作者: 趨勢科技TrendMicro

本週資安新聞週報精選熱議事件

在本週的資安新聞週報中，我們看見國際駭客組織動作頻繁，俄羅斯駭客針對歐美政府的間諜行動，同時，AI 在資安領域的應用持續深化，趨勢科技於 Computex 展出多項數位孿生與身分防護技術，並攜手內政部啟動「全民防詐守護戰」，展現公私協力的新模式。除此之外，各類詐騙手法層出不窮，從假親友聲音詐騙到惡意「會議連結」，提醒大眾在數位時代下，資安意識已是生活日常不可或缺的一環。

國際資安威脅與惡意攻擊

• 俄中駭客與勒索行動：
  • 俄羅斯駭客持續針對歐美展開間諜行動
  • 駭客 DragonForce 利用 SimpleHelp 漏洞，攻擊 MSP 與客戶。
  • Agenda 勒索病毒升級武器庫。
  • LockBit 遭反駭，中國駭客入侵製造業、銀行等多產業。
• 公部門受害：
  • 川普幕僚使用通訊軟體遭駭，影響 60 名政府人員。

軟體與系統漏洞

• 漏洞利用與惡意軟體：
  • Node.js Samlify 函式庫漏洞可讓攻擊者冒充管理員。
  • Windows、VMware、Linux 核心皆被揭露重大漏洞。
  • 偽裝為 VPN 或 AI 工具的惡意軟體（ValleyRAT、Kling AI）頻繁出現。

AI 資安應用與產業合作

• 趨勢科技與 AI 資安佈局：
  • 趨勢科技攜手內政部警政署，啟動公私聯防「全民防詐」。
  • Computex 展示 AI 資安新方向與數位孿生應用。
  • 攜手 NVIDIA 建構 AI 資安藍圖。
  • Anthropic Claude 4 強化深度即時思考。

資安產業與供應鏈動態

• 供應鏈與企業防禦：
  • 中國駭客 Earth Ammit、MirrorFace 針對台灣無人機與政府供應鏈發動攻擊。
  • Computex 2025 展出多種硬體資安防護方案，強化身分與端點安全。
  • AI Agent 與開源模型帶來商業與資安雙重挑戰。

詐騙與社交工程

• 詐騙手法整理與防詐行動：
  • 假冒親屬聲音、試藥詐騙、證件領藥詐騙。
  • 台灣 7 天內被騙 20 億元，詐騙手法朝「驗證金流」、「帳戶審查」發展。
  • 假會議連結為新型加密詐騙工具。

資安趨勢部落格精選

• 中俄地下網路勢力連線中！俄羅斯網路犯罪市場如何全面滲透？
• 連「洗腦」都能外包？網路犯罪的黑暗新商機
• Agenda 勒索病毒擴充武器庫，新增 SmokeLoader 和 NETXLOADER強化攻擊能力
• 俄羅斯網路基礎架構成北韓網路犯罪關鍵角色
• LockBit被反駭、中國駭客攻製造業、迪士尼被駭、銀行被罰、微軟急修漏洞！一週資安新聞速報
• 「佯裝女兒感冒聲」、「騙長輩試藥領獎金」、「有人拿你證件領藥」，本週最新詐騙手法整理

本週資安熱點議題，包括中國駭客利用 SAP 漏洞攻擊製造業、勒索軟體 LockBit 遭駭導致內部資料外洩。此外，AI 技術被濫用於入侵事件的風險亦受到關注，例如美國一名駭客利用 AI 繪圖外掛入侵迪士尼。同時，微軟修補了多項零時差漏洞，而某銀行則因個資外洩事件遭金管會重罰。AI 人才需求持續增長，但也面臨人才短缺等問題。新型 AI 詐騙手法針對長輩，企業也開始禁止員工使用部分 AI 工具以防數據外洩。最後，全球專家共同發表了 AI 安全研究的優先事項，旨在推動國際合作與共識。

以下是本週資安十大熱門新聞：

1. 中國駭客利用SAP NetWeaver滿分漏洞攻擊製造業，植入後門SuperShell
   SAP於4月緊急修補的高風險漏洞CVE-2025-31324遭中國駭客持續利用，影響超過千台伺服器，資安業者指出攻擊仍在延續中。
2. 黑吃黑？勒索軟體LockBit遭駭，內部資料外流，包含比特幣地址與管理員密碼
   LockBit聯盟網站被置換，駭客公開大量內部協調對話及管理員密碼，顯示勒索軟體組織本身也成攻擊目標。
3. 趨勢科技打造AI資安「煞車系統」，阻止AI失控成為資安威脅
   趨勢科技推出AI驅動的威脅偵測平台，強化即時資安反應，並推動開放原始碼AI模型促進代理式網路資安發展。
4. 美25歲駭客利用AI繪圖外掛入侵迪士尼，盜取1.1TB資料並恐嚇員工
   事件突顯AI技術被濫用於資安攻擊的風險，駭客面臨長達10年刑期。
5. 微軟修補多項零時差漏洞，包含Windows部署服務及Azure DevOps重大漏洞
   這些漏洞被Play勒索軟體駭客及其他攻擊者積極利用，微軟持續發布安全更新以防範攻擊。
6. 銀行個資外洩，金管會重罰600萬，個資外洩長達4年
   銀行催收信函及信用卡帳單疏失導致個資外洩，引發金融資安監管關注。
7. AI職缺數年增長11%，企業搶人大戰暴露三大問題
   AI人才需求急增，但企業面臨人才短缺、技能不匹配及信任問題。
8. 新詐騙手法頻出，長輩成AI詐騙主要目標，三大網路陷阱需警惕
   詐騙手法升級，結合AI技術，專門針對年長族群進行詐騙，警方及資安專家提醒提高警覺。
9. 微軟禁止員工使用Deepseek工具，防止數據外洩及宣傳內容風險
   反映企業對AI工具可能帶來的資安及合規風險的高度警戒。
10. 全球AI安全研究優先事項發表，逾11國專家共擬三大重點，彌合中美分歧
    新加坡主導國際合作，聚焦AI安全與治理，推動全球資安共識。

資安趨勢部落格精選

• 舊衣回收換現金？賺錢夢碎還倒貼！
• 警方揭密：這些你天天看到的廣告，其實都是詐騙
• Agenda 勒索病毒擴充武器庫，新增 SmokeLoader 和 NETXLOADER強化攻擊能力
• 「佯裝女兒感冒聲」、「騙長輩試藥領獎金」、「有人拿你證件領藥」，本週最新詐騙手法整理
• 三勒索軟體來襲,組織連環中招、AI求職曝信任危機、Azure平台遭非法挖礦、偽更新攻擊Mac用戶…資安新聞上週重點彙整

近期資安新聞顯示，從勒索軟體的創新手法、大規模DDoS攻擊、到AI應用的雙面刃效應，全球資安形勢日趨嚴峻。值得關注的是，駭客正利用各種高階技術，包括惡意擴充功能竊取信用卡資訊、利用IPv6進行中間人攻擊，以及針對開發者配置檔進行大規模掃描。同時，防禦方面也有突破性進展，包括主動式資安策略、AI驅動的威脅偵測系統等。

重點新聞摘要：

1. AI威脅識別升級
   趨勢科技攜手AWS與NVIDIA打造AI驅動的威脅偵測平台，提升即時資安反應力，開啟智慧防禦新紀元。
2. AI求職信任危機浮現
   一名美國大學生用AI通過面試卻被取消錄取，引發企業對AI協助求職的道德與誠信疑慮。
3. 勒索攻擊手法多變，組織連環中招
   Rhysida、Babuk、Fog三勒索軟體接連針對政府與機構發動攻擊，暴露多層資安防線破口。
4. 惡意外掛盜卡案再起
   RolandSkimmer透過瀏覽器擴充功能竊取用戶信用卡資料，提醒用戶慎裝不明外掛。
5. 開源函式庫漏洞全面曝險
   PHP熱門函式庫ADOdb被發現滿分等級漏洞，波及超過280萬套系統，開發者急需修補更新。
6. AI機器人資訊可信度引發警覺
   專家指出AI聊天機器人可能遭惡意訓練污染，並提出四大辨識技巧協助用戶防誤導。
7. 偽更新攻擊Mac用戶
   駭客假冒系統更新包進行攻擊，竊取Mac密碼資訊，社交工程結合技術漏洞再現新型態。
8. 教育機構Azure平台遭非法挖礦
   教育機構Azure租戶遭鎖定，駭客利用工具進行非法挖礦，暴露雲端資源控管漏洞。
9. 165防詐騙提醒
   警方揭密：這些你天天看到的廣告，其實都是詐騙
10. 中國駭客鎖定IPv6協議漏洞
    駭客利用IPv6 SLAAC發動中間人攻擊，揭示新世代網路協定中的潛在安全風險。

資安趨勢部落格精選

• AI使網路陷阱更擬真！三大長輩最容易中招的網路地雷
• 警方揭密：這些你天天看到的廣告，其實都是詐騙
• 房東、租客當心！提防三大租屋詐騙手法
• 俄羅斯網路基礎架構成北韓網路犯罪關鍵角色
• 報稅季警戒、假監理站罰單通知、AI語音模擬…一週詐騙新聞彙整
• 【上週資安新聞週報】三方郵件盡在駭客掌握！進階版 BEC變臉詐騙案例/北韓網攻關鍵：俄羅斯基礎設施/SK電訊爆資安危機！換SIM卡T-money竟歸零