11月最后一周的资安新闻中，在漏洞消息方面，有2大漏洞利用消息与1项漏洞警讯需要优先关注，都与边缘设备安全有关，涵盖Array Networks、Zyxel Networks与D-Link的网络产品。

●大宇集团旗下Array Networks去年3月修补的SSL VPN系统漏洞CVE-2023-28461，如今发现有黑客开始利用此已知漏洞发动攻击。
●兆勤科技（Zyxel Networks）今年9月修补防火墙漏洞CVE-2024-42057，随着资安业者Sekoia示警，后续兆勤警告攻击者开始锁定这项已知漏洞。
●中华电信提供许多个人及政府机关的D-Link调制解调器DSL-6740C，本月被国内资安研究人员揭露存在8个漏洞。

值得注意的是，这2项漏洞利用的幕后凶手已被资安业者查出，趋势科技揭露中国黑客组织Earth Kasha最新攻击行动，就是利用上述Array的漏洞与另一Fortinet已知漏洞作为入侵起始点，台湾与日本的企业均有受害案例；资安业者Sekoia揭露勒索软件Hellodown的攻击行动，指出是利用上述兆勤漏洞入侵。还没修补的用户需尽速更新与清查。

而D-Link调制解调器的DSL-6740C漏洞揭露亦是一大警讯，因为该设备今年初已终止支持，加上台湾现在还有多达57,945台仍在运作，显示出中华电信处理EOL设备的速度太慢，以及还有很多人不知道要请中华电信更换。

在资安事件上，11月底感恩节前夕有一起勒索软件攻击事件受瞩目。美国供应链管理业者Blue Yonder遭攻击后导致服务中断，影响北美1.1万家星巴克门市与英国2家连锁超市等系统，使其员工只能手动作业，且3天后系统仍未恢复。

国内也发生一起事件值得我们警惕，就是北捷AI客服被测试发现可代写代码。过去ChatGPT等生成式AI常因提示注入攻击（Prompt Injection）被诱导，超出违反原本的安全或使用限制，因此后续各界不断强调提高AI安全护栏能力。虽然此次未达恶意滥用程度，但已暴露国内可能轻忽系统AI安全护栏的问题。

在资安威胁态势上，有多个中国与俄罗斯黑客组织的攻击活动被揭露，其攻击目标相关广泛，涵盖浏览器、操作系统，也有锁定电信业者，以及针对图博（西藏）民众等：
●近两个月Firefox与微软分别修补的零时差漏洞（CVE-2024-9680、2024-49039），如今资安业者ESET公布幕后攻击者是名为俄罗斯黑客Tropical Scorpius（又名UNC2596）所串连利用，并会植入后门程序RomCom。
●电信业注意！关于中国黑客组织Salt Typhoon攻击全球电信业又有后续消息，趋势科技揭露攻击者会植入名为Demodex的rootkit程序，而近期攻击东南亚电信业者的事故中，还使用先前未曾揭露的GhostSpider等多款后门程序。
●中国黑客TAG-112新一波锁定图博新闻媒体、大学网站的攻击被揭露，目的是针对浏览网站的用户电脑植入Cobalt Strike，目前尚不知黑客利用那些漏洞。
●邻居被骇也是自家被攻击的前奏，最近资安业者Volexity公布俄罗斯黑客APT28在俄乌战争前夕借由Wi-Fi管道的攻击方式－－Nearest Neighbor Attack。
●黑客滥用杀毒软件组件从事自带驱动程序（BYOVD）攻击的手法越来越多，最近一起是针对Avast的驱动程序组件而来，以停用受害电脑防护机制。

在资安防御新闻中，我们观察到两个关键议题备受关注，包括：促进民间资安情报的联防合作以及打击网络犯罪，分别是台湾与全球关注资安风险的重点。

首先是今年台湾资安通报应变年会，透露了TWCERT/CC的日后新方向，指出为了让联防更有效果，将以情资角度作为向企业沟通的方式，而不像过去从事件通报角度向企业沟通，目标是让企业回报的内容，可以更聚焦在联防需要的情资，意即：何种类型攻击、可能攻击标的、入侵指针（IoC）、攻击手法等关键信息。

另一个是全球在查缉网络犯罪方面取得新成果。国际刑警与非洲刑警联手行动，在19个非洲国家逮捕了千余名嫌犯。其中部分犯罪行动涉及高技术含量，例如在肯尼亚破获的一起网络信用卡诈骗案中，黑客利用修改银行系统安全协议的方式，运行恶意脚本窃取资金，并流向多国司法管辖区内的金融相关机构。

【11月25日】俄罗斯黑客在军事行动前夕，借由跳版入侵目标组织的无线网络环境

最近几年，有研究人员揭露利用Wi-Fi无线网络从事近距离、非接触式的攻击手法，但这样的手段鲜少在实际的资安事故曝光，如今有研究人员公布此种类型攻击行动。

资安业者Volexity指出，2年前俄罗斯黑客组织APT28就是利用类似的策略，先攻击目标组织邻近的企业，再借由这些跳板存取目标组织的Wi-Fi网络，从而进行相关的情报收集。

【11月26日】软件供应链业者Blue Yonder遭遇勒索软件攻击，客户受到波及

供应链攻击事故频传，最近软件供应链业者Blue Yonder遭遇勒索软件攻击，传出已对客户的运作造成影响，目前已有连锁咖啡店星巴克、英国两大超市证实受到波及。

值得留意的是，11月21日Blue Yonder证实因资安事故导致代管服务中断，但目前尚未确认复原的时间，相关灾情与影响范围有待后续观察。

【11月27日】攻击者串连Firefox与Windows的零时差漏洞，能在用户毫无察觉的状况下植入恶意程序

攻击者利用浏览器零时差漏洞的情况不时传出，但多半会针对较多人使用的Chrome而来，发生在今年10月上旬的Firefox零时差漏洞攻击相当引人关注，如今通报漏洞的研究人员更多细节。

他们提及这波攻击行动由俄罗斯黑客RomCom发起，在过程里还会运用Windows零时差漏洞CVE-2024-49039，使得攻击者无须与用户交互，就能将后门程序散布到受害电脑。

【11月28日】第一款针对Linux主机的UEFI Bootkit现身

埋藏在UEFI固件的恶意启动工具UEFI Bootkit相当神秘，攻击者借此隐匿行踪，并能从开机阶段就挟持整台电脑，让运行于操作系统之上的防护机制失效，这样的情况最近有了新的变化。

本周资安业者ESET揭露新的恶意启动工具Bootkitty，并指出虽然这支程序很可能仍在开发阶段，但是第一个专门针对Linux操作系统的UEFI Bootkit，后续发展相当值得留意。

【11月29日】黑客利用CleverSoar恶意程序于中国、越南电脑散布多种恶意软件

恶意软件框架Winos 4.0的攻击行动，最近半年已出现数起相关事故，但值得留意的是，过往黑客的主要攻击目标，都是使用简体中文的用户，而在最近一起事故当中，惯用越南文的用户也是目标。

不只攻击的范围扩大，散布该恶意程序的黑客也搭配其他新工具来进行，其中一种引起研究人员关注的是恶意程序部署工具CleverSoar。