【資安月報】2025年5月，AI資安技術發展動能強勁，從Agentic SOC、資安LLM到紅藍隊攻防演練都有進展

在2025年5月資安新聞，多項AI資安相關技術發展揭露受關注，涵蓋Agentic SOC、AI資安模型、AI資安解決方案，以及Digital Twin的AI紅藍隊演練等，這些消息成為我們本月首先關注的一大焦點。

還有4個威脅層面的議題，同樣值得我們重視，包括攻擊者用AI的態勢，零時差漏洞攻擊的狀況，濫用合法網域廢棄子網域的問題，以及國內外重大資安事件。在此我們彙整5大資安焦點，帶大家回顧本月重要新聞。

（一）多場大型IT展會點出資安最新技術發展方向

全球指標性資安盛會RSA Conference 2025於4月28日至5月1日在美國舊金山舉行，多家科技大廠與資安業者在期間宣布推出AI資安工具，顯現AI多元應用持續快速融入資安領域。例如，Google宣布將朝向Agentic SOC發展，預期未來全自動化代理型資安維運中心，同時展示先前推出的兩款AI資安代理，一是提供警示分類代理（Alert Triage Agent）於Google SecOps，另一是提供惡意軟體分析代理（Malware Analysis Agent）於Google Threat Intelligence之中。

資安大廠Cisco則宣布，推出自家首款開放式AI資安模型Foundation-Sec-8B，並以開放權重方式釋出，協助更多資安人員應用AI於資安分析、維運與防護，這是Cisco於2024年併購Robust Intelligence後帶來的最新成果。而在此之前，趨勢科技亦推出名為Cybertron的資安專用LLM，並將部分模型開源供社群使用。

至於AI相關解決方案方面，市場上已有許多大廠投入，Palo Alto Networks如今也跟進，公布其AI安全管理平臺Prisma AIRS，另也宣布收購新創公司Protect AI。

此外，在5月下旬的臺北國際電腦展（Computex 2025）現場，趨勢科技也展示一項正在研發的資安解決方案，聚焦紅藍隊攻防演練而來，其特別之處是應用數位孿生（Digital Twin）概念來搭建高程度的模擬環境，並用AI扮演紅隊與藍隊來模擬攻防過程，透過此種自動化演練找出企業防禦差距，並回饋到實體環境。

（二）駭客現階段最常將AI用於社交工程攻擊強化

在資安威脅態勢上，攻擊者用AI技術提升網路攻擊的風險，是大家都在關注的焦點。本月我們報導Google Cloud國際資安合作負責人Christopher B. Porter在臺的演說，就是他們揭露實際觀察到攻擊者應用AI的態勢。他強調，儘管外界擔憂生成式AI被用於開發惡意程式，挖掘零時差漏洞來攻擊，或自動化大規模攻擊，但實際上，駭客現在最常用在社交工程手法的強化，因此我們現在所面對更急迫的威脅，是網路釣魚與偽冒行為。同時他也指出，語音偽冒攻擊需要特別關注，不僅因為攻擊成功率更高，還有金融業以語音驗證身分的方式也要改變，因為現在只靠語音驗證已變得不再可靠。

不僅如此，FBI於5月15日也發布這方面的警告，指出有不肖份子正在利用AI技術冒充高級美國官員的身分，以竊取政府官員及其聯絡人的個人帳戶資訊。

（三）SAP NetWeaver漏洞遭多個國家級駭客與勒索軟體組織鎖定

漏洞攻擊威脅持續升高，攻擊者不僅持續針對已知漏洞發動攻擊，每月更不乏零時差漏洞攻擊的情況，以5月而言，再有10多個零時差漏洞攻擊事件傳出，涵蓋微軟、SAP、Ivanti、Fortinet、Commvault等旗下產品，以及Google的 Chromium瀏覽器專案等。

當中最受關注的消息是SAP NetWeaver的漏洞CVE-2025-31324、CVE-2025-42999，因為通報前項漏洞的資安業者ReliaQuest指出，這是CVSS滿分漏洞，已有攻擊者在受害伺服器植入Web Shell，半個月後又有通報後項漏洞的資安業者Onapsis指出，其實駭客在今年1月就串聯這兩個漏洞來發動攻擊。

不僅如此，相關攻擊活動也不斷被揭露，讓攻擊者身分浮上檯面。例如，資安業者Forescout發現中國駭客Chaya_004在4月底利用上述漏洞部署後門程式SuperShell，主要鎖定製造業環境攻擊；還有威脅情報業者EclecticIQ指出，確認有多組攻擊團體大舉鎖定上述漏洞來攻擊，包括3組與中國國安部有關的駭客組織CL-STA-0048、UNC5221、UNC5174，利用漏洞攻擊關鍵基礎設施，還有2個駭客組織（RansomEXX與俄羅斯勒索團體BianLian）也加入漏洞利用行列。

（四）留意合法網域的廢棄子網域管理議題，出現劫持攻擊活動

在最新資安威脅手法方面，駭客劫持合法網域下廢棄子網域的攻擊手法，成為最需警戒的重點之一。因為這種攻擊方式使用合法網域，容易讓使用者降低戒心，並也規避與阻礙資安防護的偵測。

最新又有一起攻擊活動揭露，更是顯現出攻擊者使用DNS劫持方式來做到這類攻擊，呈現更複雜且不同以往的攻擊技術。根據資安業者Infoblox說明，他們一開始發現美國疾病管制與預防中心（CDC）的子網域突然託管數十個涉及色情影片的URL連結，追查後Infoblox將此駭客組織命名為Hazy Hawk，指出該組織是具備DNS專業知識的攻擊者，專門針對高知名度組織的廢棄雲端資源進行劫持。

具體而言，其攻擊方式利用了DNS CNAME記錄的配置錯誤，也就是當CNAME記錄指向的雲端資源已移除或不存在，就形成所謂「dangling」懸空的記錄，駭客透過註冊或控制此資源來劫持網域，而且攻擊者還會利用TDS惡意流量導向系統（TDS），將受害者導向惡意或詐騙網站。

隨著濫用合法網域與廢棄子網域的攻擊手法日益猖獗，這次發現Hazy Hawk的行動，再次提醒企業與組織重視這方面的問題，而且雲端資源同樣要注意。

（五）多起重大資安事件，電信業與零售業遭駭情形最受關注

在重大資安事故方面，以臺灣而言，根據公開資訊觀測站的重大訊息公告，本月有1家上市公司揭露資安事件：遠雄公司因系統異常，導致郵件發送給外部無關人員。

以國際而言，韓國電信業者SK Telecom資安事故更是引發極大關注，因為發生大量USIM等客戶資料外洩情形，恐導致非法製造USIM卡的身分冒用問題。SK Telecom是在4月22日揭露遭駭，一星期後宣布將為2,500萬用戶免費換發SIM卡，到了5月19日公布第二次事故調查結果有更多具體細節曝光，共清查出23臺伺服器受害，發現BPFDoor等25種類型惡意軟體，而且最早的Web Shell被植入時間是在2022年，顯示駭客已經潛伏3年已久。

不只電信業成為駭客鎖定目標，還有多起事件突顯零售等不同產業同樣面臨嚴峻的網路攻擊威脅。例如，在零售業方面，英國接連傳出重大資安事件，包括瑪莎百貨（M&S）、連鎖超市Co-op，以及精品百貨Harrods等都遭遇網路攻擊，疑勒索軟體團體DragonForce所為；還有製造與零售業的可口可樂傳出內部資料遭竊的消息，有兩個駭客組織Everest與Gehenna宣稱竊得資料。

還有兩家業者在自家網站公布資安事故消息，像是運動用品業者Adidas說明客戶資料遭未授權存取，初步研判是從第三方客戶服務供應商入侵；托福、雅思的教育出版業者Pearson表示有未經授權攻擊者存取該公司系統。此外，加密貨幣交易平臺Coinbase向美國SEC提交資安事故報告，不僅揭露用戶資料外洩，並指出海外客戶支援的約聘人員是內賊。

【資安月報】2025年5月，AI資安技術發展動能強勁，從Agentic SOC、資安LLM到紅藍隊攻防演練都有進展

【資安週報】0428~0502，新世代資安維運中心Agentic SOC、資安領域專用LLM發展受關注

【資安週報】0505~0509，第七期國家資通安全發展方案正式出爐，以建構可信賴、安全的數位社會為核心價值

【資安週報】0512~0516，多組中國駭客組織、勒索軟體駭客鎖定SAP NetWeaver漏洞入侵關鍵CI與企業組織

【資安週報】0519~0523，韓國電信SKT揭露已遭滲透將近3年，發現25種類型惡意軟體、23臺伺服器受害

【資安週報】0526~0529，兩大創新技術用於改善資安，防禦方式可望獲得重大突破

【2025年4月，臺灣資安產業蓬勃發展，PQC、零信任、產品資安受矚目，LLM安全風險因應成最新主軸】

【2025年3月資安月報，出現專門鎖定臺灣攻擊的勒索軟體，CrazyHunter攻擊目標從醫院擴大至上市櫃公司】

【2025年2月資安月報，臺灣海纜遭人為破壞、醫院遭勒索軟體攻擊，關鍵CI防護受考驗】

【2025年1月資安月報，國家級駭客的網路間諜攻擊事件不斷，海纜與國家通訊韌性也受到考驗】

【2024年12月資安月報，美國9家電信業遭中國駭客Salt Typhoon滲透，政府呼籲使用全程加密的即時通訊App】

【2024年11月資安月報，身分安全與AI成資安熱點，電信業滲透事件敲響警鐘】

熱門新聞