資安

最近另一套MFT系統MOVEit Transfer也傳出面臨網路攻擊，有不少人懷疑也是Clop所為。Transfer零時差漏洞攻擊的背後主使，就是駭客組織Clop

MFT檔案共享系統MOVEit Transfer存在零時差漏洞CVE-2023-34362，駭客已利用該漏洞展開攻擊，微軟認為此攻擊與知名駭客Lace Tempest相關

東南亞、東亞的外交單位遭到中國駭客Camaro Dragon鎖定，散布後門程式TinyNote，罕見的是，在滲透的過程中，對於印尼當地常用防毒軟體Smadav，駭客特別設計繞過其偵測的方式，針對意味十足

由Aerospace打造的Moonlighter衛星，即將隨著美國太空總署（NASA）的補給任務而傳送到國際太空站（SSI），以供資安社群用來測試衛星的安全性

本周有MOVEit Transfera零時差漏洞與Zyxel在4月底修補已知漏洞遭攻擊者鎖定利用的消息最受關注，還有技嘉主機板軟體更新機制不安全恐被利用於供應鏈攻擊的警告，後續技嘉已緊急提供BIOS韌體更新因應

面對資安人才培育與技能差距的問題，美國 NICE 網路安全人才框架在國際越來越受重視，歐洲 ECSF 網路安全技能框架也在 2022 年興起，這股風潮如今吹向臺灣，政府正在發展國內通用的資安 「職能基準」，前兩年發布《金融資安人才職能地圖》與《臺灣資安職務地圖 -2022 新興資安產業版》

多家資安業者提出警告，有人利用MFT檔案共享系統MOVEit Transfer的零時差漏洞發動攻擊，並挖掘受害組織存放的內部資料，甚至是Azure Blob儲存桶的帳密資料

卡巴斯基發現部分員工iPhone被植入新型間諜軟體，感染指標包括手機「資料使用」項顯示有BackupAgent的行程，也可能無法安裝iOS更新