11个国家的执法单位于2月20日宣布破获勒索软体骇客LockBit的基础设施，但与其他骇客组织的攻坚行动有所不同，执法单位后续表明他们掌握其首脑LockBitSupps身分，意有所指对方很可能住在遭到制裁的俄罗斯，事隔2个多月，此事又有新的进展。

这些执法单位预告，将于指定的时间公布LockBitSupps身分，并在4天内关闭LockBit的网站，后续情况如何，有待进一步的观察。

 

【攻击与威胁】

执法单位再度针对勒索软体骇客LockBit的网站出手，预告透露对方更多身分相关资讯

2月下旬多国执法单位联手围剿勒索软体骇客LockBit的基础设施，后来不到一个星期的时间，对方疑似卷土重来，并将美国联邦调查局（FBI）列为受害组织，双方之间的攻防，最近又有新的进展。

5月6日资安研究员Jon DiMaggio发现，执法单位疑似再度修改LockBit的网站，预告将在世界协调时间（UTC）7日下午2时公开发表声明，内容包含该骇客组织首领LockBitSupps的身分，并并透露将公布其他不为人知的事情，在4天后关闭网站。该名研究人员认为，这次执法单位应该是来真的，可信度很高。

对此，骇客向另一个资安研究团队VX-Vnderground透露，认为执法单位宣称的并非事实，表明他们仍持续从事攻击行动，将会公布新的受害组织名单。

微软图学资料分析服务Graph的API遭骇客用于恶意通讯，攻击乌克兰组织

资安业者赛门铁克提出警告，他们看到有越来越多骇客，在攻击行动当中，滥用微软图学资料分析服务Graph的API，并指出骇客这么做的目的，通常是也利用微软云端服务架设C2基础设施的情况下，能够促进相关通讯的进行。

研究人员看到利用上述手法针对乌克兰组织的攻击行动，对方使用名为BirdyClient（或OneDriveBirdyClient）的恶意程式，并将其伪制成笔记型电脑触控板驱动程式ALPS Pointing Device Driver（Apoint.exe）相关的DLL程式库元件vxdiff.dll。

此恶意程式的主要功能，就是连接微软Graph的API，并利用云端档案共享服务OneDrive充当C2伺服器，然后让攻击者能上传或下载档案。不过，攻击者的动机为何？研究人员指出，由于尚未找到其他作案工具，目前无从得知意图，也不确定攻击者的身分。

其他攻击与威胁

◆勒索软体REvil附属组织成员将面临13年刑期

◆骇客冒充受害者所属公司，寄送带有QR Code的钓鱼邮件，意图骗取帐密资料

◆骇客买下Google赞助商广告，对搜寻知名新闻网站、网路公司的用户进行技术支援诈骗

◆间谍软体Cuckoo锁定macOS用户而来，Intel与M系列处理器的电脑都是目标

 

【漏洞与修补】

研究人员揭露可泄露VPN流量的漏洞TunnelVision

5月6日资安业者Leviathan Security Group揭露名为TunnelVision的漏洞，一旦攻击者触发，就有机会将用户的VPN流量泄露到相同区域网路上的其他电脑，该漏洞被登记为CVE-2024-3661列管，CVSS风险评分为7.6。

研究人员指出，TunnelVision可绕过VPN封包，借由作业系统内建、用来自动分配IP位址的动态主机配置协定（DHCP），迫使目标使用者的流量离开VPN通道，进而有机会让骇客可窥探流量。由于此手法并未破坏VPN所控制的通道，因而不会触发VPN的网路自动断开（Kill Switch）机制，使得用户误以为自己的流量仍受到VPN保护。

由于TunnelVision攻击手法是让用户脱离VPN的保护，严格来说，这并非VPN系统本身的漏洞，但研究人员还是透过电子前线基金会（EFF）及美国网路安全暨基础设施安全局（CISA），向超过50个VPN供应商通报此事。

其他漏洞与威胁

◆研究人员在小米行动装置多个应用程式找出20个漏洞

 

【资安产业动态】

Google Cloud整合Gemini、Mandiant、VirusTotal，推出AI安全方案

5月6日Google Cloud于RSA大会宣布推出名为Google Threat Intelligence的威胁情资服务，将以Gemini 1.5 Pro模型为基础，整合资安分析产品线Mandiant与恶意程式解析服务VirusTotal而成。这项服务以AI助理Gemini提供简单易用的介面，方便用户以自然语言查询Google旗下产品及公开资源为基础的资安知识。

该公司宣称，结合其安全资料库的Gemini，可简化企业安全部门的研究作业。以分析WannaCry档案为例，只需34秒就能完成逆向工程，并找出如何一击阻绝运作。Gemini模型也提供实体萃取（Entity Extraction）工具，使AI助理能从网路搜寻公开研究资讯及产业报告，然后整理成结构清楚的资讯。

微软公布安全未来倡议的6大支柱，将部署全新安全治理框架

去年微软帐户（MSA）消费者签章金钥的外泄，导致中国骇客组织Storm-0558于微软服务中潜伏超过1个月，渗透欧美地区的25个政府组织，今年初俄罗斯骇客组织Midnight Blizzard又成功入侵微软测试租户帐户，长达两个月才被发现。对此，美国国土安全部网路安全审查委员会（CSRB）认为，微软的资安文化不足，无法防堵这些可以预防的意外，应进行根本性的安全改革。

对此，5月3日微软以去年提出的安全未来倡议（Secure Future Initiative，SFI）为基础，提出相关的具体措施，他们根据SFI的3大核心概念：设计安全（Secure by Design）、以安全为预设（Secure by Default）、安全操作（Secure Operations），提出了6大支柱暨目标。包括：保护身分与机密、保护租户并隔离生产系统、保护网路、保护工程系统、监控与检测威胁，以及加快回应与修复速度。

再者，该公司也宣布将部署全新的安全治理框架，新设多个副资安长执位，执行长Satya Nadella更宣告，微软的政策将全面以资安为优先。

 

近期资安日报

【5月6日】德国与捷克证实去年遭遇俄罗斯骇客APT28利用特定Outlook漏洞攻击事故

【5月3日】僵尸网路Goldoon锁定D-Link家用路由器DIR-645老旧漏洞发动攻击

【5月2日】Docker Hub遭滥用，被用来散播恶意程式与架设钓鱼网站的映像储存库比例高达2成