在2025年7月第二星期的资安新闻,涉及身分伪冒的诈骗、Deepfake事件,是我们首要关注的焦点,显示攻击者不仅用好康、冒名与假消息来骗不懂求证的人,加上Deepfake门槛变低,因此,越来越多攻击者采用语音网钓加上AI语音伪冒的手段,让受害者明知陌生电话或帐号来联系,也可能因为声音很像误信而忽略求证,下列两起事件,是我们认为这个星期最重大的资安危机。
(一)横行全球的网路投资诈骗活动BaitTrap,被资安业者CM360揭露,骇客架设逾1.7万个诱饵新闻网站,中东有1万个最多,亚太地区3,400个次之,不仅伪装成知名媒体散布假消息,并假借知名公众人物或银行名义来建立信任,宣称意外发现透过加密货币致富秘密方法来进行投资诈骗。
(二)AI伪冒政府官员的事件正引发全球关注。在美国,继5月白宫幕僚长Susie Wiles遭伪冒后,美国国务院7月也警告,有人伪冒美国国务卿卢比奥(Marco Rubio)发送文字与Signal语音讯息。国务院警告,歹徒可能企图透过AI生成的文字与语音操控特定人士,目的在于取得资讯或存取帐号。
此外,骇客也持续利用不同社交工程手法来欺骗上网的大众,散布钓鱼网站、钓鱼邮件,或是散布假浏览器套件,近期有3起重要事件揭露,意图让目标上当,导致信用卡资讯被窃或电脑被安装恶意程式。
●墨西哥记者发现当地出现各种仿冒热门品牌的钓鱼网站,有逾700个,网路情报平台Silent Push循线追查,揭露是中国骇客所为,封锁后仍有数千个钓鱼网站活跃,当中多是以假乱真的网址,诱拐消费者购买并输入信用卡资讯。
●18款恶意浏览器延伸套件被下载230万次,资安业者Koi Security揭露相关攻击行动RedDirection,指出这些伪冒的套件类型包括:Emoji符号键盘、天气预报、影片速度控制器、音量放大、YouTube解锁工具等。
●中国骇客Mustang Panda持续锁定图博人士从事攻击,IBM X-Force指出该组织寄送钓鱼邮件,利用6月图博大会、达赖喇嘛新书等时事议题作为诱饵,意图引诱开启邮件中的云端档案连结,下载包含恶意的ZIP或RAR压缩档。
在资安威胁事件与态势方面,这星期国内有一起上市公司资安事件的揭露,还有四大议题值得特别留意,涵盖OT安全、红队演练工具遭滥用,以及Linux、macOS遭锁定的态势。
●专注无线通讯模组及数位影像处理方案的海华科技,属于和硕集团的成员,他们发布资安事件重讯,揭露资讯系统遭受骇客攻击。
●挪威媒体揭露今年4月有骇客入侵Lake Risevatnet水坝控制系统,闸门开启数小时无法关闭,而原因是弱密码酿祸,幸好当时河床足以因应庞大水流。
●出现骇客滥用新的资安演练工具从事攻击的状况,Elastic发现骇客滥用回避侦测框架Shellter来散布窃资软体,企图回避防毒软体与EDR侦测。
●韩国资安公司AhnLab揭露,Linux伺服器因密码强度不足或管理疏忽,逐渐成为骇客锁定目标。
●近期针对macOS用户的窃资软体接连被揭露,包括Atomic Stealer(AMOS Stealer)、北韩骇客打造的NimDoor,以及先前揭露的Odyssey Stealer,突显攻击者锁定macOS攻击的状况是越来越多。
在漏洞消息方面,这一星期微软、Adobe、SAP等多家厂商发布7月例行更新,需要大家尽快修补与因应,还有4个老旧已知漏洞遭利用的消息需要留意,已被美国CISA列入已知漏洞利用清单(KEV)。
其中1起漏洞利用值得电信ISP业者或大型网路业者重视,是开源TCP/IP路由软体Multi-Router Looking Glass(MRLG)的漏洞CVE-2014-3931,骇客仍锁定这个10年前的漏洞来利用。其他还包括:PHP开源邮件寄送函式库PHPMailer的漏洞CVE-2016-10033,Ruby开源Web应用框架Ruby on Rails的漏洞CVE-2019-5418,以及整合式企业邮件与协作平台ZCS的漏洞CVE-2019-9621。
还有3个漏洞需要密切关注,因为已发现骇客扫描的迹象,可能是攻击前兆,这些漏洞是3月Tomcat修补的RCE漏洞(CVE-2025-24813),以及同样3月Camel修补的RCE漏洞(CVE-2025-27636、CVE-2025-29891)
至于资安防御上,有两起重要消息,一是美国司法部在义大利米兰逮捕一名中国骇客,此人涉嫌于2020年2月至2021年6月间,受中国政府指使窃取COVID-19疫苗研究成果;另一是台湾资安业者奥义智慧切入AI Guardrails领域,并携手AI业者APMIC推出AI模型XecGuard,以及Safety LLM安全评测服务。预计第三季将推出闸道端的AI防火墙产品。
微软发布今年第7次的每月例行更新(Patch Tuesday),虽然这次修补的漏洞数量相当多,但未提到这些漏洞出现用于实际攻击行动的情况,仅有一个是在微软修补前遭到公开的SQL Server弱点。漏洞悬赏专案Zero Day Initiative(ZDI)推测,微软这次修补的漏洞数量大幅增加,很有可能与接下来8月初举行的资安大型会议黑帽大会(Black Hat)、DEFCON有关。
在资安威胁态势方面,有人透过AI假冒美国国务卿卢比奥(Marco Rubio)的情况,引起该国政府重视;再者,骇客在Chrome、Edge延伸套件市集上架恶意套件的攻击行动,这些套件已被下载230万次,使用者应尽速确认是否受害;而对于新兴勒索软体Bert的动态,他们从原本锁定Windows电脑,如今也加密虚拟化平台的档案。
企业级红队演练工具遭到骇客滥用的情况,最常见的就是Cobalt Strike、Brute Ratel C4(BRc4),但如今有另一款名为Shellter工具遭到利用,罕见的是,开发团队也做出公开说明,表示他们打算如何因应及防范类似情况再度发生,并希望察觉此事的Elastic能够及早通知,而非看到部落格文章才得知此事。
除此之外,美国逮捕涉嫌听令中国政府窃取COVID-19研究资料的中国骇客,也相当受到关注,尤其是这些骇客为了搜括资料,后续更进一步利用资安漏洞ProxyLogon,对Exchange伺服器发动大规模攻击。
在资安威胁态势方面,有人透过AI假冒美国国务卿卢比奥(Marco Rubio)的情况,引起该国政府重视;再者,骇客在Chrome、Edge延伸套件市集上架恶意套件的攻击行动,这些套件已被下载230万次,使用者应尽速确认是否受害;而对于新兴勒索软体Bert的动态,他们从原本锁定Windows电脑,如今也加密虚拟化平台的档案。