【資安月報】2025年1月,國家級駭客的網路間諜攻擊事件不斷,海纜與國家通訊韌性也受到考驗

適逢農曆年節,回顧2025年第一個月的資安新聞,多項消息顯現出網路安全面臨的挑戰是越來越嚴峻,不論是國家級駭客的網路間諜攻擊、海纜安全與國家通訊韌性面臨的惡意破壞與天然考驗,以及殭屍網路DDoS攻擊持續帶來的服務中斷情形,都持續引發大眾的關切

新聞 | Apache | Struts | CVE-2023-50164 | rce

Apache Struts存在重大層級的RCE漏洞,已有攻擊者試圖找出存在弱點的應用程式

上週Apache基金會發布Java應用框架Struts 6.4.0版,修補重大層級的遠端執行任意程式碼(RCE)漏洞CVE-2024-53677,本週資安研究機構SANS警告,他們偵測到嘗試利用這項漏洞的跡象,呼籲IT人員要儘速採取行動因應

2024-12-18

新聞 | google | Go | Protobuf

Go Protobuf加入Opaque API,資料序列化效能與安全性皆獲升級

Go語言Protobuf(Protocol Buffers)添加新Opaque API,提升記憶體效率與效能,並透過隱藏欄位強化安全性,解決指標操作風險

2024-12-18

新聞 | IT周報 | FinTech周報 | AI金融 | 澳洲國民銀行

Fintech周報第258期:澳洲國民銀行運用AI輔助開發工具建立內部開發框架;台新金控運用生成式AI輔助開發工具加速AI應用開發

越來越多金融業開始運用生成式AI輔助開發工具,國外有金融業者揭露內部已在試用客製化功能,能按照團隊的內部函式庫、專有演算法技術,和企業程式碼風格輔助開發,優先運用在輔助開發內部開發框架,國內也有金融業者將輔助開發工具用來加速AI應用開發。

2024-12-17

新聞 | 資安日報

【資安日報】12月17日,學術研究員與資安人員遭到鎖定,駭客竊得逾39萬筆WordPress帳密

資安人員與學術研究員遭到駭客鎖定的情況頻傳,雲端監控服務業者Datadog揭露新一波大規模攻擊行動,駭客假借提供身分檢查器、修補程式為由,散布惡意酬載

2024-12-17

新聞 | 物聯網 | IoT | BadBox | 德國聯邦資訊安全辦公室 | BSI

德國封鎖預載於安卓物聯網裝置的惡意軟體BadBox,感染設備至少3萬臺

德國聯邦資訊安全辦公室(BSI)宣布切斷惡意軟體BadBox的運作,並指出受到影響的物聯網裝置至少有3萬臺,涵蓋數位相框、影音播放器,甚至有可能波及智慧型手機及平板電腦

2024-12-17

新聞 | 惡意軟體 | Yokai | ADS

泰國政府官員遭到鎖定,駭客利用檔案系統的資料流傳遞後門Yokai

資安業者Netskope發現後門程式Yokai的攻擊行動,並指出駭客的主要目標,就是泰國的政府官員,他們假借美國政府尋求執法活動協助為由,引誘官員上當,從而於電腦植入惡意軟體

2024-12-17

新聞 | OpenAI | ChatGPT | 網頁搜尋 | Search the web

ChatGPT網頁搜尋功能將開放給所有用戶

OpenAI宣布ChatGPT網頁搜尋功能將逐步開放給免費版用戶

2024-12-17

新聞 | Veo 2 | 影像生成模型 | Google DeepMind

Google DeepMind推Veo 2影像生成模型,可生成比Sora解析度高4倍、長度多6倍的影片

Google強調與OpenAI Sora最高生成1080p、20秒的影片相比,新一代影像生成模型Veo 2能生成4K解析度畫質的2分鐘影片

2024-12-17

新聞 | 中國駭客 | APT41 | Winnti | Earth Baku | Brass Typhoon | PHP | Linux | Glutton

黏接PHP框架、增加隱匿度,中國駭客APT41打造PHP木馬程式Glutton

中國資安業者奇安信揭露中國駭客組織APT41打造的PHP惡意程式Glutton,並指出駭客暗中運用這支後門很可能已有一年以上的時間,攻擊中國、美國等地的IT服務公司及社會福利機構

2024-12-17

新聞 | 資料外洩 | WordPress | 供應鏈攻擊 | 網路釣魚攻擊

逾39萬筆WordPress帳密遭竊,攻擊者利用網釣與夾帶後門程式的身分檢查器進行滲透

雲端監控服務業者Datadog指出,他們發現新一波鎖定學術研究員與資安人員的攻擊行動,駭客已從中竊得逾39萬組帳密資料,研究人員研判,這些資料應該是WordPress帳密

2024-12-17

新聞 | Anthropic | Clio | 分析

Anthropic針對AI隱私保護與安全分析需求,公開Claude使用分析系統Clio

Anthropic發布Clio系統,該系統利用匿名化與資料聚合技術,在保護用戶隱私的前提下,分析AI模型應用情境,掌握用戶使用模型的狀況,同時減少安全誤報與漏報風險

2024-12-17

新聞 | 資安日報

【資安日報】12月16日,勒索軟體駭客Clop聲稱對Cleo檔案共享系統零時差漏洞發動攻擊

上週傳出的Cleo檔案共享系統零時差漏洞事故,一度傳出是勒索軟體Termite所為,如今有新說法──連年針對MFT系統下手的勒索軟體駭客組織Clop宣稱是他們所為

2024-12-16