根據Shadowserver基金會的調查，駭客透過643個IP位址從事掃描行為，企圖尋找存在漏洞的ScreenConnect伺服器。但值得留意的是，從物聯網搜尋引擎Shodan的分析，能透過網際網路存取的伺服器有8,659臺，但僅有980臺修補該漏洞。

22日資安業者Sophos提出警告，他們先是看到有人利用這項漏洞發動勒索軟體LockBit攻擊，也出現用於散布其他惡意程式的情況，這些惡意程式包含了AsyncRAT及竊資軟體，此外，還有部分攻擊是植入遠端支援系統SimpleHelp的用戶端程式。資安業者Huntress也證實這些漏洞被用於勒索軟體攻擊的情況，並指出駭客鎖定了診所、獸醫院，以及與911專線相關地方政府系統。

1. http://twitter.com/Shadowserver/status/1760740607268638809
2. https://www.shodan.io/search?query=%22Server%3A+ScreenConnect%2F23.9.8%22
3. https://twitter.com/SophosXOps/status/1760636826874790025
4. https://twitter.com/SophosXOps/status/1760636830456615223
5. https://twitter.com/MaxRogers5/status/1760718193285316924

中國駭客組織Mustang Panda對亞洲國家散布惡意程式Doplugs，主要目標是臺灣、越南

資安業者趨勢科技針對中國駭客組織Mustang Panda（亦稱Earth Preta、Bronze President）近期的攻擊行動公布新的發現，他們在去年發現鎖定臺灣政府的釣魚郵件，其中挾帶惡意軟體PlugX的變種版本Doplugs，經過比對後，他們認為，這可能與先前另一起攻擊有關，因為資安業者Check Point去年7月揭露的Smugx攻擊，用於攻擊歐洲的惡意程式，與上述Doplugs雷同。

他們進一步調查，發現對方2022年就開始使用Doplugs，但相較於一般的PlugX，此惡意程式並未具備完整的後門功能，駭客主要是將其當作惡意程式載入工具，於受害電腦植入PlugX。值得留意的是，對方在Doplugs導入名為KillSomeOne的模組，而具備USB蠕蟲的特性。

研究人員比對惡意程式分析平臺VirusTotal的資料，指出這些駭客使用Doplugs在亞洲從事的攻擊行動，主要針對臺灣及越南，但中國、新加坡、香港、日本、印度、馬來西亞、蒙古也有災情。

8家間諜軟體供應商橫行，鎖定Meta旗下社群網站平臺用戶下手，從手機和電腦搜括各式網路服務的個資

Meta近期針對2023年第4季的威脅態勢公布調查結果，指出有別於過往鎖定該公司社群網站用戶的惡意軟體攻擊，本季主要都是由商業間諜軟體廠商發起，他們一共看到8家義大利、西班牙、阿拉伯聯合大公國（UAE）網路間諜公司的惡意活動，並指出這些公司的惡意軟體會收集設備的系統資訊、地理位置、照片、影片、通訊錄、行事曆、電子郵件、簡訊、社群網站、即時通訊軟體，並透過麥克風、視訊鏡頭、螢幕截圖收集各式情報。

研究人員指出，這些商業間諜軟體收集的資料範圍相當廣，不光是Meta旗下的臉書、Instagram遭到鎖定，也搜括使用者的其他社群網站平臺（如X、Reddit、Twitch）、影音串流平臺（如YouTube、TikTok）、即時通訊軟體（如Skype、SnapChat、Telegram），以及職場社群網站LinkedIn的內容。另一個不同之處在於，過往的商業間諜軟體大多針對行動裝置而來，但這次發現窺伺活動的範圍也涵蓋Windows、macOS作業系統裝置的使用者。

此外，Meta也針對合謀的偽冒行為（Coordinated Inauthentic Behavior，CIB），從臉書及Instagram刪除逾2千個中國、緬甸、烏克蘭的帳號、網頁、群組，以中國的CIB行動而言，駭客會特別貼文苛責美國對於臺灣和以色列的外交政策，並抨擊該國政府對烏克蘭的態度。

智慧家庭設備業者Wyze出現服務異常，使用者竟看到他人監視器畫面

2月16日智慧家庭設備業者Wyze傳出服務異常的現象，他們先是在太平洋時間（PT）上午6時31分表示，接獲用戶通報監視鏡頭裝置離線及登入系統出現困難的情況，在1個小時後表示原因是合作夥伴AWS造成，他們正與AWS著手處理。

值得留意的是，在該公司處理上述服務中斷的過程，試圖重新將裝置上線時，部分用戶發現在行動裝置應用程式的事件（Events）標籤中，竟出現他人監視器畫面，該公司調查後確認約有1.3萬名用戶收到他人的監視器畫面縮圖，其中有1,504名使用者點選，有部分能檢視事件影片的內容，但大多只能顯示縮圖。

針對這起事故發生的原因，該公司表示是近期系統整合的第三方程式庫造成，因無法承受龐大數量裝置同時上線，導致部分資料連結錯誤釀禍。

【漏洞與修補】

VMware呼籲vCenter管理者停用已終止支援的身分驗證外掛程式

2月20日VMware發布資安公告，揭露與vCenter Server增強型驗證外掛程式（Enhanced Authentication Plug-in，EAP）有關的漏洞CVE-2024-22245、CVE-2024-22250。

CVE-2024-22245為任意身分驗證中繼漏洞，存在於EAP的瀏覽器延伸套件，一旦攻擊者鎖定安裝EAP的瀏覽器，就有機會對網域使用者下手，從而請求及重放AD服務主體名稱（Service Principal Name，SPN），CVSS風險評為9.6分。另一個漏洞CVE-2024-22250則是能用於挾持瀏表欠連線階段（Session），攻擊者若是能夠本機存取Windows作業系統，就可能挾持特權使用者建立的EAP連線階段，CVSS風險評為7.8分。

值得留意的是，由於VMware已在2021年棄用EAP，該公司呼籲用戶應儘速移除該元件，並提供相關的PowerShell命令。

1. https://www.vmware.com/security/advisories/VMSA-2024-0003.html
2. https://kb.vmware.com/s/article/96442

DNSSEC存在重大設計缺陷，透過特製封包恐癱瘓DNS服務

德國研究機構National Research Center for Applied Cybersecurity ATHENE指出，域名系統安全擴充（Domain Name System Security Extensions，DNSSEC）設計存在重大缺陷，允許攻擊者執行KeyTrap攻擊，只要藉由輸送有問題的封包，就有機會讓所有實作DNSSEC驗證的DNS系統癱瘓，包括Google、Cloudflare等公共DNS提供者都會受到影響。

研究人員指出，這種攻擊手法主要是利用DNS軟體BIND的高嚴重性漏洞CVE-2023-50387，攻擊者使用特製的DNSSEC簽章進行回應，就有機會導致DNSSEC驗證解析器的處理器資源耗盡，從而阻擋合法使用者存取DNS解析服務。

值得留意的是，KeyTrap並非新漏洞，早在1999年就被發現，雖然沒有被徹底解決，但也並未出現積極利用相關漏洞的情況，研究人員指出，原因是要利用這項漏洞需要有許多條件配合，再加上DNSSEC的身分驗證要求，使得攻擊者實際要找到利用方法變得相當困難。

【資安產業動態】

蘋果將全面升級iMessage加密機制，採用後量子加密協定PQ3

2月21日蘋果宣布升級即時通訊軟體iMessage的加密機制，導入後量子加密演算法PQ3，號稱加密通訊的安全性達到了第3級的強度。這項升級將隨著iOS 17.4、iPadOS 17.4、macOS 14.4、watchOS 10.4作業系統更新，推送到使用者的手機、平板電腦、Mac電腦、穿戴裝置。

iMessage是繼去年9月Signal之後第2款導入後量子加密演算法的即時通訊軟體，但蘋果強調，有別於後量子加密Signal主要用在初始金鑰的建立，他們在使用者交換訊息也採用後量子加密的保護機制，即便金鑰洩露，也能確保影響整個對話的安全性。

【資安防禦措施】

防毒軟體Avast暗中收集使用者上網資料並用於投放廣告，美國聯邦貿易委員會祭出1,650萬美元罰款

2月22日美國聯邦交易委員會（FTC）針對防毒業者Avast擅自收集大量用戶資料，並賣給上百家資料掮客的情況祭出處分，要求該公司支付1,650萬美元罰款，並停止相關行為。

根據調查，Avast至少從2014年開始，利用旗下防毒軟體及瀏覽器擴充套件，內容涵蓋搜尋及存取的網站，從而窺探使用者的宗教信仰、健康問題、政治傾向、位置、財務狀況等敏感資訊，並在未經告知、未經用戶同意的情況下，透過子公司Jumpshot出售給第三方資料掮客，用以執行目標式廣告。

FTC這麼做其來有自，2019年兩大瀏覽器龍頭Google及Mozilla察覺Avast推出的4款瀏覽器擴充套件過度追蹤使用者上網行為，從Chrome Web Store、Firefox Add-ons擴充套件市集將其下架，隔年科技新聞媒體Motherboard與PCMag聯手，踢爆Avast出賣使用者上網資料的行為。

【