資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

Microsoft SharePoint 重大資安漏洞：CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

2025 年 07 月 25 日2025 年 07 月 30 日趨勢科技 TrendMicro

企業資安部落格文章精選（隨時更新）

Microsoft SharePoint 重大資安漏洞：CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

企業內 Microsoft SharePoint 伺服器的 CVE-2025-53770 和 CVE-2025-53771 漏洞是從先前已修補的漏洞演化而來，可讓駭客不須經過驗證就能利用進階反序列化技巧與濫用 ViewState 物件從遠端執行程式碼。

重點摘要

CVE-2025-53770 和 CVE-2025-53771 是企業內 Microsoft SharePoint 伺服器的漏洞，可讓駭客上傳惡意檔案並擷取加密金鑰。
這些漏洞是從先前修補過的 CVE-2025-49704 和 CVE-2025-49706 漏洞進一步演化而來，廠商當初的矯正並不完全，所以讓駭客能透過進階的反序列化技巧並濫用 ViewState 物件來繞過認證機制，從遠端執行程式碼 (RCE)。
我們已看到駭客在各種產業試圖發動相關的漏洞攻擊，包括：金融、教育、能源及醫療。
Microsoft 已針對 SharePoint Subscription Edition 和 SharePoint Sever 2019 發布了安全更新，至於 SharePoint Sever 2016 則尚未發布修補更新。Trend Micro™ TippingPoint™ 的客戶自 2025 年 5 月起便已獲得防護來防範相關攻擊。

⟫ 完整文章

捲土重來：Lumma Stealer 帶來更強大的隱匿技巧

Lumma Stealer 帶來更強大的隱匿技巧這一次，惡意程式背後的駭客集團似乎採取了更隱匿的技巧，並持續穩定地擴大地盤。本文說明這項威脅最新的散播方法。

重點摘要

Lumma Stealer 在 5 月份遭到破獲之後沒過多久便再次重生，且受害帳號數量從 6 月至 7 月開始暴增。現在，惡意程式會經由更多隱匿的管道散布，並採用更隱密的躲避技巧。
具備資訊竊取功能的 Lumma Stealer 會搜刮登入憑證和私人檔案等各種敏感資料。此外，由於它是以惡意程式服務 (Malware as a Service，簡稱 MaaS) 的方式來銷售，因此就算是完全沒有技術背景的不肖之徒也駕馭這套惡意程式。
使用者有可能經由假的破解版軟體、假冒的網站，以及社群媒體貼文而被騙下載到 Lumma Stealer。對企業而言，缺乏網路資安意識的員工很容易成為這類攻擊的受害者。
Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。此外，Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Lumma Stealer 的豐富資訊和最新消息。

⟫ 完整文章

深入分析Microsoft 365 Copilot零點擊 AI 漏洞：EchoLeak

一種名為「EchoLeak」的零點擊 (zero-click) 漏洞攻擊手法，揭露了駭客如何操弄像 Microsoft 365 Copilot 這樣的 AI 助理，在不須使用者互動的情況下洩露機敏資料。本文詳細介紹這類攻擊手法的運作方式、為何危險，以及有哪些防禦機制可主動防範這類新興的 AI 原生威脅。

重點摘要

EchoLeak 是一個零點擊 (zero-click) AI 漏洞，利用 Copilot 的歷史資料作為情境，暗中執行隱藏的提示而無須與使用者互動。
此攻擊方式是使用內嵌隱形提示注入技巧 (例如將提示嵌入 HTML 註解當中，或使用白底白色文字)，以便在後續階段誤導 GenAI 的解讀。
它示範了某些 GenAI 功能隱含的廣泛性風險，例如：摘要、RAG (檢索增強生成) 以及情境繼承。
這起事件突顯出，不僅 AI 模型本身的保護相當重要，保護它與企業資料互動的環境 (如電子郵件和 SaaS 平台) 也很重要。這些周邊系統如果沒有受到保護，AI 工具就可能成為重大資料外洩和違規事件的發生途徑。
Trend Vision One™ 採用 AI 驅動的 Email and Collaboration Security (電子郵件及協同作業防護) 來防範這類威脅，藉由交叉關聯情報偵測來轉化人類情報、檢查電子郵件意圖、分析使用者行為，以及交叉關聯可疑徵兆。
在 GenAI 存取控管方面，Trend Vision One ™ 可藉由 Zero Trust Secure Access (ZTSA) 零信任安全存取來保護使用者的安全。其 AI Service Access 功能可檢查 GenAI 的提示和回應來防止潛在的資料外洩，並確保 GenAI 提示和回應的使用安全以防止潛在的資料外洩。

⟫ 完整文章

隨著 AI 重塑現代軟體架構，企業必須重新思考其安全策略，從被動防禦轉向主動預測和即時反應，以確保在利用 AI 創造價值的同時，能有效管理風險。
聽聽趨勢科技執行長暨共同創辦人陳怡樺（Eva Chen）怎麼說?
請參閱完整的白皮書：《The Intelligent Stack: Industry Briefing》

繼續閱讀

【資安新聞週報】Microsoft SharePoint 重大資安漏洞/Meta隱私破口，AI對話全被內部看光光/Google起訴BadBox 2.0揭中國背景殭屍網路

2025 年 07 月 25 日2025 年 07 月 25 日趨勢科技TrendMicro

Microsoft SharePoint也爆出CVE-2025-53770 與 CVE-2025-53771 兩項高風險漏洞，恐讓駭客遠端執行任意程式碼，企業需立即部署修補與防禦機制。Meta被揭AI對話內容恐遭內部窺視，隱私破口令人震驚；Google對中國背景的殭屍網路BadBox 2.0提告，展現對抗境外資安威脅的決心；Chrome則宣布撤銷中華電信憑證，8月1日生效，恐衝擊台灣大量用戶連線體驗。另一方面，Facebook個資外洩案雖以80億美元求償和解，但信任已難挽回；台灣知名徵信社工程師竟暗網買個資來「抓姦」，超過9,300萬筆資料外洩，更讓人警覺資料濫用的真實存在。
同時，勒索軟體Bert強制關閉VMware虛擬機並多執行緒加密檔案，企業防線岌岌可危；DNS TXT記錄被濫用作為惡意程式藏身之所，顯示駭客手法持續翻新；麥當勞的AI徵才工具爆出6,400萬筆應徵者資料可能外洩，凸顯AI應用與資安風險間的矛盾。更令人擔憂的是，20款熱門App（包含FB與YouTube）被揭私下蒐集並回傳使用者資料至母公司，個資無所遁形；而追星族也難倖免，假冒「拓元」的來電詐騙橫行，甚至連身分證字號都遭掌握。資安威脅早已滲透日常生活，我們不只是使用者，更是攻擊目標。此刻，比科技更重要的，是警覺與防備。

資安趨勢部落格精選

本週十大資安重點新聞

繼續閱讀

中獎簡訊太老派？現在詐騙連「看A片要驗證財力」都來了/AI變聲與偽冒LINE暱稱，假親友詐騙再升級

2025 年 07 月 24 日2025 年 07 月 24 日趨勢科技TrendMicro

【打詐週報】現在的詐騙，早已不只是「騙你錢」，而是「利用你生活中的每一個習慣」。
AI 變聲假冒親友、情趣電商被列為高風險平台、LINE帳號一個連結就被駭，甚至連你要搶演唱會門票、買公仔、看影片，都可能是一場局。

這週，我們整理出五大詐騙熱點，從生活、通訊、娛樂到情色，詐團無孔不入。
不是你變天真了，是他們變聰明了——
一起提升警覺，守住你的帳號、存款與信任。

本週最受關注五大詐騙新聞

AI變聲與同親友暱稱，假冒親友詐騙再升級

歹徒利用 AI 變聲與更改相同暱稱冒充親友，專挑長輩下手。
這是「猜猜我是誰」詐騙的進化版，讓人防不勝防。

繼續閱讀

Slopsquatting：當 AI代理幻覺遇上惡意套件

2025 年 07 月 22 日2025 年 07 月 11 日趨勢科技 TrendMicro

本文探討 AI 程式設計助理如何因幻覺而生成出一些看似合理但實際上卻不存在的套件名稱，進而衍生能讓駭客預先設下陷阱的「slopsquatting」攻擊。此外，本文也提供一些企業可用來保護開發流程的實務策略。

下載這份技術摘要

主要重點

Slopsquatting 是現代化 AI 驅動軟體開發流程的一項供應鏈威脅，起因於 AI 程式設計代理因為幻覺而生成一些看似合理但實際上卻不存在的套件名稱，使得駭客有機會預先設下陷阱來散播惡意程式。
儘管進階程式設計代理與工作流程，如：Claude Code CLI、OpenAI Codex CLI 以及 Cursor AI 搭配 MCP 作後端驗證，有助於降低幽靈相依元件 (phantom dependencies) 的風險，但仍無法徹底根除，因為就算即時驗證也無法捕捉每一種邊緣案例。
常見的失敗情況包括：填補情境漏洞與模仿表面形式，也就是 AI 代理根據使用者的意圖與符合統計的慣例而捏造出看似合理的套件名稱，卻沒有確實檢查套件名稱是否真的存在。
防範這類威脅需要從多重管道下手，結合最佳實務原則 (例如透過軟體物料清單來追蹤源頭)、自動化漏洞掃描、在沙盒模擬環境內測試安裝、即時驗證套件，以及人員監督，如此才能真正保護 AI 驅動的開發流程。

想像一下這樣的情境：您的開發時程相當緊迫，但您擁有一套可靠的 AI 程式設計助理來自動幫您完成函式撰寫、推薦可用相依元件，甚至幫您即時呼叫 pip 安裝指令。您正深深沉醉在所謂的「氛圍程式設計」(vibe coding) 開發流程當中，在 AI 的協助下，您的點子幾乎豪不費力就變成了程式碼，感覺就好像在變魔術一樣，直到一切突然停止運作。

在研究過程當中，我們曾看到一個進階 AI 代理自豪地無中生有了一個看似完全合理的套件名稱，但隨後卻在程式實際組建時發生「找不到模組」的窘境。然而更令人擔憂的是，這些幽靈套件說不定已經存在於 PyPI 當中，因為某個駭客已經註冊了這些套件名稱，等著開發人員上鉤，自己將惡意程式碼帶入工作流程當中。

圖 1：AI 代理幻想出一個根本不存在的套件名稱 (上演 slopsquatting)。

對 AI 開發人員來說，這些暫時性的錯誤不單只是造成不便而已，而是一種新式供應鏈攻擊的機會之窗。當 AI 代理幻想出不存在的相依元件或安裝未經檢查的套件時，就等於為slopsquatting 創造了機會，因為駭客會在公開登錄上預先註冊這些幻想出來的名稱。

本文探討這些幻覺是如何出現在進階 AI 代理當中，並說明其潛在的影響，提供企業一些維護開發流程安全以防範類似威脅的行動建議。

何謂 slopsquatting？

繼續閱讀

【資安新聞週報】AI幫詐騙團寫信、做分工：我們正在對抗的是一個「自動化犯罪集團」

2025 年 07 月 18 日2025 年 07 月 17 日趨勢科技TrendMicro

當你以為資安威脅只是「電腦病毒」那麼簡單，詐騙集團早已用AI寫信、偽造聲音、製作假官網，甚至一步步設計劇本騙光你的錢。本週十大資安新聞揭露：從YouTube假廣告彈窗、Google Workspace與ChatGPT漏洞、到LINE假警察指導你「錯過救援時機」，每一則都在提醒我們——資訊安全早已不只是IT的責任，而是你我日常生活的一部分。面對多段式詐騙與AI深偽技術，唯有掌握最新手法與自保知識，才能在資訊洪流中不被攻破。

資安趨勢部落格精選

本週十大資安重點新聞

1.假廣告騙點擊！YouTube冒出「中毒警告彈窗」騙人掃毒
→ 詐騙廣告進軍影音平台，點下去就掉坑！