例如，資安業者Palo Alto Networks就揭露這些駭客攻擊行動的規模。這些駭客約在20個月裡發動3波攻擊行動，針對14個國家、逾30個企業組織而來。這些駭客從俄羅斯對烏克蘭進行軍事行動之後，在2022年3月就開始利用這項漏洞攻擊烏克蘭移民署；同年4月中旬至12月，該組織將其用於入侵歐洲15國政府、軍事單位、能源組織、交通單位的網路環境，竊取俄羅斯入侵烏克蘭有關的軍事情報電子郵件；而在微軟今年3月修補漏洞後，這些駭客仍舊透過這項漏洞竊取帳密資料，從而於受害組織進行橫向移動，相關的攻擊行動在5月另一個MSHTML漏洞CVE-2023-29324（CVSS風險評分6.5）公布後顯著增加。

Palo Alto Networks的研究人員指出，遭到這些駭客攻擊的國家，除了烏克蘭、約旦、阿拉伯聯合大公國（UAE），其餘皆為北約組織（NATO）會員國，且有北約快速部署兵團遭到鎖定。

Google、蘋果證實多國政府向其調閱行動裝置應用程式推播資料

12月6日美國參議員Ron Wyden寄信給司法部（DOJ），要求Google、蘋果這兩大科技公司，公開各國政府向他們調閱行動裝置推播通知（Mobile Push Notification）的情況。

這項要求源於Ron Wyden在2022年接獲的消息，得知有許多美國以外的國家，向Google、蘋果要求相關資料的記錄，該名參議員展開調查，發現是美國政府禁止這些IT業者公布相關資訊，從而得知許多國家會利用這種資料的情況。值得留意的是，這種行動裝置推播的功能，並非直接從程式開發者傳送至手機，而是中間透過作業系統的服務來進行傳遞的工作，意即過程裡Google、蘋果扮演仲介的角色。

對此，這兩家業者向科技新聞網站TechCrunch證實，Google表示已發布透明度報告揭露政府請求的各式用戶資料；蘋果也表明將在透明度報告公布相關資訊。

1. https://www.wyden.senate.gov/imo/media/doc/wyden_smartphone_push_notification_surveillance_letter.pdf
2. https://techcrunch.com/2023/12/06/us-senator-warns-governments-spying-apple-google-smartphone-users-via-push-notifications/

研究人員揭露針對iPhone的新型態攻擊手法，假借啟動封閉模式降低用戶戒心

為了針對特定人士提供較為嚴謹的防護，防範間諜軟體等目標式攻擊，蘋果自去年9月，對旗下的行動裝置、電腦、穿戴裝置作業系統：iOS 16、iPadOS 16、watchOS 10、macOS Ventura，開始提供封閉模式（Lockdown Mode）的機制，但現在研究人員發現，攻擊者也可以反向操作，讓受害者以為自己的蘋果裝置執行這種模式而降低警戒。

資安業者Jamf提出警告，這種模式雖然能大幅降低攻擊面，不過，一旦裝置遭駭之後，就算啟用封閉模式也無法阻止惡意軟體運作，他們揭露一種後利用的竄改手法，駭客一旦成功滲透到目標設備中，就有可能藉由竄改特定C語言程式碼的函式內容，讓受害者以為裝置啟動了封閉模式。

研究人員指出，在執行iOS 16.5的手機上，封閉模式仍是在使用者空間的虛擬記憶體當中運作，系統核心並不知道這樣的行為，使用者啟用、停用該模式也無需重開機，他們便試圖讓系統看起來重新啟動，使得他們注入的惡意程式碼可持續在背景運作、監視受害者。

安卓惡意軟體SpyLoan假借提供個人貸款吸金，被從Google Play市集下載逾1,200萬次

​資安業者ESET提出警告，他們發現今年初假借提供快速貸款的惡意應用程式SpyLoan顯著增加，這些App偽裝成提供個人信用貸款服務的軟體，號稱可讓使用者快速、輕鬆取得資金，但實際上駭客將其誘騙使用者接受高利貸，並向其進行勒索。

研究人員指出，光是今年駭客上架於Google Play市集的惡意程式，就有18款，總共被下載超過1,200萬次，但這些App駭客也透過其他第三方市集、惡意網站散布，受害情況可能遠超過這樣的規模。研究人員通報後，Google已下架其中17款。根據研究人員偵測的資料，這種威脅在墨西哥、印度、泰國、印尼、奈及利亞、菲律賓、埃及、越南、新加坡、肯亞、哥倫比亞、秘魯特別嚴重。

為了使用AI工具，高達八成開發人員無視公司資安政策

開發人員大量採用人工智慧工具輔助開發的情況與日俱增，根據軟體業者JetBrains的調查，77％開發人員用ChatGPT，46％用GitHub Copilot，但這種情況對企業組織的資訊安全也帶來新的挑戰。

資安業者Synk針對537名軟體工程師及資安團隊成員進行調查，這些受訪者所屬的企業組織幾乎（96%）已在軟體供應鏈當中，採用了AI程式碼工具。但有80%的開發人員坦承，他們為了使用人工智慧程式開發輔助工具，必須繞過所屬組織的資安政策。另一方面，僅有不到十分之一的組織，對程式碼導入自動化安全掃描機制。

研究人員指出，這樣的情況不只影響組織的資安，甚至還左右開源工具鏈的生態，73.2%開發人員曾貢獻程式碼，但只有24.6％採用軟體組成分析（Software Composition Analysis，SCA）工具，驗證人工智慧生成的建議程式碼。這樣的情況會因為開發團隊導入AI加速開發，使得組織更容易採用不安全的開源元件，同時人工智慧開發工具也使用開源程式碼作為訓練資料，從而習得不安全的程式碼，導致惡性循環。值得留意的是，雖然開發人員採用相關工具的情況非常普遍，但高達86%對於這類工具安全性存在疑慮。

【資安產業動態】

Meta宣布Messenger正式啟用全程加密

2016年Meta宣布為Messenger加入全程加密（E2EE）的功能，但直到最近該公司才在相關服務預設啟用這項機制。12月6日Meta宣布，所有的Messenger通訊會直接開啟E2EE，使用者不需手動開啟相關功能，該公司表示這是Messenger有史以來規模最大的功能升級。

但為何Messenger預設啟用E2EE需耗費長達7年的時間？Meta指出，他們的工程師、密碼學專家、設計師、政策專家、產品專家重新打造Messenger，引入新的安全性及控制功能，並與外部專家、學者、政府機關密切合作，找出潛在風險並制訂緩解措施，來達到隱私及安全需求。此外，過程中他們也面臨兒童保護團體的施壓，擔心採用E2EE後，會令Meta無法偵測到虐待兒童事件。

【