台灣資安新聞彙整 2022.10.31 - 11.06

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

11/1

OpenSSL 修補兩個高嚴重性的漏洞

OpenSSL 專案推出修補程式，處理了兩個可能導致阻斷服務攻擊（DoS）以及遠端程式碼執行（RCE）的高嚴重性漏洞，分別被註記為 CVE-2022-3602 與 CVE-2022-3786。OpenSSL 被用於安全通信，是實現 SSL 和 TLS 通訊協定的一個開源套件。

https://thehackernews.com/2022/11/just-in-openssl-releases-patch-for-2.html

中國駭客為部署惡意後門程式攻擊日本組織

據觀察，受國家資助的中國威脅行為者 Stone Panda 正持續對日本實體發動攻擊。他們的目標包括了日本的媒體、外交、政府與公共部門組織，以及智庫。駭客使用魚叉式網路釣魚郵件，利用假的附件執行一個名叫 LODEINFO 的後門程式。

https://thehackernews.com/2022/11/chinese-hackers-using-new-stealthy.html

11/2

Dropbox 成網釣攻擊受害者，130個儲存庫遭駭客存取

Dropbox 於 11/1 坦承，該公司已成為網釣攻擊受害者，駭客在取得員工的登入憑證之後，存取了該公司存放在 GitHub 上的 130 個儲存庫。值得注意的是，駭客的手法日益精進，即使 Dropbox 員工使用了硬體身分認證金鑰，仍遭駭客入侵。

https://www.ithome.com.tw/news/153968

Gartner 預測明年全球公有雲支出仍將成長 20.7%

2023 年全球終端使用者花在公有雲服務上的支出可望成長 20.7%，達到 5,918 億美元，成長率比今年的 18.8% 還高。Gartner 表示，現階段的通貨膨脹壓力與總體經濟狀況正在對雲端支出產生推拉效應，雲端運算將繼續成為安全及創新的堡壘，因其敏捷、彈性與延展的特性可在不確定的時期支援成長。

https://www.ithome.com.tw/news/153978

11/3

LockBit 聲稱對德國汽車集團發動網路攻擊

勒索軟體集團 LockBit 聲稱，他們對德國的跨國汽車集團 Continental AG 發動了網路攻擊，並威脅公司在接下來 22 小時內若不答應他們的要求，就要將公司資料發布到他們的資料洩漏網站上。Continental AG 對此則表示調查仍在進行，並未透露相關結果。

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-claims-attack-on-continental-automotive-giant/

微軟推出無密碼行動裝置 Azure AD 憑證身分驗證

微軟在 Ignite 2022宣布全面推出 Azure AD 憑證身分驗證（Certificate-Based Authentication，CBA），而現在進一步在 iOS 和 Android 裝置上公開預覽，用戶可以使用硬體安全金鑰 YubiKey 執行 Azure AD 憑證身分驗證。這個功能將可以讓使用者在自有行動裝置，具備抵抗釣魚攻擊的多因素驗證能力。

https://www.ithome.com.tw/news/153995

歐洲最大銅製品工廠 Aurubis 遭駭，IT 系統下線以防損害擴大

全球員工近 6,900 人的 Aurubis，日前在官網上發表資安通報，指出該公司部分廠區遭到不明駭侵攻擊。為避免損害進一步擴大，已關閉部分 IT 系統的運作。包括精煉生產線與環保相關設備仍保持運作，而原料入廠與產品出廠則改採人工作業。

https://www.twcert.org.tw/tw/cp-104-6674-f46bc-1.html

11/4

針對 Twitter 認證帳戶的釣魚郵件數量大增

隨著 Twitter 宣布計畫向用戶收取每月 8 美元的 Twitter Blue 與帳戶驗證費用，開始出現越來越多針對已驗證使用者的釣魚郵件。這些郵件偽造一種急迫感，要求使用者在釣魚頁面登入他們的 Twitter 帳戶，否則將可能被停權。

https://www.bleepingcomputer.com/news/security/as-twitter-brings-on-8-fee-phishing-emails-target-verified-accounts/