资安业者ESET发现，3家捷克银行客户遭到这前所未见新手法的攻击。攻击者使用名为NGate的恶意程序，将受害者的实体信用卡、支付卡等卡片数据，由被植入NGate的智能型手机利用NFC通信，发送给攻击者的手机。

攻击者取得卡片数据后即可运行ATM交易。若这方法失败，攻击者还有备援计划，可以从受害者帐户传到其他人的帐号。由于攻击手法使用了NFCGate的NFC流量分析开源工具，研究人员因而将恶意程序命名为NGate。

这起资安事故在今年3月因主谋被捕而终止，期间有3家捷克银行客户受害，研究人员共发现6只不同的NGate变种，但受害人数不明。

其他攻击与威胁

◆WordPress网站加速插件LiteSpeed Cache存在重大漏洞，已出现实际攻击行动

◆黑客通过AppDomain注入手法散布Cobalt Strike

◆俄罗斯黑客利用恶意程序MegaMedusa发动DDoS攻击

◆PowerShell恶意软件下载工具PeakLight埋藏在内存内运作，散布多种恶意程序

◆窃资软件Cthulhu Stealer锁定macOS用户电子钱包、帐号密码而来

【资安产业动态】

台湾黑客年会迈入20年，不只点燃黑客精神，半导体封装测试大厂日月光也加入资安社群行列

今年台湾黑客年会（HITCON）社群场于8月23、24日连续两日举行，现场重头戏不仅包括多场技术资安议程，还带来一系列资安相关活动与挑战，吸引近千名对资安有兴趣的研究人员与学生参与。特别的是，今年已是HITCON第20周年，象征着该活动在台湾资安社群中的深厚历史与影响力。

其中，AI无疑是这几年的重要焦点，大会上不仅有4场是与AI、资安相关的演说，现场也有一些摊位活动聚焦于此。例如：一款名为「新手Prompt之助」的游戏，是由中华资安国际开发，让会众扫描QRCode后可以打开一个网页与聊天机器人对话，目标是套出其所保护的神秘密钥；还有一款UCCU AI Challenge的游戏，是由资安社群UCCU Hacker开发，这游戏不仅有探索安全防护机制的提示注入（Prompt Injection）挑战。

值得一提的是，本次半导体封测领域相当知名的「日月光半导体」（ASE Global），他们资安团队设计了一个SOC事件调查的情境解题游戏，让会众可在现场视图SSLVPN、Server、防火墙这3个仪表版，并给出5个问题让玩家回答。这次日月光半导体的参与，也引起了现场众多与会者的关注。可以想见的是，此举展现了企业方对资安人才的需求，而且还是相当知名的半导体业者，突显出资安技术专业对企业的重要性，不亚于普遍资安业者。

【资安防御措施】

Telegram首席执行官Pavel Durov在法国被逮捕

根据法国媒体TF1的报导，Telegram创办人暨首席执行官Pavel Durov上周六（8月24日）搭乘私人飞机降落在法国巴黎附近的Bourget机场时遭到逮捕，主要原因是Telegram平台上缺乏内容管理机制，使它成为犯罪的温床，而让法国法官签署了Durov的逮捕令。

根据报导，法国之所以发布Durov的逮捕令是因Telegram缺乏管理机制，而让各种犯罪活动于该平台上畅行无阻，这令Durov可能面临支持恐怖主义、贩毒、大规模诈欺、洗钱、恋童、闪避制裁或共谋犯罪等洋洋洒洒的指控。事实上，有调查员认为，Telegram根本已经成为有组织犯罪的最大平台。

路透社则指出，Telegram是乌克兰战争中未经证实之消息的主要散布管道，甚至有人称为乌克兰战争的虚拟战场，不管是俄罗斯或乌克兰高层都通过该平台放话。

近期资安日报

【8月23日】协作平台Slack搭载的AI功能有漏洞，恐曝露私人频道机密数据

【8月22日】企业自订AI副手功能的工具Copilot Studio存在SSRF漏洞

【8月21日】PHP重大漏洞出现攻击行动，黑客已借此在台湾的一间大学院校植入后门