在2025年10月第五星期的資安新聞中,針對關鍵CI的威脅態勢值得特別留意,加拿大網路安全中心10月29日示警,近期發生多起水利與能源設施遭受干擾事件,包括水廠的水壓數值遭竄改,石油天然氣的自動油槽量測系統ATG被操控,還有農場的穀物乾燥塔溫濕度也被修改,顯現駭客正鎖定可直接連網的工控系統進行操弄的態勢,我們呼籲各界強化監測與存取控制。
AI瀏覽器的安全議題也備受關切!隨著OpenAI新發表瀏覽器Atlas,資安廠商NeuralTrust隨即揭露該瀏覽器存在弱點,指出其多功能網址列(Omnibox)可遭受越獄攻擊,原因是未對可信任使用者輸入和不可信賴內容設下嚴格界限,導致攻擊者可將指令偽裝成URL輸入Omnibox,使Atlas誤判並自動執行惡意指令。
在其他重要威脅態勢方面,我們將重點關注社交工程攻擊與勒索軟體兩大類型,整理重點如下:
●數位發展部資安署警告,根據最新資安月報顯示,社交工程與資訊蒐集類威脅已占三成以上,提醒全民提高資安警覺。資安署強調,駭客常以社交工程郵件植入後門程式,並利用深偽(Deepfake)技術製造錯誤資訊詐騙民眾。
●CheckPoint指出,攻擊者盜用YouTube頻道帳號,上傳假破解軟體教學影片,引誘使用者下載暗藏竊資軟體的假破解工具、假外掛工具,今年這類社交工程詐騙是往年的3倍。
●勒索軟體Qilin攻擊事件大增,思科指出今年6月與8月攻擊者都聲稱有接近100家遭駭,受害數量明顯攀至高峰,且其入侵過程會濫用Cyberduck開源工具。
●崇越科技發布資安重訊,說明部份資訊系統遭受駭客網路攻擊,發現有不明人士於23日入侵伺服器主機,並將資料加密,導致系統無法使用。
這一星期還有多起國家級駭客、商業間諜活動的揭露,其中三起事件,同樣突顯駭客利用社交工程手法誘騙受害者上當的威脅。
●經常鎖定臺灣的中國駭客組織UTA0388,開始嘗試濫用AI從事攻擊,資安業者Volexity指出,今年6月該組織針對北美、亞洲和歐洲發動魚叉式網釣,謊稱相關內容來自資深研究員和分析師,目標是透過社交工程傳遞有效酬載GoverShell。
●開源滲透測試框架AdaptixC2其實為駭客開發,資安業者Silent Push揭露攻擊者以社交工程詐騙假冒合法紅隊工具,誘騙研究人員與滲透測試人員下載執行。
●資安業者Koi Security揭露NPM套件攻擊活動PhantomRaven,8月起上架126個惡意套件,以名稱誘導方式欺騙開發者安裝這些套件,累計下載逾8.6萬次。
●中國駭客Storm-2603濫用開源資安鑑識工具Velociraptor發動勒索軟體攻擊,思科Talos指出,駭客濫用此工具是為了建立持續存取受害組織網路環境的管道。
●關於今年3月Google修補Chrome零時差漏洞CVE-2025-2783,發現與義大利間諜軟體開發公司Memento Labs有關。
在漏洞利用消息方面,有兩則消息值得留意,包括:達梭系統(Dassault Systèmes)於8月修補製造營運管理軟體DELMIA Apriso的漏洞CVE-2025-6204、CVE-2025-6205,開源Wike系統與應用平臺XWiki修補在今年2月揭露的漏洞CVE-2025-24893,如今發現有攻擊者鎖定未修補用戶攻擊。
此外,本月微軟修補的漏洞CVE-2025-55315,被稱為迄今最嚴重的ASP.NET Core漏洞。後續ASP.NET開發者Andrew Lock解釋其嚴重性,指出問題與Chunk Extensions與chunked transfer encoding對HTTP請求解析過於寬鬆有關,在特定情況下可能造成HTTP請求走私攻擊。
在資安防禦方面,AI資安領域有重要進展,主要體現於解決漏洞問題的面向,這一星期我們報導AIxCC多支隊伍成員於HITCON 2025分享各自的研發經歷,印證2025年不只重視能自動發現漏洞,還同時強調要自動提供漏洞修補方案。在此同時,OpenAI發表可自動找漏洞及寫修補程式的AI代理Aardvark,強調可找出92%的已知與人工引入漏洞,並透露已在多個開源專案找出至少10個CVE漏洞。
另一項重要消息是,壽險公會宣布「理賠服務全程無紙化」正式達成,指出這是多項重要計畫逐步落地的成果,從保險科技聯盟鏈、理賠醫起通、保險存摺到保險業身分驗證中心,特別是其過程導入FIDO身分驗證與電子簽章,讓保戶能線上完成同意與申請。此外,保險經紀人通路如今也正式加入這個生態圈。
【10月27日】微軟發布WSUS緊急更新,起因疑與漏洞攻擊活動有關
上週五出現兩起已知漏洞的攻擊行動而受到各界關注,其中,最引人矚目的是Windows Server Update Services(WSUS)重大漏洞CVE-2025-59287被利用的情況,這起漏洞利用活動讓人注意的原因,在於微軟更新公告內容,要求IT人員儘速安裝他們發布的緊急更新。雖然微軟並未說明漏洞是否遭利用,但資安業者Eye Security與Huntress都發現有人用於實際攻擊。
另一個也值得留意的漏洞利用活動,是Adobe在9月修補的重大層級漏洞CVE-2025-54236,這項漏洞存在於電子商務管理平臺Adobe Commerce及Magento,10月22日資安業者Sansec看到有人嘗試利用,並警告全球仍有超過半數的系統尚未修補,而面臨漏洞利用的資安風險。
【10月28日】OpenAI推出的AI瀏覽器存在設計瑕疵,攻擊者可用假網址下達惡意指令
瀏覽器整合AI已是大勢所趨,不僅主要瀏覽器業者Google、微軟、Brave加入戰局,AI業者也推出瀏覽器解決方案來強化影響力,在Perplexity推出Comet之後,上週OpenAI推出了Atlas瀏覽器而受到高度關注。然而,有資安業者發現,該瀏覽器的多功能網址列(Omnibox)設計存在問題,使得攻擊者可將惡意指令偽裝成URL,讓Atlas誤以為是可信賴的文字而執行。值得留意的是,類似的弱點並非Atlas獨有,之前有資安業者成功誘騙Comet到冒牌購物網站,在沒有使用者介入的情況下自動下單。
勒索軟體Qilin的威脅態勢也相當值得關注,原因是這些駭客運用的新手法相當特別:他們在Windows電腦上執行Linux版加密工具,從而躲過防毒軟體與EDR系統的偵測,而且更可怕的是,他們運用同一支加密工具,透過SSH用戶端工具存取Linux主機,進行橫向感染。
【10月29日】勒索軟體Qilin今年6月與8月均聲稱對近百個組織下手
論及勒索軟體威脅,許多人第一個會想到LockBit,也有人可能會想到今年上半犯案連連的DragonForce,然而,與上述兩個勒索軟體結盟的Qilin,他們的活動也不斷出現在近期新聞版面,例如:該組織於8月底宣稱入侵日產汽車旗下設計公司CBI,9月底傳出朝日啤酒遭勒索軟體,Qilin也表明是他們所為。在上週趨勢科技公布這些駭客的攻擊手法後,本週思科威脅情報團隊Talos公布最新調查結果,指出這些駭客曾在6月及8月,都入侵接近100個企業組織,其中又以製造業受害的情況,最為嚴重。
最近兩年的商業間諜軟體活動,相關攻擊多半鎖定行動裝置,但最近有一項Chrome零時差漏洞的調查結果引起關注,半年前發現Chrome零時差漏洞CVE-2025-2783攻擊行動的資安業者卡巴斯基,指出這起事故是一度消聲匿跡的Hacking Team東山再起,他們成立名為間諜軟體開發公司Memento Labs,並發起這波攻擊行動。
【10月30日】NPM套件攻擊行動出現新型態攻擊手法,駭客濫用罕見功能迴避偵測
NPM套件攻擊行動相當氾濫,無時無刻都有事故傳出,然而在一個月前出現會自我散播的蠕蟲之後,本週有新的活動揭露,其中,又以資安業者Koi Security公布的攻擊行動PhantomRaven相當特別,因為攻擊者藏匿惡意程式碼的手法極為罕見,令人意外的是,他們用於存放惡意程式碼的相依套件,存放在自己控制的伺服器,不僅這種套件的資訊不會在NPM網頁顯示,一般的資安掃描工具或是相依性分析工具,都不會分析這個相依套件,並忽略其存在。
另一起攻擊事故也非常引起關注,因為駭客攻擊的範圍涵蓋三大作業系統的開發人員,而且他們對惡意程式碼採取4層混淆處理的手段,竟然在NPM套件儲存庫上架4個月後,才被資安業者Socket發現異狀並進行舉報。
【10月31日】駭客宣稱經營開源專案,實則明目張膽發展網路犯罪工具
駭客濫用滲透測試工具的情況,現在已從商業軟體轉向開源專案,但最近有一種滲透測試框架接連被用於攻擊行動的情況相當不同,有資安業者根據他們掌握的線索進行調查後發現,開發者的身分並不尋常,他曾積極在駭客論壇活躍,而且特別鎖定俄羅斯駭客進行宣傳,換言之,這並非原本用於合法的工具遭到濫用,而是駭客以開源專案掩護打造犯罪工具的事實。
國家級駭客的攻擊行動同樣大幅占據今天的新聞版面,其中,俄羅斯駭客Sandworm旗下團體以寄生攻擊手法,針對烏克蘭企業組織從事網路間諜活動,以及北韓駭客BlueNoroff專門針對Web3和區塊鏈領域,散布惡意軟體的攻擊活動,還有加拿大指出當地的關鍵基礎設施的工控設備,也遭到國家級駭客入侵而影響運作。
熱門新聞
2025-11-10
2025-11-12
2025-11-10
2025-11-10
2025-11-07
2025-11-07