在2025年5月资安新闻,多项AI资安相关技术发展揭露受关注,涵盖Agentic SOC、AI资安模型、AI资安解决方案,以及Digital Twin的AI红蓝队演练等,这些消息成为我们本月首先关注的一大焦点。
还有4个威胁层面的议题,同样值得我们重视,包括攻击者用AI的态势,零时差漏洞攻击的状况,滥用合法网域废弃子网域的问题,以及国内外重大资安事件。在此我们汇整5大资安焦点,带大家回顾本月重要新闻。
(一)多场大型IT展会点出资安最新技术发展方向
全球指标性资安盛会RSA Conference 2025于4月28日至5月1日在美国旧金山举行,多家科技大厂与资安业者在期间宣布推出AI资安工具,显现AI多元应用持续快速融入资安领域。例如,Google宣布将朝向Agentic SOC发展,预期未来全自动化代理型资安维运中心,同时展示先前推出的两款AI资安代理,一是提供警示分类代理(Alert Triage Agent)于Google SecOps,,另一是提供恶意软体分析代理(Malware Analysis Agent)于Google Threat Intelligence之中。
资安大厂Cisco则宣布,推出自家首款开放式AI资安模型Foundation-Sec-8B,并以开放权重方式释出,协助更多资安人员应用AI于资安分析、维运与防护,这是Cisco于2024年并购Robust Intelligence后带来的最新成果。而在此之前,趋势科技亦推出名为Cybertron的资安专用LLM,并将部分模型开源供社群使用。
至于AI相关解决方案方面,市场上已有许多大厂投入,Palo Alto Networks如今也跟进,公布其AI安全管理平台Prisma AIRS,另也宣布收购新创公司Protect AI。
此外,在5月下旬的台北国际电脑展(Computex 2025)现场,趋势科技也展示一项正在研发的资安解决方案,聚焦红蓝队攻防演练而来,其特别之处是应用数位孪生(Digital Twin)概念来搭建高程度的模拟环境,并用AI扮演红队与蓝队来模拟攻防过程,透过此种自动化演练找出企业防御差距,并回馈到实体环境。
(二)骇客现阶段最常将AI用于社交工程攻击强化
在资安威胁态势上,攻击者用AI技术提升网路攻击的风险,是大家都在关注的焦点。本月我们报导Google Cloud国际资安合作负责人Christopher B. Porter在台的演说,就是他们揭露实际观察到攻击者应用AI的态势。他强调,尽管外界担忧生成式AI被用于开发恶意程式,挖掘零时差漏洞来攻击,或自动化大规模攻击,但实际上,骇客现在最常用在社交工程手法的强化,因此我们现在所面对更急迫的威胁,是网路钓鱼与伪冒行为。同时他也指出,语音伪冒攻击需要特别关注,不仅因为攻击成功率更高,还有金融业以语音验证身分的方式也要改变,因为现在只靠语音验证已变得不再可靠。
不仅如此,FBI于5月15日也发布这方面的警告,指出有不肖份子正在利用AI技术冒充高级美国官员的身分,以窃取政府官员及其联络人的个人帐户资讯。
(三)SAP NetWeaver漏洞遭多个国家级骇客与勒索软体组织锁定
漏洞攻击威胁持续升高,攻击者不仅持续针对已知漏洞发动攻击,每月更不乏零时差漏洞攻击的情况,以5月而言,再有10多个零时差漏洞攻击事件传出,涵盖微软、SAP、Ivanti、Fortinet、Commvault等旗下产品,以及Google的 Chromium浏览器专案等。
当中最受关注的消息是SAP NetWeaver的漏洞CVE-2025-31324、CVE-2025-42999,因为通报前项漏洞的资安业者ReliaQuest指出,这是CVSS满分漏洞,已有攻击者在受害伺服器植入Web Shell,半个月后又有通报后项漏洞的资安业者Onapsis指出,其实骇客在今年1月就串联这两个漏洞来发动攻击。
不仅如此,相关攻击活动也不断被揭露,让攻击者身分浮上台面。例如,资安业者Forescout发现中国骇客Chaya_004在4月底利用上述漏洞部署后门程式SuperShell,主要锁定制造业环境攻击;还有威胁情报业者EclecticIQ指出,确认有多组攻击团体大举锁定上述漏洞来攻击,包括3组与中国国安部有关的骇客组织CL-STA-0048、UNC5221、UNC5174,利用漏洞攻击关键基础设施,还有2个骇客组织(RansomEXX与俄罗斯勒索团体BianLian)也加入漏洞利用行列。
(四)留意合法网域的废弃子网域管理议题,出现劫持攻击活动
在最新资安威胁手法方面,骇客劫持合法网域下废弃子网域的攻击手法,成为最需警戒的重点之一。因为这种攻击方式使用合法网域,容易让使用者降低戒心,并也规避与阻碍资安防护的侦测。
最新又有一起攻击活动揭露,更是显现出攻击者使用DNS劫持方式来做到这类攻击,呈现更复杂且不同以往的攻击技术。根据资安业者Infoblox说明,他们一开始发现美国疾病管制与预防中心(CDC)的子网域突然托管数十个涉及色情影片的URL连结,追查后Infoblox将此骇客组织命名为Hazy Hawk,指出该组织是具备DNS专业知识的攻击者,专门针对高知名度组织的废弃云端资源进行劫持。
具体而言,其攻击方式利用了DNS CNAME记录的配置错误,也就是当CNAME记录指向的云端资源已移除或不存在,就形成所谓「dangling」悬空的记录,骇客透过注册或控制此资源来劫持网域,而且攻击者还会利用TDS恶意流量导向系统(TDS),将受害者导向恶意或诈骗网站。
随著滥用合法网域与废弃子网域的攻击手法日益猖獗,这次发现Hazy Hawk的行动,再次提醒企业与组织重视这方面的问题,而且云端资源同样要注意。
(五)多起重大资安事件,电信业与零售业遭骇情形最受关注
在重大资安事故方面,以台湾而言,根据公开资讯观测站的重大讯息公告,本月有1家上市公司揭露资安事件:远雄公司因系统异常,导致邮件发送给外部无关人员。
以国际而言,韩国电信业者SK Telecom资安事故更是引发极大关注,因为发生大量USIM等客户资料外泄情形,恐导致非法制造USIM卡的身分冒用问题,
SK Telecom是在4月22日揭露遭骇,一星期后宣布将为2,500万用户免费换发SIM卡,到了5月19日公布第二次事故调查结果有更多具体细节曝光,共清查出23台伺服器受害,发现BPFDoor等25种类型恶意软体,而且最早的Web Shell被植入时间是在2022年,显示骇客已经潜伏3年已久。
不只电信业成为骇客锁定目标,还有多起事件突显零售等不同产业同样面临严峻的网路攻击威胁。例如,在零售业方面,英国接连传出重大资安事件,包括玛莎百货(M&S)、连锁超市Co-op,以及精品百货Harrods等都遭遇网路攻击,疑勒索软体团体DragonForce所为;还有制造与零售业的可口可乐传出内部资料遭窃的消息,有两个骇客组织Everest与Gehenna宣称窃得资料。
还有两家业者在自家网站公布资安事故消息,像是运动用品业者Adidas说明客户资料遭未授权存取,初步研判是从第三方客户服务供应商入侵;托福、雅思的教育出版业者Pearson表示有未经授权攻击者存取该公司系统。此外,加密货币交易平台Coinbase向美国SEC提交资安事故报告,不仅揭露用户资料外泄,并指出海外客户支援的约聘人员是内贼。
回顾2025年5月第二星期的资安新闻焦点,台湾第七期国家资通安全发展方案(2025年至2028年)出炉,数位发展部资安署署长蔡福隆于行政院的院会会议说明3大目标、4大行动策略;在资安事故消息方面,近期英国玛莎百货(M&S)、连锁超市Co-op、精品百货Harrods接连传出遭到网路攻击,引起各界关注
在2025年5月第四星期的资安新闻焦点,韩国电信SK Telecom与台湾CoWoS设备制造商万润科技的资安事故后续消息是主要焦点;在最新威胁态势方面,有骇客组织劫持企业网域从企业云端资源被遗忘的DNS记录下手,还有骇客伪冒生成式AI服务,生成档案为恶意执行档,但运用双重副档名等伎俩伪装为图档与影片档