为了回避端点电脑的杀毒软件及EDR系统侦测，攻击者打造能绕过这些端点防护系统的工具可说是越来越常见，而在最近一起攻击行动里，黑客测试新型态的端点防护绕过工具引起研究人员注意。

资安业者Palo Alto Networks揭露发生在客户的资安事故，攻击者向初始入侵掮客（IAB）购买能通过远程管理软件Atera存取的管道，而能成功进行目标企业的网络环境，在攻击行动里，对方试图运用恶意系统，将该厂牌的Cortex XDR代理程序部署到虚拟环境。研究人员认为，黑客此举是借由自带驱动程序（BYOVD）手法，测试新的端点防护绕过工具。

这起攻击行动的发现，在于该公司旗下的威胁情报团队Unit 42接获客户遭到勒索通报，结果发现，其中2个环境型态不明的用户端环境受到相关攻击。攻击者在这些端点电脑安装了旧版的Cortex XDR代理程序，研究人员在对方不知情的状态下成功存取这些端点，并找到一系列的作案工具，循线于黑客论坛找到专门兜售相关工具的消息。

恶意软件Pygmy Goat锁定Sophos防火墙而来，意图入侵政府机关网络环境

黑客开发Linux恶意程序的情况，最近两年越来越频繁，其中又以针对VMware虚拟化平台而来的勒索软件较为常见，但如今，有人运用这方面的技术、锁定特定厂牌的防火墙系统打造恶意软件。

英国国家网络安全中心（NCSC）近日揭露名为Pygmy Goat的后门程序，他们在Sophos XG防火墙设备找到这支恶意软件，此为32比特x86的ELF共用对象文件，攻击者设置LD_PRELOAD环境变量，从而通过SSH daemon（sshd）二进位文件加载。

虽然NCSC并未透露使用Pygmy Goat从事攻击行动的人士身分，但提及该恶意程序与另一支名为Castletap具备类似的战术、手段、流程（TTP），经过资安业者Mandiant分析，使用Castletap的攻击者身分很有可能就是中国黑客，这样的情况，很难不让人联想Pygmy Goat也与中国黑客有关。

新加坡电信疑似遭到中国黑客Volt Typhoon入侵

今年8月美国电信业者Lumen指出，中国黑客组织Volt Typhoon利用Versa Director零时差漏洞CVE-2024-39717，入侵网络服务供应商（ISP）、托管服务供应商（MSP），如今传出电信业者遭到此黑客组织攻击的消息。

根据彭博社、路透社的报导，2名知情人士声称新加坡电信（SingTel）遭到入侵，调查人员认为，攻击者的身分就是Volt Typhoon。

对此，新加坡电信的发言人向这两家新闻网站说明，他们在6月侦测到恶意软件，随后便进行相关处理，尚未出现数据外泄的情况，服务也并未受到影响，该公司已向相关单位通报此事。

其他攻击与威胁

◆安卓金融木马ToxicPanda攻击欧洲、香港、秘鲁，感染逾1,500台设备

◆巴基斯坦黑客组织Transparent Tribe散布木马程序ElizaRAT

◆密码管理解决方案业者LastPass提出警告，有冒牌客服企图窃取用户数据

【漏洞与修补】

Google修补安卓两个零时差漏洞

11月4日Google发布本月份安卓操作系统的例行更新，当中总共修补51个漏洞，值得留意的是，其中有2个漏洞CVE-2024-43047、CVE-2024-43093，疑似已出现有限的、目标式的漏洞利用情形。

其中，CVE-2024-43047最早是高通在10月公布，影响数位信号处理器（Digital Signal Processor，DSP）服务，为内存释放后再进行滥用（Use After Free，UAF）的弱点，CVSS风险评为7.8。

另一个漏洞CVE-2024-43093涉及权限提升，影响12至15版安卓操作系统，但特别的是，该漏洞不仅出在操作系统框架，也存在于Google Play系统更新模块当中的Documents UI组件。

其他漏洞与修补

◆Okta修补身分验证漏洞，用户名超过52个字符就有可能触发

【资安防御措施】

国际警方破获逾2.2万个用于网络犯罪的恶意IP位址，逮捕41名嫌犯

国际刑警组织（Interpol）周二（11月5日）公布Synergia II执法行动（Operation Synergia II）的成果，指出已查获了超过2.2万个与网络威胁相关的恶意IP位址，并逮捕41名嫌犯。

Synergia II主要锁定网络钓鱼、信息窃取及勒索软件等恶意活动，结合了全球95个国家的执法机构，并与Group-IB、趋势科技、卡巴斯基与Team Cymru等资安业者合作，借由资安业者在追踪非法网络活动上的专业，来识别全球的恶意服务器。

该行动的期间为今年4月1日至8月31日，Interpol与资安研究人员在这期间，总计发现了3万个可疑的IP位址，关闭了其中的2.2万个设备，确认了逾100名嫌犯的身分，逮捕了当中的41名。其中，香港有1,037个服务器被关闭，蒙古有一台服务器被查扣，澳门也有291台服务器被关闭，也涉及马达加斯加及爱沙尼亚。

2024金融科技防诈新态势，联合学习机制成最新亮点

鉴于台湾的诈骗乱象频传，在因应网络犯罪的科技防诈上，不只是政府机关、网络服务业、电信业要采取行动，金融业的防范措施也至关重要。近年来，金融业正聚焦AI技术的深化运用，做到更有效的侦测及预防诈骗与洗钱，特别的是，今年科技防诈发展的重要焦点，就是金融监督管理委员会（金管会）为了促进多家金融业运用联合学习及数据隐私强化技术，推动这方面的联合自主实证，以发展防范诈骗及金融犯罪的模型，并期许日后能够真正落地推广。在11月初举行的台北金融科技展上，金管会举办了科技防诈主题式的推广活动成果发表会，当中也就呼应了运用联合学习来提升防诈能力的应用态势。

这是因为，现场展示3项实证新技术阻诈的最新进展，都与联合学习（或称联邦学习，Federated Learning）有关，俨然成为提升防诈能力的新关键，让各家金融机构在不共享原始数据的情况下，可以共同训练模型，确保数据安全，并提升及早侦测异常状况的能力。

其他资安防御措施

◆Snowflake资安事故嫌犯传出在加拿大遭到逮捕

近期资安日报

【11月5日】脸书粉专管理员、广告管理员请提高警觉！窃资软件锁定台湾用户攻击

【11月4日】安卓语音网钓恶意软件FakeCall出现新手法

【11月1日】中国黑客锁定各家厂牌的网络设备下手，挖掘零时差漏洞并用于攻击行动