為了方便民眾繳納規費，許多公營事業都在積極提供並推廣行動裝置App，有駭客假借這些資訊來散布手機惡意軟體，例如，5月資安業者Check Point發現名為FluHorse的安卓惡意軟體，就是假借遠通電收ETC的App對臺灣民眾下手。而類似的攻擊行動，最近也在日本出現。資安業者McAfee揭露針對日本民眾的惡意軟體SpyNote，攻擊者聲稱手機用戶的電費或水費欠繳，要求依照指示下載App進行處理。

勒索軟體Mallox的攻擊行動也相當值得留意，因為出現大幅增加的現象，駭客初期入侵受害組織的管道，就是針對微軟SQL Server而來。

中國駭客組織Storm-0558濫用微軟帳號（MSA）金鑰挾持25個組織的電子郵件，微軟已做出緊急處置，但有資安業者發現，駭客濫用的金鑰不僅能存取雲端電子郵件服務Outlook.com，還能登入其他微軟的服務。

【攻擊與威脅】

日本安卓用戶遭遇惡意軟體SpyNote攻擊

資安業者McAfee揭露針對日本安卓用戶而來的惡意軟體SpyNote攻擊行動，駭客自6月7日開始，假冒東京電力公司、東京都水道局（東京都自來水公司）的名義寄送簡訊，聲稱使用者因支付電費或水費出現異常，即將面臨斷電、斷水的情況，並附上網址要求用戶確認。一旦使用者點選連結，手機就會透過網頁瀏覽器下載冒牌的東京電力公司、東京都水道局App，若是安裝這些應用程式，手機就有可能感染惡意軟體SpyNote。

此惡意軟體濫用安卓作業系統的輔助功能及裝置管理員權限，竊取手機裡的使用者敏感個資，例如裝置資訊、聯絡人名單、寄送及收到的簡訊，以及通話記錄等，此外，還能竊取Google Authenticator的動態密碼，以及Gmail與臉書資料。

透過使用者授權啟用輔助功能的權限，此惡意程式能夠在背景運作，並開啟能從Google Play市集以外的來源安裝應用程式的權限，以便進一步部署其他惡意軟體。

勒索軟體Mallox鎖定微軟SQL Server而來

資安業者Palo Alto Networks提出警告，他們今年上半看到勒索軟體Mallox的攻擊行動大幅增加，較2022年下半增加了174%。

研究人員指出，這些駭客自2021年出沒，主要的入侵的管道都是透過微軟SQL Server，駭客藉由暴力破解來取得權限，成功後便使用命令列工具與PowerShell，從遠端伺服器下載勒索軟體檔案，然後利用WMI來執行Mallox，來進行檔案加密的工作。

為了讓檔案加密的流程順利，駭客會先利用一系列Windows內建程式，來阻斷處理程序，或是刪除備份資料，例如：透過sc.exe和net.exe，來終止並刪除SQL有關的服務；然後清除磁碟區陰影複製（Volume Shadow Copy）的備份資料、以wevtutil命令列工具清除系統的事件記錄、以takeown.exe竄改重要處理程序（如cmd.exe）的存取權限、以taskkill.exe終止防毒軟體有關的處理程序與服務等。比較特別的是，攻擊者也特別對於名為Raccine的勒索軟體反制工具，竄改電腦的機碼讓其功能失效。

逾1.5萬臺Citrix Netscaler伺服器曝露於CVE-2023-3519的風險當中

7月18日Citrix針對旗下的應用程式交付控制器NetScaler ADC（原名Citrix ADC）、SSL VPN系統NetScaler Gateway（原名Citrix Gateway）修補重大漏洞CVE-2023-3519（CVSS風險評分9.8），該公司表示已有人用於攻擊。但仍有不少IT人員尚未部署更新程式，而導致這些NetsScaler設備仍然曝露於上述漏洞的風險。

Shadowserver基金會的研究人員著手進行調查，發現至少有1.5萬臺伺服器存在上述漏洞，其中約有三分之一（5,700臺）在美國，德國、英國各有約1,500臺、1,000臺曝險。研究人員指出，部分存在漏洞的版本並未提供版本資訊，他們統計的數字可能遠低於實際曝險數量。

惡意軟體分析平臺VirusTotal對於資料外洩事件進行公開說明

上週惡意軟體分析平臺VirusTotal傳出資料外洩的事故，導致約有5,600筆用戶姓名的名單在網際網路上公開，包含了美國國家安全局（NSA）、德國情報單位的成員，以及臺灣、荷蘭、英國的政府機構。Google Cloud坦承確有此事，是VirusTotal員工作業過程不慎所致，現在他們對此提出進一步說明。

VirusTotal於7月21日發布公告，指出6月29日有員工不小心將CSV檔案上傳至VirusTotal網站，此CSV檔案的內容包含了進階用戶的部分資料，像是所屬公司、與VirusTotal有關的群組名稱、組織管理員的電子郵件信箱等。VirusTotal強調這起事故是人為疏失，他們沒有遭到網路攻擊。

針對中國駭客濫用的微軟帳號簽章，有研究人員警告影響範圍廣泛，攻擊者能用來存取其他微軟服務

7月中傳出中國駭客組織Storm-0558濫用微軟帳號（MSA）的簽章金鑰，偽造用於身分驗證的Token，進而取得約25個組織的電子郵件帳號 ，其中受害者不乏美國聯邦機構與政府官員，而引起當地媒體高度關注。對此，微軟已撤銷外洩的金鑰因應，並表示只會影響雲端電子郵件服務Outlook.com、Outlook Web Access in Exchange Online（OWA），但有研究人員認為影響範圍不只於此。

資安業者Wiz提出警告，駭客只要藉此MSA金鑰就能偽造Azure AD應用程式的Token，還能存取其他以微軟帳號登入的服務，例如：SharePoint、Teams、OneDrive等。研究人員認為，即使微軟已經撤銷此金鑰，組織的IT人員還是難以確認相關應用程式是否出現偽造Token的情況。

勒索軟體駭客Clop建置可透過網際網路存取的網站，公布受害組織的內部資料

勒索軟體駭客Clop疑似索討贖金不成，傳出竟在網際網路上公布部分受害組織遭竊資料。根據資安新聞網站Bleeping Computer的報導，研究人員Dominic Alvieri看到駭客開始模仿勒索軟體駭客BlackCat的手法，在網際網路架設數個公開網站，洩露普華永道（PwC）會計師事務所、怡安（Aon）、安永會計師事務所（Ernst & Young）、好市多旗下品牌科克蘭（Kirkland）、線上股市交易平臺TD Ameritrade的資料。但有別於BlackCat建置了受害組織的查詢資料庫，Clop的網站僅提供外洩資料下載。

【資安產業動態】

7大業者承諾促進AI安全

包含OpenAI在內，微軟、Amazon、Google、Meta、Anthropic、Inflection等7家大型人工智慧業者，在7月21日一起向美國白宮提出安全承諾，將協助AI技術朝向安全、可靠、更為透明的方向進行發展。這些業者將在推出相關產品之前確保其安全，亦會以安全為優先來建置系統。

公開向政府承諾之餘，上述業者也表示，會與業界、政府、社會、學術界分享AI管理的資訊，也將投注網路安全及內部威脅管理，保護私有及尚未公布的機器學習語言模型；在此同時，他們也會尋求與第三方單位合作，以找出AI系統的漏洞。

【