芯片大厂AMD的产品研发、客户数据及员工信息等机密数据疑似外泄，本周遭人在黑客论坛公然兜售。资安研究人员Dark Web Informer发现初始入侵管道掮客IntelBroker在黑客论坛BreachForums上，张贴出售疑似6月窃自AMD公司系统的文件信息，并要求以门罗币（XMR）交易。

黑客宣称这批数据报括AMD未来产品、产品规格表、员工数据库、客户数据库、智财文件、代码、固件和财务数据。外泄的员工信息包含用户ID、姓氏、名字、工作内容、公司电话、邮件信箱等，黑客提供部分文件的屏幕撷图作为佐证。

对此，AMD对英国媒体The Register表示他们已经报警，将与执法单位及第三方资安业者合作调查此事。AMD外泄的数据有多少不得而知，而这批数据如何外流，目前也不明朗。

中国黑客组织发起钓鱼短信攻击Smishing Triad规模扩大，锁定巴基斯坦用户发送恶意消息

去年中国黑客组织发起的大规模网钓短信攻击行动Smishing Triad，这些黑客先是针对美国、欧洲下手，后来又将范围延伸至阿拉伯联合酋长国（UAE），如今他们也针对巴基斯坦发起攻击行动。

资安业者Resecurity提出警告，他们发现最新一波的Smishing Triad攻击行动，对方假冒巴基斯坦邮政局的名义，借由iMessage或是短信，向电信业者的用户发送恶意消息，目的是窃取民众的个资与财务数据。

对此，巴基斯坦电脑网络紧急应变团队（PKCERT）也发布资安公告，提醒当地民众提高警觉，并指出黑客除佯称巴基斯坦邮政局，也冒用快递业者TCS、Leopard、FedEx的名义行骗。

研究人员揭露针对机器学习模型而来的攻击手法Sleepy Pickle

资安业者Trail of Bits揭露针对机器学习（ML）模型的攻击手法Sleepy Pickle，这项手法针对广泛使用的文件格式Pickle而来，攻击者可用来破坏模型本身，从而对使用该模型的终端用户下手。

他们展示了3种型态的Sleepy Pickle攻击手法，从而让生成式AI输出有害内容及散布假消息、窃取用户的数据，或是发动网络钓鱼攻击。研究人员指出，虽然攻击者只需插入恶意链接，但也可以结合更复杂的内容，包含JavaScript代码，或是跨网站脚本（XSS）弱点，从而在回传用户的内容注入恶意脚本。

曾介绍群晖产品的脸书粉丝专页被黑客盯上，歹徒冒用该公司名义发出侵害智财权的钓鱼信

上周台湾NAS设备供应商群晖科技（Synology）提出警告，他们在6月12日得知，有人冒用他们的名义寄送钓鱼邮件，并以耸动的主旨和内容，意图诱骗收件人打开附件，或是点击恶意链接，一旦收件人照做，就有可能遭到对方勒索，或是遭到进一步攻击。

针对该公司提出的警告，我们也进一步向群晖确认。该公司表示，黑客锁定脸书粉丝专页的管理员，佯称是群晖的法律代表，通过Gmail向专页的公开联系信箱寄送钓鱼信，信件主旨是「关于知识产权侵权的紧急通知」，声称粉丝专页非法使用群晖的图片、「视频」，收信人必须下载附件进行后续处理，否则将面临严重后果。但实际上，若是收信人照做，他们将有可能启动附件内含的恶意软件，导致电脑遭到感染。

其他攻击与威胁

◆网钓工具套件租赁服务Onnx锁定金融业的Microsoft 365帐号而来

◆后门程序BadSpace通过被感染的WordPress网站散布

◆黑客锁定公开的Docker API下手，从而部署恶意程序并挖掘加密货币

◆有人假借提供思科Webex视频会议软件，意图散布窃资软件Vidar Stealer

◆研究人员揭露锁定亚太地区的恶意软件Noodle RAT

【漏洞与修补】

VMware修补vCenter Server的远程运行漏洞

6月18日VMware修补了位于vCenter Server的3个安全漏洞，其中的CVE-2024-37079与CVE-2024-37080属于重大层级的内存缓冲区堆栈溢出漏洞，可导致远程程序攻击，CVSS风险评分高达9.8，另一个CVE-2024-37081则是本地端权限扩充漏洞，CVSS风险评分为7.8。

上述两个重大层级漏洞，起因是该公司在实作DCERPC通信协定出错，攻击者一旦能够发送特制网络封包触发漏洞，就有机会存取vCenter Server，并导致远程代码运行。

【资安产业动态】

Google宣布启动台湾资安人才培育计划，目标在明年底培育2千名人才

6月17日Google宣布，为了增加台湾的资安实力，他们启动「Google台湾资安人才培育计划」，这项计划将与数位发展部、信息工业策进会（资策会）、台北科技大学（北科大）合作，免费提供Google资安专业证书（Google Cybersecurity Certificates）训练课程，加速培养更多资安专家。

他们目前提供资策会及北科大各500个免费帐号，目标是在明年底培养2千名资安人才。而这是在去年该公司通过旗下基金会Google.org捐款100万美元赞助资安院「NICS台湾资安计划」后，对于提升台湾资安实力的最新行动。

这些课程由该公司资安专家设计、授课，内容涵盖风险识别、网络与设备保护、资安事件应对、资安分析师必备的Linux、SQL、Python 工具操作，以及职场沟通技巧等八大主题，总时数为181个小时，包含视频、阅读、考试，以及实务演练。

全球最大ZDI零日漏洞悬赏计划负责人剖析垂直产业漏洞管理四类型，更提出GenAI对未来漏洞揭露的影响

2023漏洞事件层出不穷，从Progress旗下的MFT文件共享系统、NetScaler网络设备、HTTP/2通信协定漏洞、到解压缩软件常用的WinRAR工具漏洞，影响更遍及各行各业，导致这些企业内部的机敏数据外泄。在2024 CYBERSEC台湾资安大会首日主题演讲中，趋势科技威胁研究副总Brian Gorenc剖析各产业软件漏洞生命周期各阶段的挑战，以及应对策略。

这两年生成式AI快速窜红，Brian Gorenc相信生成式AI将会对现有的漏洞发现和揭露过程产生影响，例如，黑客可能利用生成式AI或LLM来加快新漏洞的创建，未来也可能影响漏洞揭露的流程。

【资安关键人物】

产业创新条例的修订，推动「资安产业化」以及「产业资安化」是主要目标

台湾资安政策的演进，在过去十年成为引人注目的焦点。随着蔡英文总统的两个任期──八年的执政，台湾的资安政策走上更加积极的道路，尤其是她在任内制定「资安即国安」的国家战略方针，不仅对台湾的资安环境带来重大的影响，也在全球资安治理引起了高度且广泛的注意。

数位发展部数位产业署署长吕正华表示，「资安产业化」和「产业资安化」一直是政府在推动资安发展时重要的工作项目，并列为重要的政策目标。吕正华认为，这意味着政府不仅仅关注于提升资安产业的竞争力，同时也重视于提升整个产业链的资安水准。

近期资安日报

【6月18日】未补漏洞且暴露在外网的旧款F5 BIG-IP设备成黑客入侵企业内部环境的破口，中国黑客潜入窃密长达3年

【6月17日】日本影音共享平台Niconico、角川书店传出服务中断近一周，起因是数据中心遭勒索软件攻击

【6月14日】勒索软件黑客组织Black Basta在微软提供漏洞修补3个月前，利用掌握到的资安弱点打造攻击工具