在2025年4月第二星期的资安新闻,国内最重要的消息,就是我们在上个月报导即将公布的《国家资通安全战略 2025》,由国家安全会议出版,4月8日正式于总统府网站发布,揭露了我国接下来的新资安战略,将聚焦从4大支柱出发,包括:全社会防卫韧性、国土防卫与关键基础设施、关键产业与供应链,以及AI应用与安全。
特别的是,报告中提到「国家资安战情协同应变中心」的建立,以及「国家资安风险地图」的规画,我们认为将是一大重点,可让综观全局的联防体系更为具体,突显国内资安联防对此方面的重视。
在资安事故方面,国内2家上市柜公司发布资安事件重讯,一是旅行箱制造商万国通路,另一是偏光板厂力特光电。后续我们还发现暗网情资显示,勒索软体组织Qilin与Devman同时宣称力特光电为其受害者。
还有一项消息值得国内重视,英国国家网路安全中心(NCSC)示警,发现中国骇客正锁定台湾、图博、维吾尔族的团体与个人,散布间谍软体BadBazaar和Moonshine,其手法包括假冒知名品牌App引诱安装并要求手机各式权限。
在资安威胁方面,针对开发人员散布恶意套件,以及VPN安全隐忧的消息是主要焦点,有多起消息揭露显现出这些状况需要被重视。
●供应链资安业者发现本月4日有10个恶意VSCode扩充套件上架,目的是植入挖矿程式XMRig,但其显示下载超过百万次,可能骇客制造套件受欢迎的假象。
●北韩骇客Lazarus散布恶意NPM套件近期消息不断,再有资安业者揭露其行动利用11个恶意NPM套件来散布木马,并指出套件下架前已有5千多次下载。
●威胁情报业者警告,有骇客在3月底利用近2.4万个IP位置,大量扫描Palo Alto Networks的GlobalProtect入口网站。
●非营利组织Tech Transparency Project(TTP)揭露苹果App Store前百大免费VPN,多数开发厂商身分不透明,调查发现有2成的服务拥有者是中国公司。
在漏洞消息方面,本周有微软、Adobe、SAP等多家厂商发布4月例行更新,需要大家尽快修补与因应,还有4个新遭利用漏洞的消息需密切关住,已被美国CISA列入已知漏洞利用清单(KEV)。
其中2起漏洞利用有更多消息揭露,微软的漏洞CVE-2025-29824是被骇客组织Storm-2460利用于勒索软体攻击,CrushFTP的漏洞CVE-2025-31161攻击也疑似为勒索软体组织所为,另还出现CVE争夺情形,因为此漏洞为Outpost24向CrushFTP通报,而VulnCheck另先将此漏洞指派CVE(CVE-2025-2825),导致重复与让外界误解状况,MITRE已删除后者并保留纪录
●微软修补Windows CLFS零时差漏洞CVE-2025-29824
●Gladinet修补安全文件共享平台CentreStack零时差漏洞CVE-2025-30406
●档案伺服器软体CrushFTP于3月修补的漏洞CVE-2025-31161
●Linux Kernel去年12月修补的漏洞CVE-2024-53197、CVE-2024-53150
还有一个尚未列入KEV的漏洞利用消息,是资安业者ESET最近公开1月修补的漏洞CVE-2024-11859,通报的卡巴斯基亦揭露此漏洞遭利用的情况,指出是调查中国骇客ToddyCat攻击行动所发现。
在资安产业动向上,国内有一件重大策略结盟消息,奥义智慧科技母公司赛博创新科技(CyCraft-KY)揭露新的增资案,获得上柜公司中华资安国际注资6,500万。目前CyCraft-KY(7823)正推动首次公开募股(IPO)计划,中华资安(7765)也正申请转上市。
关于其他资安防御重要新闻,Gmail推出E2EE全程加密功能,用户在撰写邮件时,点选收件者栏位右边的锁头图示就能启用。