針對這樣的現象，研究人員指出，他們看到這種國家級駭客的網路攻擊行動與日遽增，如今已影響至少超過三分之一美國民眾，而且，這些攻擊的規模及複雜程度都不斷增加，其共通點在於，駭客鎖定瀏覽器而來，並不斷調整戰術，使得現有的上網安全管制機制，例如：上網安全閘道（SWG）、安全服務邊界（SSE），難以遏止相關攻擊行動。

針對這3起攻擊行動，該資安業者也點出了其規模及態勢。他們發現駭客利用超過3千個網域，並針對政府機關及10個以上的產業而來其中，駭客發送的大量惡意連結當中，使用者被引誘而點選連入的比例高達60％，但他們也提及，其中有四分之一的網址，無法透過URL過濾機制察覺有害。

查看軟體開發人員職缺資訊要小心！研究人員揭露間諜軟體MerkSpy攻擊行動，駭客散播可濫用已知MSHTML漏洞Word檔作為網路釣魚誘餌

2021年9月被揭露、駭客曾大肆利用的MSHTML零時差漏洞CVE-2021-40444，如今傳出有人再度利用這項漏洞，將其用來散布惡意程式。

資安業者Fortinet揭露近期利用這項漏洞的攻擊行動，主要針對北美和印度而來。對方先是透過內含軟體開發人員職缺的工作說明Word檔案，一旦使用者開啟，就有可能觸發CVE-2021-40444，從而向遠端伺服器取得有效酬載olerender.html。但究竟駭客如何散布上述惡意Word檔案，研究人員並未說明。

一旦啟動，這個HTML檔案便會檢查受害電腦的作業系統組態，並解開嵌入的Shell Code，然後擷取Windows作業系統的API「VirtualProtect」和「CreateThread」，從而在受害電腦植入間諜軟體MerkSpy，並能在系統內秘密運作。

其他攻擊與威脅

◆駭客組織8220鎖定Oracle WebLogic伺服器已知漏洞而來，透過PowerShell指令碼散布挖礦軟體

◆CISA針對地理位置資訊伺服器GeoServer、Linux核心、郵件伺服器Roundcube遭到利用的漏洞提出警告

◆今年初公布的D-Link無線路由器DIR-859重大層級資訊洩漏漏洞傳出遭到利用，駭客用來收集裝置的帳密資訊

◆冒牌IT技術支援網站假借提供PowerShell指令碼「修補」Windows臭蟲，並透過YouTube頻道散布

【漏洞與修補】

GitLab存在重大漏洞，攻擊者可冒用任意用戶身分執行Pipeline工作流程

6月26日GitLab針對社群版（CE）及企業版（EE）發布重大修補更新17.1.1、17.0.3、16.11.5版，總共修補14個漏洞，其中最值得留意的部分，是列為重大層級的CVE-2024-5655，CVSS風險評為9.6分。

這項漏洞影響15.8至16.11.4、17.0.0 至17.0.2，以及17.1.0至17.1.0版，無論CE或EE版都會受到影響。開發團隊指出，一旦攻擊者觸發漏洞，就可能在特定情況下，以其他使用者的身分存取Pipeline工作流程。

雖然目前此漏洞尚未出現遭到利用的跡象，但有鑑於資安問題極為嚴重，開發團隊呼籲使用者應儘速套用新版程式。

其他漏洞與修補

◆Juniper Networks緊急修補重大層級身分驗證繞過漏洞CVE-2024-2973

【資安產業動態】

推動零信任架構加速資安轉型，臺北市府今年內釋出AI使用規範

「至少在我任期內，臺北市政府正轉型朝向實踐零信任的政府機關」，臺北市政府資訊局長趙式隆一語道出，臺北市正推動資安轉型。趙式隆以零信任作為分水嶺，他將零信任之前視為舊資安，而在零信任之後則是新資安，過去北市在舊資安已打下良好基礎，然而面對層出不窮的風險，臺北市為強化資安，近幾年積極推動資安轉型至新資安。

臺北市一方面規畫配合中央政府的政策推動零信任架構，另方面也與時俱進，與外部業者合作，汲取國外的新觀念及作法，例如臺北市與Cisco在資安方面簽署合作備忘錄，將國外的觀念作法引進國內，針對國內的環境、法規架構，先進行POC測試，評估是否適合引進國內，作為後續擴大投資參考。

近期資安日報

【6月28日】前幾天Polyfill.io供應鏈攻擊事件曝光震撼整個IT界，後續傳出中國CDN業者另起爐灶，再度對10萬網站下手

【6月27日】舊版瀏覽器網站相容套件Polyfill.io被中國公司買下，驚傳被植入惡意程式碼，恐影響逾10萬網站

【6月26日】惡意軟體沙箱服務業者Any.Run遭到網釣攻擊，所有員工收到內部人員寄來的釣魚信