駭客偽裝成名人，其中包括知名媒體的記者發送看似無害的電子郵件，聲稱要徵求收信人對於以哈衝突文章的看法，企圖與目標人士建立信任關係，待時機成熟再伺機傳送惡意內容。假如收信人同意閱讀電子郵件引述的文章內容，對方便會接著佯稱提供草稿檔案的名義，寄送另一封含有惡意網域的信件，收信人若是依照指示操作，將會連到寄放RAR壓縮檔的網域下載檔案，其內容含有偽裝成PDF文件的Windows捷徑檔（LNK），啟動後電腦將會執行curl指令，從攻擊者控制的特定網域下載一系列惡意檔案，當中有數個VBS指令碼及命令列工具NirCmd。

在部分攻擊行動裡，這些駭客會在受害電腦植入MediaPl、MischiefTut等後門程式，其中，攻擊者將MediaPl偽裝影音播放程式Windows Media Player元件，並與Windows Photo看圖程式互動，透過特定圖檔取得C2資訊，然後使用AES CBC加密、Base64演算法處理的流量進行通訊。另一個後門程式，則是以PowerShell打造，能執行偵察指令，並將輸出結果寫入純文字檔案。此外，該後門程式也能讓攻擊者下載額外工具到受害電腦。

俄羅斯駭客Cold River假借提供加密的PDF文件，散布後門程式Spica

Google旗下的威脅分析小組（TAG）指出，別名為Seaborgium、TA446的俄羅斯駭客組織Cold River，近期的網路釣魚攻擊行動出現新的手法，有別於過往的目的是要騙取受害者的帳密資料，現在這些駭客試圖散布名為Spica的後門程式。

研究人員看到這些駭客採用假冒的身分與目標人士建立關係，然後以徵求文章意見為由，傳送宣稱是即將發表的專欄文章PDF檔案，然而目標人士打開收到的PDF檔案，會看到文字遭到加密，此時對方就會提供雲端檔案的連結，聲稱提供解密工具，但實際上是Spica，一旦下載、執行，電腦就可能遭到駭客控制。

此後門程式以Rust打造而成，可用於執行Shell命令，並能竊取瀏覽器的Cookie、上傳或下載檔案、列出電腦檔案內容、盜取指定檔案。研究人員推測，駭客使用該後門程式的時間，最早可追溯至2022年11月。

大型服飾集團VF Corp去年遭到入侵，逾3,500萬客戶個資被盜

旗下擁有VANS、Jansport、NorthFace、Timberland等十多個知名服飾品牌的威富集團VF Corporation（VFC），12下旬證實因IT系統遭到未經授權存取，導致業務營運受到影響、部分資料外洩，上週透露更多細節。

1月18日VFC向美國證券交易委員會（SEC）提交8-K/A文件二度進行說明，當中提及該集團經營的零售門市、電商網站、物流中心的運作都遭到波及，而在總部關閉特定系統後，門市的庫存、補貨資訊中斷，訂單無法如期交貨，某些批發訂單出貨延遲，導致部分企業客戶及消費者取消訂單，部分電商網站訂單量下滑，但對公司財務影響並不顯著。

另一方面，該公司也透露資料外洩的範圍，他們估計約有近3,550萬名客戶個資外流，但不包含社會安全碼、銀行帳號、信用卡資訊，且尚未發現駭客取得客戶密碼的情況，不過，該集團並未透露駭客取得那些個資。

密碼外洩查詢網站Have I Been Pwned揭露大型個資外洩資料庫，內含逾7千萬筆電子郵件帳號、1億個密碼

外洩密碼查詢資料庫網站Have I Been Pwned（HIBP）近期取得大量的帳密資料庫Naz.API，內含70,840,771筆電子郵件帳號、1億組密碼，HIBP個人訂閱者受到影響。這批資料共有319個檔案，大小為104 GB。

經營該網站的Troy Hunt指出，經過他們的比對，約有65%帳號已在HIBP的資料庫，35%是新的外洩資料，其中，此資安專家也有2011年前使用過的密碼被收錄其中。值得留意的是，這批資料原先是在2023年9月於駭客論壇上兜售，賣家宣稱資料透過竊資軟體（Infostealer）取得，但Troy Hunt指出事實不完全是如此，並非所有資料都是惡意程式竊得，且有些帳密資料已存在相當長的時間。

【