这些黑客起初锁定曝露于互联网的服务器植入名为StayShante的Web Shell，企图取得受害组织的网络环境初始存取权限，一旦得逞，他们就会部署其他恶意程序，例如：TofuDrv、TofuLoad，来取得进一步的控制权，这些被植入的作案工具比一般的后门程序更为隐密，因为黑客会试图消除恶意程序对C2基础设施的依赖，使防守方难以侦测行踪。

而在UNC1860成功掌握受害组织网络环境的存取管道后，他们便会通过具备图形操作界面的恶意软件控制工具TemplePlay、ViroGreen，为接手从事进一步攻击行动的黑客，提供以远程桌面连接（RDP）存取受害组织网络环境的能力。

全球电子邮件系统安全亮红灯！网擎解析邮件服务器软件资安危机

电子邮件是众多资安厂商公认最主要的网络攻击起点，从2023年下半到现在，就有多起相关的资安事故与漏洞滥用事件跃上媒体版面，知名的邮件服务器与邮件安全闸道陆续传出灾情，像是：Microsoft 365云端服务的Outlook Web Access in Exchange Online（OWA），以及Outlook.com（HPE、欧美政府），开放源码电子邮件系统Zimbra，Barracuda邮件安全闸道设备，以及Cisco邮件安全闸道。

对于专营邮件服务器与邮件安全系统的网擎信息而言，也深刻体认到资安局势日趋严峻，首席执行官廖长健在9月11日举行的Hello World开发者大会首日下午的演讲指出，作为防御方，采取相关措施有三个基本的前提：首先，攻击者已有产品完整实验环境；第二，攻击者可以轻易找到目标服务器；第三，攻击者已有目标环境的用户帐号。

其他攻击与威胁

◆美国堪萨斯州供水设施遭遇网络攻击，被迫切换手动操作

◆安卓木马Octo2锁定欧洲国家，接管受害设备

◆乌克兰军方遭到锁定，黑客借由恶意程序SnipBot发动攻击

◆恶意软件PDiddySploit假借名人丑闻文章散布

◆窃资软件传出已绕过Chrome保护Cookie及机敏数据的机制

【漏洞与修补】

FreeBSD修补Hypervisor组件重大层级漏洞

9月19日FreeBSD开发团队发布资安公告，他们发布14.1-STABLE、14.1-RELEASE-p5、14.0-RELEASE-p11、13.4-STABLE、13.4-RELEASE-p1，以及13.3-RELEASE-p7更新，目的是修补重大层级的漏洞CVE-2024-41721，这项漏洞存在于名为bhyve(8)的Hypervisor组件，属于内存越界读取（OBR）弱点，CVSS风险评为9.8分。

此漏洞发生的原因，在于bhyve通过虚拟USB控制器（XHCI）模拟设备的过程中，缺乏充分的代码验证，可能导致内存越界读取，从而允许任意写入文件或是远程运行代码的情况。

这项漏洞无缓解措施，因此FreeBSD维护团队呼吁尽速更新。但他们也提及，若是未使用XHCI模拟机制的用户，不会受到这项漏洞影响。

Cellopoint修补邮件安全闸道重大漏洞，用户应尽速更新防止管理员权限被夺走

台湾电脑网络危机处理暨协调中心（TWCERT/CC）9月20日针对基点信息（Cellopoint）邮件安全闸道系统Secure Email Gateway（SEG）提出警告，指出该系统4.2.1至4.5.0版存在漏洞CVE-2024-9043，此为重大层级的内存缓冲区溢出漏洞，CVSS风险达到9.8分。对此，该公司已于8月发布资安公告，并指出他们在Build 20240712之后的版本修正相关弱点。

针对这项漏洞发生的原因，基点信息指出，起因是该系统处理稽核请求的身分验证处理进程feedbackd存在弱点，一旦攻击者向前端网页发送特制的稽核请求，网页向feedbackd转送的过程就会触发漏洞，导致该处理进程当机。由于前端网页未能正确处理当机情形，使得前述的稽核请求能够通过身分验证，最终攻击者成功取得系统管理员身分。

近期资安日报

【9月24日】北韩黑客散布恶意PyPI套件，意图发动供应链攻击

【9月23日】中国声称遭我国成立的黑客组织攻击

【9月20日】中国黑客Earth Baxia利用GeoServer已知漏洞，攻击台湾政府机关