这一星期Black Hat USA 2024于美国拉斯维加斯登场，今年是第27届，照往年惯例，有很多资安新闻都在此时发布，特别的是，今年新纳入的AI Summit研讨会于当地时间6日举行，趋势科技也在一场演说中展示侦测深伪（Deepfake）商用解决方案，同时阐释AI世代的企业资安风险管理差异，帮助大家因应未来的局势。

黑帽大会主活动于7日与8日展开，当中有许多全球顶尖资安研究人员揭露最新的研究成果，我们在这一星期资安日报的新闻，也陆续报导相关消息。

●赛门铁克揭露6起攻击者滥用合法云端服务的攻击行动，特别的是，研究人员提及中国黑客组织UNC5330散布Grager后门程序，攻击目标是台湾、香港、越南的企业组织。
●德国CISPA亥姆霍兹信息安全中心揭露GhostWrite漏洞，问题发生在阿里巴巴旗下的半导体业者平头哥（T-Head）生产的RISC-V处理器玄铁C910，并指出其影响范围可能很广泛且难以修补。
●Zenity研究人员公布如何将Copilot变成黑客武器的研究，并发布新的LOLCopilot红队工具模块。
●资安业者Bitdefender揭露Solarman太阳能发电监控系统、宁波德业（Deye）逆变器的漏洞，两家业者在接获通报后皆着手修补。（研究人员是在美国黑帽大会附近另一场于8日到11日举行的DEF CON 32资安会议展示这项成果。）

台湾资安研究人员也在本次黑帽大会揭露重要发现。例如，戴夫寇尔首席资安研究员Orange Tsai（蔡政达），今年他揭开名为Confusion Attacks的全新攻击面向，当中探索了Apache HTTP Server中存在的架构问题，并在攻击研究中找到9个漏洞，而Orange先前也已将这些漏洞通报给Apache软件基金会，在7月已有修补发布（还有1个漏洞的CVE编号待公布）；睿控网安的研究人员郑仲伦（Mars Cheng）、马圣豪、林怡安‍则公开资安防护上对于恶意程序分析的新方法，主要针对攻击者将恶意代码混淆以规避侦测与分析的问题，提出一种新颖且基于神经网络的符号运行大型语言模型（LLM）－－CuIDA，以模拟人类专家分析策略来进行，并可在不对加壳器进行解压或解密的情况下，直接检测被保护的可运行文档。

在漏洞消息与方面，本星期共有3个漏洞利用状况值得我们重视，其中一项已知漏洞的防范，需要国内特别重视，因为资安业者指出有中国黑客利用该漏洞入侵台湾研究机构。

（一）思科旗下Talos揭露APT41针对台湾政府所属研究机构的攻击行动，当中具体列出该组织的手法，以及使用已知漏洞CVE-2018-0824，将恶意程序ShadowPad、Cobalt Strike等攻击工具植入这个研究机构。
（二）开源ERP系统Apache OFBiz在今年5月修补的漏洞CVE-2024-32113，大家要当心！因为最近出现攻击者锁定利用这个管道的状况。SANS网络风暴中心指出，最近利用此漏洞的攻击行动，其目的是将僵尸网络病毒Mirai植入OFBiz。
（三）在Android的8月例行更新中，包含1个已遭利用的零时差漏洞CVE-2024-36971修补。该漏洞今年6月公布时存在Linux操作系统内核，但该漏洞也影响到Android系统，后续Google TAG小组发现有此漏洞的针对性攻击迹象。

在资安事件方面，有2起消息与国内上市柜公司有关，还有MDM业者遭骇引发上万平板笔电无法使用，以及DigiCert撤销8万凭证的情形。我们整理如下：
●上市电脑及周边设备业伟联科技在8月5日发布资安重讯，说明部份信息系统遭受黑客网络攻击事件。
●上柜信息服务业智联服务在8月5日发布资安重讯，说明部份仅供内部人员使用的信息系统遭受黑客攻击。
●在法国奥运赛事期间，当地博物馆法国巴黎大皇宫说明遭遇网络攻击事件，但也指出仅影响博物馆内的书店与精品店。
●行动设备管理（MDM）方案业者Mobile Guardian遭骇，导致列管的大量iOS及ChromeOS设备遭未经授权存取，而这起事故也造成新加坡1.3万学生上课用平板笔电无法使用。
●SSL数位凭证机构DigiCert日前宣布撤销8万多个凭证，影响6千多用户，原因是他们自身未做好网域控制验证。

还有2个与台湾有关的漏洞消息，首先是美国CISA针对台湾视讯监控设备厂商升泰科技（Avtech）发布警告，指出其产品存在漏洞CVE-2024-7029并被用于攻击行动， 但升泰尚未公布缓解措施，因此CISA特别提供可降低此漏洞遭利用的作法；另一是上月底PKfail漏洞揭露后，技嘉于8月1日回应此问题的解法，他们表示，将在8月、9月发布不同平台的新版BIOS，予以修补。

在资安防御动向上，有两个重要消息，一是中华资安国际预计于8月20日登录兴柜，为台湾证券市场添加一个资安生力军；另一是美国CISA首任AI长在8月初出炉，这是因为美国OMB在今年3月的规范，强调在AI时代需有人来主导及监督如何使用AI技术，并考虑安全及可靠性，以此帮助众人真正获得AI带来的好处。

【8月5日】研究人员公布去年中国黑客APT41攻击台湾研究机构的事故

随着政治情势日益紧张，中国黑客针对台湾企业组织发动攻击的情况不断传出，而在上周四又有这类事故的调查出炉，有资安厂商去年发现一个附属于台湾政府机关的研究机构遭骇。

值得留意的是，在这起攻击行动里，黑客运用过往较为少见的手法，其中一种是利用旧版微软Office软件搭配的输入法编辑器（IME），该组件推出已长达13年，且不再受到支持。

【8月6日】达美航空、CrowdStrike将针对EDR系统大当机事故对簿公堂

7月19日台湾时间下午发生的CrowdStrike更新出错事故，导致全球各地都出现灾情，其中最早传出受害的是航空业者及医疗机构，如今有航空公司指控，他们因故招致业务停摆及名誉受损，求偿5亿美元。

但CrowdStrike不以为然，认为该公司较晚复原与IT运作疏失有关，控告目的其实是在推卸责任。

【8月7日】法国博物馆惊传遭遇勒索软件攻击

奥运赛事正如火如荼进行，台湾也有不少选手获得佳绩，但在此同时，提供击剑和跆拳道比赛场地的法国巴黎大皇宫（Grand Palais Rmn），传出遭遇网络攻击，当地媒体取得知情人士的说法，这起事故是勒索软件攻击，黑客疑似打算向博物馆索讨赎金。

不过，由于所有的博物馆及奥运赛事皆正常运作，这样的说法随即就遭到否认，其中一个被点名的博物馆罗浮宫出面反驳，他们并未遭遇勒索软件攻击。

【8月8日】黑帽大会首度增设AI议程，趋势科技展示深伪侦测技术

在全球目光集中在奥运的同时，上周末（8月3日）重量级资安会议黑帽大会Black Hat USA 2024正式在美国拉斯维加斯展开，前4天是资安训练活动，最后两天则有超过100场精选议程。

其中最吸引众人注意的安排，是大会前一天举办AI Summit研讨会，趋势科技也在上午议程展示侦测深伪（Deepfake）的商用解决方案。

【8月9日】资安业者公布6起滥用云端服务的后门程序攻击行动，并指出有台湾组织受害

我们昨天报导有研究人员在国际资安大型会议Black Hat USA 2024公布借由窗口操作系统更新机制「降级」的攻击手法，这次也有研究人员公布对于特定威胁态势的观察，指出这种攻击手法现在不仅变得非常频繁，而且，还变得更加刁钻。

这项威胁态势，就是黑客滥用云端服务来掩盖非法行动的情况。在针对台湾、香港、越南组织的攻击行动里，后门程序Grager存取充当C2的OneDrive帐号手法相当特别。