資安業者趨勢科技在今年4月初發現駭客組織Void Arachne的攻擊行動，對方的目標主要是使用中文的用戶，假借提供簡體中文版Chrome，以及當地的VPN軟體LetsVPN、QuickVPN（快連VPN），甚至是使用Deepfake技術脫衣、變臉、變聲的人工智慧工具，或是Telegram簡體中文介面套件，目的是在使用者電腦植入後門程式Winos 4.0。

值得留意的是，這些駭客同時藉由購買搜尋引擎廣告進行SEO中毒攻擊，或是透過簡體中文Telegram頻道，來散布惡意軟體。

研究人員指出，這些駭客犯案的共通點，在於他們都向使用者提供MSI安裝程式，開啟、執行之後，確實會安裝對方宣稱的應用程式，但在此同時，也在用戶不知情的狀況下，部署惡意軟體，並向攻擊者的C2伺服器進行連線。

巴基斯坦駭客組織Cosmic Leopard鎖定Windows、macOS、安卓裝置散布惡意程式

思科旗下威脅情報團隊Talos揭露攻擊行動Operation Celestial Force，從2018年起，巴基斯坦駭客組織Cosmic Leopard鎖定印度政府機關、國防單位，以及相關技術領域的組織。值得留意的是，時至今日這項攻擊行動仍在持維進行，並未出現緩和的跡象。

針對這波為期長達6年的攻擊行動，研究人員指出，對方起初使用RAT木馬程式GravityRAT鎖定Windows用戶，接著，為了擴大攻擊規模，他們也開發安卓版本，並在2019年針對行動裝置而來。再來，為了散布上述木馬程式，對方開發了名為HeavyLift的惡意程式載入工具，並將其用於攻擊行動。

值得留意的是，HeavyLift不光能在Windows上執行，若是偵測到在macOS作業系統環境，並未取得root權限，他們就會下達特定命令取得管理權限，然後下載ZIP壓縮檔並植入有效酬載。

駭客鎖定WordPress網站下手，目的是要脅瀏覽網站的使用者瀏覽器過舊，藉此散布惡意程式

資安業者Sucuri揭露最近一波從今年4月下旬出現的攻擊行動，過程中攻擊者濫用名為Hustle的WordPress外掛程式，該外掛主要用途是電子郵件市場行銷，或是產生彈出式廣告視窗，從而經營客戶。

然而，對方利用這款外掛程式對WordPress網站下手，將惡意程式碼注入，使用者只要瀏覽網站，就會看到彈出式視窗，「警告」已偵測到有漏洞的Chrome，要求更新瀏覽器。一旦使用者按下彈出式視窗上的按鈕，就會被重新導向惡意網址，下載惡意軟體（大部分被命名為GoogleChrome-x86.msix）。但值得留意的是，使用者就算是使用Firefox、Opera、Edge瀏覽網站，同樣會看到上述的彈式視窗。

其他攻擊與威脅

◆惡意軟體載入工具SquidLoader鎖定中國企業組織而來

◆Rust竊資軟體Fickle Stealer利用PowerShell繞過使用者帳號控制防護機制

◆中國駭客組織針對亞洲電信業者植入後門，嘗試竊取帳密資料

◆SolarWinds檔案伺服器軟體Serv-U路徑穿越漏洞傳出遭到積極利用

【漏洞與修補】

研究人員針對Wget漏洞提出警告，呼籲用戶近期應留意相關資安公告

德國研究人員Günter Born指出，6月17日德國電腦緊急應變團隊（CERT-Bund）針對CVE-2024-38428提出警告值得留意，因為，這項存在於下載工具Wget的漏洞相當危險，CVSS風險評分達到10分，1.24.5版及之前版本都受到影響，攻擊者可遠端利用。

值得留意的是，在大部分的Unix與Linux系統當中，都可以用Wget來下載檔案，後續也被移植到Windows、macOS等多種應用系統，使得這套工具的存在相當普遍，以這次被找出的漏洞而言，無論是Linux還是Windows版本，都存在這項漏洞。

不過，事隔2天，CERT-Bund下修CVE-2024-38428的CVSS分數為6.3，列為中等風險漏洞，但為何大幅調整風險評分，他們並未進一步說明。

【資安防禦措施】

AWS安全長揭露防護生成式AI的心法

生成式人工智慧拜ChatGPT之賜，不到一年就竄升為家戶喻曉的人工智慧代名詞，而在各行各業積極探索新興應用商機之際，對於生成式人工智慧（Generative AI）潛在的資安顧慮也隨之湧現。

亞馬遜（Amazon）安全長Steve Schmidt在re:Inforce 2024的演講中指出，生成式人工智慧並非橫空出世，而是承襲機器學習與人工智慧技術數十年發展脈絡的最新階段，因此資安的基本原則與人工智慧安全防護經驗都仍適用，他也公開亞馬遜的人工智慧安全團隊成立的經驗，包括資安組織的定位如何不會限制人工智慧的創新可能性、如何協助開發團隊做出正確的安全決策，以及在安全檢驗方面有別於傳統資安測試之處。

資安院首度發表AI打詐技術，詐騙廣告偵測率超過九成

打詐是臺灣政府新內閣首要任務，也是民眾生活最大痛點之一。為了解決這個問題，數發部數位產業署委託資通安全研究院研發，他們期盼透過運用AI技術，從源頭做到「識詐」、「防詐」以遏止詐騙橫行。資安院副院長林盈達表示，從今年1月開始執行的廣告自動化巡檢技術，每個月可以檢測超過50萬筆廣告，一旦偵測到詐騙廣告，會進行後續通報。

他表示，今年五月詐騙廣告數量超過20萬筆創下新高，資安院採用AI偵測詐騙廣告的準確度達93％，而在這個巡檢的過程中，他們也發現97％詐騙廣告刊登不到兩天，顯示相關的阻擋機制必須跟時間賽跑，因為處理時機稍縱即逝。

美國宣布全面禁售卡巴斯基產品

美國商務部（Department of Commerce，DoC）旗下的工業及安全局（Bureau of Industry and Security，BIS）於6月20日宣布了一項最終裁決（Final Determination），自今年7月20日起，將禁止卡巴斯基（Kaspersky）於美國銷售網路安全產品/服務及防毒軟體，自9月29日起禁止提供相關產品的更新，原因是擔心總部位於俄羅斯的卡巴斯基，會因美、俄之間的緊張關係，危害美國的國家安全。

值得留意的是，這樣的政策並非空穴來風，2017年7月美國便限制政府採購卡巴斯基產品，9月要求政府機關全面移除卡巴斯基產品，更在2022年將卡巴斯基列入國家安全威脅名單，現在則全面擴大至美國一般個人用戶及組織。

其他資安產業動態

◆Google資安證書課程大公開，在臺合作計畫鎖定跨域轉職與大學生

【資安關鍵人物】

學校教育至少要能培養出資安人手，期許成為博派資安人

資訊安全在當今社會日益受到重視，成為眾多產業和政府機構關注的焦點之一。然而，資安的發展過程中也面臨著各種挑戰，而這些挑戰往往不只是技術，更牽涉到人、政策和社會等多個層面。臺灣科技大學資訊管理系特聘教授吳宗成對於資安領域的發展和挑戰有著深刻的見解，他指出，資安產業的發展需要適當的熱度，但又不能過熱，以免阻礙未來的發展。

吳宗成用「變形金剛」來比喻，他說資安人就要像博派機器人，不能只活在自己的世界，要懂人民生活感受並能提出對策，不能只懂學理、固守自己觀點、活在象牙塔。

近期資安日報

【6月20日】中國駭客UNC3886利用多項防火牆及虛擬化平臺的零時差漏洞隱匿行蹤，並部署後門程式持續存取網路環境

【6月19日】初始入侵管道掮客IntelBroker聲稱握有晶片大廠AMD內部機密資料，該公司表示將著手調查

【6月18日】未補漏洞且暴露在外網的舊款F5 BIG-IP設備成駭客入侵企業內部環境的破口，中國駭客潛入竊密長達3年