研究人員總共在今年發現3波攻擊，並看到過程中駭客運用4種Go語言打造的惡意酬載，利用Confluence已知漏洞CVE-2022-26134，而在Docker環境當中，對方則是產生容器並進行容器逃逸，從而接觸底層主機，此外，為了隱匿攻擊行動，駭客部署了多個使用者模式的rootkit，來隱藏相關的處理程序。

在研究人員設置的蜜罐陷阱（oneypot）環境中，他們看到對方先是下達Docker命令來產生容器，其配置允許容器直接存取底層主機上的檔案，接著，攻擊者透過Shell指令碼建立C2連線，下載第1階段的酬載，並檢查受害電腦的檔案屬性調整工具chattr，確認使用者是否具有管理員權限，然後取得第2階段酬載，停用防火牆及IP過濾規則、刪除Shell事件記錄、停用存取控制功能，最終部署Platypus及挖礦程式XMRig。

墨西哥用戶遭到竊資軟體TimbreStealer鎖定，假借稅務主題為誘餌下手

思科威脅情報團隊Talos揭露竊資軟體TimbreStealer的攻擊行動，駭客從去年11月使用墨西哥稅務發送垃圾郵件，引誘使用者到惡意網站下載、執行惡意程式。

研究人員指出，駭客在這款竊資軟體運用了一系列複雜的技術來迴避偵測、隱匿行蹤、維持在受害電腦運作，像是直接利用系統呼叫從而繞過一般的API監控，或是藉由名為Heaven's Gate的手法，在32位元處理程序執行64位元的程式碼，還有採用自行開發的惡意程式載入工具。此外，該惡意程式具備數個嵌入式模組，用來策畫、解密、保護主要的酬載，並執行相關檢查避免在沙箱環境執行，而且特別的是，所用的系統語言並非俄語，時區設為拉丁美洲才會將檔案解密、執行。

而對於這些攻擊者的身分，研究人員指出對方曾於9月散布另一款竊資軟體Mispadu的變種，並透過存放於WebDAV資料夾的檔案來從事攻擊行動。

金融木馬Chavecloak鎖定巴西而來，透過惡意PDF檔案散布

資安業者Fortinet揭露金融木馬Chavecloak的攻擊行動，駭客疑似藉由釣魚簡訊（Smishing）、釣魚郵件、惡意網站等管道，鎖定巴西地區使用葡萄牙語的Windows用戶而來。

對方假借提供合約文件的名義，要求使用者點選PDF檔案裡的連結，以便進一步閱讀完整內容及簽名。然而使用者一旦照做，電腦就會透過短網址服務Goo.su連至Yandex郵件伺服器下載ZIP壓縮檔，該檔案解開後是MSI安裝程式，若是執行，電腦就會被透過DLL側載的方式，植入Chavecloak（Lightshot.dll）。

此木馬程式能允許攻擊者鎖定受害電腦螢幕、截取使用者鍵盤輸入內容，顯示彈出式視窗，並能監控及盜取受害者的銀行帳戶加密貨幣錢包資料。

因應以網頁伺服器打造而成的PLC系統日益普及，為了呈現與驗證資安風險，研究人員打造能對多種工業控制環境從事類似Stuxnet攻擊行動的惡意程式

採用嵌入式網頁伺服器的可程式化邏輯控制器（PLC）大幅增加，這樣的情況也讓攻擊者有機可乘，鎖定使用這類PLC的工業控制系統（ICS）與操作科技（OT）環境下手，並造成嚴重的破壞。

為了突顯這樣的現象，喬治亞理工學院的研究人員打造一隻惡意程式來印證上述的論點，攻擊者可透過此惡意軟體遠端存取PLC的嵌入式網頁伺服器元件，從而攻擊底層的系統。研究人員指出，攻擊者能藉此操縱控制器的輸出訊號、偽造感測器數據、停用安全防護機制，而有機會造成嚴重破壞，甚至導致人員傷亡。

目前被揭露的PLC惡意程式，多半是感染控制器韌體，從而進行控制，而研究人員打造的惡意程式有顯著的不同，主要是利用惡意JavaScript指令碼攻擊PLC前端的網頁層，因此較不受系統類型影響，且更容易部署、更能持續在受害系統裡活動，但攻擊威力與耗資10億美元的Stuxnet病毒相當。

研究人員揭露濫用無線充電器的攻擊手法VoltSchemer，有可能注入語音命令、燒毀手機

佛羅里達大學和資安業者CertiK的研究人員聯手，公布針對無線充電器的新型態攻擊手法VoltSchemer，攻擊者可透過電磁干擾的方式來操控充電器的行為。

由於這類充電系統通常使用磁場在兩個物件當中傳輸能量，充電器流過交流電後，由充電器的發射器線圈產生磁場，讓手機的接收器擷取磁場的能量，再轉換成電能並為電池充電，而在這種攻擊當中，研究人員藉由操縱輸入充電器的電壓，並微調電壓的波動幅度來產生干擾訊號（雜訊），進而改變生成的磁場性質。基本上，這種攻擊手法當中，駭客想要干擾電壓，無須直接竄改充電器或是手機的軟硬體，而是加入額外的設備就能進行。

由於上述的雜訊會影響充電器及手機相關的微控制器的運作，研究人員指出，這種攻擊手法可繞過Qi充電的規範，導致裝置過熱、手機過度充電，甚至有機會在手機上注入語音命令，或是有可能對充電器附近的汽車鑰匙、RFID卡片與NFC晶片、筆電裡的SSD磁碟機傳遞能量進行加熱而造成損壞。

多達幾百位高階主管Azure帳號遭到挾持

資安業者Proofpoint提出警告，去年11月下旬他們發現一波大規模的網路釣魚攻擊，駭客的主要目標是高階主管的Azure帳號，已危害數十個Azure環境、數百個使用者帳號。

攻擊者對目標發送特定的檔案，其內容嵌入含有檢視文件的URL，一旦使用者點選，就有可能被引導至釣魚網頁。而對於駭客使用的誘餌，研究人員指出，主要目的是針對組織內具備較高權限的員說，從而提高帳號外洩的價值，範圍包括銷售總監、客服經理、財務經理、營運副總裁、財務長、執行長等。

若是得逞，攻擊者後續就可能操縱組織的雙因素驗證（MFA）、資料外洩、財務詐欺，或是竄改郵件伺服器規則。研究人員看到攻擊者會在未經授權的狀況下，擅自存取Microsoft 365多項元件，包括Office365 Shell WCSS-Client、Office 365 Exchange Online、My Apps、My Profile、My Signins。

竊晶圓製程投靠中國廠商，南亞科前員工被判1年10個月

為求能順利到中國半導體業者紫光任職，8年前南亞科技公司（南亞科）李姓前資深工程師在得知公司將從美光引進20奈米晶圓製程技術後，竟在參加線上訓練課程的時候，涉嫌利用電腦螢幕截圖的方式將製程文件，並將其列印、研讀，直到南亞科針對離職人員進行影印記錄稽查才察覺，並向法務部桃園市調查處報案，近期判決出爐。

法院一、二審認定，李男涉犯營業秘密法意圖在大陸地區使用未經授權而重製營業祕密罪，判處有期徒刑1年10月，3月4日最高法院駁回上訴，全案定讞。

【資安產業動態】

Cloudflare推出AI防火牆，保護大型語言模型不被濫用

3月4日Cloudflare宣布針對大型語言模型推出專屬的應用程式防火牆（WAF）Firewall for AI，此WAF防火牆包含傳統的WAF工具，具備流量管制及敏感資料偵測的能力，並整合與大型語言模型威脅有關的保護措施，主要能夠防護的攻擊類型涵蓋提示詞注入（Prompt Injection）、AI模型服務阻斷（Model Denial of Service）、敏感資訊洩漏（Sensitive Information Disclosure），進而減少這類語言模型遭到濫用的風險。

【資安防禦措施】

金管會將明訂上市櫃公司資安事件「重大性」標準

金管會要求上市櫃公司於發生重大資安事件時，應即時發布重大訊息，但什麼樣的情況才是「重大資安事件」？目前尚未有明確的定義，最近金管會打算採取行動。

3月5日金管會表示，他們將對於證交所及櫃買中心進行督導，並從「強化監理」、「協助與輔導」兩個層面，推動資安治理精進措施，包括檢視修正《上市上櫃公司資通安全管控指引》、提高資訊安全內部控制查核比例及追蹤缺失改善情形、落實企業對子公司資訊安全之監督與管理、持續推動企業加入TWCERT/CC分享情資等。其中，金管會特別提到，他們將針對《重大訊息問答集》進行修訂，明確規範資安事件的「重大性」標準。

【