关于12月第3个星期的重要资安新闻，美国传出打算禁用TP-Link路由器是一大焦点，外界认为与中国黑客经营的僵尸网络Quad7有关，促使美国政府进一步探讨相关风险，也突显边缘设备安全是持续备受关注的重要议题。另一重要消息在于，中国黑客组织Salt Typhoon渗透美国电信公司的后续消息不断，如今美政府积极倡导E2EE全程加密重要性。

在威胁态势上，这一星期有供应链攻击、密码泼洒攻击的两则重要新闻，一是今年曾攻击台湾无人机厂商的中国黑客组织Tidrone，韩国资安业者发现该组织也针对当地的ERP软件下手来入侵韩国企业；另一是Citrix示警指出黑客正针对其设备发动攻击，特殊之处是针对不同帐号使用一组数量不多的常见密码来攻击，以规避系统判定异常，又或是以大量尝试登录方式来瘫痪系统资源。

●中国黑客TIDrone对韩国企业发动攻击，使用两种手法入侵受害公司，其中一种是供应链攻击手法，入侵当地ERP软件再入侵目标企业。
●德国联邦信息安全办公室（BSI）与Citrix警告，发现攻击者锁定Citrix NetScaler设备发动暴力破解的攻击行动。
●中国资安业者奇安信发现中国黑客组织APT41正打造PHP木马程序Glutton，受害者位于中美两地。
●泰国政府官员遭锁定，资安业者揭露攻击者使用的后门程序Yokai。
●超过39万笔WordPress帐密遭窃，资安业者指出攻击者利用网钓与夹带后门程序的身分检查器进行渗透。

还有两则针对水利设施、视讯镜头及DVR设备的资安预警，同样值得大家留意，一是美国环境保护局（EPA）与CISA呼吁水利设施与废水处理业者，应尽速处理曝露在互联网的HMI，避免攻击者有可乘之机；一是美FBI针对最新一波木马程序HiatusRAT的攻击行动示警，该组织去年曾锁定台湾与美国，今年锁定更多国家，包括澳洲、加拿大、新西兰、英国。

在漏洞消息方面，这一星期有6大漏洞利用状况，包括BeyondTrust、Celo的产品遭零时差漏洞利用，微软、Adobe今年的已知漏洞，以及京晨科与Reolink的NVR与IP Cam老旧漏洞遭利用。

●BeyondTrust修补旗下以遭利用的远程支持系统、特权远程存取系统的零时差漏洞CVE-2024-12356，已发现攻击者用于入侵其SaaS环境用户，两日后再发现攻击者还利用另一零时差漏洞CVE-2024-12686。
●Celo修补三款MFT文件传输系统的零时差漏洞CVE-2024-55956，有资安业者指出12月初已有利用迹象，勒索软件组织Cl0p宣称是其所为。
●微软在6月修补Windows Kernel Mode的漏洞CVE-2024-35250，以及Adobe在3月修补ColdFusion的漏洞CVE-2024-20767，如今发现针对未修补用户的攻击。
●台湾京晨科技（NUUO）网络监控主机NVRMini2的老旧漏洞CVE-2018-14933、CVE-2022-23227，以及中国Reolink多款IP摄影机的老旧漏洞CVE-2019-11001、CVE-2021-40407，近日美国CISA将之列入已知漏洞利用清单。

还有一个重大漏洞修补需要重视，那就是12月中旬修补的Apache Struts漏洞CVE-2024-53677，有资安研究机构警告发现有攻击者尝试扫描这项漏洞的迹象。

至于资安事件方面，国内有两家上市柜公司发布资安事件重讯，巧合的是，12月18日美国政府才向使用京晨科技产品的企业警告，发现攻击者锁定其产品已知漏洞进行攻击，19日京晨科技又因自家企业遭黑客攻击而发布资安重讯。

●上市半导体业盛群的MCU创意竞赛网站遭受黑客网络攻击
●上柜光电业京晨科有部分信息系统遭受黑客攻击
●日本知名影音共享平台Niconico、角川书店半年前遭骇，如今传出角川集团支付勒索集团300万美元的消息。

在资安防御上，随着2025即将来到，有多家市场分析机构与厂商都对未来的资安态势，提出预警，例如，在新的PQC加密逐渐普及下，网络安全产品也要应对隐藏于加密流量的网络威胁；生成式AI的资安威胁已探讨多时，如今还强调企业须重视创建AI BOM清单来强化资安防护力；还有中国国家级黑客转向勒索软件维生的全新态势，提醒中小企业将面对更严峻的网络威胁。

【12月16日】勒索软件黑客Clop声称对Cleo文件共享系统零时差漏洞发动攻击

一周前资安业者Huntress提出警告，指出有人针对Cleo旗下MFT文件传输系统进行大规模攻击，当中利用绕过CVE-2024-50623的零时差漏洞修补，本周出现了新的说法。

根据资安新闻网站Bleeping Computer的一篇报导，勒索软件黑客Clop表示这起事故是他们所为，但并未透露何时开始发动攻击，以及有多少企业组织受害的情况，这些说法的真实性有待查证。

【12月17日】学术研究员与资安人员遭到锁定，黑客窃得逾39万笔WordPress帐密

握有各式权限并经常会经手敏感信息的资安从业人员，已成为最近几年黑客下手的主要目标，最近一波大规模攻击行动当中，有人借此对资安人员散布恶意软件，并窃得大批WordPress帐密。

值得留意的是，攻击者发起攻击的管道，主要可分成两种，一种针对资安研究人员而来，假借提供已知漏洞的概念性验证代码，来让他们中招；另一种则是锁定学术研究机构，佯称提供处理器漏洞缓解工具来进行。

【12月18日】中国黑客组织Tidrone利用ERP软件攻击韩国企业

今年9月资安业者趋势科技揭露的中国黑客TIDrone引起高度关注，原因是这些黑客不仅针对台湾，还是专门对军事、卫星工业，以及无人机制造商而来，当时他们特别提及这些黑客的攻击范围并非只有台湾，如今有其他研究人员证实这样的说法。

资安业者AhnLab揭露发生在韩国的攻击行动，并指出这些黑客从今年初就开始从事相关活动，但到了7月，他们改变手法，锁定特定厂牌的ERP软件用户下手。

【12月19日】木马程序HiatusRAT锁定网络摄影机及DVR的已知漏洞发动攻击

锁定物联网设备的攻击行动日益频繁，相关恶意软件的攻击行动，也引起政府单位的高度重视，呼吁用户要尽速采取行动因应。

例如，美国联邦调查局（FBI）针对恶意软件HiatusRAT的攻击行动提出警告，值得留意的是，黑客不光利用2017至2020年发现的已知漏洞从事攻击行动，FBI也提及他们运用设备厂商提供的弱密码入侵网络摄影机及DVR设备的现象。

【12月20日】资安业者BeyondTrust传出部分SaaS服务遭遇重大层级命令注入漏洞攻击

针对2周前公布的网络攻击事故，资安业者BeyondTrust本周公布新的调查结果，指出攻击者利用了他们近期修补的重大层级命令注入漏洞CVE-2024-12356，以及另一个中度风险的CVE-2024-12686。

值得留意的是，该公司并未在漏洞资安公告提及已遭利用的现象，但这起事故发生至今已超过半个月，不禁让人怀疑黑客挖掘了零时差漏洞从事攻击。