资安业者Palo Alto Networks针对中国APT黑客TGR-STA-0043发起的攻击行动Operation Diplomatic Specter提出警告，黑客从2022年底，针对中东、非洲、亚洲的政府组织下手，至少有7个政府单位确认长期遭到网络间谍攻击，对方利用相当罕见的电子邮件渗透手法，对受害服务器进行大规模的情报收集工作。

这些黑客究竟如何入侵受害组织？研究人员指出，对方多半重复利用Exchange服务器的弱点，而能成功取得入侵的初始管道，其中两个经常被利用的漏洞，包含了ProxyLogon（CVE-2021-26855）、ProxyShell（CVE-2021-34473）。

他们也观察到黑客使用的后门程序TunnelSpecter、SweetSpecter，并指出两者皆采用部分木马程序Gh0st RAT的代码打造而成，TunnelSpecter着重于DNS隧道能力，而SweetSpecter则是与另一支名为SugarGh0st RAT的恶意软件存在相似之处。

JAVS法庭录像软件遭遇供应链攻击，攻击者在安装程序植入后门

资安业者Rapid7提出警告，他们发现在8.3.7版法庭录像解决方案JAVS Viewer发现后门程序，攻击者能够借此控制受害设备，呼吁已安装该版本程序的用户应尽速完整重设设备，并重设相关的帐密因应，并改用8.3.8版的JAVS Viewer。

研究人员在本月10日着手调查一起事故，发现受害电脑存放JAVS Viewer应用程序的当中，名为fffmpeg.exe的文件正在运行（正常应该ffmpeg.exe，而本次被侦测到异常的运行档文件名却多了1个f）。他们追踪后发现，其感染来源是名为JAVS Viewer Setup 8.3.7.250-1.exe的运行档，但值得留意的是，该文件于3月5日自JAVS网站下载，却经由发行授与者为Vanguard Tech Limited的Authenticode凭证进行签署。

对此，JAVS也在5月22日做出回应，表示他们借由持续监控并与政府机关合作，察觉有人窜改他们在网站上提供的8.3.7版JAVS Viewer，随后便撤下所有相关的文件，并重设密码，并对所有JAVS系统进行调查。

开源数据处理框架Apache Flink在3年前公布的弱点，美国CISA证实被用于攻击行动

5月23日美国网络安全暨基础设施安全局（CISA）将开源数据处理框架Apache Flink漏洞CVE-2020-17519，列入已被利用的漏洞名单（KEV），并要求联邦机构于6月13日前完成修补。

虽然CISA并未透露有关漏洞被利用的相关细节，无从得知攻击者的身分及目的，但值得留意的是，Apache基金会于2021年1月公告、修补这项漏洞，相关信息已被公布超过3年，也有研究人员公布概念性验证的攻击代码，这代表攻击者相关利用漏洞不需自行从头研究，后续可能有更多攻击者加入尝试利用漏洞的行列。

针对企业寄信测试员工资安意识，Google认为效果不彰，甚至可能带来危害

为了提升员工对于钓鱼信的警觉，许多企业借由发送测试信来了解员工的警戒程度，但Google资安事件经理Matt Linton近期却对此提出警告，这种做法劳民伤财且效果不彰，害处多过于好处。对此，他认为寄测试信前应事先预告，避免突击测试，才能达到真正的目的。

虽然这种做法概念类似火灾演练的测试，但实际上存在多种负面影响，首先是不具实质效果，再者是增加员工困扰并增加资安部门工作负担。

对此，Matt Linton提出说明，他表示这项演练工作运行多年下来，钓鱼邮件仍是黑客入侵企业组织内部环境的主要管道，而且，会中招的员工难以通过测试信件提高警觉。再者，则是测试信件的做法，很有可能导致承办的资安人员必须绕过系统防护机制，甚至是创建用来放水的白名单。最后是用户若是不慎误点信件，将增加资安部门工作负担，且有可能因此导致员工降低对公司的信任。

其他攻击与威胁

◆非洲、加勒比地区政府机关遭中国黑客组织Sharp Panda盯上

◆黑客声称提供杀毒软件为由，针对Windows、安卓设备散布恶意程序

◆乌克兰针对黑客组织UAC-0006的攻击行动升温提出警告，对方大肆借由钓鱼邮件散布恶意软件SmokeLoader

◆印度应用系统开发业者数据外泄，曝露当地军方及警察生物辨识数据

◆美国旅馆入住系统传出遭植入间谍程序pcTattletale

【漏洞与修补】

Google修补本月第4个Chrome零时差漏洞CVE-2024-5274

继5月15日Chrome发布125.0.6422.60/.61版本，修补高风险零时差漏洞CVE-2024-4947，23日再度发布125.0.6422.112/.113版本，这次是为了修补高风险漏洞CVE-2024-5274而来，请大家赶快到Chrome的「设置」或「说明」，点「关于Chrome」确认版本是否更新至此版以后的版本。

CVE-2024-5274存在Chrome采用的JavaScript引擎V8，Google仅简单描述问题是类型混淆（Type Confusion），与稍早揭露的CVE-2024-4947属于同类型的问题。回顾整个2024年5月，Chrome至今已累积发布4个零时差漏洞，令人担忧。

Firefox用于存取PDF文件的组件存在弱点，有可能被用于运行任意JavaScript代码

本月14日Mozilla基金会发布Firefox 126，当中修补PDF视图组件（PDF.js）高风险漏洞CVE-2024-4367，此漏洞发生的原因，在于处理字体时缺乏类型检查，导致能被攻击者用来运行任意JavaScript代码。

通报这项漏洞的资安业者Codean Labs上周也提出说明，指出PDF.js由JavaScript开发而成，但弱点并非来自此脚本的功能，而是字体的处理层面。为了验证此项威胁的可行性，他们借由特定参数触发PDF.js漏洞，从而插入任意的JavaScript代码并运行。

近期资安日报

【5月24日】研究人员揭露中国黑客组织APT41的作案工具KeyPlug，并指出有可能也提供当地资安业者安洵运用

【5月23日】微软推出AI电脑新功能Recall引发隐私争议，英国主管机官宣布启动调查

【5月22日】针对研究人员指控修补NAS操作系统漏洞速度太慢，威联通发布声明说明处理进度