近日北韩黑客组织APT45的攻击行动被大量揭露，但值得注意的是，美国司法部也公告缉拿该组织一位北韩黑客成员，当中意外揭露了有台湾国防承包商也是APT45的受害者。

由于许多媒体报导可能忽略了这一消息，但这样的状况是需要我们国防单位去进一步了解。

【攻击与威胁】

APT45成员遭美国司法部通缉，意外揭露台湾也有国防承包商遭北韩黑客攻击

Google、微软在7月24日相继针对北韩黑客组织APT 45（微软称其为Onyx Sleet）发布研究报告，揭露其最新攻击行动，同一日，美国司法部起诉APT45中一名北韩黑客Rim Jong Hyok，指控他参与多起针对美国医院及医疗保健服务供应商的勒索软件攻击行动，并祭出悬赏和逮捕令。

值得我们关注的是，在美国司法部公布的信息中，透露台湾也有国防合约承包商也受到APT45的攻击。

根据美国司法部的说明，该名黑客与及共犯所入侵的目标，包括美国国防承包商、两个美国空军基地、NASA监察长办公室，以及韩国、台湾的国防承包商，以及1家中国能源公司，都成为APT45攻击下的受害者，敏感数据被窃取。

这样的状况，也需要我国的国防单位去进一步了解，以进一步掌握该国防承包商被APT45入侵的情况。

灿坤与灿星网同日发布资安重讯，说明信息系统遭受网络攻击，目前在线购物网站持续停摆

上市公司遭遇资安事故的消息不断，在7月23日「灿坤实业」与「灿星网通」同时发布资安事件重大消息，说明公司信息系统遭受网络攻击，值得关注的是，这又是一起同集团均受影响的状况。

而且上市电子通路业灿坤与上市电器电缆业灿星网发布重讯的时间，是在23日晚间10点，也就是上星期三凯米台风来临前夕。两家公司发布的内容完全相同，主要说明公司资安人员在查知遭受网络攻击时，已于第一时间启动相关防御机制，评估对公司日常营运尚无重大影响。

虽然重讯内容相当简短，并未透露事件的具体影响范围，但我们在26日查找灿坤在线购物网站，以及灿星网通的公司网站，这些网站均无法连上。而在灿坤3C的脸书粉丝专页上，我们发现该公司在23日早上9点38分就公告说明灿坤在线购物因系统维护，暂停服务中。截至7月29日（周一）中午，我们仍未看到复原的公告。

逾3千个GitHub帐号遭黑客组织Stargazer Goblin滥用，作为散布恶意软件的管道

黑客滥用代码存储库GitHub来散布恶意程序的情况，近年不断有相关消息，但如今有人大规模经营这类帐号提供他人运用，形成庞大的网络犯罪生态圈。

资安业者Check Point揭露专门经营GitHub帐号网络的黑客组织Stargazers Ghost，对方经营由超过3千个GitHub「幽灵」帐号组成的网络，并将其用于散布恶意软件及恶意链接。

黑客为了让这些存储库看起来是正当使用，他们还会为存储库加上星号、创建版本分支，并且订阅其他恶意存储库。而且，该组织还会利用存储库提供恶意链接，而不是存放恶意软件，而这些链接有许多的GitHub「用户」背书，获得大量的「星星」或是「验证」，使其看起来更为真实、合法。

CrowdStrike大当机的省思，台湾大型医院学到这2件事

经历7月19日大当机事件，台湾一家大型医院除了自我警惕、更版流程要更严谨外，也开始评估双备援机制的原主机和备援主机，是否应采用不同厂商的防护服务，以免厂商出事、备援主机仍无法作业。例如，针对双主机备援架构（HA），「2台主机要采用不同资安厂商产品，才能降低厂商发生问题、备援主机无法运行的风险，」一位大型医院知情人士说。

回顾整起事件，医院IT盘点，由于他们将CrowdStrike资安防护软件安装于部分主机，其余则使用另一家厂商防护软件，也因此，医院最繁忙的门诊系统并未受到影响，对医院的整体冲击并不大。

英国国民健康服务NHS遭遇勒索软件攻击7周后，已造成当地近1万个病患手术被迫延后

近期CrowdStrike大当机事件导致全球不少医院受影响，不过上个月初还有一起发生在医疗院所的重大资安事故，那就是上个月初英国病理学暨诊断服务供应商Synnovis遭网络攻击，至今即将两个月，这起事件仍为当地医疗服务带来极大的影响，。这起网络攻击事件发生在6月3日，当时造成英国伦敦多家国家保健署（NHS）医院的部分服务被迫中断，英国网络安全中心（NCSC）指出是俄罗斯勒索软件黑客组织Qilin所为。值得注意的是，到了6月下旬，黑客组织又在暗网上声称公布3亿笔病患数据，甚至要胁Synnovis支付4000万英镑（约16亿元）赎金。如此大规模的病患数据外流消息，使得当地民众人心惶惶。

最近，英国NHS仍每周公布最新进展，说明这起事件的复原状况，像是7月25日，NHS表示在7月中旬，仍有两家医院的1,122个急诊预约与46个非紧急手术不得不取消，因此总计下来，已造成8,349个急诊预约与1,608个非紧急手术被迫延后。换言之，尽管手术延后的数量有减少，但这起攻击事件的影响仍在持续。所幸也有好的消息，在事件发生七周之后，NHS表示，Synnovis如今已经重建大部分的系统。

其他攻击与威胁

◆Android版Telegram漏洞让黑客将恶意程序伪装成影音档

◆南韩军情人员数据外泄，恐有数千名现职人员个资流向北韩

【漏洞与修补】

PKfail安全启动绕过漏洞恐冲击数百万设备，影响技嘉、Supermicro、Dell等9大业者

固件安全公司Binarly在7月25日揭露名为「PKFail」的漏洞，指出他们在今年稍早曾发现，BIOS大厂AMI的Secure Boot相关主密钥（在UEFI领域称平台密钥Platform Key，PK），在一次ODM厂商的数据外泄事故当中，遭到公开而曝光。

更严重的问题在于，他们发现业界存在PKFail这样的固件供应链问题，Binarly研究小组指出，这个平台密钥应由设备厂商自己产生与管理，并使用最高加密技术保护，并且遵循最佳实践，但他们研究后发现，实际情形却是：BIOS厂商在他们提供的参考代码，嵌入一把密钥，并期望OEM或设备厂商会换掉它，但很多厂商没有这样做。也就是说，不同电脑与服务器厂商都共用同一把密钥，导致该平台密钥完全不能被信任，以致于PKFail是一个影响数百万设备的固件供应链问题。

根据Binarly说明，他们总共发现有22个独特但不可信的平台密钥，至于受影响业者的产品数量，以技嘉有产品最多，其次为Supermicro、Dell、HP、联想、Intel、宏碁、Fujitsu、Aopen、Formelife。

其他漏洞与修补

◆Atlassian修补Bamboo、Confluence、Jira高风险漏洞

◆SolarWinds修补存取权限稽核系统ARM中RCE、路径走访等多项重大漏洞

【资安产业动态】

微软、Nvidia、英特尔及Google共创安全AI联盟CoSAI

专门推动全球结构化信息标准的非营利组织OASIS Open发表了安全AI联盟（Coalition for Secure AI，CoSAI），这是一个开源倡议，计划创建一个协作生态体系，以分享与AI安全设计有关的方法、标准化框架及工具。

目前该联盟已有3大工作任务，包括：AI系统的软件供应链安全、促进防御者为不断变化的网络安全局势做好准备、AI安全治理。这项计划的主要赞助者有Google、IBM、Intel、微软、Nvidia与PayPal，其他赞助者还包括Amazon、Anthropic、思科、Chainguard、Cohere、GenLab、OpenAI及Wiz。

资策会成立「FAITH未来移动安全信赖评测中心」，成为台湾首个车辆软件评测单位

信息工业策进会（资策会）在7月22日宣布成立全台首家「未来移动安全信赖评测中心（Formosa Automobility Intelligence Trustworthy Hub, FAITH）」，目的是树立车辆软件评测中心的标竿，填补产业标准规范、资安服务需求及技术咨询不足的现况，希望通过第三方机构，创建AI感知、韧性通信、信息安全所需的评测机制与情境，以协助评估与确认移动产品的可靠度及安全，而其适用对象涵盖芯片、模块、系统到Tier 1供应商及车厂等，可包含广泛的产业链。

其他资安防御措施

◆资安专家揭露企业导入SBOM软件物料清单有六大常见迷思

◆美国发布用来评估AI安全的Dioptra平台

近期资安日报

【7月26日】资安业者KnowBe4惊传雇用北韩黑客，对方利用深伪技术应征工作得逞，直到从事可疑行为才东窗事发

【7月23日】台湾企业因CrowdStrike产品更新造成电脑当机的情况，金融、资服、传统制造、高科技制造业都传出灾情

【7月22日】资安业者CrowdStrike更新事故冲击规模初步统计出炉，至少影响850万台电脑、67万企业用户