今年6月下旬地理位置信息服务器GeoServer修补重大层级漏洞CVE-2024-36401（CVSS风险评分为9.8），时隔不到一个月，美国网络安全暨基础设施安全局（CISA）证实已出现攻击行动。先前通报漏洞的资安业者Fortinet，透露相关资安事故，并指出从事活动的攻击者，同时运用中国黑客惯用的恶意程序SideWalk，本周有其他资安公司公布新的攻击行动。

根据趋势科技昨天揭露的调查报告指出，名为Earth Baxia的黑客组织今年7月针对台湾某个政府机关发动攻击，黑客利用钓鱼邮件及CVE-2024-36401取得初始入侵管道，而能在受害主机植入Cobalt Strike相关组件，当中使用后门程序EagleDoor。研究人员根据黑客使用的服务器进行调查，发现大部分架设在阿里云，或是位于香港，而且，黑客使用的部分恶意程序样本先前曾从中国上传至VirusTotal，再加上Cobalt Strike服务器多数位于中国，因此他们推测这些APT黑客来自中国。

究竟这些黑客的攻击目标为何？研究人员根据他们取得的钓鱼邮件、诱饵文件等数据，认为主要目标似乎是台湾、菲律宾、韩国、越南、泰国的政府机关、电信业者、能源产业。但后来他们发现，中国也是这些黑客下手的范围，不过，研究人员无法确认当地有那些产业受害。

勒索软件劫持数据无处放，竟把歪脑筋动到Azure存储桶与数据拷贝工具

为了胁迫受害组织支付赎金，勒索软件黑客往往会先窃取内部数据再进行文件加密，但现在黑客更换外流数据的管道，引起研究人员的注意。

一般来说，勒索软件黑客原本用来外流受害组织数据的管道，最常见的是利用云端文件共享服务Mega提供的公用程序MEGASync，或是能公开取得的Rclone，但资安业者ModePUSH发现，变脸（BianLian）、Rhysida等多个勒索软件黑客组织，越来越频繁地利用Azure Storage Explorer、AzCopy，将窃得的数据送到Azure Blob存储桶。

为何这些黑客选择滥用Azure Blob存储桶？研究人员指出，主要原因在于Azure是许多企业采用的服务，因此相关流量不太可能会遭到防火墙或是资安系统拦截；再者，黑客在短时间内外流窃得数据的过程，借由Azure的延展性，他们可以因应这些非结构化的大量数据。

黑客组织Vice Society锁定美医疗产业，散布勒索软件INC Ransom

从今年初开始勒索软件INC Ransom攻击事故接连传出，先是今年1月全录企业解决方案（XBS）美国分公司受害，接着3月底黑客声称从苏格兰国家健康服务（NHS）窃得3 TB数据，8月初有一起资安事故针对美国密西根州医疗照护体系McLaren而来，到了这个月，有研究人员提出警告，表明这群黑客的主要目标就是美国的医疗体系。

本周微软威胁情报团队指出，利用此勒索软件犯案的黑客组织，是被称为Vanilla Tempest、DEV-0832的黑客组织Vice Society，他们看到美国医疗产业成为他们的攻击目标。一旦Vice Society成功入侵受害组织的网络环境，就会部署后门程序Supper、远程监控及管理工具AnyDesk，以及云端文件共享服务的Mega数据同步工具。接着，黑客就会通过远程桌面连接（RDP）进行横向移动，并运用WMI部署勒索软件的有效酬载。

其他攻击与威胁

◆黑客组织TeamTNT锁定CentOS主机植入Rootkit

◆意大利用户遭巴西黑客锁定，借由钓鱼邮件散布恶意程序SambaSpy

◆重机制造商Kawasaki欧洲分公司传出遭骇，勒索软件RansomHub声称窃得487 GB数据

◆营造业者采用的会计软件遭到锁定，黑客利用SQL Server漏洞取得管理员权限

【漏洞与修补】

GitLab揭露CVSS满分漏洞，若不尽快修补，恐被绕过SAML身分验证

9月17日GitLab发布社群版（CE）及企业版（EE）的17.3.3、17.2.7、17.1.8、17.0.8、16.11.10版更新，当中修补CVSS风险程度达到满分（10分）的漏洞CVE-2024-45409，这项漏洞能用于绕过SAML身分验证机制，存在于Ruby SAML程序库组件Ruby-SAML，攻击者可在未经身分验证的情况下，利用漏洞存取已由身分验证提供者（IdP）签署的SAML文件，进而伪造SAML的回应。

这项漏洞发生的原因，在于Ruby-SAML无法正确验证SAML回应的签章，影响1.13.0至1.16.0版，以及12.2版以下的Ruby-SAML。对此，GitLab在公告中指出，IT人员应套用上述新版，或是手动将相依组件进行更新：omniauth-saml升级为2.2.1版、ruby-saml升级为1.17.0版，就能缓解漏洞带来的危险。

究竟这项漏洞是否遭到利用？GitLab并未说明，但他们特别提及如何检测漏洞遭到利用，以及GitLab系统是否遭到入侵的方法，这意味着可能有黑客着手尝试利用。

其他漏洞与修补

◆Atlassian发布9月例行更新，修补会引发阻断服务攻击的漏洞

【资安产业动态】

Google强化浏览器密码管理功能，让用户能跨平台运用Passkey

Google周四（9月19日）宣布，即日起用户将可通过安卓操作系统与Chrome中的Google Password Manager存放通行密钥（Passkey），并同步到不同的平台上使用，同时也添加了PIN码保护通行密钥。

在此之前，用户仅能将Passkey存放于安卓设备内置的Google Password Manager，若要在其他设备使用Passkey，必须通过安卓设备扫描条码取得相关授权。这次则是开放将Passkey存放于浏览器，目前相关功能已支持电脑版Chrome，ChromeOS则是在测试版阶段。

近期资安日报

【9月19日】FBI接管中国黑客架设的大型僵尸网络Raptor Train

【9月18日】新兴AI系统AutoGPT漏洞恐波及44万软件代码项目

【9月16日】数发部公布亲俄黑客发动大规模DDoS攻击的影响范围