10月23日下午被动组件制造商华新科技在股市公开观测站指出，他们有部分信息系统遭遇网络攻击，在察觉事故的当下立即启动相关防御机制因应。如今有研究人员指出，攻击者很有可能是勒索软件黑客组织RansomHub。

台湾资安业者竣盟科技25日发布博客文章，揭露勒索软件黑客组织RansomHub声称成功入侵台湾上市被动组件大厂，该公司年营收接近30亿美元，黑客窃得多达150 GB数据，内容涵盖相关技术、有关协定、签章数据，要胁这家公司在10月31日前支付赎金，否则将会公布窃得数据。

另一个提到这次攻击事故的消息来源，是网络威胁情报分析公司HackManac，10月24日他们也在社群网站X贴文揭露此事，而且直接点名苦主是Walsin Technology Corporation，也就是华新科技的英文名称。

美国医疗服务供应商UnitedHealth坦承1亿用户数据遭窃

今年2月美国医疗服务供应商Change Healthcare遭到勒索软件BlackCat攻击，母公司UnitedHealth Group因为这起资安事故，在今年第3季财报认列超过20亿美元损失，根据近日美国卫生及公共服务部（HHS）的公开数据显示，Change Healthcare通报遭到外泄的用户数据高达1亿笔，成为美国医疗领域最严重的数据外泄事件。

值得留意的是，UnitedHealth今年4月公布的第1季财报时，编列8.72亿美元因应网络攻击的成本，其中有5.93亿美元属于直接回应攻击成本，另外的2.79亿美元则是业务损失，并估计总成本将超过10亿美元；而在UnitedHealth今年第3季的财报中，列出了该攻击对该公司今年前9个月的影响，相关成本累计已超过24.5亿美元。

因CrowdStrike大当机停摆多日，达美航空正式提告并求偿5亿美元

7月间资安厂商CrowdStrike更新软件组件导致全球数百万台电脑大当机，受累的达美航空（Delta Airlines）上周正式提告，要求至少5亿美元的赔偿。

根据路透社等多家媒体报导，达美航空向格鲁吉亚州富尔顿（Fulton）郡高等法院提告，指CrowdStrike强迫将未测试的错误更新部署给客户，导致850万台Windows电脑当机，引发灾难性后果，要求赔偿5亿美元损失，以及利润、律师费、商誉，以及未来营收的损失。

对此CrowdStrike回应，达美航空说法是基于没有根据的错误信息，显示不理解现代化网络安全运作方式，反映其推卸未能现代化老旧系统的责任。该公司宣称，只要删除更新的CrowdStrike文件并重开机，就能排除问题。

大型造船厂台船邮件系统遭受攻击

上周美利达、丰祥、华新科技，以及正新代加拿大子公司等多家上市柜公司于股市公开观测站发布重大消息，周五（10月25日）傍晚大型造船厂台船发布重大消息，表示他们发现部分邮件系统的用户帐号遭到攻击的情况。

针对这起事故的后续处理，该公司表示资安单位立即启动资安防御机制，并运行用户帐密修改作业，他们初步评估这起事故对公司营运无重大影响。值得留意的是，这是上周第2起邮件系统帐号遭到攻击而登上重讯版面的资安事故，算是过往相当罕见的情况。

纺织业者力鹏传出遭遇勒索软件攻击

今日（28日）晚间纺织业者力鹏发布重大消息，证实他们杨梅厂的部分主机于早上遭遇文件加密攻击，而且，本地备份数据也不幸被删除，他们正从异地的备援数据进行还原作业。

针对这起勒索软件攻击事故可能会造成的损失或是影响，该公司目前评估对于公司的营运没有重大影响，并表示他们后续将会持缤强化网络及信息基础架构的安全管控。

其他攻击与威胁

◆黑客组织TeamTNT锁定云端环境发动攻击，将受害主机租给他人牟利

◆勒索软件Qilin出现变种，攻击者采用更为复杂的方法埋藏加密密钥

◆勒索软件Beast锁定Windows、NAS、VMware ESXi而来

◆勒索软件Black Basta通过微软Teams进行社交工程攻击

【漏洞与修补】

新型态降级攻击可让攻击者植入恶意内核驱动程序、Rootkit

今年8月资安业者SafeBreach在Black Hat USA 2024、DEF CON 32两场大型资安会议上，揭露Windows Downdate降级攻击，攻击者可借由窗口操作系统的弱点，对于重要组件进行降级，从而曝露原本已经修补完成的漏洞，其中一个借由降级攻击引发的弱点是CVE-2024-21302（CVSS风险评为6.7），微软获报后也在同月发布修补程序，如今研究人员公布更多细节，并提及一种新的降级攻击手法。

研究人员提及，虽然微软对CVE-2024-21302发布了修补程序，但他们发现，微软目前只处理已跨越安全边界的部分，而对于能够接管自动更新机制Microsoft Update的部分，由于这项弱点涉及以管理员身分运行内核代码，微软不认为此举跨越安全边界而未处理，但实际上，仍有可能遭人滥用。

他们发现，攻击者若是能利用接管Microsoft Update的弱点，就有机会绕过驱动程序强制签章（DSE）的系统内核防护机制，进而加载尚未签章的驱动程序，并部署rootkit恶意程序，甚至能隐藏特定处理进程、网络活动、破坏操作系统的安全管控机制。研究人员将这种攻击手法命名为ItsNotASecurityBoundary，并在完整套用所有更新的Windows 11 23H2操作系统上，展示如何用来发动降级攻击。

Amazon修补Cloud Development Kit帐户接管漏洞

资安业者Aqua揭露基础设施即代码（Infrastructure as Code，IaC）开发框架AWS Cloud Development Kit（AWS CDK）的安全漏洞，此漏洞可能允许黑客接管CDK用户帐户，AWS收到Aqua通知之后，已于今年10月将其修补，估计约有1%的CDK用户受到影响。

这项漏洞发生的原因，是开发人员使用AWS CDK之前，必须先初始化其环境，过程里AWS CDK会创建临时S3存储桶来存放部署资产，该存储桶的命名是唯一的、与用户帐户有关，而且是可预测的。因此，黑客只要知道目标对象的帐号ID，就有机会替CDK创建暂存的S3存储桶，进行窜改用户上传的范本，并得到该帐号的完整控制权。

其他漏洞与修补

◆漏洞挖掘竞赛Pwn2Own Ireland 2024找出逾70个零时差漏洞

近期资安日报

【10月25日】Fortinet零时差漏洞4个月前就遭黑客组织UNC5820利用

【10月24日】FortiManager零时差漏洞已被用于实际攻击行动

【10月23日】中国黑客组织IcePeony对亚洲国家网页服务器发动SQL注入攻击