資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 資料外洩

【資安週報】0112~0116,CrazyHunter備用攻擊工具曝光,可植入停用防毒軟體運作的惡意執行檔

回顧2026年1月第二星期資安新聞,在攻擊事件焦點方面,涵蓋駭客鎖定微軟Windows發動零時差漏洞攻擊,臺灣兩家上市櫃公司發布資安重訊,以及CrazyHunter備用攻擊手法的新揭露:至於防禦發展動向上,還有衛福部公布主權雲政策與八大指導方針,臺灣企業加入FIRST資安應變組織再添6家,同樣引發產業關注

2026-01-19

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 國家級駭客攻擊

【資安週報】0105~0109,臺灣能源業遭受中共網駭情形在2025年暴增10倍,中國APT已形成舉國體制承包商生態系

在2026年1月第一個星期的資安新聞中,主要焦點是臺灣國家安全局情資公司TeamT5杜浦數位安全相繼公布中國駭客威脅態勢;美國NIST發布Cyber AI Profile草案,因能協助組織導入AI並控管資安風險而備受矚目

2026-01-12

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 金融資安韌性發展藍圖

【資安週報】1229~0102,金管會發布「金融資安韌性發展藍圖」,揭露未來4年將擴大及精進的各項推動措施

回顧2026年1月首週資安要聞,金管會發布「金融資安韌性發展藍圖」,規畫2026至2030年間強化金融業防護能力的關鍵推動工作;其他重要新聞焦點還包括:中華電信憑證治理議題持續受關注,MongoBleed漏洞攻擊威脅,以及多款主機板UEFI實作存在缺陷的揭露

2026-01-05

殭屍網路 | P2PInfect | Redis | 挖礦劫持 | 使用者模式Rootkit | 勒索軟體 | rsagen

專門鎖定Redis伺服器的殭屍網路P2PInfect出現新的攻擊手法,駭客為其加入勒索軟體模組

資安業者Cado針對殭屍網路P2PInfect的攻擊行動提出警告,指出對方重新大幅改寫此殭屍網路病毒,不僅行蹤變得更加隱密,還能藉由勒索軟體破壞檔案

2024-06-27

Rabbit r1 | Rabbit | 新創 | AI裝置 | API金鑰 | 金鑰外洩 | ElevenLabs | Google Maps

AI裝置Rabbit r1遭爆外洩眾多API金鑰

由新創業者Rabbit打造的AI裝置Rabbit r1,上市之後不但功能、介面被科技媒體嫌棄,如今連開發團隊的資安意識也備受質疑,研究人員踢爆其程式碼庫含有許多寫死的API金鑰,將允許任何人讀取Rabbit r1所生成的內容,或竄改Rabbit r1的回應

2024-06-27

漏洞揭露 | 工業控制系統 | 西門子

研究人員針對西門子修補的SICAM設備漏洞提出警告,若不修補有可能被用於針對能源產業攻擊

針對通報的西門子能源工業控制系統SICAM漏洞,研究人員公布相關細節,由於這些漏洞的存在,攻擊者得以從中竊取敏感資料、提升權限、甚至讀取特定的密碼

2024-06-27

漏洞揭露 | 蘋果 | AirPods | Powerbeats Pro | Beats Fit Pro | CVE-2024-27867

蘋果發布AirPods韌體更新,修補藍牙耳機配對漏洞

本週二蘋果發布藍牙耳機AirPods新版韌體,修補身分驗證漏洞CVE-2024-27867,值得留意的是,除了第1代AirPods,其他裝置都可能受到影響

2024-06-27

Nuance | 微軟 | 存取控制 | 內賊 | 資料外洩 | Geisinger

微軟IT管理不當遭利用,離職員工竊取醫院客戶百萬病患個資

微軟收購的Nuance公司一名員工在被解職後,利用Nuance系統的存取控制弱點,竊取使用Nuance服務的美國醫療集團Geisinger病患個資

2024-06-27

LockBit | 聯準會 | HackManac

勒索軟體LockBit聲稱入侵美國聯準會,竊得33 TB敏感資料,但傳出遭駭的實際上是一家銀行

本週勒索軟體駭客組織LockBit聲稱成功入侵美國聯準會,得手超過30 TB資料卻沒有公布部分內容,許多研究人員質疑駭客只是虛張聲勢,如今有資安業者確認,這批資料實際上來自一家名為Evolve Bank and Trust的金融機構

2024-06-27

polyfill.io | Polyfill | 供應鏈攻擊

易主後的polyfill.io被用來執行供應鏈攻擊

知名的Polyfill函式庫polyfill.io在今年2月易主之後,被用來進行供應鏈攻擊,針對嵌入該函式庫的網站植入惡意程式,資安業者呼籲網站管理人員關閉Polyfill,或是改用其它較為可靠的服務

2024-06-26

資安日報

【資安日報】6月26日,惡意軟體沙箱服務業者Any.Run遭到網釣攻擊,所有員工收到內部人員寄來的釣魚信

雲端惡意軟體沙箱Any.Run本週證實,他們的員工遭到網路釣魚攻擊,導致帳號遭到挾持,而這起事故被察覺,則是在一個月後全公司員工都收到類似的釣魚信,才浮上檯面

2024-06-26

WordPress | 外掛程式 | 應用程式市集 | 供應鏈攻擊

5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊,被植入惡意指令碼

資安業者Wordfence針對5款WordPress外掛程式用戶提出警告,指出這些外掛程式近日遭到供應鏈攻擊,它們被植入惡意程式碼並發布到官方市集,後續等用戶下載安裝之後,再藉此控制受害網站,並將其用於增加垃圾索引

2024-06-26

NAS326 | NAS542 | NAS | Zyxel | CVE-2024-29973 | 殭屍網路

兆勤已終止支援的NAS設備再度遭到鎖定,殭屍網路嘗試利用甫公布的漏洞進行滲透

Shadowserver基金會針對兆勤6月初修補的NAS設備NAS326、NAS542設備用戶提出警告,有殭屍網路企圖利用CVE-2024-29973綁架設備,用戶應儘速套用新版韌體或是汰換設備因應

2024-06-26

網路釣魚 | PerfectData

惡意軟體沙箱服務業者Any.Run的員工遭到鎖定,駭客對其發動網釣攻擊

本週惡意軟體沙箱服務業者Any.Run證實全體員工收到內部同仁帳號寄出的釣魚信,起因是一個月前有員工的郵件帳號遭駭

2024-06-26

勒索軟體 | RansomHub | ESXi

勒索軟體駭客組織RansomHub鎖定多種平臺發動攻擊,VMware虛擬化平臺是他們的新興標的

資安業者Recorded Future公布新興勒索軟體RansomHub最新的態勢,指出這些駭客不光針對Windows、Linux電腦,也鎖定VMware ESXi虛擬化平臺下手,而可能對企業組織造成更大的危害

2024-06-26

微軟 | Outlook.com

研究人員聲稱找到可冒充微軟客服向使用者行騙的漏洞,但並未進一步透露相關細節

有研究人員表示,他發現攻擊者可以假冒微軟帳號的資安團隊寄信給用戶的資安弱點,然而,究竟漏洞是出現於雲端電子郵件信箱服務Outlook.com,還是收信軟體Outlook,這名研究人員並未進一步說明

2024-06-26

MOVEit | CVE-2024-5805 | CVE-2024-5806

Progress在6月底揭露與修補MOVEit兩個重大漏洞

MOVEit Gateway與MOVEit Transfer存在身分認證略過的資安問題,Progress本週發布資安公告,說明漏洞成因與解決辦法,導入相關系統的企業與組織應儘快清查所用版本,若處於受影響範圍,請升級至原廠發布的新版本

2024-06-26

組態不當 | 資料外洩

華碩在股市公開觀測站發布重大訊息,證實部分資訊系統參數設定不當導致產品資料曝光

昨天(6月25日)晚間電腦大廠華碩透過重大訊息表示有部分資訊系統參數設定出現問題,造成部分產品資料曝光的情況

2024-06-26