中国黑客运用恶意软件框架Winos 4.0从事攻击行动的情况，今年已发生数起资安事故，例如：6月趋势科技揭露黑客组织Void Arachne的攻击行动，假借提供AI应用程序的名义，向简体中文用户散布这款恶意软件；到了11月初，另一家资安业者Fortinet指出，有人利用这款恶意程序框架疑似锁定教育机构下手，如今相关的攻击行动再度传出。

资安业者Rapid7指出，他们在11月初发现了名为CleverSoar的恶意程序部署工具（Installer），攻击者的主要目标，是惯用简体中文与越南文的用户。黑客意图利用这款部署工具在受害电脑植入多种恶意程序，并保护这些软件的运作不受到干扰。

而这些对方使用的恶意程序，包含了Winos 4.0进阶版本，以及名为Nidhogg的Rootkit程序。攻击者能够用来侧录键盘输入内容、数据外泄、绕过安全防护措施，甚至能进一步控制受害电脑。究竟攻击者的目的为何？研究人员推测，主要很有可能是为了进行更深入的监控，并且截取特定的数据。

日本遭APT-C-60网钓攻击，滥用StatCounter、Bitbucket并意图散布SpyGlace后门

日本电脑网络危机处理暨协调中心（JPCERT/CC）指出，他们得知黑客组织APT-C-60于今年8月攻击日本企业组织，对方佯装成求职者向人资窗口寄送钓鱼信，意图散布恶意程序。

在这波攻击行动里，黑客寄送含有Google Drive链接的钓鱼信，一旦收信人点击链接，电脑就会下载含有恶意程序的VHDX虚拟磁盘文件，该文件内含诱饵及Windows捷径档（LNK）。

收信人若是点击附件，电脑就会挂载虚拟磁盘并显示伪制成自我介绍的LNK文件，一旦打开，电脑就会启动文件名为IPML.txt的Shell文件，此Shell程序就会下载恶意程序下载工具SecureBootUEFI.dat，并以COM挟持（Component Object Model Hijacking）的方式运行，借此让攻击者在受害电脑持续活动，最终于受害电脑植入后门程序SpyGlace。

恶意程序GodLoader回避侦测出现新手法，黑客滥用游戏引擎感染1.7万台电脑

最近2年黑客利用合法组件瘫痪杀毒软件及EDR系统的情况，不断有资安事故传出，其中最常见的手法，便是使用过时的驱动程序，以操作系统内核层级来干扰这些资安防护机制的运作，但如今有人转向其他工具来突破防线。

资安业者Check Point指出，他们发现名为GodLoader的恶意软件，从今年6月底开始通过开源游戏引擎Godot，并运行特制的GDScript脚本，黑客借此触发恶意指令，并于受害电脑加载恶意软件，迄今约有1.7万台电脑遭到感染，而且，许多杀毒软件可能无法侦测攻击者使用的恶意脚本，因为将这些程序送到恶意软件分析平台VirusTotal检测，鲜少有杀毒引擎将其视为有害。

值得留意的是，该恶意软件散布的管道，是滥用代码存储库GitHub组成的Stargazers Ghost网络，从9月至10月，约有200个存储库用于散布GodLoader。

因不满成为OpenAI宣传视频生成器Sora的工具，受邀测试的艺术家泄露存取权限

一群被OpenAI邀请来测试文本转视频AI模型Sora的艺术家，因为认为自己被OpenAI免费用来行销Sora，而在Hugging Face上发布了Sora的存取权限。不过，OpenAI在3小时后就关闭了针对艺术家所提供的早期存取权限。

而该艺术社群在11月26日发表公开信，指出约有300名艺术家获得了Sora的存取权限成为早期测试者、红队成员，以及创意合作伙伴，然而，他们却认为自己是被OpenAI引诱以替其展开艺术漂白，向全世界说明Sora对艺术家来说是个有用的工具。

公开信中阐述，艺术家们使用Sora所生成的视频，在对外分享之前都必须获得OpenAI团队的批准，此一早期存取计划似乎不太关心创意表达与批评，而更在意公关及广告。对此，他们公开取得的存取权限，让一般用户也能探索、实验Sora的能力。

其他攻击与威胁

◆中国黑客Earth Kasha从事网钓攻击，意图对日本企业散布后门程序Anel

◆越南黑客通过企业脸书帐号散布窃资软件VietCredCare、DuckTail

◆针对遭遇中国黑客Salt Typhoon入侵的事故，T-Mobile公布最新调查结果

◆北韩黑客半年内窃取逾1千万美元加密货币、针对卫星与军事系统从事网钓攻击

其他漏洞与修补

◆网络流量监控系统Zabbix存在重大层级漏洞，恐被用于SQL注入、RCE攻击

【资安防御措施】

行政院推打诈策略行动纲领2.0，提高产业防诈监管力度、AI科技防诈是关键

为遏止诈骗盛行，行政院推动新世代打击诈欺策略行动纲领2.0版（后简称打诈策略行动纲领2.0），除强化金融、电信产业的防诈策略，也扩大纳入数位经济产业，提高对产业监管力度以对抗各种诈骗手法，并且积极运用AI以强化科技防诈。

打诈策略行动纲领2.0，打诈办公室转型为打诈指挥中心，分为识诈、堵诈、防诈、阻诈、惩诈5个面向，分别由内政部、NCC、数发部、金管会、法务部负责，各自针对警政宣传、电信产业、数位经济产业、金融产业、侦查提出打诈对策，并由打诈指挥中心跨部会协调合作，2.0也加强中央政府和地方政府合作，取得通报、共同打诈防诈。

【资安产业动态】

AWS与Rust基金会携手，验证Rust标准函数库的安全性

AWS与Rust基金会11月20日共同举办新竞赛，期望号召社群的力量，来验证Rust标准函数库的安全性。

AWS表示，由core、alloc与std等套件组成的Rust标准函数库，替开发者提供了许多常用的功能，这些功能在外部看起来是安全的，但它们在内部可能使用了unsafe区块来实现一些低级的高性能操作或硬件交互，而且并未经过真正的安全验证。

因此，AWS与Rust基金会共同推出一系列的挑战赛，专注于验证内存安全，以及Rust标准函数库中未定义行为的子集，参与者可以通过指定合约、验证函数库组件，或是开发新的验证工具来作出贡献，而且每项成功的挑战都可获得奖励。本竞赛的最终目标，是要让验证成为Rust语言持续集成过程中不可或缺的一部分。

近期资安日报

【11月28日】第一款针对Linux主机的UEFI Bootkit现身

【11月27日】攻击者串连Firefox与Windows的零时差漏洞，能在用户毫无察觉的状况下植入恶意程序

【11月26日】软件供应链业者Blue Yonder遭遇勒索软件攻击，客户受到波及