文/周峻佑
2025年9月11日
回顧2025年9月第一星期資安新聞,臺灣的資安防護動向有多項消息值得關注,包括《資通安全管理法》的修法正式三讀通過,以及資安署揭示新的策略。
(一)我國《資安法》修法有新進展,自2024年7月行政院將修正草案送交立法院通過一讀,2025年8月29日,立法院三讀通過資通安全管理法修正條文,
(二)在今年數位政府高峰會上,資安署長蔡福隆揭示我國最新資通安全發展,強調政府應減少繁瑣資安應辦事項要求、加強技術處理能力,並希望從2026年起推動分級稽核,第1級檢測執行EASM外部曝險檢測,第2級是內部檢測及AI場外稽核,第3級是技術檢測及實地稽核。
最近我們也發布封面故事,揭露iThome 2025企業資安大調查的結果,呈現國內企業組織資安防護現況。今年有幾項重要發現,例如,有高達6成企業將老舊系統的更新,視為推動資安往成熟發展的挑戰,還有今年資安預算平均金額突破2千萬創新高,而且占IT預算比例快要接近1成,顯現企業對資安投入是持續提升。
在資安威脅焦點方面,有兩起重大事件引發大家關注:
●搜狗注音輸入法早在2019年停止維護,趨勢科技發現有攻擊者挾持更新伺服器並註冊網域,對臺灣用戶散布多種惡意軟體,目的是網路間諜活動,趨勢科技呼籲用戶務必認知:該輸入法的更新機制現已被駭客全面接管。
●Salesloft Drift串聯Salesforce的OAuth權杖被竊事件擴大,這樣的供應鏈攻擊情形,已有受害者浮上檯面,包括資安業者Zscaler、Palo Alto Networks,Cloudflare都發出公告,受害規模恐再擴大。另一方面,Salesloft Drift供應鏈攻擊事故的影響範圍,並非只有整合Salesforce的用戶,有部分用於整合Google Workspace的企業,也遭到波及。
此外,國家級駭客的攻擊行動也相當值得留意,包括俄羅斯駭客APT28鎖定收信軟體Outlook部署後門、APT29發動水坑式攻擊竊取微軟帳號,以及北韓駭客Lazarus散布多款RAT木馬、APT37對國防情資研究機構下手的事故。
值得留意的是,本週針對汽車產業的網路攻擊有兩起,分別是塔塔旗下的英國車廠Jaguar Land Rover(JLR),以及輪胎大廠普利司通的北美分公司傳出受害,導致兩家公司皆傳出生產受到影響的現象。
●英國車廠Jaguar Land Rover發布公告表示遭遇資安事故,為控制事故影響範圍,該公司關閉部分系統因應,但這也導致他們的生產及零售面臨中斷。
●普利司通北美分公司(Bridgestone Americas,BSA)遭遇網路攻擊,美國喬治亞州、加拿大魁北克省媒體報導指出,該公司當地工廠出現暫停營運的現象,但實際影響的規模及範圍,有待進一步釐清。
一般來說,網釣攻擊當中駭客最常以電子郵件接觸受害者,但如今有新的手法出現,那就是假冒合作廠商,填寫企業網站的「聯絡我們」表單,讓受害企業對攻擊者寄送電子郵件,以利相關往來郵件不被資安系統攔截。
將AI用於網路犯罪,過往最常見的手法是利用AI機器人製作釣魚信、釣魚網站,或是產生程式碼,但如今出現駭客直接將AI滲透測試自動化平臺HexStrike-AI用於實際攻擊,找出利用弱點的方法,以及掃描、尋找下手目標。此外,AI業者Anthropic近期發布的威脅情報調查報告也提及,他們發現有人將人工智慧代理置入攻擊鏈,從事Vibe Hacking活動,利用Claude Code的終端環境自動化偵察、憑證蒐集、網路滲透與橫向移動,對目標企業展開資料勒索。
●AI滲透測試自動化平臺HexStrike-AI正式推出後不久就出現遭濫用的情況,駭客快速將Citrix NetScaler零時差漏洞CVE-2025-7775用於實際攻擊,並在受害設備植入Web Shell。
●AI業者Anthropic發布8月份人工智慧威脅情報,警告駭客已將AI用於實際攻擊行動,其中一種是把Claude Code用於Vibe Hacking活動,竊取受害企業組織資料並進行勒索,而且,相關活動以自動化的方式進行。
在軟體供應鏈攻擊當中,駭客鎖定NPM、PyPI套件,以及Visual Studio Code(VS Code)延伸套件使用者發動攻擊的手法,有一種是使用已下架的套件名稱,藉由註冊相關名稱及網域,對原本的使用者發動攻擊,為此近期PyPI軟體基金會(PSF)祭出新的措施,他們將每天追蹤網域名稱的使用情況,封鎖無效網域名稱有關帳號,但如今有人將這樣的伎倆,用於已終止維護的應用程式上,對仍在使用該軟體的使用者發動攻擊。
近期趨勢科技揭露針對臺灣使用者的攻擊行動Taoth,就是這種型態的例子,駭客鎖定於2019年停止維護的搜狗注音輸入法(Sogou Zhuyin IME),挾持更新伺服器並註冊網域,用來散布惡意程式。值得留意的是,這款輸入法在臺灣的知名度有限,再加上使用者多半都有自己偏好的輸入法,不會輕易更換,顯然這起攻擊行動相當有針對性。
【9月2日】企業網站「聯絡我們」表單成駭客跳脫網釣制式流程的管道
駭客接觸企業組織最常見的管道,莫過於電子郵件,但如今有人使用相當不尋常的做法引起資安業者的注意,因為這些駭客先是填寫企業網站上的「聯絡我們」表單,讓企業寄送電子郵件進行後續的溝通,使得相關電子郵件難以被視為有害,然後待機會成熟,駭客才發動第二波網釣,寄送惡意程式。
但在網釣手法的變化之外,駭客之間的結盟方式也出現新的做法,最近有專門鎖定亞太地區及中亞國家政府機關的駭客組織,但特別的是,這組人馬同時有使用簡體中文和俄文的駭客,這樣的情況並不常見。
【9月3日】資安業者證實遭Salesloft Drift供應鏈攻擊事故波及,雲端CRM系統資料外洩
8月下旬傳出的Salesloft Drift供應鏈攻擊事故,先是介入調查的Mandiant透露影響範圍不光與之串連的Salesforce,接著有多家資安業者表明他們的雲端CRM系統資料外洩,本週Cloudflare、Palo Alto Networks發布聲明證實此事,並透露影響的範圍,強調不影響自家產品、系統,以及服務。
另一個受到全球關注的事故,是最近一個星期傳聞影響25億Gmail用戶的嚴重漏洞,許多科技網站、金融新聞網站紛紛呼籲用戶,要儘速更換密碼因應。對此,Google發布簡短說明,表示上述的說法並不正確。
【9月4日】AI自動化資安防禦框架HexStrike-AI被用於零時差漏洞攻擊
今天的資安新聞主要與人工智慧有關,其中最受到關注的部分,是資安業者Check Point揭露駭客濫用滲透測試自動化平臺HexStrike-AI的情況,由於這款工具發布不久就被用於將漏洞打造成武器,並用於實際攻擊行動,這樣的現象相當值得留意,因為駭客可藉由這類工具大幅縮短準備時間,也能藉由自動化大規模掃描,廣泛尋找下手目標。
另一項消息是涉及大型語言模型(LLM)不設防的現象,思科透過物聯網搜尋引擎發現,全球有超過1千臺Ollama伺服器曝露在網際網路上,可公開存取,其中有近2成模型可在無須通過身分驗證的情況下,回應請求並執行模型推論,而形成可被濫用的攻擊面。
【9月5日】大規模DDoS攻擊流量達到11.5 Tbps,再創新高
大規模分散式阻斷服務(DDoS)攻擊事故本週再度出現在新聞版面而受到關注,但本週資安業者Cloudflare揭露的事故相當特別,因為不只是流量再度增加,從5月的7.3 Tbps增加至11.5 Tbps,更值得留意的是,流量來源的判定可能也變得更加困難,因為,該公司一開始認為主要來自Google的雲端環境,後續才改口表示,實際上來自多家雲端供應商及物聯網裝置。
在癱瘓網站運作的事故之外,國家級APT駭客的攻擊活動也是需要加以防範的對象,例如:俄羅斯駭客APT28在收信軟體Outlook部署後門程式NotDoor、北韓駭客Lazarus鎖定金融與加密貨幣產業的攻擊行動,還有中國駭客Silver Fox發動自帶驅動程式攻擊(BYOVD)的現象,都需要用戶提高警覺。