在這一星期的漏洞消息中，有兩大漏洞修補需重視，包括江森自控修補旗下工業冷凍系統重大漏洞、Fortinet修補旗下FortiSIEM重大漏洞，此外，還有視訊監控影像錄製設備（NVR）與路由器被駭客發現新零時差漏洞、並利用於散布Mirai變種病毒JenX的嚴重威脅，目前揭露此事的Akamai先示警並通知相關製造商，預計12月有新版修補釋出。

另外，10月初我們曾報導GNU C函式庫緩衝區溢位漏洞CVE-2023-4911（Looney Tunables），近日發現攻擊者開始利用這個已知漏洞的跡象，這星期資安日報新聞尚未提及，我們在此補上。

國內方面，有多起資安事件成為焦點，都與上市公司有關，我們整理如下：
（一）首度出現一日內兩起資安事件重訊：在11月20日，旅遊業「雄獅」與塑膠工業「中石化」先後發布資安事件重大訊息，說明遭受駭客網路攻擊事件。其中雄獅提及提醒旅客反詐騙警語，可能有顧客資料外洩情事發生，並是該公司是這兩年來第二次公告遭駭，中石化的揭露相當有限，對於企業與組織聯防，無法提供具體有用的情報。
（二）大江生醫發布資安事件重大訊息，證實資訊系統遭受網路攻擊：上期資安週報於20日發布之際，我們率先報導了生技業「大江」疑似傳出在15日被Hunters International勒索軟體組織列為受害者的消息，其他媒體22日跟進報導這項消息，我們也再去電詢問大江仍未獲得回應，直到11月24日（週五傍晚）為止，大江終於公告他們遭受網路攻擊事件。
（三）訊連科技被微軟揭露遭駭，北韓駭客Lazarus對這家公司發動供應鏈攻擊，他們的Promeo產品新用戶遭鎖定：此事曝光的同一天，訊連在網站發布公告，說明其產品「Promeo」的安裝程式中發現惡意軟體，他們已經移除問題，後續並將更新軟體安全憑證。
此外，這一星期國內還有中心綜合醫院傳出掛號系統無法使用、預約資料消失，疑遭網路攻擊的消息，以及司法院針對判決資料外洩事故做出新的說明。

在資安威脅與事件方面，勒索軟體的威脅與動向最值得關注，有4項消息揭露，我們整理如下：
●對於Rhysida勒索軟體的危害，美國CISA、FBI與MS-ISAC聯合發布警告，說明其攻擊主要鎖定教育、醫療、製造、資訊業與政府部門。這份公開消息揭露該勒索軟體採用的TTP與IoC，供企業了解其攻擊策略與手法，以及各種緩解措施。
●關於勒索軟體BlackCat的新動向，有資安業者指出近期新手段是在Google刊出廣告，假借提供知名的應用程式（如Advanced IP Scanner、Slack、WinSCP），引誘網路使用者連至釣魚網站，下載被植入惡意程式Nitrogen的軟體。
●勒索軟體Phobos再度出沒，資安研究人員揭露近期出現他們鎖定資安社群VX-Underground的情形。
●勒索軟體駭客組織Play威脅恐加劇，近日有資安人員揭露該組織打出將其工具提供出租的旗號，欲吸引更多打手加入的狀況。

在新興攻擊手法與其他重要威脅態勢方面，我們認為竊資軟體Lumma的新手法，利用壓縮檔發動攻擊的現況，最值得留意。
●竊資軟體Lumma為了規避偵測，利用測量滑鼠軌跡來識別真人操作，才執行該竊資軟體；另一資安研究人員更是揭露，Lumma開發者聲稱能復原Google帳號的連線階段，挾持受害者帳號。
●關於利用壓縮檔散布惡意的態勢需要留意，本週有三起相關事件，首先是大使館人員要注意，俄羅斯駭客APT29鎖定歐洲多國大使館網攻，發動WinRAR漏洞攻擊，接著是加密貨幣用戶要注意，駭客組織DarkCasino針對這些用戶利用WinRAR漏洞發動攻擊，還有竊資軟體Agent Tesla新利用ZPAQ格式，將1 GB的大型檔案縮為僅有6 KB的壓縮檔，可能是要規避防毒掃描。
●Python開發人員也要注意，有資安業者揭露近半年有駭客上架了模仿知名套件的27個PyPI套件，同時還會利用PNG圖檔埋藏攻擊意圖。

最後，還有兩個國家級駭客攻擊動向的揭露，值得警惕，包括：中國駭客組織Mustang Panda鎖定東南亞國家軍事單位下手，駭客假借提供Solid PDF Creator、印尼防毒軟體Smadav的名義，藉由這些應用程式來側載惡意軟體；以及俄羅斯駭客Gamaredon鎖定烏克蘭組織，散布USB蠕蟲LitterDrifter。

【11月20日】駭客近半年散布逾30款惡意PyPI套件，利用PNG圖檔埋藏攻擊意圖，美國、中國、法國皆有開發者受害

近期針對開發人員的攻擊行動相當頻繁，而且也出現越來越隱密的手段，例如，將攻擊程式碼埋藏在惡意套件的特定模組，一旦開發人員依照指示安裝套件，惡意程式碼不會馬上執行，而是等呼叫特定功能才會一併載入。

而類似的手法，近期也出現其他新的手段，例如，資安業者Checkmarx披露的惡意PyPI套件攻擊行動。攻擊者嘗試將惡意程式碼埋藏在外部的PNG圖檔，使得PyPI套件本身看似無害。

【11月21日】中國駭客組織Mustang Panda鎖定東南亞發動數起網釣攻擊，起因疑與8月發生的菲律賓海上軍事衝突有關

今年上半，中國駭客組織Mustang Panda的攻擊行動頻傳，這些駭客著眼的目標與烏克蘭戰爭有關，大多是對於曾經協助該國的歐洲國家下手。

但到了下半年，這些駭客開始轉換目標，再度把攻擊聚焦在先前曾鎖定的東南亞國家。例如，發生在8月的攻擊行動，就是針對東南亞國家而來，研究人員推測，這波攻擊主要是與菲律賓之間的衝突有關。

【11月22日】勒索軟體Phobos打著資安社群的名義，鎖定Windows電腦發動攻擊，聲稱受害者復原檔案要找社群

勒索軟體攻擊事故頻傳，在本日的新聞當中，就有3起這種型態的資安事故，其中，最值得留意的部分，是駭客聲稱自己是某個知名資安組織的情況，顯然是為了抹黑他們，意圖挑撥、分化整個社群，削弱整體防禦力量。

值得留意的是，這些駭客犯案的過程中，不僅盜用該組織的名稱，還大肆透過勒索訊息進行嘲笑，甚至是要求受害者購買該資安組織撰寫的書籍。

【11月23日】訊連科技遭北韓駭客發動供應鏈攻擊，駭客於該公司更新伺服器部署惡意軟體，臺灣及多個國家出現受害者

針對臺灣廠商的供應鏈攻擊事故，4年前華碩更新伺服器遭駭的事故曾引起高度關注，供應鏈攻擊成為臺灣IT製造廠商不能忽視的資安威脅，而最近，又有其他軟體供應商遭遇類似攻擊，駭客利用其更新基礎設施，散布惡意程式。

微軟威脅情報團隊披露自10月底針對臺灣多媒體應用程式開發商訊連科技而來的攻擊行動，駭客竄改該公司的軟體安裝檔案，並上傳到訊連的更新伺服器，至於攻擊者的目的，仍有待進一步釐清。

【11月24日】Mirai殭屍網路變種感染路由器、NVR網路視訊監控裝置，攻擊者利用的零時差漏洞，疑涉及預設的弱密碼

殭屍網路Mirai鎖定物聯網（IoT）裝置的攻擊行動，不時有事故傳出，但最近研究人員披露的資安事故相當引人注目，因為，他們並未透露駭客針對的設備型號，僅公布類型是網路視訊監控裝置（NVR）、小型路由器。

值得留意的是，上述設備皆存在零時差漏洞，而且，研究人員透露攻擊者所使用的惡意程式碼，包含了這些設備的預設帳號及密碼。而這些跡象也顯示，攻擊者有可能利用這些管道取得控制權。