在这一星期的漏洞消息方面，包含微软、SAP、Adobe、西门子、施耐德电机等每月例行安全更新修补释出，Rust开发团队修补CVSS满分10分的重大漏洞，以及LG修补智慧电视多个漏洞，而且，传出5个漏洞已遭利用的消息。

（一）微软修补了两个已经遭利用的零时差漏洞，分别是涉及SmartScreen绕过的漏洞CVE-2024-29988，以及关于Proxy Driver欺骗的漏洞CVE-2024-26234。（二）台厂D-Link停止维护的多款NAS机型被发现多个新漏洞，其中2个已遭利用，除了本周资安日报提及的漏洞CVE-2024-3273，还有CVE-2024-3272也已经遭到利用。D-Link呼吁用户应儘速淘汰这些设备。（三）另一个本周资安日报尚未提及的漏洞，是Palo Alto Networks週五揭露旗下防火墙产品的零时差漏洞CVE-2024-3400，并计画于14日释出修补，然而，发现漏洞被利用于攻击活动的情形最早在3月下旬。

还有两项漏洞的揭露也值得留意，一是影响多个专案的新型态HTTP/2漏洞遭揭露，已登记9个CVE编号，另一是有研究人员发现网页伺服器元件Lighttpd漏洞曾在2018年被默默修补，不只影响AMI MegaRAC的BMC韧体，进而影响Intel、联想伺服器厂商。

在资安事件焦点方面，国内上市柜接连遭遇资安事件的状况备受瞩目，等于短短一週内，就有5家公司发布资安重讯，涵盖生技、旅游、塑化、食品与光电等不同产业，我们整理如下：

●4月7日，上柜生技医疗业佰研说明旗下电商「无毒的家」会员资料外洩事件。●4月8日，上柜观光餐旅业富野说明旗下分公司资讯系统遭受网路攻击。●4月9日，上市塑胶工业联成说明发生网路资安事件。●4月9日，上市食品工业联华说明发生网路资安事件。●4月11日，上市光电业联合再生公告有部分系统遭受骇客攻击，导致工厂停工。

值得注意的是，富野是近两个月第二度遭遇事件，该公司表示上次事件后已规画资安强化作为，但需要更多时间建置，因此未能阻挡这次攻击；关于联合再生的后续状况，我们在此补充，该公司隔日已对此事件发布重讯更新近况，表示在确认工厂产线设备未受影响后，已于11日当日下午复工生产。

综观这些事件的公告，我们认为，由于主管机关证交所对于资安事故揭露要求越来越严格，因此不只是资料外洩开始出现在上市柜公司的重讯，企业对于事件后续状况的揭露，也比过往要积极，虽然短期内会让大家产生资安问题似乎发生得比过去密集的印象，然而，随着企业资安威胁态势越来越透明，这些摊在阳光底下的乱象才是真正反映现况，有助于大家正视问题！

在关注台湾资安事件之余，国际间也有一些重大事件，包括：日本光学设备製造商Hoya传出遭勒索软体骇客组织Hunters International攻击，遭索讨1,000万美元赎金，越南石油公司PV Oil遭到勒索软体攻击，以及智利资料中心IxMetro Powerhost遭遇勒索软体SEXi攻击。

此外，全球还有多个资安威胁的最新态势，我们特别注意到在金融业、媒体政要领域，各有一项需要慎防的威胁。

●对于金融业而言，国际信用卡组织Visa发布资安通报，说明最近一波的恶意软体JsOutProx攻击，并呼吁发卡银行、处理机构及相关单位需严加防範；●对于手持iPhone的记者、官员或政治人物而言，苹果最近发现部分用户遭到佣兵间谍软体（Mercenary Spyware）锁定，已通知可能遭锁定的92国用户，并建议依照步骤来提升装置防护层级。

在其他恶意活动的揭露方面，我们认为可留意下列消息，例如，语音网钓威胁又一例，LastPass示警，说明该公司员工收到一连串的电话、简讯、语音邮件，并指出对方透过WhatsApp冒充公司执行长传送Deepfake的语音讯息；过去曾攻击Canon、全录、LG的勒索软体组织Maze，最近有资安业者揭露其成员可能东山再起，以名为Red CryptoApp的勒索软体骇客组织重新出发，再度危害企业。

?

【4月8日】勒索软体骇客组织Red CryptoApp声称入侵超过10个企业组织引起研究人员关注

勒索软体骇客组织更换名称捲土重来的情况，迄今已有数起，最近有个名为Red CryptoApp的骇客团体，宣称已攻击超过10个企业组织。察觉该组织行动的资安业者Netenrich推测，很有可能是2020年收手的Maze成员组成。

?

值得留意的是，Red CryptoApp的做法较为激进，因为他们直接公布受害组织的资料，企图藉此形成压力让受害组织乖乖付钱。

【4月9日】恶意软体JsOutProx锁定亚太地区、中东及北非而来

锁定金融机构的恶意程式攻击事故频传，一旦这些恶意软体入侵受害者的装置，便会试图将他们的银行帐户洗劫一空，但如今，有一支名为JsOutProx的恶意程式引起国际信用卡组织注意，并对发卡银行及相关单位提出警告。

?

资安业者Resecurity也公布调查结果，并指出这起攻击行动最大的特色之一，就是对方大肆滥用程式码储存库GitLab。

【4月10日】微软在本月例行更新揭露近150个漏洞，数量创近年新高

昨天（9日）有许多厂商发布本月份的漏洞例行更新，微软、Adobe、SAP、西门子、施耐德电机皆公布相关资安公告及修补程式，用户应留意相关资讯，并儘速安排、部署相关更新软体。

其中最值得留意的部分，是微软这次公告的内容，他们总共缓解了149个漏洞，数量再创新高，一举超越去年7月揭露与缓解132个漏洞的纪录。

【4月11日】脸书出现提供生成式AI服务桌面软体的诈骗粉丝页，目的是诱使大家安装恶意程式

散布窃资软体的攻击行动频传，其中结合时下热门的生成式AI服务为诱饵的情况，相当值得留意。最近就有一起假借提供桌面版程式的攻击行动，骇客透过脸书广告来从事攻击行动，使用者若是依照指示取得对方提供的桌面版软体，电脑就有可能被植入窃资软体。

?

特别的是，攻击者其中一个脸书粉丝页竟维持长达一年，累积120万用户追蹤，但为何此粉丝页这么久才被发现，研究人员并未说明。

【4月12日】苹果一口气对92个国家发出间谍软体攻击警报，要求受影响用户应儘速採取保护措施

这两天苹果大动作发出警告，而受到全球关注，他们向部分疑似遭到佣兵间谍软体（Mercenary Spyware）锁定的用户发出通知，提醒这些用户应提高自己使用的装置防护层级，并寻求专家协助及进行后续调查。

?

而这并非该公司首度针对间谍软体呼吁用户提高詧觉，去年10月，他们就曾对国家级骇客的窃密攻击提出警告。

?