BEC詐騙 | BEC | 能源產業 | AiTM

滲透合作公司員工郵件帳號發SharePoint文件共用信,能源公司遭多階段AiTM網釣與BEC鎖定

最新一波對手中間人攻擊(AiTM)與商業郵件詐騙(BEC)瞄準能源產業而來,揭露此事的微軟指出,駭客事先滲透其他組織可信的電子郵件帳號,然後發送看似正常的SharePoint連結,來啟動整個攻擊鏈

2026-01-27

晶睿 | Vivotek | CVE-2026-22755

生命週期結束的晶睿通訊網路攝影機存在重大漏洞

資安業者Akamai針對晶睿通訊(Vivotek)已終止支援的網路攝影機用戶提出警告,他們找到重大層級的資安漏洞CVE-2026-22755,由於這些設備晶睿不會提供新版韌體修補漏洞,用戶應避免直接對外連線,並儘速更換因應

2026-01-27

資安日報 | 德昌 | 經典國際

【資安日報】1月27日,金管會資安監理政策2026年六大新重點

去年底金管會發表了未來四年金融資安監理的新政策框架「金融資安韌性發展藍圖」,其中最值得留意的地方,是有部分政策就在2026年正式發布,亦有部分即將在2027年實施,企業必須現在就著手準備,屆時才能因應

2026-01-27

Pwn2OwnAutomotive | 車用資安 | 電動車 | 充電樁 | 零時差漏洞 | 資安競賽 | ZDI | 趨勢科技

Pwn2Own Automotive 2026落幕,電動車充電樁成最大攻擊面

由趨勢科技旗下ZDI主辦的漏洞挖掘競賽Pwn2Own Automotive 2026結果出爐,研究人員實測攻擊車載系統與電動車充電樁,一共發掘出76個零時差漏洞

2026-01-27

全球IT大當機 | Global IT Outage

脆弱的IT需要縝密而周延的保護

數位化程度節節高升,固然替整個社會帶來許多便利,然而,我們對於數位服務的依賴度也越高,若公共或大型業者的軟硬體IT基礎架構發生大規模停擺,往往就會嚴重影響許多使用者的生活與工作,2025年這類非網路攻擊造成的大型IT事故頻頻發生,使得民眾越來越重視如何防禦這類IT風險的意識

2026-01-27

微軟 | Windows硬碟加密技術 | BitLocker | FBI

微軟傳曾提供BitLocker復原金鑰給FBI

媒體Forbes揭露,微軟曾依合法搜索票,向FBI提供BitLocker復原金鑰,協助調查案件。引發外界對Windows裝置加密金鑰管理與使用者隱私的關注

2026-01-27

波蘭 | 再生能源 | 俄羅斯駭客 | Sandworm | DynoWiper | Wiper | 資料破壞軟體

俄羅斯國家級駭客Sandworm鎖定波蘭電力產業,利用惡意軟體DynoWiper抹除資料

本月上旬波蘭指出電力系統遭遇近年來最大規模的網路攻擊,資安公司ESET公布調查結果,指出攻擊者可能是俄羅斯駭客Sandworm,作案工具是名為DynoWiper的資料破壞軟體(Wiper)

2026-01-27

北韓駭客 | Konni | AI | PowerShell

北韓駭客Konni利用AI生成PowerShell惡意軟體,鎖定區塊鏈開發人員而來

北韓駭客Konni近期針對區塊鏈開發人員從事攻擊,並首度導入AI生成的PowerShell後門,這代表這些駭客已將AI正式用實際活動,來縮短打造攻擊工具的時間

2026-01-27

微軟 | 數位防禦報告 | 網路犯罪 | 資安人力

微軟發布2025數位防禦報告,臺灣遭網路威脅影響排名全球第十名

微軟揭露2025年全球資安態勢,指出臺灣客戶2025年上半年遭受網路威脅影響排名全球第10,佔全球總量的1.8%。同時也揭露微軟資安人力數,約34,000名全職工程師投入資安工作

2026-01-27

竊資軟體 | 數位防禦報告 | 微軟 | 社交工程 | AI威脅 | 網釣攻擊

微軟揭露AI使網釣點擊率飆升4.5倍,竊資軟體興起亦備受關注

微軟揭露網路犯罪手法的最新演變,指出竊資軟體(InfoStealer)正逐漸成為駭客獲取憑證、進而發動非法登入的關鍵手段之一。與此同時,AI對社交工程與初始存取的強化趨勢日益顯著。根據微軟數據顯示,AI加持下的網釣攻擊點擊率高達54%,較傳統手法的12%高出4.5倍

2026-01-27

VMware | CVE-2024-37079

CISA警告VMware vCenter重大漏洞CVE-2024-37079已遭濫用

CISA警告,2024年公開的VMware vCenter Server重大漏洞CVE-2024-37079,已出現實際濫用情況,自今年1月23日納入已知遭利用漏洞(KEV)清單。該漏洞CVSS達9.8分,恐遭遠端執行程式碼,聯邦政府機關被要求限期完成盤查與修補

2026-01-27

Kubernetes | External Secrets Operator | ESO | 資安漏洞 | CVE-2026-22822

Kubernetes祕密管理工具External Secrets Operator爆重大漏洞,恐跨命名空間外洩身分憑證

External Secrets Operator修補一項風險值9.3分的重大資安漏洞CVE-2026-22822,該設計缺陷恐破壞命名空間隔離,多租戶叢集需儘速檢視與升級

2026-01-27

金融資安監理 | CSIO必看 | 金管會 | 金融資安韌性發展藍圖 | SBOM | API安全

金融CIO和CISO必看!金管會資安監理政策2026年六大新重點

長達四年的金融資安韌性發展藍圖計畫,有多項是2026年就會訂定或實施的新措施,其中有六項,是CISO一定要知道的最新資安監理重點

2026-01-27

資安日報

【資安日報】1月26日,ShinyHunters鎖定Okta、Google、微軟單一登入從事語音網釣

去年犯案連連的駭客組織ShinyHunters,傳出近期再度鎖定多個廠牌的單一登入(SSO)平臺用戶,從事語音網釣(Vishing)攻擊的情況,這起事故最初的揭露,是上週身分驗證業者Okta的一則資安公告

2026-01-26

PyPI | Python套件 | SymPy | sympy-dev | XMRig

惡意PyPI套件仿冒SymPy,鎖定Linux主機投放挖礦程式

PyPI惡意套件sympy-dev仿冒SymPy,攻擊者將惡意程式碼埋入多項式相關路徑,待使用者呼叫特定函式才拉取設定檔,並以記憶體方式啟動Linux ELF載入程式,最終執行XMRig進行加密貨幣挖礦

2026-01-26