文/羅正漢|2025-10-01發表

在2025年9月資安新聞,關注多項臺灣資安防護相關消息揭露之餘,還有4大威脅焦點同樣值得我們重視,包括企業Salesforce資料遭鎖定突顯語音網釣及供應鏈攻擊的態勢,以及零時差漏洞攻擊、AI機器人及機器狗新興威脅、AI Agent風險與軟體供應鏈攻擊等,還有國內外重大資安事件。以下整理出7大焦點,幫助大家回顧本月重要新聞。

 

(一)臺灣多項資安防護態勢與新舉措

在資安防禦進展上,臺灣有多項重要消息揭露,以下為我們關注的6項:

iThome 2025企業資安大調查的結果出爐,今年資安預算平均金額突破2千萬創新高,而且其占IT預算比例,快要接近1成,顯現企業對資安投入的持續提升。
●《資通安全管理法》修正案於8月29日立法院三讀通過,9月24日總統正式對外公布,以回應國內外資安環境快速變遷的挑戰。
●資安署長蔡福隆在數位政府高峰會上,揭示我國最新資通安全發展,提及各機關應減少繁瑣資安應辦事項要求,增加技術面的處理,並將從明年起推動分級稽核。
●資安院公布推動中小企業與NGO增進防禦的最新成果,包含引進UC Berkeley Cybersecurity Clinic課程課綱,以打造資安健檢團。
●資安院推動臺灣製造商建立產品安全,公布產品資安漏洞獵捕計畫正式開放報名,並強調建立通報產品安全管道、SBOM管理在國際間漸開始成為強制要求。
●國際半導體展資安趨勢高峰論壇舉行,公布臺灣有11家半導體設備商的產品通過實驗室合格性驗證,並正式啟動SEMI E187半導體設備資安認驗證制度。

 

(二)Salesforce用戶的客戶資料遭鎖定:突顯語音網釣、供應鏈攻擊態勢

攻擊者鎖定Salesforce用戶竊取資料,相關事故在上個月頻頻登上新聞版面,到了9月持續有消息傳出,其中美國FBI發布的警報最值得關注,當中針對兩大駭客組織威脅手法示警。首先,UNC6040(ShinyHunters)駭客組織的攻擊是針對其用戶發動語音網釣,以技術支援詐騙手法鎖定企業客服人員騙取權限;另一UNC6395駭客組織的攻擊是針對第三方供應商Salesloft,鎖定其Salesforce整合的Drift應用程式,竊取OAuth token後而入侵。

值得關注的是,關於上述供應鏈攻擊的調查結果,Salesloft後續公布更多詳情,他們指出最早攻擊活動是在今年3月到6月,當時駭客就試圖存取該公司的GitHub儲存庫,最終成功入侵Drift所使用的AWS環境,進而竊取了Drift客戶的OAuth憑證,因此能從客戶環境非法存取與Drift整合的資料。另外,由於持續曝光的受害企業大多位於國外,在我們向Salesforce詢問之後,得知Salesloft Drift的主要服務市場在美國,臺灣並無企業受此事件影響。這些事件再次突顯語音網釣、供應鏈攻擊的危害,仍是駭客持續利用且有效的攻擊手法。

 

(三)零時差漏洞攻擊威脅持續嚴峻

本月多起零時差漏洞攻擊新聞中,思科產品成為駭客的首要目標,有兩則零時差漏洞攻擊消息,一是鎖定IOS或IOS XE的漏洞CVE-2025-20352,另一是鎖定防火牆ASA與FTD系列產品的漏洞CVE-2025-20333、CVE-2025-20362。值得關注的是,這類威脅也擴及客戶關係管理系統(CRM),Sitecore的漏洞CVE-2025-53690亦被駭客先一步挖掘並用於攻擊,目的是植入名為WeepSteel的後門程式。此外,CVE-2025-10585是今年以來第6個Chrome零時差漏洞攻擊,使得Chromium為基礎的多款瀏覽器緊急修補,突顯瀏覽器持續是攻擊者的重要目標。

還有一則漏洞攻擊活動值得國內留意,是郵件伺服器系統Roundcube今年6月公布的重大漏洞CVE-2025-49113,臺灣資安業者TeamT5杜浦數位安全指出,中國駭客組織CamoFei(ChamelGang)自4月就於攻擊行動鎖定該漏洞,目的是植入Godzilla後門程式及RAT木馬Pupy,臺灣亦有教育機構受害。

另外,Apple近來時常對其用戶發出威脅通知,這類通知通常對應利用零時差或零點擊的間諜軟體攻擊,值得注意的是,法國CERT-FR特別提醒民眾不要破壞證據,呼籲收到通知的用戶應立即保存證據,避免自行操作裝置,以利後續調查。

 

(四)新興威脅浮現:AI機器人及機器狗

隨著人型機器人、巡檢機器狗的應用發展浪潮,在全球已有許多國家導入使用,相關資安議題隨之浮出檯面。2025年9月,我們針對「具身AI機器人」資安威脅進行封面故事報導,解析這類具備感知、決策、行動能力的新科技,隨著能力增強,我們必須持續改良其安全性,因為這不僅是技術革新,更是對社會、經濟,乃至國家安全帶來全新考驗的轉折點。

這次報導中,我們解析了具身AI機器人的資安風險,範圍涵蓋AI模型LLM、視覺語言模型(VLM)的保護,ROS系統元件及機器人供應鏈安全性,以及雲地架構挑戰等,同時我們也解析五大攻擊面,包括物理實體、感知器、無線通訊、軟體與雲端應用、AI模型,並說明資安檢核項目發展,希望協助各界建立必要的防護措施,才能更好享受科技帶來的便利。

 

(五)AI Agent風險與軟體供應鏈攻擊成焦點

在資安威脅態勢上,還有兩個值得關注的議題,一是AI Agent風險,另一是軟體供應鏈攻擊。

關於AI Agent風險的最新消息,例如,有研究人員揭露ShadowLeak零點擊攻擊,以及日前Notion 3.0推出並增加AI Agents與MCP的整合功能,有研究人員發現其AI代理可遭間接提示注入操控。此外,還有駭客濫用新推出的AI滲透測試自動化平臺HexStrike-AI,將防禦者使用的資安測試工具,作為其攻擊行動使用的工具;而在AI業者Anthropic發布的每月威脅情報調查報告中,還提及發現有人將AI代理置入攻擊鏈,從事Vibe Hacking活動的情形。

關於軟體供應鏈攻擊的最新消息,熱門套件開發人員遭網釣最受關注,該開發者因為誤信假冒NPM客服寄來的更新憑證釣魚信,導致開發者帳號遭奪取,導致每週下載量達26億次的18款熱門NPM套件被植入惡意軟體。還有發現能植入具大量散播能力蠕蟲的「Shai-Hulud」軟體供應鏈攻擊,2天逾500個NPM套件受影響;以及Nx供應鏈攻擊事件影響擴大,導致6,700多個GitHub私有儲存庫被公開。

 

(六)臺灣重大資安事件

本月臺灣重大資安事故,以上市櫃公司於公開資訊觀測站的公告而言,總計有7則資安重大訊息發布。

●第二週有6起:夠麻吉、政申分別揭露有系統遭駭客網路攻擊;奈米醫材公布子公司遭遇變更股利匯款帳戶的詐騙;智擎指稱官方網站代管廠商遭DDoS攻擊。還有鑫聯大投控代子公司捷元說明其B2B採購平臺遭異常下單,中信金代子公司台灣人壽保險說明因違法保險法及個資法被金管會開罰。
●第三週有1起,致茂揭露資訊系統遭受駭客網路攻擊。
另外,臺灣壽司郎有個資外洩事故曝光,因會員收到他人點數到期通知,該公司表示是系統的發送電子郵件程序出現異常。

特別的是,還有一項需要留意的消息,早在2019年停止維護的搜狗注音輸入法,趨勢科技發現有攻擊者挾持其更新伺服器並註冊網域,對臺灣用戶發動網路間諜行動,散布多種惡意軟體。

 

(七)國際間嚴重資安事故

走出臺灣,國際間有多則重大資安事故消息,有些事故災情相當嚴重,像是車廠停工一個月仍未復原的狀況,其他還涵蓋金融、政府、醫療的事故。在此我們列出6大事件:
●英國車廠Jaguar Land Rover(JLR)9月初發生資安事故,當地有兩座工廠停擺,9月底仍未恢復運作,甚至英國政府計畫將提供資金貸款擔保,避免仰賴JLR的供應商破產,以及JLR與上游廠商的可能裁員風險。
●歐洲多個機場發生航班延誤與取消情形,原因是提供自動化登機和行李處理MUSE系統的Collins Aerospace遭駭,造成櫃臺辦理登機手續混亂,該公司事發一週仍在逐步復原。
●中國「防火長城」爆發史上最大資料外洩事件,也意外曝光其網路審查技術已輸出他國的電信系統與資料中心,例如,緬甸、巴基斯坦、衣索比亞、哈薩克等。
●越南國家信用資訊中心(CIC)遭網路攻擊,駭客組織ShinyHunters聲稱從CIC資料庫竊得超過1.6億筆記錄。
●巴拿馬經濟暨財政部(MEF)揭露遭遇網路攻擊事件,INC Ransom勒索軟體聲稱已竊取其1.5TB的資料。
●巴西醫療軟體供應商MedicSolution傳出遭駭,勒索軟體組織KillSec聲稱是他們所為,此事件並波及多家醫療機構。

 

【資安週報】0901~0905,已棄用的輸入法軟體更新伺服器遭挾持,駭客用於對臺發動目標式攻擊

在9月第一週的資安新聞當中,專門鎖定臺灣的攻擊行動相當特別,因為駭客挾持了不再使用的輸入法軟體更新伺服器從事活動,一旦使用者不慎安裝、使用,數個小時後駭客就會派送惡意程式;另一方面,Salesloft Drift供應鏈攻擊事故有擴大的趨勢,有越來越多企業組織表示,他們的Salesforce系統受到波及,出現資料外洩的情形

 

【資安週報】0908~0912,再有CRM平臺遭駭客鎖定,Sitecore遭零時差漏洞攻擊

在2025年9月第二星期的資安新聞中,多家IT大廠發布每月例行安全更新的公告,揭露與修補近期掌握的弱點,攻擊者盯上CRM平臺Sitecore發動零時差漏洞攻擊也成焦點;國內多家上市櫃公司發布資安重訊,共有6則事件,涵蓋:夠麻吉、政伸、奈米醫材、智擎,以及兩家上市櫃公司的子公司:捷元與台灣人壽

 

【資安週報】0915~0919,中國駭客組織CamoFei鎖定郵件伺服器系統Roundcube漏洞攻擊,臺灣有教育機構受害

回顧2025年9月第三星期的資安新聞,以中國駭客CamoFei積極利用郵件伺服器系統Roundcube漏洞的消息最後矚目,臺灣也有教育機構受害;國際間有兩大威脅態勢,包括DDoS攻擊的殭屍網路規模更擴大,NPM開發者遭攻擊的消息不斷,還有中國「防火長城」爆發史上最大資料外洩事件,並顯現網路審查技術已輸出他國

 

【資安週報】0922~0926,歐洲多個機場發生登機系統遭駭,導致航班延遲或被取消

在2025年9月第四星期資安新聞中,歐洲多個機場的登機系統遭駭的資安事故最受關注,還有「具身AI」機器人的最新威脅探討成為新興威脅焦點;在資安防護上,有關於強化臺灣的中小企業資安防護、提升產品資安的最新消息,資安院將擴大推動健檢團,並推出漏洞獵捕計畫

 

文⊙羅正漢

【2025年8月資安月報,駭客鎖定Salesforce用戶,語音網釣與第三方應用程式成主要破口】
 

【2025年7月資安月報,語音網釣與ClickFIX網釣日益嚴峻】
 

【2025年6月資安月報,中華電信憑證失去瀏覽器信任,以伊戰事引發網路攻擊】
 

【2025年5月資安月報,AI資安技術發展動能強勁,從Agentic SOC、資安LLM到紅藍隊攻防演練都有進展】
 

【2025年4月資安月報,臺灣資安產業蓬勃發展,PQC、零信任、產品資安受矚目,LLM安全風險因應成最新主軸】
 

【2025年3月資安月報,出現專門鎖定臺灣攻擊的勒索軟體,CrazyHunter攻擊目標從醫院擴大至上市櫃公司】
 

 

iThome Security

熱門新聞

Advertisement