针对这样的现象，研究人员指出，他们看到这种国家级黑客的网络攻击行动与日遽增，如今已影响至少超过三分之一美国民众，而且，这些攻击的规模及复杂程度都不断增加，其共通点在于，黑客锁定浏览器而来，并不断调整战术，使得现有的上网安全管制机制，例如：上网安全闸道（SWG）、安全服务边界（SSE），难以遏止相关攻击行动。

针对这3起攻击行动，该资安业者也点出了其规模及态势。他们发现黑客利用超过3千个网域，并针对政府机关及10个以上的产业而来其中，黑客发送的大量恶意链接当中，用户被引诱而点击连入的比例高达60％，但他们也提及，其中有四分之一的网址，无法通过URL过滤机制察觉有害。

查看软件开发人员职缺信息要小心！研究人员揭露间谍软件MerkSpy攻击行动，黑客散播可滥用已知MSHTML漏洞Word档作为网络钓鱼诱饵

2021年9月被揭露、黑客曾大肆利用的MSHTML零时差漏洞CVE-2021-40444，如今传出有人再度利用这项漏洞，将其用来散布恶意程序。

资安业者Fortinet揭露近期利用这项漏洞的攻击行动，主要针对北美和印度而来。对方先是通过内含软件开发人员职缺的工作说明Word文件，一旦用户打开，就有可能触发CVE-2021-40444，从而向远程服务器取得有效酬载olerender.html。但究竟黑客如何散布上述恶意Word文件，研究人员并未说明。

一旦启动，这个HTML文件便会检查受害电脑的操作系统组态，并解开嵌入的Shell Code，然后截取Windows操作系统的API「VirtualProtect」和「CreateThread」，从而在受害电脑植入间谍软件MerkSpy，并能在系统内秘密运作。

其他攻击与威胁

◆黑客组织8220锁定Oracle WebLogic服务器已知漏洞而来，通过PowerShell脚本散布挖矿软件

◆CISA针对地理位置信息服务器GeoServer、Linux内核、邮件服务器Roundcube遭到利用的漏洞提出警告

◆今年初公布的D-Link无线路由器DIR-859重大层级信息泄漏漏洞传出遭到利用，黑客用来收集设备的帐密信息

◆冒牌IT技术支持网站假借提供PowerShell脚本「修补」Windows臭虫，并通过YouTube频道散布

【漏洞与修补】

GitLab存在重大漏洞，攻击者可冒用任意用户身分运行Pipeline工作流程

6月26日GitLab针对社群版（CE）及企业版（EE）发布重大修补更新17.1.1、17.0.3、16.11.5版，总共修补14个漏洞，其中最值得留意的部分，是列为重大层级的CVE-2024-5655，CVSS风险评为9.6分。

这项漏洞影响15.8至16.11.4、17.0.0 至17.0.2，以及17.1.0至17.1.0版，无论CE或EE版都会受到影响。开发团队指出，一旦攻击者触发漏洞，就可能在特定情况下，以其他用户的身分存取Pipeline工作流程。

虽然目前此漏洞尚未出现遭到利用的迹象，但有鉴于资安问题极为严重，开发团队呼吁用户应尽速套用新版程序。

其他漏洞与修补

◆Juniper Networks紧急修补重大层级身分验证绕过漏洞CVE-2024-2973

【资安产业动态】

推动零信任架构加速资安转型，台北市府今年内发布AI使用规范

「至少在我任期内，台北市政府正转型朝向实践零信任的政府机关」，台北市政府信息局长赵式隆一语道出，台北市正推动资安转型。赵式隆以零信任作为分水岭，他将零信任之前视为旧资安，而在零信任之后则是新资安，过去北市在旧资安已打下良好基础，然而面对层出不穷的风险，台北市为强化资安，近几年积极推动资安转型至新资安。

台北市一方面规画配合中央政府的政策推动零信任架构，另方面也与时俱进，与外部业者合作，汲取国外的新观念及作法，例如台北市与Cisco在资安方面签署合作备忘录，将国外的观念作法引进国内，针对国内的环境、法规架构，先进行POC测试，评估是否适合引进国内，作为后续扩大投资参考。

近期资安日报

【6月28日】前几天Polyfill.io供应链攻击事件曝光震撼整个IT界，后续传出中国CDN业者另起炉灶，再度对10万网站下手

【6月27日】旧版浏览器网站兼容套件Polyfill.io被中国公司买下，惊传被植入恶意代码，恐影响逾10万网站

【6月26日】恶意软件沙箱服务业者Any.Run遭到网钓攻击，所有员工收到内部人员寄来的钓鱼信