資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0217~0221,中國駭客組織Salt Typhoon入侵全球電信業後續消息不斷,思科Talos公布入侵手法

回顧2025年2月第三星期的資安新聞,中國駭客Salt Typhoon攻擊全球電信業的後續消息是主要焦點,包括Recorded Future、思科Talos相繼公布最新發現;其他網路攻擊活動的揭露,以中國駭客APT41旗下Winnti入侵該國多個產業最受矚目,當地資安業者Lac指出對方從目標組織Web伺服器上執行的ERP系統漏洞入侵

2025-02-24

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0210~0214,馬偕醫院遭勒索軟體CrazyHunter攻擊,攻擊者滲透AD並使用BYOVD提權攻擊手法

在2025年2月第二星期資安新聞中,勒索軟體衝擊臺灣醫院與上市公司的消息是主要焦點;這一星期多家IT大廠發布安全性更新需趕緊因應,還有微軟、蘋果、PostgreSQL針對已遭利用零時差漏洞的修補,要特別重視

2025-02-17

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, DeepSeek

【資安週報】0203~0208,DeepSeek服務資安風險成焦點,包括資料庫裸奔、無法抵擋基本越獄手法,以及資料與隱私安全問題

回顧2025年2月第一星期的資安新聞,國內上市櫃公司的資安事故是一大焦點,從大年初四至今就有7家公司發布重訊,其中PCB業者最要注意,因為有3家都在此時遭到攻擊;春節期間成熱門話題的DeepSeek,不只因為大幅優化GPU利用效率受關注,其資安風險也如同過去ChatGPT爆紅時一樣受到多方檢視

2025-02-10

微軟 | Rust | Mark Russinovich

微軟要讓開發者以Rust編寫Windows驅動程式

微軟繼續推動擴大採用Rust,公開可供開發者以Rust編寫Windows驅動程式的平臺,但目前該專案還處於早期開發階段,不適合用於商業用途

2023-09-27

政府資訊服務採購 | 政府資訊服務採購作業指引

資訊服務採購作業指引9月25日正式上路,明訂公部門編列專屬資安預算

行政院公共工程委員會發布新版「資訊服務採購作業指引」、「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」,未來公部門的資訊採購將出現重大變化

2023-09-26

工程會 | 資訊服務採購 | 資安入規 | 資訊服務採購作業指引

工程會正式發函公布「資訊服務採購作業指引」,即日起實施

將資安規範納入採購合約將依系統安全等級而有不同,普級系統資安入規定於明年(2024年)3月1日實施,中、高級系統則於8月1日適用

2023-09-26

資安日報

【資安日報】9月26日,駭客組織Stealth Falcon針對中東政府機關下手,散布後門程式Deadglyph

鎖定中東地區的攻擊行動引起研究人員關注,有研究人員揭露新型態的後門程式Deadglyph,該程式的開發方式、運作方式相當特殊,駭客企圖藉此回避資安系統偵測

2023-09-26

Akira | PowerShell | AnyDesk | RustDesk | WinRAR | VMware ESXi | LOLbins | 寄生攻擊

110個組織遭勒索軟體Akira鎖定,利用思科SSL VPN漏洞入侵,加密Windows、Linux電腦檔案

資安業者Logpoint提出警告,在駭客鎖定思科SSL VPN漏洞CVE-2023-20269入侵目前組織後,勒索軟體Akira攻擊態勢持續延燒,上個月成為前10大的勒索軟體家族

2023-09-25

資安日報

【資安日報】9月25日,埃及總統候選人遭到鎖定,攻擊者利用iOS零時差漏洞在手機植入間諜軟體Predator

在蘋果修補零時差漏洞之後,研究人員公布了將其用於攻擊行動的資安事故,疑似埃及政府對特定總統候選人下手,對其手機植入間諜軟體進行監控

2023-09-25

訂房旅遊網站 | 飯店 | 網路釣魚 | 社交工程 | Booking.com

駭客利用偽造的Booking.com進行網釣攻擊

針對線上訂房服務使用者發動的網釣攻擊手法更精細而讓人難辨真偽了,駭客先透過實際訂房以藉此發送住宿相關詢問信件給訂房網站或飯店客服,企圖誘騙客服點選信中惡意連結以植入資訊竊取程式,成功後便能以訂房網站或飯店的名義展開第二階段的網釣攻擊,向真正的訂房者騙取信用卡資訊

2023-09-25

零時差漏洞 | 蘋果 | 間諜程式 | Predator | 埃及 | 總統選舉

蘋果上周修補的3個漏洞是被用來安裝Predator間諜程式

加拿大公民實驗室與Google威脅分析小組調查顯示,埃及政府疑似透過商業間諜軟體業者的協助,利用蘋果9月21日修補的零時差漏洞,在該國總統候選人的iPhone手機植入間諜程式Predator

2023-09-25

EvilBamboo | 中國駭客 | Whoscall | Apk.tw | 間諜軟體

中國駭客在臺灣論壇散布假「Whoscall」破解版,暗藏間諜軟體,該討論串已有10萬瀏覽次數

中國駭客組織EvilBamboo鎖定臺灣安卓用戶下手,假借提供破解版Whoscall名義,在Android台灣中文網(Apk.tw)的論壇散布間諜軟體。由於該討論串已有10萬次瀏覽,可能已有許多人受害而不自知

2023-09-23

資安日報

【資安日報】9月23日,中國駭客鎖定臺灣安卓用戶,假借提供Whoscall付費功能的破解程式來散布惡意軟體

小心!透過論壇網站下載盜版軟體,很可能成為駭客鎖定的對象,而且,這樣的攻擊行動真實在臺灣上演,還是假借防詐騙來電辨識應用程式為誘餌

2023-09-23

政府資訊服務採購 | 行政院公共工程委員會 | 工程會 | 政府資訊服務採購作業指引 | 資安預算 | 政府採購法

比價值才能雙贏

公程會在9月出爐了全新增加的《政府資訊服務採購作業指引》辦法,也發布《修正資訊服務採購契約範本強化資安防護》來精進原有契約範本,這次的資服採購變革,往政府資服採購雙贏局面,邁開了關鍵一步

2023-09-23

零時差漏洞 | 蘋果 | iPhone | CVE-2023-41991 | CVE-2023-41992 | CVE-2023-41993

蘋果緊急更新iOS與macOS等平臺,修補3個已遭濫用的零時差漏洞

蘋果在9月21日緊急修補的3個零時差漏洞涉及不同平臺,目前已知的針對性攻擊行動則都鎖定使用iOS 16.7以前版本的iPhone

2023-09-23

政府資訊服務採購 | 行政院公共工程委員會 | 工程會 | 政府資訊服務採購作業指引 | 資安預算 | 政府採購法 | 資訊基本法 | 凌群電腦 | 劉瑞隆

【政府資服採購作業指引:業者觀點】新指引讓業者有更合理利潤空間,長遠應推動資訊基本法立法

這位積極推動《政府採購法》修法的前輩認為,雖然制定行政命令有助於優化政府資服採購環境,但希望能推動制定《資訊基本法》明定數位發展部為資服業者主管機關,讓資訊服務採購再進階

2023-09-23

政府資訊採購新變革

政府資訊服務採購受到《資安法》和《政府採購法》雙重規範,未來採購的資服系統不僅要分成普級、中級和高級,所有的資服採購也都要將資安防護措施納入採購規範中,做到資安入規。

2023-09-23

政府資訊服務採購 | 行政院公共工程委員會 | 工程會 | 政府資訊服務採購作業指引 | 資安預算 | 政府採購法 | 中華軟協 | 軟協 | 沈柏延

【政府資服採購作業指引:公協會觀點】甲乙方對契約條款有認知歧異,建議產業協會當第三方協調處理

儘管已確定由工程會成立政府採購諮詢小組,解決甲乙雙方對契約條款的認知歧異,但中華民國資訊軟體協會理事長沈柏延認為應參考其他產業爭議處理模式,由公協會扮演第三方協調角色,無法解決再送到工程會

2023-09-23