资安业者Mandiant、Google威胁分析团队（TAG）联手，揭露中国黑客组织APT41最新一波的攻击行动，这些黑客主要的目标是全球的航运、物流、新闻媒体、娱乐、科技、汽车产业的企业组织，其中大部分位于台湾、泰国、土耳其、英国、意大利、西班牙。黑客从2023年开始，成功渗透并长期持续对受害组织进行未经授权的存取，而能长时间收集内部机敏数据。

研究人员进一步指出，约有半数遭骇组织是航运及物流业，三分之一是媒体与娱乐产业。但他们也提到航运和物流受害组织几乎都位于欧洲及中东，媒体与娱乐受害组织则位于亚洲。

印度加密货币交易平台WazirX遭北韩黑客攻击，损失2.3亿美元

印度加密货币交易平台WazirX周四（7月18日）指出，该平台的某个多重签名（Multisig）钱包遭到黑客入侵，因而暂停该平台上的提款活动。随后专门分析区块链上金融犯罪行为的Elliptic即指出，来自北韩的黑客自WazirX上盗走了价值2.35亿美元的加密货币。

WazirX成立于2018年，是印度少数的加密货币交易平台之一，提供逾350种的加密货币与代币交易服务，用户数超过1,600万。截至今年6月，WazirX的总储备资产约为5亿美元，此次的意外等同于有接近一半的资产被盗走。

现阶段WazirX正努力追回遭窃的款项。在被盗的加密货币中，以柴犬币（SHIB）占9,670万美元最多，居次的是以太币（ETH），金额为5,260万美元。

Apache图像数据库HugeGraph重大层级漏洞出现攻击行动

今年4月Apache基金会针对图像数据库HugeGraph修补重大层级漏洞CVE-2024-27348，事隔一个多月，渗透测试业者SecureLayer7揭露相关细节，并指出这项漏洞相当危险，攻击者一旦利用，就能够绕过沙箱的限制，达到运行代码的目的，进一步控制HugeGraph服务器，如今传出有人将其用于攻击行动的情况

本周Shadowserver基金会提出警告，他们察觉有多个攻击来源，发出POST /gremlin请求，试图触发CVE-2024-27348的情况，呼吁IT人员必须尽速采取行动，套用新版软件。不过，该基金会并未透露攻击来源的数量，也没有公布曝露风险的HugeGraph服务器台数。

恶意软件DarkGate通过Samba文件共用文件夹散布

资安业者Palo Alto Networks指出，他们在今年3月至4月，看到对方利用Excel文件作为发起攻击链的管道，接着，会去下载包含DarkGate的恶意软件套件，来源是可通过互联网存取的Samba（SMB）文件共享文件夹。但为何黑客要使用文件共享文件夹，研究人员并未说明。

研究人员看到黑客自今年3月发起新一波行动，初期北美洲是主要攻击范围，随后逐渐蔓延到欧洲及亚洲地区。这起事故在4月9日达到高峰，当天他们侦测到近2千个恶意Excel文件（XLSX）。

一旦用户依照指示操作，黑客就会通过PowerShell脚本下载3个作案工具，用来启动以AutoHotKey打造的DarkGate。但在部分的事故当中，对方运用了少见的回避侦测手法。在其中一起事故里，PowerShell脚本会检查电脑是否存在特定的文件夹，来判断有无安装卡巴斯基杀毒软件，一旦确认电脑部署该厂牌杀毒，就会下载正牌的AutoHotKey程序来回避侦测。

意大利企业遭到中国黑客组织APT17锁定，对方企图散布恶意程序RAT 9002

上周意大利资安业者TG Soft表示，他们在6月24日、7月2日侦测到中国黑客组织APT17的攻击行动，对方针对当地企业及政府机关下手，意图散布名为9002 RAT（也被称做Hydraq、McRAT）的恶意程序。

研究人员指出，第一起攻击黑客利用Office文件启动攻击链，而第二起则是利用钓鱼链接，但两者的目的相同，都是通过类似意大利政府机关的网域，假借邀请用户安装Skype for Business，然而一旦照做，用户的电脑就有可能被植入恶意程序。

对方向用户提供MSI安装档SkypeMeeting.msi下载链接，一旦下载并运行安装，此安装程序便会在部署即时通信软件的过程里，触发VBS脚本，启动恶意Java套件（.JAR），解密Shell Code并运行，最终于受害电脑加载9002 RAT。

多家公司涉嫌不当搜集使用104人力银行的求职者个资，检调接获该业者通报而进行侦办

根据联合新闻网、中央社的报导，检调单位接获通报，有多间公司通过支付型购买手法，低价注册104人力银行的企业会员，收集求职者的履历、工作经历和教育背景等求职信息，再用于不法。7月18日新北地检署指挥调查局台北市调处搜索涉案公司，查扣手机与电脑等物证，约谈近10人到案说明，全案朝违反个资法罪嫌侦办。

针对这起意图窃取求职民众个资的资安事故，我们今天上午向104人力银行求证，中午他们回复并发布新闻稿统一回应此事，他们表示，这起事件是该公司建置的AI资安异常侦测及管理系统侦测到异常，察觉特定征才企业系统出现不寻常的使用情形，他们进行搜证并向调查局台北市调查处报案。104人力银行表示，由于全案已进入司法进程，他们不对案件细节做出说明。

其他攻击与威胁

◆Adobe、CISA针对Commerce及Magento重大漏洞提出警告，并指出已被用于攻击行动

◆中国黑客组织GhostEmperor卷土重来，利用恶意程序Demodex从事攻击行动

◆黑客组织TAG-100使用开源工具发动攻击，锁定包含台湾在内的十多个国家政府机关及企业组织

◆北韩黑客利用窃资软件BeaverTail锁定macOS用户

其他攻击与威胁

◆研究人员揭露人工智能平台SAP AI Core漏洞SAPwned，有可能被攻击者存取帐密及客户数据

近期资安日报

【7月18日】日本揭露新一波MirrorFace攻击行动，对方锁定防火墙、SSL VPN设备已知漏洞而来，散布后门程序

【7月17日】项目管理工具Trello逾1,500万名用户个资流入地下论坛，对方声称是通过公开的API取得

【7月16日】黑客组织NullBulge声称入侵迪士尼，从近万个Slack频道窃得超过1 TB内部文件，但真实性有待进一步确认