10月9日互联网文件馆（Internet Archive）传出遭到黑客入侵，该网站首页遭到窜改，黑客取笑其安全性弱不禁风，并向密码外泄数据库Have I Been Pwned（HIBP）提供窃得的逾3千万笔帐号数据，事隔2周，该网站传出再度遭到攻击的情况。

根据资安新闻网站Bleeping Computer报导，他们得知有些用户收到「来自互联网文件馆团队」的电子邮件，内容提及在上一起资安事故2周后，互联网文件馆对于所有被曝露在GitLab的API密钥，并未进行彻底轮替而持续曝险。

寄信人声称，根据他们发送的这封范例信，包含了IT服务台Zendesk的Token，他们能够借此存取自2018年寄出的逾80万笔工单数据。这样的消息，显示寄信者实际上并非互联网文件馆团队成员，这名寄信人强调，收信人的数据目前流落到某个不知名的人士手上，意思应该是提醒当事人数据外泄。

社交工程攻击ClickFix正在蔓延，黑客通过冒牌Google Meet网页散布窃资软件

今年5月、6月资安业者Sekoia、Proofpoint针对社交工程攻击行动ClickFix提出警告，指出相关攻击最早在3月就出现，黑客组织TA571借由伪造错误消息窗口，引诱用户上当，运行PowerShell脚本，并在电脑植入Matanbuchus、DarkGate、NetSupport RAT等恶意软件，如今Sekoia再度提出警告，又有黑客加入ClickFix攻击的行列，他们利用冒牌Google Meet视频会议网站，对于Windows和macOS用户散布窃资软件。

黑客在这些视频会议网页上，佯称麦克风或是耳机出现异常，引诱用户按下Fix it或Try Fix，然而用户若是依照指示操作，对方就会在Windows电脑植入窃资软件StealC、Rhadamanthys，macOS用户也无法幸免，因为黑客会趁机散布另一款窃资软件AMOS Stealer。

北韩黑客ScarCruft利用IE零时差漏洞散布恶意程序

资安业者AhnLab指出，他们与韩国国家网络安全中心（NCSC）联手，揭露利用零时差漏洞CVE-2024-38178的攻击行动Operation Code on Toast，这项漏洞存在于IE浏览器，CVSS风险为7.5分，微软获报后在今年8月修补。

研究人员指出，这起攻击行动背后的主谋，是匿称为TA-RedAnt、RedEyes、APT37的北韩黑客ScarCruft，这些黑客的主要目标包含脱北者，以及参与北韩事务的人士。而在这次攻击行动里，他们针对IE的JavaScript引擎组件jscript9.dll下手，危害名为Toast的广告程序系统。

一旦黑客得逞，就会将漏洞利用代码注入服务器的广告脚本，当程序下载并呈现广告内容，就会触发这项漏洞，而且，过程中无须用户进行交互。

其他攻击与威胁

◆俄罗斯黑客传出对日本DDoS攻击，起因是美国与日本将进行军事演习

◆俄罗斯遭黑客Crypt Ghouls锁定，散布勒索软件LockBit 3.0、Babuk

◆6月公布的Roundcube网页邮件服务器XSS漏洞，传出黑客已用来窃取帐密数据

【攻击与威胁】

图像化数据分析系统Grafana修补重大漏洞，严重程度直逼满分

10月17日图像化数据分析系统Grafana发布资安公告，指出旗下11.0.x、11.1.x、11.2.x存在重大层级的漏洞CVE-2024-9264，此为SQL表达式（SQL Expressions）造成的命令注入及本机文件包含（Local File Inclusion，LFI）弱点，CVSS风险评分达到9.9（满分10分），开发团队发布相关修补程序，并呼吁用户尽速套用。

针对弱点带来的影响，Grafana指出，攻击者有机会存取服务器存放的任何文件，甚至包括文件里尚未经加密处理的密码，而且，只要拿下具有视图权限的用户帐号，攻击者就可以利用这项漏洞。

这项漏洞是Grafana工程师发现，坐落在名为SQL Expressions的实验性功能，而该功能允许借由多项SQL查找，并将结果输出，交由DuckDB命令行（CLI）进行后续处理。然而这些SQL查找并未完全清理，从而导致可被用于命令注入及本机文件包含弱点。

其他漏洞与修补

◆群晖视讯摄影机存在重大漏洞，恐被用于DoS攻击

◆Bitdefender杀毒软件存在重大漏洞，用户恐曝露中间人攻击

近期资安日报

【10月18日】红队演练工具EDRSilence遭滥用，16种EDR系统可能因此被「噤声」

【10月17日】Kubernetes映像档制作工具存在重大漏洞

【10月16日】台湾区块链旅宿平台业者云存储库疑似因配置不当，而可能曝露旅客数据