资安业者趋势科技在今年4月初发现黑客组织Void Arachne的攻击行动，对方的目标主要是使用中文的用户，假借提供简体中文版Chrome，以及当地的VPN软件LetsVPN、QuickVPN（快连VPN），甚至是使用Deepfake技术脱衣、变脸、变声的人工智能工具，或是Telegram简体中文界面套件，目的是在用户电脑植入后门程序Winos 4.0。

值得留意的是，这些黑客同时借由购买搜索引擎广告进行SEO中毒攻击，或是通过简体中文Telegram频道，来散布恶意软件。

研究人员指出，这些黑客犯案的共通点，在于他们都向用户提供MSI安装程序，打开、运行之后，确实会安装对方宣称的应用程序，但在此同时，也在用户不知情的状况下，部署恶意软件，并向攻击者的C2服务器进行连接。

巴基斯坦黑客组织Cosmic Leopard锁定Windows、macOS、安卓设备散布恶意程序

思科旗下威胁情报团队Talos揭露攻击行动Operation Celestial Force，从2018年起，巴基斯坦黑客组织Cosmic Leopard锁定印度政府机关、国防单位，以及相关技术领域的组织。值得留意的是，时至今日这项攻击行动仍在持维进行，并未出现缓和的迹象。

针对这波为期长达6年的攻击行动，研究人员指出，对方起初使用RAT木马程序GravityRAT锁定Windows用户，接着，为了扩大攻击规模，他们也开发安卓版本，并在2019年针对行动设备而来。再来，为了散布上述木马程序，对方开发了名为HeavyLift的恶意程序加载工具，并将其用于攻击行动。

值得留意的是，HeavyLift不光能在Windows上运行，若是侦测到在macOS操作系统环境，并未取得root权限，他们就会下达特定命令取得管理权限，然后下载ZIP压缩档并植入有效酬载。

黑客锁定WordPress网站下手，目的是要胁浏览网站的用户浏览器过旧，借此散布恶意程序

资安业者Sucuri揭露最近一波从今年4月下旬出现的攻击行动，过程中攻击者滥用名为Hustle的WordPress插件程序，该插件主要用途是电子邮件市场行销，或是产生弹出式广告窗口，从而经营客户。

然而，对方利用这款插件程序对WordPress网站下手，将恶意代码注入，用户只要浏览网站，就会看到弹出式窗口，「警告」已侦测到有漏洞的Chrome，要求更新浏览器。一旦用户按下弹出式窗口上的按钮，就会被重新导向恶意网址，下载恶意软件（大部分被命名为GoogleChrome-x86.msix）。但值得留意的是，用户就算是使用Firefox、Opera、Edge浏览网站，同样会看到上述的弹式窗口。

其他攻击与威胁

◆恶意软件加载工具SquidLoader锁定中国企业组织而来

◆Rust窃资软件Fickle Stealer利用PowerShell绕过用户帐号控制防护机制

◆中国黑客组织针对亚洲电信业者植入后门，尝试窃取帐密数据

◆SolarWinds文件服务器软件Serv-U路径穿越漏洞传出遭到积极利用

【漏洞与修补】

研究人员针对Wget漏洞提出警告，呼吁用户近期应留意相关资安公告

德国研究人员Günter Born指出，6月17日德国电脑紧急应变团队（CERT-Bund）针对CVE-2024-38428提出警告值得留意，因为，这项存在于下载工具Wget的漏洞相当危险，CVSS风险评分达到10分，1.24.5版及之前版本都受到影响，攻击者可远程利用。

值得留意的是，在大部分的Unix与Linux系统当中，都可以用Wget来下载文件，后续也被移植到Windows、macOS等多种应用系统，使得这套工具的存在相当普遍，以这次被找出的漏洞而言，无论是Linux还是Windows版本，都存在这项漏洞。

不过，事隔2天，CERT-Bund下修CVE-2024-38428的CVSS分数为6.3，列为中等风险漏洞，但为何大幅调整风险评分，他们并未进一步说明。

【资安防御措施】

AWS安全长揭露防护生成式AI的心法

生成式人工智能拜ChatGPT之赐，不到一年就窜升为家户喻晓的人工智能代名词，而在各行各业积极探索新兴应用商机之际，对于生成式人工智能（Generative AI）潜在的资安顾虑也随之涌现。

亚马逊（Amazon）安全长Steve Schmidt在re:Inforce 2024的演讲中指出，生成式人工智能并非横空出世，而是承袭机器学习与人工智能技术数十年发展脉络的最新阶段，因此资安的基本原则与人工智能安全防护经验都仍适用，他也公开亚马逊的人工智能安全团队成立的经验，包括资安组织的定位如何不会限制人工智能的创新可能性、如何协助开发团队做出正确的安全决策，以及在安全检验方面有别于传统资安测试之处。

资安院首度发表AI打诈技术，诈骗广告侦测率超过九成

打诈是台湾政府新内阁首要任务，也是民众生活最大痛点之一。为了解决这个问题，数发部数位产业署委托资通安全研究院研发，他们期盼通过运用AI技术，从源头做到「识诈」、「防诈」以遏止诈骗横行。资安院副院长林盈达表示，从今年1月开始运行的广告自动化巡检技术，每个月可以检测超过50万笔广告，一旦侦测到诈骗广告，会进行后续通报。

他表示，今年五月诈骗广告数量超过20万笔创下新高，资安院采用AI侦测诈骗广告的准确度达93％，而在这个巡检的过程中，他们也发现97％诈骗广告刊登不到两天，显示相关的阻挡机制必须跟时间赛跑，因为处理时机稍纵即逝。

美国宣布全面禁售卡巴斯基产品

美国商务部（Department of Commerce，DoC）旗下的工业及安全局（Bureau of Industry and Security，BIS）于6月20日宣布了一项最终裁决（Final Determination），自今年7月20日起，将禁止卡巴斯基（Kaspersky）于美国销售网络安全产品/服务及杀毒软件，自9月29日起禁止提供相关产品的更新，原因是担心总部位于俄罗斯的卡巴斯基，会因美、俄之间的紧张关系，危害美国的国家安全。

值得留意的是，这样的政策并非空穴来风，2017年7月美国便限制政府采购卡巴斯基产品，9月要求政府机关全面移除卡巴斯基产品，更在2022年将卡巴斯基列入国家安全威胁名单，现在则全面扩大至美国一般个人用户及组织。

其他资安产业动态

◆Google资安证书课程大公开，在台合作计划锁定跨域转职与大学生

【资安关键人物】

学校教育至少要能培养出资安人手，期许成为博派资安人

信息安全在当今社会日益受到重视，成为众多产业和政府机构关注的焦点之一。然而，资安的发展过程中也面临着各种挑战，而这些挑战往往不只是技术，更牵涉到人、政策和社会等多个层面。台湾科技大学信息管理系特聘教授吴宗成对于资安领域的发展和挑战有着深刻的见解，他指出，资安产业的发展需要适当的热度，但又不能过热，以免阻碍未来的发展。

吴宗成用「变形金刚」来比喻，他说资安人就要像博派机器人，不能只活在自己的世界，要懂人民生活感受并能提出对策，不能只懂学理、固守自己观点、活在象牙塔。

近期资安日报

【6月20日】中国黑客UNC3886利用多项防火墙及虚拟化平台的零时差漏洞隐匿行踪，并部署后门程序持续存取网络环境

【6月19日】初始入侵管道掮客IntelBroker声称握有芯片大厂AMD内部机密数据，该公司表示将着手调查

【6月18日】未补漏洞且暴露在外网的旧款F5 BIG-IP设备成黑客入侵企业内部环境的破口，中国黑客潜入窃密长达3年