該公司指出，人力資源（HR）團隊其實相當盡力進行相關的檢查，他們在不同場合安排了4次視訊會議面試，並儘可能確認應徵者是履歷當中的本人，而且，該團隊也進行身家調查，以及執行就職前的其他標準審查流程。然而，對方雖然是真實人物，但濫用遭竊的美國公民身分，並使用Deepfake手法，透過AI「強化」照片。

在該公司的EDR系統偵測到異狀並向資安營運中心（SOC）發出警訊，SOC向該名新員工詢問是否需要協助。在此同時，該公司也向資安業者Mandiant、美國聯邦調查局（FBI）共享收集到的資料與初步的調查結果，從而確認這是來自北韓的假IT人員。

針對EDR更新引發全球大當機事故，CrowdStrike說明發生的原因在於驗證軟體臭蟲

EDR更新引發全球大當機將近一周，7月24日資安業者CrowdStrike發布事件初步檢討報告（Preliminary Post Incident Review），進一步說明這起事故發生的原因。

該公司表示，造成當機的原因源自於快速回應內容（Rapid Response Content）檔案的缺陷，他們在派送之前的驗證流程並未察覺而釀禍。一旦Falcon Sensor載入這批有問題的檔案，就會導致記憶體越界讀取（Out-of-bounds Read，OBR）的情況，並引發藍色當機（BSoD）畫面。

對此，他們提出預防事件重演的修正措施，包括強化對於更新檔案的多項測試，並對內容驗證器加強驗證檢查，也加強內容解譯器（Content Interpreter）對既有錯誤處理的能力。此外，該公司也將使用逐步部署策略連同加強監控、提高客戶控管能力，以及在發行公告（Release Notes）提供更多資訊給客戶，防範事件快速蔓延。該公司也計畫導入外部組織來驗證軟體程式碼，及其作業流程。

臺灣資安長將視CrowdStrike災後應變態度，作為是否採用的參考

資安業者CrowdStrike於7月19日因為EDR軟體更新出包，造成許多微軟電腦和伺服器出現藍色當機畫面（BSOD）。也有匿名高科技製造業資安主管表示，勒索軟體做不到的事情（企業電腦大規模當機），CrowdStrike做到了。另外也有不少Line資安群組，紛紛以CrowdStrike官網「62分鐘就能讓您的企業停止運作」的網路頁面，反諷CrowdStrike真的做到讓企業停止運作了。

盤點過臺灣CrowdStrike引發的電腦當機災情後，有許多資安長坦言，採用雲端服務的趨勢不可逆，對於已經是CrowdStrike的用戶並發生大規模災情，有高科技業資安主管已經考慮明年不再續約；但對於正在評估是否採購該廠牌產品的企業而言，CrowdStrike的應變方式和對客戶的補償方式等，則是他們後續評估是否採購的重要關鍵。

使用竊資軟體Lumma Stealer、Connecio的駭客加入利用CrowdStrike更新大當機為幌子的行列

上週發生的CrowdStrike更新大當機事故，包含資安業者CrowdStrike自己的威脅情報團隊在內的研究人員提出警告，駭客也會假借提供解決方案的名義，對於該廠牌EDR用戶發動攻擊，如今CrowdStrike再度公布兩起這種類型的資安事故。

7月23日研究人員表示，他們看到惡意ZIP壓縮檔CrowdStrike Falcon.zip，駭客宣稱是EDR系統Falcon的更新檔案，其內容含有使用說明的純文字檔案，以及WinRAR自解壓縮檔（SFX）CrowdStrike Falcon.exe。一旦使用者執行，電腦就會進行解壓縮作業，呼叫以Python程式語言打造的竊資軟體Connecio。

事隔一天，研究人員發現另一起竊資軟體攻擊行動，這回是惡名昭彰的Lumma Stealer（也有人稱為LummaC2），他們發現網釣網域crowdstrike-office365[.]com，假冒該資安業者的名義散布惡意ZIP及RAR壓縮檔，內含MSI安裝檔，一旦執行，電腦就會載入竊資軟體。

臺灣及美國macOS用戶遭到鎖定，中國駭客Evasive Panda使用後門程式Macma從事攻擊行動

過往駭客主要針對Windows電腦下手，但最近兩到三年，他們將攻擊範圍擴及其他作業系統的情況越來越普遍，有駭客組織使用跨平臺開發工具，打造出針對macOS、安卓作業系統的惡意程式。

例如，資安業者賽門鐵克揭露中國駭客組織Evasive Panda（他們稱為Daggerfly）開發的macOS惡意程式，就是這樣的例子。他們針對最近一波的攻擊行動提出警告，指出對方近期針對臺灣企業組織、位於中國的美國非政府組織（NGO）使用新的作案工具從事網路間諜活動，過程中利用Apache HTTP伺服器的漏洞散布惡意軟體框架MgBot。

但值得留意的是，他們發現名為Macma的macOS後門程式，也是這些駭客開發、使用的武器之一。這個後門程式最早在2021年由Google威脅情報團隊（TAG）揭露，並推測駭客2019年就開始使用，並濫用遭駭的香港網站發動水坑式攻擊，來散布這支後門程式。

重大層級ServiceNow漏洞已被用於攻擊行動，駭客恐藉此竊取帳密資料

本月10日數位工作流程管理解決方案業者ServiceNow公布重大層級的輸入驗證漏洞CVE-2024-4879，並提供更新軟體予以修補。隔日，通報此事的資安業者Assetnote公布相關細節，並指出這項漏洞相當嚴重，但攻擊者若是串連另一個重大層級的輸入驗證漏洞CVE-2024-5217，以及中度風險的敏感檔案讀取漏洞CVE-2024-5178（編按：這兩個漏洞也同樣在10日被修補），就有機會存取資料庫。這些細節公布後，很快就出相關攻擊行動。

資安業者Resecurity指出，在Assetnote公布漏洞細節不久，他們就察覺有多個駭客組織開始嘗試掃描尚未修補上述漏洞的ServiceNow平臺，根據物聯網搜尋引擎FOFA的搜尋結果，約有30萬臺ServiceNow主機有可能會被遠端探測，其中又以美國超過29萬臺數量最多，印度、瑞士居次，分別有1.9萬、1.5萬臺，英國、愛爾蘭分別有5,867臺、3,929臺。

其他攻擊與威脅

◆針對半導體矽晶圓廠環球晶圓6月遭駭事故，駭客組織Storm-1811聲稱是他們所為，要脅7月底公布竊得資料

◆電源管理設備供應商光寶科技察覺外網伺服器遭到攻擊

◆燦坤、燦星網部分資訊系統遭受網路攻擊

◆北韓駭客Andariel以經濟利益為目標，發動勒索軟體攻擊

◆逾3千個GitHub帳號遭駭客組織Stargazer Goblin濫用，作為散布惡意軟體的管道

◆網路捷徑檔案安全機制繞過漏洞遭到利用，攻擊者用於散布竊資軟體

◆工控系統惡意軟體FrostyGoop今年初發動攻擊，導致烏克蘭暖氣供應中斷

【漏洞與修補】

Docker揭露嚴重度高達10分資安漏洞，問題出在外掛程式AuthZ的身分驗證，而且經過5年才發覺

本週Docker發布資安公告，指出部分版本的Docker引擎存在弱點，導致攻擊者能在特定的情況下繞過用於授權的外掛程式AuthZ，影響19.03版以上的Docker引擎，目前被登記為CVE-2024-41110列管，CVSS風險評為10分（滿分10分）。

值得留意的是，這項弱點曾於2018年發現，該公司於隔年1月發布18.09.1版予以修補，但這項弱點的修補程式碼卻並未延續到後續版本，直到今年4月才發現這樣的狀況，並在7月23日正式推出新版予以修補，使得這樣的弱點存在長達5年半，目前是否已被駭客掌握並用於攻擊行動，仍不得而知。

但為何已修補的漏洞程式碼發生沒有延續到後來的版本情況？Docker並未進一步說明。

雲端平臺GCP的服務存在權限提升漏洞ConfusedFunction，未經授權的攻擊者可藉此存取敏感資料

7月24日資安業者Tenable揭露影響Google Cloud Platform（GCP）的權限提升漏洞ConfusedFunction，這項弱點發生在名為Cloud Functions的無伺服器運算服務，以及稱做Cloud Build的CI/CD管道服務。一旦遭到利用，攻擊者有機會以未經授權的狀態存取其他服務，或是敏感資料。他們通報此事，GCP已於部分的Cloud Build帳號著手採取緩解措施。

研究人員指出，ConfusedFunction這樣的弱點，突顯雲端服務的軟體架構極為複雜，導致服務之間的通訊可能衍生問題的情形。

【資安產業動態】

史上Google最大併購案告吹！資安業者Wiz傳出拒絕併購協議，將尋求IPO

外傳Google欲以230億美元收購雲端資安業者Wiz，果真確有其事，只不過根據CNBC報導，Wiz已經拒絕這項提議，將尋求在股票市場掛牌上市（IPO）。

CNBC取得Wiz執行長Assaf Rappaport對員工的公開信，得知該公司拒絕併購。在信中，Assaf Rappaport對員工說，拒絕對這麼大金額的收購提議不是容易的事，並表明公司接下來的目標是IPO，並且產生每年10億美元的經常性收入。Wiz原本就計畫透過小型併購成長，最終IPO。

報導引述另一名消息人士的說法，Wiz是考量反托斯調查、投資人的顧慮後，決定拒絕此併購協議。

其他資安防禦措施

◆民安10號、萬安47號演習也涵蓋資安演練，新北市針對交通控制系統遭駭進行應變處置

近期資安日報

【7月23日】臺灣企業因CrowdStrike產品更新造成電腦當機的情況，金融、資服、傳統製造、高科技製造業都傳出災情

【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐，至少影響850萬臺電腦、67萬企業用戶

【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍，全球出現Windows電腦大量當機，影響機場、醫院等設施運作