北韓駭客假借徵才名義，鎖定開發人員散布惡意軟體的情況，過往駭客組織Lazarus發起的Operation Dream Job攻擊行動相當受到資安圈關注，如今有資安業者發現，這些駭客的手段變得更加複雜，使得求職的開發人員難以察覺有異。

資安業者SecurityScorecard指出，他們在1月9日發現Lazarus發起的攻擊行動Operation 99，主要目標是想要在Web3或是加密貨幣領域求職的軟體開發者，意圖在他們的電腦植入惡意程式。

這些駭客假冒人資主管的名義，在職場社群網站LinkedIn等平臺進行徵才，以專案測試及程式碼檢視為由引誘開發人員上當。一旦開發人員照做，他們就會被要求複製看似無害的GitLab儲存庫，而駭客在其中埋入能連往C2伺服器的程式碼，從而於受害者的環境植入惡意軟體。

其他攻擊與威脅

◆惡意攻擊者利用假Google廣告釣魚攻擊廣告帳戶，廣告商資金遭大規模盜用

◆竊資軟體Formbook假借採購單散布，於記憶體內執行隱匿行蹤

◆WordPress電商網站遭到鎖定，駭客將JavaScript指令碼注入資料庫挾持付款資料

◆駭客佯稱M365密碼到期，利用假YouTube連接引誘使用者存取釣魚網站

【漏洞與修補】

部分工作站電腦、伺服器無法套用微軟1月例行更新，疑為Citrix資安控管軟體造成

微軟本周發布一月份安全更新，不過部分安裝資安控管軟體Citrix Session Recording Agent（SRA）的電腦出現無法正常安裝的情形，涵括Windows 10、11，以及伺服器作業系統Server 2019、2022、2025等。微軟和Citrix已在調查原因。

Citrix SRA 2411是去年11月底釋出。SRA是Session Recording Monitoring服務的元件，可讓企業記錄使用者螢幕上的活動作為資安控管。對此，Citrix呼籲企業用戶停用SRM服務，再安裝微軟安全更新，最後再重啟SRM服務就可避免這問題。

其他漏洞與修補

◆開源檔案同步工具Rsync存在重大漏洞，攻擊者有機會越界寫入，66萬伺服器恐曝險

【資安防禦措施】

美國對中國後門程式PlugX進行執法行動，清除逾4千臺受害電腦的惡意軟體

1月14日美國司法部宣布，他們與聯邦調查局（FBI）及國際合作夥伴聯手，進行數個月的執法行動，從全球數以千計的受害電腦清除中國駭客使用的惡意軟體PlugX，這些駭客組織由中國政府資助，包含匿稱為RedDelta、TA416、Earth Preta的Mustang Panda，以及原本被稱為Tantalum的Twill Typhoon。

根據美國法院的文件指出，中國政府付錢給駭客組織Mustang Panda，開發專屬版本PlugX進行電腦入侵工作。可能從2014年開始，駭客就對美國、歐洲、亞洲的政府及企業，以及中國異議人士下手，滲透數千臺電腦。儘管美國政府及資安業者都曾揭露相關攻擊行動，但許多受害者並未察覺自己的電腦感染PlugX，因此美國法院授權執法單位採取行動，對當地受害電腦採取補救措施。

FBI數位部門助理局長Bryan Vorndran表示，這項執法行動是透過與法國執法單位之間的合作來進行，他們也藉此宣示保護民眾的決心，以及抵禦國家級威脅的技術專業能力。他們從去年8月開始獲得賓州東區法院授權，展開清理作業，總共成功清除的電腦數量高達4,258臺。

近期資安日報

【1月15日】多組人馬利用零時差漏洞繞過身分驗證，攻擊Fortinet防火牆設備

【1月14日】Ivanti旗下VPN系統再傳零時差漏洞，臺灣曝險伺服器數量全球第三

【1月13日】研究人員揭露中國駭客RedDelta最新一波攻擊行動，主要目標是臺灣和蒙古