這些駭客起初鎖定曝露於網際網路的伺服器植入名為StayShante的Web Shell，企圖取得受害組織的網路環境初始存取權限，一旦得逞，他們就會部署其他惡意程式，例如：TofuDrv、TofuLoad，來取得進一步的控制權，這些被植入的作案工具比一般的後門程式更為隱密，因為駭客會試圖消除惡意程式對C2基礎設施的依賴，使防守方難以偵測行蹤。

而在UNC1860成功掌握受害組織網路環境的存取管道後，他們便會透過具備圖形操作介面的惡意軟體控制工具TemplePlay、ViroGreen，為接手從事進一步攻擊行動的駭客，提供以遠端桌面連線（RDP）存取受害組織網路環境的能力。

全球電子郵件系統安全亮紅燈！網擎解析郵件伺服器軟體資安危機

電子郵件是眾多資安廠商公認最主要的網路攻擊起點，從2023年下半到現在，就有多起相關的資安事故與漏洞濫用事件躍上媒體版面，知名的郵件伺服器與郵件安全閘道陸續傳出災情，像是：Microsoft 365雲端服務的Outlook Web Access in Exchange Online（OWA），以及Outlook.com（HPE、歐美政府），開放原始碼電子郵件系統Zimbra，Barracuda郵件安全閘道設備，以及Cisco郵件安全閘道。

對於專營郵件伺服器與郵件安全系統的網擎資訊而言，也深刻體認到資安局勢日趨嚴峻，執行長廖長健在9月11日舉行的Hello World開發者大會首日下午的演講指出，作為防禦方，採取相關措施有三個基本的前提：首先，攻擊者已有產品完整實驗環境；第二，攻擊者可以輕易找到目標伺服器；第三，攻擊者已有目標環境的使用者帳號。

其他攻擊與威脅

◆美國堪薩斯州供水設施遭遇網路攻擊，被迫切換手動操作

◆安卓木馬Octo2鎖定歐洲國家，接管受害裝置

◆烏克蘭軍方遭到鎖定，駭客藉由惡意程式SnipBot發動攻擊

◆惡意軟體PDiddySploit假借名人醜聞文章散佈

◆竊資軟體傳出已繞過Chrome保護Cookie及機敏資料的機制

【漏洞與修補】

FreeBSD修補Hypervisor元件重大層級漏洞

9月19日FreeBSD開發團隊發布資安公告，他們發布14.1-STABLE、14.1-RELEASE-p5、14.0-RELEASE-p11、13.4-STABLE、13.4-RELEASE-p1，以及13.3-RELEASE-p7更新，目的是修補重大層級的漏洞CVE-2024-41721，這項漏洞存在於名為bhyve(8)的Hypervisor元件，屬於記憶體越界讀取（OBR）弱點，CVSS風險評為9.8分。

此漏洞發生的原因，在於bhyve透過虛擬USB控制器（XHCI）模擬裝置的過程中，缺乏充分的程式碼驗證，可能導致記憶體越界讀取，從而允許任意寫入檔案或是遠端執行程式碼的情況。

這項漏洞無緩解措施，因此FreeBSD維護團隊呼籲儘速更新。但他們也提及，若是未使用XHCI模擬機制的用戶，不會受到這項漏洞影響。

Cellopoint修補郵件安全閘道重大漏洞，用戶應儘速更新防止管理員權限被奪走

臺灣電腦網路危機處理暨協調中心（TWCERT/CC）9月20日針對基點資訊（Cellopoint）郵件安全閘道系統Secure Email Gateway（SEG）提出警告，指出該系統4.2.1至4.5.0版存在漏洞CVE-2024-9043，此為重大層級的記憶體緩衝區溢位漏洞，CVSS風險達到9.8分。對此，該公司已於8月發布資安公告，並指出他們在Build 20240712之後的版本修正相關弱點。

針對這項漏洞發生的原因，基點資訊指出，起因是該系統處理稽覈請求的身分驗證處理程式feedbackd存在弱點，一旦攻擊者向前端網頁發送特製的稽覈請求，網頁向feedbackd轉送的過程就會觸發漏洞，導致該處理程式當機。由於前端網頁未能正確處理當機情形，使得前述的稽覈請求能夠通過身分驗證，最終攻擊者成功取得系統管理員身分。

近期資安日報

【9月24日】北韓駭客散佈惡意PyPI套件，意圖發動供應鏈攻擊

【9月23日】中國聲稱遭我國成立的駭客組織攻擊

【9月20日】中國駭客Earth Baxia利用GeoServer已知漏洞，攻擊臺灣政府機關