资安业者Volexity上周揭露了俄罗斯黑客组织APT28精心设计的攻击行动「Nearest Neighbor Attack」，由于APT28打算攻击的组织，在各个公共服务采用了多因素身分验证（MFA），使得APT28最终选择攻陷该组织的各个「邻居」，再借由邻近电脑入侵未运行MFA的Wi-Fi网络。

这起攻击事件发生在2022年2月，正巧是俄罗斯入侵乌克兰的前夕，APT28的目的是搜集该组织中涉及乌克兰的个人或项目数据。

调查发现，APT28先针对目标组织外部服务发动密码泼洒攻击，尽管已经取得了帐号及密码，却无法通过这些服务的多因素验证，于是转向较少采用MFA的Wi-Fi网络，然而，APT28与目标组织之间有半个地球的距离，使得黑客决定从目标的邻居着手。

出现命名意图与两大AI平台混淆的可疑开发套件，目的是散播窃资软件JarkaStealer

生成式AI当红，许多开发者加入运用这类工具的行列，但黑客也伺机而动，企图假借相关名目散布恶意软件。

资安业者卡巴斯基指出，他们在PyPI套件库当中，发现2个恶意套件，提供这些套件的人士声称，一旦安装之后，开发人员就能使用这些程序库与热门的大型语言模型（LLM）协同合作。但实际上，对方其实是滥用展示版本的ChatGPT掩人耳目，真正的目的，就是要在开发人员的电脑植入窃资软件JarkaStealer。

而对于这款窃资软件的来历，研究人员指出是由惯用俄文的开发者制作，具备从各种浏览器窃取数据的能力，或是从Telegram、Discord、Steam等应用程序盗窃连接阶段（Session）的Token。此外，攻击者还能中断受害电脑的浏览器运作，以便搜索浏览器存放的特定数据。

北捷AI客服遭网友测试发现可代写代码，北捷紧急断开Azure Open AI回应功能

台北捷运提供的AI智能客服，协助真人客服减轻工作压力，提供旅客24小时AI客服，不过，近期有网友测试后发现，北捷AI智能客服竟然可以提供代码范例，引发其他网友测试，事件发生后，台北捷运接获通报，已紧急要求厂商断开串接Azure Open AI，让AI客服回到旅客搭乘捷运相关问题的应答功能。

对此，台北捷运初步研判原因为，网友以编程语言测试捷运AI智能客服，超出原先设置的数据库范围，系统通过Azure OpenAI回应，因此台北捷运立即要求厂商断开串接功能，回到北捷已建置的旅客常见问题应答。

由于没有对民众提出的问题请求设限，挡掉和台北捷运旅客服务以外的无关问题，如果长时间遭到外界滥用，可能导致生成式AI巨额的收费外，有心人士可能测试各种提问方式，还可能设法骗取AI客服回应企业内的敏感数据，可能衍生出资安的风险。

其他攻击与威胁

◆中国Storm-2077架设影响力网络GlassBridge，意图对美国政府机关、非政府组织散布假新闻

◆中国黑客Earth Kasha发起LodeInfo攻击，将范围从日本延伸到台湾、印度

◆北韩黑客锁定开发人员而来，借由NPM套件散布恶意程序BeaverTail、InvisibleFerret

◆哈马斯黑客Wirte锁定以色列企业组织，散布数据破坏软件SameCoin

其他漏洞与修补

◆网络流量监控系统LibreNMS存在重大漏洞，攻击者有机会运行操作系统层级命令

【资安产业动态】

资安新创Wiz买下云端安全业者Dazz

今年传出拒绝Google收购的云端资安业者Wiz上周四（11月21日）宣布，将买下另一资安新创Dazz，以强化该公司的风险缓解能力。双方并未公布交易细节，但外传此交易价值约4.5亿美元。

Wiz共同创办人暨首席执行官Assaf Rappaport指出，Dazz的修复引擎能帮助安全团队链接不同来源的数据，并通过一个统一平台有效管理应用程序风险；其先进的映射功能可精准找出问题根源，使工程师能直接在代码中修复安全漏洞，同时将重要的云端环境无缝集成至安全工作流程中。Rappaport 强调，在彻底改变修复流程与应用程序安全的旅程中，Dazz是最理想的合作伙伴。

近期资安日报

【11月22日】黑客疑似利用零时差漏洞入侵2千台Palo Alto Networks防火墙

【11月21日】中国黑客锁定南亚及非洲一带一路国家的电信业者从事间谍活动

【11月20日】勒索软件Helldown潜入受害组织，管道是兆勤防火墙的弱点