【資安月報】2024年12月，美國9家電信業遭中國駭客Salt Typhoon滲透，政府呼籲使用全程加密的即時通訊App

在2024年最後一個月的資安新聞中，多個國家級駭客網路攻擊的事件與威脅公開，持續引發各界高度重視，在此我們整理出5大威脅態勢與2大防護面的進展，幫助大家回顧本月重要新聞。

其中幾項議題值得重視，像是在國家級駭客的多起網路間諜攻擊事件中，美電信業遭中國駭客Salt Typhoon滲透的後續消息不斷，突顯事件嚴重性需特別看待，因此列為第一焦點；還有臺灣面臨的資安威脅方面，由於近半年我國遭同一組織持續數波DDoS攻擊，難得有國內業者剖析其攻擊手法，也是值得獨立看待的重要議題，因次列為第三焦點。

（一）中國網路間諜攻擊席捲全美

2024美國電信業遭中國駭客組織Salt Typhoon滲透的後續消息不斷，當地至少9家電信業遭入侵，美國與多國網路安全機構亦在12月3日發布電信業強化指引，還有美CISA在12月18日發布行動通訊安全指南，積極倡導E2EE全程加密重要性，並敦促政府高階官員與政治人物應採用如Signal等具E2EE的通訊軟體。

（二）國家級駭客威脅加劇

受政府資助駭客組織的威脅不斷，持續在灰色地帶的網路世界肆意發動攻擊，資安界與國家網路安全機構持續示警，不只是上述中國駭客組織Salt Typhoon入侵美電信業，12月還有多起重要消息：
●韓國資安業者AhnLab揭露中國駭客TIDrone入侵韓國企業，其手法有二，一是假借提供ERP軟體名義散布惡意程式，一是利用另款韓國ERP系統遞送惡意程式。
●BeyondTrust緊急修補已遭利用的零時差漏洞，後續美國財政部表示因此事件受害，並指出是中國駭客組織所為。
●資安業者Sophos公布歷時5年調查的「Pacific Rim」行動，揭露駭客在四川進行漏洞研究與開發，並將結果提供給中國政府支持的駭客團體使用。
●美國政府指控中國民間公司四川無聲信息技術員工關天峰，在2020年利用Sophos防火牆零時差漏洞入侵全球近8.1萬臺設備，並祭出千萬美元懸賞。
●TeamT5威脅分析師高峰會舉行，研究人員解析這一年來的中國APT攻擊態樣與假訊息態勢，強調：邊緣裝置漏洞已成中國駭客滲透主要目標，以及中國駭客轉向勒索謀生使中小企業危害大增。

（三）臺灣遭遇DDoS威脅最新剖析

2024年下半臺灣遭遇親俄駭客組織NoName057對臺發動數波DDoS攻擊，影響許多政府機關與上市櫃公司網站服務的運作，國內資安業者安碁資訊在12月剖析其手法，主要是採消耗系統資源的HTTP洪水攻擊，而非消耗頻寬的洪水攻擊，並指出攻擊者利用VPS虛擬主機或VPN隱匿其攻擊背後的真實IP位址，而且只針對特定4到10個URL頁面集中攻擊，就能達到服務阻斷的目的。

（四）臺灣重大資安事件

根據公開資訊觀測站的重大訊息公告，本月5家上市櫃公司發布資安重訊。
●第一星期有2起，新天地表示網路遭受DDoS攻擊；陽明部份資訊系統遭受駭客網路攻擊。
●第三星期有2起，盛群的MCU創意競賽網站遭受駭客網路攻擊（後續二度公告補充，求職者履歷後端管理平台同樣遭攻擊，且有部份資料可能外洩）；京晨科發生部分資訊系統遭受駭客攻擊。
●第四星期有1起，合晶代子公司Helitek公告，說明部分資訊系統遭受攻擊。

還有1起與臺灣有關的威脅與風險揭露，同樣值得留意，這起事件是有攻擊者假借提供報價名義企圖散布惡意軟體SmokeLoader，資安業者Fortinet指出，他們觀察到這樣的攻擊自今年9月開始，主要針對臺灣的製造業、醫療保健、資訊科技等業者而來。

（五）勒索軟體威脅生生不息

勒索軟體攻擊威脅依然嚴峻，最近國際間傳出幾起重要事件，值得我們留意。例如，半年前日本知名影音共享平臺Niconico、角川書店遭駭，如今傳出他們支付勒索集團高達300萬美元（約9,600萬元）。

此外，羅馬尼亞電力公司Electrica Group遭遇資安事故，羅馬尼亞國家網路安全局（DNSC）指出遭勒索軟體Lynx攻擊，還有12月Cleo的MFT檔案傳輸系統修補已遭利用零時差漏洞，傳出此攻擊導致60家企業遭Clop勒索軟體組織攻擊。

（六）AI發展持續帶來挑戰需要因應

在AI能力進步顯著之下，有3則新聞顯露出最新資安發展與重點，包括：英國電信業者O2展現AI對抗詐騙新成果，發表能即時接聽詐騙電話與歹徒聊天的AI阿嬤（AI Granny）Daisy，作用是耗用詐騙者時間、減少其他人被騙；趨勢科技發表「AI防詐達人」App，最特別是提供換臉詐騙偵測功能，突顯人臉Deepfake偵測技術朝向普及，並提供可識別圖片的詐騙查證。

此外，資通安全研究院院長何全德在年底一場活動闡釋「新世代AI對資安治理的挑戰與機遇」，他呼籲大家應用AI應關注資安、倫理和治理風險，並指出已有企業成立AI道德倫理委員會，同時呼籲臺灣制定AI安全政策，可參考美國CISA局長Jen Easterly提出的AI風險四大關鍵面向思考應對策略，包括：技術發展速度（Velocity）、系統脆弱性（Vulnerability）、資料真實性（Veracity）、持續警覺性（Vigilance）

（七）密碼敏捷性與AI BOM發展成2025焦點

對於2025年資安市場的發展，市調機構IDC公布新一年度預測，強調密碼敏捷性（Crypto-agility）與AI BOM的興起。

事實上，為了因應量子破密威脅，NIST在2022年已在推廣密碼敏捷性（Crypto-agility）的概念，並且PQC標準選用的演算法也涵蓋不同的數學方法作為備用，確保加密演算法能靈活升級與更換，如今IDC認為企業2025年量子破密防護技術的布局上，將優先採用Crypto-Agility框架；在AI資安領域，AI物料清單（AI BOM）的議題已經不斷被提及，IDC預期業界在2025年將加速推廣AI BOM，之後也會帶動數據物料清單（Data BOM）的發展。

【資安週報】1202~1206，英國電信業者O2對抗電話詐騙出新招，開發聊天AI阿嬤牽制詐騙

在12月第一星期的資安新聞，在資安防護與數位信任方面，用AI對抗詐騙有極具創意的新進展正實現，英國電信業者O2上個月展現新的成果，發表AI阿嬤（AI Granny）Daisy，並由專門對抗詐騙、曾經揪出偽冒技術支援客服中心的北愛爾蘭YouTuber「Jim Browning」協助訓練，能即時接聽詐騙電話並與歹徒聊天，如此一來可耗用詐騙者時間、減少其他人被騙。

在資安威脅態勢方面，有兩起與臺灣有關的重要消息，首先是針對先前親俄駭客組織NoName057對臺的DDoS攻擊，國內資安業者安碁資訊揭露其具體手法，指出該組織癱瘓網站服務的DDoS攻擊做法，主要是消耗資源的HTTP洪水攻擊，而非消耗頻寬類型的阻斷模式，並說明攻擊者會先找出合適的HTTP洪水攻擊的頁面，之後只集中攻擊特定4到10個URL頁面，就能奏效。

另一是關於惡意軟體SmokeLoader假借報價名義的對臺攻擊活動揭露，資安業者Fortinet指出，這波攻擊從今年9月就針對臺灣的製造業、醫療保健、資訊科技及其他領域的公司而來，並指出攻擊者先是透過釣魚信、假借寄送報價單的名義，誘騙收信者開啟內含惡意VBS的附件。

在其他重要威脅消息方面，網路間諜行動的揭露是主要焦點，有兩起新聞與之有關，其攻擊目標涵蓋企業、組織，以及圖博與維吾爾族民眾。

●美大型企業組織於8個月前遭網路間諜攻擊事件被揭露，資安業者賽門鐵克指出攻擊者與中國駭客組織Daggerfly有所關聯，試圖收集機敏電子郵件內容，並濫用FTP軟體Filezilla外傳竊得的資料。
●新一起鎖定圖博及維吾爾族的間諜行動被揭露，資安業者趨勢科技指出，Earth Minotaur駭客組織會針對安卓與Windows裝置部署DarkNimbus後門程式，且暗中活動已長達5年，近日才被發現。
●韓國警方公布逮捕生產衛星接收器的執行長與員工，原因是買家向他們要求設備必須含有DDoS攻擊能力，該業者竟然配合對方製造這類型產品。
●美國、泰國、阿拉伯聯合大公國的航太及半導體產業遭鎖定，威脅情報業者ThreatBook指出此事件是伊朗駭客APT35所為，並會利用假徵才網站發動攻擊。

至於資安事件方面，國內有兩家上市公司發布資安事件重訊，國際間也有2起勒索軟體攻擊成為國際焦點。

●陽明海運部份資訊系統遭受駭客網路攻擊事件
●上市觀光餐旅新天地說明網路遭受駭客網路DDoS攻擊
●英國電信龍頭BT Group傳出遭遇勒索軟體Black Basta攻擊
●勒索軟體駭客組織Brain Cipher聲稱入侵德勤（Deloitte）英國分公司

在漏洞消息方面，有4個已知漏洞遭利用的消息，其中兩個漏洞先前曾經示警，包括：10月底Cyber​​Panel修補其伺服器管理平臺CVE-2024-51568漏洞，當時傳出勒索軟體Psaux鎖定這些漏洞；去年10月日本線上儲存與應用硬體軟體公司North Grid修補Proself系統的CVE-2023-45727漏洞，今年7月JPCERT曾公布有駭客利用此漏洞，如今這些情況均得到美國政府證實。

另兩個分別是，兆勤科技在今年11月底才修補的漏洞CVE-2024-11667，以及檔案共享平臺ProjectSend在8月修補的漏洞CVE-2024-11680，也被美國CISA列入已知漏洞利用清單。

特別的是，有2個尚未公開CVE編號的零時差漏洞消息，一是資安業者0patch發現，去年10月終止支援的Windows Server 2012、2012 R2有零時差漏洞，另一是資安業者Any.run指出駭客疑似利用零時差漏洞、濫用Word檔案修復功能，並假借公司人資與員工福利的名義從事網路釣魚，需要繼續留意與追蹤。

還有一起零時差漏洞利用狀況是日本JPCERT/CC在12月4日示警，指出I-O Data兩款LTE無線基地臺的零時差漏洞已遭利用，包括CVE-2024-45841、CVE-2024-47133、CVE-2024-52564。

雖然上述這家日本產品業者未能在CVE公布之際推出修補（預計12月18日發布更新），但我們注意到，該公司11月13日就曾發布產品安全公告先對外示警，在JPCERT/CC於JVN平臺公布其漏洞後，他們也更新事件說明，相較之下，臺灣遇到類似狀況的處理方式會是什麼？目前TWCERT/CC會在TVN平臺發布部分臺灣IT產品的漏洞資訊，但我們發現部分業者官方網站未能找到這些資訊，顯示臺廠揭露透明度仍有提升空間。

【資安週報】1209~1213，逾30萬臺開源監控軟體Prometheus主機曝露資安風險

在12月第2個星期，適逢多家IT廠商釋出每月例行安全更新，包含微軟、SAP、Adobe、西門子、施耐德電機，需要大家關注與儘快修補，而漏洞新確認遭利用的消息更需密切關注，例如，微軟修補1個已遭利用的零時差漏洞CVE-2024-49138，以及10月底Cleo修補三款MFT檔案傳輸系統的漏洞CVE-2024-50623，因當時修補不全，如今有零時差漏洞利用攻擊出現。

另要留意的是，還有資安業者0Patch針對微軟Windows零時差漏洞示警，尚未有CVE編號，也尚未有修補釋出，但強調此漏洞涉及NTLM，且引誘使用者觸發漏洞的難度並不高，因此暫時不會公布相關細節。

在資安威脅態勢上，有一則關於開源工具Prometheus的重要消息，這款工具經常被用於監控Kubernetes狀態，近期有資安業者對其進行調查，結果發現約有33.6萬臺主機曝露資安風險，原因在於這些伺服器與Exporter多半缺乏合宜的身分驗證，恐讓攻擊者可以輕易地收集帳密或API金鑰等敏感資料。

其他重要威脅態勢，軟體供應鏈攻擊的狀況再次出現，AI模型套件Ultralytics遭滲透成主要焦點；南歐資訊服務業者遭中國駭客鎖定的消息，被兩家資安業者聯手揭露，也引發關注，因為攻擊者濫用Visual Studio Code遠端開發功能來隱匿入侵。此外，關於瀏覽器隔離技術的攻擊研究也必須重視，發現可突破防護的攻擊手法，提醒企業不能完全仰賴RBI，仍需要有多層防護與整體資安強化策略。

●PyPI套件Ultralytics被入侵，攻擊者在釋出的新版本植入挖礦軟體，其相依性套件SwarmUI和ComfyUI也受影響，且後續仍傳出相關攻擊行動。
●中國駭客今年6至7月入侵南歐B2B資訊科技服務供應商，兩資安業者聯手揭露其特殊隱匿手法，指出駭客濫用VSCode遠端開發的tunnel功能來控制受害電腦。
●企業員工上網若採用瀏覽器隔離技術進行保護，仍有機可乘，仍要關注與研究可能威脅，有資安廠商紅隊發現用QR Code傳遞C2命令的技倆，可突破RBI等三大類型瀏覽器隔離防護機制。
●DroidBot安卓遠端存取木馬（RAT）自今年6月起鎖定77家銀行的客戶，資安業者特別指出此木馬顯示行動惡意軟體生態系也出現開發與攻擊分工的情況。
●資安業者Lockout發現新一個安卓間諜軟體EagleMsgSpy，循線追查背後使用該程式的是中國公安。

還有一起關於2020年國家級駭客攻擊的幕後兇手浮上檯面，11月資安業者Sophos公布歷時5年調查的「Pacific Rim」行動，揭露駭客在四川進行漏洞研究與開發，並將結果提供給中國政府支持的駭客團體使用。美國財政部外國資產控制辦公室於12月10日指控，當時利用Sophos防火牆零時差漏洞、入侵全球近8.1萬臺設備的是四川無聲信息技術（Sichuan Silence）員工關天峰，美國國務院則祭出關於該嫌情報的千萬美元獎金懸賞。

勒索軟體攻擊事件仍不斷發生，這一星期有兩則消息，特別是羅馬尼亞電力公司Electrica Group遭遇網路攻擊的事故，羅馬尼亞國家網路安全局（DNSC）已指出是遭到勒索軟體Lynx攻擊，並呼籲其他能源業者要嚴加防範；另一是上月SaaS軟體服務供應商Blue Yonder遭網路攻擊，如今傳出攻擊者是勒索軟體Termite。

在資安防禦上，以臺灣加入FIRST國際資安應變組織的消息最受矚目，今年數量從17個變25個，特別是電子業有更多類型的公司加入，包括IC設計、工業電腦與電腦設備大廠，而且還有國內金融機構首度成為FIRST成員。

在國際間則有多項打擊網路犯罪成果發布，包括歐洲警方關閉網路犯罪市集Manson Market，歐洲刑警組織號召15國合作關閉27個非法DDoS租用服務，以及比利時與荷蘭聯手、西班牙與秘魯聯手，各自破獲跨國電話網釣集團，這也突顯跨國界合作成為打擊犯罪的關鍵，特別是歐洲地區在執法合作上持續有進展與突破。

【資安週報】1216~1220，美國傳出正評估是否禁用TP-Link網路設備，起因與中國駭客經營的殭屍網路Quad7有關

關於12月第3個星期的重要資安新聞，美國傳出打算禁用TP-Link路由器是一大焦點，外界認為與中國駭客經營的殭屍網路Quad7有關，促使美國政府進一步探討相關風險，也突顯邊緣裝置安全是持續備受關注的重要議題。另一重要消息在於，中國駭客組織Salt Typhoon滲透美國電信公司的後續消息不斷，如今美政府積極倡導E2EE全程加密重要性。

在威脅態勢上，這一星期有供應鏈攻擊、密碼潑灑攻擊的兩則重要新聞，一是今年曾攻擊臺灣無人機廠商的中國駭客組織Tidrone，韓國資安業者發現該組織也針對當地的ERP軟體下手來入侵韓國企業；另一是Citrix示警指出駭客正針對其設備發動攻擊，特殊之處是針對不同帳號使用一組數量不多的常見密碼來攻擊，以規避系統判定異常，又或是以大量嘗試登入方式來癱瘓系統資源。

●中國駭客TIDrone對韓國企業發動攻擊，使用兩種手法入侵受害公司，其中一種是供應鏈攻擊手法，入侵當地ERP軟體再入侵目標企業。
●德國聯邦資訊安全辦公室（BSI）與Citrix警告，發現攻擊者鎖定Citrix NetScaler設備發動暴力破解的攻擊行動。
●中國資安業者奇安信發現中國駭客組織APT41正打造PHP木馬程式Glutton，受害者位於中美兩地。
●泰國政府官員遭鎖定，資安業者揭露攻擊者使用的後門程式Yokai。
●超過39萬筆WordPress帳密遭竊，資安業者指出攻擊者利用網釣與夾帶後門程式的身分檢查器進行滲透。

還有兩則針對水利設施、視訊鏡頭及DVR設備的資安預警，同樣值得大家留意，一是美國環境保護局（EPA）與CISA呼籲水利設施與廢水處理業者，應儘速處理曝露在網際網路的HMI，避免攻擊者有可乘之機；一是美FBI針對最新一波木馬程式HiatusRAT的攻擊行動示警，該組織去年曾鎖定臺灣與美國，今年鎖定更多國家，包括澳洲、加拿大、紐西蘭、英國。

在漏洞消息方面，這一星期有6大漏洞利用狀況，包括BeyondTrust、Celo的產品遭零時差漏洞利用，微軟、Adobe今年的已知漏洞，以及京晨科與Reolink的NVR與IP Cam老舊漏洞遭利用。

●BeyondTrust修補旗下以遭利用的遠端支援系統、特權遠端存取系統的零時差漏洞CVE-2024-12356，已發現攻擊者用於入侵其SaaS環境用戶，兩日後再發現攻擊者還利用另一零時差漏洞CVE-2024-12686。
●Celo修補三款MFT檔案傳輸系統的零時差漏洞CVE-2024-55956，有資安業者指出12月初已有利用跡象，勒索軟體組織Cl0p宣稱是其所為。
●微軟在6月修補Windows Kernel Mode的漏洞CVE-2024-35250，以及Adobe在3月修補ColdFusion的漏洞CVE-2024-20767，如今發現針對未修補用戶的攻擊。
●臺灣京晨科技（NUUO）網路監控主機NVRMini2的老舊漏洞CVE-2018-14933、CVE-2022-23227，以及中國Reolink多款IP攝影機的老舊漏洞CVE-2019-11001、CVE-2021-40407，近日美國CISA將之列入已知漏洞利用清單。

還有一個重大漏洞修補需要重視，那就是12月中旬修補的Apache Struts漏洞CVE-2024-53677，有資安研究機構警告發現有攻擊者嘗試掃描這項漏洞的跡象。

至於資安事件方面，國內有兩家上市櫃公司發布資安事件重訊，巧合的是，12月18日美國政府才向使用京晨科技產品的企業警告，發現攻擊者鎖定其產品已知漏洞進行攻擊，19日京晨科技又因自家企業遭駭客攻擊而發布資安重訊。

●上市半導體業盛群的MCU創意競賽網站遭受駭客網路攻擊
●上櫃光電業京晨科有部分資訊系統遭受駭客攻擊
●日本知名影音共享平臺Niconico、角川書店半年前遭駭，如今傳出角川集團支付勒索集團300萬美元的消息。

在資安防禦上，隨著2025即將來到，有多家市場分析機構與廠商都對未來的資安態勢，提出預警，例如，在新的PQC加密逐漸普及下，網路安全產品也要應對隱藏於加密流量的網路威脅；生成式AI的資安威脅已探討多時，如今還強調企業須重視建立AI BOM清單來強化資安防護力；還有中國國家級駭客轉向勒索軟體維生的全新態勢，提醒中小企業將面對更嚴峻的網路威脅。

【資安週報】1223~1227，年度威脅分析師高峰會揭露中國APT攻擊態樣與假訊息潮流

告別2024年在即，回顧12月第4個星期的資安新聞，我們優先推薦TeamT5威脅分析師高峰會上的重要揭露，他們解析這一年來的中國APT攻擊態樣與假訊息態勢，惡意活動顯著增加，不僅結合AI與邊緣裝置漏洞發動精準攻擊，而且過去由政府資助的中國駭客組織，因經濟壓力而必須自力更生，於是，不只攻擊國家、軍方與大企業，也開始以金錢為目的鎖定中小企業攻擊。

另一重要消息，在於資安防護層面的作法。由於中國駭客對美電信業發動網路間諜攻擊，美CISA在12月初針對電信業者發布資安強化指引，到了18日，再發布行動通訊最佳實作指引，呼籲政府機關的高層等高風險用戶，應改用iOS與Android雙平臺皆支援全程加密（E2EE）的加密通訊軟體，以因應中國駭客入侵電信業的間諜活動威脅。

此外，繼上星期美國政府傳出禁用TP-Link路由器，該國參議院通過新一年度國防授權法，當中要求無人機大廠大疆（DJI）在一年內證明自己並未威脅美國國家安全，否則美FCC將禁止其產品在美國境內銷售，也不會授權DJI廣播其無線電波使用美國固網連線。

在威脅態勢上，有3起資安事件與殭屍網路病毒相關，其中兩起突顯資安界一直提醒的網路設備安全管理問題：使用Admin、0000等預設密碼、使用廠商停產且不再支援的設備。這些不安全狀態遲遲無法改善，持續成為攻擊者積極鎖定的目標。

●Juniper Networks發布資安公告，指出有用戶回報其Session Smart Router路由器遭植入殭屍網路病毒Mirai，並指出受害設備共通點是使用預設密碼的狀況。
●臺廠永恒數位通訊（Digiever）已EOL的NVR設備DS-2105 Pro遭鎖定，被散布Mirai殭屍網路病毒變種Hail Cock，Akamai指出駭客可能利用零時差漏洞入侵。
●惡意軟體BadBox攻擊升溫，德國12月中旬以DNS陷坑技術中斷當地BadBox運作，全球仍有19.2萬臺安卓裝置被駭客控制並組成殭屍網路，其中包括Yandex智慧電視與海信智慧手機。

還有一項消息涉及開源軟體供應鏈攻擊，企業與開發者需重視，有資安業者揭露新的Python惡意套件，指出Zebo與Cometlogger這兩款套件看似一般開源程式，但利用合法Python函式庫結合混淆技術，來隱藏其竊取憑證的目的。

在資安事件方面，這一星期有合晶美國子公司Helitek、日本航空JAL遭駭，另外，有兩起多年前發生的資安事故如今有後續消息。

●上櫃半導體業合晶在12月26日代子公司Helitek公告發生網路資安事件，說明部分資訊系統遭受攻擊。
●日本航空（JAL）在12月26日早上公告連接內外網路環境的路由器設備出現異常，導致國內外航班延誤，當地媒體指出是伺服器遭DDoS攻擊造成。
●思科10月傳出資料遭竊的事故，如今有駭客聲稱握有4.5 TB資料。
●2014到2020年間萬豪國際及喜達屋連鎖飯店發生大規模資料外洩，美FTC指控飯店謊稱具合理適當的資安防護，如今祭出新和解條件，限期半年內強化資安。
●Meta、WhatsApp在5年前對以色列間諜軟體公司NSO Group提告，指控其利用WhatsApp零時差漏洞入侵逾1,400臺行動裝置，如今判決WhatsApp勝訴。

在物聯網雲端平臺安全議題上，資安業者Claroty發現中國網路設備業者銳捷網路（Ruijie Networks）雲端設備管理平臺的10個漏洞，已通報該業者修補，並指出MQTT通訊協定實作的問題。

在漏洞利用方面，有個零時差漏洞利用活動需關切後續發展，苦主是資安廠商Palo Alto Networks，他們修補防火牆與Prisma Access的漏洞CVE-2024-3393，並指出該漏洞已被用於攻擊行動。

在重要漏洞修補動向上，Apache基金會針對Tomcat重大RCE漏洞（CVE-2024-50379）修補不全，再度發布資安公告，要求用戶調整Java元件部分組態因應，另也針對開源CDN軟體Traffic Control修補重大漏洞。

其他可留意的漏洞修補消息，包括基於Git而成的程式碼管理系統Gogs修補一系列漏洞，Sophos修補兩項防火牆漏洞，以及MinIO修補物件儲存平臺漏洞等。

【資安週報】1230~0103，密碼敏捷性與AI BOM成2025年新焦點，市調機構預測將是驅動資安市場的關鍵動能

在2024邁向2025年之際的資安新聞中，DDoS攻擊的資安事件再成國內焦點，群光在1月2日周四傍晚發布資安重訊，表示該公司官方網站遭受網路DDoS攻擊。值得注意的是，後續我們發現，同日遭攻擊的政府相關單位，還有主計總處、桃園捷運、松山機場、櫃買中心成目標，而且隔日再有多家上市櫃公司也表示受到DDoS攻擊，包括，上市公司世芯-KY、大眾電腦、台塑，以及上櫃公司青雲。

事實上，這已是親俄駭客NoName057繼去年9月、10月後，對臺發動的第3波攻擊，該組織也依然囂張地在社群平臺X公布其攻擊活動，而且上述公家與民間單位，有相當高比例是再次遭受攻擊。此外，NoName057聲稱的攻擊目標還包括：台船、ITIS產業技術資訊服務網、臺灣港棧服務網、臺灣金融服務業聯合總會、馬祖航空站、交通部航港局、臺灣自由貿易港區網站等。

其他重要資安事件包括，有3起是月前資安事故的後續消息，涵蓋施耐德電機遭駭，以及BeyondTrust與Cleo的零時差漏洞利用。
●施耐德電機11月遭駭，12月底有駭客在暗網公布相關檔案。
●BeyondTrust於12月中揭露零時差漏洞利用情形，新傳出美國財政部因此受害。
●Cleo於12月被資安業者揭露有零時差漏洞利用，傳出60家企業遭Clop勒索。
●德國福斯被發現旗下軟體公司Cariad應用程式配置不當，致雲端資料庫曝險。
●資安業者iProov示警，發現暗網一批資料內含大量身分證明文件及對應的臉部圖片，將對KYC識別帶來挑戰，歹徒可用這些真實資料突破金融單位的驗證。

在資安防禦及發展的消息中，2025年的到來，市調機構IDC公布了臺灣資安產品市場的預測報告，強調了該領域的快速增長潛力，指出未來4年市場規模從2024年的4.62億美元，增至2028年的7.16億美元。

特別的是，IDC還強調量子韌性與AI資安將推動更多市場需求。基本上，因應量子破密威脅，NIST在2022年已在推廣密碼敏捷性（Crypto-agility）的概念，如今IDC認為2025年企業將優先採用Crypto-Agility框架，以確保加密演算法能靈活升級與更換；在AI資安領域，透明度與安全性將成發展重點，近期我們時常聽到資安專家談及AI物料清單（AI BOM）的議題，IDC亦認為業界在2025年將加速推廣AI BOM，並將帶動數據物料清單（Data BOM）的興起。

另一個焦點是近年萬眾矚目的生成式AI技術，最近我們報導資安院院長何全德闡釋了新世代AI對資安治理的挑戰與機遇，他呼籲應用AI應關注資安、倫理和治理風險，如今許多大型企業已經行動，包括透過紅隊演練，或推行提示多樣性注入機制來因應，並有企業開始成立了AI道德倫理委員會，同時他也建議，可參考美國CISA局長Jen Easterly提出的AI風險四大關鍵面向：Velocity、Vulnerability、Veracity、Vigilance，作為臺灣制定AI安全政策的重要依據。

對於臺灣企業組織的資安強化，何全德也強調，資安理念正從傳統的信任架構轉型為零信任模式（Zero Trust），這不僅是技術的革新，更是戰略上的長期規畫，他並指出「資安向左移」、「從駭客視角強化資安」，都是當前提升防護能力的重要方向。

此外，數位部一項新進展也受關注，預計2025年推出「臺灣數位皮夾」，將採用可驗證憑證（VC）和去中心化身份（DID）等技術，不只可存放政府核發的證件卡片，學位證書、企業核發的員工證等未來也能加入

在漏洞消息方面，有多項開源軟體有關的修補需要企業重視，包括：Linux作業系統開源影音框架GStreamer、Java網路應用程式框架Apache MINA、開源發票及專案管理平臺Invoice Ninja，以及開源NAS作業系統TrueNAS Core。

此外，有研究人員展示Windows 11 BitLocker漏洞攻擊手法，雖然此一手法是利用舊有bitpixie漏洞（CVE-2023-21563），但可透過降級攻擊成功重現了漏洞利用。研究人員強調，此攻擊需近距離短暫接觸實體設備，對一般用戶影響有限但對重視資安的企業與政府來說需格外重視。

【2024年11月資安月報，身分安全與AI成資安熱點，電信業滲透事件敲響警鐘】

【2024年10月資安月報】關切資安法修法、零信任、CMMC 2.0與資訊作戰，迎向不斷變化的資安威脅考驗

【2024年9月資安月報】數十個臺灣政府機關、企業的網站服務遭受DDoS攻擊

【2024年8月資安月報】

【2024年7月資安月報】

【2024年6月資安月報】