一旦开发人员下载、安装，该恶意套件就会检查运行环境是否为macOS，并检查Mac设备的专属识别码IOPlatformUUID，然后与黑客手上的名单进行比对，若是确认受害电脑是攻击目标，该恶意软件就会窃取Google Cloud的身分验证数据，并外传给攻击者。攻击者若是得逞，将会试图存取受害者的Google Cloud资源。

值得一提的是，攻击者疑似为了说服目标人士下载恶意套件，以该套件的开发者Lucid Zenith的名义设置专属的LinkedIn帐号，并声称是Apex Companies, LLC的首席执行官，并误导知名的AI搜索引擎Perplexity，使得该搜索引擎认为Lucid Zenith就是这家公司的首席执行官。

2021年英国选举委员会遭骇，破口出在Exchange服务器漏洞修补不够即时，至少受到3组攻击者肆虐

去年8月英国选举委员会传出数据外泄的情况，当时他们通报在2022年10月察觉此事，并推测黑客在2021年8月就入侵受害系统，导致2014年至2022年参与投票的民众个资外流，约影响4千万人，到了今年3月，英国国家网络安全中心（NCSC）指出这起攻击是中国黑客所为，现在他们的调查有新进展。

7月30日英国信息专员办公室（ICO）指出，这起事故发生的原因，在于选举委员会未即时修补Exchange服务器的ProxyShell漏洞（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）酿祸。微软在2021年4月及5月着手修补上述漏洞，当时选举委员会并未套用更新软件，导致攻击者能借由ProxyShell入侵该委员会的Exchange Server 2016。

值得留意的是，这起数据外泄事故并非只有单一黑客组织尝试对选举委员会发动攻击。英国信息专员办公室指出，他们至少看到3组人马的攻击行动。

日本夏普网络商店、食品配送服务网站遭入侵，逾10万人个资恐外流，台湾夏普不受影响

7月23日日本家电制造商夏普（Sharp）发布公告，表示他们的网络商店Cocoro Store遭第三方未经授权存取，察觉异常后暂停网站运作。29日该公司公布事故初步调查结果，表示受影响的不只网络商店，还包括食品配送服务网站Healsio Deli。

该公司也公布这起事故发生的经过，他们在7月22日上午10时52分察觉Cocoro Store遭到未经授权存取及窜改的迹象，并于同日11时33分暂停相关服务。进一步调查发现，攻击者于19日凌晨植入恶意脚本，导致存取该电子商城的用户会被重新导向恶意网站。

究竟这起事故是否影响台湾？30日台湾夏普表示，他们与日本的服务器独立运作，两者之间没有链接，这起事故与台湾夏普无关，他们的网站、可购乐平台、夏普震旦、Dynabook会员个资不受影响。

红队渗透新工具Specula利用已知漏洞，在Outlook实现远程代码运行

资安公司TrustedSec发布了红队渗透工具Specula，能够将微软Outlook转为C2信标，以运行远程代码。该工具利用Outlook之前被发现且认为已被修补的旧漏洞CVE-2017-11774，远程控制受感染的系统，并可长期潜伏在系统中运行恶意行动。

微软在2017年时修复CVE-2017-11774，该漏洞是Outlook安全功能的旁路问题，使得攻击者得以利用经特别设计的文档，诱导用户打开后运行任意命令。微软通过安全更新，改善Outlook处理内存对象的方式缓解该漏洞。

值得留意的是，用户在安装修补程序之后，虽然与Outlook主页相关的界面元素被移除，但是相关机码仍然可以被滥用，攻击者通过修改有关参数来创建C2信道，使得攻击矢量仍然有效。即便用户使用的是Microsoft 365，Outlook还是可能会读取并使用已遭删除的界面元素机码数据。

勒索软件集团Dark Angels今年初收到高达7,500万美元的赎金

本周云端资安业者Zscaler发布的2024年勒索软件报告中揭露，勒索软件集团Dark Angels在今年初曾收到一笔高达7,500万美元的赎金，为史上之最，区块链分析业者Chainalysis亦出面证实此事。这样的现象，突显黑客狮子大开口的情况日益恶化，该组织的做法有可能引起其他黑客跟进。

此黑客组织恶名昭彰的事迹之一，是在去年9月攻击全球的大楼自动化管理业者Johnson Controls，盗走27 TB数据，加密该公司的VMware ESXi虚拟机，并要求5,100万美元的赎金。

而今年初，Zscaler更发现有受害组织向Dark Angels支付7,500万美元，但并未揭露公布该组织身分。资安新闻网站BleepingComputer猜测，有可能是今年2月遭到网络攻击的制药公司Cencora，该公司在2024年的Fortune 500前五百大公司中排行第十，年度营收高达2,620亿美元。

其他攻击与威胁

◆网络钓鱼攻击锁定OneDrive用户，引诱运行恶意PowerShell脚本

◆印度洋、地中海港口及海洋事务设施遭到黑客组织SideWinder锁定

◆波兰企业遭遇网钓攻击，黑客意图散布Agent Tesla、Formbook、Remcos RAT等恶意软件

◆研究人员揭露专门窃取安卓手机短信的攻击行动，范围横跨113个国家

◆华经信息传出遭遇网络攻击事故，强调未有机密文件及个资外泄情事

【资安产业动态】

防范窃资软件，Google为Windows版Chrome添加防护功能

有鉴于窃密软件盛行，Google为Chrome添加应用导向的加密技术，防范恶意应用程序窃取浏览器密码或网银帐号。

为了加速上网使用服务，Chrome会利用操作系统提供的安全功能来存储重要信息，像是密码或cookie。例如在macOS上，Chrome使用Keychain服务，在Linux上，则用了kwallet或gnome-libsecret。至于在Windows上，Chrome已经用了数据保护API（Data Protection API，DPAPI），它可以保护静态数据免于系统上其他用户存取，或是冷启动攻击（cold boot attack）。但是DPAPI并不能防止以既有登录用户身分运行代码的恶意应用程序，这种技俩为许多窃密软件常用。

因此在Windows版Chrome 127版当中，Google加入新技术，提供应用导向的加密（App-Bound Encryption）类别。在此新技术下，Chrome能加密和应用身分（identity）相关的数据，不是所有以既有登录用户身分运行的App都能存取这些数据，类似macOS上Keychain的运作方式。

近期资安日报

【7月30日】上个月公告、修补的VMware ESXi身分验证绕过漏洞，去年已有多组人马将其用于攻击行动

【7月29日】北韩黑客APT45遭美国司法部通缉，揭露受害者涵盖美国、台湾、韩国的国防承包商

【7月26日】资安业者KnowBe4惊传雇用北韩黑客，对方利用深伪技术应征工作得逞，直到从事可疑行为才东窗事发