资安业者趋势科技揭露匿称为APT34、Europium、Helix Kitten的伊朗黑客组织OilRig近期的攻击行动，这些黑客主要的攻击目标是能源产业，尤其是与石油及天然气相关的关键基础设施，研究人员发现，最近几个月以来，该组织针对阿拉伯联合酋长国（UAE）及周边海湾地区政府部门的攻击行动，出现显著增加的现象，过程里黑客运用架构复杂的后门程序，企图挖掘受害Exchange服务器的帐密数据，并在作案工具加入CVE-2024-30088，以便于受害环境当中提升权限。

一旦他们成功进入受害组织的网络环境，就会下载远程管理工具ngrok进行横向移动，从而存取网域控制器（DC）。过程中黑客使用公开工具RunPE-In-Memory将二进位程序加载内存内运作，从而触发CVE-2024-30088提升权限。

卡西欧遭勒索软件攻击，攻击者也曾骇入台湾公司

日本电子大厂卡西欧（Casio）证实遭勒索软件攻击，造成公司多个系统无法使用，以及数量尚未确定的员工数据及部分客户个资外泄。附带一提的是，发动攻击的黑客组织曾对台湾厂商下手。

上周卡西欧通过官网公告，10月5日该公司确认遭网络攻击，经过调查显示，未经授权的存取，致使该公司部份服务器故障，造成多个系统无法运作，并导致一些服务断线迄今。10月11日卡西欧公布初步调查结果，该公司及其关联公司部分个资和机密信息已外泄。

而对于攻击者的身分，根据资安新闻网站Bleeping Computer的报导，很有可能是专门使用勒索软件Underground从事攻击行动的俄罗斯黑客组织RomCom（Storm-0978）。根据8月资安业者Fortinet公布调查该组织的结果，指出其中有台湾的工厂于7月18日受害。

9月俄罗斯杀毒软件业者Dr.Web遇网攻，有乌克兰黑客声称是他们所为

9月17日俄罗斯杀毒业者Dr.Web发布公告，指出14日遭遇目标式攻击，黑客企图破坏他们的基础设施，但并未成功。当时该公司将所有的资源切断网络连接，并进行检查，他们一度暂停更新病毒特征码数据库。事隔近1个月，这起事故有了新的发展。

根据资安新闻网站HackRaed的报导，10月8日有人在支持乌克兰的黑客论坛DumpForums宣称，这起事故是他们所为，该组人马已成功入侵该杀毒业者的基础设施，并在短短几天内存取服务器及资源，总共窃得超过10 TB内部数据。

对此Dr.Web在10月9日发布声明，表示他们知悉有人在Telegram频道宣称成功攻击基础设施的情况，并强调这些描述大多都是假的，该公司开发环境及客户数据并未受到这起资安事故影响，他们的软件组件及病毒数据库也不会对用户造成威胁。

OpenAI取缔黑客用AI进行认知作战

OpenAI近日公布非法使用整顿报告，揭露黑客以其AI工具撰写恶意程序及生成内容，散布到X、Meta等社群平台发动认知作战的趋势。

过去3个月OpenAI侦测并阻止5起使用其模型协助欺骗性行动的隐匿式影响力作战，其中2起和俄罗斯有关，中国和伊朗相关活动各1起，以及与以色列商业公司有关的活动。其中俄罗斯利用其模型设计X、Telegram、脸书、9GAG等社群平台的政治宣传消息，或开发贴文及按赞机器人，用于对乌克兰、波罗的海地区用户认知作战。疑似与中国公安部有关的黑客组织Spamouflage，利用Meta散布批评异议人士如蔡霞的内容。

伊朗组织国际虚拟媒体联盟（IUVM）以AI优化网站主题及内容，散布反美、反以色列的内容。以色列则是由民间公司STOIC发动Zero Zeno活动，在社群平台、YouTube释放反哈玛斯、支持占领加萨走廊、反印度执政党BJP消息。

其他攻击与威胁

◆黑客滥用GitHub存储库评论埋藏恶意软件Remcos RAT

◆F5 BIG-IP设备被攻击者用于侦察、映射网络环境的服务器

◆勒索软件Inc卷土重来，黑客打造Lynx从事攻击行动

◆Tor浏览器用户遭到Firefox零时差漏洞锁定

【漏洞与修补】

SAP发布10月例行更新，呼吁用户尽速修补BusinessObjects重大漏洞

SAP发布10月份例行安全更新，总共包含6则新的资安公告，并更新6则已经发布的公告。根据CVSS风险评分的高低，最严重的是在8月已经修补的商业智能平台BusinessObjects漏洞CVE-2024-41730。

这项漏洞发生的原因是缺乏身分验证的检核，导致在激活单一签入（SSO）的企业环境中，攻击者有机会在未经授权的情况下，窃得登录系统的凭证（Token），CVSS风险达到9.8分。资安业者Onapsis指出，该公司本月更新公告内容，主要是为SBOP BI Platform Servers 4.2 SP009提供对应的修补程序。

Apache Avro软件开发套件存在高风险漏洞，攻击者有机会远程于Java应用程序运行任意代码

10月3日Apache基金会发布公告，表明旗下的数据串行化框架Avro存在资安漏洞CVE-2024-47561，该漏洞发生在Java软件开发套件（SDK），CVSS风险评分达到7.3，影响1.11.3之前的版本，该基金会发布1.11.4及1.12.0修补。

开发团队表示，问题出在旧版Avro的Java SDK处理Schema过程中，攻击者有机会触发漏洞并运行任意代码，呼吁用户尽速套用新版程序，后续他们回答提问时提到：假如用户能够提供自己的Schema，任何应用程序都有可能受到影响。

其他漏洞与修补

◆工控制造消息规范MMS通信协定存在重大漏洞

【资安产业动态】

导入零信任架构的五步骤：从内向外的安全策略

零信任架构的提出者、也是现任Illumio传道士John Kindervag表示，零信任的实施可以分成五个步骤，这些步骤目的在于在简化安全流程，确保系统的每个保护面得到充分保护。

导入零信任的第一步是：明确定义需要保护的核心资产、最具有价值的保护标的为何，就是「保护面」（Protect Surface）。第二步，企业组织必须全面了解系统的交易流，因为只有在理解这些流动的基础上，才能准确地设计出合适的安全策略，以保护每个保护面。

近期资安日报

【10月11日】Mozilla修补遭到利用的Firefox零时差漏洞

【10月9日】零信任之父第一手导读零信任架构

【10月8日】美国水力关键基础设施再传遭遇网络攻击