但這起資安事故與過往不同之處在於，駭客竄改該公司的網站foxsemicon[.]com，宣稱竊得5 TB內部資料，內含所有客戶的個資，若是該公司管理層不予理會，他們揚言將摧毀其內部網路環境，將無法復原，BBC、紐約時報、華爾街日報、華盛頓郵報等所有媒體將會報導「該公司不復存在」，並且免費公開所有客戶的個資，京鼎的員工將會失去工作。根據對方列出所有遭到加密的檔案資料下載網址，這起攻擊行動很有可能是勒索軟體駭客組織LockBit所為。

為了說服京鼎付錢，駭客強調他們只要錢，沒有政治意圖，聲稱他們的「滲透測試服務」有價，就像企業要支付系統管理員薪水一樣。對方要求該公司不要尋求資料復原公司的協助，並向他們私下透露資安險保額。對此，京鼎在傍晚股市公開資訊觀測站發布重大訊息，證實部分資訊系統遭到攻擊，初步評估對公司運作無重大影響。

1. https://udn.com/news/story/7240/7713562
2. https://www.ctee.com.tw/news/20240116701151-430501
3. https://finance.ettoday.net/news/2664974
4. https://mops.twse.com.tw/mops/web/ajax_t05sr01_1?firstin=true&stp=1&step=1&SEQ_NO=2&SPOKE_TIME=171116&SPOKE_DATE=20240116&COMPANY_https://s4.itho.me/sites/default/files/images/Apache-Figure-1-1.jpg" />資安業者Aqua Security揭露針對Apache基金會維護的應用系統而來的攻擊行動，他們從蜜罐陷阱（Honeypot）偵測到的狀況發現，駭客近期鎖定開源應用程式框架Hadoop、流程自動化框架Flink而來。

在針對Hadoop的攻擊行動裡，他們看到對方鎖定其中的元件YARN下手，利用ResourceManager的不當配置，從而在未經身分驗證的情況下建置並執行應用程式。攻擊者遠端發出特製的HTTP請求，而有機會在目標主機上執行任意程式碼。另一個遭到針對的對象則是Flink，駭客也是針對組態不當而來，在無須通過身分驗證的情況下遠端執行任意程式碼。

在這起攻擊行動裡，駭客會在上述2種系統部署名為dca的惡意軟體酬載，執行後會下載挖礦軟體及其他惡意程式，為了迴避偵測，攻擊者將ELF程式加殼，亦使用Rootkit，而且還會竄改特定資料夾內容及系統配置來抹除蹤跡。

惡意軟體Phemedrone Stealer透過Windows已知漏洞散布

去年11月微軟修補Microsoft Defender SmartScreen安全功能繞過漏洞CVE-2023-36025（CVSS風險評分8.8），並指出駭客已將其用於攻擊行動，後來美國網路安全暨基礎設施安全局（CISA）也證實此事，將該漏洞列入已被利用的漏洞清單（KEV），但究竟攻擊者造成那些危害？上周末有研究人員公布細節。

資安業者趨勢科技揭露利用上述漏洞散布竊資軟體Phemedrone Stealer的攻擊行動，他們發現駭客在即時通訊軟體Discord、檔案傳輸服務FileTransfer.io等雲端環境，上傳一系列惡意的網際網路捷徑檔案（.URL），駭客亦將其中的網址透過Shorturl.at等短網址服務進行處理。一旦使用者上當，執行這些URL檔案，電腦就會連上攻擊者的伺服器，下載、執行Windows控制面板項目（.CPL）檔案，從而迴避SmartScreen的防護機制，呼叫rundll32.exe執行惡意DLL檔案，執行PowerShell從GitHub下載名為DATA3.txt的惡意程式，從而載入更多作案工具，最終於受害電腦執行Phemedrone Stealer。

此竊資軟體由C#打造而成，能挖掘瀏覽器、密碼管理器、加密貨幣錢包、Discord、Telegram、Filezilla、Steam的使用者資料，或是藉由螢幕截圖來收集硬體、位置、作業系統資訊，然後經由Telegram頻道或C2伺服器回傳。

微軟SharePoint權限提升漏洞CVE-2023-29357已被用於攻擊行動

美國網路安全暨基礎設施安全局（CISA）用於攻擊行動的漏洞列表（KEV），1月10日新增CVSS風險評分為9.8的微軟SharePoint權限提升漏洞CVE-2023-29357。

此漏洞能使攻擊者遠端利用欺騙性的JWT身分驗證Token，繞過驗證身分的程序，從而在SharePoint伺服器取得管理員權限。此外，攻擊者若是將其與另一個漏洞CVE-2023-24955（CVSS風險評分為7.2）串連，還能執行任意程式碼。

CISA將該漏洞列入KEV後，聯邦機構必須在1月31日前完成修補。

針對5月丹麥能源業者遭到兆勤防火牆漏洞攻擊，有研究人員找到新的證據，認為是大規模漏洞攻擊的一部分

去年11月丹麥關鍵基礎設施電腦緊急應變小組（SektorCERT）指出，5月11日至30日當地22家能源公司的基礎設施遭到攻擊，俄羅斯駭客組織Sandworm鎖定兆勤（Zyxel）4月修補的防火牆漏洞CVE-2023-28771（CVSS風險評分為9.8），而能夠存取多家業者的工業控制系統，甚至後來在防火牆植入Mirai殭屍網路病毒，但最近有研究人員推翻上述的說法。

根據資安業者Forescout的調查指出，在5月24日至26日出現12起鎖定上述漏洞的攻擊行動，但攻擊來源的IP位址與SektorCERT公布的不同，也有其他駭客在25日對丹麥的關鍵基礎設施發動攻擊。

他們認為這起攻擊行動並非專門鎖定該國能源基礎設施而來，也不是國家級駭客的針對性攻擊，而且攻擊在SektorCERT公布的時間之後仍然持續進行，範圍也隨之擴大，並未鎖定特定行業，不過，其中有近8成的攻擊行動是鎖定歐洲地區而來。

會出現這樣的情況，Forescout的判斷是該地區採用兆勤的防火牆比例相當高，因為他們透過物聯網搜尋引擎Shodan找到逾4.3萬臺，這些都是可經由網際網路存取、而且是存在上述漏洞的防火牆，其中有78%在歐洲、義大利就占近四分之一。

【