本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一週精選
- Omdia 報告:趨勢科技揭露了 60% 的漏洞
不單只是再度取得 100% 偵測率的成績:MITRE ENGENUITY ATT&CK - 「旅遊小幫手」?「存款大扒手」! FBI 警告:出國旅遊不要做的四件事
- 詐騙也搭AI 熱潮! 黃仁勳帶你飆股賺大錢?警方:小心投資有去無回!
- 《上週資安新聞周報》Polyfill供應鏈攻擊事故受害規模擴大,至少有30萬個網站受害/39億安卓用戶遭駭! 「知名手機品牌」成重災區/俄駭客再出手 微軟信箱又被駭
媒體資安新聞一周精選
泰勒絲演唱會購票個資被駭 遭勒索百萬美元贖金 TVBS 新聞網
全球14.6億iPhone用戶注意!Apple ID網路釣魚攻擊大規模出現 自由時報
macOS 版 ChatGPT 爆出隱私外漏危機 以明碼儲存用戶內容 網路資訊
最新AI詐騙手法偷臉又偷聲!吳淡如遭冒用「合成假廣告」 自由時報
惡意程式FakeBat藉由偷渡式下載植入受害電腦 iThome
⟫延伸閱讀:認識「Drive by download」路過式下載
◎提醒您瀏覽網路時使用防護功能來封鎖有問題的網址,比如 PC-cillin雲端版保護你的裝置對抗偷渡式下載(drive-by download) ➔ 免費下載試用。
Cloudflare推出封鎖AI內容爬蟲的工具 iThome
史上最大規模!近百億組密碼外洩怎麼辦?專家曝3招自保 工商時報
⟫延伸閱讀:台灣人愛用的十大密碼,有九個不用一秒就被破解!「ji394su3」這種台式密碼也不安全
越南線上交易「刷臉」門檻7月生效 專家示警1事不妙 中時新聞網
多國網路安全機構聯手針對中國駭客組織APT40的攻擊行動提出警告,揭露鎖定澳洲發動攻擊的案例 iThome
臺美聯手合作,查獲透過暗網市集Genesis Market購買臺灣民眾個資的嫌犯 iThome
⟫延伸閱讀:30元可買到你的信用卡、影音平台帳號!如何避免你的網銀帳號、社群帳密等個資淪入黑市任人拍賣?
研究人員針對鎖定拉丁美洲的金融木馬Mekotio提出警告,相關攻擊行動大幅增加 iThome
微軟Midnight Blizzard入侵事件也影響美國政府 iThome
電子郵件備份應用程式PerfectData存在高風險,過去一年來已釀成多起攻擊事件 iThome
資安業者SentinelOne發布3年追蹤APT駭客組織的調查,證實勒索軟體具備分散注意力的效果 iThome
趨勢觀察/趨勢科技執行長陳怡樺 防駭升級 保護企業大腦 經濟日報網
生成式AI在資安防護領域上之應用 IEK產業情報網
資訊系統遭駭客攻擊 東元:營運尚無重大影響 自由時報電子報
Google即將開放暗網監控功能予所有用戶 iThome
微軟7月修補143個安全漏洞,包括4個零時差漏洞 iThome
【資安日報】7月10日,微軟發布本月例行更新,修補超過140個漏洞,其中包含4個零時差漏洞引起關注 iThome
專訪》生成式AI模型也會被駭!趨勢科技營運長:AI PC時代來臨,4大解方護資安 今周刊
【資安日報】7月8日,勒索軟體Eldorado同時鎖定Windows與Linux電腦、虛擬化平臺VMware ESXi發動攻擊 iThome
專攻Linux系統的殭屍網路病毒Zergeca浮上檯面!因資安公司攔截到加殼惡意程式,後續有人上傳VirusTotal測試是否能被偵測而曝光 iThome
惡意軟體載入工具GootLoader透過多階段攻擊鏈散布,駭客佯稱提供法律文件範本引誘使用者上當 iThome
研究人員調查polyfill供應鏈攻擊範圍,確認超過163萬臺網站伺服器曝險 iThome
從Computex 2024看AI筆電新樣貌,NPU應用成新關鍵 iThome
混合型企業面臨的四大挑戰 Check Point提出資安長因應之道 電子時報網
【資安日報】7月5日,微軟年初遭俄羅斯駭客APT29入侵事故有新的進展,美國地方政府、軍事單位傳出受到波及 iThome
金融業上雲鬆綁 資安迎利多 鉅亨網
【資安日報】7月4日,歐洲最大雲端服務供應商揭露DDoS攻擊規模與日俱增的現象,並指出大多惡意流量來自MikroTik路由器 iThome
Bittensor:PyPi軟體包漏洞引發駭客攻擊,正與交易平台合作追回資金 knowing
暑假電信優惠看這!台哥大寬頻+5G最低54元 遠傳買新機最高現折1萬 三立新聞網
台灣資安大聯盟成立 助攻本土業者打國際盃 自由時報電子報
行政院宣布通過資安法修正草案 iThome
政院通過資安法修正草案 修正重點一次看 經濟日報網
泰勒絲演唱會購票個資被駭 遭勒索百萬美元贖金 TVBS 新聞網
近年來網路攻擊、勒索的情況日益嚴重,企業和公共機構也成為駭客的主要攻擊目標。根據《衛報》報導,近日一個名為「ShinyHunters」的駭客組織,聲稱其駭得大量泰勒絲「The Eras Tour」巡演的購票者個資,並向知名售票公司「Ticketmaster」勒索數百萬美元贖金,否則將在網路上公開這些資訊。包含泰勒絲在邁阿密、紐奧良等地的演唱會門票資訊,都在本次揭露的名單內。
全球14.6億iPhone用戶注意!Apple ID網路釣魚攻擊大規模出現 自由時報
蘋果對類似的攻擊事件,建議用戶開啟雙重認證。蘋果表示,使用雙重認證有效防止Apple ID帳號被取用,啟用雙重認證後,需要Apple ID密碼和六位驗證碼才能登入個人的 Apple ID帳號。驗證碼將傳送至與Apple ID關聯的電話號碼,或顯示在用戶信任的裝置上。
這次安全漏洞是由EVA Information Security的研究揭發,指漏洞存在於CocoaPods開放原始碼庫中。CocoaPods 被廣泛應用於Apple平台的應用程式,涉及約三百萬個應用程式,已有約十年的歷史。這意味著大量用戶的敏感資料,可能處於駭客攻擊的風險中,此漏洞也可能被用於複雜的供應鏈攻擊,威脅整個生態系統。
macOS 版 ChatGPT 爆出隱私外漏危機 以明碼儲存用戶內容 網路資訊
OpenAI 在 6 月時的 WWDC 宣佈推出 macOS 版 ChatGPT,引起很大迴響,不過安全研究人員發現它有個重大安全問題:它以明碼儲存用戶對話內容,因此若有人能存取用戶電腦就能看光。
最新AI詐騙手法偷臉又偷聲!吳淡如遭冒用「合成假廣告」 自由時報
知名作家吳淡如前段時間在臉書無奈坦言,詐騙是一種本性,「以損害他人來增長自己,獲得某種東西。」怎料昨(4)日,她在社群PO出一張照片表示,新詐騙手法運用AI技術,將她的聲音、影片利用AI來製作,對此讓她相當頭疼。
數發部長黃彥男今天邀Meta共同討論防詐措施,Meta表示,全力支持數發部打詐行動,落實網路廣告平台防詐義務,也會跟數發部建立溝通管道,優先移除高風險詐騙帳號、廣告。
惡意程式FakeBat藉由偷渡式下載植入受害電腦 iThome
資安業者Sekoia針對惡意程式載入工具FakeBat的攻擊態勢提出警告,他們發現相關威脅升溫,是今年第一季駭客偏好用來散布其他惡意軟體的工具之一。
Cloudflare推出封鎖AI內容爬蟲的工具 iThome
生成式AI正夯,推升業者對模型訓練和推論的需求。有的AI業者會明白揭露網頁擷取機器人的存在,但不是大家都如此。例如美國女演員Scarlett Johansson指控OpenAI未經同意使用其聲音整合到個人助理服務,Perplexity則被控冒充合法用戶以擷取別的網站內容。
史上最大規模!近百億組密碼外洩怎麼辦?專家曝3招自保 工商時報
史上最大規模帳號密碼外洩事件突爆,近期一個駭客論壇出現一份「rockyou2024.txt」最新檔案,該檔案包含近100億組用戶帳密資料,恐引發新一波駭客攻擊行動,對此,專家也提出三個方法,防止帳戶資料遭竊。
越南線上交易「刷臉」門檻7月生效 專家示警1事不妙 中時新聞網
越南媒體日前報導,7月1日起,越南民眾透過銀行、電子錢包等數位支付管道進行線上交易、網路轉帳,金額在1000萬越南盾(新台幣約1萬2672元/391美元)以上者須強制執行臉部辨識驗證,外籍人士亦然。《日經亞洲》報導,由於越南是去年全球五大個資最易遭到惡意竊取的網域之一,這項新規引起隱私與個資安全的擔憂。
多國網路安全機構聯手針對中國駭客組織APT40的攻擊行動提出警告,揭露鎖定澳洲發動攻擊的案例 iThome
本週澳洲聯合7個國家的網路安全主管機關提出警告,指出專門鎖定關鍵基礎設施的中國駭客組織APT40攻擊行動升溫,他們也公布其中2起事故的過程,供外界了解這些駭客的犯案手法。
臺美聯手合作,查獲透過暗網市集Genesis Market購買臺灣民眾個資的嫌犯 iThome
2022年10月傳出有人在駭客論壇BreachForums兜售我國的戶政資料,引發軒然大波,後來檢察官起訴一名向駭客購買個資的電腦工程師,該名工程師聲稱因好奇買來比對,臺北地檢署最終判決緩起訴,要求他繳納50萬元給公庫。如今又傳出有人試圖購買臺灣民眾個資的情況。
研究人員針對鎖定拉丁美洲的金融木馬Mekotio提出警告,相關攻擊行動大幅增加 iThome
鎖定用戶銀行帳戶而來的惡意軟體攻擊,最近兩到三年有許多駭客轉移目標,朝向行動裝置下手,但並不代表使用電腦就能掉以輕心,因為最近又有相關攻擊事故升溫的現象。
微軟Midnight Blizzard入侵事件也影響美國政府 iThome
維吉尼亞州、國際媒體署(US Agency for Global Media)以及和平部隊(Peace Corps)等美國政府相關組織,接獲微軟通知要求因應俄羅斯駭客入侵事故,進行密碼更新或弱點修補。
電子郵件備份應用程式PerfectData存在高風險,過去一年來已釀成多起攻擊事件 iThome
上個月發生的惡意軟體沙箱服務業者Any.Run遭到網釣攻擊事件,導致該公司遭到網釣信件攻擊的起因——攻擊者透過備份應用程式PerfectData Software竊取該公司員工電子信箱信件,數個資安研究廠商與研究人員的調查均顯示,在過去一年多來,這款應用程式已造成多起郵件資料外洩導致的攻擊,本身存在著高風險,警告用戶審慎使用這款應用程式。
資安業者SentinelOne發布3年追蹤APT駭客組織的調查,證實勒索軟體具備分散注意力的效果 iThome
研究人員針對中國及北韓駭客攻擊關鍵基礎設施的態勢提出警告,指出最近3至4年這些駭客同時會運用勒索軟體加密檔案,目的是為了進行破壞、清除作案痕證,從而誤導資安人員調查方向。
趨勢觀察/趨勢科技執行長陳怡樺 防駭升級 保護企業大腦 經濟日報網
最近一年,企業應用生成式AI的「企業大腦」成為新商機,企業紛紛打通內部資料庫,以AI跨資料庫生成大量內部知識,AI PC更主打為商業用戶快速生成資訊。趨勢科技執行長陳怡樺指出,在快速生成的資訊中,已經潛藏駭客入侵危機,包括使用者身分認證問題,或是指令傳送過程中就被攔截、以深偽(deepfake)技術產生,企業正面臨效率與資安危機並存的狀況。需要新的安全身分認證,更快有效判斷使用行為,或及早攔阻。
根據最近一份有關網路資安風險的研究指出,有高達半數的新加坡受訪者承認其數位攻擊面正在「逐漸失控」,他們隨時處於救火狀態,無法好好完成自己分內的工作。這些趨勢突顯出企業有必要改變其網路資安方法,也就是:簡化資安堆疊讓資安變得更加流暢。
生成式AI在資安防護領域上之應用 IEK產業情報網
隨著網路威脅不斷演進,資安防護必須與時俱進。在這個數位轉型時代,組織面臨著保護敏感數據、維護網路基礎設施彈性以及抵禦進階持續性威脅等挑戰。生成式AI作為一股強大的力量,為資安防護帶來了革命性的變化。它不僅提高了防禦能力,還為安全實踐帶來了前所未有的機遇。在這個動態的網路環境中,國際大廠正在利用生成式AI打造創新解決方案,重塑資安防護的格局。生成式AI在資安防護方面具有多方面的優勢。首先,它能增強威脅檢測和響應能力。
資訊系統遭駭客攻擊 東元:營運尚無重大影響 自由時報電子報
機電大廠東元發布重訊,表示公司自行偵測到網路傳輸異常,部分資訊系統遭受駭客攻擊,隨即啟動資安防禦與復原機制,目前系統陸續恢復,評估對公司營運尚無重大影響。
Google即將開放暗網監控功能予所有用戶 iThome
Google近日宣布,原本隸屬於Google One付費服務的Dark web report功能將在今年7月底開放所有用戶使用,它將被整合到允許使用者移除搜尋結果個資的Results about you中。
過去十年來,全球網路攻擊不僅大幅增加,其影響力也日益擴展,對企業和政府構成重大挑戰。根據IBM X-Force戰略威脅分析經理Michelle Alvarez的觀察,這段期間最明顯的變化在於攻擊的規模,十年前大規模的資料洩漏事件相對較罕見,但現今卻司空見慣。這些攻擊手法越來越複雜且有組織化,對整個社會造成深遠的影響。
微軟7月修補143個安全漏洞,包括4個零時差漏洞 iThome
微軟 7月Patch Tuesday修補的漏洞中,包含一項已遭利用的零時差漏洞CVE-2024-38080,可讓駭客取得Windows Hyper-V系統權限,資安專家則警告這項漏洞容易被駭客用來執行勒索軟體攻擊。
【資安日報】7月10日,微軟發布本月例行更新,修補超過140個漏洞,其中包含4個零時差漏洞引起關注 iThome
本週二微軟發布7月份例行更新(Patch Tuesday),總共修補143個漏洞,而這是在今年4月修補近150個漏洞之後,該公司再度於例行更新公布大量漏洞的情況。
專訪》生成式AI模型也會被駭!趨勢科技營運長:AI PC時代來臨,4大解方護資安 今周刊
趨勢科技營運長Kevin Simzer接受今周刊專訪時,指出AI PC發展帶來許多挑戰,例如資料留在裝置端的洩漏風險、設備或內網的安全漏洞遭到惡意竊取、使用者在不知情的時候被誤導洩露個人資訊等。,保護使用者避免風險。Smizer表示,「我們是少數同時利用AI,也保護AI運作環境的公司。」趨勢科技今年針對AI PC推出新服務,如AI App防護、AI 惡意內容防護、零信任方案ZTSA、針對資料中心推出的Trend Vision One SPC等,保護使用者免於因AI遭濫用而產生的風險,並在既有及全新的產品和服務中導入AI。
【資安日報】7月8日,勒索軟體Eldorado同時鎖定Windows與Linux電腦、虛擬化平臺VMware ESXi發動攻擊 iThome
最近1年新興的勒索軟體駭客組織不斷出現,但大部分採用已被外洩的LockBit、Babuk開發工具或是程式碼,加以修改就用於攻擊行動,但現在資安業者Group-IB揭露的Eldorado相當不同,對方是自行從頭打造惡意程式,使得他們的惡意軟體不像其他的勒索軟體容易推測其運作特徵,而難以防範。
專攻Linux系統的殭屍網路病毒Zergeca浮上檯面!因資安公司攔截到加殼惡意程式,後續有人上傳VirusTotal測試是否能被偵測而曝光 iThome
有駭客組織經營以Go語言打造的Zergeca殭屍網路病毒,駭客嘗試利用惡意程式檢測平臺VirusTotal進行檢查,打造難以被偵測的病毒程式,已在加拿大、美國、德國造成災情。
惡意軟體載入工具GootLoader透過多階段攻擊鏈散布,駭客佯稱提供法律文件範本引誘使用者上當 iThome
研究人員針對惡意軟體載入工具GootLoader的攻擊行動升溫提出警告,指出駭客組織UNC2565開發新版本,並提供橫向移動工具,企圖吸引其他網路罪犯使用來牟取經濟利益。
研究人員調查polyfill供應鏈攻擊範圍,確認超過163萬臺網站伺服器曝險 iThome
針對polyfill[.]io供應鏈攻擊事故,有資安業者進一步調查指出,若是包含採用polyfill[.]io、polyfill[.]com、bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org惡意服務的網站,受害規模達到163.7萬臺主機。
從Computex 2024看AI筆電新樣貌,NPU應用成新關鍵 iThome
今年臺北國際電腦展Computex的重要看點之一,就是各家筆電大廠正迎向AI新浪潮,展示新世代筆電的不同風貌,我們從現場展示的產品與應用,可以看出兩大不同之處,不只是新產品將具有Copilot實體按鍵,更關鍵是NPU的採用,將讓一些AI應用可以在個人電腦上有更好的發揮,並促進體感操作在個人電腦上變得普及。
混合型企業面臨的四大挑戰 Check Point提出資安長因應之道 電子時報網
採用混合環境勢在必行,Gartner 預估,「2025 年將有超過 50% 的網路防火牆部署需要同一供應商提供兩個以上的部署要素,而此比例在 2023 年還不到 10%。」雖然這種新生態系具備諸多優勢,但也增加了安全防護與管理的複雜性。
【資安日報】7月5日,微軟年初遭俄羅斯駭客APT29入侵事故有新的進展,美國地方政府、軍事單位傳出受到波及 iThome
今年1月微軟察覺遭到別名為Midnight Blizzard、Nobelium的俄羅斯駭客組織APT29入侵,對方自去年11月進行密碼噴濺(password spray)攻擊,存取部分高階主管電子郵件帳號。當時該公司僅透露他們並非駭客的唯一目標,但並未透露受害範圍及其他細節。
金融業上雲鬆綁 資安迎利多 鉅亨網
網路早已是現代人生活中不可分割的一部分,可大幅縮短訊息交流時間與成本,也提升吸收資訊量與帶動商業活動更蓬勃,然而水能載舟亦能覆舟,網路犯罪不僅造成個資、財產的損失,向上還延伸至國家安全與機密外洩等,隨著AI趨勢蓬勃發展,以子之矛、攻子之 盾,罪犯運用AI精進攻擊手法,防禦也必須透過AI協助偵測分析強化,才能更快速而有全方位因應資安事件。
【資安日報】7月4日,歐洲最大雲端服務供應商揭露DDoS攻擊規模與日俱增的現象,並指出大多惡意流量來自MikroTik路由器 iThome
雲端服務業者OVHcloud針對最近一年半的DDoS攻擊的威脅態勢提出警告,指出他們發現超過1 Tbps的大規模攻擊事故變得極為頻繁,平均1天就有一起。
Bittensor:PyPi軟體包漏洞引發駭客攻擊,正與交易平台合作追回資金 knowing
據悉,此次攻擊源自 PyPi 軟體包管理器 6.12.2 版本的一個偽裝成合法 Bittensor 軟體包的惡意程式。當用戶下載該軟體包並解密其冷錢包密鑰後,解密後的字節碼會被發送到攻擊者的遠端伺服器,從而導致資金被盜。 受影響的主要是 5 月 22 日至 29 日期間下載了 Bittensor PyPi 軟體包並進行了轉帳、質押、委託等操作的用戶。
暑假電信優惠看這!台哥大寬頻+5G最低54元 遠傳買新機最高現折1萬 三立新聞網
此外,台灣大寬頻攜「趨勢科技」,只要連上台灣大寬頻網路,電腦、手機、平板等所有家中連網裝置一次全保護。現在申辦 1G 光纖上網方案,即可於合約期間免費使用價值4,320 元的上網防護服務;現有光纖上網用戶亦可享優惠,加辦該服務前 3 個月僅需99 元。
台灣資安大聯盟成立 助攻本土業者打國際盃 自由時報電子報
台灣資安大聯盟今天舉辦啟動儀式,副總統蕭美琴受邀出席表示,資安是5大信賴產業最不可缺少的核心基礎,台灣位處國際地緣政治特別敏感的地方,且是全球高科技產業核心,唯有確保台灣資安,世界的高科技產業才能獲得更多保障,期盼未來業界與政府共同努力,讓台灣成為資安堅韌之島。
行政院宣布通過資安法修正草案 iThome
行政院長卓榮泰表示,本次修正草案的主要目的,將進一步強化國家整體資通安全法律規範,明確化法律位階,促進政府跨機關的合作及區域聯防,有效落實納管機關及關鍵基礎設施的資安管理及防護,並推動資安人員培力機制,解決實務執行落差。
政院通過資安法修正草案 修正重點一次看 經濟日報網
行政院會4日通過數位發展部所擬具的「資通安全管理法」修正草案,該草案修正重點,除明定主管機關及機關權責、未來特定特定非公務機關也將要設置資安長、增訂特定非公務機關對所屬人員辦理資通安全業務之獎勵及懲處等。
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文 ☺️
⭕️ 訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚 趨勢科技PC-cillin雲端版 搭載深度學習AI引擎,不僅可以一次偵測多種病毒、網路威脅,還可即時封鎖異常行為,保護電腦和行動裝置安全,讓你免受變化莫測的詐騙手法之擾,安心享受網路生活。 【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
PC-cillin 讓你的『指指點點』可以開心又安心點!