9月国内最盛大的活动是国际半导体展，当中的半导体资安最新概况，成为本月主要资安焦点之一，其他重要资安消息中，台湾政府机关及企业本月遭遇多起网络攻击，有的是企业组织自己宣布，有的是资安业者公布黑客攻击手法提到台湾有企业遭锁定，我们整理7大焦点，帮助大家快速回顾本月重要新闻。

展示PQC芯片与应用的公版平台

资安已成2024国际半导体展重要一环，不论半导体设备合规、工控资安防护，已是这几年常见的展出重点，特别的是，今年还有后量子资安产业联盟的最新概况的揭露，例如，工研院秀出可供产业界开发PQC芯片与应用的公版平台，以及多家业者投入PQC应用发展，由于从芯片设计到硬件设备、固件、网络通信等都需要PQC密码标准的导入，因此协助产业串接验证数位逻辑设计的发展亦受关注。

大规模DDoS攻击再现

台湾至少45个单位与企业遭受DDoS攻击。过去台湾遭受大规DDoS攻击，大家可能都会联想到是中国黑客组织虽为，像是两年前美国众议院议长裴洛西访台前后的攻击事件，这次情况颇令人讶异，因为这次攻击是亲俄黑客NoName057发动，他们宣称是不满我国总统赖清德引用中俄领土争议来反驳中国收复台湾的主张。但该组织对于中俄领土的说词，其实反而吸引更多国际关注，并意识到俄罗斯领地不归中国、台湾也是如此的状况，而其攻击行动也呈现亲俄分子跟随中国对台湾政府发动攻击。

另外值得留意的是，该组织相当猖狂，其实不只对台湾多个政府和企业网站进行DDoS攻击，在前半个月也以不同借口持续对多国发动攻击，包括乌克兰、捷克、法国等地的政府机关网站。

台湾重大资安事件

资安业者揭露多起黑客攻击，其中几起事件显示台湾政府与企业被锁定，因此引发关注，另有4家上柜公司揭露遭遇资安事故，涵盖钢铁、半导体、环保与电子零组件业。
●台湾无人机制造商遭黑客锁定。关于本土军工产业遭锁定的消息，近来持续受到关注，特别的是本月又有两家资安业者揭露台湾无人机制造商遭锁定的状况，一是趋势科技揭露台湾卫星及军事工业今年持续遭锁定，并指出攻击者是中国黑客组织TIDrone，另一是Acronis研究人员揭露台湾无人机业者遭锁定，并指出攻击手法包括滥用台湾企业数位凭证，且可能涉及供应链攻击。
●台湾政府机关在7月遭中国黑客Earth Baxia攻击。趋势科技指出其手法是借由6月下旬GeoServer修补的漏洞取得初始入侵管道，并使用后门程序EagleDoor。
●多家上柜公司遭遇网络资安事件。有公司说明部份服务器遭受黑客攻击，例如，知名IC设计业者「创惟科技」，还有3家公司说明部分信息系统遭受黑客网络攻击，包括专注于复合螺丝及螺栓制造的「世铠精密」、专注磁性组件与印刷电路板业务的「松上电子」，以及「昆鼎绿能环保」。

僵尸网络威胁生生不息

僵尸网络的威胁态势不可轻忽，这个月不只是有僵尸网络Quad7最新一波攻击行动的揭露，还有黑客组织入侵家用路由器来创建自身的物联网僵尸网络的威胁态势，要特别注意。继去年打击中国黑客Volt Typhoon使用的KV-botnet僵尸网络后，美国司法部今年9月宣布破获由20万网络设备组成的僵尸网络Raptor Train，并指出这是由中国黑客组织Flax Typhoon创建，目的是针对台湾及美国的军事、政府、高等教育、电信及国防工业等领域展开攻击。

当心勒索软件RansomHub

在勒索软件威胁方面，有一项消息值得关切，今年上半才现身的RansomHub勒索软件，美国多个安全机构发布在8月底发布联合公告，指出全球至少210个企业组织受害，因此提供该组织的入侵手法（TTP）与入侵指针（IOC），呼吁外界对于该组织所带来的危害更要有所警觉。还可以留意的是，趋势科技9月底揭露最新研究报告，指出该组织还会利用存在弱点的驱动程序来发动攻击，并运用名为EDRKillShifter的工具，将杀毒软件或端点防护工具EDR停用。

国家级黑客锁定东南亚各国

多年来中国黑客组织在网络上频频发动攻击，持续引发资安界的重视，这个月又有许多攻击行动被揭露，其中突显亚洲、东南亚政府遭锁定的情形。例如：
●思科威胁情报团队Talos揭露中国黑客DragonRank的最新攻击行动，主要针对亚洲、欧洲国家而来，并锁定代管企业网站的IIS服务器。
●资安业者Palo Alto Networks揭露中国黑客组织Stately Taurus的最新行动，是锁定东南亚政府机关从事网络间谍活动。
●资安业者Sophos揭露中国政府主导的大规模网络间谍攻击行动Operation Crimson Palace，东南亚政府持续遭锁定。

资安业者更新竟酿灾

关于7月19日CrowdStrike更新引发的全球IT大当机事件，由于后续消息的不断揭露，我们在9月初的封面故事进行完整回顾，帮助大家了解事件在台湾与全球的影响，同时也统整出5大层面议题，包括：资安业者部署验证测试发生的问题，微软为何开放操作系统内核模式驱动程序使用，IT系统风险过于集中，企业应变能力的状况，还有开发者写出越界内存读取的情形，也成为本次事件衍生议题。

【资安周报】2024年9月2日到9月6日

在9月第一星期的资安新闻，防护态势上有两个重点消息，第一个新闻突显互联网BGP路由安全的重要性，先前已有一些国家推动这项议题，像是去年荷兰政府宣布全面导入RPKI标准，现在美国拿出具体规画要求联邦政府实施。至于台湾，过去几年TWNIC曾推动RPKI、路由来源验证等，但后续发展状况还需要大家关注。

第二个新闻是呈现后量子密码学（PQC）在产业的最新发展态势，工研院在2024国际半导体展秀出后量子安全芯片公版的设计，而且有多家业者投入PQC应用发展，包括全濠、宇鼎、威宏、智能资安、竣盟科技、池安量子资安等。

●美国白宫针对边界闸道协定（BGP）安全问题，发布强化网络路由安全的蓝图，强调联邦政府须以身作则，加速对BGP安全措施的采用。
●2024国际半导体展登场，数发部数产署与台湾资安业者在「SECPAAS资安馆」呈现半导体产业资安最新方案，其中又以PQC公版应用案例的发展最吸睛。

关于威胁态势方面，我们列出下列4大消息，其中法国资安业者开发的红队演练工具MacroPack遭滥用值得关注，因为其中有一起攻击行动范围涵盖台湾，另有两个新闻与滥用合法云端服务有关。

●红队演练工具MacroPack遭多组攻击者滥用，已发现4起攻击行动。
●后门程序Voldemort的攻击行动被揭露，滥用Google Sheets并假冒美、欧、亚洲税务机关名义以窃取企业税务数据。
●有锁定M365用户的攻击活动在7月暴增，当中滥用微软云端演示文稿服务Sway来引诱受害者上当，并结合QR Code网钓手法。
●美国司法部宣布扣押俄罗斯用来散布不实言论的网域，以打击俄罗斯持续操弄美国总统大选的行径。

在资安警讯与事件方面，有4则重要新闻，当中以RansomHub勒索软件的相关消息最要重视，不仅多个美国政府机关发布联合公告，揭露其手法与入侵指针，同时传出美国石油公司Halliburton向美国SEC通报的网络安全事件，也是遭其所骇。

●美政府警告半年前现身的RansomHub勒索软件，受害者已超过210家。
●美国石油及天然气业者Halliburton证实内部数据遭到外流
●英国伦敦交通局证实遭遇网络攻击，传出问题出在外部供应商系统。
●提供思科品牌服装与配件的思科网络商店遭植入恶意JavaScript，信用卡数据、帐密恐外流。

至于漏洞利用消息方面，居易的VigorConnect有两个2021年修补的已知漏洞：CVE-2021-20123和CVE-2021-20124，用户要注意是否已进行缓解或更新修补，因为它们近期被美国CISA列入已知漏洞利用清单，此外，上周Chrome零时差漏洞修补有后续消息揭露，指出北韩黑客Citrine Sleet是幕后挖掘漏洞并利用的组织，攻击行动还利用了另一微软零时差漏洞，而能在受害电脑操作系统内核植入rootkit程序FudModule。

还有一个漏洞修补情形引起硬件安全界的重视，因为Yubico旗下FIDO设备存在Eucleak弱点，Yubico指出这是英飞凌加密库中关于ECDSA实作的旁路攻击漏洞，将导致攻击者有机会取得ECDSA密钥。

【资安周报】2024年9月9日到9月13日

回顾9月第二星期的资安新闻，有3起与台湾息息相关的事件需要我们密切关注，包括台湾多达45个单位与企业遭遇DDoS攻击，以及台湾无人机制造商被中国黑客锁定攻击，且疑似是涉及ERP相关的供应链攻击。

（一）中租、兆丰、彰银以及台湾证券交易所接连公告遭DDoS攻击，亲俄黑客NoName057宣称是他们所为，还有多个台湾政府机关也是这波攻击目标。
（二）中国黑客组织TIDrone今年不断攻击台湾卫星及军事工业，资安业者警告这些黑客似乎特别偏好攻击无人机制造商。
（三）台湾无人机制造商遭攻击行动Operation WordDrone锁定被揭露，研究人员指出黑客使用旧版Word主程序，并关注为何是台湾无人机产业遇害。

关于第一则消息，亲俄黑客NoName057近期先针对捷克、法国、乌克兰的政府机关发动DDoS攻击，自9月9日开始再针对我国网站攻击，不仅持续锁定台湾政府机关，后续几波又延伸到财税单位、官股金融机构及部分企业。关于后续消息，数位发展部在周日9月14日召开记者会说明，目前统计45件DDoS攻击，各机关皆可于短时间内恢复，另指出我国遭受攻击目标还包括地方税务机构、区域民航站、主计总处、财金相关机关及部分电信业者等。

这起事件不仅考验国内应对DDoS的防护能力，特别的是，由于该组织宣称攻击原因是，不满我国总统赖清德引用中俄领土争议来反驳中国收复台湾的主张，但该组织的说词反而促使国际社会可以讨论俄罗斯领地不归中国、台湾也是如此的状况，并吸引到更多关注。

第二与第三则消息有密切关联，一是趋势科技研究人员揭露，一是Acronis研究人员揭露，其共通点在于均指出台湾无人机制造商遭黑客锁定的状况，并说明攻击手法涉及利用Word与ERP软件，可能涉及供应链攻击情形。特别的是，Acronis还点出受害企业使用的鼎新电脑ERP软件的程序可能遭窜改，鼎新电脑在Acronis揭露3日后做出回应，指出研究人员所提的「Digiwin」文件夹，实为协助企业服务的连接工具－－鼎新云管家「DigiwinSCP」，目前已预防性关闭此连接并改用其他工具服务客户。

还有一起国内公司遭骇事件，发生在专注于复合螺丝及螺栓制造的台湾上柜公司世铠精密，他们发布重讯说明公司部分信息系统遭黑客发动加密攻击。

在漏洞消息方面，这一星期适逢多家IT厂商的每月例行安全更新修补发布，包括微软、SAP、Adobe等，在尽速更新修补之余，有7个漏洞利用情形需要特别重视。
●微软修补4个已被用于攻击行动的零时差漏洞，分别是涉及Windows MOTW的CVE-2024-38217，Windows Installer的CVE-2024-38014，Windows Update的CVE-2024-43491，以及Publisher保护机制的CVE-2024-38226。
●SonicWall在8月下旬修补的SonicOS重大漏洞CVE-2024-40766，9月初有多家资安业者示警指出已发现针对该漏洞的攻击行动。
●有两个早年的漏洞被美国CISA列入已知利用清单（KEV），分别是2017年Linux Kernel PIE的CVE-2017-1000253，以及开源图像处理软件ImageMagick的CVE-2016-3714。

在资安事件与威胁态势方面，国际间有多个重要消息，当中以Fortinet遭骇事故受瞩目，该公司在24小时内发出公告证实此事，承认是存放于第三方云端共享硬盘内的有限文件遭未经授权存取，并表示该公司的产品及服务未受影响，后续Fortinet台湾也说明此次事件对台湾的客户并未造成任何影响。

●有人在Breach Forum论坛发文声称入侵Fortinet的Azure SharePoint帐户并窃取440 GB数据，Fortinet证实第三方云端共享硬盘出现未经授权存取。
●法国IT顾问公司Capgemini疑似发生资安事故，有人在黑客论坛公布20GB的数据，涉及该公司文件、代码与客户数据。
●卡巴斯基提供移除恶意程序rootkit的工具TDSSKiller，竟遭勒索软件RansomHub黑客利用此工具来关闭EDR。
●微软免费开发工具遭中国黑客Stately Taurus滥用，企图渗透东南亚政府机关窃取机密。
●中国政府主导的网络间谍行动Operation Crimson Palace被揭露，有3波锁定东南亚的攻击行动至少4个黑客组织参与，且其入侵手法会利用公开工具隐匿行踪。

在资安防御动向上，以国际支付巨擘在资安领域的投入最受关注。由于早年我们经常看到VISA举办资安高峰会，公布支付安全的进展，揭露针对交易安全的红队攻击演练，以及并购资安业者等，最近Mastercard也展示他们对资安的重视与投资，不仅在上个月举行的Black Hat USA 2024大会参展，如今他们更是宣布以26.5亿美元并购威胁情报供应商Recorded Future。

【资安周报】2024年9月16日到9月20日

中秋假期间的资安威胁不容小觑，近期有多个攻击行动被揭露，其中两起消息值得留意，一是资安业者揭露中国黑客Earth Baxia今年7月曾针对台湾某个政府机关发动攻击，值得注意的是，该攻击利用GeoServer已知漏洞发动攻击，并植入后门程序EagleDoor；一是发现中国黑客锁定代管企业网站的IIS服务器入侵的情形，主要利用特定的网页应用程序服务来部署Web Shell，而其针对的目标是欧亚地区的企业网站。

●台湾政府机关遭中国黑客Earth Baxia攻击，资安业者指出是其手法是借由GeoServer已知漏洞发动攻击。
●中国黑客DragonRank攻击亚洲、欧洲IIS服务器，还会利用恶意程序PlugX、BadIIS来操纵搜索引擎的排名。
●恶意程序Amadey窃取帐密数据有新招，利用浏览器的Kiosk模式来提升凭证窃取的攻击成功率。
●杀毒业者Dr.Web惊传遭入侵，暂时切断所有服务器的连接。
●台美国防工业会议相关人士遭到锁定，资安业者Cyble揭露发现相关诱饵文件，是伪装PDF文件的Windows捷径档。

在漏洞消息方面，本周有多个漏洞利用状况，我们注意到前不久修补的IE漏洞CVE-2024-43461，出现新的变化——当时微软指出该漏洞并未被大规模利用，一星期后确认该漏洞在修补之前就被利用。
●微软本月修补的Windows MSHTML平台漏洞CVE-2024-43461，后续发现在修补前已遭Void Banshee黑客组织利用。
●Progress在8月底修补WhatsUp Gold的漏洞CVE-2024-6670，资安业者警告已出现实际攻击行动。
●Ivanti修补Cloud Services Appliance已遭利用的2个零时差漏洞：CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修补的漏洞CVE-2024-27348，最近发现遭积极利用。
●多个旧漏洞被美CISA列入已知漏洞利用清单，包括微软的漏洞（CVE-2020-0618）、Oracle的漏洞（CVE-2022-21445、CVE-2020-14644），以及Adobe的漏洞（CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502）。

还有多个漏洞修补消息需尽速因应，包括：GitLab修补CVSS满分漏洞，以及OpenShift、VMware vCenter服务器、新兴AI系统AutoGPT、Docker、D-Link Wi-Fi路由器等的漏洞修补。

特别的是，本星期还有一类型资安新闻也成重要焦点，因为黑客攻击家用连网设备的消息不断，涵盖家用路由器与Android电视机上盒。

例如，僵尸网络Quad7最新一波攻击行动的揭露，继先前TP-Link路由器发现被锁定，如今攻击范围扩大，兆勤（Zyxel）、华硕、Ruckus等厂牌的路由器产品都成锁定目标；还有美司法部宣布破获中国黑客组织Flax Typhoon委由中国业者Integrity Technology Group创建的Raptor Train僵尸网络。

上百万Android电视机上盒的固件遭植入后门程序的状况，亦受不少人关注，是本周资安新闻排行的焦点。研究人员指出这是在今年8月发现，受害设备多为知名度较低的品牌，但尚不清楚感染途径。

由于近年来黑客组织入侵家用路由器来创建自身的物联网僵尸网络，其态势是日益严峻，像是去年美国即拿下中国黑客Volt Typhoon使用的KV-botnet僵尸网络，因此如何持续缓解这方面的威胁，相当关键。

【资安周报】0923~0927，有黑客假冒GitHub站方并以漏洞处理名义发送社交工程诈骗信

在9月最后一星期的资安新闻中，在威胁态势上，有两则锁定开发人员的网络威胁消息值得关切。

一是近期许多GitHub用户反映收到电子邮件通知，声称用户参与的项目有处理存储库的资安漏洞要处理，但该邮件内的链接是指向github-scanner[.]com，这根本不是GitHub的网域，目的就是欺骗不谨慎检查网域的用户，另一起是北韩黑客Citrine Sleet于PyPI上传恶意Python套件，吸引开发人员上当的攻击活动，研究人员指出很可能是为了发动供应链攻击；还有锁定云端挖矿的威胁值得持续留意，有两起锁定不同系统的揭露。

●黑客网钓佯称GitHub用户自己的存储库有资安漏洞需要处理，目的是散布窃资软件Lumma Stealer。
●北韩黑客Citrine Sleet上传恶意Python套件，意图散布RAT木马PondRAT。
●Docker引擎API遭锁定，有黑客发动大规模挖矿攻击行动。
●资安业者针对黑客组织TeamTNT疑似重出江湖提出警告，并揭露近期锁定CentOS的虚拟专属服务器。
●揭露新的安卓金融木马Octo2，已发现欧洲国家出现受害设备

在资安事件方面，在国内有3起新闻，都是上柜公司发布资安事件重大消息，包含知名IC设计的创惟，以及专注磁性组件与印刷电路板业务的松上，特别的是，松上在信息揭露上相当主动，于官方网站也有同步发布消息；在国际间则有一起关于水利关键基础遭遇网络攻击的消息，所幸不影响其服务与用水。

●上柜绿能环保「昆鼎」揭露部分信息系统遭受黑客攻击
●上柜半导体业「创惟」说明部份服务器遭受黑客攻击
●上柜电子零组件业「松上」揭露部分信息系统遭受黑客攻击
●美国堪萨斯州供水设施宣布遭遇网络安全事件，被迫切换手动操作因应。

在漏洞消息方面，本星期有一个漏洞利用需要优先注意，那就是8月初修补Ivanti的Virtual Traffic Manager漏洞CVE-2024-7593，如今发现已有攻击者锁定该漏洞利用。

特别的是，本周的重大漏洞修补新闻相当多，有3项涉及开源需尽速检查因应，包括：图像化数据分析系统Grafana开发团队修补软件开发套件，FreeBSD开发团队针对Hypervisor组件的修补，数据库管理工具pgAdmin开发团队的修补；在产品面也有多个重大漏洞修补发布，需要用户尽速处理，包括：台厂Cellopoint针对邮件安全闸道的修补，Pure Storage针对旗下存储系统FlashArray和FlashBlade的修补，Acronis备份软件Plug-in程序的修补，以及芯片制造厂商Microchip针对ASF进阶软件框架的修补。

另外值得一提，8月初美国CISA警告台厂升泰科技（Avtech）旗下视讯监控摄影机AVM1203的重大漏洞被攻击者散布Mirai变种，时隔近一个月升泰科技终于回应，指出该产品停产近7年，但他们决定破例提供新版固件予以修补。

在网络威胁防御的面向，这一星期有两大焦点，首先，是台厂网擎信息在Hello World Dev Conference的一场演说上，解析本土电子邮件系统防御的演进与挑战，当中并呼吁国内IT主管需改变思维：「千万不要觉得一家公司的CVE（通用漏洞揭露）很多，就认为他们不安全」，这是厂商负责任的态度，勇于及时公布，并且分享情资让大家赶快更新。

另一是Gogolook呼吁企业需负起责任应对网络诈骗，目前全球已有主要国家率先立法因应，包括台湾、英国、欧盟、美国、新加坡等，也有少数企业已经强烈意识到企业要更主动保护消费者，不仅推动诈骗侦测阻挡及识诈教育，同时将「防诈政策与作为」纳入永续报告书。

2024年8月资安月报

2024年7月资安月报

2024年6月资安月报

2023年5月资安月报

2024年4月资安月报

2024年3月资安月报