《資安新聞周報 》CLOUDSEC2018 大會主題演講錄影回顧/麥當勞 肯德基相繼被詐騙集團仿冒帳號/IQY惡意軟體嵌入PDF附件檔案

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

👉資安殿堂級專家 Rik Ferguson 剖析最新網路威脅趨勢
👉超過 50 個 AI 應用專案淬煉出的 AI 防禦實戰經驗分享
👉ZDI 漏洞懸賞計畫的第一手攻擊情報
👉從雲端到晶片端安全,哪裡是資安防禦最終淨土?

 媒體資安新聞精選:

怕染毒 台灣今年資安支出218億年增近14%  台灣蘋果日報網

資安事件層出不窮 調研:2019年全球資安支出逾3.72兆    自由時報電子報

修補完成馬上就破功,駭客多次針對VBScript發動零時差攻擊    iThome

果粉變駭客?澳少年入侵蘋果主機超過一年    台灣蘋果日報網

駭客為什麼總愛找飯店碴?        INSIDE

飛利浦心血管儀器軟體爆任意程式碼執行漏洞,恐洩露病患資訊        iThome

全台ATM大當機 排除被駭 自由時報

鎖定金融領域的新惡意程式Marap現身   iThome

手機版Gmail更新!加入「機密模式」時間到了自動銷毀    匯流新聞網

網路時代防駭要有!趨勢企業資安峰會 教你防漏洞妙法      自由時報電子報

趨勢科技ZDI:伺服器安全漏洞多 企業應重視漏洞防禦機制        電子時報

趨勢科技:商業駭客重心從勒索病毒移到攻擊加密貨幣和變臉詐騙    科技新報網

網路奴役 駭客覬覦!簡單3招立自保      三立新聞網

防堵假新聞 中選會找臉書、谷歌四大業者合作      中央廣播電台

驚! 比特幣不明原因 一小時內暴漲400美元!    自由時報電子報

台灣首家交易挖礦加密貨幣交易所「幣必多」8/18啟動上線        經濟日報網

大陸最大宗 虛擬貨幣被盜逾6億元 逮3駭客        聯合報

微軟逐步淘汰Windows Phone 8.x或Windows 8/8.1程式,10月底將不再受理新程式       iThome

台灣大揪伴推CDN服務       經濟日報(臺灣)

針對NFV架構客製化,趨勢科技發表電信網路防護解決方案        MSN台灣

快速回應全型態攻擊 資安託管 企業資安升級轉捩點    經濟日報(臺灣)

貿協搭橋 促台以創新科技合作商機  工商時報

IBM P-Tech 計畫,中學生開始實習,產官學齊力打造新學校        親子天下

PIXNET HACKATHON競賽得獎揭曉 結合雙北市資料成果豐碩        動腦brain

川普的中企封殺令:從5G大戰到「天網」爭霸      聯合新聞網

駭柬大選練兵 中擬亂我年底選舉      自由時報

美期中選舉國安升級 防中俄攻擊      自由時報

中國駭客 入侵美州政府電腦      自由時報

研究:中國駭客以後門程式滲透美阿拉斯加州政府及企業網路    iThome

研究人員再揭PHP反序列化安全漏洞,恐使WordPress曝露遠端程式攻擊風險        iThome

跨行交易一度停擺 金管會要求:7天內提詳盡報告       台灣蘋果日報網

IT頻出包 產促會:金管會應成立「金融科技發展局」  台灣蘋果日報網

Google 資安團隊駭客列出整排 iOS 漏洞,喊話「我也想領獎金」叫陣蘋果 CEO    科技報橘網

Chrome漏洞可能外洩使用者隱私資料      iThome

快起肖!精障駭客癱瘓賣家商場 還害人被「全台」買家告  ETtoday新聞雲

開源電子健康紀錄系統OpenEMR爆數個嚴重漏洞,病患隱私與系統安全拉警報      iThome

趨勢科技發表專為服務企業和家庭使用者的電信網路防護解決方案  全新虛擬化防護能協助高資料量動態網路架構環境降低風險    台灣新論

英特爾 : 新漏洞對一般使用者無顯著影響,已完成相關防禦措施       科技新報網

L1TF漏洞攻擊手法讓雲端服務商動起來,DigitalOcean也提出因應之道     iThome

SIM卡身分被盜!AT&T遭加密貨幣投資者索賠2.24億美元  鉅亨網

利用macOS High Sierra漏洞以虛擬點擊就能繞過安全機制   iThome

 

怕染毒 台灣今年資安支出218億年增近14%  台灣蘋果日報網

Gartner研究總監Siddharth Deshpande表示:「資安主管正努力協助組織以安全的方式使用技術平台,藉以提升競爭力並帶動業務成長。技術短缺的問題一直存在,加上歐盟一般資料保護規則(GDPR)等法規上的變革,都持續帶動資安服務市場成長態勢。」

<回到新聞條列重點>

資安事件層出不窮 調研:2019年全球資安支出逾3.72兆    自由時報電子報

國際調研機構Gartner今日預測指出,2018年全球在資訊安全產品及服務支出的費用將超過1140億美元(新台幣3.4兆元),較去年增加12.4%;預計2019年市場將持續成長8.7%,達1240億美元(新台幣3.72兆元),其中今年台灣資安支出,則可望增長13.9%,達到新台幣218億元,預估2019年將持續增長11.6%,達到新台幣243億元。

<回到新聞條列重點>

修補完成馬上就破功,駭客多次針對VBScript發動零時差攻擊    iThome

別以為有安裝了軟體修補程式,就能高枕無憂。根據趨勢科技與奇虎資安團隊的研究,前者在零時差弱點中,發現了同一組織多次針對VBScript下手的跡象,而且,在上個月微軟發布修補檔案後,次日便出現新的惡意軟體,針對已完成修補的VBScript引擎而來;後者的研究結果,也映證了該軟體弱點被重覆利用的情形。

<回到新聞條列重點>

果粉變駭客?澳少年入侵蘋果主機超過一年    台灣蘋果日報網

澳洲一名年輕駭客,被指多次入侵科技企業龍頭、蘋果公司的內部網路,並下載內部資料,為期超過一年,最後被澳洲聯邦警察(Australian Federal Police,AFP)拘捕。警方在少年其中一部電腦內,發現一個名為「駭客駭駭(Hacky Hack Hack)」的檔案夾。他存取的是否為敏感資料,目前不得而知。

<回到新聞條列重點>

駭客為什麼總愛找飯店碴?        INSIDE

全球 11 個國家的 41 家凱悅飯店支付系統被駭客入侵,大量數據外洩。和中國人有關的是,這次受影響最大的凱悅飯店數量位於中國,共有 18 家,洩露的資訊包括持卡人姓名,卡號,到期日期和內部驗證碼。

<回到新聞條列重點>

飛利浦心血管儀器軟體爆任意程式碼執行漏洞,恐洩露病患資訊        iThome

飛利浦IntelliSpace Cardiovascular心血管影像及資訊管理系統存在兩項漏洞,可導致駭客執行任意程式碼、取得管理員權限,使病患的個人資料、醫療資料外洩。

<回到新聞條列重點>

全台ATM大當機 排除被駭 自由時報

全台ATM(自動櫃員機)跨行交易停擺,經財金公司、IBM公司緊急處理,發現是「IBM大型主機IMS系統異常」,導致跨行交易停擺兩個小時,上午九時後恢復正常,這也是財金公司二○○三年發生全台ATM大當機後,近十五年來再度發生大規模ATM跨行交易當機事件。

<回到新聞條列重點>

鎖定金融領域的新惡意程式Marap現身   iThome

Marap是一個惡意程式下載器,目前發現會自C&C伺服器下載系統指紋模組,能夠蒐集系統的使用者名稱、網域名稱、主機名稱、IP位址、語言、國家等資訊,可能是為未來進一步攻擊作準備。

<回到新聞條列重點>

手機版Gmail更新!加入「機密模式」時間到了自動銷毀    匯流新聞網

Gmail在今年四月進行大更新,除了介面變得更加不同外,還出現了不少方便的電子郵件新功能,其中一項讓使用者相當有感的便是限制收件人轉發、複製信件內容的「機密模式」(Confidential Mode),而Google終於將這項功能從桌面版移植到行動版本中了!

<回到新聞條列重點>

網路時代防駭要有!趨勢企業資安峰會 教你防漏洞妙法      自由時報電子報

資安廠商趨勢科技(東京證券交易所股票代碼:4704),將於明日(8/23)舉辦CLOUDSEC 2018企業資安高峰論壇,今年論壇以「Freedom to Connect」為主題,探討數位轉型,全面連網讓IT與各產業成長的關係更加緊密,趨勢科技全球安全研究副總Rik Ferguson將於會中分享新興科技、法規與IT交互影響,帶給企業的資安風險,以及企業在數位轉型中所應有的資安思維。

<回到新聞條列重點>

趨勢科技ZDI:伺服器安全漏洞多 企業應重視漏洞防禦機制        電子時報

趨勢科技ZDI資安計畫經理Shannon Sabens指出,伺服器的安全漏洞多,且對企業用戶影響大,因此在2018年六大獎勵抓漏洞目標,都是伺服器作業系統。

<回到新聞條列重點>

趨勢科技:商業駭客重心從勒索病毒移到攻擊加密貨幣和變臉詐騙    科技新報網

去年是勒索病毒發威的一年,而今年加密貨幣蓬勃發展,其中流動的金流相當巨大,利之所驅之下,駭客轉攻加密貨幣是相當合理選擇。趨勢科技資安研究副總裁 Rik Ferguson 認為商業駭客會轉向攻擊加密貨幣區塊鏈的弱點奪取金錢。另外在企業方面要小心變臉詐騙,避免被假冒的公司高層詐取高額金錢。

<回到新聞條列重點>

網路奴役 駭客覬覦!簡單3招立自保      三立新聞網

網路時代眼球經濟、當人人都成為手機、平板和電腦的重度奴役,正是駭客風起雲湧的好時機,面對這個充斥誘惑與小確幸的年代,我們做好抵抗的準備了嗎?

<回到新聞條列重點>

防堵假新聞 中選會找臉書、谷歌四大業者合作      中央廣播電台

中選會日前找來Facebook、Google、LINE、Yahoo四大社群媒體業者開會,中選會主委陳英鈐今天(22日)表示,會中主要是向業者說明選罷法的相關規定,對於臉書目前在美國推行政治廣告認證制度,他希望相關業者能將相關措施也適用於台灣,一起合作防堵假新聞的散播,以維持選舉的公平、公正與公開。

<回到新聞條列重點>

驚! 比特幣不明原因 一小時內暴漲400美元!    自由時報電子報

當紅加密貨幣比特幣價格時常暴起暴落,去年12月曾創下近2萬美元高點,但在上週一度跌破6000美元。根據CoinDesk資料,比特幣匯率在倫敦時間22日凌晨,從6466.50美元突然飆升至6858.61美元(約新台幣21萬元)。

<回到新聞條列重點>

台灣首家交易挖礦加密貨幣交易所「幣必多」8/18啟動上線        經濟日報網

台灣首家交易挖礦交易所-幣必多BITBITDUO,舉辦上線啟動記者會,宣布與秘銀、培根鏈及比特兔結為合作夥伴,記者會星光閃閃,本土天王吳宗憲來支持。幣必多創辦人暨執行長楊俊書表示,幣必多8月18日零時整點正式啟動,將以平台利益共享、手續費返還與用戶自治參與三大特色,吸引用戶使用。

<回到新聞條列重點>

大陸最大宗 虛擬貨幣被盜逾6億元 逮3駭客        聯合報

案發3月30日,西安警方接獲受害人報警,稱其個人電腦疑遭非法入侵,大量比特幣、以太幣等虛擬貨幣一夜之間被洗劫一空,市值超過1億元。

<回到新聞條列重點>

微軟逐步淘汰Windows Phone 8.x或Windows 8/8.1程式,10月底將不再受理新程式       iThome

自10月31日以後,Microsoft Store將不再接受Windows Phone 8.x或Windows 8/8.1程式,但開發人員仍可更新舊程式,而2019年7月1日起,微軟將終止Windows Phone 8.x或更早裝置的程式更新。

<回到新聞條列重點>

台灣大揪伴推CDN服務       經濟日報(臺灣)

台灣大(3045)昨(22)日攜手灰域科技、網創資訊,推出兼顧數據傳輸速度與資訊安全的CDN(Content delivery network,內容傳遞網路)服務。台灣大表示,CDN服務除協助客戶網站加速,也提供DDoS防禦服務及WAF All-in-one解決方案,提升網站存取速度同時加強安全性。

<回到新聞條列重點>

針對NFV架構客製化,趨勢科技發表電信網路防護解決方案        MSN台灣

趨勢科技今天宣佈推出一套專為電信廠商設計的防護產品,能讓電信業者以及服務供應商和雲端廠商妥善保護其電信網路。NFV 架構正逐漸成為今日尖端網路的建構基礎,而這套解決方案是專門針對網路功能虛擬化 (NFV) 架構而客製化。

<回到新聞條列重點>

快速回應全型態攻擊 資安託管 企業資安升級轉捩點    經濟日報(臺灣)

近年來國內外的資安事件頻傳,在萬物互聯、各產業普遍數位化趨勢之下,企業資安的門戶洞開,如何預防資訊設備遭受病毒感染與駭客攻擊,並快速提升資安防護力成了當務之急!面對不斷變形的資安攻擊事件,中信國際電訊CPC主張,擁抱企業級資安管家服務(MDR – Managed Detection and Response)將是企業資安升級重要轉捩點!

<回到新聞條列重點>

貿協搭橋 促台以創新科技合作商機  工商時報

由經濟部國貿局、外貿協會共同主辦的「以色列創新科技國際論壇」昨(22)日舉行,3家以色列指標性科技企業Mobileye、Check Point、Karamba Security來台與會,分享自駕車技術、網路安全及車聯網安全防護等議題,並尋找合作夥伴,貿協也安排國內業者與三家以色列企業進行一對一商業媒合,開啟台以創新科技與應用合作商機。

<回到新聞條列重點>

IBM P-Tech 計畫,中學生開始實習,產官學齊力打造新學校        親子天下

許多中學都開了電腦課。但是資訊科技發展日新月異,如何讓孩子所學跟未來職場接軌,不擔心跟將來所需脫節?IBM在美國與政府、學校攜手進行的P-Tech計畫,讓中學生有薪實習,且有IBM員工當導師,計畫擴展到澳洲,歐洲軟體巨人SAP也有類似計畫。

<回到新聞條列重點>

PIXNET HACKATHON競賽得獎揭曉 結合雙北市資料成果豐碩        動腦brain

今年規模為歷屆最盛大,總共兩百多名駭客好手齊聚,運用PIXNET旗下痞客邦網站以及雙北市政府開放資料,提出多樣化的應用方案;各隊伍以創意及技術力解決民眾生活中各面向議題,成果相當豐碩。

<回到新聞條列重點>

川普的中企封殺令:從5G大戰到「天網」爭霸      聯合新聞網

美國參議院在8月初通過的《2019預算年國防授權法》(NDAA),確立了一些對中企的新禁令。較之去年通過的NDAA,禁止美國國防部、國土安全部採買與使用華為、中興生產的電信設備;今年進一步擴大為禁止所有的聯邦政府機構採買與使用這兩家產品,若已購買並正在使用,則需於5年內逐步淘汰。

<回到新聞條列重點>

駭柬大選練兵 中擬亂我年底選舉      自由時報

「日本經濟新聞」披露,中國企圖模仿俄羅斯,透過網路攻擊操弄鄰國政局;中國網路間諜在利用柬埔寨七月二十九日國會大選做為測試其網路攻擊能力的練兵場後,恐鎖定預定十一月舉行的台灣地方選舉。

<回到新聞條列重點>

美期中選舉國安升級 防中俄攻擊      自由時報

世界各國重要選舉近來頻傳遭國際駭客干擾和干預等情事。美國國家安全顧問波頓十九日接受美國廣播公司新聞網(ABC News)專訪時指出,美方擔心俄羅斯、中國、伊朗和北韓等試圖干預十一月的期中選舉,已著手採取國安防禦措施。

<回到新聞條列重點>

中國駭客 入侵美州政府電腦      自由時報

美國安全研究人員透露,阿拉斯加州貿易代表團五月訪問中國時,中國駭客利用中國清華大學的電腦展開間諜活動,駭進美國能源和通訊企業、阿拉斯加州政府電腦系統。由於中國是阿拉斯加最大出口國,參與貿易代表團的組織受到中國駭客關注,凸顯出美中貿易緊張上升。

<回到新聞條列重點>

研究:中國駭客以後門程式滲透美阿拉斯加州政府及企業網路    iThome

就在美中貿易談判進行之際,研究人員發現,中國駭客近數月來多次以網路後門程式駭入美國阿拉斯加州政府及該州電信、能源公司網路進行弱點掃瞄,企圖刺探情資。

<回到新聞條列重點>

研究人員再揭PHP反序列化安全漏洞,恐使WordPress曝露遠端程式攻擊風險        iThome

2009年曾有研究人員揭露PHP反序列化潛藏的風險,最近英國資安公司Secarma再揭露PHP的反序列化漏洞,成功開採該漏洞,可攻陷WordPress與Typo3內容管理平台,執行遠端程式攻擊。

<回到新聞條列重點>

跨行交易一度停擺 金管會要求:7天內提詳盡報告       台灣蘋果日報網

財金公司今日上午系統出包,造成1小時餘全台銀行跨行交易停擺,由於財金公司的核心業務就是「處理銀行間跨行交易」,且過去也未曾發生類似事件,引起金管會銀行局高度矚目,金管會銀行局副局長莊琇媛,要求財金公司必須在7個工作天內提出詳盡報告,屆時再視情況決定是否需要祭出懲處。

<回到新聞條列重點>

IT頻出包 產促會:金管會應成立「金融科技發展局」  台灣蘋果日報網

金融機構代管普羅大眾的錢,如銀行拿存款戶的資金去放款、壽險拿保戶的錢去投資,在防護上應達「最高安全」等級,但近年如一銀ATM遭盜領、遠銀SWIFT系統遭駭,台企銀、合庫、郵局都爆出ATM當機事件,顯示金融業在資訊系統、資安上升級刻不容緩,中華金融科技產業促進會便建議,金管會應加強對資訊科技的要求,可透過成立「金融科技發展局」等作為,讓台灣的金融業加速升級。

<回到新聞條列重點>

Google 資安團隊駭客列出整排 iOS 漏洞,喊話「我也想領獎金」叫陣蘋果 CEO    科技報橘網

Google 旗下頂尖駭客 Ian Beer,在推特上貼出他多年來找出的 iOS 漏洞,更向蘋果 CEO 提姆.庫克要求,「能否幫我把找的漏洞換獎金,捐給慈善團體呢?」叫陣意味十足。

<回到新聞條列重點>

Chrome漏洞可能外洩使用者隱私資料      iThome

駭客可以先建立限制存取的臉書文章,並打造一個含有惡意影片或聲音標籤的網站,當用戶同時造訪臉書、惡意網站,就能經由傳送一個測試請求,偷偷建立Chrome用戶的個人檔案。

<回到新聞條列重點>

快起肖!精障駭客癱瘓賣家商場 還害人被「全台」買家告  ETtoday新聞雲

擁有資訊碩士學歷的薛男,專挑網拍賣家下標購物,收貨後再以各種理由拒絕付款,還威脅賣家要付他30萬!台北市一名賣家傻眼,當然不妥協,沒想到其網路商場慘遭入侵。

<回到新聞條列重點>

開源電子健康紀錄系統OpenEMR爆數個嚴重漏洞,病患隱私與系統安全拉警報      iThome

Project Insecurity在2018年7月7日通報漏洞給OpenEMR,OpenEMR官方就推送了漏洞補丁更新,修補身分驗證旁路、SQL資料隱碼、遠端程式碼執行以及任意檔案操作等漏洞。

<回到新聞條列重點>

趨勢科技發表專為服務企業和家庭使用者的電信網路防護解決方案  全新虛擬化防護能協助高資料量動態網路架構環境降低風險    台灣新論

全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布推出一套專為電信廠商設計的防護產品,能讓電信業者以及服務供應商和雲端廠商妥善保護其電信網路。

<回到新聞條列重點>

英特爾 : 新漏洞對一般使用者無顯著影響,已完成相關防禦措施       科技新報網

日前,處理器大廠英特爾 (Intel) 再被爆出處理器的漏洞事件,影響到多款旗下的處理器。對此,英特爾 16 日指出,這個稱為 L1TF 的新漏洞,對於一般用戶的處理器並沒有顯著的影響;而且也對相關的更新程式進行處理,將相關的影響降到最低程度。

<回到新聞條列重點>

L1TF漏洞攻擊手法讓雲端服務商動起來,DigitalOcean也提出因應之道     iThome

DigitalOcean的公告也引起企業用戶的討論,不少使用者在該討論串向DigitalOcean提議,未來該公司虛擬機是否可採用AMD處理器。而該公司則回應,現階段並沒有採用AMD處理器的計畫。

<回到新聞條列重點>

SIM卡身分被盜!AT&T遭加密貨幣投資者索賠2.24億美元  鉅亨網

一名美國加密貨幣投資者指稱因手機帳戶身份被盜用,失去價值 2380 萬美元 的加密貨幣 (Token),憤而控告手機服務商 AT&T(T-US) 業務疏忽,索賠 2.24 億美元。

<回到新聞條列重點>

利用macOS High Sierra漏洞以虛擬點擊就能繞過安全機制   iThome

研究人員發現結合漏洞,駭客可以虛擬點擊方式繞過合成點擊的安全機制,可執行不受信賴的軟體,而不需要使用者點滑鼠。研究人員曾向蘋果通報這個漏洞並獲得修補,但現在發現該漏洞再次出現。

<回到新聞條列重點>