資安週報

這一星期適逢清明連假，而連假前夕最大條的資安消息，就是關於XZ Utils程式庫被植入後門與漏洞的事件，還有2個漏洞利用要注意，包括AI框架Ray與Android Pixel的漏洞；資安事件焦點方面，以CISA的Ivanti伺服器遭駭，及OWASP基金會資料外洩，最受矚目，臺灣也發生亞昕資訊校務行政系統遭駭、7高中受影響的事件

這一星期有多個已知漏洞被利用消息，包括Fortinet、微軟、VMware、Ivanti 與Nice的漏洞；周末更傳出涉及SSHD供應鏈攻擊的事件，原因出在XZ Utils程式庫，要特別重視這方面因應；在資安威脅焦點方面，有研究人員針對採用Tycoon 2FA網釣攻擊工具包、以手機用戶為目標網釣工具包Darcula的攻擊行動提出警告

以2024年2月的資安新聞而言，有兩起關於網路世界偽冒的事件，引發全球對於新興威脅的極大關注，一是有跨國公司遭遇Deepfake視訊會議被詐騙2億港幣，一是有中國公關公司架設超過100個WordPress網站，冒充世界各地新聞媒體散布對中國有利的訊息

這星期有多家廠商發布每月例行安全更新修補，包括微軟、Adobe、SAP、西門子、施耐德電機等公司，以及WordPress有多個外掛程式漏洞遭利用需重視；在資安威脅焦點方面，勒索軟體與BEC詐騙蟬聯2023年企業最大風險與挑戰，美國FBI公布接獲2,825件勒索軟體攻擊事故，且BEC詐騙造成的損失持續增加，高達29億美元

這一星期有兩大漏洞利用消息狀況需要重視，都與微軟有關；在資安威脅焦點方面，國內又有上市公司遭遇資安事件，包括昶昕遭駭客網路攻擊，以及傳出中華電信內部資料在暗網被兜售

本星期國內上市公司建準發布資安事件重大訊息，已是今年第7起；受矚目的資安新聞焦點，包括LockBit勒索軟體組織的伺服器在多國執法單位聯手之下被攻破，解密工具已釋出讓受害者可以自救，以及中國資安業者傳出資料外洩，意外曝露該國政府對全球發動的網路間諜行動

在2024年1月的資安新聞中，美國破壞中國駭客挾持的殭屍網路KV Botnet，是最受全球矚目的消息，而在阻斷受駭美國私人路由器與殭屍網路連結之餘，一份針對小型企業或家用（SOHO）路由器製造商的預設安全指引也同時發布，突顯軟體安全開發實踐的重要性

這一星期以Ivanti零時差漏洞遭成功利用的消息最受關注，還有Jenkins、Better Search Replace、蘋果日前才修補漏洞已被駭客鎖定利用；在威脅焦點方面，主要有微軟持續揭露公司電子郵件遭入侵的更多細節，以及國際間有施耐德電機與Lush遭勒索軟體攻擊的事故