资安业者Palo Alto Networks提出警告，企业云端应用环境设置不当导致攻击者得以窃取重要数据，并向其勒索。

研究人员指出，这波攻击针对云端作业员（Cloud Operator），以及激活权限过于宽松的身分验证管理（Identity & Authentication Management，IAM）的云端环境。由于这些企业未能遵循云端安全最佳实作，让黑客得以取得包含敏感信息，像是验证凭证的环境配置档（.ENV），并进行多种手法存取。

在研究人员观察到的行动中，攻击者在多个AWS设立攻击基础架构，先扫瞄互联网以找寻公开曝险的存储桶，再滥用其外泄的环境变量。这波攻击中，11万个网域成为锁定对象，最后取得9万多个独特的变量。这些变量中，7,000个属于组织的云端服务，研究人员并追踪1,500个变量是来自社交媒体帐号。研究人员说，受害组织.ENV文件之所以外泄，并非出于应用程序或服务漏洞，或是产品厂商原有设置不当，而是受害组织自己的配置不慎，像是不常变更密码，或是忽略使用最小权限的安全原则。

黑客在GitHub架设冒牌WinRAR网站，意图散布恶意程序

资安业者SonicWall发现冒牌的WinRAR网站，黑客也打造伪造的WinRAR程序，用户若是不察，依照指示下载、安装，即会自GitHub下载一系列的恶意程序。值得留意的是，这个以假乱真的网站网址为win-rar.co，与正牌官网win-rar.com，只有一个字母之差。

黑客取得win-rar.co网域，并将网站设计得跟正牌网站一模一样，提供用户下载最新的「WinRAR 7.01」。但事实上，黑客却意图将用户导至由黑客控制的GitHub项目下载恶意程序，包括可将恶意程序自Windows Defender中排除的工具、可自远程存取系统的HVNC、勒索软件Locker、挖矿程序、窃资软件Kematian Stealer、蠕虫程序等。

FBI查封勒索软件Dispossessor基础设施

上周美国联邦调查局（FBI）宣布，已查封新兴的勒索软件Dispossessor（亦称Radar）基础设施，Dispossessor网站出现已遭扣押的消息。

FBI表示，他们总计拆除了3个位于美国、3个在英国、18个在德国的服务器，以及8个位于美国及1个位于德国的犯罪网域名称。

根据调查，此黑客组织成立于2023年8月，很快就成为具备影响力的勒索软件组织，专门锁定并攻击中、小型企业与组织，包括制造业、开发业、教育、医疗保建、金融服务及运输业等，并有来自十多个国家的43个组织受害。

其他攻击与威胁

◆中国对台认知作战升级，盗取飞官社群网站帐号抵毁国军

◆窃资软件Banshee Stealer锁定Mac电脑而来，企图从超过100种浏览器延伸套件窃取帐密数据

◆黑客组织Mad Liberator利用假的窗口更新画面隐匿窃取数据的行为

◆俄罗斯黑客冒充知名品牌散布窃资软件DanaBot、StealC

【漏洞与修补】

Google Pixel惊传内置第三方组件，其弱点恐让攻击者控制手机

行动设备资安业者iVerify指出，他们的EDR系统今年初将大数据分析公司Palantir的部分安卓设备注记为不安全，于是两家公司与资安顾问业者Trail of Bits联手调查，结果发现，问题存在于手机固件预载的应用程序安装档Showcase.apk，此文件存在于从2017年9月之后出厂的Pixel手机（即Pixel 2之后的机种），具备相当多系统权限，一旦启动，攻击者有机会用来远程运行代码，或是进行软件安装。iVerify指出，国家级黑客很有可能利用这项弱点，充当该厂牌手机的后门。

对此，iVerify表示，他们已于5月初通报Google此事，但Google目前未公开揭露，也未发布更新处理。基于Google对于此事的处理情况不透明，Palantir已决定淘汰Pixel手机，并进一步考虑扩大到所有安卓设备。

直到iVerify公开此事引起新闻网站Wired、华盛顿邮报报导，Google发言人Ed Fernandez才提出说明，表明Verizon不再使用Showcase，他们将在数个星期里通过软件更新将其移除，并强调最近发表的Pixel 9不含该应用程序，目前尚未出现被利用的迹象。

其他漏洞与修补

◆研究人员揭露安全机制绕过漏洞零时差漏洞Copy2Pwn细节

【资安产业动态】

趋势科技用AI帮助计算风险损失金额，并能预测攻击路径

近年来，网络安全治理及风险管理已成为热门议题，早年就有资安厂商发展从风险角度产生量化分数示警的作法，趋势科技今年将有新突破，他们不仅用AI做资安风险管理，也计划将风险可能造成的财务损失金额（Financial loss），直接显示于产品界面，有望跨越技术与商业沟通的鸿沟，同时，他们还将增加AI预测攻击路径的新能力。

在8月初2024黑帽大会现场，趋势科技研发团队正式向资安领域揭露这方面的进展，目前在他们发展与管理的Trend Vision One平台上，已具备不少从网络安全风险角度出发的信息。该公司透露，攻击面风险管理（ASRM）界面将有新的重大改版，在现有的风险分数指针之外，还会添加一个可能风险损失金额的指针，让资安长可以更方便与董事会沟通，也利于争取预算，他们希望资安平台更能兼顾资安长与董事会的不同需求，并解决每个资安长的最大挑战。

近期资安日报

【8月16日】美国总统大选两大阵营遭伊朗黑客APT42锁定，黑客进行目标式攻击

【8月15日】全台首个专门针对诈骗防治与数位安全议题的非政府组织「台湾数位信任协会」正式成立

【8月14日】微软发布8月例行更新，公布多达10个零时差漏洞