11月第一周的资安消息中，在防护动向上，以身分安全为主要焦点，有3起消息都与此有关，其焦点涵盖Passkey无密码登录、金融Fast-ID，以及强制激活MFA。

例如：我们最近发布的封面故事，就是关于台湾网络服务业者至少已有3家业者，包括：露天市集、可乐旅游、智冠科技，均在大力宣传「Passkey无密码登录」，或是「FIDO生物识别登录」，这不仅代表开始跟上国际业者脚步，也让用户能有更安全简便的登录方式；关于金融Fast-ID验证转接中心的进度，先前金管会已透露将于明年6月上线，11月初台北金融科技展上更是公布先导机构预计达20家，不只银行、保险、证券期货，也扩及投信投顾与政府机构；Google Cloud宣布明年强制激活MFA的消息中，提到目前仍有3成帐号未激活MFA，打破众人对IT人员早就激活MFA、重视帐号安全的想像，因此引发外界关注。

还有两则新闻突显资安防护上的新技术焦点，我们认为同样值得关注，一是联合学习，一是AI抓漏。前者是在科技防诈的发展中，台湾金融业正聚焦联合学习技术的应用，目前已有3项实证计划都在检验其有效性，并要促进应用落地；后者是涉及LLM模仿人类安全专家找出漏洞的发展，Google的Project Zero团队与DeepMind共同研发的AI抓漏项目Big Sleep，已有首个公开实例出现。

另外值得一提的是，台湾黑客年会企业场在11月登场，副总统萧美琴也到场支持并给予鼓励，不只推动产官学研与社群力量的持续合作，更强调确保供应链的稳定，将能增强外商对台湾的信心。

在威胁态势方面，有一起针对台湾的攻击最值得留意，思科Talos指出今年7月出现针对台湾的脸书企业用户及广告帐号的攻击，其手法是以侵犯版权为由，或假冒企业的法律部门，企图散布窃资软件LummaC2、Rhadamanthys。还有两则黑客攻击活动揭露，都与资安产品被锁定有关。

●台湾企业脸书粉专管理员遭锁定，黑客声称收信人的公司盗用他们的图片及视频，扬言采法律行动，诱骗收信人打开伪冒为PDF的可运行档，以植入窃资软件。
●英国国家网络安全中心（NCSC）揭露有攻击者锁定Sophos XG防火墙设备植入Pygmy Goat的后门程序，资安业者Mandiant分析攻击者与与中国黑客有关。
●有攻击者将旧版的Cortex XDR代理程序部署到企业，资安业者Palo Alto Networks指出这是借由自带驱动程序（BYOVD）手法。
●继上月美国多家电信业者电信业者传出遭中国黑客Salt Typhoon入侵，2家新加坡电信也传出受骇，并且疑为同一黑客所为。

至于资安事件方面，在国内，以生产汽机车闻名的上市公司三阳工业，发布资安重讯说明部份信息系统遭受黑客网络攻击；国际间，则有2起消息受关注，包括：施耐德电机传出Jira服务器数据外泄、黑客声称从Nokia合作厂商窃得源码。

在漏洞消息方面，这一星期有4大漏洞利用状况，其中CyberPanel服务器管理平台的漏洞最受关注，因为在研究人员揭露相关漏洞信息后出现攻击行动，这可能突显安全研究人员与供应商之间沟通不良，造成用户需要为此买单的状况。

●CyberPanel上月修补经研究人员通报的安全漏洞，后续发现攻击者锁定并布署勒索软件Psaux，美国CISA将CVE-2024-51567列入已知漏洞利用清单。
●11月Android例行安全更新中，修补已遭利用的安卓框架组件零时差漏洞CVE-2024-43093，以及高通上月修补的零时差漏洞CVE-2024-43047。
●Palo Alto Networks在7月修补Expedition转移工具的漏洞CVE-2024-5910，11月8日该业者接获CISA通知，已有证据显示该漏洞正被积极利用。
●开源Web服务器Nostromo nhttpd在2019年修补的老旧漏洞CVE-2019-16278，如今仍有攻击者锁定未修补用户发动攻击。

至于其他漏洞修补动向，还可以留意的包括：HPE Aruba Networking的Wi-Fi基地台系统软件、思科的工控无线URWB路由器、以及ABB的智能建筑能源管理系统的漏洞修补。

【11月4日】安卓语音网钓恶意软件FakeCall出现新手法

使用语音网钓（vishing）的攻击手法，最近2年陆续有恶意软件出现，但大多是针对窗口操作系统的用户而来，假借提供游戏、应用程序、破解软件等名义散布，但如今，也有专门针对行动设备的攻击事故。

近期资安业者Zimperium揭露的安卓恶意软件FakeCall攻击，就是典型的例子，不过值得留意的是，攻击者集成了手机的电话功能，而能在用户授权的情况下，挟持电话内容，以便骗取相关金融数据。

【11月5日】脸书粉专管理员、广告管理员请提高警觉！窃资软件锁定台湾用户攻击

黑客针对脸书企业帐号的管理员，以及管理广告的用户而来的情况，每隔一两个月就出现相关攻击行动，但最近出现专门锁定台湾用户而来的攻击。

究竟攻击者身分为何？目前仍不得而知，但从黑客使用了中国用语的情况，容易让人联想是来自中国或是华人。

【11月6日】国际警方破获2.2万个用于网钓及勒索软件攻击的恶意IP位址

各国执法机关共同合作，破坏特定的勒索软件、窃资软件运作，近期有所斩获，继上个月荷兰国家警察在跨国执法行动Operation Magnus当中，成功破获窃资软件RedLine及Meta的网络基础设施，本周国际刑警组织（Interpol）宣布，他们与全球95个国家执法单位联手，经过5个月的时间，总共查获约3万个疑似用于网络犯罪的IP位址，并成功封锁超过2.2万个。

特别的是，他们提及香港、蒙古、澳门的执法单位参与这次行动的情况，并公布成果。

【11月7日】恶意程序框架Winos 4.0锁定中国游戏玩家而来

恶意程序朝向模块化设计的现象，可说是越来越普遍，因为攻击者借此能够弹性搭配不同的插件模块，从事各式活动，本周资安业者Fortinet揭露的Winos 4.0，就是典型的例子。

研究人员特别提到，Winos 4.0已从一般的后门程序发展成恶意程序框架，功能与渗透测试工具Cobalt Strike、Silver相当，攻击者能借此控制受害电脑并运行多种恶意行为。

【11月8日】德国提出刑法修正草案，确立资安漏洞研究的合法地位

研究人员在调查资安漏洞的过程，很有可能面临系统维护业者、软件开发业者的关切，认为研究人员在从事黑客行为而采取法律行动，对此，近期有国家特别针对研究人员调整相关法律，而引起注目。

德国联邦司法部本周提出新的刑法修正草案，就是针对此事而来，而通过修法保护资安研究人员的做法已有先例，2022年，美国修订《电脑诈欺及滥用法案（CFAA）》，豁免研究人员遭到起诉的风险。