資安業者Sansec於6月底警告polyfill[.]io供應鏈攻擊事故引起各界高度關注，使用此瀏覽器相容性程式庫的網站，會導致使用者被導向賭博網站或是惡意網站。事隔數日，經營者聲稱透過polyfill[.]com繼續提供服務，但究竟有多少網站受到影響？有研究人員提出新的調查結果。

上週資安業者Censys表示，截至7月2日，他們總共偵測到384,773臺網頁伺服器，會在HTTP回應當中，含有https://cdn.polyfill[.]io或https://cdn.polyfill[.]com。這些伺服器大部分位於德國，約有23.7萬臺位於Hetzner主機代管業者的環境（AS24940）。

根據Google向廣告業者警告駭客同時經營bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org，若是包含這些惡意CDN服務在內，Censys表示受害範圍將擴及1,637,160臺主機，若與先前資安研究團隊MalwareHunterTeam估計的30萬至35萬臺相比，現在暴增至約為5倍以上的規模。

專攻Linux系統的殭屍網路病毒Zergeca浮上檯面！因資安公司攔截到加殼惡意程式，後續有人上傳VirusTotal測試是否能被偵測而曝光

中國資安業者奇安信揭露在5月下旬發現的DDoS殭屍網路Zergeca，研究人員指出對方以Go語言打造而成，具備6種DDoS攻擊方式，除此之外還能充當代理伺服器，或是用來進行網路掃描、檔案傳輸、收集設備敏感資料，也能作為反向Shell使用。值得留意的是，這個殭屍網路病毒還具備自我更新的功能，並能設法在受害電腦上持續運作。

研究人員也特別提及此殭屍網路在網路通訊的層面有多項獨特的地方，其中，他們發現對方主要使用DNS over HTTPS（DOH）解析C2通訊內容，但這個殭屍網路病毒還具備其他數種解析DNS的能力；再者，攻擊者運用罕見的串流通訊程式庫Smux建立與C2伺服器的通訊，並透過XOR演算法加密通訊流量。

他們也說明為何會特別關注這支殭屍網路病毒的動機，對方從不同國家上傳Zergeca至惡意軟體檢測平臺VirusTotal測試是否能被偵測，引起他們注意並著手進行調查。

WordPress、Magento、OpenCart網站遭到新型態信用卡側錄工具Caesar Cipher Skimmer鎖定

資安業者Sucuri揭露同時鎖定不同電子商務平臺發動攻擊的信用卡側錄程式Caesar Cipher Skimmer，這是名為gtag的側錄工具變種，並在近期偵測到大量攻擊的情況，他們在2週內得知近80起事故。

他們指出攻擊者鎖定的目標，涵蓋多種內容管理平臺（CMS）及電子商務平臺，包括部署WooCommerce外掛程式的WordPress平臺，以及Magento和OpenCart。研究人員表示，雖然駭客使用相同惡意程式攻擊不同電商平臺相當常見，但大部分都是先後鎖定不同環境下手，像這次一口氣攻擊多種平臺的情況算是罕見。

針對這起攻擊行動的手法，研究人員指出對方企圖將惡意程式碼偽裝成網站分析工具Google Analytics、網站關鍵字管理工具Google Tag Manager，並經過混淆處理。經過他們的分析，這些程式碼使用了「凱撒密碼（Caesar Cipher）」重新編碼惡意內容，目的是隱藏用來存放惡意酬載的網域。

其他攻擊與威脅

◆Cloudflare的DNS解析器傳出遭遇邊界閘道協定挾持攻擊

◆大型售票業者Ticketmaster資料外洩事故出現新的發展，對方公布44萬張泰勒絲巡迴演唱會門票條碼進行施壓

◆臺美聯手合作，查獲透過非法交易市集Genesis Market購買臺灣民眾個資的嫌犯

◆中國駭客組織Dragon Bridge針對臺灣總統大戰散布不實消息，Google下架6.5萬個YouTube頻道與Blogger部落格

◆駭客假借提供知名AI應用程式散布Rilide Stealer、Vidar Stealer

近期資安日報

【7月5日】微軟年初遭俄羅斯駭客APT29入侵事故有新的進展，美國地方政府、軍事單位傳出受到波及

【7月4日】歐洲最大雲端服務供應商揭露DDoS攻擊規模與日俱增的現象，並指出大多惡意流量來自MikroTik路由器

【7月3日】巴基斯坦駭客假借提供安卓應用程式發動攻擊，意圖散布惡意軟體CapraRAT，目的是為了監控特定使用者