资安业者Palo Alto Networks指出，中国黑客组织Stately Taurus在近期针对东南亚政府机关从事网络间谍活动的过程里，滥用IDE工具Visual Studio Code（VS Code），借由其嵌入式反向Shell的功能，在受害组织的网络环境活动，研究人员指出，这种攻击手法最早是有资安专家在去年9月提出，但这是他们首次实际看到被运用于攻击行动。

究竟黑客如何用于发动攻击？研究人员指出，攻击者可利用主程序code.exe，并运行code.exe tunnel的指令，接着攻击者就会存取特定的URL，并登录GitHub帐号。一旦成功登录，攻击者便会被重新导向与受害电脑链接的网页版VS Code环境，而能够运行任意命令或是脚本，甚至在受害电脑产生新的文件。

针对三组中国黑客锁定东南亚发动的攻击行动，黑客趋于倾向利用公开工具隐匿行踪

今年6月资安业者Sophos揭露中国政府主导的网络间谍行动Operation Crimson Palace，相关攻击行动发生在去年3月至12月，大致可归为3波：Cluster Alpha（STAC1248）、Cluster Bravo（STAC1807），以及为期最长的Cluster Charlie（SCAT1305），至少有4个黑客组织参与。如今他们公布新的调查结果，指出这些黑客更换作案工具，持续从事相关攻击行动。

本周研究人员指出，他们看到这3波攻击行动的后续，其中最引起注意的是Cluster Charlie，在研究人员阻止黑客使用的C2植入工具PocoProxy运作之后，这波攻击在去年8月消声匿迹，但黑客在9月底卷土重来，并使用与过往不同的手法来回避侦测。

黑客先是使用不同的C2信道避免再度遭到封锁，然后改变攻击方式，他们使用名为Hui的恶意程序加载工具，然后将Cobalt Strike的Beacon注入远程桌面连接程序mstsc.exe。但在研究人员察觉并进行阻断后，黑客改用公开的软件试图继续于受害组织的网络环境活动。

卡巴斯基恶意程序移除工具TDSSKiller遭滥用，勒索软件黑客RansomHub用来关闭安全防护机制

资安厂商Malwarebytes发现，勒索软件黑客组织RansomHub最近袭击其用户时，一开始先会试图找出管理员群组，进行侦察及网络探索，以找寻可下手目标，接着就用上了合法工具进行非法行为，其中一个就是卡巴斯基提供的Rootkit移除工具TDSSKiller，另一个是开源密码与凭证回复工具，名为LaZagne。

研究人员发现，黑客企图利用脚本或批量档关闭EDR端点代理程序，包括Malwarebytes旗下的杀毒工具（MBAMService）。

等用户桌机被关闭EDR防护后，黑客就利用LaZagne，从受害者系统中汲取存储的密码和凭证。LaZagne可从多个应用，包括浏览器、电子邮件用户端、数据库等搜集登录信息，让黑客更容易在受害者网络内横向移动。其中又以数据库凭证为最主要目标。

其他漏洞与修补

◆黑客锁定台湾无人机制造商发起Operation WordDrone攻击行动

◆北韩黑客Kimsuky使用相同的手段攻击俄罗斯、韩国

◆商业间谍软件Predator传出卷土重来

◆研究人员揭露能绕过ProxyNotShell修补代码的攻击手法

◆屏幕的声音也能被用来窃取机密！研究人员揭露PixHell攻击手法

【漏洞与修补】

微软发布9月例行更新，修补4个已被用于攻击行动的零时差漏洞

9月10日微软发布本月份例行更新（Patch Tuesday），总共修补79个漏洞，较上个月略为减少。其中，有30个是权限提升漏洞、4个安全功能绕过漏洞、23个远程代码运行（RCE）漏洞、11个信息泄露漏洞、8个阻断服务（DoS）漏洞，以及3个可被用于诈欺的漏洞。值得留意的是，这次有4个是已出现实际攻击行动的零时差漏洞，其中1个的细节遭到公开。

这些漏洞分别是：Windows更新RCE漏洞CVE-2024-43491、MotW安全绕过漏洞CVE-2024-38217、Windows Installer权限提升漏洞CVE-2024-38014、排版软件Publisher安全功能绕过漏洞CVE-2024-38226，CVSS风险评为介于5.4至9.8分。

不约而同地，资安业者Rapid7、漏洞悬赏项目Zero Day Initiative（ZDI）这三个单位都优先评论CVE-2024-43491，原因是令人联想到上个月震撼整个资安界的Windows Downdate降级漏洞，但实际上两者之间并无直接关连。

WordPress网站加速插件LiteSpeed Cache再传漏洞，6百万网站曝露于遭到挟持的风险

资安业者Patchstack揭露WordPress网站加速插件程序LiteSpeed Cache的严重漏洞CVE-2024-44000（CVSS风险评分为7.5），并指出攻击者可在未经身分验证的情况下，利用该漏洞得到已登录用户的存取权限，若是掌握了管理员权限，黑客就能上传、安装恶意插件程序。研究人员在8月下旬通报此事，9月4日插件程序开发商发布6.5.0.1版予以修补。而这是他们找到权限提升漏洞CVE-2024-28000之后，另一个相当危险的弱点。 

针对这项漏洞发生的原因，研究人员指出，出现在该插件程序的调试事件记录功能当中，一旦开发人员激活相关功能，会将HTTP回应标头记录到特定的文件，其中包含Set-Cookie的标头。而这种标头含有用于用户身分验证的cookie，若是攻击者能够取得，就有机会冒充网站管理员并控制网站。

近期资安日报

【9月10日】勒索软件黑客将SonicWall防火墙重大漏洞用于实际攻击

【9月9日】锁定台湾卫星及军事工业的中国黑客组织TIDrone引起研究人员关注

【9月6日】北韩黑客使用冒牌视频会议软件感染求职者电脑