华尔街日报自9月底开始，多次针对中国黑客组织Salt Typhoon（也被称为Earth Estries、GhostEmperor、FamousSparrow）攻击美国电信业者的情况进行报导，受害业者包含AT&T、Lumen、T-Mobile、Verizon，传出美国政府已着手调查此事，而且，这些黑客的目标还包含其他国家的电信业者。但究竟这些黑客如何发动攻击？最近有研究人员公布调查结果。

资安业者趋势科技指出，根据他们自2020年开始的追踪，这些黑客持续针对政府机关及互联网服务供应商（ISP）进行长期攻击，并指出2022年也开始针对电信公司。研究人员认为，黑客从事攻击行动的目的，是为了更有效收集相关情报。

他们发现对方主要锁定的标的，包含电信公司使用的数据库、云端服务器等重要服务，以及服务供应商的网络环境，黑客会试图植入名为Demodex的rootkit程序，目的是希望借此增加存取受害电信业者的管道。在近期攻击东南亚电信业者的事故里，这些黑客使用多款后门程序，其中包含未被揭露的GhostSpider。

图博新闻媒体、大学网站遭中国黑客TAG-112攻击，用网站漏洞与红队测试工具进行渗透

资安业者Recorded Future揭露中国黑客组织TAG-112的攻击行动，黑客先是入侵国际西藏邮报（Tibet Post）及Gyudmed Tantric University的网站，目的是在浏览网站的用户电脑植入Cobalt Strike，从而进行情报收集，或是运用受害电脑进行其他间谍活动。

黑客于网站上嵌入恶意JavaScript脚本，借此欺骗用户TLS凭证错误，以要求下载新的凭证为由，引诱用户上当。

这起事故发生在今年5月下旬，攻击者利用内容管理系统Joolma的漏洞，在上述2个网站植入恶意JavaScript脚本。究竟黑客使用那些漏洞，研究人员没有说明。值得留意的是，这起攻击行动直到10月上旬，仍处于活动的状态。

杀毒软件Avast的驱动程序组件遭到滥用，黑客企图停用受害电脑防护机制

为了回避端点防护的侦测，黑客滥用杀毒软件组件从事自带驱动程序（BYOVD）攻击的手法，今年可说是越来越频繁，如今甚至出现有人针对多家厂牌的端点防护系统进行破坏的情形。

例如，资安业者Trellix近期揭露的攻击行动，就是典型的例子。研究人员发现由文件名kill-floor.exe开始的恶意程序感染链，一旦该运行档启动，就会于受害电脑部署Avast的Anti-Rootkit驱动程序aswArPot.sys，接着，攻击者再植入另一个合法的核心驱动程序，文件名为ntfs.bin。

然后，kill-floor.exe就会比对受害电脑上的处理进程，若出现攻击者认定的142种资安工具处理进程名称，就会借由Avast驱动程序，以内核层级来终止处理进程，导致受害电脑的杀毒软件或EDR停止运作。

其他攻击与威胁

◆北韩黑客Lazarus锁定macOS用户，意图散布木马程序RustyAttr

◆俄罗斯黑客锁定欧洲、亚洲，散布恶意软件HatVibe、CherrySpy

◆南亚黑客组织APT-K-47以伊斯兰教朝圣活动为诱饵，散布恶意软件Asyncshell

◆对抗资安人员黑客出奇招，恶意软件Raspberry Robin在测试环境会部署诱饵扰乱调查

【漏洞与修补】

威联通修补路由器OS与NAS加值软件重大漏洞

11月23日台湾网络设备业者威联通（QNAP）发布资安公告，针对旗下产品修补超过30项漏洞，其中，路由器操作系统QuRouter、NAS协作应用程序Notes Station 3存在重大层级漏洞，相当值得留意。

根据CVSS风险评分，最严重的是CVE-2024-48860，此漏洞出现于QuRouter，为操作系统命令注入漏洞，一旦攻击者成功利用，就有机会远程运行命令，4.0版CVSS评分为9.5。

另外2个重大漏洞CVE-2024-38643、CVE-2024-38645，出现在Notes Station 3，其中较严重的是CVE-2024-38645，此为服务器请求伪造（SSRF）漏洞，若是攻击者成功利用漏洞，有机会在通过身分验证的情况下，远程读取应用程序数据，风险值为9.4。

其他漏洞与修补

◆PHP修补重大层级的内存越界存取、缓冲区过度读取漏洞

近期资安日报

【11月25日】俄罗斯黑客在军事行动前夕，借由跳版入侵目标组织的无线网络环境

【11月22日】黑客疑似利用零时差漏洞入侵2千台Palo Alto Networks防火墙

【11月21日】中国黑客锁定南亚及非洲一带一路国家的电信业者从事间谍活动