本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的內容。
資安趨勢部落精選:
- 趨勢科技榮獲2024台灣最佳國際品牌獎第二名 品牌價值連年成長達美金22.04億元
- 揭露鎖定臺灣在內,長期網路滲透政府機關、科技業者的 APT 攻擊集團: Earth Estries
- AI 加持的詐騙新戰場,最新防詐攻略解析
- 《打詐週報》冠軍同款「Team Taiwan黑色帽T」熱銷中?中華隊奪冠詐騙猖獗!小心一頁式網站陷阱
- 《上週資安新聞周報》詐團AI變名人新招破解/LINE詐騙最新手法!6個常見騙錢起手式/ 中國App鑽漏洞上架 騙過App Store上架 台灣業者也遭殃
媒體資安新聞一周精選
嫌蘋果官方 USB-C 電纜貴?小心第三方線材被植入駭客晶片 科技新報網
快更新iPhone! 專家揭1漏洞「大量個資恐外洩」 ETtoday新聞雲
App綁卡驗證防詐 3情況擬豁免 聯合新聞網
還在用生日、電話當ID?LINE官方示警:別用這3組個資 1招可重設 三立新聞網
【資安週報】1202~1206,英國電信業者O2對抗電話詐騙出新招,開發聊天AI阿嬤牽制詐騙 iThome
6成民眾難辨真假網站!趨勢科技推AI防詐App 4大防護全包 三立新聞網
AI深偽「劉德華」詐騙粉絲200萬!如何防?趨勢科技有新工具 遠見雜誌網
IG、Threads出現投資詐騙廣告 刑事局籲年輕族群小心受騙 雅虎奇摩
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
防堵AI語音詐騙!臺科大學生開發「護聲符 APP」辨真偽 今日新聞
趨勢用 AI 帶動數位平台轉型 獲 IT Matters Awards 肯定 經濟日報網
2024臺灣企業加入FIRST國際資安應變組織再添8家,聯發科、鴻騰、威強電、華碩等入列,台新銀行成金融業首例 iThome
全球最大車用資安競賽來了!Tesla 挑戰賽重返舞台,總獎金破百萬美元 三嘻行動哇
趨勢科技品牌價值達22.04億美元 獲國際品牌獎第二名 經濟日報網
獨! 華碩自創「AI Hub」.微星各部門導入AI工具 華視全球資訊網
AI PC 元年,效能與數位資產保障並進 CIO IT經理人
既有問題會越滾越大,AI 時代下企業資安將面臨哪些危機? 科技新報網
比特幣休眠錢包恐遭破解?谷歌量子晶片掀爭論 MoneyDJ 理財網
中國「鹽颱風」駭客出擊 美國高官遭竊聽錄音 華視全球資訊網
中國網路攻擊新趨勢:APT 組織得不到政府預算,出現「白轉黑」現象 INSIDE
【資安日報】12月11日,美國宣布制裁中國資安業者,起因是該公司利用零時差漏洞從事大規模攻擊 iThome
VSCode隧道功能遭到濫用,中國駭客用於遠端存取受害電腦 iThome
【資安日報】12月6日,與中國駭客組織Daggerfly有關的駭客對美國大型企業從事4個月的情報收集 iThome
維吾爾族及圖博人士遭鎖定,駭客搭配漏洞利用攻擊包MoonShine、後門程式DarkNimbus進行滲透 iThome
【資安日報】12月9日,AI模型PyPI套件Ultralytics成駭客散布挖礦軟體的管道 iThome
【資安月報】2024年11月,身分安全與AI成資安熱點,電信業滲透事件敲響警鐘 iThome
漏洞攻擊 Array Networks、Fortinet SSL VPN漏洞被用於散布後門程式,臺灣、日本已有企業因此受害 iThome Weekly電腦報
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證 資安人
ChatGPT 變身殺人武器?OpenAI 協助無人機鎖定獵殺目標,引發道德擔憂 T客邦
微軟發布12月例行更新,修補已遭利用的零時差CLFS漏洞 iThome
視窗作業系統出現NTLM零時差漏洞,引誘使用者透過Windows檔案總管檢視惡意檔案就有機會觸發 iThome
俄羅斯駭客組織BlueAlpha濫用Cloudflare Tunnels發動攻擊 資安人
App綁卡驗證防詐 3情況擬豁免 聯合新聞網
為杜絕刷卡詐騙,針對App綁定信用卡後前三筆消費逐筆驗證,銀行公會日前開會達成新共識,據了解,三種情況可「豁免」,分別是訂閱制的後續扣款交易、交易人已留存卡號資訊,後續交易只要輸卡片背面末三碼確認、詐騙風險較低的交易,目前門檻傾向訂在三千元以下。
駭客組織Earth Kasha以後門程式攻擊多家品牌SSL VPN設備,已有臺灣、日本及印度等地企業受害 iThome Weekly電腦報
這波攻擊背後的駭客組織是中國駭客組織Earth Kasha,之前曾以精準釣魚信件攻擊公立機構和學術單位,主要活動地區在日本。趨勢科技今年初發現,Earth Kasha發展出新的攻擊策略和技倆,從2023年起開始運用企業防火牆軟體漏洞植入後門程式Lodeinfo。研究人員發現,遭到濫用的SSL VPN防火牆漏洞包括Array AG/vxAG(CVE-2023-28461)、Fortinet的FortiOS/FortiProxy(CVE-2023-27997),此外,駭客也濫用了FTP系統Proself漏洞CVE-2023-45727。
還在用生日、電話當ID?LINE官方示警:別用這3組個資 1招可重設 三立新聞網
通訊軟體LINE發出安全性警告,提醒用戶設定LINE ID時,切勿使用電話號碼、身分證字號及出生年月日等個人資料,以免遭有心人士盜用。如果已經設定含個資的LINE ID,每個帳號都有一次重置機會,但必須向客服說明更改原因。
IG、Threads出現投資詐騙廣告 刑事局籲年輕族群小心受騙 雅虎奇摩
小心詐騙!刑事局今天指出,有年輕民眾在 Instagram 及 Threads 上發現打工兼職、輕鬆投資賺錢等相關資訊,不慎受騙上當;研判年輕族群已成為詐騙集團誘騙目標,呼籲民眾留心注意、不要被騙。
快更新iPhone! 專家揭1漏洞「大量個資恐外洩」 ETtoday新聞雲
你的iPhone更新了嗎?資安專家警告,一項影響透明度、同意與控制(TCC)的iOS子系統漏洞恐使駭客竊取大量數據,允許應用程式在未通知使用者情況下,取得包括照片、GPS定位、聯絡人等敏感資料,因此建議用戶立即將裝置升級至iOS 18。
嫌蘋果官方 USB-C 電纜貴?小心第三方線材被植入駭客晶片 科技新報網
有些人可能曾經在昂貴的蘋果官方線材,與價格平易近人的第三方電纜間掙扎過一番,思索著官方電纜是否真的值這麼多錢?現在熱愛利用 CT 掃描儀來進行非破壞性拆解的新創公司 Lumafield 透過一段 CT 掃描畫面告訴大眾,第三方線材可能暗藏著惡意晶片來偷取你的資料。
趨勢用 AI 帶動數位平台轉型 獲 IT Matters Awards 肯定 經濟日報網
趨勢科技以「數位平台導入驅動商業流程轉型計畫」及AI技術導入與功能整合內部系統,成功推動流程與平台轉型,幫助提升營運效率、降低營運開銷,進而創造營業利潤(Operating Margin)成長85%、2023年年度經常性收益(ARR)占總收益比達95%的好表現。
2024臺灣企業加入FIRST國際資安應變組織再添8家,聯發科、鴻騰、威強電、華碩等入列,台新銀行成金融業首例 iThome
臺灣加入FIRST國際資安應變組織的成員,目前已提升至25個,這一年來新增8個,最明顯的變化在於,不僅高科技及電子製造業有更多類型的公司加入,包括IC設計、工業電腦與電腦設備大廠,11月首度有臺灣金融業者宣布成為FIRST會員,顯現更多產業對於供應鏈安全與全球資安聯防的重視。
全球最大車用資安競賽來了!Tesla 挑戰賽重返舞台,總獎金破百萬美元 三嘻行動哇
全球車用資安界的盛事 Pwn2Own Automotive 即將在 2025 年 1 月於日本登場!這場專為挖掘聯網汽車技術漏洞而設計的國際賽事,由 VicOne 和 趨勢科技 Zero Day Initiative (ZDI) 聯手舉辦,吸引世界各地的資安高手報名參賽。
趨勢科技品牌價值達22.04億美元 獲國際品牌獎第二名 經濟日報網
作為亞洲與台灣最大的純軟體公司,趨勢科技是少數年收入超過10億美元的企業之一,自1998年上市以來,截至2023年連續26年保持盈利。獲獎彰顯趨勢科技多年來在全球資安領域的深厚實力,並展現趨勢科技持續以創新技術應對市場需求的前瞻領導力,目前全球也有超過50萬家企業客戶的支持。
獨! 華碩自創「AI Hub」.微星各部門導入AI工具 華視全球資訊網
PC龍頭華碩搶攻AI商機,公司內部也積極轉型,共同執行長許先越為華視獨家揭祕,華碩共同執行長許先越說:「我們內部有一個叫做AI Hub,那這個其實是一個非常好的工具,來協助我們的同仁,提升他們的工作效率。」
AI PC 元年,效能與數位資產保障並進 CIO IT經理人
2025 年被 Forrester 稱為「AI PC 元年」,AI PC 不僅能大幅提升運算速度和效率,還能提供更個人化的使用者體驗。然而,AI PC 的快速發展也帶來一連串新的安全挑戰。本文將深入探討 AI PC 優勢、未來發展、潛在風險與保障安全的作法。
既有問題會越滾越大,AI 時代下企業資安將面臨哪些危機? 科技新報網
由於 AI 具備自動化的特性,因而讓這項技術被網路犯罪分子積極利用,駭客攻擊工具的開發與部署速度因此大幅提升,也讓過去既有的犯罪手法變得更加棘手。
比特幣休眠錢包恐遭破解?谷歌量子晶片掀爭論 MoneyDJ 理財網
谷歌(Google)宣布,最新晶片「Willow」克服了量子運算的重大挑戰,只要五分鐘就可解決傳統電腦花費超過宇宙歷史時間才能完成的運算問題,消息傳來獲得多名科技大人物盛讚。部分加密貨幣懷疑論者質疑,比特幣的加密護盾恐因此遭破解。
中國「鹽颱風」駭客出擊 美國高官遭竊聽錄音 華視全球資訊網
負責網路與新興科技的美國副國安顧問紐柏格表示,中國涉嫌透過駭客組織鹽颱風竊取通話資料,相信有大量的美國民眾個資遭竊,其中還包括了「非常高階」的美國官員通話內容,都遭到錄音。美國當局正採取進一步調查,並強調目前駭客並未完全被清除,籲請民眾多利用端對端加密通訊服務,避免被駭客盯上!
中國網路攻擊新趨勢:APT 組織得不到政府預算,出現「白轉黑」現象 INSIDE
TeamT5 的研究發現,越來越多中國 APT 攻擊者開始進行與網路犯罪相關的攻擊,例如勒索軟體攻擊和挖礦攻擊,其目的就是為了賺錢。這種「白轉黑」的現象,與中國政府的經濟困境密切相關。
【資安日報】12月11日,美國宣布制裁中國資安業者,起因是該公司利用零時差漏洞從事大規模攻擊 iThome
上個月資安業者Sophos公布中國駭客大規模攻擊行動Pacific Rim,指出駭客於四川地區從事漏洞調查及開發,將發現的漏洞提供給中國政府資助的駭客運用,如今美國政府也證實這樣的發現。
VSCode隧道功能遭到濫用,中國駭客用於遠端存取受害電腦 iThome
資安業者聯手追緝網路攻擊,他們共同揭露鎖定南歐大型B2B資訊科技服務供應商的攻擊行動Operation Digital Eye,而這起攻擊行動的特別之處,在於駭客濫用Visual Studio Code(VSCode)的遠端開發功能,做為控制受害電腦的管道。
【資安日報】12月6日,與中國駭客組織Daggerfly有關的駭客對美國大型企業從事4個月的情報收集 iThome
中國駭客從事網路間諜活動的情況,在今天出現兩起事故,一起是針對美國大型企業而來,而另一起則是針對維吾爾族和圖博人士的攻擊行動。
維吾爾族及圖博人士遭鎖定,駭客搭配漏洞利用攻擊包MoonShine、後門程式DarkNimbus進行滲透 iThome
趨勢科技揭露新一波專門針對維吾爾族及圖博人士的攻擊行動,駭客組織Earth Minotaur運用漏洞利用攻擊套件MoonShine,散布一種叫做DarkNimbus的後門程式。值得留意的是,雖然駭客的主要目標是安卓裝置,但研究人員發現對方也開發Windows版後門程式。
【資安日報】12月9日,AI模型PyPI套件Ultralytics成駭客散布挖礦軟體的管道 iThome
軟體供應鏈攻擊事故日益頻繁,上週一共發生了兩起,先是傳出JavaScript軟體開發套件Solana Web3.js遭駭,開發人員若是不慎部署有問題的套件,開發環境就會被植入竊資軟體,到了週末,又有AI模型PyPI套件Ultralytics遇竊的情形。
【資安月報】2024年11月,身分安全與AI成資安熱點,電信業滲透事件敲響警鐘 iThome
回顧2024年11月資安新聞,身分安全與AI的最新進展是廣泛關注的焦點,同時,臺灣上市櫃公司本月發布了7起資安事件重大訊息,而全球電信業面臨的滲透攻擊與零時差漏洞利用的狀況,更是持續引發各界高度重視。在此我們彙整7大資安焦點,帶大家快速回顧本月的關鍵新聞與趨勢。
2023年,Microsoft宣布更改Microsoft Exchange中處理DMARC的方式。儘管有警告,許多使用者並未遵循Microsoft的建議來設定增強的過濾功能,或者可能對此變更並不知情。結果未正確配置Microsoft Exchange的使用者現在暴露於電子郵件欺詐攻擊的風險中,可能導致電子郵件被攻破、資料洩露等問題。
6成民眾難辨真假網站!趨勢科技推AI防詐App 4大防護全包 三立新聞網
詐騙手法日新月異,且許多假網站以假亂真,一不小心帳號密碼錢財就被騙走了,根據趨勢科技最新調查,台灣不到6成民眾認為自己能識別網路詐騙,近9成民眾更擔心家人成為詐騙受害者。趨勢科技推出全新「AI防詐達人」APP,提供換臉詐騙偵測、詐騙查證、簡訊過濾與網頁防護四大功能。
AI深偽「劉德華」詐騙粉絲200萬!如何防?趨勢科技有新工具 遠見雜誌網
許多金融詐騙受害者,剛開始只是追逐高於定存、ETF的投資報酬率,沒想到就此陷入萬丈深淵。「當詐騙已經進行到尾端,民眾被洗腦之後再去教育他,這是非常困難的。」趨勢科技台灣區總經理洪偉淦如此分析阻詐的困難之處。
AI已經是科技趨勢,詐騙集團也已經利用AI技術詐騙,常見的就包括「AI變臉」化身名人,甚至還能打視訊電話,不過有這也推出防詐軟體,能辨識出對方是不是AI變臉。另外,刑事局165也在LINE上設有防詐系統,直接輸入對方的號碼,就能得知是不是詐騙電話。 來源:TVBS
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證 資安人
與一般需要點擊開啟檔案的攻擊手法不同,這個漏洞的特殊之處在於僅需在檔案總管中瀏覽惡意檔案即可觸發。攻擊情境包括:開啟包含惡意檔案的共用資料夾、瀏覽USB隨身碟,或是查看從攻擊者網頁自動下載的檔案所在的下載資料夾。
ChatGPT 變身殺人武器?OpenAI 協助無人機鎖定獵殺目標,引發道德擔憂 T客邦
隨著 AI 產業規模和影響力的增長,相關公司已開始在生死攸關的問題上做出明確的選擇。例如,他們的 AI 模型能否用於導引武器或做出目標決策?不同的公司以不同的方式回答了這個問題,但對 ChatGPT 的開發者 OpenAI 來說,原本對武器開發與軍事應用的強硬態度,隨著時間的推移逐漸軟化。
微軟發布12月例行更新,修補已遭利用的零時差CLFS漏洞 iThome
本週微軟發布12月份例行更新(Patch Tuesday)修補72個漏洞,值得留意的是,其中一項Windows通用事件記錄檔案系統(CLFS)權限提升漏洞CVE-2024-49138已被用於實際攻擊行動,這樣的情況也得到美國政府證實,並要求聯邦機構限期修補。
視窗作業系統出現NTLM零時差漏洞,引誘使用者透過Windows檔案總管檢視惡意檔案就有機會觸發 iThome
上週資安業者0patch揭露Windows作業系統新的NTLM零時差漏洞,並指出這項弱點影響所有Windows 7、Windows Server 2008 R2以上的視窗作業系統,值得留意的是,利用過程無需使用者進行點擊,攻擊者就有機會觸發。
防堵AI語音詐騙!臺科大學生開發「護聲符 APP」辨真偽 今日新聞
近年來深度偽造(Deep Fake)技術迅速發展,有不法分子利用 AI 語音合成技術進行語音詐財,對社會造成重大隱患。針對這一問題,國立臺灣科技大學資訊管理系學生王玟雅、蔡婷玗、陳俞縕及毛世鑫共同開發「應用音訊浮水印於對抗式攻擊與深度學習之數位護聲符系統」,提供語音防護與真偽辨識。
【資安週報】1202~1206,英國電信業者O2對抗電話詐騙出新招,開發聊天AI阿嬤牽制詐騙 iThome
回顧這一星期的資安新聞,英國電信業者開發AI阿嬤是資安防禦的主要焦點,還有兩起與臺灣相關的重要威脅,包括親俄駭客對臺DDoS攻擊手法的揭露,以及惡意軟體SmokeLoader鎖定臺製造業與資訊科技業的揭露。
俄羅斯駭客組織BlueAlpha濫用Cloudflare Tunnels發動攻擊 資安人
根據Insikt近日發布的分析報告,BlueAlpha利用Cloudflare提供的免費TryCloudflare工具,建立隱匿的惡意程式中繼基礎設施。該工具允許使用者透過trycloudflare.com的隨機子域名創建隧道,所有請求都會經由Cloudflare網路代理至目標主機。
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
