Security News Feed

資安業者 Group-IB Threat Intelligence 發現了一款基於Golang的勒索軟體-Eldorado，勒索軟體專門針對大型企業進行攻擊，並且具有跨平台攻擊能力，可攻擊 VMware ESXi、Windows 和 Linux 等多種系統。Eldorado 屬於勒索軟體即服務(Ransomware-as-a-Service,RaaS)，利用先進的方式加密金鑰及目標檔案，以SMB協定進行橫向擴散，並刪除特定檔案抹除加密痕跡及避免加密檔案被還原。   隨著科技的進步，攻擊者不斷探索新的攻擊方式，勒索軟體即服務已經演變成類似於大型企業的運作模式，這些勒索軟體組織持續在暗網論壇招募新的合作夥伴，並讓不同夥伴在團隊中執行特定任務。Eldorado 的相關訊息最初出現在俄羅斯的地下勒索軟體論壇 RAMP，當企業受駭後，Eldorado會透過暗網Onion 網域的聊天平台與受駭者聯繫。截至 2024 年 6 月，全球已有 16 家公司遭到 Eldorado 攻擊，其中大部分位於美國，受影響的行業包括房地產、教育、專業服務、醫療保健和製造業等。   為了支援跨平台功能，Eldorado 使用 Golang 程式語言開發，讓其程式可在Windows與Linux的32bit及64bit系統中執行。此勒索軟體使用 Chacha20 演算法快速加密檔案，以Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)加密金鑰，被加密的檔案其副檔名會被改為”.00000001”，並在「文件」和「桌面」的目錄中建立名為「HOW_RETURN_YOUR_DATA.TXT」的文字檔案，裡面含有攻擊者的聯絡資訊。另Eldorado會透過 SMB 協定（SMB2/3）方式加密共用網路上的文件，且在加密完檔案後，使用 PowerShell 的命令，先以隨機位元的方式覆蓋加密器(encryptor)再刪除該檔案，以抹除相關加密的痕跡，最後也在系統中刪除windows的陰影複製(shadow copy)備份資料，防止受害電腦透過此機制復原被加密的檔案。   整體而言，儘管企業的網路安全意識不斷提高，但總有新形式的網路攻擊在不斷精進和發展。Group-IB 建議採取以下防禦措施： 採多重身份驗證（Multi-factor authentication,MFA） 建置端點偵測和回應（Endpoint Detection and Response,EDR），以協助識別勒索軟體的活動跡象 定期進行資料備份 使用人工智慧進行即時偵測入侵 定期更新系統並執行安全性修補 安排教育訓練，以幫助員工識別網路攻擊(如:釣魚郵件) 每年針對系統進行技術稽核或安全性評估 永遠不要支付贖金 受到攻擊時，尋求專家協助 Group-IB 強調，企業必須在網路安全工作中保持警覺和主動，以減輕這些不斷演變的威脅所帶來的風險。

2024年7月19日資安公司CrowdStrike的Falcon Sensor更新程式出現故障，導致全球各地Windows電腦出現藍色畫面當機(BSOD)​狀況，全球企業和政府機關產生影響，包括航空公司、醫院、運輸機構及媒體公司等，許品Falcon Sensor市佔率為前幾名，因此這次更新問題導致大量Windows電腦多機構的運營受到嚴重干擾。CrowdStrike是知名的網路安全公司，其端點防護產陷入當機及系統重啟的循環，使得用戶無法正常使用電腦。 此次事件是由於Crowdstrike的Falcon平台派送有缺陷的更新所引起，導致已安裝該產品的某些版本Windows系統大範圍崩潰。許多企業反映其Windows電腦會自動重新啟動，並不斷循環地進入藍色當機畫面，其影響巨大，使全球的關鍵基礎設施營運產生嚴重衝擊，包含德國、日本、印度和美國的企業都出現類似問題。在台灣，許多公私立機關和企業也受到了影響，多家銀行、醫療機構及科技公司在事件發生後紛紛發現其系統無法正常運作，部分機構的業務運營因此中斷超過1小時。 CrowdStrike在發現問題後迅速做出了反應，發布了修補程式及解決方案。該公司表示這不是網路攻擊，問題的根源是某個Falcon Sensor更新檔案未經充分檢查所致。CrowdStrike已經刪除錯誤更新檔案並發布了修補程式，用戶可透過官方網站提供的步驟回復系統(可參考相關連結)。 此外，微軟針對此當機狀況提出2個復修方式，分別是「從WinPE復原」及「從安全模式復原」。若選擇從「從WinPE復原」，可以快速並直接復原系統，不需要系統管理者的權限，但系統已透過BitLocker或第三方軟體加密時，需先解除加密狀況才能修復受影響的系統。若選擇「從安全模式復原」，則需使用本地管理者權限的使用者登入後進行修復。需要注意的是，在復修之前需先下載已簽署的Microsoft Recovery Tool，並透過工具中的powershell檔案建立USB開機碟。 全球資訊科技研究顧問公司 Gartner 指出，企業即使在此次事件未受影響，以安全性的角度來看，仍需關注其帶來的影響，以防範未來類似事件的發生。Gartner 同時建議企業應重視資安事件的應變措施，資安事件發生時的相關處理措施如下： 立即採取行動（第一到七天）： 【事件應變與危機管理】 通知危機管理團隊，讓其參與並協助應處 通過有效的危機溝通通知所有利害關係人 驗證資訊來源以避免遭受二次網路攻擊 動員危機管理團隊以防止使用者操作失誤 指派專門的溝通團隊進行內部利害關係人的協調 讓安全運營團隊參與監控和應對新威脅 【技術修復】 讓 IT 專業人員幫助使用者解決問題 建立分類流程，以對資產進行分類並確定設備修復的優先順序 利用資產管理工具識別並列出已離線的設備 避免過度反應，例如完全停用或替換CrowdStrike 中期行動（第1到2週）： 【評估影響與安全】 與 SOC 團隊一起檢視異常情況，以降低未檢測到的攻擊風險 參與營運衝擊分析會議，一同討論潛在的安全風險 向公司中高階領導報告設備的狀況，並持續提供穩定的環境 盡量讓端點保護工具在佈署更新檔時能先行測試，減少更新失敗的狀況 可透過輪班或其它方式，以減輕員工的壓力及倦怠感 長期行動（第8 至 12 週） 【韌性和準備】 重新審視公司在發生大規模主機當機時的預防、回應和支援程序 檢查並更新停機程序，並根據需要修訂危機溝通計劃、事件反應流程及災害復原和持續營運計畫 確保關鍵員工有能力並參與測試企業系統 CrowdStrike 的停機事件強調了專注於韌性的必要性，必需建立全面性的策略目標 部署安全產品前評估其效益，選擇合適的工具以改善現有的防護機制

2024年7月8日俄羅斯資安公司 Solar 的網路威脅情資中心(4RAYS)資安人員揭露一個親烏克蘭APT 組織：Lifting Zmiy 對俄羅斯政府和私人公司進行一系列的攻擊活動。 攻擊活動追蹤時間為 2023 年 9 月至 2024 年 6 月發生的4 起攻擊事件作分析，目標為俄羅斯工控自動化公司Tekon-Avtomatika 的可程式化邏輯控制器(Programmable Logic Controller，PLC) 設備，型號為 KUN-IP8，並在設備上部署中繼站，進而以此攻擊其他目標，研究人員分析發現受害者遍及各個行業，Linux 和 Windows 系統均無法幸免。 此次威脅研究足以表明，過往大多認為營運科技(Operation Technology, OT)網路攻擊是透過入侵資訊科技(Informatiom Technology, IT)系統做為跳板，進而滲透至OT環境，而本次的攻擊則是先透過入侵OT環境後，轉攻擊IT。此次問題的原因在於PLC設備使用了預設的憑證資訊。 資安人員Jose Bertin 在2022年3月研究指出存在大量使用預設最高管理員憑證的PLC設備，而這些憑證資訊當時公開在 Tekon-Avtomatika 公司的官方網站上，儘管該公司隨後即刪除預設最高管理員憑證，但仍有不少設備並未更改，而APT組織 Lifting Zmiy 即利用這些資訊入侵PLC設備，並將其作為中繼站。此外，這些中繼站IP的供應商為 Starlink Services LLC ，其為SpaceX的一個部門，SpaceX在全世界各地提供衛星網路服務，駭客透過SpaceX的 Starlink 基礎設施來隱蔽其行蹤，且受益於動態IP，以規避物理位置的檢測分析，為駭客提供一個難以被追蹤和監控的攻擊平台。 然而，在此之前已有資安人員對OT環境安全感到憂心，BlackHat USA 2015 演講：INTERNET-FACING PLCS-A NEW BACK ORIFICE 和BlackHat Asia 2016演講：PLC-Blaster:A Worm Living Solely in the PLC共同探討透過感染 PLC 作為中繼站的展示，此次研究是歷史上首個公開研究針對攻擊 PLC 作為 中繼站跳板的攻擊，研究人員寫了一個概念性驗證程式，給其名字為：PLC-Blaster，他是研究人員為了測試而開發的概念性驗證的蠕蟲(一種惡意程式類型)。攻擊對像為西門子所開發的PLC設備，型號為 S7-1200，研究人員是透過將惡意程式寫入至PLC，使PLC作為跳板執行命令作攻擊行為。 此次研究站在防禦的角度上，過往工控資安防禦主要為對HMI和PLC之間的流量建立Baseline來偵測異常，並實施白名單管制，從Purdue Model角度來看，關注的安全防護主要是垂直的。垂直的意思是HMI和PLC之間的通訊，也就是Purdue Model裡面Level 2 和Level 1之間的網路流量，而鮮少探討水平之間的流量檢測，水平的意思就是Purdue Model裡面Level 1和Level 1之間的通訊流量，且過往白名單會去信任PLC，所以透過PLC發出的流量會無條件被信賴，此次研究則利用此問題，透過控制 PLC 作為跳板進行攻擊以規避防禦產品偵測 近期2022 年由工控資安公司Claroty的Team82 研究團隊曾發布白皮書：EVIL PLC ATTACK: WEAPONIZING PLCS，內容研究的攻擊名字取名為：Evil PLC，主要是透過感染 PLC 讓其武器化可以執行命令。 研究人員撰寫了概念性驗證程式並對 7 家工控廠商(洛克威爾公司、施耐德電氣公司、通用電氣公司、貝加萊公司、信捷電氣公司、英國奧威公司、艾默生電氣公司)的PLC設備進行測試，顯示過往PLC多為攻擊的目標，如歷史出現過的資安事件：Stuxnet,Incontroller/Pipedream等，但此研究是將 PLC作為攻擊使用的武器，來進一步對其他系統作攻擊，雖然非真實的案件，但也證明這樣的攻擊情境是值得關注的。 總結來說，過往針對工控的安全大多會無條件去信任PLC，且一般已知攻擊主要都是透過感染IT系統之後擴散攻擊至OT 環境。 而從目前越來越多研究表明存在以PLC做為入侵端點，攻擊其他資訊系統，因此，在OT環境設置上，不能再無條件信任PLC發送的資料，同時也需要做好網路分段，避免所有人機介面(Human-Machine Interface,HMI)都可以跟 PLC 做連接，從而增加 PLC 被寫入惡意程式的可能性，也要盡量即時更新 OT 軟體，已避免存在已知漏洞能直接對 PLC 做寫入。

近日全球廣泛使用的開源地理位置資訊伺服器GeoServer被發現存在嚴重的安全漏洞（CVE-2024-36401）。該漏洞源於GeoServer處理XPath表達式的方式，使得未經身份驗證的遠端攻擊者能夠利用這個漏洞在受影響的伺服器上執行任意代碼，從而獲取伺服器權限，近期已經發現有駭客利用漏洞進行攻擊，建議使用者儘速完成更新。 GeoServer是一個開源的地理空間資訊伺服器，允許用戶使用各種開放地理空間聯盟(Open Geospatial Consortium,OGC)標準發布和管理地理空間數據。GeoServer的功能強大且靈活，廣泛應用於政府、企業和學術機構。 CVE-2024-36401主要涉及GeoServer與GeoTools函式庫API之間參數傳送的內容，GeoServer在傳遞元素類型屬性名稱給commons-jxpath函式庫時存在不安全的操作，允許未經身份驗證的攻擊者注入特製的XPath表達式，導致可以執行任意程式碼。XPath是一種用於在XML文檔中選擇節點的語言，GeoServer使用的commons-jxpath函式庫，允許在Java中使用XPath表達式。這些技術的結合使GeoServer可以靈活地處理和查詢地理空間數據，但同時也引入了潛在的安全風險。GeoServer中XPath表達式評估的設計用途，原本應該只用於複雜特徵類型(如應用模式數據存儲)的 XPath 表達式評估，現在錯誤地被應用於簡單特徵類型，導致所有 GeoServer 實例都受到這個漏洞的影響。 在GeoServer中，WFS(Web Feature Service)是OGC定義的一個標準，用於在 Web 上共享地理空間資訊的標準化服務，它允許使用者通過 Web 服務查詢和擷取地理特徵的屬性資訊。在此漏洞中，WFS為攻擊者利用漏洞的一個入口點，攻擊者可以利用特製的請求觸發漏洞。 WFS功能中的WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 均存在漏洞，未經身份驗證的遠端使用者可透過特製的輸入內容在預設的 GeoServer 中執行遠端程式碼(RCE)。 根據研究報告，GeoServer及GetTools影響的版本如下： GeoServer •GeoServer< 2.23.6 •2.24.0 <= GeoServer < 2.24.4 •2.25.0 <= GeoServer < 2.25.2 GeoTools •GeoTools< 29.6 •31.0 <= GeoTools < 31.2 程式碼執行 •30.0 <= GeoTools < 30.4   為了減輕CVE-2024-36401漏洞帶來的風險，可依下列方式修補GeoServer和GeoTools： •刪除 gt-complex-x.y.jar 檔案：從 GeoServer 中刪除 gt-complex-x.y.jar 檔案，其中 x.y 為 GeoTools 版本(例如，如果運行 GeoServer 2.25.1，則刪除 gt-complex-31.1.jar)。此方法雖可提供臨時保護，但可能會影響 GeoServer 的某些功能。 •更新受影響的 JAR 檔案：修補版本已發布，用戶可以從 GeoServer 發布頁面下載受影響版本的 gt-app-schema、gt-complex 和 gt-xsd-core JAR 檔案。下載完畢後，只需用修補版本的檔案取代原始檔案即可。

OpenSSH 從1995 年問世以來，這是第一次出現遠端執行任意程式碼(RCE)漏洞(regreSSHion)，可以用最高管理員權限來遠端執行指令對系統控制，研究人員將它稱為regreSSHion。 OpenSSH 是一個基於 SSH 協定的開源軟體，常見於 Linux 中使用，作為遠端登入系統管理，也可進行遠端檔案傳輸，此次漏洞在2024 年 5 月被資安公司 Qualys 發現並將其命為regreSSHion(漏洞編號：CVE-2024-6387)，漏洞問題出現在檔案 sshd中，可以讓未經授權的攻擊者以 root 身分執行任意程式。 sshd 是 OpenSSH Server 的設定檔案，其存在一個變數 LoginGraceTime ，若沒有更改這個變數值，預設是 120 秒，它是代表給予使用者進行身分驗證的時間，所以當使用者使用 ssh 連接時，超過 LoginGraceTime 設定的時間 (預設 120 秒) 沒有完成身分驗證，則 sshd 會去呼叫 SIGALRM 信號處理，並會呼叫不安全的非同步函數做處理，而攻擊者可以在此時利用競爭情況(race condition) 以最高管理員權限執行任意程式碼。 競爭情況 (race condition) 常見於多執行緒的系統，當多個執行緒同時存取或修改共享的資料時就會發生這個問題。 在 sshd 處理 SIGALRM 信號時，就有可能觸發競爭情況，而這就可能導致未預期的行為。 經過研究人員的調查，此漏洞實際上是CVE-2006-5051 的回歸，CVE-2006-5051 是在 2006 年由 Mark Dowd 發現，他跟此次漏洞一樣都是信號處理競爭情況的漏洞，可以讓攻擊者造成阻斷服務攻擊。 稱之為回歸是因為在 2020 年 10 月 OpenSSH 版本 8.5p1 的更新(commit 編號：752250c)，把 OpenSSH 裡面 sshd 程式的 SIGALRM 信號處理函數 sigdie() ，刪除其中一行程式碼#ifdef DO_LOG_SAFE_IN_SIGHAND，而這也造成了： OpenSSH 版本小於 4.4p1 會遭受漏洞影響，這是對 CVE-2006-5051 的錯誤修補 4.4p1 <= OpenSSH 版本 < 8.5p1 並無受此漏洞影響，因為 CVE-2006-5051 有添加 #ifdef DO_LOG_SAFE_IN_SIGHAND 8.5p1 <= OpenSSH 版本 < 9.8p1 再次容易受到威脅影響，因為 #ifdef DO_LOG_SAFE_IN_SIGHAND 意外被刪除了 Qualys 研究人員指出雖然漏洞影響很大，但要實際攻擊成功並不容易，在他們的測試實驗上，平均測試連線 1 萬次才成功一次做到攻擊。 研究人員用兩個不同的作業系統做測試，以 ubuntu-6.06.1-server-i386.iso 這個 Ubuntu 版本測試，平均成功攻擊一次約需要 1 ~ 2 天，而用 debian-12.5.0-i386-DVD-1.iso (這是目前 Debian 穩定版)，平均攻擊成功一次約需要 6 ~ 8 小時。 目前研究人員透過 Shodan 和 Censys 對全世界網路進行掃描，有超過 1400 萬台的 OpenSSH Server 暴露在網路上。 而 Qualys 研究人員表示裡面存在 70 萬個 OpenSSH Server 處在易受攻擊的狀態。 受影響的軟體版本： OpenSSH 版本 < 4.4p1 8.5p1 <= OpenSSH版本 < 9.8p1 為了避免被攻擊，建議使用者： 升級 OpenSSH 到最新的版本 9.8p1 來修復此漏洞 如果暫時不能更新 OpenSSH ，則可以更改 sshd 的變數 LoginGraceTime ，將其設定為 0 ，惟可能會遭受阻斷服務攻擊

Phoenix SecureCore UEFI 韌體上發現了一個新漏洞 (CVE-2024-0762)，該漏洞可能會影響可信賴平台模組 (Trusted Platform Module,TPM) 配置，從而導致緩衝區溢位和潛在惡意程式碼的執行。許多搭載Intel CPU的設備都會受到影響，Phoenix Technologies強烈建議將這些韌體更新到最新版本。 資安廠商Eclypsium首先在Lenovo ThinkPad 筆記型電腦上發現該漏洞，後來Phoenix Technologies 確認此漏洞也會影響多個在Intel處理器上運行SecureCore 韌體的設備，包括AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、MeteorLake、 RaptorLake、RocketLake 和TigerLake。換句話說，Lenovo、Dell、Acer、HP的大量機型都受到此漏洞的影響。 CVE-2024-0762漏洞源自於Phoenix SecureCore 韌體的系統管理模式 (System Management Mode, SMM) 子系統內的緩衝區溢位，由於安全開機(Secure Boot)讓攻擊者更難安裝長駐性的惡意軟體和驅動程式，這導致更多Bootkit的惡意軟體針對UEFI的漏洞進行攻擊。 Bootkit在整個UEFI啟動的過程中很早的階段就被載入，這不僅讓惡意程式可以在底層進行操作，也大幅增加它的隱蔽性，例如UEFI的惡意軟體BlackLotus、CosmicStrand。需要注意的是，這次的漏洞發生在處理TPM組態的UEFI 程式碼中，因此 TPM 晶片將失去保護的作用。儘管 UEFI 韌體具有安全開機功能，但 Bootkit 在啟動過程中很早就加載，這可能導致電腦允許攻擊者覆蓋相鄰記憶體並獲得特權和程式碼執行的權限。 Phoenix 已於 2024 年 5 月針對漏洞提供韌體更新版本，但可能並非包含所有的型號。建議使用者應升級到最新的韌體版本，注意是否有更新資訊，或聯繫供應商以提供相關協助。

Mandiant 研究人員指出，俄羅斯贊助的國際 APT 組織對於 2024 年巴黎奧運可能造成高度威脅。威脅源自法國親烏克蘭的立場，以及俄羅斯無法正式參加奧運會的政治報復。相比之下，與中國、伊朗和北韓有關的 APT 組織對奧運構成的網路威脅相對較低。 Mandiant 列出了與奧運賽事相關的 APT 組織，分別是中國的 APT 15、APT 31、UNC 4713、Temp.Hex，北韓的 APT 43，俄羅斯的 APT 28、APT 44、UNC 4057，伊朗的 APT 42，以及白俄羅斯的 UNC 1151。這些組織針對奧運的網路威脅和潛在目標主要是政治因素或經濟利益驅動。從政治角度來看，網路釣魚可能以運動賽事為誘餌，達到特定的政治目的。而從經濟角度來看，這些攻擊可能涉及門票詐騙、攻擊 POS 機器、勒索軟體攻擊，以及竊取運動員個人資料並在暗網販售等。 俄羅斯可能造成的網路威脅 俄羅斯攻擊的因素主要有兩個，一是俄羅斯運動員今年可以參賽，但僅能以中立運動員身份參加，無法代表祖國，這引起了俄羅斯的不滿。二是法國在 2022 年俄羅斯入侵烏克蘭後提供了相關的軍事支持，這可能引發俄羅斯的報復行動。鑒於此，Mandiant 推測俄羅斯的 APT 組織對2024年巴黎奧運可能會造成相當的威脅。 過去的案例，這些 APT 組織也有針對奧運進行相關的網路威脅活動，例如： 英國國家網路安全中心（NCSC）觀察到 APT 44 針對 2020 年東京奧運的攻擊證據 Mandiant 指出 APT 44 在 2018 年冬季奧運期間使用惡意程式(Olympic Destroyer)中斷奧運賽事開幕期間網路服務 Google 威脅分析小組（TAG）發現 APT 44 在 2017 年底針對 2018 年冬季奧運進行攻擊，利用 Play 商店散播 CHEMISTGAMES 惡意程式 美國司法部在 2018 年指控 APT 28 攻擊 2016 年巴西奧運，並向反興奮劑組織發送釣魚信件 Mandiant 觀察到 APT 28 在 2016 年巴西奧運後洩漏運動員資料 中國及伊朗可能造成的網路威脅 針對中國的威脅，Mandiant 指出中國支持的 APT 組織長期以來對歐洲政府和企業進行攻擊，因此，也可能會影響2024 年奧運。這些威脅主要以網路釣魚和情報收集為主。過去針對歐洲的中國 APT 組織包括 APT 31、APT 15、UNC 4713 及TEMP.Hex，其中網路威脅事件包括：英國指出 APT 31 在 2021 年探查英國議員的電子郵件帳號；UNC 4713 針對多國進行釣魚攻擊，意圖在G7高峰會傳播 EIGHTFLY 惡意程式；TEMP.Hex 自 2023 年 4 月起對歐洲政府進行網路釣魚攻擊。 Mandiant 指出，伊朗贊助的 APT 42 組織過去一直針對歐洲進行間諜活動，近期的加薩衝突可能會影響其網路間諜行動。 奧運期間遭受的攻擊 在過去的歷史事件中，2021 年東京奧運和 2018 年冬季奧運均遭受多次網路攻擊。 2021 年東京奧運 北韓的 APT 組織利用東京奧運為誘餌進行網路釣魚，投放惡意程式 CABRIDE 和 CABSERVICE 世界反興奮劑組織（World Anti-Doping Agency , WADA）於 2019 年發現俄羅斯運動員藥檢結果有問題，導致俄羅斯被禁賽，進而引發俄羅斯政府支持的 APT 28 對反興奮劑機構的攻擊 日本奧委會指出其網路在 2020 年 4 月被一個不知名的勒索軟體攻擊，導致其組織運作暫時停止 2018 年冬季奧運 開幕期間官網遭受攻擊，造成網站中斷 12 小時，使得使用者無法列印門票和存取賽事資訊。Mandiant 認為這可能是由 Sandworm Team 駭客組織所為 出現利用韓語的奧運參賽程式作為誘餌，誘導使用者下載惡意程式 GARPUN APT 28組織註冊一組專門欺騙運動相關組織的網域名稱 Fancy Bears 駭客組織洩漏屬於國際奧林匹克委員會官員的信件 針對這些威脅，Mandiant建議參與賽事的相關單位應加強資安宣導和社交工程培訓，且參加賽事的使用者建議使用一次性設備，不隨意連接不認識的 WiFi，並避免遠端存取敏感資料；參加賽事期間盡量不要遠端存取敏感資料，帶出去的設備盡量不要存有敏感個資。透過相關安全措施，以減少網路安全威脅對所帶來的潛在風險。

智利資安公司 CronUp 研究人員German Fernandez 發現駭客攻擊 Github 專案儲存庫，駭客疑似竊取使用者憑證進行攻擊活動，此次攻擊即是利用Telegram中的Gitloker 帳號，偽造為資安分析師進行釣魚行為。 German Fernandez 指出，今年從 2 月開始，一直有駭客透過竊取或刪除他人的Github 專案儲存庫來勒索受害者。 攻擊者竊取受害者的專案儲存庫之後，重新命名專案儲存庫，並添加一個檔案：README[.]me，告知受害者可透過 Telegram聯繫攻擊者，其勒索信內容為：「這是一個緊急通知，你的資料已經外洩，我們有幫你備份好資料並確保其安全」。 German Fernandez指出，攻擊者主要利用 GitHub 的評論和通知功能，並透過 notifications@github[.]com 發送釣魚郵件，在這次事件中，使用2個假冒的網域名稱： Githubcareers[.]online Githubcareers[.]online 在此次事件前，今年也有多起相關 Github 資安事件： 2 月 22 日 Github 使用者 CodeLife234 回報一個朋友的帳號遭駭的資安事件，該事件是由於受害者點擊一個來自釣魚郵件的連結，該郵件偽造為招聘 GitHub 開發人員職位 Github 使用者 Mindgames 也聲稱收到來自 Github 偽造為招聘 GitHub 開發人員的釣魚信，寄件者被偽造為 notification@github[.]com 另一位 Github 使用者回報稱收到一個偽造為 Github 通知系統發送的釣魚郵件，內容是告知受害者其帳號資料已經外洩，並提供連結以引導受害者至釣魚網站：https://githubcareer[.]online Fernández 指出在 4 月 11 日的一個敲詐勒索的螢幕截圖，內容為 Gitloker 威脅一家 B2C 的公司，並聲稱已經竊取其資料，如不給 25 萬美金則會公開公司內部機密資料 而Github並不是第一次被針對作為攻擊的目標： 2020 年 3 月，發現駭客自 2018 年 6 月以來持續攻擊微軟的帳號，並從其員工 Redmond 的私人專案儲存庫獲取超過 500 GB 的檔案 2020 年 9 月，Github 警告存在針對使用者的釣魚攻擊，該次攻擊透過偽造 CircleCI 發送釣魚郵件給使用者，來竊取受害者的 Github 憑證 Github 建議受害的使用者採取以下措施： 更換密碼 檢查活動紀錄 檢查自己的訪問權杖（Access Token） 檢查授權的 OAuth 應用程式 不要點擊授權任何不明來源的 OAuth 應用程式授權請求 為了防止帳號被入侵，可參考下列建議： 啟用雙因子身分驗證 檢查過去授權的 ssh key 定期查看每個專案儲存庫最近的提交內容

資安業者戴夫寇爾研究團隊發現PHP存在引數注入(Argument Injection)漏洞(CVE-2024-4577)，可在遠端伺服器上執行任意程式碼並通報給 PHP 官方。 PHP 在網站開發中應用廣泛，官方已於 2024年6月6日在網站上發佈修補版本，建議使用者儘速更新。 此漏洞源於 PHP 設計未注意到 Windows 作業系統字元編碼轉換的Best-Fit 特性，使得未經身分鑑別之遠端攻擊者可透過特定字元序列繞過CVE-2012-1823之保護，並透過引數注入(Argument Injection)等攻擊，於遠端PHP伺服器上執行任意程式碼。 此漏洞影響所有安裝在 Windows 作業系統上的 PHP 版本，包括： PHP 8.3 版本低於 8.3.8 PHP 8.2 版本低於 8.2.20 PHP 8.1 版本低於 8.1.29 另因PHP 8.0 分支、PHP 7 以及 PHP 5 官方已不再維護，建議使用這些版本的網站管理員更換成PHP官方仍有維護之版本，或採取相應的緩解措施。 若需確認網站是否受影響，管理員可以檢查 Apache HTTP Server 的設定，當網站設定在CGI 模式下執行PHP或將 PHP 執行檔暴露在外時，該伺服器將容易成為攻擊的目標。需特別注意的是，若使用 XAMPP for Windows 預設安裝配置，也會受此漏洞影響。 研究團隊指出，當 Windows 作業系統設置為繁體中文、簡體中文或日文語系時，未經授權的攻擊者可以直接在遠端伺服器上執行任意程式碼。雖然其他語系的 Windows 系統也可能存在風險，但具體影響範圍仍需使用者自行檢查並盡早更新 PHP 版本。 PHP 官方目前已發布最新版本(8.3.8、8.2.20 和 8.1.29)來修復此漏洞，強烈建議所有使用者立即升級至最新版本，以確保系統安全。對於無法升級的系統，管理員可以考慮其他暫時緩解措施，如修改Rewrite 規則以阻擋攻擊或取消 PHP CGI的功能。 此外，PHP CGI 已被認為是一種過時且易受攻擊的架構，建議使用者評估並遷移至更為安全的 Mod-PHP、FastCGI 或 PHP-FPM 等架構。

卡巴斯基研究人員發現新型惡意程式並命名為 Gipy，此惡意程通過釣魚網站提供 AI 語音應用程式來感染使用者電腦，進行資料竊取和安裝其他惡意程式, 研究人員發現攻擊多數來自透過 WordPress 架設的網站，並從 Github 下載受密碼保護的 zip 檔案解壓出惡意程式，主要受害地區包括德國、俄羅斯、西班牙和台灣。 隨著 AI 工具普及，更多攻擊者利用這些工具進行惡意活動，顯示犯罪市場對資料竊取工具的需求增加。卡巴斯基在近期的攻擊活動中觀察到，攻擊者會架設釣魚網站，內容是提供AI語音相關應用程式，當使用者從這些網站下載並執行就會中毒，而目前觀察到多數都是透過 WordPress 架設起來。 卡巴斯基研究人員指出，Gipy 惡意程式最早出現於 2023 年，當惡意程式被成功植入，可以竊取使用者電腦資料，並在受害者電腦上安裝其他惡意程式，當使用者執行下載的程式，會正常的執行AI語音相關應程式，並在使用者電腦後台隱性的執行 Gipy 惡意程式，受害者不容易發現。 研究人員發現當 Gipy 惡意程式執行的時候，會從 Github 啟動受密碼保護的 zip 檔案，從中解壓縮出惡意程式，在整個研究的過程中，卡巴斯基研究員目前分析到了 200 多個檔案，並在一封電子郵件裡對這些分析的檔案做一個整理： 資料竊取工具：Lumma、RedLine、RisePro 和 LOLI Stealer 虛擬貨幣挖擴程式：Apocalypse ClipBanker 木馬程式：DCRat 和 RADXRat 後門程式：TrueClient 卡巴斯基研究員表示隨著人工智慧工具的普及，越來越多攻擊者利用人工智慧工具作誘餌來進行惡意威脅活動，Gipy 惡意程式並無特別針對哪個目標國家進行攻擊，但目前最主要受影響的前 4大地區有德國、俄羅斯、西班牙、台灣。 卡巴斯基針對從網路下載檔案，提出相關的安全建議： 下載軟體務必從官網下載，而不是其他第三方平台下載 務必驗證網站的合法性，確保網址是 https 開頭，且憑證是合法的而非自簽憑證或過期的憑證 使用者電腦的帳號密碼務必啟用雙重驗證，並為每個帳戶使用獨立的密碼 警惕任何未知來源的電子郵件和可疑連結