網路犯罪聯盟Scattered Lapsus$ Hunters企圖對超過100家企業發動大規模語音網釣

威脅情資公司Silent Push發現網路犯罪聯盟Scattered Lapsus$ Hunters(SLSH)基礎設施大幅增加的情況,進一步調查發現,這些駭客最近一個月打算針對超過100家高價值企業下手,藉由語音網釣(Vishing)竊取單一登入(SSO)的憑證

新聞 | HTTP Cilent | OkHttp | Axios | Node-fetch | Go Resty | AiTM | Password Spraying

HTTP用戶端工具遭濫用,駭客用來挾持M365帳號

資安業者Proofpoint針對濫用HTTP用戶端工具挾持Microsoft 365帳號的攻擊行動提出警告,駭客從原本使用名為OkHttp的工具,如今轉換Axios、Node-fetch、Go Resty,而有可能突破多因素驗證(MFA)並增加得逞的機率

2025-02-06

新聞 | Gemini 2.0 | google

Google Gemini 2.0 Flash Thinking供所有用戶測試,新增Pro、Flash-Lite版

Google將Gemini 2.0 Flash、Gemini 2.0 Flash Thinking實驗版模型全面提供給Gemini app與Gemini API用戶,另外再公布新成員Gemini 2.0 Pro實驗版和Gemini 2.0 Flash-Lite預覽版

2025-02-06

新聞 | Anthropic | AI安全 | 越獄攻擊 | 憲法式分類器 | LLM

Anthropic公開憲法式分類器,大幅降低AI越獄攻擊成功率

Anthropic推出憲法式分類器,透過預設規則與分類器訓練,提高大型語言模型防禦能力。在測試中,該技術將越獄成功率從86%降至4.4%,拒絕率僅增0.38%,現已開放測試平臺供試驗

2025-02-06

新聞 | 資安日報

【資安日報】2月5日,去年修補的7-Zip的MotW漏洞被用於攻擊烏克蘭企業與政府機關

針對一月底揭露的7-Zip漏洞CVE-2025-0411,通報此事的漏洞懸賞專案Zero Day Initiative(ZDI)公布發現的過程,俄羅斯駭客去年9月將其用於攻擊烏克蘭的企業組織

2025-02-05

新聞 | Azure AI Face Services | Microsoft Account | CVE-2025-21415 | CVE-2025-21396 | EoP

Azure AI臉部辨識服務與微軟帳號系統修補重大層級漏洞

1月底微軟揭露與緩解Azure AI臉部辨識服務、Microsoft Account的資安弱點,其中CVSS評分達到9.9的CVE-2025-21415特別值得留意,該公司提及,此漏洞已有公開的概念驗證程式(PoC)

2025-02-05

新聞 | 7-Zip | MoTW | CVE-2025-0411 | 零時差漏洞攻擊

壓縮軟體7-Zip的MotW零時差漏洞被用於攻擊烏克蘭

針對去年11月修補的7-Zip高風險漏洞CVE-2025-0411,通報此事的漏洞懸賞專案Zero Day Initiative(ZDI)本週公布發現的過程,去年9月此漏洞被俄羅斯駭客用於攻擊行動,至少有9家烏克蘭企業組織與政府機關受害

2025-02-05

新聞 | Netgear | PSV-2023-0039 | PSV-2021-0117

Netgear公布Wi-Fi無線基地臺、路由器重大層級漏洞,6款設備曝險

上週末Netgear公布兩項重大層級的Wi-Fi無線路由器及基地臺弱點,分別涉及遠端程式碼執行(RCE)及身分驗證繞過,相當危險,6款受影響設備的用戶應儘速更新韌體因應

2025-02-05

新聞 | google | Android | Liunx Kernel | UVC | CVE-2024-53104

Google修補安卓作業系統核心的零時差漏洞

本週Google發布安卓作業系統的二月份例行更新,並表示其中一項存在於Linux核心的高風險權限提升漏洞CVE-2024-53104,疑似有人用於從事目標式攻擊

2025-02-05

新聞 | Windows 11

微軟悄悄移除舊PC升級Windows 11的說明

即便不同意用戶這麼做,但微軟曾在官網上公布如何在不具備TPM 2.0處理器的舊款PC安裝Windows 11,媒體Neowin報導直到去年12月Windows 11 24H2推出之際,微軟才移除了這項繞過規格限制的安裝說明

2025-02-05

新聞 | 信用卡安全 | POS系統 | 刷卡機 | Visa | 感應式刷卡 | 刷卡機繞過 | 離線交易

防範偽冒離線交易的新式詐騙手法,春節期間臺灣有商家暫停使用感應式行動支付

今年1月底的春節連假期間,傳出國內有部分金融機構通知特約商店,注意利用刷卡機的偽冒,或Apple Pay等國際行動支付的交易詐騙。Visa表示這次對收單機構的示警,是提醒針對商家的新型態詐欺手法

2025-02-05

新聞 | google

Google對美國平臺與裝置部門啟動自願離職方案

將Pixel、Android等數個裝置與平臺相關部門整併屆滿一年之際,Google針對不適應這項組改措施的美國員工,提供裁員前自願離職方案

2025-02-05

新聞 | Heritable Agriculture | Alphabet | 農業AI

Alphabet獨立出農業AI子公司Heritable Agriculture

Alphabet X實驗室宣布旗下Heritable Agriculture獨立為子公司,Heritable Agriculture致力於發展以AI技術改良農作物種植生產的解決方案

2025-02-05