【資安新聞週報】勒索與竊資雙重來襲!BERT 擴散至 Linux、Lumma Stealer 捲土重來/台灣再度躍居亞洲網路攻擊重災區/SonicWall、CrushFTP、AWS VPN 爆資安漏洞 數千系統仍未修補

趨勢科技TrendMicro

近期資安情勢嚴峻,AI 技術的快速發展正成為一把雙面刃,不僅大幅提升駭客攻擊效率,導致 OpenAI 執行長奧特曼警告「大詐騙時代」來臨,更有針對 Microsoft 365 Copilot 的「EchoLeak」零點擊 AI 漏洞,預示著新型 AI 攻擊的威脅。這些都使得傳統驗證方式失效,一年內 AI 詐騙案件暴增四倍多。

AI詐騙與資安危機正席捲全球,從金融業到公部門無一倖免。生成式 AI 被濫用、勒索軟體跨平台擴散、企業資料庫接連失守,不僅資安漏洞層出不窮,連日常使用的 LINE、第三方支付也成為詐騙溫床。
本週資安新聞中,我們看到:

- 駭客工具「Lumma Stealer」、「BERT 勒索軟體」再度活躍,竊資與加密攻擊同步升溫
OpenAI 執行長示警 AI 詐騙大爆發,傳統驗證機制已無法阻擋攻擊
微軟 SharePoint 被中國駭客鎖定,國防級機構接連中招
台灣成為亞洲資安攻擊最嚴重地區,社交工程與假簡訊詐騙層出不窮

⭕️ 資安趨勢部落格精選

⭕️ 本週資安重點新聞

AI 恐助長資安危機與詐騙狂潮

AI 技術的快速發展,也同步提升了網路攻擊的威脅層級。OpenAI 執行長奧特曼(Sam Altman)警告,AI 將開啟一個「大詐騙時代」,駭客利用 AI 可以在短時間內突破資安防線,導致大規模詐騙事件暴增。有報導指出,AI 詐騙在一年內暴增四倍多,傳統的驗證方式已經失效。

SharePoint 零時差漏洞成中國駭客目標

微軟 SharePoint 伺服器爆發多個零時差漏洞,包括美國核武機構在內的數百家企業受害,其中包含超過 400 家。多組中國國家級駭客組織,如 Storm-2603,被點名利用這些漏洞進行攻擊,甚至意圖散佈勒索軟體 Warlock。這也引發美國國會議員對微軟與中國工程師合作的疑慮。

勒索軟體與新型詐騙手法層出不窮

勒索軟體肆虐

勒索軟體攻擊依然猖獗,除了前述利用 SharePoint 漏洞散佈的 Warlock 外,針對 Windows 和 Linux 的勒索軟體 BERT 也浮現,竊資軟體 Lumma Stealer 也傳出捲土重來。英國政府正考慮立法打擊勒索軟體,禁止公部門支付贖金。

詐騙手法推陳出新

詐騙集團不斷演變手法,除了利用網路電話交換機代發簡訊業者進行詐騙外,常見的詐騙手法如假檢警詐騙遊戲點數詐騙演唱會詐騙第三方支付詐騙仍是熱區。此外,熱門女性交友 App 資料外洩國泰航空亞洲萬里通里數被盜,以及機場 USB 充電恐遭駭等事件,都顯示個資外洩風險無處不在。更有駭客組織鎖定中文用戶散佈 Windows 惡意程式。
◎延伸閱讀:「旅遊小幫手」?「存款大扒手」! FBI 警告:出國旅遊不要做的四件事

繼續閱讀

【打詐週報】AI詐騙技術躍進,傳統驗證瀕臨失效/財損最嚴重的不是假投資詐騙/女大生買450元毛巾遭詐27萬!

趨勢科技TrendMicro

本週資安領域風波不斷,多起事件凸顯了數位時代下詐騙手法的快速演進,尤其以 AI技術的濫用 最令人擔憂。OpenAI執行長已明確示警,AI不僅讓詐騙活動暴增四倍以上,甚至能輕易模仿語音與影像,導致傳統身分驗證形同虛設,駭客在一小時內就能突破資安防線。

⟫看答案

1. AI詐騙爆增,傳統驗證方式失靈

多篇報導指出,AI詐騙在一年內暴增四倍多,OpenAI執行長更示警AI已擊敗多數傳統身分驗證方式,包括語音和影像都能被輕易模仿,導致金融防線面臨全面失守的危機。駭客甚至能在1小時內突破資安防線。

2. LINE與簡訊詐騙手法不斷翻新,假連結、假借貸層出不窮

詐騙集團持續利用LINE的各種功能和簡訊發送大量假訊息。特別是透過假投票連結盜取LINE帳號,以及發送假貸款簡訊誘騙民眾上當。此外,也有詐騙集團利用熟人頭貼冒充借錢,以及偽裝政府機關發送簡訊。

3. 女大生買450元毛巾遭詐27萬!網購與第三方支付成詐騙新溫床

詐騙集團瞄準網路購物平台,透過偽造超商平台和假客服進行詐騙,導致女大生被騙走學費。同時,第三方支付也成為詐騙的溫床,已發生多起賣家遭假客服誘騙而損失鉅額資金的案件。

4. 各類投資、金融詐騙層出不窮,警示帳戶、財損嚴重

從「打詐儀錶板」最新統計顯示,假檢警詐騙造成的財損最為嚴重。此外,最新的網路詐騙手法導致民眾存款一夜蒸發,慘變警示帳戶。投資詐騙如虛擬礦機,以及假冒名人推薦的詐騙廣告也層出不窮,更有民眾因假貸款、假紀念幣預購、假旅行社等損失慘重。

5. 打詐行動持續進行,但新型詐騙仍需警惕

雖然刑事局持續執行「淨話專案」阻斷詐騙來電,並有「111政府專屬短碼簡訊」加強版上線,以及地政士提醒不動產登記制度有破口需注意,但詐騙集團手法不斷更新,包括利用網路電話交換機偽裝未顯示來電,以及最新的ATM領錢新制也需要民眾留意,避免戶頭有錢卻無法領出的情況。

繼續閱讀

Microsoft SharePoint 重大資安漏洞:CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

趨勢科技 TrendMicro

企業資安部落格文章精選(隨時更新)

Microsoft SharePoint 重大資安漏洞:CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

企業內 Microsoft SharePoint 伺服器的 CVE-2025-53770 和 CVE-2025-53771 漏洞是從先前已修補的漏洞演化而來,可讓駭客不須經過驗證就能利用進階反序列化技巧與濫用 ViewState 物件從遠端執行程式碼。

⭕️ 重點摘要

  • CVE-2025-53770 和 CVE-2025-53771 是企業內 Microsoft SharePoint 伺服器的漏洞,可讓駭客上傳惡意檔案並擷取加密金鑰。
  • 這些漏洞是從先前修補過的 CVE-2025-49704 和 CVE-2025-49706 漏洞進一步演化而來,廠商當初的矯正並不完全,所以讓駭客能透過進階的反序列化技巧並濫用 ViewState 物件來繞過認證機制,從遠端執行程式碼 (RCE)。
  • 我們已看到駭客在各種產業試圖發動相關的漏洞攻擊,包括:金融、教育、能源及醫療。
  • Microsoft 已針對 SharePoint Subscription Edition 和 SharePoint Sever 2019 發布了安全更新,至於 SharePoint Sever 2016 則尚未發布修補更新。Trend Micro™ TippingPoint™ 的客戶自 2025 年 5 月起便已獲得防護來防範相關攻擊。


⟫ 完整文章

捲土重來:Lumma Stealer 帶來更強大的隱匿技巧

Lumma Stealer 帶來更強大的隱匿技巧 這一次,惡意程式背後的駭客集團似乎採取了更隱匿的技巧,並持續穩定地擴大地盤。本文說明這項威脅最新的散播方法。

重點摘要

  • Lumma Stealer 在 5 月份遭到破獲之後沒過多久便再次重生,且受害帳號數量從 6 月至 7 月開始暴增。現在,惡意程式會經由更多隱匿的管道散布,並採用更隱密的躲避技巧。
  • 具備資訊竊取功能的 Lumma Stealer 會搜刮登入憑證和私人檔案等各種敏感資料。此外,由於它是以惡意程式服務 (Malware as a Service,簡稱 MaaS) 的方式來銷售,因此就算是完全沒有技術背景的不肖之徒也駕馭這套惡意程式。
  • 使用者有可能經由假的破解版軟體、假冒的網站,以及社群媒體貼文而被騙下載到 Lumma Stealer。對企業而言,缺乏網路資安意識的員工很容易成為這類攻擊的受害者。
  • Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Lumma Stealer 的豐富資訊和最新消息。

⟫ 完整文章

深入分析Microsoft 365 Copilot零點擊 AI 漏洞:EchoLeak

一種名為「EchoLeak」的零點擊 (zero-click) 漏洞攻擊手法,揭露了駭客如何操弄像 Microsoft 365 Copilot 這樣的 AI 助理,在不須使用者互動的情況下洩露機敏資料。本文詳細介紹這類攻擊手法的運作方式、為何危險,以及有哪些防禦機制可主動防範這類新興的 AI 原生威脅。

重點摘要

  • EchoLeak 是一個零點擊 (zero-click) AI 漏洞,利用 Copilot 的歷史資料作為情境,暗中執行隱藏的提示而無須與使用者互動。
  • 此攻擊方式是使用內嵌隱形提示注入技巧 (例如將提示嵌入 HTML 註解當中,或使用白底白色文字),以便在後續階段誤導 GenAI 的解讀。
  • 它示範了某些 GenAI 功能隱含的廣泛性風險,例如:摘要、RAG (檢索增強生成) 以及情境繼承。
  • 這起事件突顯出,不僅 AI 模型本身的保護相當重要,保護它與企業資料互動的環境 (如電子郵件和 SaaS 平台) 也很重要。這些周邊系統如果沒有受到保護,AI 工具就可能成為重大資料外洩和違規事件的發生途徑。
  • Trend Vision One™ 採用 AI 驅動的 Email and Collaboration Security (電子郵件及協同作業防護) 來防範這類威脅,藉由交叉關聯情報偵測來轉化人類情報、檢查電子郵件意圖、分析使用者行為,以及交叉關聯可疑徵兆。
  • 在 GenAI 存取控管方面,Trend Vision One ™ 可藉由 Zero Trust Secure Access (ZTSA) 零信任安全存取來保護使用者的安全。其 AI Service Access 功能可檢查 GenAI 的提示和回應來防止潛在的資料外洩,並確保 GenAI 提示和回應的使用安全以防止潛在的資料外洩。

⟫ 完整文章

隨著 AI 重塑現代軟體架構,企業必須重新思考其安全策略,從被動防禦轉向主動預測和即時反應,以確保在利用 AI 創造價值的同時,能有效管理風險。
聽聽趨勢科技執行長暨共同創辦人陳怡樺(Eva Chen)怎麼說?
請參閱完整的白皮書:《The Intelligent Stack: Industry Briefing》
繼續閱讀

【資安新聞週報】Microsoft SharePoint 重大資安漏洞/Meta隱私破口,AI對話全被內部看光光/Google起訴BadBox 2.0揭中國背景殭屍網路

趨勢科技TrendMicro

Microsoft SharePoint也爆出CVE-2025-53770 與 CVE-2025-53771 兩項高風險漏洞,恐讓駭客遠端執行任意程式碼,企業需立即部署修補與防禦機制。Meta被揭AI對話內容恐遭內部窺視,隱私破口令人震驚;Google對中國背景的殭屍網路BadBox 2.0提告,展現對抗境外資安威脅的決心;Chrome則宣布撤銷中華電信憑證,8月1日生效,恐衝擊台灣大量用戶連線體驗。另一方面,Facebook個資外洩案雖以80億美元求償和解,但信任已難挽回;台灣知名徵信社工程師竟暗網買個資來「抓姦」,超過9,300萬筆資料外洩,更讓人警覺資料濫用的真實存在。
同時,勒索軟體Bert強制關閉VMware虛擬機並多執行緒加密檔案,企業防線岌岌可危;DNS TXT記錄被濫用作為惡意程式藏身之所,顯示駭客手法持續翻新;麥當勞的AI徵才工具爆出6,400萬筆應徵者資料可能外洩,凸顯AI應用與資安風險間的矛盾。更令人擔憂的是,20款熱門App(包含FB與YouTube)被揭私下蒐集並回傳使用者資料至母公司,個資無所遁形;而追星族也難倖免,假冒「拓元」的來電詐騙橫行,甚至連身分證字號都遭掌握。資安威脅早已滲透日常生活,我們不只是使用者,更是攻擊目標。此刻,比科技更重要的,是警覺與防備。

⭕️ 資安趨勢部落格精選

⭕️ 本週十大資安重點新聞

繼續閱讀

中獎簡訊太老派?現在詐騙連「看A片要驗證財力」都來了/AI變聲與偽冒LINE暱稱,假親友詐騙再升級

趨勢科技TrendMicro

【打詐週報】現在的詐騙,早已不只是「騙你錢」,而是「利用你生活中的每一個習慣」。
AI 變聲假冒親友、情趣電商被列為高風險平台、LINE帳號一個連結就被駭,甚至連你要搶演唱會門票、買公仔、看影片,都可能是一場局。

這週,我們整理出五大詐騙熱點,從生活、通訊、娛樂到情色,詐團無孔不入。
不是你變天真了,是他們變聰明了——
一起提升警覺,守住你的帳號、存款與信任。

本週最受關注五大詐騙新聞

1️⃣ AI變聲與同親友暱稱,假冒親友詐騙再升級

歹徒利用 AI 變聲與更改相同暱稱冒充親友,專挑長輩下手。
這是「猜猜我是誰」詐騙的進化版,讓人防不勝防。

繼續閱讀