资安业者趋势科技揭露专门锁定军事产业的中国黑客组织TIDrone，并指出这些黑客主要目标是台湾军事及卫星工业，尤其是对无人机的制造商感到高度兴趣。

这波攻击行动为何能够现形？主要是趋势科技年初开始不断收到台湾资安事故通报，经过比对及调查，发现黑客锁定军事相关产业链而来，但根据恶意软件分析平台VirusTotal的数据，台湾并非这些黑客唯一的攻击目标，呼吁其他国家也要提高警觉。

值得一提的是，这些受害组织都采用相同的ERP系统，因此他们认为，攻击者很可能透露供应链攻击，来达到散布恶意软件的目的。

北韩黑客想从加密货币业者窃取资产，锁定求职者企图散布两种恶意软件

针对Web3及加密货币环境而来的资安事故频传，最近5年已有数百起大规模挟持加密货币的事故，导致逾120亿美元资产遭窃，例如，发生在2022年的去中心化金融（De-Fi）系统Ronin Network事故引起全球关注，因为攻击者一口气偷走逾6亿美元加密货币而成为当时规模最大的事故，美国直指是北韩黑客Lazarus所为。如今有研究人员提出警告，北韩黑客偏好针对特定类型的求职者下手，目的是为了得到目标组织的初始存取管道，企图从这些组织盗取大笔加密货币。

资安业者Mandiant指出，他们近期看到北韩黑客假借征才的名义，锁定求职的开发人员、财务人员下手，从而部署恶意程序，得逞后就会试图通过电脑的密码管理员窃取帐密数据，并针对代码存储库及特定文件进行侦察，然后在受害电脑植入恶意软件。

GeoServer重大漏洞已被用于攻击行动，黑客散布后门及僵尸网络病毒

今年6月下旬地理位置信息服务器GeoServer发布2.25.2版，当中修补重大层级的漏洞CVE-2024-36401，此漏洞出现在GeoTools组件，一旦攻击者成功触发，就有机会远程运行任意代码，CVSS风险评为9.8分，到了7月中旬，美国网络安全暨基础设施安全局（CISA）提出警告，已出现实际攻击行动，并将其列入已遭利用的漏洞名册（KEV），9月5日通报此事的研究人员公布相关细节。

资安业者Fortinet指出，他们已经看到黑客将其用于散布恶意程序GoReverse、后门程序SideWalk的情况。

值得一提的是，攻击者也企图运用这类服务器进行挖矿，研究人员看到名为JenX的Mirai变种，以及僵尸网络病毒Conti，此外，他们另外发现4起部署挖矿软件的攻击行动。

SonicWall针对防火墙重大漏洞提出警告，已出现疑似遭到利用的迹象

8月下旬SonicWall针对旗下防火墙操作系统SoincOS发布资安公告，指出部分防火墙设备存在重大层级漏洞CVE-2024-40766，攻击者借由发送特制的调用可触发漏洞，而有机会在未经授权的情下存取部分资源，甚至在特定情境下还能导致防火墙当机，CVSS风险评为9.3分，如今这项漏洞传出已有实际攻击行动出现。

上周末该公司再度更新公告内容，指出这项漏洞疑似被用于实际攻击事故的情况，呼吁IT人员要尽速套用修补程序因应。不过，究竟黑客如何利用漏洞，以及受害范围，该公司并未透露其他细节。

GitHub Actions可被用于冒充网域名称攻击，开发人员若未仔细检查，恐散布恶意代码

为了上架NPM、PyPI、RubyGems等各种恶意套件引诱开发人员上当，黑客往往会使用冒充网域名称手法（Typosquatting），使用极为相似的名称假冒知名套件，但如今有研究人员发现，这样的手法也能用于攻击工作流程自动化平台。

资安业者Orca Security发现能在GitHub Actions发动相关攻击的方式，并打造概念性验证环境（PoC），他们创建14个组织，而这些组织或存储库的名称，他们刻意设置与开发者常见的字符串拼写雷同，例如：circelci、actons、docker-action、google-github-actons。

研究人员在设置为actons的组织得到最多结果，有4个公开存储库被开发人员参照，而在2个月内，有12个公开存储库被引用。这样的数字看起来不多，但这并不包含自用存储库引用的情况，因此实际受害范围将会更为广泛。

其他漏洞与修补

◆哥伦比亚保险业者遭到锁定，黑客组织APT-C-36冒充税务机关从事网钓攻击

◆车辆租赁业者Avis遭到入侵，部分客户信息外流

◆经营暗网市集WWH Club的俄罗斯和哈萨克斯坦人遭到起诉

◆【CrowdStrike更新酿灾】0719全球IT大当机回顾

其他资安产业动态

◆FreeBSD得到近70万欧元挹注，将用于强化安全功能、减少技术债

近期资安日报

【9月6日】北韩黑客使用冒牌视频会议软件感染求职者电脑

【9月5日】美国针对俄罗斯干预总统大选采取执法行动

【9月4日】黑客组织Head Mare锁定俄罗斯企业组织发动攻击