资安业者Sansec于6月底警告polyfill[.]io供应链攻击事故引起各界高度关注，使用此浏览器兼容性程序库的网站，会导致使用者被导向赌博网站或是恶意网站。事隔数日，经营者声称通过polyfill[.]com继续提供服务，但究竟有多少网站受到影响？有研究人员提出新的调查结果。

上周资安业者Censys表示，截至7月2日，他们总共侦测到384,773台网页服务器，会在HTTP回应当中，含有https://cdn.polyfill[.]io或https://cdn.polyfill[.]com。这些服务器大部分位于德国，约有23.7万台位于Hetzner主机代管业者的环境（AS24940）。

根据Google向广告业者警告黑客同时经营bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org，若是包含这些恶意CDN服务在内，Censys表示受害范围将扩及1,637,160台主机，若与先前资安研究团队MalwareHunterTeam估计的30万至35万台相比，现在暴增至约为5倍以上的规模。

专攻Linux系统的僵尸网络病毒Zergeca浮上台面！因资安公司拦截到加壳恶意程序，后续有人上传VirusTotal测试是否能被侦测而曝光

中国资安业者奇安信揭露在5月下旬发现的DDoS僵尸网络Zergeca，研究人员指出对方以Go语言打造而成，具备6种DDoS攻击方式，除此之外还能充当代理服务器，或是用来进行网络扫描、文件传输、收集设备敏感数据，也能作为反向Shell使用。值得留意的是，这个僵尸网络病毒还具备自我更新的功能，并能设法在受害电脑上持续运作。

研究人员也特别提及此僵尸网络在网络通信的层面有多项独特的地方，其中，他们发现对方主要使用DNS over HTTPS（DOH）解析C2通信内容，但这个僵尸网络病毒还具备其他数种解析DNS的能力；再者，攻击者运用罕见的串流通信程序库Smux创建与C2服务器的通信，并通过XOR算法加密通信流量。

他们也说明为何会特别关注这支僵尸网络病毒的动机，对方从不同国家上传Zergeca至恶意软件检测平台VirusTotal测试是否能被侦测，引起他们注意并着手进行调查。

WordPress、Magento、OpenCart网站遭到新型态信用卡侧录工具Caesar Cipher Skimmer锁定

资安业者Sucuri揭露同时锁定不同电子商务平台发动攻击的信用卡侧录程序Caesar Cipher Skimmer，这是名为gtag的侧录工具变种，并在近期侦测到大量攻击的情况，他们在2周内得知近80起事故。

他们指出攻击者锁定的目标，涵盖多种内容管理平台（CMS）及电子商务平台，包括部署WooCommerce插件程序的WordPress平台，以及Magento和OpenCart。研究人员表示，虽然黑客使用相同恶意程序攻击不同电商平台相当常见，但大部分都是先后锁定不同环境下手，像这次一口气攻击多种平台的情况算是罕见。

针对这起攻击行动的手法，研究人员指出对方企图将恶意代码伪装成网站分析工具Google Analytics、网站关键字管理工具Google Tag Manager，并经过混淆处理。经过他们的分析，这些代码使用了「凯撒密码（Caesar Cipher）」重新编码恶意内容，目的是隐藏用来存放恶意酬载的网域。

其他攻击与威胁

◆Cloudflare的DNS解析器传出遭遇边界闸道协定挟持攻击

◆大型售票业者Ticketmaster数据外泄事故出现新的发展，对方公布44万张泰勒丝巡回演唱会门票条码进行施压

◆台美联手合作，查获通过非法交易市集Genesis Market购买台湾民众个资的嫌犯

◆中国黑客组织Dragon Bridge针对台湾总统大战散布不实消息，Google下架6.5万个YouTube频道与Blogger博客

◆黑客假借提供知名AI应用程序散布Rilide Stealer、Vidar Stealer

近期资安日报

【7月5日】微软年初遭俄罗斯黑客APT29入侵事故有新的进展，美国地方政府、军事单位传出受到波及

【7月4日】欧洲最大云端服务供应商揭露DDoS攻击规模与日俱增的现象，并指出大多恶意流量来自MikroTik路由器

【7月3日】巴基斯坦黑客假借提供安卓应用程序发动攻击，意图散布恶意软件CapraRAT，目的是为了监控特定用户