| 微軟 | 資安 | 供應鏈攻擊 | 系統託管身分識別 | 事件 | 安全文化

從午夜暴雪和XZ Utils兩大資安事件中,微軟揭露學到這三件事

微軟在Build 2024大會上,揭露他們實行未來安全計畫(Security Future Initiative)半年來的經驗,特別是如何從午夜暴雪(Midnight Blizzard)、XZ Utils等資安事件中學習和觀察到的重要做法,如使用系統託管身分識別工具、刪除70多萬個未使用的應用程式和加深跨部門資安文化等。

2024-05-28

| 供應鏈攻擊 | JAVS | Authenticode | fffmpeg.exe

JAVS法庭錄影軟體遭遇供應鏈攻擊,攻擊者在安裝程式植入後門

專供法院、看守所、議會透過錄影記錄會議過程的Justice AV Solutions(JAVS),特定版本檢視器的安裝程式,傳出被加入惡意程式的情況,此事也得到JAVS證實並進行內部清查,並重新提供無害的安裝檔案

2024-05-27

| Ebury | Linux | 殭屍網路 | ARP | 供應鏈攻擊

殭屍網路Ebury從2009年出現,迄今已感染40萬臺Linux主機

研究人員針對最新一波的殭屍網路Ebury攻擊行動提出警告,並指出駭客的手法已有所變化,會先攻擊主機代管業者,以便後續發動供應鏈攻擊

2024-05-15

| XZ Utils | OpenJS | JavaScript | 供應鏈攻擊

疑似XZ Utils的軟體供應鏈攻擊手法再度出現,這次是鎖定OpenJS的JavaScript專案而來

XZ Utils後門的供應鏈攻擊事故持續延燒!繼有人在Rust套件庫crates.io發動相關攻擊,現在也有人疑似企圖「接管」OpenJS套件庫的熱門JavaScript專案

2024-04-17

| 思科 | Duo Security | 供應鏈攻擊

電信商成為透過簡訊傳送動態密碼的破口!駭客對思科身分驗證服務Duo合作電信業者發動網路攻擊,竊取部分雙因素驗證資訊

思科旗下的身分驗證服務Duo傳出遭遇供應鏈攻擊事故,該公司合作的一家電信服務供應商遭到入侵,部分用戶3月期間的雙因素驗證資訊疑似遭攻擊者偷走

2024-04-16

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 供應鏈攻擊 | 開源軟體安全

【資安週報】2024年4月8日到4月12日

這一星期有微軟、D-Link、Palo Alto Networks的漏洞利用情況須重視,還有多家IT廠商的每月例行安全更新修補發布;在資安事件焦點方面,國內5家上市櫃發布資安事件重大訊息,包括佰研、富野、聯成、聯華、聯合再生,短短一周就有5篇資安事故公告,格外引人注目

2024-04-15

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 供應鏈攻擊 | 開源軟體安全

【資安週報】2024年4月1日到4月3日

這一星期適逢清明連假,而連假前夕最大條的資安消息,就是關於XZ Utils程式庫被植入後門與漏洞的事件,還有2個漏洞利用要注意,包括AI框架Ray與Android Pixel的漏洞;資安事件焦點方面,以CISA的Ivanti伺服器遭駭,及OWASP基金會資料外洩,最受矚目,臺灣也發生亞昕資訊校務行政系統遭駭、7高中受影響的事件

2024-04-08

| 資安日報 | CVE-2024-3094 | 供應鏈攻擊 | 個資外洩 | 通知轟炸攻擊 | 勒索攻擊 | PROXYLIB

【資安日報】4月1日,發現潛伏三年的供應鏈攻擊事件,程式庫XZ Utils近期被植入後門

週末爆發XZ Utils資料壓縮程式庫遭植入後門的供應鏈攻擊事件,該後門將可讓攻擊者繞過SSHD的身分認證機制,目前許多研究人員正追查其攻擊手法及提交程式碼的GitHub帳號,並指出其滲透方式複雜且相當難以察覺

2024-04-01

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 網釣工具包 | 供應鏈攻擊

【資安週報】2024年3月25日到3月29日

這一星期有多個已知漏洞被利用消息,包括Fortinet、微軟、VMware、Ivanti 與Nice的漏洞;周末更傳出涉及SSHD供應鏈攻擊的事件,原因出在XZ Utils程式庫,要特別重視這方面因應;在資安威脅焦點方面,有研究人員針對採用Tycoon 2FA網釣攻擊工具包、以手機用戶為目標網釣工具包Darcula的攻擊行動提出警告

2024-04-01

| Hugging Face | API漏洞 | LLM | 大型語言模型 | 供應鏈攻擊

Hugging Face API漏洞洩露驗證令牌,可讓攻擊者存取微軟、Meta、Google的AI模型

資安廠商Lasso Security發現AI模型資源平臺Hugging Face的API漏洞,讓該公司研究人員得以控制Meta Llama 2等熱門模型的程式碼儲存庫,也可能讓攻擊者透過污染訓練資料集等手法發動供應鏈攻擊

2023-12-05

| 北韓 | MagicLine4NX | 零時差漏洞 | 供應鏈攻擊

北韓駭客再找供應鏈開刀,安全身分驗證軟體MagicLine4NX遭駭

英國與南韓警告北韓駭客利用南韓身分驗證軟體MagicLine4NX的零時差漏洞,作為攻擊特定目標的跳板

2023-11-27

| 供應鏈攻擊 | Lazarus | ZINC

臺灣多媒體軟體業者訊連科技遭北韓駭客Lazarus發動供應鏈攻擊

研究人員揭露鎖定臺灣資訊業者訊連科技的供應鏈攻擊,駭客針對該公司的軟體基礎設施下手,上傳竄改的惡意安裝程式,這樣的情況也得到訊連證實,他們也說明處理情形

2023-11-23