近日北韓駭客組織APT45的攻擊行動被大量揭露，但值得注意的是，美國司法部也公告緝拿該組織一位北韓駭客成員，當中意外揭露了有臺灣國防承包商也是APT45的受害者。

由於許多媒體報導可能忽略了這一消息，但這樣的狀況是需要我們國防單位去進一步了解。

【攻擊與威脅】

APT45成員遭美國司法部通緝，意外揭露臺灣也有國防承包商遭北韓駭客攻擊

Google、微軟在7月24日相繼針對北韓駭客組織APT 45（微軟稱其為Onyx Sleet）發布研究報告，揭露其最新攻擊行動，同一日，美國司法部起訴APT45中一名北韓駭客Rim Jong Hyok，指控他參與多起針對美國醫院及醫療保健服務供應商的勒索軟體攻擊行動，並祭出懸賞和逮捕令。

值得我們關注的是，在美國司法部公布的資訊中，透露臺灣也有國防合約承包商也受到APT45的攻擊。

根據美國司法部的說明，該名駭客與及共犯所入侵的目標，包括美國國防承包商、兩個美國空軍基地、NASA監察長辦公室，以及韓國、臺灣的國防承包商，以及1家中國能源公司，都成為APT45攻擊下的受害者，敏感資料被竊取。

這樣的狀況，也需要我國的國防單位去進一步了解，以進一步掌握該國防承包商被APT45入侵的情況。

燦坤與燦星網同日發布資安重訊，說明資訊系統遭受網路攻擊，目前線上購物網站持續停擺

上市公司遭遇資安事故的消息不斷，在7月23日「燦坤實業」與「燦星網通」同時發布資安事件重大訊息，說明公司資訊系統遭受網路攻擊，值得關注的是，這又是一起同集團均受影響的狀況。

而且上市電子通路業燦坤與上市電器電纜業燦星網發布重訊的時間，是在23日晚間10點，也就是上星期三凱米颱風來臨前夕。兩家公司發布的內容完全相同，主要說明公司資安人員在查知遭受網路攻擊時，已於第一時間啟動相關防禦機制，評估對公司日常營運尚無重大影響。

雖然重訊內容相當簡短，並未透露事件的具體影響範圍，但我們在26日查詢燦坤線上購物網站，以及燦星網通的公司網站，這些網站均無法連上。而在燦坤3C的臉書粉絲專頁上，我們發現該公司在23日早上9點38分就公告說明燦坤線上購物因系統維護，暫停服務中。截至7月29日（週一）中午，我們仍未看到復原的公告。

逾3千個GitHub帳號遭駭客組織Stargazer Goblin濫用，作為散布惡意軟體的管道

駭客濫用程式碼儲存庫GitHub來散布惡意程式的情況，近年不斷有相關消息，但如今有人大規模經營這類帳號提供他人運用，形成龐大的網路犯罪生態圈。

資安業者Check Point揭露專門經營GitHub帳號網路的駭客組織Stargazers Ghost，對方經營由超過3千個GitHub「幽靈」帳號組成的網路，並將其用於散布惡意軟體及惡意連結。

駭客為了讓這些儲存庫看起來是正當使用，他們還會為儲存庫加上星號、建立版本分支，並且訂閱其他惡意儲存庫。而且，該組織還會利用儲存庫提供惡意連結，而不是存放惡意軟體，而這些連結有許多的GitHub「用戶」背書，獲得大量的「星星」或是「驗證」，使其看起來更為真實、合法。

CrowdStrike大當機的省思，臺灣大型醫院學到這2件事

經歷7月19日大當機事件，臺灣一家大型醫院除了自我警惕、更版流程要更嚴謹外，也開始評估雙備援機制的原主機和備援主機，是否應採用不同廠商的防護服務，以免廠商出事、備援主機仍無法作業。例如，針對雙主機備援架構（HA），「2臺主機要採用不同資安廠商產品，才能降低廠商發生問題、備援主機無法執行的風險，」一位大型醫院知情人士說。

回顧整起事件，醫院IT盤點，由於他們將CrowdStrike資安防護軟體安裝於部分主機，其餘則使用另一家廠商防護軟體，也因此，醫院最繁忙的門診系統並未受到影響，對醫院的整體衝擊並不大。

英國國民健康服務NHS遭遇勒索軟體攻擊7週後，已造成當地近1萬個病患手術被迫延後

近期CrowdStrike大當機事件導致全球不少醫院受影響，不過上個月初還有一起發生在醫療院所的重大資安事故，那就是上個月初英國病理學暨診斷服務供應商Synnovis遭網路攻擊，至今即將兩個月，這起事件仍為當地醫療服務帶來極大的影響，。這起網路攻擊事件發生在6月3日，當時造成英國倫敦多家國家保健署（NHS）醫院的部分服務被迫中斷，英國網路安全中心（NCSC）指出是俄羅斯勒索軟體駭客組織Qilin所為。值得注意的是，到了6月下旬，駭客組織又在暗網上聲稱公布3億筆病患資料，甚至要脅Synnovis支付4000萬英鎊（約16億元）贖金。如此大規模的病患資料外流消息，使得當地民眾人心惶惶。

最近，英國NHS仍每週公布最新進展，說明這起事件的復原狀況，像是7月25日，NHS表示在7月中旬，仍有兩家醫院的1,122個急診預約與46個非緊急手術不得不取消，因此總計下來，已造成8,349個急診預約與1,608個非緊急手術被迫延後。換言之，儘管手術延後的數量有減少，但這起攻擊事件的影響仍在持續。所幸也有好的消息，在事件發生七週之後，NHS表示，Synnovis如今已經重建大部分的系統。

其他攻擊與威脅

◆Android版Telegram漏洞讓駭客將惡意程式偽裝成影音檔

◆南韓軍情人員資料外洩，恐有數千名現職人員個資流向北韓

【漏洞與修補】

PKfail安全啟動繞過漏洞恐衝擊數百萬設備，影響技嘉、Supermicro、Dell等9大業者

韌體安全公司Binarly在7月25日揭露名為「PKFail」的漏洞，指出他們在今年稍早曾發現，BIOS大廠AMI的Secure Boot相關主金鑰（在UEFI領域稱平臺金鑰Platform Key，PK），在一次ODM廠商的資料外洩事故當中，遭到公開而曝光。

更嚴重的問題在於，他們發現業界存在PKFail這樣的韌體供應鏈問題，Binarly研究小組指出，這個平臺金鑰應由裝置廠商自己產生與管理，並使用最高加密技術保護，並且遵循最佳實踐，但他們研究後發現，實際情形卻是：BIOS廠商在他們提供的參考程式碼，嵌入一把金鑰，並期望OEM或設備廠商會換掉它，但很多廠商沒有這樣做。也就是說，不同電腦與伺服器廠商都共用同一把金鑰，導致該平臺金鑰完全不能被信任，以致於PKFail是一個影響數百萬設備的韌體供應鏈問題。

根據Binarly說明，他們總共發現有22個獨特但不可信的平臺金鑰，至於受影響業者的產品數量，以技嘉有產品最多，其次為Supermicro、Dell、HP、聯想、Intel、宏碁、Fujitsu、Aopen、Formelife。

其他漏洞與修補

◆Atlassian修補Bamboo、Confluence、Jira高風險漏洞

◆SolarWinds修補存取權限稽核系統ARM中RCE、路徑走訪等多項重大漏洞

【資安產業動態】

微軟、Nvidia、英特爾及Google共創安全AI聯盟CoSAI

專門推動全球結構化資訊標準的非營利組織OASIS Open發表了安全AI聯盟（Coalition for Secure AI，CoSAI），這是一個開源倡議，計畫建立一個協作生態體系，以分享與AI安全設計有關的方法、標準化框架及工具。

目前該聯盟已有3大工作任務，包括：AI系統的軟體供應鏈安全、促進防禦者為不斷變化的網路安全局勢做好準備、AI安全治理。這項計畫的主要贊助者有Google、IBM、Intel、微軟、Nvidia與PayPal，其他贊助者還包括Amazon、Anthropic、思科、Chainguard、Cohere、GenLab、OpenAI及Wiz。

資策會成立「FAITH未來移動安全信賴評測中心」，成為臺灣首個車輛軟體評測單位

資訊工業策進會（資策會）在7月22日宣布成立全臺首家「未來移動安全信賴評測中心（Formosa Automobility Intelligence Trustworthy Hub, FAITH）」，目的是樹立車輛軟體評測中心的標竿，填補產業標準規範、資安服務需求及技術諮詢不足的現況，希望透過第三方機構，建立AI感知、韌性通訊、資訊安全所需的評測機制與情境，以協助評估與確認移動產品的可靠度及安全，而其適用對象涵蓋晶片、模組、系統到Tier 1供應商及車廠等，可包含廣泛的產業鏈。

其他資安防禦措施

◆資安專家揭露企業導入SBOM軟體物料清單有六大常見迷思

◆美國釋出用來評估AI安全的Dioptra平臺

近期資安日報

【7月26日】資安業者KnowBe4驚傳僱用北韓駭客，對方利用深偽技術應徵工作得逞，直到從事可疑行為才東窗事發

【7月23日】臺灣企業因CrowdStrike產品更新造成電腦當機的情況，金融、資服、傳統製造、高科技製造業都傳出災情

【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐，至少影響850萬臺電腦、67萬企業用戶