微软揭露黑客组织Storm-0501最新一波的攻击行动，这些黑客锁定美国政府机关、制造业、交通运输、执法部门发动多阶段攻击，破坏混合云环境的安全，并从本地横向移动到云端，从而外泄受害组织数据、窃取帐密数据、部署后门程序及勒索软件。

研究人员特别提及，这些黑客利用薄弱的凭证及权限过高的帐号，而能从受害组织的内部环境转移到云端环境。黑客先是窃得凭证用来控制内部网络环境，最终在云端环境设置能持续运作的后门程序，并将勒索软件植入组织内部。

值得留意的是，黑客在近期的活动里，通过Entra ID（原Azure AD）横向移动到云端环境，并借由后门持续存取，其中他们滥用Entra Connect（原Azure AD Connect）的同步组件，而能同时挖掘本机与云端同步帐号的帐密数据，在部分攻击行动里，攻击者会停用多因素验证（MFA）的网域管理员，挟持云端连接阶段（Session）以达到目的。

黑客锁定俄语用户用HTML偷渡手法散布DCRat木马

自2018年出现的RAT木马程序Dark Crystal RAT（简称DCRat），具备窃取机密信息、运行Shell命令、侧录键盘输入的内容等功能，开发者以租用型式（Malware as a Service，MaaS）提供黑客运用，如今在最新一波攻击行动里，黑客结合了HTML偷渡（HTML Smuggling）手法来进行散布。

资安业者Netskope揭露锁定俄语用户的DCRat攻击行动，黑客设置冒牌的HTML网页，假借提供TrueConf和VK Messenger等应用程序的名义，引诱用户上当。但究竟黑客如何让受害者接触这些冒牌网页？研究人员表示不清楚。

值得留意的是，一旦用户存取这些网页，浏览器就会迳自下载受到密码保护的ZIP压缩档。黑客也在网页列出密码，若是用户依照指示解开压缩档，电脑有可能会因此感染DCRat。

Rackspace内部系统遭入侵，问题出在第三方应用程序

根据The Register报导，云端运算平台Rackspace内部使用的IT监控软件存在零时差漏洞，让黑客借以骇入公司系统，并存取了该公司管理凭证及企业客户数据。

Rackspace说明，9月24日该公司发现，第三方IT管理应用程序存在远程代码运行（RCE）零时差漏洞。黑客借此漏洞，存取了该公司3台内部监控用的网页服务器，以及「部分监控信息」。

这第三方应用程序来自台湾的飞立德（ScienceLogic），该公司提供AIOps及IT基础架构监控平台，为Rackspace用以监控内部系统营运。Rackspace说接获飞立德通知漏洞消息，该公司也立即采取行动，隔离受影响的机器，并且通知客户。

第一银行网银遭到DDoS攻击

9月30日第一金融控股（第一金）于股市公开观测站发布重大消息，指出旗下子公司第一银行的网络银行网站「第e个网」遭遇网络DDoS攻击，他们在察觉此事后立即启动相关防御机制，网站服务未受影响。

而对于此事可能造成的损失或是影响，该公司表示，目前评估对银行日常营运尚无重大影响。

其他攻击与威胁

◆黑客组织Patchwork锁定中国企业组织，散布后门程序Nexe

◆巴基斯坦黑客Transparent Tribe锁定印度Linux电脑而来

◆黑客组织8220散布恶意软件Hadooken及K4Spreader挟持云端环境

◆法新社传出遭遇网络攻击，波及合作伙伴IT系统及内容交付

◆乐天信用卡遭黑客攻击未紧急应变，金管会列6大缺失、罚250万

【漏洞与修补】

WatchGuard身分验证系统存在重大漏洞

资安业者WatchGuard发布资安公告，指出身分验证系统Authentication Gateway的单一签入（SSO）组件，存在弱点CVE-2024-6592、CVE-2024-6593、CVE-2024-6594，CVSS风险评分介于7.5至9.1。对此，他们已发布12.10.2版Authentication Gateway（又称为Single Sign-On Agent），以及Windows、macOS用户端程序Single Sign-On Client新版12.7、12.5.4予以修补。

根据CVSS风险评分高低，较值得留意的是被列为重大层级的CVE-2024-6592、CVE-2024-6593，两者之所以被认定为漏洞，是因为Authentication Gateway与Single Sign-On Client之间，出现不正确授权的情况，其中CVE-2024-6592影响Windows及macOS用户端，另一个漏洞仅有Windows用户端受到波及。

购物网站插件TI WooCommerce Wishlist存在重大漏洞，恐影响10万网站

资安业者Patchstack指出，WordPress插件程序TI WooCommerce Wishlist存在重大层级的漏洞CVE-2024-43917，此漏洞允许任意用户在WordPress网站数据库运行不受限制的SQL查找，而且，攻击者可在无须取得特殊权限的状况下，利用这项弱点，CVSS风险评为9.3分（后来NVD认为有9.8分）。值得留意的是，目前这项漏洞尚未得到修补，因此研究人员呼吁，网站管理员最好尽速停用并删除此插件程序

此重大层级漏洞发生的原因，在于SQL命令使用的特殊元素的不当处理所致，导致攻击者能在未经身分验证的情况下触发漏洞，研究人员也公布2种漏洞利用的概念性验证代码。

Kia网站漏洞可让攻击者骇入并控制车子，2013年以后车款受影响

资安研究人员Sam Curry所组成的研究团队于今年6月发现韩国汽车大厂起亚（Kia）网站的数项漏洞，其中包含客户网站owners.kia.com的漏洞，能让攻击者创建特制的App，而能在大约30秒内骇入车辆并远程控制主要功能。攻击者还能暗中取得车主个资，包括：姓名、电话、电子邮件与地址，甚至有机会利用这些信息在车主不知情下，取得车辆控制权。值得留意的是，该公司从2013年到2025年生产的数十款车型都受到影响，几乎所有车辆都能远程定位、开车门、发动引擎、打开方向灯，部分甚至能远程启动摄影机。

研究人员在Kia经销商网站冒充登录新经销商，验证新帐号，取得有效存取令牌后，以此新令牌调用后台API，从回传的HTTP回应取得必要参数，存取Kia经销商上的所有经销商端点。研究人员还可利用电邮和取得的必要参数，降级受害车主等级，加入自己的电子邮件信箱，绑定并设为车子的主要用户。

近期资安日报

【9月30日】Unix与Linux普遍内置的打印系统CUPS存在重大漏洞

【9月27日】黑客利用Docker引擎API进行挖矿

【9月26日】macOS版ChatGPT软件存在可被窃密的漏洞SpAIware