锁定中小企业、SOHO族、家用网络设备的僵尸网络，最近2到3年有越来越泛滥的情况。例如，资安业者Sekoia揭露僵尸网络Quad7最新一波的攻击行动，就是典型的例子。研究人员在2个月前看到黑客锁定TP-Link路由器而来，如今对方扩大攻击范围，开始针对兆勤（Zyxel）、华硕、Ruckus等厂牌的网络设备下手。

这个僵尸网络也被称做7777、xlogin，这个威胁命名的由来，是因为受害的路由器都会开放Telnet连接及7777端口，而这个连接端口正是TP-Link设备的管理连接端口。此外，黑客也利用11288端口设置SOCKS代理服务器，目的是对M365帐号进行暴力破解攻击。

不久之后，研究人员找到另一个专门绑架华硕路由器的僵尸网络alogin（也称为63256），背后的攻击者身分，他们推测很可能是经营Quad7的黑客。在循线进一步调查后，发现黑客也锁定Ruckus路由器、Axentra网络存储设备、兆勤VPN设备，架设僵尸网络rlogin、axlogin、zylogin。

北韩黑客通过LinkedIn寻找目标，企图散布恶意软件RustDoor

北韩黑客锁定加密货币产业的求职者从事攻击行动的情况，近期有不少事故传出，引起美国政府多次发出警告，呼吁民众在线求职要提高警觉。本月初美国联邦调查局（FBI）再度针对此种攻击发布资安公告，有资安业者公布细节。

资安业者Jamf指出，这些黑客会视图LinkedIn等社群网站的活动状态，寻找下手的目标：加密货币产业的从业人员，黑客通常声称他们是专精去中心化金融科技公司的人力资源团队，引诱求职者上当。

关于FBI在公告提及数种向受害者散布恶意程序的手法，研究人员提出更具体的说明，其中又以假借测试求职者能力为由，要求进行就业前测验的情况相当值得注意，其中涉及不标准或是未知的NPM套件、PyPI套件、GitHub存储库。

其他攻击与威胁

◆勒索软件黑客滥用微软Azure云端服务窃取数据

【漏洞与修补】

新兴AI系统AutoGPT存在重大漏洞，逾44万个软件代码项目恐曝险

专门针对机器学习与人工智能系统的漏洞悬赏项目Huntr指出，号称能根据用户需求自主运行任务的新兴AI应用系统AutoGPT，存在重大层级的操作系统命令注入漏洞CVE-2024-6091，该弱点出现在AutoGPT处理禁用Shell命令的方式，攻击者有机会借由更改过的路径，就能绕过相关防护．CVSS风险评分达到9.8，近日开发团队已发布更新予以修补。

通报此事的研究人员PinkDraconian指出，他们发现只要强制AI使用完整路径运行指令，攻击者就有机会绕过AutoGPT停用特定Shell命令的限制。

为了验证漏洞的概念与可行性，研究人员也公布示范此种威胁的代码。他们通过.env文件，将whoami、/bin/whoami列入停用名单，然后将原本的whoami命令更换为/bin/./whoami，就能绕过AutoGPT的黑名单。

D-Link修补Wi-Fi路由器高风险漏洞

本周D-Link发布资安公告，指出旗下的DIR-X5460、DIR-X4860、COVR-X1870等无线路由器设备存在5项漏洞：CVE-2024-45694、CVE-2024-45695、CVE-2024-45696、CVE-2024-45697、CVE-2024-45698，CVSS风险评分介于8.8至9.8，他们发布新版固件予以修补。

值得留意的是，上述的弱点都是经由台湾电脑网络危机处理暨协调中心（TWCERT/CC）通报，D-Link强调他们在接获通报的90天内完成修补，但未透露这段期间是否已出现漏洞遭到利用的情况。

其他漏洞与修补

◆重大层级macOS行事历应用程序漏洞恐影响数百万用户，攻击者有机会零点击触发

◆GCP存在漏洞CloudImposer，攻击者有机会通过供应链攻击利用

◆VMware vCenter服务器存在重大漏洞，有可能让攻击者远程运行任意代码

◆SolarWinds修补权限管理系统ARM重大漏洞

近期资安日报

【9月16日】数发部公布亲俄黑客发动大规模DDoS攻击的影响范围

【9月13日】中租、兆丰、彰银接连遭遇DDoS攻击发布重讯，俄罗斯黑客声称是他们所为

【9月12日】CosmicBeetle黑客针对中小企业发动勒索软件攻击