提供云端沙箱测试环境的网站Any.Run指出，他们全体员工在上周收到借由内部员工发出的钓鱼邮件，经调查发现，原因是其中一名员工的帐号已经外泄所致，黑客企图利用他的帐号进行商业邮件诈骗（BEC）攻击。

事件最初发生于5月23日，一名销售团队的员工借由第三方服务收取钓鱼邮件，对方声称是之前曾经联系过的客户，这封信件内含可疑链接。为求保险起见，这名员工在27日将这封信发送至沙箱进行检查，确认上述链接是否有害，但他并未激活中间人代理服务器模式（MitM Proxy），使得入侵侦测系统Suricata IDS并未发挥作用，因此没有解开HTTPS流量并侦测是否含有恶意内容。但这名员工却在沙箱环境里，依照黑客指示输入帐密数据，而被对方得逞。

到了6月18日，黑客利用这名员工的电子邮件信箱，对所有联系人名单里的员工发送钓鱼信。而这些信件的内容，与已经受害的员工收到的信件雷同。使得该公司察觉异常，并采取行动。

5个上架到WordPress.org市集的插件程序遭到供应链攻击，被植入恶意脚本

专注于WordPress网站安全的资安业者Wordfence指出，他们本周留意到名为Social Warfare的插件程序，近期被WordPress.org插件程序市集的审查团队发现，遭人植入恶意代码，Wordfence通过内部的威胁情报平台进行比对，结果找到其他4个也被植入类似代码的插件程序，他们向审查团队通报此事，遭感染的插件程序自24日暂停提供下载，但究竟黑客如何上传这些有问题的插件程序，研究人员表示并不清楚。

而对于攻击者的动机，研究人员指出，一旦对方成功在网站植入恶意插件程序，就会试图创建新的管理员帐号，并将结果回传黑客控制的服务器。此外，黑客疑似借由注入恶意JavaScript代码，通过网站增加搜索引擎优化（SEO）的垃圾索引。

勒索软件黑客组织RansomHub锁定多种平台发动攻击，VMware虚拟化平台是他们的新兴标的

新兴的勒索软件黑客组织RansomHub今年初窜起，并声称接连针对美国医疗保健科技业者Change Healthcare、英国精品拍卖业者佳士得（Christie's）、台湾电脑制造商蓝天（Clevo）出手，引起不少研究人员高度关注。继之前资安业者赛门铁克公布相关调查结果，指出这些黑客疑似购买勒索软件Knight的源码打造自己的工具，并通过ZeroLogon（CVE-2020-1472）取得初始入侵的管道，有研究人员公布新的发现。

资安业者Recorded Future近期公布他们的调查结果，指出这些黑客也与许多勒索软件组织相同，不只针对Windows、Linux电脑下手，他们也使用勒索软件攻击VMware ESXi虚拟化环境，而这是首度有研究人员提及该组织针对虚拟化平台打造勒索软件的情况。

兆勤已终止支持的NAS设备再度遭到锁定，僵尸网络尝试利用甫公布的漏洞进行渗透

6月初兆勤（Zyxel Networks）针对半年前已经终止支持的NAS设备NAS326、NAS542发布紧急更新，破例修补重大漏洞CVE-2024-29972、CVE-2024-29973，以及CVE-2024-29974，如今传出已有漏洞被用于攻击行动的情况。

上周末Shadowserver基金会提出警告，他们侦测到类似Mirai的僵尸网络尝试利用CVE-2024-29973的迹象，呼吁用户应尽速套用缓解措施。

华硕在股市公开观测站发布重大消息，证实部分信息系统参数设置不当导致产品数据曝光

6月25日晚间电脑制造商华硕在股市公开观测站发布重大消息，指出他们发生部分产品数据不慎曝光的情况，原因是信息系统的参数设置出现问题造成。

该公司表示，他们找出组态错误的主机，随即视图数据存取相关的事件记录，清查可能外流的数据内容。但究竟数据曝光的范围及时间，华硕并未进一步说明。而针对这起事故可能带来的影响，他们初步评估，不会对公司营运及财务造成重大影响。但华硕也提及后续改善措施，表明将持续落实供应链管理及组态管理的审查，重新视图现有信息系统架构并持续精进。

其他攻击与威胁

◆专门锁定Redis服务器的僵尸网络P2PInfect出现新的攻击手法，黑客为其加入勒索软件模块

◆黑客组织Boolka锁定网站发动SQL注入攻击，意图植入木马程序Bmanger

◆金融木马Medusa锁定安卓用户下手，攻击范围遍及欧美7个国家

◆旧版浏览器网站兼容套件Polyfill被中国公司买下并植入恶意代码，恐影响10万网站

◆研究人员揭露新的攻击手法SnailLoad，借由网络延迟的变化推测用户的活动内容

【漏洞与修补】

Progress在6月底揭露与修补MOVEit两个重大漏洞

本周Progress在他们在自家网站的知识库公告MOVEit产品线有两个重大漏洞，分别是：位于文件传输代理服务器MOVEit Gateway的CVE-2024-5805，以及建置在内网环境的文件传输系统MOVEit Transfer的CVE-2024-5806，都是因为当中搭配的SFTP模块，居然允许略过身分认证的进程，所以产生资安漏洞，而这两个资安弱点的严重程度都被评为「重大」，CVSS分数高达9.1分。

值得留意的是，以监测漏洞暴露在互联网的全球威胁态势著称的非营利组织Shadowserver基金会，在6月25日Progress发布相关消息的当天，就观察到有心人士蠢蠢欲动。

关于CVE-2024-5806漏洞，设立于新加坡的新创资安厂商watchTowr其实在Progress公开之前，就已经收到知情人士的通报，因而提前得知这个当时尚未被揭露的弱点，也率先发布博客文章解析CVE-2024-5806的问题、概念验证攻击手法，以及修正与缓解方式。

【资安防御措施】

第二轮MITRE ATT&CK托管服务评估计划结果出炉，考验突然遭遇APT10与BlackCat攻击的反应力

自2022年MITRE Engenuity举办首次ATT&CK托管服务评估计划之后，相隔两年，2024年终于展开第二轮的评测，目的是考验资安托管服务供应商（MSSP）服务的能力。毕竟，虽然大型企业会重视资安侦测与回应产品的评估，但还有很多企业主要依赖MSSP来协助其保护资安，因此，这方面的技术能力评估同样重要。

MITRE在6月18日正式公布第二轮托管服务评估计划的评测结果，今年这次针对MSSP的评估计划共有11家厂商参与，包括：Bitdefender、BlackBerry、CrowdStrike、微软、Palo Alto Networks、Secureworks、SentinelOne、Sophos、趋势科技，还有SecurityHQ、Field Effect等。而他们实际遭遇的攻击模拟对手有两个，分别是menuPass与ALPHV/BlackCat。

近期资安日报

【6月25日】中国黑客组织RedJuliett近半年锁定台湾高科技产业、外交经济、社会运动团体从事网络间谍攻击

【6月24日】北美汽车经销商软件服务业者CDK Global遭攻击而停摆，传出是勒索软件BlackSuit所为

【6月21日】黑客组织Void Arachne借由提供中国用户翻墙工具、Deepfake人工智能工具散布恶意程序