上周AT&T提交给美国证券交易委员会（SEC）的8-K文档，当中指出黑客在今年4月存取了第三方云端平台的AT&T工作区，并拷贝了内含AT&T客户通话及短信交互的记录，且几乎所有的AT&T行动客户都遭到波及。根据AT&T今年第一季的财报，该公司的，行动订阅用户数为1.145亿名。

根据AT&T于文档中的说明，他们是在4月19日发现有黑客宣称已取得该公司的通话纪录，于是立刻启动事件回应流程，调查发现，黑客是在4月14日至4月25日间，非法存取位于第三方云端平台上的AT&T工作区，拷贝并转移了包含AT&T客户通话及短信交互纪录的文档。

值得留意的是，虽然该公司并未透露第三方云端服务供应商的名称，但根据外电报导，该服务供应商为Snowflake。Snowflake专门提供云存储及分析服务，为美国纽约股市的上市公司，在Ticketmaster于5月传出数据外泄之后，Snowflake股价已从160美元左右下滑至135美元。

苹果警告佣兵间谍软件锁定98国iPhone用户

根据科技新闻网站Techcrunch报导，苹果对98国iPhone用户发布威胁通知，警告部分用户的Apple帐号遭到佣兵间谍软件（mercenary spyware）攻击。

该公司侦测到用户遭到佣兵间谍软件锁定，此软件试图远程存取和Apple ID -XXXX关联的iPhone。用户可能基于其身分或从事的工作而被这些软件锁定。苹果说，虽然无法100%确定，但该公司对其侦测结果具高度信心，并请用户不要轻忽。而这并非该公司首度发出此类通报，去年10月、今年4月，该公司也针对这类威胁发出警告。

中国黑客APT41使用恶意程序DodgeBox于受害电脑加载MoonWalk后门，过程中采用罕见回避侦测手法

随着全球对于信息安全的重视，黑客也使用过往极为罕见的手法来回避相关防御机制，使得防守方应对相关威胁难度大幅提升。

例如，资安业者Zscaler在今年4月发现过往未曾公开的恶意程序下载工具DodgeBox，就是这样的情形。研究人员进一步分析发现，此恶意软件与另一支中国黑客组织APT41使用的恶意程序StealthVector的变种有相似之处，DodgeBox的主要功能，是用来在受害电脑下载名为MoonWalk的后门程序。此后门程序通过Google Drive进行C2通信。

研究人员指出，DodgeBox采用多种回避侦测的手法，包括：调用内存堆栈欺骗（Call Stack Spoofing）、DLL侧载、DLL处理进程挖空，以及环境护轨（Environmental Guardrails）。MoonWalk具备进阶功能，像是滥用Google Drvie作为C2信道，以及通过Windows Fibers回避杀毒软件及EDR的侦测。

日本针对北韩黑客Kimsuky的攻击行动提出警告

北韩黑客组织Kimsuky近期的动作频频，不时传出发动网络攻击的情况，其中有不少是针对韩国而来，但邻近的日本也是被锁定的目标，他们国内企业组织最近传出也遭到这些黑客攻击的消息。

7月8日日本电脑紧急应变团队暨协调中心（JPCERT/CC）发布资安公告，表示在今年3月侦测到北韩黑客组织Kimsuky的攻击行动，并公布对方的作案手法，供当地的企业组织作为防御相关攻击的参考。

在当时发生的资安事故，他们看到这些黑客假冒资安机构或是外交组织，对目标企业或组织寄送电子邮件，内含ZIP压缩档附件，当中带有可运行档与Word文档（DOCX）文件，值得留意的是，为了埋藏文件实际的附文件名，对方在文件名加入大量空格。用户若有不慎打开运行档，电脑就有可能遭到感染。

其他攻击与威胁

◆使用Squarespace服务的加密货币业者遭遇DNS挟持攻击，黑客将用户重新导向钓鱼网站

◆勒索软件Akira、Estate利用Veeam去年修补的备份软件漏洞从事攻击行动

◆迪士尼惊传数据外泄，黑客组织NullBulge声称窃得逾1 TB内部数据

【漏洞与修补】

邮件传输代理服务器Exim存在重大漏洞，若不处理攻击者可用来寄送恶意附件

邮件传输代理（mail transfer agent，MTA）平台软件供应商Exim近期发布软件更新Exim 4.98版，修补可让攻击者发送带有恶意附件的信件给用户的重大漏洞CVE-2024-39929。

本项漏洞CVSS 3.1的风险值达到9.1，影响Exim包含4.97.1在内及之前版本。通报此事的资安业者Censys估计，截自7月10日，有156万台对外连网的Exim服务器运行4.97.1以前版本。而且他们也在网络上发现有人公布概念验证（PoC）程序，不过尚未侦测遭到恶意滥用的情形。

GitLab发布社群版及企业版更新，修补能让任意用户运行自动化工作Pipeline的重大漏洞

7月10日GitLab发布社群版（CCE）及企业版（EE）更新17.1.2、17.0.4、16.11.6版，当中总共修补6项漏洞，最值得留意的是被列为重大层级风险的CVE-2024-6385。

这项漏洞影响15.8至16.11.5版、17.0至17.0.3版，以及17.1至17.1.3版GitLab，一旦攻击者利用这项漏洞，就有机会在特定情况下，冒用任意用户身分运行Pipeline工作流程，CVSS风险评为9.6分。值得留意的是，两周前GitLab也修补类似的漏洞CVE-2024-5655，同样能导致攻击者冒用他人身分，运行Pipeline工作流程，危险程度也同样达到CVSS评分9.6。

Palo Alto Networks修补移转工具Expedition缺乏身分验证的重大漏洞

7月11日资安业者Palo Alto Networks针对旗下产品发布资安公告，总共修补5项漏洞，当中包含身分验证绕过的重大漏洞而特别值得留意。

这项被列为重大层级的漏洞是CVE-2024-5910，存在于组态移转工具Expedition，这项漏洞发生的原因在于，部分重要功能缺乏身分验证机制，攻击者有可能通过互联网存取这套系统，利用漏洞挟持Expedition管理员帐号，CVSS风险评分达到9.3，该公司发布1.2.92版Expedition予以修补。

若是IT人员无法即时套用更新，Palo Alto Networks也提出这项漏洞的临时缓解措施，那就是针对通过网络存取Expedition进行管制，开放仅有得到授权的用户、电脑、网域环境能够存取。

其他漏洞与修补

◆Netgear修补路由器身分验证绕过漏洞、XSS漏洞

其他资安产业动态

◆组台湾资安大联盟，串连百余家资安业者拼资安外交

近期资安日报

【7月12日】研究人员揭露锁定巴黎奥运购票民众的诈欺黑客组织Ticket Heist，并警告接下来的欧洲杯足球赛也被锁定

【7月11日】富士通公布今年3月发生黑客入侵事故调查结果，证实近50台电脑感染蠕虫程序，并有数据外泄迹象

【7月10日】微软发布本月例行更新，修补超过140个漏洞，其中包含4个零时差漏洞引起关注