| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月11日,微軟1月份例行修補緩解近百個漏洞、Trojan Puzzle攻擊手法可訓練AI助理產生惡意程式碼

昨日微軟發布1月份例行修補,共解決98個漏洞;研究人員揭露能讓AI助理產生惡意程式碼的攻擊手法,而且難以透過現有的檢查機制發現異狀

2023-01-11

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月10日,研究人員揭露Text-to-SQL機器學習模型弱點、NPM套件JsonWebToken漏洞恐導致2.2萬專案曝險

透過自然語言(NLP)輸入而能對SQL資料庫進行簡易查詢的機器學習模型,有可能被濫用於執行惡意程式碼;研究人員揭露NPM套件JsonWebToken的高風險漏洞,並指出影響範圍相當廣,當中不乏大型IT業者的專案

2023-01-10

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月9日,程式碼編輯器VS Code外掛程式市集恐遭駭客濫用、惡意PyPI套件透過Cloudflare隧道服務繞過防火牆

研究人員發現程式碼編輯器Visual Studio Code的外掛程式市集裡,已出現惡意外掛;透過PyPI套件散布的惡意軟體出現新的迴避偵測手法,駭客濫用Cloudflare Tunnel服務,目的是繞過防火牆等資安防護措施

2023-01-09

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月7日,駭客利用Fortinet漏洞進行勒索軟體攻擊、研究人員在採用高通處理器的筆電發現UEFI漏洞

Fortinet於10月修補的重大漏洞成駭客入侵受害組織的管道,有人將其用於勒索軟體攻擊行動;研究人員在搭載高通處理器的筆電上發現了UEFI漏洞,其他使用高通處理器的電腦也可能受到影響

2023-01-07

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月6日,Slack驚傳部分原始碼遭竊、南非駭客Automated Libra大肆濫用持續整合及持續交付服務挖礦

協作平臺Slack證實部分員工的帳密遭竊,導致駭客存取了部分的原始碼;南非駭客利用持續整合及持續交付(CI/CD)服務提供的免費及試用資源,註冊大量帳號進行挖礦牟利

2023-01-06

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月5日,近20個汽車廠牌的API漏洞恐曝露車主個資、Linux惡意軟體被用於散布挖礦程式

研究人員揭露近20個知名汽車廠牌的API漏洞,有些甚至能存取企業內部資源;有人鎖定Linux電腦,將指令碼打包成惡意程式來部署挖礦軟體

2023-01-05

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月4日,蠕蟲程式Raspberry Robin鎖定歐洲金融和保險業而來、駭客利用竊得的銀行資料散布木馬程式BitRAT

歐洲金融和保險業遭到蠕蟲程式Raspberry Robin鎖定引起研究人員關注;為讓使用者降低戒心,駭客竟在用來散布惡意程式的Excel檔案裡,加入自銀行竊得的資料

2023-01-04

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2023年1月3日,Linux惡意軟體鎖定30個WordPress外掛程式漏洞而來、PyTorch機器學習框架感染惡意程式碼

有惡意程式針對尚未修補特定外掛程式漏洞的WordPress網站而來,注入惡意JavaScript指令碼;機器學習框架PyTorch用戶成為攻擊目標,駭客在相依套件植入惡意程式碼

2023-01-03

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2022年12月30日,數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令

Citrix近兩個月修補了2個重大漏洞,研究人員發現目前仍有逾7千臺尚未修補而曝險;有研究人員去年發現Google Home智慧音箱的漏洞,攻擊者可用來監控相關語音指令

2022-12-30

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2022年12月29日,NFT投資人遭北韓駭客鎖定、研究人員揭露由動作感知器竊聽安卓手機的手法EarSpy

北韓駭客組織鎖定NFT投資者下手,濫用近200個網域發動大規模網釣攻擊;藉由手機的揚聲器與動作感知器,也有可能對使用者通話內容進行監控

2022-12-29

| 資安日報 | 資料外洩 | 漏洞揭露 | 新興資安威脅 | 勒索軟體 | 網釣攻擊 | 竊密軟體 | 偵測規避 | 金融安全 | 上市櫃資安

【資安日報】2022年12月28日,GuLoader惡意軟體下載器又有新Shellcode規避偵測技術;台積電在年底前設置資安長一職

為了規避資安產品的偵測,GuLoader惡意軟體下載器被發現當中用了新的伎倆,是值得關注的威脅;今天臺灣企業資安有兩個重大新聞,首先是上市櫃第一級公司設置資安長期限將至,台積電資安長任命出爐,另一個是金管會發布金融資安行動方案2.0,深化我國金融機構資安

2022-12-28

| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體

【資安日報】2022年12月27日,逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

有人在駭客論壇求售4億筆推特用戶資料,並要脅推特若不贖回將會面臨GDPR的高額罰款;新的竊密軟體RisePro透過惡意軟體下載器PrivateLoader散布,駭客已在地下市集兜售偷來的資料

2022-12-27