中國駭客運用惡意軟體框架Winos 4.0從事攻擊行動的情況，今年已發生數起資安事故，例如：6月趨勢科技揭露駭客組織Void Arachne的攻擊行動，假借提供AI應用程式的名義，向簡體中文用戶散布這款惡意軟體；到了11月初，另一家資安業者Fortinet指出，有人利用這款惡意程式框架疑似鎖定教育機構下手，如今相關的攻擊行動再度傳出。

資安業者Rapid7指出，他們在11月初發現了名為CleverSoar的惡意程式部署工具（Installer），攻擊者的主要目標，是慣用簡體中文與越南文的使用者。駭客意圖利用這款部署工具在受害電腦植入多種惡意程式，並保護這些軟體的運作不受到干擾。

而這些對方使用的惡意程式，包含了Winos 4.0進階版本，以及名為Nidhogg的Rootkit程式。攻擊者能夠用來側錄鍵盤輸入內容、資料外洩、繞過安全防護措施，甚至能進一步控制受害電腦。究竟攻擊者的目的為何？研究人員推測，主要很有可能是為了進行更深入的監控，並且截取特定的資料。

日本遭APT-C-60網釣攻擊，濫用StatCounter、Bitbucket並意圖散布SpyGlace後門

日本電腦網路危機處理暨協調中心（JPCERT/CC）指出，他們得知駭客組織APT-C-60於今年8月攻擊日本企業組織，對方佯裝成求職者向人資窗口寄送釣魚信，意圖散布惡意程式。

在這波攻擊行動裡，駭客寄送含有Google Drive連結的釣魚信，一旦收信人點選連結，電腦就會下載含有惡意程式的VHDX虛擬磁碟檔案，該檔案內含誘餌及Windows捷徑檔（LNK）。

收信人若是點選附件，電腦就會掛載虛擬磁碟並顯示偽製成自我介紹的LNK檔案，一旦開啟，電腦就會啟動檔名為IPML.txt的Shell檔案，此Shell程式就會下載惡意程式下載工具SecureBootUEFI.dat，並以COM挾持（Component Object Model Hijacking）的方式執行，藉此讓攻擊者在受害電腦持續活動，最終於受害電腦植入後門程式SpyGlace。

惡意程式GodLoader迴避偵測出現新手法，駭客濫用遊戲引擎感染1.7萬臺電腦

最近2年駭客利用合法元件癱瘓防毒軟體及EDR系統的情況，不斷有資安事故傳出，其中最常見的手法，便是使用過時的驅動程式，以作業系統核心層級來干擾這些資安防護機制的運作，但如今有人轉向其他工具來突破防線。

資安業者Check Point指出，他們發現名為GodLoader的惡意軟體，從今年6月底開始透過開源遊戲引擎Godot，並執行特製的GDScript指令碼，駭客藉此觸發惡意指令，並於受害電腦載入惡意軟體，迄今約有1.7萬臺電腦遭到感染，而且，許多防毒軟體可能無法偵測攻擊者使用的惡意指令碼，因為將這些程式送到惡意軟體分析平臺VirusTotal檢測，鮮少有防毒引擎將其視為有害。

值得留意的是，該惡意軟體散布的管道，是濫用程式碼儲存庫GitHub組成的Stargazers Ghost網路，從9月至10月，約有200個儲存庫用於散布GodLoader。

因不滿成為OpenAI宣傳影片生成器Sora的工具，受邀測試的藝術家洩露存取權限

一群被OpenAI邀請來測試文字轉影片AI模型Sora的藝術家，因為認為自己被OpenAI免費用來行銷Sora，而在Hugging Face上釋出了Sora的存取權限。不過，OpenAI在3小時後就關閉了針對藝術家所提供的早期存取權限。

而該藝術社群在11月26日發表公開信，指出約有300名藝術家獲得了Sora的存取權限成為早期測試者、紅隊成員，以及創意合作夥伴，然而，他們卻認為自己是被OpenAI引誘以替其展開藝術漂白，向全世界說明Sora對藝術家來說是個有用的工具。

公開信中闡述，藝術家們使用Sora所生成的影片，在對外分享之前都必須獲得OpenAI團隊的批准，此一早期存取計畫似乎不太關心創意表達與批評，而更在意公關及廣告。對此，他們公開取得的存取權限，讓一般使用者也能探索、實驗Sora的能力。

其他攻擊與威脅

◆中國駭客Earth Kasha從事網釣攻擊，意圖對日本企業散布後門程式Anel

◆越南駭客透過企業臉書帳號散布竊資軟體VietCredCare、DuckTail

◆針對遭遇中國駭客Salt Typhoon入侵的事故，T-Mobile公布最新調查結果

◆北韓駭客半年內竊取逾1千萬美元加密貨幣、針對衛星與軍事系統從事網釣攻擊

其他漏洞與修補

◆網路流量監控系統Zabbix存在重大層級漏洞，恐被用於SQL注入、RCE攻擊

【資安防禦措施】

行政院推打詐策略行動綱領2.0，提高產業防詐監管力度、AI科技防詐是關鍵

為遏止詐騙盛行，行政院推動新世代打擊詐欺策略行動綱領2.0版（後簡稱打詐策略行動綱領2.0），除強化金融、電信產業的防詐策略，也擴大納入數位經濟產業，提高對產業監管力度以對抗各種詐騙手法，並且積極運用AI以強化科技防詐。

打詐策略行動綱領2.0，打詐辦公室轉型為打詐指揮中心，分為識詐、堵詐、防詐、阻詐、懲詐5個面向，分別由內政部、NCC、數發部、金管會、法務部負責，各自針對警政宣傳、電信產業、數位經濟產業、金融產業、偵查提出打詐對策，並由打詐指揮中心跨部會協調合作，2.0也加強中央政府和地方政府合作，取得通報、共同打詐防詐。

【資安產業動態】

AWS與Rust基金會攜手，驗證Rust標準函式庫的安全性

AWS與Rust基金會11月20日共同舉辦新競賽，期望號召社群的力量，來驗證Rust標準函式庫的安全性。

AWS表示，由core、alloc與std等套件組成的Rust標準函式庫，替開發者提供了許多常用的功能，這些功能在外部看起來是安全的，但它們在內部可能使用了unsafe區塊來實現一些低階的高效能操作或硬體互動，而且並未經過真正的安全驗證。

因此，AWS與Rust基金會共同推出一系列的挑戰賽，專注於驗證記憶體安全，以及Rust標準函式庫中未定義行為的子集，參與者可以透過指定合約、驗證函式庫元件，或是開發新的驗證工具來作出貢獻，而且每項成功的挑戰都可獲得獎勵。本競賽的最終目標，是要讓驗證成為Rust語言持續整合過程中不可或缺的一部分。

近期資安日報

【11月28日】第一款針對Linux主機的UEFI Bootkit現身

【11月27日】攻擊者串連Firefox與Windows的零時差漏洞，能在使用者毫無察覺的狀況下植入惡意程式

【11月26日】軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊，客戶受到波及