上周五EDR系统CrowdStrike Falcon更新引发全球各地Windows电脑大当机，微软公布有850万台电脑受到影响，资安业者Interos指出约有67.4万企业用户可能受到影响。值得留意的是，黑客也伺机散布恶意程序进行破坏。

恶意软件沙箱服务业者Any.Run指出，他们发现有黑客意图趁机散布数据破坏软件（Wiper）的迹象，对方针对想要找寻能修正电脑因CrowdStrike更新当机的用户，声称提供另一个由CrowdStrike制作的更新软件，能解决当机的问题。然而一旦用户运行，电脑文件就会被以0比特的数据覆写，完成后恶意程序再向特定的Telegram频道回报。

而对于攻击者的身分，资安新闻网站Bleeping Computer指出，伊朗黑客组织Handala声称是他们所为，并通过社群网站X透露，攻击目标是以色列的企业组织，他们通过钓鱼邮件来散布数据破坏软件。

中国黑客组织GhostEmperor卷土重来，利用恶意程序Demodex从事攻击行动

资安业者卡巴斯基3年前发现中国黑客组织GhostEmperor的行踪，事隔两年，有研究人员察觉该组织再度犯案的迹象。去年底资安业者Sygnia收到客户的委托，起因是他们察觉黑客破坏企业内部网络，目的是渗透合作伙伴。经过调查，黑客使用名为Demodex的rootkit变种，而这项工具与2021年9月卡巴斯基揭露的GhostEmperor有关。这些黑客运用多阶段恶意软件攻击，从而隐密在受害组织持续运作，同时他们也利用多种手法阻止资安人员分析。

而对于这些黑客的入侵手段，研究人员指出通常是利用Exchange漏洞ProxyLogon来取得初始权限，但也有利用其他漏洞的情况。一旦成功，对方就会运行批量档启动整个恶意软件感染流程。

FBI利用以色列黑客工具成功破解川普刺客的安卓手机，过程仅耗时40分钟

根据彭博社报导，美国联邦调查局（FBI）在以色列业者Cellebrite提供的工具协助下，以「开发中、尚未公布」的产品破解「较新款」的三星手机，从而成功存取攻击美国总统候选人川普的刺客手机，过程仅花费40分钟。

本月13日川普在宾州农场公开造势发表演说时，遭到宾州男子Thomas Matthew Crooks企图行刺。川普仅右耳受伤，而刺客随后遭到狙击手击毙。FBI取得此嫌犯的手机以调查行刺原因及是否有共犯，事件隔日还无法存取手机，但第二天FBI就宣布成功存取其中内容，对于如何破解手机锁定及刺客使用的手机品牌，FBI皆未说明。

这家以色列业者主要的业务，就是提供各国政府及警方破解工具，作为办案使用。2016年FBI为侦办枪击案需解锁已经死亡的嫌犯手机，寻求苹果协助遭拒，最终FBI得到第三方业者协助，外传该业者就是Cellebrite。

移民署内部通信录惊传流入黑客论坛，该单位表示非黑客攻击外流，疑为离职员工所为

近日传出民众在网络上发现，使用SorryBB为ID的人士，在黑客论坛BreachForums兜售移民署内部人员通信录的情况，当中包含署长及多名科员、专员的个资，这份数据不仅包含职称、姓名、性别、任职年月、内网电子邮件信箱、号码、分机、警用电话号码，甚至提及有人照顾家人而留职停薪的情形。

对此，有知情人士透露，这些数据相当老旧，且这批内部数据外界难以利用，价值并不高。尽管如此，卖家还是开出了1,500美元（约新台币4.9万元）的价码，并要求以门罗币或比特币进行交易。

移民署得知此事后着手查证，确认信息系统并未遭到黑客入侵，他们也将存放于内部网络系统的文件移除。究竟这批数据如何流出，他们不排除是离职员工所为。

其他攻击与威胁

◆美国洛杉机高等法院传出遭到勒索软件攻击，被迫关闭网络系统

◆勒索软件Play锁定VMware虚拟化环境而来

◆黑客佯称提供电玩游戏侠盗猎车手VI测试版散布恶意程序

◆研究人员揭露HTTP请求偷渡手法TE.0，恐导致数千个Google Cloud网站曝险

◆恶意应用程序OilAlpha锁定也门人道救援组织而来

【资安产业动态】

Google宣布放弃在Chrome中封锁第三方Cookie的计划

在受到各国监管机关的质疑之后，7月22日Google宣布放弃于Chrome中封锁第三方Cookie的计划，但会继续投资及开发原本要用来取代第三方Cookie的各种隐私沙箱（Privacy Sandbox）API。这项运行4年的计划，最终以失败告终。

Google企图于Chrome浏览器中维持广告主及用户隐私之间的平衡，因而在2019年提出了隐私沙箱的概念，采用更具隐私的方式将用户分门别类，而广告主则可据此向群组发送广告，并准备在2022年以隐私沙箱全面取代第三方Cookie。然而，该计划一开始就惹来英国竞争及市场管理局（CMA）的调查，怀疑隐私沙箱的安全性，以及Google疑似打算利用隐私沙箱来图利自家广告服务，再加上受到各方的质疑，而使得上线日期一延再延。

近期资安日报

【7月22日】资安业者CrowdStrike更新事故冲击规模初步统计出炉，至少影响850万台电脑、67万企业用户

【7月19日】CrowdStrike旗下EDR系统更新出错酿祸，全球出现Windows电脑大量当机，影响机场、医院等设施运作

【7月18日】日本揭露新一波MirrorFace攻击行动，对方锁定防火墙、SSL VPN设备已知漏洞而来，散布后门程序