回顾10月第四星期的资安新闻主要焦点，莫过于日本电视台NHK近期公开一部记录片，揭露中国资安业者安洵信息外泄文档，曝光了中国对台认知战的内幕。今年2月我们已经报导此事，当时安洵信息外泄数据暴露中国政府对全球各地的网络间谍攻击手段，也显现出中国民间的资安组织在政府从事全球性的APT攻击中，亦发挥关键的作用。

如今NHK耗时半年前往7国继续深入调查此事，并以记录片形式揭发此威胁手段，强调中国现在的网络攻击不只针对系统，网络攻击也同时针对民众，通过大量网络舆论操弄的影响力行动来发动「认知战」。事实上，近年许多资安业者都在持续强调这方面的威胁，需要更多国人重视这类问题。

在资安威胁与警讯上，有两则重要新闻，一是当心中国黑客组织IcePeony锁定网页服务器注入Web Shell，以及针对IIS服务器创建后门IceCache的状况，资安业者发现该组织从去年就锁定亚洲多国；另一是注意新兴勒索软件Cicada3301，有资安业者指出这是今年6月才开始出现，但最近3个月内已有30家企业组织遭受攻击，主要锁定企业的VMware虚拟化平台、NAS设备。

在资安事件方面，台湾这一星期就有5家上市公司发布资安重讯，包括美利达、丰祥-KY、华新科、台船，以及正新代加拿大子公司发布，涵盖产业包括自行车厂、轮胎厂、机车零配件厂、被动组件厂，以及国内最大造船厂。其中华新科的事故成主要焦点，因为后续已有媒体报导指出，勒索软件黑客RansomHub在暗网宣称握有该公司150 GB的机密数据；另一焦点在于，有两家公司指出遭攻击状况与邮件系统帐号有关，唤起国内对这方面的警惕，因为这类情形过往很少登上重讯版面。

●自行车厂美利达在21日发布重讯，说明侦测到部份邮件系统用户帐号遭攻击，已启动防御与修改用户帐密。
●轮胎厂正新于21日代表旗下Cheng Shin Rubber Canada发布重讯，说明该子公司部份信息系统遭受黑客网络攻击。
●电机机械业丰祥-KY在22日发布重讯，说明公司信息系统在凌晨遭受加密攻击，已查出加密源头并阻断，正在恢复系统。
●被动组件厂华新科在23日发布重讯，说明部份信息系统遭受黑客网络攻击。
●国内最大造船厂台船在24日发布重讯，说明侦测到部分邮件系统用户遭攻击，已启动防御与修改用户帐密。

国际间则有2起事故受关切，包括思科坦承客户支持网站数据外流，强调公司内部并未遭骇，以及资安业者ESET在以色列的合作伙伴传出遭受攻击，ESET强调公司内部并未遭到入侵，正与当地合作伙伴调查此事。此外，今年8月日本马达大厂尼得科遭骇，如今有进一步的调查结果公布，研判黑客之所以得逞是因为取得了员工VPN帐密数据。

在漏洞利用方面，这一星期有3个零时差漏洞利用需要重视，攻击者锁定Fortinet、Cisco与ScienceLogic产品，显现出企业产品成为攻击目标的态势依然显著。有一起已调查出幕后攻击者，资安业者Mandiant指出，关于锁定Fortinet漏洞的攻击，已发现是名为UNC5820的黑客组织所为，并且是在6月底就出现尝试利用迹象。

●Fortinet修补涉及FortiManager的零时差漏洞CVE-2024-47575，Mandiant在公告后隔天揭露，有黑客组织在4个月前就将其用于实际攻击行动。
●Cisco针对旗下多款产品修补51个漏洞，其中包含针对零时差漏洞CVE-2024-20481的修补，因为该公司PSIRT发布修补时即指出有遭利用迹象。
●ScienceLogic修补SL1平台的零时差漏洞CVE-2024-9537，美国CISA已将此漏洞列入已知漏洞利用清单。
●微软在7月初修补SharePoint的漏洞CVE-2024-38094，以及Roundcube在6月初修补Webmail的漏洞CVE-2024-37383，近日发现有黑客针对未修补用户攻击的情形。

此外，苹果在9月修补恐影响MDM行动设备管理平台的漏洞CVE-2024-44133，有业者示警疑似漏洞利用迹象。

【10月21日】Internet Archive再传遭骇

两周前黑客入侵互联网文件馆（Internet Archive），并窜改其网页，向密码外泄数据库Have I Been Pwned（HIBP）提供窃得的逾3千万笔帐号数据，如今这起事故出现新的发展。

在这波攻击行动里，黑客滥用该网站的IT服务台系统Zendesk向用户寄信「警告」，并取笑维护团队处理资安事故的速度极为缓慢，用户的数据外流到不知名人士手中。

【10月22日】资安业者ESET以色列合作伙伴惊传遭骇，黑客冒名从事网钓攻击

黑客锁定合作厂商发动攻击的情况，很难不让人联想到供应链攻击。最近发生在资安业者ESET合作伙伴Comsecure的资安事故，就是这样的例子。

值得留意的是，黑客疑似通过Comsecure经营的网域，意图打着ESET的名号，假借提供防护工具为由，向以色列人散布数据破坏软件（Wiper），为何攻击者能够利用该网域寄信？该公司并未进一步说明。

【10月23日】中国黑客组织IcePeony对亚洲国家网页服务器发动SQL注入攻击

中国黑客的攻击行动频传，我们昨天报导APT41针对赌博及游戏业者进行为期接近9个月的网络间谍行动，另一个过往未曾被发现的黑客组织IcePeony也相当值得留意，因为，这些黑客专门针对影响中国的海洋战略趋势，对特定亚洲国家发动攻击。

值得留意的是，这些黑客也似乎比照中国IT业者的「996」上班制度长时间活动，这意味着，他们可能持续对企业组织的网络环境发动攻击，而且每天活动的期间涵盖一般IT人员已经下班的时间。

【10月24日】FortiManager零时差漏洞已被用于实际攻击行动

本周研究人员揭露多起漏洞利用攻击的资安事故，例如：Fortinet网络设备管理系统漏洞CVE-2024-47575、三星行动设备处理器漏洞CVE-2024-44068、macOS操作系统漏洞CVE-2024-44133。

其中，又以CVE-2024-47575相当值得留意，原因是这项漏洞在Fortinet尚未公开之前，已有研究人员提出警告，并有企业传出遭受攻击的情况。

【10月25日】Fortinet零时差漏洞4个月前就遭黑客组织UNC5820利用

本周最受到瞩目的漏洞，应该就属网络设备管理平台FortiManager零时差漏洞CVE-2024-47575（也被称做FortiJump），在Fortinet对外发布资安公告之后，有资安业者证实已有企业遭遇相关攻击。

资安业者Mandiant指出，他们看到黑客组织UNC5820在今年6月就开始利用这项漏洞，但对于攻击者的身分，以及运用漏洞的目的，迄今仍无法掌握。