓駭客維持於受害電腦上運作,另一個負責將檔案上傳至伺服器,第三個則是清理現場跡證。駭客之所以將攻擊流程畫分給不同惡意軟體模組進行,目的是後續可透過更換模組的方式,調整攻擊鏈的流程。

在攻擊階段初期,駭客所用的第二階段惡意程式會將盜取的檔案上傳到Dropbox,但經過幾個月後,研究人員看到駭客更換新的手動檔案上傳程式模組,像是名為AuditSvc.exe程式可將檔案上傳到Yandex Disk;另一個名為transfer.exe的程式,則是一口氣支援ZippyImage、ImgBB等16種雲端檔案共享系統。值得留意的是,根據他們收集到的IP位址,研究人員發現駭客C2伺服器位於受害組織內部網路環境,這代表駭客是就近部署C2,將其做為代理伺服器。

 

【漏洞與修補】

Codesys V3軟體開發套件存在高風險漏洞,可能導致全球PLC控制設備遭到RCE或DoS攻擊

微軟揭露Codesys V3軟體開發套件(SDK)的15個漏洞,一旦攻擊者加以利用,就有可能於目標設備遠端執行任意程式碼(RCE),或是造成服務中斷(DoS),這些漏洞的CVSS風險評分介於7.5至8.8。

由於上述的軟體開發套件廣泛運用於可程式化邏輯控制器(PLC),總共有超過500家製造商以此打造約1千種類型的控制設備,研究人員於2022年9月通報漏洞,Codesys於今年4月發布3.5.19.0版予以修補。

值得留意的是,研究人員雖然表明利用上述漏洞需要通過身分驗證,但攻擊者有可能運用另一個漏洞CVE-2019-9013來繞過限制,因此該公司呼籲企業組織應儘速套用相關更新程式。

Python的URL解析漏洞可被用於執行任意命令

卡內基美隆大學電腦網路危機處理暨協調中心(CERT/CC)的研究人員於8月11日提出警告,他們發現在Python的URL解析功能存在高風險漏洞CVE-2023-24329,有可能在URL以空白字元為開頭時產生錯誤,導致主機名稱與通訊協定解析出錯,進而使得封鎖名單失效,CVSS風險評為7.5分。Python獲報後發布3.12版,並對於3.7版以上的版本提供修補程式。

 

【資安防禦措施】

臺灣CTF戰隊TWN 48獲DEF CON CTF全球第三

在美國拉斯維加斯、8月11日至13日舉辦的DEF CON搶旗攻防賽(CTF),臺灣派出CTF戰隊TWN 48參加,歷經3天的比賽,在全球12個隊伍脫穎而出,最終獲得全球第三名的好成績。本次競賽的第一名,是美國卡內基美隆大學PPP戰隊與韓國The Duck戰隊合組的The Parliament of Duck,至於第二名,則是名列CTFTime世界排行榜首位的Blue Water戰隊。

這也是臺灣CTF戰隊第10次進入DEF CON CTF決賽,第3次拿到全球第三名的好成績,過去9年臺灣戰隊的成績,亦得到3次第二名、2次第四名、1次第五名、1次第九名。

駭客於DEF CON進行衛星搶旗賽Hack-A-Sat

由美國宇宙軍(U.S. Air Force )舉辦的Hack-A-Sat搶旗攻防賽(CTF),今年邁入第4屆,於8月11日於DEF CON大會期間正式展開,為期2天。該競賽本次有5組隊伍參與,他們是Krautsat、mHackeroni、SpaceBitsRUs、Poland Can Into Space,以及jmp fs: [rcx]。

本次競賽特別之處,在於上述隊伍將針對已發射至太空的實驗衛星Moonlighter,進行入侵。比賽結果出爐,第一名是義大利團隊mHackeroni,贏得5萬美元;第二名是上屆冠軍Poland Can Into Space,贏得3萬美元;第三名則是美國隊伍Krautsat,獲得2萬美元

NIST發布網路安全框架2.0版草案

8月8日美國國家標準暨技術研究院(NIST)發布了網路安全框架(Cybersecurity Framework,CSF)2.0版草案,2.0是該框架自2014年推出1.1版以來的重大改版。有別於現行版本主要聚焦於關鍵基礎設施(CI),新版CSF框架適用範圍更廣,涵蓋中小型企業、學術機構,以及其他類型的組織。

CSF 2.0將納入組織內部治理而成為第6個層面,業界分析師認為是此框架的重大變更。草案公開後將於11月4日前收集各界的意見,NIST預計在2024年初正式發布CSF 2.0。

TWCERT/CC首度舉辦企業資安演練,數位發展部領軍,邀來10家企業組隊參與

臺灣電腦網路危機處理暨協調中心(TWCERT/CC)於8月10日,首度舉辦「2023企業資安演練」,數位發展部、資安院組隊參與此次的演練活動,部長唐鳳也親自加入隊伍演練,以此彰顯政府對資安的重視,並邀請5家高科技公司日月光、台達電、合勤、華碩、啓碁科技,以及5大電信業者中華電信、台灣大哥大、遠傳電信、台灣之星、亞太電信參加,模擬駭客透過社交工程進行內部滲透,參演團隊需利用活動中提供之有限資訊,偵測駭客留下的軌跡,進行應變處理並阻斷攻擊,確保其資通系統持續營運不中斷。

數位部表示,希望透過本次活動,讓各團隊實際演練資安攻防、累積相關經驗,進而更有信心面對詭譎多變的資安威脅。為擴大企業參與,TWCERT/CC預計今年第4季再度舉辦資安演練。

 

Popular articles
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
Indiana online casino bill stalls in House committee
Regulation
Kazakhstan plans to penalise online casino promotions
Regulation
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
Home
Game
Cooperation
Find
My