【資安週報】1103~1107，普發現金萬元開跑，財政部封假冒網站並提醒國人務必識別政府網域

回顧2025年11月第一星期的資安新聞，首要焦點是財政部的示警，指出普發現金政策自11月5日開放預先登記，但在此之前幾日，網路上出現假冒財政部的網站，為了防範國人受騙，財政部已要求IASP與ISP業者停止解析與啟動封鎖，並提醒民眾需務必識別政府正牌的網域。

安永會計師事務所資料庫雲端備份曝險的消息，是本星期最多人關注的新聞，通報此事的資安業者Neo Security指出，研究人員發現一個容量達4 TB的SQL Server BAK檔案暴露在網際網路，追查後確認該資料庫屬於安永。研究人員提醒，即便是具備完整資源與專業能力的大型組織，也可能因設定疏漏而意外暴露SQL Server資料庫備份檔案，其他企業與機構應引以為戒，檢視自身配置安全問題。

在資安威脅態勢方面，有3類攻擊活動值得重視，涵蓋涉及運輸物流、業務外包（BPO）產業的最新攻擊態勢，以及多項針對VS Code開發人員的攻擊行動。

●運輸物流業者注意！資安業者Proofpoint揭露鎖定運輸物流的攻擊行動，指出這類網路犯罪活動在全球各地都會發生，在攻擊手法上，濫用合法遠端管理工具（RMM）是主要關鍵，攻擊目的不是單純竊取資料，而是竊取帳號與相關權限並偽造運送單、改變配送，最終使實體貨物被竊走並轉售牟利。
●美國業務外包知名業者Conduent通報資料外洩事件，說明今年1月發現遭入侵，調查後發現去年10月即遭非法存取。恰巧的是，資安業者Palo Alto Networks揭露一樁國家級駭客攻擊行動CL-STA-1009，是鎖定業務流程外包業者從事供應鏈攻擊，並使用Airstalk惡意程式竊取瀏覽器中Cookie等敏感資料。
●經常使用VS Code延伸套件市集的開發者注意，近來有3起活動受關注：（一）有攻擊者偽冒知名套件solidity，當下載量達1.4萬次後，於新版中暗藏遠端存取木馬SleepyDuck；（二）出現名為susvsex的惡意套件，作者聲稱具勒索軟體功能，但微軟竟然沒發現其中有問題而允許上架一段時間，因而引發關注。（三）發現OpenVSX與VS Code市集出現GlassWorm，攻擊者並以人眼無法辨識的Unicode特殊字元來規避傳統程式碼審查。

至於其他重要威脅態勢，有3則新聞突顯攻擊者不斷發展新的攻擊手法，也持續沿用舊有攻擊模式。
●資安業者Bitdefender與喬治亞電腦緊急應變中心（CERT-GE）示警，俄駭客私建輕量Linux VM偽裝WSL子系統，混淆資安監控。
●發現新的惡意軟體家族PromptFlux與PromptSteal，會在執行階段調用LLM，Google威脅情報團隊指出，攻擊者透過與Gemini API互動按需生成並混淆惡意程式碼，以迴避特徵碼偵測，而非將惡意行為寫死於程式碼中。
●澳洲網路安全中心（ACSC）示警，有攻擊者持續鎖定兩年前思科IOS XE滿分漏洞攻擊，植入名為BadCandy的惡意程式。

在資安事件方面，有一家臺灣上市公司發布資安重訊，11月4日我們注意Radar勒索軟體組織宣稱福貞控股是受害者，追查後，上市公司福貞-KY已在前一天傍晚7點公告，說明子公司福建福貞金屬包裝發生網路資安事件，有部分資訊系統遭受駭客網路攻擊。國際間，日本財經媒體《日經（Nikkei）》揭露資料外洩，說明發現一名員工電腦感染病毒，導致公司Slack遭未經授權的外部人士登入，可能有1.7萬人的電子郵件與對話記錄受影響；南韓現代汽車旗下IT供應商AutoEver America公告今年稍早內部系統遭駭，外洩資料包含姓名、社會安全碼與駕照資料等。

至於漏洞利用消息方面，Gladinet在10月中修補企業檔案同步共享平臺CentreStack與TrioFox的漏洞CVE-2025-11371，資安業者Huntress指出此前已有攻擊活動，是一起零時差漏洞攻擊事件，至少3家客戶成為目標；Linux開源面板Control Web Panel在6月修補漏洞CVE-2025-48703，如今發現已有攻擊者鎖定利用情形。

還有DNS伺服器軟體BIND修補的3項高風險漏洞值得注意，Shadowserver基金會發現，修補釋出一星期後，仍有6千多臺伺服器尚未修補，臺灣也有71臺。

在資安防禦方面，國內有兩則重要消息公布，一是我們報導LINE與刑事局今年6月聯手打詐，揭露LINE如何分析警方依法提供的高風險門號資料，如何克服挑戰找出涉詐帳號，並且減少誤封正常帳號；另一是資安院新推動的資安漏洞獵捕計畫，已有11家臺灣電子產品製造品牌廠商報名，並提供700萬元漏洞懸賞獎金，如今將邁入紅隊報名階段。

產業間也有3個重要消息，包括：GitLab 18.5發布，最大特色是導入全新Duo Planner與Duo資安分析代理來強化DevSecOps運作；蘋果發布多項產品的安全更新，其中有5項漏洞的通報，是來自Google旗下AI資安代理Big Sleep，顯現AI協助發現漏洞的成果持續增加；甲骨文（Oracle）預計於明年4月終止MySQL 8.0的生命周期，專家提醒升級8.4版或尋求第三方取得延伸支援來因應。

【11月3日】澳洲尚有超過150臺思科IOS XE路由器遭BadCandy入侵

兩年前的資安漏洞造成的災情，迄今仍尚未完全緩解！上週澳洲網路安全中心（ACSC）指出，利用思科網路設備作業系統IOS XE滿分漏洞CVE-2023-20198滲透路由器的惡意程式BadCandy，迄今當地仍有約150臺設備感染，雖然相較於兩年前漏洞攻擊爆發時超過400臺受害已降低不少，但有些設備在他們通報並清除惡意程式後，又再度遭到感染，呼籲企業要採取相關措施因應。

半年前公布的Windows捷徑檔（LNK）零時差漏洞ZDI-CAN-25373（CVE-2025-9491）近日再度出現在新聞版面而受到關注，資安業者Arctic Wolf發現，中國駭客UNC6384加入漏洞利用的行列，由於微軟表明不會修補這項漏洞，再加上中國駭客攻擊全球外交單位的情況頻傳，這樣的態勢有可能會讓國際局勢變得更加緊張。

【11月4日】新型態惡意軟體濫用OpenAI的API隱匿行蹤

隨著企業組織對於資安越來越重視，駭客也透過以合法掩護非法的策略，隱匿攻擊活動以免東窗事發，其中針對遠端透過C2控制受害電腦的手段，最近幾年最常見的是濫用合法雲端服務來達到目的，但這樣的情況本週出現變化，在今天有兩個相關資安事故消息，其中一個是惡意軟體SesameOp的攻擊行動，駭客運用了OpenAI的特定API來達到目的；另一起事故是惡意軟體Airstalk活動，國家級駭客攻擊行動CL-STA-1009濫用裝置管理平臺Workspace ONE Unified Endpoint Management的API而得逞。

今天新聞當中，鎖定裝置管理平臺下手的現象也相當值得關注，除了前述的Workspace ONE Unified Endpoint Management，本週有資安業者揭露裝置管理平臺Lanscope Endpoint Manager重大資安漏洞CVE-2025-61932被用於實際攻擊的情況，中國駭客組織Bronze Butler用於入侵受害企業組織。

【11月5日】俄羅斯駭客濫用Hyper-V及Linux VM迴避EDR偵測

為了讓攻擊流程順利進行，攻擊者試圖迴避EDR偵測，過往的策略大多都是干擾其運作來達到目的，不過現在有人直接利用Linux執行檔，在無須讓EDR系統停擺的情況下從事活動且不被察覺。在趨勢科技揭露Qilin透過Linux版勒索軟體加密Windows電腦不久，Bitdefender發現，他們追蹤的俄羅斯駭客組織Curly COMrades，也濫用Hyper-V與Linux虛擬機器來達到目的。

另一起與俄羅斯駭客Sandworm（APT44、UAC-0125）的事故，也相當值得留意，因為他們鎖定的目標，是俄羅斯和白俄羅斯軍方，這樣的情況非常不尋常。特別的是，這些駭客透過OpenSSH後門及洋蔥網路（Tor Network）隱匿行蹤，使得攻擊來源更難確認。

【11月6日】Google發布安卓11月例行更新，修補零點擊漏洞受到高度關注

今天有許多消息與資安漏洞有關，其中又以Google發布安卓11月例行更新最受到關注，原因是其中有一個是危險程度最高的資安漏洞CVE-2025-48593，一旦攻擊者成功利用，就能遠端執行任意程式碼（RCE），而且過程中完全不需使用者點擊，儘管Google並未公布其他資訊，不過有資安新聞網站推測，攻擊者很可能透過特製網路封包與側載第三方應用程式的手法來觸發漏洞。

另一項值得注意的消息，是漏洞利用的攻擊行動，駭客鎖定的是微軟在10月例行更新（Patch Tuesday）之後發布額外修補程式的WSUS資安漏洞CVE-2025-59287，資安業者Darktrace已發現相關攻擊行動，其中一起受害組織被植入竊資軟體Skuid。

【11月7日】駭客試圖濫用AI打造能自我進化的惡意程式

駭客濫用AI加速網路犯罪的節奏，已是常態，例如鎖定臺灣等亞太地緣政治議題的中國駭客組織UTA0388，就被OpenAI與資安業者Volexity發現濫用AI從事網釣的情況，但根據最近Google的揭露，這樣的態勢又再往前推進，因為用AI生成作案工具及釣魚信已不足為奇，現在能進一步透過AI促成惡意程式不斷自我更新及進化，目的是躲避防毒軟體持續更新特徵碼的偵測方式。

鎖定Visual Studio Code（VS Code）延伸套件用戶的攻擊行動，也有越來越頻繁的現象，由於這類延伸套件的使用族群，涵蓋採用VS Code與Cursor、Windsurf的開發人員，影響範圍相當廣泛，最近傳出有攻擊者透過VS Code延伸套件市集散布勒索軟體，揭露此事的資安業者Secure Annex提到，這個惡意程式應該也是透過AI生成。