我们昨天报导有研究人员在国际资安大型会议Black Hat USA 2024公布借由窗口操作系统更新机制「降级」的攻击手法，这次也有研究人员公布对于特定威胁态势的观察，指出这种攻击手法现在不仅变得非常频繁，而且，还变得更加刁钻。

这项威胁态势，就是黑客滥用云端服务来掩盖非法行动的情况。在针对台湾、香港、越南组织的攻击行动里，后门程序Grager存取充当C2的OneDrive帐号手法相当特别。

【攻击与威胁】

研究人员揭露合法云端服务被用于散布后门程序的态势日趋复杂，台湾也有组织遇害

资安业者赛门铁克指出，由于攻击者希望避免引人注目并降低维护基础设施的成本，他们发现有越来越多黑客加入滥用云端服务的行列，并开发更多用于这类攻击的作案工具。研究人员在黑帽大会的议程上，公布相关调查结果。

在这些攻击行动里，我们认为名为Grager的后门程序最值得留意，原因是这起资安事故的攻击目标涵盖台湾。研究人员在今年4月，看到中国黑客组织UNC5330针对台湾、香港、越南的企业组织，部署这支后门程序。

黑客究竟如何寻找攻击目标，研究人员并未说明，但他们提及恶意文件来自冒牌的7-Zip网站，一旦用户依照指示进行下载、安装MSI档，电脑就会在部署此压缩软件的过程，一并将恶意程序加载工具Tonerjam植入，并用来解密、运行后门程序Grager。而这支后门程序启动时，会解密用户端ID（client_id）并根据存储体（Blob）更新存取OneDrive的凭证（Token），从而与黑客控制的OneDrive帐号连接。

6月WhatsUp Gold修补漏洞，8月初黑客攻击行动开始现踪

今年6月Progress针对网络监控系统WhatsUp Gold发布更新，当中修补重大层级的漏洞CVE-2024-4883、CVE-2024-4884、CVE-2024-4885（CVSS风险评分皆达到9.8），攻击者能在未经授权的情况下，利用这些漏洞远程运行任意代码（RCE），如今有研究人员提出警告，部分漏洞已出现实际攻击行动。

Shadowserver基金会提出警告，他们自8月1日看到来自6个IP位址的攻击行动，黑客利用CVE-2024-4885，企图存取WhatsUp Gold系统的/NmAPI/RecurringReport。

研究人员特别提到，由于这项漏洞的概念性验证代码（PoC）已被公开，黑客无需自行从头拆解，就能快速将漏洞用于攻击行动，IT人员应尽快套用相关更新。目前而言，Shadowserver基金会与该组织的全球漏洞滥用仪表板，都尚未公布目前曝险的系统数量。

其他攻击与威胁

◆浏览器存在长达18年的漏洞被用于攻击行动，Chrome、Firefox、Safari都中招

◆黑客滥用Google Drawing和WhatsApp功能从事网钓攻击

◆研究人员公布黑客如何将人工智能机器人Copilot变成武器

◆460万美国选民数据曝露，起因是科技业者服务器配置不当

【漏洞与修补】

系统背景自动产生的影子资源恐出现弱点！研究人员揭AWS服务存在Bucket Monopoly、Shadow Resources漏洞

资安业者Aqua Security的研究人员于今年2月，找到6个AWS重大层级的漏洞，并指出这些漏洞可让攻击者破坏所有帐号，有可能导致帐号遭到接管，或是远程运行任意代码、数据外泄、曝露义感数据、引发服务中断的情形。对此，AWS获报后进行相关验证，并自3月至6月逐步完成修补。研究人员也在黑帽大会上公布相关的调查结果。

这些漏洞主要偏重于「影子资源」的层面，这类资源的来源，是用户在进行AWS服务的相关设置过程里，由系统在背景自动产生的资源，因此这类资源的运作状态，一般用户往往不会特别留意。

其中一个漏洞被称做Bucket Monopoly，起因是S3存储桶使用了容易被猜到的AWS帐号ID，由于这个ID原本不被视为敏感数据，而让攻击者有机可乘。另一个研究人员公布的弱点被称为Shadow Resources，攻击者可在用户不知情的状态下，借此产生AWS S3的服务组件。

RISC-V处理器存在GhostWrite漏洞，攻击者有机会取得设备完整控制权

德国CISPA亥姆霍兹信息安全中心发现，阿里巴巴旗下的半导体业者平头哥（T-Head）生产的RISC-V处理器玄铁C910，存在名为GhostWrite的漏洞，攻击者在具备特定权限的情况下，能从内存读取或写入数据，而有机会得到完整、不受限制的存取权限。研究人员也在Black Hat USA 2024国际资安会议上，揭露相关细节。

值得留意的是，虽然这项弱点主要是出现在玄铁C910，但有鉴于是目前速度最快的处理器，影响的范围并不小，包括个人电脑、笔电、容器，以及在云端服务器运行的虚拟机（VM）。

研究人员已确认曝险的设备如下： Scaleway Elastic Metal RV裸机（Bare Metal）云端实体，以及Sipeed Lichee Pi 4A、Milk-V Meles、BeagleV-Ahead单板电脑（SBC）；再者，部分Lichee运算集群、笔电、电玩主机也存在这项弱点。

已结束生命周期的思科IP电话存在重大漏洞，未经验证的攻击者能以root权限运行操作系统层级命令

思科本周发布安全公告，已结束生命周期（EOL）的IP电话设备出现多项漏洞，包含3项可运行任意指令的重大漏洞，影响Small Business SPA300和SPA500系列机种，该公司不打算提供修补程序，呼吁用户尽速汰换设备。

这次修补的漏洞有5项，影响IP电话系统的网页管理界面软件，其中3项特别值得注意，编号分别为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454，属于风险值9.8的任意指令运行漏洞，可让未经验证的远程攻击者以root权限，于电话设备的操作系统运行任意命令。

值得留意的是，因为这些设备生命周期已经结束，思科强调不会提供修补。

其他漏洞与修补

◆研究人员揭露微软Entra ID隐藏的身分验证机制，恐让攻击者取得全域管理员权限

【资安产业动态】

趋势科技传出有意吸引买家出售

路透社取得知情人士的消息在8月8日指出，市值约9,500亿日元（65亿美元）的趋势科技在吸引外界购买的兴趣后，正在考虑出售，消息一出，我们向趋势科技进一步确认此事，该公司表示对于谣传消息不予评论，身为公开发行上市的信息安全公司，持续专注以领先业界的资安平台进行营运并服务客户。

苹果同态加密技术以开源Swift开源套件发布

苹果在自家服务引入同态加密（Homomorphic Encryption）技术保护用户隐私，近日也把该加密技术Swift实作开源出来，让开发者可以更简单地在程序中应用同态加密。

该公司开源Swift同态加密套件使用了Swift Crypto中高性能低级加密原语，支持服务器端Swift，并且可使用Benchmark函数库进行简单的基准测试。

近期资安日报

【8月8日】黑帽大会首度增设AI议程，趋势科技展示深伪侦测技术

【8月7日】法国博物馆惊传遭遇勒索软件攻击

【8月6日】达美航空、CrowdStrike将针对EDR系统大当机事故对簿公堂