| Hugging Face | API漏洞 | LLM | 大型語言模型 | 供應鏈攻擊

Hugging Face API漏洞洩露驗證令牌,可讓攻擊者存取微軟、Meta、Google的AI模型

資安廠商Lasso Security發現AI模型資源平臺Hugging Face的API漏洞,讓該公司研究人員得以控制Meta Llama 2等熱門模型的程式碼儲存庫,也可能讓攻擊者透過污染訓練資料集等手法發動供應鏈攻擊

2023-12-05

| 北韓 | MagicLine4NX | 零時差漏洞 | 供應鏈攻擊

北韓駭客再找供應鏈開刀,安全身分驗證軟體MagicLine4NX遭駭

英國與南韓警告北韓駭客利用南韓身分驗證軟體MagicLine4NX的零時差漏洞,作為攻擊特定目標的跳板

2023-11-27

| 供應鏈攻擊 | Lazarus | ZINC

臺灣多媒體軟體業者訊連科技遭北韓駭客Lazarus發動供應鏈攻擊

研究人員揭露鎖定臺灣資訊業者訊連科技的供應鏈攻擊,駭客針對該公司的軟體基礎設施下手,上傳竄改的惡意安裝程式,這樣的情況也得到訊連證實,他們也說明處理情形

2023-11-23

| 勒索軟體 | 供應鏈攻擊 | 賭場 | 遠端存取漏洞

FBI警告,勒索軟體持續透過供應鏈入侵賭場伺服器

最近賭場業者因勒索軟體引發的資料外洩事件升溫,美國聯邦調查局提醒業者應強化員工對於網釣攻擊的資安概念,並落實強密碼及多因素身分驗證等存取管理機制

2023-11-10

| Okta | 憑證外洩 | 供應鏈攻擊 | CloudFlare | 雙因素身分驗證 | MFA | 實體安全金鑰

Okta支援案件管理系統遭駭客入侵,股價大跌11%

駭客利用Okta外洩憑證存取該公司的支援案件管理系統,取得Okta用戶之一的Cloudflare上傳給Okta的HAR檔案,再利用HAR檔含有的Okta令牌資訊入侵Cloudflare內部的Okta實例

2023-10-23

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊 | 殭屍網路

【資安週報】2023年8月7日到8月11日

本週漏洞利用消息主要是微軟新零時差漏洞與Zyxel路由器的五年前已知漏洞;防禦焦點方面,近日焦點有美國Black Hat與DEFCON 2023舉行,以及美政府將舉辦AI Cyber Challenge(AIxCC)競賽受關注

2023-08-14

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊 | 殭屍網路

【資安週報】2023年7月31日到8月4日

本週Ivanti再有新零時差漏洞修補消息,Citrix在6月修補的一項漏洞也傳遭駭客鎖定;在威脅焦點方面,我們認為IDOR漏洞風險的示警,美國清查各種軍事防禦系統,以及APT31鎖定東歐ICS及關鍵CI的揭露最受關注

2023-08-07

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊 | 殭屍網路

【資安週報】2023年7月24日到7月28日

本週有Ivanti、Apple與Zimbra的漏洞遭成功利用狀況需關注,無線通訊標準協定TETRA的研究與漏洞揭露亦備受關注;在威脅焦點方面,以勒索軟體Mallox鎖定SQL Server受關注,同時Clop與BlackCat又有更多向受害組織施加壓力的行動;此外,上市公司中華汽車、上櫃公司大樹醫藥接連重大訊息公告遭遇網路攻擊事件

2023-07-31

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊 | 殭屍網路

【資安週報】2023年7月17日到7月21日

本週有Citrix與Adobe的漏洞遭成功利用狀況需關注,還有即時通訊服務框架QuickBlox與AMI的基板管理控制器MegaRAC的漏洞修補要留意;在威脅焦點方面,以駭客組織TeamTNT發起的殭屍網路Silentbob攻擊行動,以及善於匿蹤的惡意軟體AVrecon大規模鎖定SOHO路由器的狀況最受關注

2023-07-24

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊

【資安週報】2023年7月10日到7月14日

本週有9個漏洞遭成功利用的狀況需要留意,包括微軟的6個零時差漏洞、蘋果的1個零時差漏洞,以及針對太陽能發電監控系統SolarView  Compact及資產管理工具Netwrix Auditor已知漏洞的鎖定攻擊

2023-07-17

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊資軟體 | 惡意軟體 | 後門程式 | 供應鏈攻擊

【資安週報】2023年7月3日到7月7日

在本週資安新聞中,有兩個涉及Arm Mali GPU的漏洞已被用於攻擊行動須要留意;而在攻擊活動與威脅揭露方面,勒索軟體Lockbit攻擊名古屋港裝卸系統,以及太陽能發電監控系統SolarView重大漏洞遭鎖定成焦點

2023-07-10

| 勒索軟體 | LockBit | 台積電 | 擎昊科技 | RaaS | 網路攻擊 | 資料外洩 | 供應鏈攻擊

【7/4更新】勒索軟體Lockbit聲稱侵入台積電虛驚一場?合作供應商擎昊科技坦承測試環境遭駭,但仍有疑點尚待釐清

勒索軟體Lockbit駭客在6月30日聲稱入侵台積電,對於這樣的狀況,台積電指出已知悉IT硬體供應商遭駭,而被指為真正受害者的擎昊科技也坦承遭駭,而這樣的狀況,不禁讓人懷疑Lockbit搞錯的原因,是不小心搞錯?還是只是想再次引發關注?至於企業該如何防範他們,其實半月前剛好多國網路安全機構發布聯合公告

2023-07-03