資安 | iThome

資安

身分驗證服務供應商Okta警告竊取單一登入憑證的語音網釣攻擊活動，傳出是ShinyHunters所為

上週身分驗證業者Okta針對語音網釣攻擊活動提出警告，有資安媒體指出，攻擊者的身分是ShinyHunters，駭客假冒受害企業的IT人員，宣稱要幫員工設置通行金鑰（Passkey）而得逞

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 資料外洩

【資安週報】0112~0116，CrazyHunter備用攻擊工具曝光，可植入停用防毒軟體運作的惡意執行檔

回顧2026年1月第二星期資安新聞，在攻擊事件焦點方面，涵蓋駭客鎖定微軟Windows發動零時差漏洞攻擊，臺灣兩家上市櫃公司發布資安重訊，以及CrazyHunter備用攻擊手法的新揭露：至於防禦發展動向上，還有衛福部公布主權雲政策與八大指導方針，臺灣企業加入FIRST資安應變組織再添6家，同樣引發產業關注

2026-01-19

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 國家級駭客攻擊

【資安週報】0105~0109，臺灣能源業遭受中共網駭情形在2025年暴增10倍，中國APT已形成舉國體制承包商生態系

在2026年1月第一個星期的資安新聞中，主要焦點是臺灣國家安全局情資公司TeamT5杜浦數位安全相繼公布中國駭客威脅態勢；美國NIST發布Cyber AI Profile草案，因能協助組織導入AI並控管資安風險而備受矚目

2026-01-12

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 金融資安韌性發展藍圖

【資安週報】1229~0102，金管會發布「金融資安韌性發展藍圖」，揭露未來4年將擴大及精進的各項推動措施

回顧2026年1月首週資安要聞，金管會發布「金融資安韌性發展藍圖」，規畫2026至2030年間強化金融業防護能力的關鍵推動工作；其他重要新聞焦點還包括：中華電信憑證治理議題持續受關注，MongoBleed漏洞攻擊威脅，以及多款主機板UEFI實作存在缺陷的揭露

2026-01-05

Storm-1152 | 越南 | Outlook假帳戶 | 網路犯罪即服務 | 勒索軟體

微軟破獲建立7.5億個詐騙Outlook帳戶的駭客組織Storm-1152

提供網路犯罪即服務的Storm-1152，專門建立並出售大量Outlook假帳戶，買家包括勒索軟體集團、資訊竊盜或是財務勒索組織

2023-12-15

銀行行動程式 | 金融木馬

全球有1,800個銀行程式遭銀行木馬鎖定

據資安業者Zimperium調查，今年鎖定銀行行動程式的惡意程式數量以及攻擊規模，比去年高了三倍

2023-12-15

臺灣資安主管聯盟 | CISO | 資安長

臺灣資安主管聯盟推動公私協力，簽署資安合作備忘錄

臺灣資安主管聯盟代表157會員企業，與法務部調查局、警政署刑事局與TWCERT/CC簽署資安互助合作意向書，不僅交流資安防護經驗，也有助於提升勒索軟體綁架資料的案件處理效率

2023-12-15

google | AI助理 | Duet AI

Google雲端正式推出程式開發與資安營運專用兩AI助理

Google雲端開發者Duet AI與資安營運Duet AI兩個人工智慧助理正式上線，強化組織開發生產力，以及加快Chronicle中偵測、調查和回應資安事件的速度

2023-12-15

google | Android | 韌體 | Rust

Google應用Sanitizer提升Android行動通訊基頻安全性，但認為改用Rust才是長期解方

Google在Android裸機環境針對C/C++程式碼庫，應用BoundSan與IntSan偵測工具（Sanitizer），提升行動通訊基頻安全性，不過Google還是強調改用Rust程式語言，才能有效減少記憶體安全漏洞

2023-12-14

微軟 | Patch Tuesday | 零時差漏洞 | CVE-2023-20588 | AMD | CVE-2023-35628 | CVE-2023-36019

微軟12月Patch Tuesday修補逾30個安全漏洞

一個源自於AMD晶片、已被公開的零時差漏洞CVE-2023-20588，需要更新軟體平臺才能緩解，促使微軟在12月Patch Tuesday更新了Windows

2023-12-14

CloudFlare | 網際網路 | Log4j

Cloudflare年度報告揭露全球網路流量成長25％，Log4j仍是最受駭客青睞的漏洞

Cloudflare最新2023年網際網路流量趨勢報告顯示，過去一年網路流量成長25％，衛星網路Starlink整體流量成長達3倍，而漏洞Log4j仍是網路犯罪者主要攻擊的漏洞

2023-12-13

烏克蘭 | 電信業 | Kyivstar | 網路攻擊

烏克蘭最大電信業者Kyivstar遭網路攻擊，估計波及數百萬用戶

烏克蘭最大電信業者Kyivstar因網路攻擊導致行動通訊及網路服務全都暫時中斷，官方搶修中並指出尚未發現用戶的個資外洩

2023-12-13

OAuth | 身分驗證 | 挖礦攻擊 | BEC | 微軟

駭客正濫用OAuth應用以自動化攻擊行動

微軟發現有駭客企圖透過網釣及密碼潑灑攻擊，入侵具備編輯OAuth應用權限的使用者帳號，再利用OAuth應用進一步展開挖礦或商業電子郵件詐騙攻擊

2023-12-13

【資安日報】12月13日，逾1,400臺開源防火牆系統pfSense存在高風險漏洞，有可能被攻擊者串連，遠端在防火牆上執行任意程式碼

資安業者SonarSource提出警告，他們通報的開源防火牆系統pfSense漏洞在開發商提供新版程式後，事隔一個月仍有1,450套系統曝險

2023-12-13

IAM | 雲端權限存取安全控管 | Cloud Privilege Security

CyberArk開拓雲端安全存取應用，落實JIT存取與最低權限

去年5月CyberArk預告推出的雲端安全存取服務，一年後開始上線供應，橫跨三大公有雲強化企業的特權帳號存取管理

2023-12-13

資安月報 | 資安週報 | 資安一周 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 惡意程式 | 零時差漏洞攻擊 | AI詐騙 | 社交工程

【資安月報】2023年11月

2024年即將到來，在2023年11月的資安新聞與事件中，防詐議題成為最大焦點，尤其社交工程手法不斷揉合更多詐騙伎倆，加上生成式AI讓詐騙內容可以更逼真，以及Deepfake與AI語音複製技術已開始用於既有詐騙招式，使得AI詐騙議題備受資安界關注

2023-12-13

Apple | MIT | 端到端加密 | 個人資料

麻省理工學院調查揭露資料洩漏事件暴增，以驚人速度增加又創新高

麻省理工學院（MIT）的個人資料洩漏調查報告指出，2022年資料外洩的事件數量是2013年的3倍，強調組織應該限制可讀格式的個人資料收集量，並採用端到端加密等技術保護敏感個人資料

2023-12-13

【資安日報】12月12日，北韓駭客組織Lazarus利用兩年前的重大漏洞Log4Shell，攻擊VMware桌面虛擬化平臺入侵受害組織

兩年前的重大漏洞Log4Shell傳出再被駭客利用！研究人員揭露北韓駭客組織Lazarus最新一波的攻擊行動，駭客便是利用這個漏洞入侵受害組織

2023-12-12

Akamai | DHCP | Active Directory | DNS Spoofing

Akamai發現微軟DHCP動態更新機制可被濫用於偽造DNS紀錄

Akamai揭露一種針對Active Directory整合DNS環境的攻擊，攻擊者可透過濫用微軟DHCP伺服器的不安全配置來偽造DNS紀錄，進而竊取敏感資料或是將流量導向惡意網站等攻擊

2023-12-12