過程中駭客也利用名為kthreadd的工具清除其他攻擊者的惡意酬載，以及下達netstat指令而關閉其他連線。研究人員指出，駭客運用即時通訊軟體Discord做為C2，並透過程式碼代管平臺Codeberg存放惡意軟體，而使得攻擊行動更難被察覺。

北韓駭客組織利用CI/CD系統TeamCity漏洞發動供應鏈攻擊

微軟針對北韓駭客組織Lazarus（亦稱Zinc、Diamond Sleet），以及旗下團體Andariel（亦稱Onyx Sleet）近期的攻擊行動提出警告，這些駭客的目標是持續整合與持續部署系統TeamCity，因為此系統有個重大漏洞CVE-2023-42793（CVSS風險評分為9.8）。

但是，兩組人馬的攻擊手段不同。Lazarus若成功入侵TeamCity伺服器，就會從先前遭駭的其他基礎設施下載後門程式ForestTiger，建立名為Windows TeamCity Settings User Interface的排程工作，以便該後門程式在每次電腦開機後就會執行，截取本機安全認證子系統服務（LSASS）在記憶體存放的帳密資料。此外，這些駭客也有可能透過PowerShell下載惡意DLL檔案，進行DLL搜尋順序挾持（DLL search-order hijacking）攻擊。

Andariel則是利用上述漏洞，在受害主機建立新的使用者帳號並加入管理員群組，接著，從駭客的基礎設施下載惡意酬載HazyLoad，停止TeamCity服務並透過LSASS，以及其他作案工具，並且搜刮目標主機的各式帳密及資料。

中國、俄羅斯駭客利用壓縮軟體WinRAR漏洞於受害電腦執行任意程式碼

上週資安業者DuskRise發現俄羅斯駭客利用壓縮軟體WinRAR漏洞CVE-2023-38831發動攻擊，有研究人員指出，有多個駭客組織跟進利用這項漏洞。Google旗下的威脅情報小組（TAG）指出，他們偵測到俄羅斯駭客組織Sandworm（亦稱FrozenBarents）、APT28（亦稱FancyBear、FrozenLake），以及中國駭客組織APT40（亦稱IslandDreams）的攻擊行動。

Sandworm於9月初假借烏克蘭無人機軍事訓練招生的名義寄送釣魚郵件，散布竊資軟體Rhadamanthys，收集瀏覽器帳密及連線階段（Session）資訊；APT28則是針對烏克蘭政府官員下手，假冒智庫發送釣魚信，攻擊該國能源基礎設施（CI），引誘下載惡意壓縮檔，於受害電腦植入PowerShell指令碼Ironjaw；而對於APT40的漏洞攻擊行動，該組織針對巴布亞紐幾內亞的民眾散布釣魚郵件，信件內容包含Dropbox下載連結，若依裡面的指示開啟網址，會取得含有上述漏洞的ZIP壓縮檔，有可能導致電腦被感染後門程式Boxrat。

針對10月初發生的資料外洩事故，友訊科技提出進一步說明

根據資安新聞網站Bleeping Compuer報導，有人宣稱竊得臺灣網路設備廠商友訊科技（D-Link）的網路管理軟體D-View的原始碼，並握有該公司300萬用戶資料，在駭客論壇兜售，該公司也在10月2日證實資料外洩情事。

友訊昨日向我們反映該媒體報導內容與事實有落差，今天提出進一步說明，關於發生的狀況，他們提出兩點說明。

第一，D-View的程式碼並未遭竊。
第二，資料外洩的範圍，是2015年底就已下架的D-View 6會員註冊網站用程式碼，內容為過期的備份資料，多為半公開、低敏感資料；2016年後的D-View用戶權益，未受影響。

從該公司新的說明來看，他們首度證實的確有程式碼外洩的情況，但外流的並非駭客宣稱的D-View原始碼，而是舊的會員註冊網站的程式碼。

而針對該公司日前因生產的網路設備、網路攝影機漏洞遭到利用，引發外界疑慮的情況，他們也提出兩點說明。

第一，過往被針對的設備，多為已經達到或即將生命週期結束（EOL）的產品，而且，該公司在2020年10月通過IEC62443-4-1產品安全開發流程認證之後，設備安全有明顯改善。
第二，對於美國聯邦貿易委員會（FTC）於2017年控告友訊路由器及攝影機軟體安全性不足一事，該公司強調是在幾乎確定他們勝訴的情況下，FTC主動提出和解，協議條件與稽核報告時效最短，為其他公司的一半。

【漏洞與修補】

群暉網路設備作業系統DiskStation Manager存在漏洞，管理員帳號有可能遭挾持

資安業者Claroty本週揭露群暉NAS作業系統DiskStation Manager（DSM）的漏洞CVE-2023-2729，是他們先前參與漏洞挖掘競賽Pwn2Own所找到的。這項弱點出現於不安全的JavaScript功能Math.random()，用途是產生NAS設備的管理員帳號。

在特定情況下，攻擊者有可能藉此取得足夠的資訊，還原虛擬亂數產生器（Pseudorandom Number Generator，PRNG）的種子初始值，從而重組管理員的密碼，進而掌控NAS，CVSS風險評分為5.9，影響執行DSM 7.2版作業系統的設備。

對此，群暉獲報後於6月發布資安通告，指出該漏洞影響DSM 6.2、DSM 7.0、DSM 7.1、DSM 7.2，以及DSMUC 3.1，他們針對DSM 7.2推出7.2-64561版修補，並表明其他受影響版本將不予處理，但並未說明原因。

1. https://claroty.com/team82/research/synology-nas-dsm-account-takeover-when-random-is-not-secure
2. https://www.synology.com/zh-tw/security/advisory/Synology_SA_23_07

Oracle發布2023年第4季更新，修補185個漏洞

10月17日Oracle發布2023年10月重大修補更新（CPU），總共提供了387個修補程式，當中有40個針對重大漏洞而來，逾200個緩解未經身分驗證就能遠端利用的漏洞。資安新聞網站SecurityWeek指出，這份公布涵蓋185個具有CVE編號的漏洞，有不少同時存在多種產品。

從產品被修補的漏洞數量來看，本次修補最多的產品是Financial Services Applications，總共修補103個漏洞，其中有49個可被遠端利用，且無須通過身分驗證；其次是Oracle Communications，本次揭露與修補91個漏洞、當中的60個需儘快處理，因為攻擊者可在未經身分驗證的情況下，遠端觸發漏洞。

【