資安周報

在6月的資安新聞裡，兩個嚴重的零時差漏洞在細節被揭露後，出現許多駭客將其用於攻擊行動的情況；勒索軟體LockBit、BlackCat的動作頻頻，運用了過往較為罕見的新手法而引起關注

2022年下半才開始，上海公安資料庫爆發10億人個資外洩事件，OpenSSL 3.0最近修補一個RCE漏洞需應盡速因應，還有Jenkins公告34個外掛程式存在漏洞需留意修補動向。本周所揭露新的威脅態勢中，包括利用惡意NPM的軟體供應鏈情形，以及Hack-For-Hire的手法，還有勒索軟體RedAlert、Checkmarx等新動向

今年上半年的攻擊行動，多半集中在俄羅斯駭客對烏克蘭與盟友的攻擊事故，但近期新興的中國駭客組織攻擊行動不斷出現，本週也發生數起；網路間諜公司RCS Lab與電信業者聯手的攻擊行動，背後很可能是當地政府主導

在本週的資安新聞裡，微軟在6月例行修補（Patch Tuesday）中，針對MSDT零時差漏洞CVE-2022-30190（亦稱Follina）發布更新程式，但烏克蘭找到在4月可能就被用於攻擊行動的跡象；與WordPress外掛程式弱點、網頁應用程式框架Telerik UI漏洞的攻擊行動也值得留意

MSDT零時差漏洞CVE-2022-30190的相關事故，以及協作平臺Atlassian Confluence的漏洞CVE-2022-26134是本週的焦點

在本週的資安新聞裡，與Windows支援診斷工具（MSDT）有關的零時差漏洞CVE-2022-30190引起許多資安人員的關注，另針對Elasticseach資料庫的勒索攻擊也值得留意

本週勒索軟體攻擊出現顛覆政權、應用系統漏洞的攻擊行動相當值得留意，北韓IT人士埋伏全球企業的情況，也可能使得組織求才時要提高警覺

與烏克蘭戰爭相關的網路攻擊仍是4月資安新聞的焦點；再者，勒索軟體攻擊、竊密軟體攻擊加劇的情況也相當值得注意