資安

歐洲中央銀行主席Christine Lagarde近日收到不明人士冒充德國前總理梅克爾發送的釣魚簡訊，企圖以社交工程騙取重要密碼，歐洲央行表示這起攻擊行動已經被識破且制止，沒有資訊因此外洩

資安專家除了建議先修補已遭開採的Windows CSRSS權限擴張漏洞CVE-2022-22047，微軟認為另一個影響Windows Server Service的竄改漏洞CVE-2022-30216，被開採的可能性也相當高

勒索軟體駭客近期在發動攻擊的手法上出現顯著變化：開發BlackCat的駭客針對不願支付贖金的受害組織，打造了Alphv Collections資料庫；而勒索軟體HavanaCrypt則是運用了開源密碼管理器KeePass Password Safe，來進行加密檔案的工作

根據安全廠商趨勢科技調查，偽裝成Google軟體更新App散布的勒索軟體HavanaCrypt除了使用微軟的網頁代管IP掩人耳目，也以多種手法躲避安全產品偵測

駭客上傳惡意PyPI套件的情況越來越多，使得PyPI開始要求部分套件開發者使用雙因素驗證機制，但出現有人鑽漏洞的情況；自今年5月出現的勒索軟體0mega，駭客要脅要向合作夥伴告狀，迫使受害組織付贖金

Have I Been Pwned（HIBP）平臺發現內含Mangatoon用戶個資的資料庫，已經在今年5月間外流曝光，但Mangatoon官網並未公布這起安全事件，官方也神隱無從連繫

2022年下半才開始，上海公安資料庫爆發10億人個資外洩事件，OpenSSL 3.0最近修補一個RCE漏洞需應盡速因應，還有Jenkins公告34個外掛程式存在漏洞需留意修補動向。本周所揭露新的威脅態勢中，包括利用惡意NPM的軟體供應鏈情形，以及Hack-For-Hire的手法，還有勒索軟體RedAlert、Checkmarx等新動向

駭客隱匿C2伺服器來源的手法，現在竟有人透過GitHub來引導惡意軟體與C2連線；婚禮司儀培訓機構的AWS S3儲存桶出現了不設防的現象，證婚的牧師、結婚的夫妻個資，以及參與典禮的人員名單都可能曝光