瀏覽器整合AI已是大勢所趨,不僅主要瀏覽器業者Google、微軟、Brave加入戰局,AI業者也推出瀏覽器解決方案來強化影響力,在Perplexity推出Comet之後,上週OpenAI推出了Atlas瀏覽器而受到高度關注。然而,有資安業者發現,該瀏覽器的多功能網址列(Omnibox)設計存在問題,使得攻擊者可將惡意指令偽裝成URL,讓Atlas誤以為是可信賴的文字而執行。值得留意的是,類似的弱點並非Atlas獨有,之前有資安業者成功誘騙Comet到冒牌購物網站,在沒有使用者介入的情況下自動下單。
勒索軟體Qilin的威脅態勢也相當值得關注,原因是這些駭客運用的新手法相當特別:他們在Windows電腦上執行Linux版加密工具,從而躲過防毒軟體與EDR系統的偵測,而且更可怕的是,他們運用同一支加密工具,透過SSH用戶端工具存取Linux主機,進行橫向感染。
【攻擊與威脅】
OpenAI打造的AI瀏覽器Atlas存在弱點,Omnibox可被假URL誘發執行惡意指令
OpenAI推出AI瀏覽器Atlas令人矚目,但研究人員發現,此瀏覽器的多功能網址列(Omnibox)可遭到越獄攻擊,執行駭客輸入的惡意指令。
資安廠商NeuralTrust近日發現,Atlas存在設計問題,使其可能遭受新的指令注入攻擊。攻擊者可將指令偽裝成URL輸入Omnibox,使Atlas誤判為可信賴的使用者意向(user intent)文字,而逕自執行惡意指令。
NeuralTrust研究人員指出,Atlas遭到攻擊的主要原因在於,未對可信任使用者輸入和不可信賴內容設下嚴格界限,使其得以設計的手法得逞。研究人員也示範了攻擊方法:只要將指令行最前端加上https,文中並包含網域元素(.com),之後就可以加入自然語言指令。
為迴避偵測,勒索軟體Qilin在Windows電腦使用Linux加密工具犯案
最近幾年,許多勒索軟體駭客組織採取跨平臺的策略,打造能在Linux電腦與VMware ESXi主機加密的工具,不過,近期有駭客組織使用相當罕見的手法,引起資安業者高度關注。
資安業者趨勢科技指出,勒索軟體駭客組織Qilin(Agenda)現在採用Linux版加密程式對付Windows電腦,這種做法挑戰了一般Windows的安全管控機制,因為攻擊者透過遠端管理工具(RMM)執行Linux二進位檔案,端點防護系統通常不會進行偵測與攔截。
由於Qilin從今年初開始已攻擊超過700個企業組織,範圍橫跨全球62個國家,因此該駭客組織的動態及手法,特別值得留意。上述受害組織大部分位於美國、法國、加拿大,以及英國,根據產業類型來看,製造、科技、金融,以及醫療最為嚴重。
以色列資安業者Check Point Research上周揭露了一個鎖定YouTube平臺的惡意活動「YouTube幽靈網路」(YouTube Ghost Network),駭客先取得或接管YouTube頻道帳號,再上傳以破解軟體及遊戲外掛為誘餌的影片,引導受害者下載內含竊資程式的惡意軟體。該活動於2021年即開始運作,至少已上傳逾3,000支惡意影片,是近年來規模最大的YouTube惡意活動之一。
調查顯示,大部分的惡意影片來自於被盜的帳號或是大量新建的假帳號,駭客在這些帳號上傳破解軟體或遊戲外掛的教學影片,再於影片下方的內容描述、留言板或頻道裡的社群功能嵌入短連結,將使用者導向Dropbox、MediaFire、Google Drive,或Google Sites等外部頁面,還會附上密碼以繞過自動掃描。
駭客同時以不同的角色來建立YouTube幽靈網路,張貼影片主要利用盜來的、有粉絲基礎的帳號,繼之利用自動註冊的假帳號來偽造互動,包括貼文、按讚或留下正面評價,吸引不知情的受害者下載。
中國駭客UTA0388鎖定臺灣等亞太地緣政治議題,透過LLM從事網釣,散布惡意程式GoverShell
駭客嘗試濫用AI從事網路犯罪的情況,最近兩年不時有消息傳出,近期有特別針對臺灣相關地緣政治問題的中國駭客組織,他們的活動引起資安業者關注。
資安業者Volexity表示,他們偵測到中國駭客UTA0388自今年6月開始,針對北美、亞洲和歐洲發動一系列的魚叉式網路釣魚活動,主要鎖定涉及亞洲地緣政治問題的企業組織,而且特別關注臺灣議題。該公司起初看到駭客的活動是針對目標組織量身打造,謊稱相關內容來自資深研究員和分析師,目標是透過社交工程傳遞有效酬載GoverShell。根據Volexity的分析,他們推測UTA0388在活動裡廣泛運用ChatGPT在內的大型語言模型(LLM),而這樣的情況,也與OpenAI發布的資安報告互相呼應。
雖然此事廣泛受到國際資安媒體關注,主要原因還是UTA0388大肆濫用LLM打造釣魚信及惡意程式,但我們也注意到,這些駭客鎖定與臺灣有關的企業組織而來。Volexity特別提到這些駭客曾針對臺灣而來,就是今年7月資安業者Proofpoint揭露的UNK_DropPitch。
Oracle EBS資安漏洞CVE-2025-61884追追追!有資安媒體認為在修補前已被利用
10月11日Oracle公布E-Business Suite(EBS)高風險資安漏洞CVE-2025-61884,當時僅有透露該漏洞相當容易利用,若不處理攻擊者可在不需通過身分驗證(輸入帳號、密碼)的情況下,進行遠端利用並存取敏感資源。由於一週前才傳出勒索軟體駭客Clop(Cl0p)附屬團體向EBS用戶發送勒索信,聲稱從這套ERP系統竊得大批資料,疑似利用零時差漏洞CVE-2025-61882而得逞,讓人不禁懷疑,CVE-2025-61884可能也在公布前就遭到利用。
有資安新聞媒體以相當複雜的方式來推敲,認為可能性很高。他們根據Oracle對兩個漏洞的公告內容,以及資安業者watchTowr、CrowdStrike和Mandiant公布的調查結果,並比對修補程式的內容,認為在幾個月前CVE-2025-61884就被用於實際攻擊。
其他攻擊與威脅
◆義大利間諜軟體開發商濫用Chrome零時差漏洞打造惡意程式
◆密碼管理業者LastPass針對最新一波網釣提出警告,駭客藉由帳號繼承為幌子,意圖竊取Passkey
◆針對媒體報導全球1.8億Gmail帳號外洩,Google再度強調用戶都受到保護
◆中國駭客Jewelbug發動供應鏈攻擊,滲透俄羅斯IT服務供應商長達5個月
◆APT駭客Bitter透過WinRAR零時差漏洞從事攻擊,藉由惡意Word檔案竊取資料
【漏洞與修補】
威聯通警告旗下備份軟體受到ASP.NET Core近滿分漏洞影響
微軟在10月例行更新(Patch Tuesday)當中,修補ASP.NET Core風險值接近滿分的資安漏洞CVE-2025-55315,取得低權限的攻擊者有機會藉由HTTP請求走私(Smuggling)手法觸發,CVSS評分達到9.9,相當危險,現在有網路儲存設備業者警告,他們旗下的應用程式也受到這項弱點影響,呼籲用戶儘速採取行動。
10月24日臺灣NAS廠商威聯通(QNAP)發布資安公告,由於公用程式NetBak PC Agent須搭配ASP.NET Core元件才能運作,受到CVE-2025-55315的影響,若NetBak PC Agent用戶未更新該元件,有可能會面臨CVE-2025-55315帶來的資安風險,因此,他們呼籲用戶儘速處理。這支威聯通提供的代理程式,主要用途是讓用戶將Windows電腦或伺服器的資料備份到NAS設備。
威聯通指出用戶可透過兩種方式更新ASP.NET Core,一種是直接從微軟下載10月14日發布的8.0.21版進行升級;另一種是將NetBak PC Agent解除安裝,藉由重新安裝NetBak PC Agent的流程,一併升級ASP.NET Core。
【資安產業動態】
聯合國毒品及犯罪辦公室(Office on Drugs and Crime)上周宣布,已於越南河內開放聯合國成員簽署全球第一個預防與應對網路犯罪的《聯合國打擊網路犯罪公約》(UN Convention against Cybercrime),並已有72個國家簽署,以加強各國對於網路犯罪的集體防禦能力。
該公約列出了各種網路犯罪類型,包括非法存取ICT系統、非法攔截公開傳輸的資料、干擾電子資料或ICT系統、濫用助長相關罪行的裝置、與ICT系統相關的偽造/竊盜/詐欺、兒童性剝削、未經同意傳播親密圖像,以及涉及上述犯罪的洗錢行為等。
聯合國認為,此一公約替國際合作鋪平了道路,包括在必要時處理雙重犯罪,以及合作國家之間的協調行動。
近期資安日報
【10月27日】微軟發布WSUS緊急更新,起因疑與漏洞攻擊活動有關
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15