2年前日本电脑紧急应变团队暨协调中心（JPCERT/CC）开始追踪名为MirrorFace的攻击行动，攻击者最初的目标是当地媒体、政治组织、智库、大专院校，但从2023年开始，这些黑客转移焦点，锁定制造业和研究机构，现在研究人员公布新的发现。

JPCERT/CC指出，这些黑客原本的初始攻击管道，主要是通过钓鱼邮件，但现在针对可通过互联网存取的Array AG远程SSL VPN存取平台、FortiGate防火墙而来，此外，研究人员也不排除对方锁定文件共用系统Proself下手的情况，最终在受害组织植入恶意软件NoopDoor。

无论对方从那一款设备入侵受害组织，最终的目的都是要部署NoopDoor。研究人员总共看到两种型态的恶意程序，主要差别在于，用来加载运行的文件种类不同：其中一种是通过XML文件运行，另一种则是使用DLL文件侧载NoopDoor。

中国黑客组织Smishing Triad锁定印度发动大规模网钓短信攻击

中国黑客组织自去年的发起的大规模网钓短信攻击行动Smishing Triad，先是针对美国、欧洲、阿拉伯联合酋长国（UAE）下手，今年5月下旬目标转向巴基斯坦，时隔不到一个月，这些黑客再度发起新的攻击活动。

6月资安业者Resecurity得知印度用户遭遇短信诈骗的情况，黑客假冒印度邮政，或是印度交通部邮政局的名义发送网钓短信。由于这类攻击大幅增加，印度新闻信息局（PIB）警告民众对可疑短信提高警觉，以免上当。

而针对锁定印度而来的网钓短信攻击，研究人员看到7月8日开始扩大攻击规模，过程中使用在6月注册的网域来犯案，这些网域名称多半假冒印度邮政而来，一旦用户存取黑客设置的钓鱼网站，对方就会通过地理位置栅栏及用户代理字符串（User Agent）进行过滤，确认用户位于印度，并且使用安卓或iOS行动设备存取。

黑客组织FIN7传出兜售能回避EDR侦测的工具给其他网络罪犯，并采用新型态手法让受害电脑的端点防护机制失效

两年前，勒索软件攻击团体Black Basta曾使用来自另一个黑客组织FIN7的恶意程序AuKill（或称AvNeutralizer），以此回避端点防护机制，当时资安业者SentinelOne认为，这两组人马很可能有紧密的合作关系，研究人员最近公布新的调查结果。

从去年1月开始，SentinelOne发现AvosLocker、MedusaLocker、BlackCat、Trigona、LockBit等多个勒索软件黑客组织，也加入使用AuKill的行列，反倒是Black Basta在调查结果发表后，不再使用这款工具，并调整部分的策略、技术、流程（TTP）。这样的现象，代表AuKill并非FIN7专为Black Basta打造的工具，研究人员后来也发现这些黑客在多个地下论坛兜售AuKill的情况。

持续演化至今，研究人员发现AuKill增加新的手段，那就是滥用Windows操作系统内置的ProcLaunchMon.sys，这是用来监督「时间历程调试（Time Travel Debugging，TTD）」的驱动程序，对方结合这种驱动程序与特定的作业流程，导致某些受保护处理进程的实作无法与子进程沟通而发生故障，最终造成阻断服务（DoS）。他们滥用ProcLaunchMon.sys及特定版本的Process Explorer驱动程序，来达到上述目的。

PyPI套件共享平台管理者不慎曝露的GitHub令牌恐波及Python、PyPI、Python软件基金会的运作

例如，上周资安业者JFrog揭露不慎外泄的GitHub令牌（Token）事故，那就是PyPI套件共享平台管理者不慎外泄GitHub用户帐号的个人存取令牌，JFrog特地为此发文警告，表示差点发生史上最严重的供应链攻击。因为一旦有人取得，就有机会得到Python、PyPI、Python软件基金会（Python Software Foundation，PSF）的GitHub管理者权限。PyPI资安团队接获通报后，随即注销此令牌，并进一步进行检查，确认尚未出现滥用的迹象。

这个令牌能存取91个Python持有的GitHub存储库、55个Python Packaging Authority（PyPA）的存储库、42个Python软件基金会的存储库，以及21个PyPI的存储库。研究人员特别提及这个令牌曝光可能带来的后果，有可能影响整个Python基础设施，并导致供应链攻击。

AT&T数据外泄事故传出是在土耳其被捕的美国黑客所为，该公司低头支付37万美元赎金

上周末美国大型电信业者AT&T向当地证券交易委员会（SEC）呈交8-K表单，证实黑客在今年4月存取第三方云端平台的工作区，拷贝含有客户通话及短信交互记录的数据，该公司超过1亿名的用户几乎都受到影响，外传攻击者攻入云端大数据服务Snowflake，劫掠众多未激活多因素验证（MFA）的帐号而得逞，本周这起事故传出新的进展。

根据新闻网站Wired的报导，AT&T决定向黑客低头，支付赎金给黑客组织ShinyHunters的其中一名成员，以此条件促使对方删除所窃取到的数据。这名黑客向该媒体透露收款的加密货币钱包地址，以及向他付款的来源钱包地址。Wired使用区块链追踪工具进行验证，上述两个加密货币钱包在5月17日出现一笔约为5.7个比特币的交易款项。加密货币追踪业者TRM Labs也证实这笔交易，他们看到金额约为5.72个比特币，当时交易金额相当于373,646美元。随后黑客经由数个加密货币交易所及钱包洗钱，但钱包的所有者身分目前仍不得而知。

其他攻击与威胁

◆伊朗黑客组织MuddyWatter锁定以色列企业组织，散布后门程序BugSleep

◆上市营造业者宏盛证实部分信息系统遭遇网络攻击，旗下子公司助群营造也发生资安事故

【漏洞与修补】

思科紧急修补SSM On-Prem可被用来变更密码的安全漏洞

思科（Cisco）周三（7月17日）紧急修补Smart Software Manager On-Prem（SSM On-Prem）上的一个安全漏洞，此漏洞编号为CVE-2024-20419，将允许未经身分验证的黑客远程变更任意SSM On-Prem用户的密码，包括具备管理权限的用户。

该漏洞源自于密码变更进程实施不当，使得黑客只要发送特制的HTTP请求至受害设备，便能触发漏洞，允许黑客以用户的权限来存取网页界面或API，其CVSS风险评分高达10。

现阶段思科尚未接获漏洞遭到滥用的通报，但该公司强调，除了部署修补程序之外，并无其他缓解措施能因应，呼吁IT人员应尽速套用更新软件。

其他攻击与威胁

◆Oracle发布2024第3季例行更新，公布240个资安漏洞

◆Atlassian修补Bamboo、Confluence、Jira高风险漏洞

◆Google发布126安全性更新，修补10个漏洞

近期资安日报

【7月17日】项目管理工具Trello逾1,500万名用户个资流入地下论坛，对方声称是通过公开的API取得

【7月16日】黑客组织NullBulge声称入侵迪士尼，从近万个Slack频道窃得超过1 TB内部文件，但真实性有待进一步确认

【7月15日】美国电信业者AT&T针对今年4月的资安事故通报调查结果，客户通话及短信记录遭到外流