台灣資安新聞彙整 2024.04.22-04.28

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

4/23

UnitedHealth 確認已經支付了勒索軟體的贖金

UnitedHealth Group 已經確認，為了保護在 Optum 勒索軟體攻擊中被盜取的敏感資料，他們已經支付了給網路犯罪分子的贖金。該機構報告說，這次的網路攻擊已經導致 8.72 億美元的財務損失。該交易在比特幣區塊鏈上可見，並已由研究人員確認已經到達被 BlackCat 黑客使用的錢包。

https://www.bleepingcomputer.com/news/security/unitedhealth-confirms-it-paid-ransomware-gang-to-stop-data-leak/

Ivanti 零日漏洞延燒! MITRE 遭駭客成功入侵

外媒報導，MITRE 近日在自家的官方部落格公告，未知的惡意行為者透過兩個 Ivanti Connect Secure 漏洞：CVE-2023-46805 和 CVE-2024-21887 對組織旗下的網路進行偵察活動。MITRE 是1958 年成立的非營利機構，專為美國聯邦政府作先進技術研發，近 20 年更以國防部 (DoD) 與美國聯邦航空總署 (FAA) 的計畫為主。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11054&mod=1

研究人員揭露新舊作業系統路徑轉換弱點，並指出能被當作 rootkit 發動攻擊

資安業者 SafeBreach 指出，Windows 作業系統存在名為 MagicDot 的漏洞，這項弱點與新舊版本作業系統的路徑轉換有關，一旦將其利用，攻擊者有可能將其當作惡意程式運用。值得留意的是，為維持新舊作業系統相容性，MagicDot 微軟並未完全修補，使得這項弱點很可能被拿來挖掘新的攻擊手法。

https://www.ithome.com.tw/news/162476

4/25

思科證實防火牆零時差漏洞遭國家級駭客利用，於政府機關植入後門程式

思科旗下的威脅情報團隊 Talos 針對國家級駭客 UAT4356（亦稱Storm-1849）的攻擊行動 ArcaneDoor 提出警告，指出對方鎖定該公司旗下的 ASA 及 FTD 防火牆零時差漏洞 CVE-2024-20353、CVE-2024-20359 而來，於受害組織部署後門程式 Line Dancer、Line Runner。

https://www.ithome.com.tw/news/162538

4/26

醫療集團 Kaiser 向超過 1,300 萬名會員通報資料外洩

美國醫療集團 Kaiser 本月初發生資料外洩，正在通知數百萬名會員。 Kaiser Foundation Health Plan 確認有 1,340 萬名居民的資訊在此次資料外洩中被盜走。Kaiser Permanente 表示，他們並未察覺到任何會員或病患的個人資訊被濫用的情況。

https://www.reuters.com/technology/cybersecurity/kaiser-notifies-millions-data-breach-2024-04-25/

超過 1,400 個 CrushFTP 實例對零日攻擊存在漏洞

根據 Shadowserver Foundation 的數據顯示，超過 1,400 個使用 CrushFTP 管理檔案傳輸軟體的實例，仍對最近公開的零日攻擊存在漏洞。該嚴重程度被評為「關鍵」的錯誤已被追蹤為 CVE-2024-4040，描述為一種伺服器端範本注入，允許遠端攻擊者逃出虛擬檔案系統（ VFS ）的沙箱，獲取管理權限並執行任意的程式碼。

https://www.securityweek.com/over-1400-crushftp-instances-vulnerable-to-exploited-zero-day/

駭客鎖定網管人員散布後門程式 MadMxShell，意圖取得入侵企業組織的管道

資安業者 Zscaler 上個月發現的後門程式 MadMxShell 攻擊行動，對方從去年 11 月至今年 3 月註冊許多網域名稱，這些名稱與網路管理員及資安人員會使用的 IP 位址掃描工具等應用程式有關，這些應用程式包括近期常被駭客用來誘騙的 Advanced IP Scanner、Angry IP Scanner，以及許多網管人員耳熟能詳的 PRTG IP Scanner、ManageEngine 工具，並透過 Google 廣告將這些網域名稱推送到特定關鍵字搜尋結果的頂部，企圖引誘上述技術人員上當。研究人員推測，對方的最終目的，是為了能夠取得入侵企業組織的初始管道。

https://www.ithome.com.tw/news/162563

4/28

美國郵政局網頁釣魚攻擊的網路流量與官網不相上下

安全研究人員分析針對美國郵政服務（USPS）的「釣魚攻擊」時，發現偽造網域的網路流量往往與官網相若，甚至在假期期間更甚。於 2023 年的假日季節， Akamai Technologies 觀察到大量的 DNS 查詢流向那些冒充 USPS 服務的「組合騙局」網域。

https://www.bleepingcomputer.com/news/security/us-post-office-phishing-sites-get-as-much-traffic-as-the-real-one/