這一星期3則漏洞利用消息，有兩起涉及零時差漏洞利用，當中最受關注的是，思科修補了旗下ASA及FTD防火牆的2個零時差漏洞CVE-2024-20353、CVE-2024-20359，原因在於，思科Talos同時公布了調查狀況，指出年初經客戶通報安全性問題，調查後發現當時已有攻擊活動，並是國家級駭客UAT4356（亦稱Storm-1849）所為。

另一事件發生在檔案伺服器軟體CrushFTP，該團隊宣布修補已遭利用的零時差漏洞CVE-2024-4040，有研究人員指出駭客很可能是鎖定政治目標收集情報。

還有一個已知漏洞利用情形，是微軟詳細揭露了俄羅斯駭客組織APT28近年的攻擊手法，當中利用了Windows Print Spooler服務漏洞CVE-2022-38028。因此，近日美國CISA將之列入已知利用漏洞清單。

其他漏洞消息方面，有一則影響全球10億用戶的消息，是市面上常見的中國拼音輸入法被發現存在諸多漏洞。為了幫助這些用戶不受攻擊者監控輸入內容，加拿大公民實驗室已向8家輸入法供應商通報大批漏洞，多家廠商已針對最嚴重的漏洞進行修補，但Vivo、小米卻並未針對通報回覆。

在資安威脅態勢方面，有4則新聞我們認為值得重視，這些攻擊趨勢研究的面向，涵蓋SAP用戶、網頁伺服器被鎖定、CDN快取遭濫用、以及AI的趨勢，我們整理如下：

●SAP用戶注意，有兩家資安業者警告，鎖定SAP旗下應用系統的勒索軟體攻擊行動在2023年大增，不僅攻擊活動比兩年前暴增4倍，SAP的RCE漏洞在黑市的價格也水漲船高，顯示駭客正對此有高度興趣。
●鎖定網頁伺服器已知漏洞並部署Web Shell的攻擊行動被揭露，目的是植入勒索軟體Adhublika，而全球受害數量最多的國家除了美國與印度，臺灣居於第三。
●駭客組織CoralRaider攻擊行動被揭露，研究人員指出對方使用CDN快取伺服器存放惡意程式，這將導致網路防禦系統可能無法對其進行偵測而放行。
●最新一項大學研究報告指出，LLM Agents將能自動利用具CVE編號、已被揭露的One-day漏洞，實測10個LLM的結果顯示，GPT-4成功完成這項工作，再次顯現AI帶來的風險與挑戰。

此外，本期周報也新補上一則AI監管的最新動向，是美國康乃狄克州議會在24日通過了SB 2，若是之後順利發布，SB 2將成為美國第一部監管民營企業開發與部署人工智慧的法案，成為與歐盟AI法案相當的立法。

還有2則值得警惕的攻擊態勢，是關於駭客正鎖定資安管理不善的國防產業，以及鎖定網路邊際裝置來入侵。

●韓國國防承包商傳出遭北韓駭客組織攻擊，導致相關機密資料被竊取，韓國警方提出警告，並指出多個北韓駭客組織利用了這些公司資安管理不善的情況進行滲透。
●Google Cloud發布M-Trends報告，除了談及過去一年攻擊者如何利用AiTM入侵多重驗證保護措施，網路釣魚技術在現代化安全控管機制下的演變，並指出中國駭客逐漸以缺乏EDR系統防護的網路邊際裝置與平臺為目標。

至於其他最新惡意活動的揭露，本星期的焦點還包括：安卓金融木馬SoumniBot、惡意軟體SSLoad、竊資軟體RedLine等，以及駭客組織BlackTech利用新的後門程式Deuterbear的揭露。

在資安事件方面，本星期發生多種類型攻擊事件，涵蓋零時差漏洞攻擊、軟體供應鏈攻擊、關鍵CI攻擊與資料外洩。這4則新聞如下：
●年初Ivanti零時差漏洞有新的受害組織，資安研究機構MITRE近日公布他們用於研究、開發、原型設計的協作網路環境NERVE遭入侵。
●防毒軟體eScan的更新機制竟成派送惡意程式GuptiMiner幫兇，研究人員指出是北韓駭客Kimsuky發動的軟體供應鏈攻擊，透過複雜的中間人攻擊手法，針對大型企業網路環境來部署後門程式。
●美國德州小鎮2起供水系統遭攻擊的事件，導致供水系統出現溢流現象，已手動控制因應，研判俄羅斯駭客組織Sandworm（APT44）所為。
●長榮航空在25日夜間發布資安事件，說明察覺不明人士取得旅客帳號資料並透過惡意IP位址登入網站，發現300多名旅客資料被存取。此外，先前群光遭駭事件這周末又有後續消息，我們在此補上，該公司指出駭客組織新揭露的SpaceX資料非機密資料。

特別的是，還有一起案外案，是北韓雲端伺服器組態不當造成資料外洩，當中資料顯示，疑似美國多家影音平臺動畫製作外包給中國公司，中國公司又外包給北韓動畫公司，導致違反美國政府禁令的狀況曝光。

在防禦態勢上，這一星期有2項新進展，首先，我國數位發展部正式公布國家資通安全研究院（資安院）接手TWCERT/CC，這項消息其實我們在1月初採訪TWCERT/CC得知並揭露，2月也有對此的專訪報導，最近4月24日，數位發展部部長唐鳳與資安院院長何全德不僅正式宣布此事，同時還揭露5大推動策略。

其次，推動IoT開放標準協定FDO的FIDO聯盟，近日在臺舉辦FDO WorkShop活動，該單位認證計畫主管透露，首批通過FDO標準認證的名單將於近1到2月內公布，有4家廠商進度最快，臺灣工業電腦廠東擎科技也包括在內。