在2025年4月第二星期的資安新聞,國內最重要的消息,就是我們在上個月報導即將公布的《國家資通安全戰略 2025》,由國家安全會議出版,4月8日正式於總統府網站發布,揭露了我國接下來的新資安戰略,將聚焦從4大支柱出發,包括:全社會防衛韌性、國土防衛與關鍵基礎設施、關鍵產業與供應鏈,以及AI應用與安全。
特別的是,報告中提到「國家資安戰情協同應變中心」的建立,以及「國家資安風險地圖」的規畫,我們認為將是一大重點,可讓綜觀全局的聯防體系更為具體,突顯國內資安聯防對此方面的重視。
在資安事故方面,國內2家上市櫃公司發布資安事件重訊,一是旅行箱製造商萬國通路,另一是偏光板廠力特光電。後續我們還發現暗網情資顯示,勒索軟體組織Qilin與Devman同時宣稱力特光電為其受害者。
還有一項消息值得國內重視,英國國家網路安全中心(NCSC)示警,發現中國駭客正鎖定臺灣、圖博、維吾爾族的團體與個人,散布間諜軟體BadBazaar和Moonshine,其手法包括假冒知名品牌App引誘安裝並要求手機各式權限。
在資安威脅方面,針對開發人員散布惡意套件,以及VPN安全隱憂的消息是主要焦點,有多起消息揭露顯現出這些狀況需要被重視。
●供應鏈資安業者發現本月4日有10個惡意VSCode擴充套件上架,目的是植入挖礦程式XMRig,但其顯示下載超過百萬次,可能駭客製造套件受歡迎的假象。
●北韓駭客Lazarus散布惡意NPM套件近期消息不斷,再有資安業者揭露其行動利用11個惡意NPM套件來散布木馬,並指出套件下架前已有5千多次下載。
●威脅情報業者警告,有駭客在3月底利用近2.4萬個IP位置,大量掃描Palo Alto Networks的GlobalProtect入口網站。
●非營利組織Tech Transparency Project(TTP)揭露蘋果App Store前百大免費VPN,多數開發廠商身分不透明,調查發現有2成的服務擁有者是中國公司。
在漏洞消息方面,本週有微軟、Adobe、SAP等多家廠商發布4月例行更新,需要大家儘快修補與因應,還有4個新遭利用漏洞的消息需密切關住,已被美國CISA列入已知漏洞利用清單(KEV)。
其中2起漏洞利用有更多消息揭露,微軟的漏洞CVE-2025-29824是被駭客組織Storm-2460利用於勒索軟體攻擊,CrushFTP的漏洞CVE-2025-31161攻擊也疑似為勒索軟體組織所為,另還出現CVE爭奪情形,因為此漏洞為Outpost24向CrushFTP通報,而VulnCheck另先將此漏洞指派CVE(CVE-2025-2825),導致重複與讓外界誤解狀況,MITRE已刪除後者並保留紀錄
●微軟修補Windows CLFS零時差漏洞CVE-2025-29824
●Gladinet修補安全文件共享平臺CentreStack零時差漏洞CVE-2025-30406
●檔案伺服器軟體CrushFTP於3月修補的漏洞CVE-2025-31161
●Linux Kernel去年12月修補的漏洞CVE-2024-53197、CVE-2024-53150
還有一個尚未列入KEV的漏洞利用消息,是資安業者ESET最近公開1月修補的漏洞CVE-2024-11859,通報的卡巴斯基亦揭露此漏洞遭利用的情況,指出是調查中國駭客ToddyCat攻擊行動所發現。
在資安產業動向上,國內有一件重大策略結盟消息,奧義智慧科技母公司賽博創新科技(CyCraft-KY)揭露新的增資案,獲得上櫃公司中華資安國際注資6,500萬。目前CyCraft-KY(7823)正推動首次公開募股(IPO)計畫,中華資安(7765)也正申請轉上市。
關於其他資安防禦重要新聞,Gmail推出E2EE全程加密功能,用戶在撰寫郵件時,點選收件者欄位右邊的鎖頭圖示就能啟用。
【4月7日】下載免費VPN行動APP要小心!有五分之一來自中國,上網恐遭監控
中國軟體業者透過多層轉投資的空殼公司,意圖隱匿中國身分,於蘋果App Store、Google Play store市集上架免費的VPN應用程式,這樣的情況相當值得留意,因為一般使用者難以追溯源頭,而有可能成為中國政府跟蹤上網流量的對象。
揭露此事的非營利組織Tech Transparency Project(TTP)指出,他們在美國蘋果App Store前100名的免費VPN應用程式裡,發現有五分之一App來自中國,這樣的情況意味著使用者很容易下載到中國業者打造的應用程式。
【4月8日】駭客上傳惡意VSCode延伸套件散布挖礦軟體XMRig
駭客盯上微軟Visual Studio Code(VSCode)用戶的情況,近期有越來越頻繁的現象,最近資安業者Koi Security揭露的攻擊行動引起關注,因為駭客上傳的惡意延伸套件,短短不到4天之內,總共就被下載超過100萬次。
但真的有這麼多人上當受騙嗎?研究人員認為,這些下載次數很有可能是人工灌水產生,目的是製造套件受到大量採用的假象,來降低開發人員的戒心。
【4月9日】微軟修補CLFS零時差漏洞,若不處理,恐面臨勒索軟體攻擊
這個星期二(4月8日)是許多廠商發布4月例行更新的日子,微軟、Adobe、SAP,以及多家廠商在這天為旗下產品進行修補,其中,微軟在這次修補126個漏洞相當引起關注,因為數量是上個月的兩倍多。
值得留意的是,其中已有被用於實際攻擊行動的零時差漏洞CVE-2025-29824,微軟威脅情報中心(MSTIC)與安全事件回應中心(MSRC)指出,駭客組織Storm-2460鎖定有限數量的目標發動攻擊。
【4月10日】中華資安投資奧義智慧,攜手拓展市場、提升國際能見度
本週臺灣資安產業迎來重大策略結盟,那就是資安服務業者中華資安國際宣布投資奧義智慧科技的消息,兩家公司在資本進行合作後,也將進行深度整合,集結各自的專業技術與實戰經驗,共同打造一支「臺灣資安國家隊」。
雙方預計將結合奧義智慧在AI資安產品方面的技術,以及中華資安在資安專業服務領域的專業團隊,聯手拓展臺灣市場及提升國際能見度。
【4月11日】國家資通安全戰略2025本週正式公布
延續蔡英文前總統的「資安即國安」的戰略核心基礎,賴清德團隊本週正式公布《國家資通安全戰略 2025——資安即國安》,當中提及現今臺灣的資安態勢相當嚴峻,光是是漸進式的做法,恐難以應付相關威脅。
這個新戰略的頒布,意義重大,因為不光是為臺灣確立國家安全的願景,更強調要提升全社會的防衛韌性。
