在這一週的漏洞消息中，資安研究團隊Shadowserver在X社群平臺指出，Juniper在17日修補Junos OS中J-Web介面的漏洞CVE-2023-36844，在25日發現有攻擊行動出現，並且同日已有概念性驗證（PoC）攻擊程式公開。

在攻擊活動焦點方面，我們認為有3起最新揭露值得密切關注，因為臺灣企業、政府組織均成為這些惡意活動的目標之一。以下是本週重大攻擊事件揭露：

●駭客組織Earth Estries網路間諜活動，他們年初開始針對臺、美、德、南非、馬來西亞、菲律賓的政府組織與科技業下手，其攻擊手法會部署Cobalt Strike來投放更多惡意程式，並在每一輪的攻擊活動當中，會定期清除後門程式再重新部署。
●中國組織UNC4841鎖定Barracuda郵件閘道漏洞攻擊，最近有新發現，今年5、6月共有兩波新攻擊，對象是政府、高科技、資訊、電信、製造。
●中國駭客組織Flax Typhoon攻擊手法，該團體2021年開始鎖定臺灣政府、教育、製造、資訊等數十個單位，東南亞、北美、非洲的組織也是其目標。其手法包括部署僅4 KB的Web Shell中國菜刀（China Chopper），利用名為Invoke-WebRequest的PowerShell指令碼，以及部署SoftEther的VPN用戶端程式等。

在攻擊態勢與事件方面，近期以勒索軟體攻擊，以及攻擊者鎖定企業從IT服務業者下手的消息最受矚目，並且有相當多關於中國駭客攻擊活動的揭露。

●勒索軟體Play近期攻擊行動鎖定安全服務代管業者下手，並利用遠端監控及管理（RMM）軟體繞過防護，進而取得目標組織完整的存取權限。
●倫敦警局因負責列印通行證及授權卡的供應商的IT承包商遭遇網路攻擊，導致4.7萬名警官與員工資料外洩。
●有駭客利用LockBit 3.0產生器打造近4百個變種，經調查後發現，當中使用的橫向感染手法，有90%利用PSEXEC執行，有72%濫用群組原則物件（GPO）。
●MalDoc in PDF攻擊手法的揭露，攻擊者會在PDF檔案埋藏惡意Word文件，由於防毒引擎根據其檔案標頭視為PDF檔來分析，當使用者以電腦檢視該檔時，卻視為Word檔案而開啟。
●波蘭國家鐵路（PKP）的無線電通訊網路在25日晚間遭駭，有攻擊者多次在斯德丁城市附近向火車發出停止的命令，且訊號中穿插俄羅斯國歌與普丁演講聲音。
●在Meta掃蕩發送垃圾訊息帳號的最新成果中，發現Spamouflage的大規模網路操弄活動，駭客在50多個社群平臺散布讚揚中國與新疆省、批判美國等西方國家的訊息，主要鎖定臺、美、澳、英、日本，以及其他使用中文的用戶。

其他威脅活動，我們也需要注意後續發展態勢，包括：出現鎖定程式語言Rust開發者的新攻擊行動，風險控管業者Kroll員工遭遇SIM卡挾持攻擊、以及中國間諜利用LinkedIn收集英國機密資料，中國駭客組織製作間諜軟體BadBazaar鎖定鎖定烏克蘭、波蘭、荷蘭、西班牙等Telegram及Signal用戶的揭露。

而在臺灣本地的重大資安事件方面，以直播平臺17Live指控綠界科技金流系統出現漏洞的消息受廣泛關注，但雙方目前各執一詞。整體資安的推動工作上，本周有兩大焦點，分別是：我國資安院建立通用人才職能框架有新進展，已定義「12+7」種類型，年底首波培訓課程將為資安長開課，此外數位政府高峰會在30日舉行，當中不僅介紹了政府數位應用的最新發展，對這一年來重要資安進展，也有專家與官員做出說明。

【8月28日】中國駭客Flax Typhoon鎖定臺灣組織而來，發動寄生攻擊

面對臺海的緊張局勢，中國駭客鎖定臺灣的任何攻擊行動格外受到關注。上週微軟揭露的新駭客組織Flax Typhoon，就鎖定臺灣數十個企業組織下手，進行長時間的網路間諜行動，值得一提的是，駭客為了隱匿攻擊行動，大量就地取材，運用寄生攻擊（LOLBins）手法，儘可能使用最少的惡意軟體來達成目的。

無論是提升權限、建立遠端存取的管道，或是在受害組織的內部網路進行橫向移動，這些駭客大部分都利用Windows作業系統內建元件來進行，使得資安人員難以察覺異狀。

【8月29日】勒索軟體LockBit製作工具外流，不到一年出現近400個變種

惡意昭彰的勒索軟體LockBit 3.0，去年有人將製作工具流出，當時研究人員認為可能會被其他駭客用於大量產生所需的勒索軟體，這樣的情況本週終於得到證實。資安業者卡巴斯基近期透露，他們一共看到396個LockBit變種，並確認至少有四分之三是該工具產生。

值得留意的是，雖然駭客多半是應付緊急需求才使用此製作工具產生攻擊程式，大部分皆採用預設配置，但同時也貝備橫向感染的能力。

【8月30日】駭客在PDF檔案裡埋藏惡意Word文件來發動攻擊，藉此躲過資安系統偵測

迴避資安系統偵測的網路威脅滲透方式千變萬化，過去曾出現運用兩種以上檔案格式／多型態（Polyglot）檔案來散布惡意程式的手法，最近類似的攻擊行動再度出現。例如，日本電腦網路危機處理暨協調中心（JPCERT/CC）揭露的攻擊手法MalDoc in PDF，駭客製作同時擁有PDF及DOC檔案特徵的惡意文件，企圖混淆網路威脅偵測技術的判斷，研究人員指出，大部分防毒軟體會將這類內容視為PDF檔案進行解析，而無法察覺駭客在Word檔案埋藏的惡意巨集。

【8月31日】駭客組織Earth Estries從事網路間諜活動，包含臺灣在內的多國政府機關、科技業者成為目標

中國駭客攻擊行動日益頻繁。幾乎每天都會出現在資安新聞當中，但今天更誇張，幾乎全部都與他們有關。這群駭客的攻擊目標從企業組織的應用系統、行動裝置應用程式、郵件安全閘道，甚至是透過社群網站來散布各式吹捧中國、批判西方國家的訊息。這樣的威脅態勢，可說是變得越來越險峻。值得留意的是，這些攻擊行動當中，大多都把臺灣視為主要目標，我們無法再置身事外。

【9月1日】AI程式碼編譯網站Sourcegraph證實遭遇網路攻擊，起因是工程師提交程式碼出錯，導致Token外洩而被奪權

工程師不慎在程式碼裡帶入重要的帳密資料，且並未採取保護的情況，過往有不少研究人員揭露極其氾濫的現象，但如今出現真實的資安事故。AI程式碼編譯網站Sourcegraph昨（8月31日）證實遭遇網路攻擊，駭客濫用其網站管理者的權限大規模呼叫API，影響該網站的運作。

但駭客究竟如拿到管理員權限？起因竟是有工程師在提交程式碼的內容裡，不慎讓管理者的Token曝光，而讓攻擊者有機可乘。