资安业者Tinexta Cyber旗下的Yoroi恶意软件研究团队揭露中国黑客组织APT41近期的攻击行动，这些黑客锁定意大利的企业组织而来，部署名为KeyPlug的后门程序，黑客以C++开发而成，并打造Windows及Linux版本，并能通过HTTP、TCP、UDP等多种网络通信协定接收来自C2的命令。而对于黑客使用这个后门程序的时间，他们推测最早在2021年6月可能就开始使用。

附带一提，他们也将这项APT41使用的作案工具与今年2月中国资安业者安洵（i-Soon，或写作Anxun）流出的数据进行比对，并指出这批数据当中提到一种名为Hector的RAT木马程序，很有可能就是他们本次调查的KeyPlug。

针对Ivanti零时差漏洞攻击事故，资安组织MITRE揭露黑客滥用VMware虚拟化平台的细节

上个月资安组织MITRE证实今年1月遭遇Ivanti零时差漏洞攻击，当中提及黑客操弄受害网络环境的VMware虚拟化平台来埋藏行踪，现在他们将攻击手法的细节公诸于世，让IT人员能够察觉、防范这类新兴威胁。

MITRE指出，黑客在企图滥用虚拟化环境之前，已得到ESXi基础架构的管理权限，并借由系统服务帐号，产生用于攻击行动的虚拟机（VM），这么做的目的，就是让管理者无法从vCenter管理主控台察觉这些VM的存在。

针对此种新兴攻击手法，MITRE提供相关的检测方式，并公布两款能扫描这类威胁的脚本工具，它们分别是：由MITRE打造的Invoke-HiddenVMQuery，以及资安业者CrowdStrike开发的VirtualGHOST。

台艺大校友网站个资惊传外泄，校方紧急关闭网站、请求Google协助清除暂存内容

本周台湾艺术大学发出资安公告，指出他们的校友联系中心网站存在资安问题，任何人通过Google搜索就有机会看到申请校友证的个资，他们紧急将网站关闭，请求Google协助清除暂存内容，并对于含有机敏个资的中级系统，全面进行弱点扫描。

台艺大在18日接获校友反映，任何人只要通过Google搜索，就有机会看到校友的个资，这些数据与申请校友证有关，包含姓名、身分证字号、地址、室内电话号码、移动电话号码、电子邮件信箱。

电算中心获报后进行紧急应变措施，并将对于含有机敏个资的中级系统进行弱点扫描、修复，并对于个资字段进行遮罩及加密处理。

其他攻击与威胁

◆JAVS法庭录像软件遭遇供应链攻击，攻击者在安装程序植入后门

◆数据破坏软件BiBi Wiper出现新变种，锁定以色列、阿尔巴尼亚发动攻击

◆桃园市埔顶地区变更计划案公展数据泄露民众个资，都发局坦承疏失

【漏洞与修补】

Ivanti修补端点管理程序EPM重大层级的SQL注入漏洞

5月21日资安业者Ivanti发布本月份资安公告，修补Avalanche、Neurons for ITSM、Connect Secure（ICS）、Secure Access、Endpoint Manager（EPM）等旗下产品16个漏洞。

值得留意的是，这次有超过半数漏洞与EPM有关，而且，这些漏洞多为高风险或重大层级。本次Ivanti共为EPM修补10个漏洞，这些漏洞皆为SQL注入漏洞，存在于EPM内核服务器，影响2022 SU5以前的版本，一旦遭到利用，攻击者就能在未经身分验证的情况下，通过EPM所在的网络环境运行任意代码，CVSS风险评分有6个为9.6分，其余为8.4分。

GitLab揭露高风险漏洞，未经身分验证的攻击者恐发动XSS攻击接管帐号

5月22日GitLab发布社群版（CE）及企业版（EE）的17.0.1、16.11.3、16.10.6更新，当中修补7个漏洞，其中有1个被列为高风险层级，而特别值得留意。

这项高风险漏洞是CVE-2024-4835，为一键点击的帐号挟持漏洞，攻击者可制作恶意网页，在未经身分验证的情况下，利用Visual Studio Code代码编辑器（网页IDE）触发漏洞进行跨网站脚本（XSS）攻击，从而泄漏用户机敏信息，进而有机会接管帐号，CVSS风险评为8.0分。

【资安产业动态】

Gogolook以1.5亿元并购荷兰防诈服务商ScamAdviser，盼加速企业服务推向全球市场

以阻挡恶意电话与短信Whoscall闻名，去年于创新板挂牌上市的Gogolook（走着瞧-创），于24日在台湾证券交易所召开重大消息记者会，说明将并购总部位于荷兰的数位防诈服务商ScamAdviser，期待进一步带动企业端服务，加速扩及全球市场。

Gogolook财务长黄钰文在重大消息记者会上表示，该公司本日召开董事会通过海外股权收购案，预计以不超过450万欧元现金（约新台币1.56亿元），取得此防诈服务商100%股权，预计于今年第三季前完成交割。

对于Gogolook而言，这次并购有何效益？黄钰文在记者会提到三大重点，简单来说，首先，强化防诈技术与扩展不同防护场景，其次是深入走进企业防诈服务，第三是跨入欧美市场。而我们可以看出，尤其是后两者的效益，是Gogolook非常看重的部分。

政府推动零信任架构，今年完成A级机关导入身分鉴别，2机关将先导入信任推断机制

在今年CYBERSEC 2024台湾资安大会上，国家资通安全研究院副院长吴启文分享台湾推动零信任架构策略及现况，他指出目前为优先推动A级机关导入零信任架构，2023年将身分鉴别导入机关，特别是以导入T-Road的机关为优先，去年数位部开始辅导22个A级机关导入身分鉴别、选定2个机关试行导入设备鉴别。

数位部从2023年开始推动A级机关导入零信任架构，预定在2024年完成全部A级机关导入身分鉴别机制。目前资安院已公告信任推断的验证检核表，供厂商产品送验参考，2024年计划由2个机关导入信任推断机制，作为未来推动政策参考，资安院也会持续鼓励厂商投入零信任相关产品开发，并纳入共同供应契约，为政府导入零信任架构作好准备。

其他攻击与威胁

◆身分验证资安业者CyberArk以15亿美元买下机器识别管理公司Venafi

◆微软宣布将于今年下半弃用VBScript，并规画3阶段将其退役

近期资安日报

【5月23日】微软推出AI电脑新功能Recall引发隐私争议，英国主管机官宣布启动调查

【5月22日】针对研究人员指控修补NAS操作系统漏洞速度太慢，威联通发布声明说明处理进度

【5月21日】金融木马Grandoreiro传出东山再起，黑客攻击范围从拉丁美洲扩及全球逾60个国家