回顾9月第二星期的资安新闻，有3起与台湾息息相关的事件需要我们密切关注，包括台湾多达45个单位与企业遭遇DDoS攻击，以及台湾无人机制造商被中国黑客锁定攻击，且疑似是涉及ERP相关的供应链攻击。

（一）中租、兆丰、彰银以及台湾证券交易所接连公告遭DDoS攻击，亲俄黑客NoName057宣称是他们所为，还有多个台湾政府机关也是这波攻击目标。
（二）中国黑客组织TIDrone今年不断攻击台湾卫星及军事工业，资安业者警告这些黑客似乎特别偏好攻击无人机制造商。
（三）台湾无人机制造商遭攻击行动Operation WordDrone锁定被揭露，研究人员指出黑客使用旧版Word主程序，并关注为何是台湾无人机产业遇害。

关于第一则消息，亲俄黑客NoName057近期先针对捷克、法国、乌克兰的政府机关发动DDoS攻击，自9月9日开始再针对我国网站攻击，不仅持续锁定台湾政府机关，后续几波又延伸到财税单位、官股金融机构及部分企业。关于后续消息，数位发展部在周日9月14日召开记者会说明，目前统计45件DDoS攻击，各机关皆可于短时间内恢复，另指出我国遭受攻击目标还包括地方税务机构、区域民航站、主计总处、财金相关机关及部分电信业者等。

这起事件不仅考验国内应对DDoS的防护能力，特别的是，由于该组织宣称攻击原因是，不满我国总统赖清德引用中俄领土争议来反驳中国收复台湾的主张，但该组织的说词反而使国际社会可以体认俄罗斯领地不归中国、台湾也是如此的状况，并吸引到更多关注与讨论。

第二与第三则消息有密切关联，一是趋势科技研究人员揭露，一是Acronis研究人员揭露，其共通点在于均指出台湾无人机制造商遭黑客锁定的状况，并说明攻击手法涉及利用Word与ERP软件，可能涉及供应链攻击情形。特别的是，Acronis还点出受害企业使用的鼎新电脑ERP软件的程序可能遭窜改，鼎新电脑在Acronis揭露3日后做出回应，指出研究人员所提的「Digiwin」文件夹，实为协助企业服务的连接工具－－鼎新云管家「DigiwinSCP」，目前已预防性关闭此连接并改用其他工具服务客户。

还有一起国内公司遭骇事件，发生在专注于复合螺丝及螺栓制造的台湾上柜公司世铠科技，他们发布重讯说明公司部分信息系统遭黑客发动加密攻击。

在漏洞消息方面，这一星期适逢多家IT厂商的每月例行安全更新修补发布，包括微软、SAP、Adobe等，在尽速更新修补之余，有7个漏洞利用情形需要特别重视。
●微软修补4个已被用于攻击行动的零时差漏洞，分别是涉及Windows MOTW的CVE-2024-38217，Windows Installer的CVE-2024-38014，Windows Update的CVE-2024-43491，以及Publisher保护机制的CVE-2024-38226。
●SonicWall在8月下旬修补的SonicOS重大漏洞CVE-2024-40766，9月初有多家资安业者示警指出已发现针对该漏洞的攻击行动。
●有两个早年的漏洞被美国CISA列入已知利用清单（KEV），分别是2017年Linux Kernel PIE的CVE-2017-1000253，以及开源图像处理软件ImageMagick的CVE-2016-3714。

在资安事件与威胁态势方面，国际间有多个重要消息，当中以Fortinet遭骇事故受瞩目，该公司在24小时内发出公告证实此事，承认是存放于第三方云端共享硬盘内的有限文件遭未经授权存取，并表示该公司的产品及服务未受影响，后续Fortinet台湾也说明此次事件对台湾的客户并未造成任何影响。

●有人在Breach Forum论坛发文声称入侵Fortinet的Azure SharePoint帐户并窃取440 GB数据，Fortinet证实第三方云端共享硬盘出现未经授权存取。
●法国IT顾问公司Capgemini疑似发生资安事故，有人在黑客论坛公布20GB的数据，涉及该公司文件、代码与客户数据。
●卡巴斯基提供移除恶意程序rootkit的工具TDSSKiller，竟遭勒索软件RansomHub黑客利用此工具来关闭EDR。
●微软免费开发工具遭中国黑客Stately Taurus滥用，企图渗透东南亚政府机关窃取机密。
●中国政府主导的网络间谍行动Operation Crimson Palace被揭露，有3波锁定东南亚的攻击行动至少4个黑客组织参与，且其入侵手法会利用公开工具隐匿行踪。

在资安防御动向上，以国际支付巨擘在资安领域的投入最受关注。由于早年我们经常看到VISA举办资安高峰会，公布支付安全的进展，揭露针对交易安全的红队攻击演练，以及并购资安业者等，最近Mastercard也展示他们对资安的重视与投资，不仅在上个月举行的Black Hat USA 2024大会参展，如今他们更是宣布以26.5亿美元并购威胁情报供应商Recorded Future。

【9月9日】锁定台湾卫星及军事工业的中国黑客组织TIDrone引起研究人员关注

台海局势日益紧张，中国黑客对台发动攻击也更加频繁，过往这些黑客的目标，往往锁定政府机关、高科技产业、教育机构，但如今出现专门攻击台湾新兴国防科技产业的黑客组织。

上周趋势科技揭露的中国黑客TIDrone，就是典型的例子，黑客不断针对台湾卫星、军事工业下手，特别的是，他们偏好攻击无人机制造商，但为何如此？研究人员并未说明。

【9月10日】勒索软件黑客将SonicWall防火墙重大漏洞用于实际攻击

资安业者SonicWall指出，他们在8月修补的重大漏洞CVE-2024-40766，疑似被用于攻击行动，如今陆续有资安业者公布调查结果，印证真有此事。

其中，最早透露的是资安业者Arctic Wolf，他们指出是使用勒索软件Akira的黑客所为，昨日另一家资安业者Rapid7也公布他们的发现，值得一提的是，这样的情况也得到美国网络安全暨基础设施安全局（CISA）证实，因为他们将这项漏洞加入已遭利用的漏洞名册（KEV）。

【9月11日】微软发布9月例行更新，揭露与修补4个已被用于攻击行动的零时差漏洞

微软近期发布了9月份的例行更新（Patch Tuesday），漏洞数量较上个月明显变少，但IT人员仍然不能掉以轻心，因为本次公布的4个零时差漏洞，皆已遭到黑客利用。

值得留意的是，CVSS风险评分最高的CVE-2024-43491，这项漏洞影响特定版本的Windows 10，会将部分组件还原成尚未修补的旧版，引起研究人员高度关注。

【9月12日】CosmicBeetle黑客针对中小企业发动勒索软件攻击

有些黑客为了增加成功犯案的概率，他们采取与众不同的做法，像是资安业者ESET近期透露对于黑客组织CosmicBeetle活动的观察，就是典型的例子。

这些黑客虽然拥有自行开发的勒索软件，但他们也成为勒索软件黑客RansomHub附属组织而能借助其工具；另一方面，这些黑客也声称是LockBit，向受害组织进行恐吓。

【9月13日】中租、兆丰、彰银接连遭遇DDoS攻击发布重讯，俄罗斯黑客声称是他们所为

最近与台湾最为相关的资安事故，莫过于资安业者趋势科技、Acronis先后揭露锁定无人机制造商的攻击行动，但昨天有3家上市公司发布重大消息，表明他们网站遭到DDoS攻击的情况，尤其是过往鲜少有企业因DDoS攻击发布重讯，这样的资安事故相当值得关注。

值得留意的是，宣称犯案的黑客组织，是最近2年专门针对协助乌克兰的欧美国家下手的俄罗斯黑客NoName057，以近半个月而言，该组织在针对捷克、法国、乌克兰政府机关发动攻击之外，也锁定台湾发动攻击。

本星期漏洞利用状况一览表

零时差漏洞利用：4个

CVE-2024-38217 ／Windows MOTW保护机制失效漏洞
CVE-2024-38014 ／ Windows Installer不当权限管理漏洞
CVE-2024-43491 ／ Windows Update内存空间释放后利用漏洞
CVE-2024-38226 ／ Publisher保护机制失效漏洞

本星期已知漏洞遭利用：3个

CVE-2024-40766／SonicWall SonicOS的漏洞（8月23日公开，9月6日警告已遭利用）
CVE-2017-1000253／Linux Kernel PIE的漏洞（2017年10月公开，2024年9月9日警告已遭利用）
CVE-2016-3714／开源图像处理软件ImageMagick的漏洞（2016年5月公开，2024年9月9日警告已遭利用）

本星期资安事件重大消息一览表

世铠／上柜钢铁工业／9月9日发布／说明本公司发生网络资安事件
中租-KY／上市其他／9月12日发布／本公司公告官网遭受DDOS攻击事件说明
兆丰金／上市金融保险业／9月12日发布／本公司及证券、票券、投信子公司网站遭受DDOS攻击事件说明
彰银／上市金融保险业／9月12日发布／本行官网遭受网络DDoS攻击事件说明