10月最后一星期的资安消息中，在国家级黑客威胁态势上，有3起关于中国黑客组织攻击的重要消息，其中两起备受重视，一是中国黑客组织Evasive Panda打造恶意软件工具包CloudScou的情形被资安业者揭露，而且已被用于针对台湾政府机关和宗教团体的实际攻击行动，由于该工具包可拦截Session及Cookie，将能存取Google Drive、Gmail、Outlook等公有云服务；另一是资安业者Sophos揭露有黑客在四川地区从事漏洞的研究、利用与开发，再提供给中国政府资助的多个黑客组织进行使用，除此之外，中国政府支持的攻击者也针对其他品牌的网络与资安设备，同样是近年多家资安业者不断警告的严重威胁。

●中国黑客Evasive Panda开发可拦截Session及Cookie的恶意软件工具包，资安业者ESET发现台湾政府机关与宗教团体在前两年成为其攻击目标。
●中国黑客近5年锁定多家厂牌的网络设备、资安设备，挖掘零时差漏洞从事攻击行动，资安业者Sophos揭露最新研究报告Pacific Rim。
●前两个月僵尸网络Quad7的威胁大幅提升，微软揭露最新调查结果，指出中国黑客Storm-0940所为，并有多组中国黑客使用该僵尸网络所窃得的帐密数据。

还有俄罗斯黑客Midnight Blizzard（APT29）的威胁，需关注其大规模攻击活动，因为根据微软威胁情报中心发布的最新消息显示，APT29正寄送内含恶意RDP组态文件且高度针对性的钓鱼邮件，英国、欧洲、澳洲、日本等数十国的政府、学术界、国防、非政府组织都是目标。

勒索软件也是主要的威胁焦点，有多家资安业者揭露不同勒索软件的最新动向。例如，SonicWall在8月下旬修补的SonicOS漏洞CVE-2024-40766，如今有资安业者指出勒索软件Fog、Akira的攻击行动在初期入侵时，就是利用SonicWall防火墙设备的SSL VPN帐号；10月底资安研究人员发现Cyber​​Panel服务器管理平台存在3种弱点，后续发现已有攻击者锁定可公开存取的CyberPanel发动攻击，并部署勒索软件Psaux；有资安业者揭露勒索软件黑客Black Basta使用新的战术，先通过网钓邮件，再通过微软Teams进行社交工程攻击引诱用户上当。

还有两个威胁态势同样值得留意，包括有研究人员展示新的Windows安全降级手法，可在Windows内核植入Rootkit，以及有资安业者揭露香港、巴基斯坦关键基础设施遭遇Cobalt Whisper攻击，发现滥用红队演练工具Cobalt Strike并使用超过30个诱饵文件。

在资安事件方面，当中许多是先前公众已知事故的后续消息，涵盖国内外的纺织业、电信与ISP业者、医疗业。

●台湾上市纺织纤维业力鹏在28日发布重讯，说明杨梅厂部分主机于凌晨遭受加密攻击，本地备份数据亦遭删除，现正自异地备援数据还原中。
●美国多家ISP业者先前传出中国黑客Salt Typhoon入侵，美国FBI与CISA证实这项消息，说明已通知受影响的公司，并鼓励潜在受害者与政府机关共同应对。
●法国大型ISP业者Free先前传出数据被兜售于黑客论坛，该公司证实数据遭到外流，并说明是管理工具被锁定而遇害，导致部分个资遭到未经授权存取。
●美国医疗服务供应商UnitedHealth今年2月遭勒索软件攻击，该公司半年多后通报美国卫生及公共服务部的数据显示新的消息，外泄的用户数据高达1亿笔。

在资安防护上，我们认为有3个消息最要注意，分别是：找出产品未知漏洞的竞赛、攻破黑客网络基础设施的行动，以及面对AI时代发展的国安政策。首先，Pwn2Own Ireland 2024帮助提前找出逾70个零时差漏洞，其次欧盟与荷兰执法单位捣毁窃资软件RedLine、Meta的基础设施，第三是美国政府发布首个AI国家安全备忘录。

【10月28日】上周四勒索软件RansomHub声称攻击台湾被动组件制造厂

过去一周以来，有5家上市柜公司发布资安重大消息，证实遭遇资安事故，其中一起被动组件制造商华新科技公告的网络攻击事件，有资安业者透露很有可能是勒索软件攻击。

值得留意的是，勒索软件黑客组织RansomHub对台湾企业下手的情况并非首例，今年6月，这些黑客声称从老牌笔电厂蓝天电脑窃得200 GB内部数据。

【10月29日】中国黑客开发专偷云端数据的恶意软件工具包并用于实际攻击行动

中国黑客组织Evasive Panda最近动作频频，先是使用后门程序Macma攻击台湾及美国的macOS用户，后来对互联网服务供应商（ISP）发动DNS中毒攻击，再对不安全的软件更新机制下手，最近有研究人员指出，这些黑客最近2年开发了恶意软件工具包，专门偷取企业组织的云端数据。

值得留意的是，这款工具包在黑客从事攻击行动2年后才被发现、揭露，且有部分组件用途仍不明朗，代表相关行踪可能相当不易察觉。

【10月30日】窃资软件RedLine遭到执法单位查封击

近期欧洲及美国跨国打击网络犯罪的情况，有不少新的斩获，本周有参与执法行动Operation Magnus的执法机构表示，他们已成功破坏恶名昭彰的窃资软件RedLine、Meta的基础设施，并将循线追查买家。

特别的是，这次执法单位特别制作视频并通过黑客论坛呛声，警告罪犯已被严密监控，表明能够控制基础设施并取得他们的顾客数据，并将采取法律活动。

【11月01日】中国黑客锁定各家厂牌的网络设备下手，挖掘零时差漏洞并用于攻击行动

先前美国政府与微软联手提出警告，中国黑客Volt Typhoon锁定SOHO网络设备而来，架设僵尸网络KV Botnet用于攻击关键基础设施，但如今有资安业者指出，中国黑客滥用SOHO网络发动攻击的情况，背后存在更为庞大的网络犯罪生态。

资安业者Sophos表示，针对这些设备的中国黑客组织还有APT31、APT41等多组人马，而且，在找出漏洞后，会交由其他中国资助的黑客运用。