上週五EDR系統CrowdStrike Falcon更新引發全球各地Windows電腦大當機，微軟公佈有850萬臺電腦受到影響，資安業者Interos指出約有67.4萬企業用戶可能受到影響。值得留意的是，駭客也伺機散佈惡意程式進行破壞。

惡意軟體沙箱服務業者Any.Run指出，他們發現有駭客意圖趁機散佈資料破壞軟體（Wiper）的跡象，對方針對想要找尋能修正電腦因CrowdStrike更新當機的使用者，聲稱提供另一個由CrowdStrike製作的更新軟體，能解決當機的問題。然而一旦使用者執行，電腦檔案就會被以0位元的資料覆寫，完成後惡意程式再向特定的Telegram頻道回報。

而對於攻擊者的身分，資安新聞網站Bleeping Computer指出，伊朗駭客組織Handala聲稱是他們所為，並透過社群網站X透露，攻擊目標是以色列的企業組織，他們透過釣魚郵件來散佈資料破壞軟體。

中國駭客組織GhostEmperor捲土重來，利用惡意程式Demodex從事攻擊行動

資安業者卡巴斯基3年前發現中國駭客組織GhostEmperor的行蹤，事隔兩年，有研究人員察覺該組織再度犯案的跡象。去年底資安業者Sygnia收到客戶的委託，起因是他們察覺駭客破壞企業內部網路，目的是滲透合作夥伴。經過調查，駭客使用名為Demodex的rootkit變種，而這項工具與2021年9月卡巴斯基揭露的GhostEmperor有關。這些駭客運用多階段惡意軟體攻擊，從而隱密在受害組織持續運作，同時他們也利用多種手法阻止資安人員分析。

而對於這些駭客的入侵手段，研究人員指出通常是利用Exchange漏洞ProxyLogon來取得初始權限，但也有利用其他漏洞的情況。一旦成功，對方就會執行批次檔啟動整個惡意軟體感染流程。

FBI利用以色列駭客工具成功破解川普刺客的安卓手機，過程僅耗時40分鐘

根據彭博社報導，美國聯邦調查局（FBI）在以色列業者Cellebrite提供的工具協助下，以「開發中、尚未公佈」的產品破解「較新款」的三星手機，從而成功存取攻擊美國總統候選人川普的刺客手機，過程僅花費40分鐘。

本月13日川普在賓州農場公開造勢發表演說時，遭到賓州男子Thomas Matthew Crooks企圖行刺。川普僅右耳受傷，而刺客隨後遭到狙擊手擊斃。FBI取得此嫌犯的手機以調查行刺原因及是否有共犯，事件隔日還無法存取手機，但第二天FBI就宣佈成功存取其中內容，對於如何破解手機鎖定及刺客使用的手機品牌，FBI皆未說明。

這家以色列業者主要的業務，就是提供各國政府及警方破解工具，作為辦案使用。2016年FBI為偵辦槍擊案需解鎖已經死亡的嫌犯手機，尋求蘋果協助遭拒，最終FBI得到第三方業者協助，外傳該業者就是Cellebrite。

移民署內部通訊錄驚傳流入駭客論壇，該單位表示非駭客攻擊外流，疑為離職員工所為

近日傳出民眾在網路上發現，使用SorryBB為ID的人士，在駭客論壇BreachForums兜售移民署內部人員通訊錄的情況，當中包含署長及多名科員、專員的個資，這份資料不僅包含職稱、姓名、性別、任職年月、內網電子郵件信箱、號碼、分機、警用電話號碼，甚至提及有人照顧家人而留職停薪的情形。

對此，有知情人士透露，這些資料相當老舊，且這批內部資料外界難以利用，價值並不高。儘管如此，賣家還是開出了1,500美元（約新臺幣4.9萬元）的價碼，並要求以門羅幣或比特幣進行交易。

移民署得知此事後著手查證，確認資訊系統並未遭到駭客入侵，他們也將存放於內部網路系統的檔案移除。究竟這批資料如何流出，他們不排除是離職員工所為。

其他攻擊與威脅

◆美國洛杉機高等法院傳出遭到勒索軟體攻擊，被迫關閉網路系統

◆勒索軟體Play鎖定VMware虛擬化環境而來

◆駭客佯稱提供電玩遊戲俠盜獵車手VI測試版散佈惡意程式

◆研究人員揭露HTTP請求偷渡手法TE.0，恐導致數千個Google Cloud網站曝險

◆惡意應用程式OilAlpha鎖定葉門人道救援組織而來

【資安產業動態】

Google宣佈放棄在Chrome中封鎖第三方Cookie的計畫

在受到各國監管機關的質疑之後，7月22日Google宣佈放棄於Chrome中封鎖第三方Cookie的計畫，但會繼續投資及開發原本要用來取代第三方Cookie的各種隱私沙箱（Privacy Sandbox）API。這項執行4年的計畫，最終以失敗告終。

Google企圖於Chrome瀏覽器中維持廣告主及使用者隱私之間的平衡，因而在2019年提出了隱私沙箱的概念，採用更具隱私的方式將使用者分門別類，而廣告主則可據此向群組發送廣告，並準備在2022年以隱私沙箱全面取代第三方Cookie。然而，該計畫一開始就惹來英國競爭及市場管理局（CMA）的調查，懷疑隱私沙箱的安全性，以及Google疑似打算利用隱私沙箱來圖利自家廣告服務，再加上受到各方的質疑，而使得上線日期一延再延。

近期資安日報

【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐，至少影響850萬臺電腦、67萬企業用戶

【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍，全球出現Windows電腦大量當機，影響機場、醫院等設施運作

【7月18日】日本揭露新一波MirrorFace攻擊行動，對方鎖定防火牆、SSL VPN設備已知漏洞而來，散佈後門程式