跳到主要內容區
  1. 首頁
  2. 最新消息

【資安週報 第24期】(114/12/19 - 114/12/24)

全文下載

  1. 資安週報-第24期   PDF 

資安儀表板

事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

 

事件通報:

近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息

偽冒下載攻擊重現 建議以集中派送機制降低人員誤載風險

本週總計接獲33件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。本週發現偽冒 LINE 軟體攻擊情境再度出現,部分機關透過搜尋引擎查找 LINE 安裝檔時,誤點與官方網站名稱相近之網址,以致下載並安裝偽冒軟體,導致電腦遭植入惡意程式,過去已知網址雖已透過停止解析機制(DNS RPZ)進行處理,惟相似網址仍持續遭駭客註冊利用,提醒使用者務須提高警覺。

 

此類情境於今年第 2 至第 3 季已多次發生,顯示即便是高度熟悉的常用軟體,只要下載來源未受控,仍容易成為社交工程與惡意程式散布的切入點,宣導若未結合技術與制度配套,防護成效仍有限。建議集中派送常用軟體並控管下載來源,搭配 DNS/Proxy 阻擋偽冒網站、限制未授權程式執行及強化異常連線偵測,同時以實例宣導提升人員辨識能力,降低重複受害風險。 

 

圖1 | 本週公務機關暨特定非公務機關資安事件通報概況

圖1 | 本週公務機關暨特定非公務機關資安事件通報概況
 

圖2 | 本週公務機關非法入侵事件類型占比

圖2 | 本週公務機關非法入侵事件類型占比
防護建議:

除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:

  1. 常用軟體下載來源未控管,易誤裝偽冒程式植入惡意碼
  2. 人員過度信任熟悉品牌,社交工程攻擊辨識不足

針對潛在風險執行相應改善,如:

  1. 集中派送常用軟體,統一控管下載來源與安裝流程
  2. 透過DNS/Proxy阻擋偽冒網站與惡意下載行為
  3. 限制未授權程式執行,降低惡意程式落地風險
  4. 結合實例宣導與監控,強化異常連線即時偵測

 

◎1間民間企業揭露重大資安訊息

本週1家民間企業發布重大訊息,產業類別屬於電子通路業。

  1. 公司名稱:至上電子股份有限公司
  2. 發布時間:114 年 12 月 21 日
  3. 事件說明:至上公司發布重大訊息,說明有關公司資訊系統遭受駭客網路攻擊,已立即啟動相關防禦機制,避免影響資安安全。此資安事件目前沒有個資、機密或重要文件資料外洩等情事發生,對公司營運無重大影響,後續將持續密集監控,並強化網路與資訊基礎架構之管控。

聯防監控:

近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統

防禦迴避手法居冠 偵測刺探活動顯著攀升

本週資安聯防監控顯示,整體攻擊態勢呈現多元化發展趨勢。其中「防禦迴避」階段持續位居首位,佔比達15.07%,攻擊者主要透過關閉或清除指令紀錄、利用合法系統工具執行惡意命令等手法,企圖規避資安監控機制的偵測。其次為「偵測刺探」階段,本週佔比上升至13.47%,較上週增加1.69個百分點,顯示攻擊者正積極進行目標環境的資訊蒐集與弱點探測活動。第三高為「惡意執行」階段,佔比11.61%,反映攻擊者在取得初步立足點後,開始執行惡意程式或指令以達成攻擊目的。

 

值得注意的是,「衝擊影響」階段本週佔比提升至3.32% ,較上週增加0.68個百分點,顯示部分攻擊已進入實質破壞階段。整體而言,本週監控數據顯示攻擊活動涵蓋從初期偵測到後期破壞的完整攻擊鏈,提醒各單位應持續關注攻擊趨勢變化,特別留意是否有攻擊行為從初期刺探階段逐步演進至更具破壞性的後期階段。 

 

圖3 | 資安聯防監控攻擊階段統計

圖3 | 資安聯防監控攻擊階段統計
 
防護建議:

建議機關採取下列防護措施:
強化防禦迴避偵測能力

  1. 導入端點偵測與回應(EDR)解決方案,建立完整的端點行為監控機制
  2. 強化指令紀錄稽核功能,確保系統操作歷程完整保存且無法被輕易清除
  3. 限制高風險系統工具的使用權限,避免合法工具遭攻擊者濫用執行惡意行為
  4. 落實特權帳號管理制度,定期檢視並限縮管理者權限範圍

提升早期威脅偵測能力

  1. 加強網路流量監控,及時發現異常的偵測刺探行為
  2. 部署入侵偵測系統(IDS),建立完善的威脅情資比對機制
  3. 定期進行弱點掃描與修補作業,降低遭受攻擊的風險缺口

蜜罐誘捕:

近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢

Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成攻擊熱點

本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比78.76%、「遠端控制」服務攻擊占比18.22%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達 77.71%。「遠端控制」服務亦有17.44% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。

 

網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。

 

本週Web服務系統比例上升原因為Ditty WordPress身分驗證繞過漏洞的CVE-2025-8085及微軟 Windows伺服器更新服務 (WSUS) 不受信任資料反序列化漏洞的CVE-2025-61666 ,遭攻擊次數上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。本週IoT設備管理介面比例上升原因為Smartbedded Meteobridge指令注入漏洞的CVE-2025-4008遭攻擊次數上升導致。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。

 

進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、身分驗證繞過漏洞、程式碼注入及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、 Cisco IOS XE網通設備作業系統、JetBrains TeamCity 持續整合/交付平台、GeoServer開放源碼伺服器及Ivanti資安軟體,顯示此類系統已成為高風險熱點。 

 

圖4 | 本週網頁應用服務之誘捕攻擊比例統計

圖4 | 本週網頁應用服務之誘捕攻擊比例統計

 

防護建議:

建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。 

排名

漏洞編號

受影響產品

CVSS 3.x Base Score

1

-

CVE-2025-5777

 Citrix NetScaler ADC

7.5

2

+ 2

CVE-2023-20198

 Cisco IOS XE網通設備作業系統

10

3

- 1

CVE-2023-42793

 JetBrains TeamCity 持續整合/交付平台

9.8

4

- 1

CVE-2024-36401

 GeoServer開放源碼伺服器

9.8

5

↑New

CVE-2024-21887

 Ivanti資安軟體

9.1
表1|本週前5大攻擊使⽤之近3年漏洞排⾏列表

 

近期重⼤弱點提醒

近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:

  1. Cisco Secure Email Gateway (SEG)與Secure Email and Web Manager (SEWM)所使用之AsyncOS作業系統存在高風險安全漏洞(CVE-2025-20393),類型為不當輸入驗證(Improper Input Validation),在啟用垃圾郵件隔離功能(Spam Quarantine)且該功能可自網際網路存取之情境下,未經身分鑑別之遠端攻擊者可利用此漏洞以root權限於受影響設備底層作業系統執行任意指令。

  2. WordPress擴充程式與網頁主題存在高風險安全漏洞(CVE-2025-67522CVE-2025-67523CVE-2025-67524CVE-2025-67525CVE-2025-67526CVE-2025-67527CVE-2025-67529CVE-2025-67530CVE-2025-67531CVE-2025-67532),類型為PHP本機檔案包含(PHP Local File Inclusion),未經身分鑑別之遠端攻擊者可利用此漏洞,誘使伺服器端PHP程式載入本機非預期檔案,並於伺服器端執行任意程式碼。

外部曝險分析:

經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險

元件高風險漏洞持續攀升 仍居風險類型首位

本期針對46個關鍵基礎設施(CI)單位執行EASM資安曝險檢測,共計發現1,216項重大與高風險弱點,其中包含128項重大風險與1,088項高風險弱點。此數據顯示整體外部曝險情勢依然嚴峻,且風險總數較上期(1,212項)微幅增加。從風險分布觀察,本期仍以「元件高風險漏洞(341項)」、「TLS憑證不受信任(299項)」、「過時或弱加密協定(292項)」及「CSP設定不當(156項)」為主要類別,四項合計占比約89%,這突顯出多數單位在憑證管理、漏洞修補與網站安全設定上仍存在普遍性的安全缺口,是當前資安防護最主要的挑戰,詳見圖5。

 

進一步比較兩期差異,「元件高風險漏洞」則由317項增加至341項,上升幅度7% ,仍為本期風險排行榜首;「過時或弱加密協定」由298項降至292項,呈現小幅改善;「TLS憑證不受信任」數量無變化。

 

防護建議:

建議機關或關鍵基礎設施採取下列防護措施:

  1. 定期更新憑證,全面啟用TLS 1.2以上版本協定,停用未加密或舊版協定
  2. 儘速修補已知漏洞,淘汰無維護之軟體版本
  3. 部署WAF並導入CSP等網站安全標頭,降低跨站攻擊與惡意存取風險
  4. 關閉不必要對外服務,管理服務改採加密通道(如 SSH)

建議機關或關鍵基礎設施採取下列管理措施:

  1. 定期盤點並更換外洩帳號憑證,搭配多因素驗證(MFA)以強化存取安全
  2. 建立弱點修補與驗證流程,確保風險持續改善 
  3. 強化資安教育與演練,提升人員對憑證、加密與服務設定之安全意識
     

圖5 | EASM檢測結果統計(前10大風險)

網路巡查⾼⾵險詐騙:

追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標

年末檔期警戒升溫 高風險詐騙偵測再度走高

整體觀察「高風險總量」趨勢可見,本期數據在前期高點後一路震盪,近兩週呈現「先急跌後強彈」的型態:前一週(週起日:2025-12-07)明顯回落,但最新一週(週起日:2025-12-14)快速反彈,幾乎回到月初高位。這顯示高風險詐騙偵測量仍處於波動且偏高的狀態;短期回落不代表風險解除,反而可能只是暫時趨緩,隨後再度升溫,詳見圖6。 

 

從詐騙類型來看,「產品服務」仍是高風險主力來源,近兩週由低點大幅回升,最新一週幾乎翻倍上升,波動幅度顯著。此現象常見於購物檔期、年末促銷或熱門商品話題期間,詐騙會趁勢透過網拍交易、假賣家、偽造物流通知與不明優惠連結快速擴散,民眾與平台需提高警覺,詳見圖6。


「身分冒充」近兩週同樣呈現反彈,最新一週明顯上升,顯示「假冒親友」、「假冒公部門」、「假冒企業客服/金流客服」等手法可能再度加強攻勢。尤其在高風險總量回升時,身分冒充往往會與「交易取消/退款」、「帳戶異常」、「需要立即驗證」等話術搭配,提高受害者緊迫感並誘導操作。

 

相較之下,「金融投資」近兩週也同步走高,最新一週接近倍增。雖非最大宗,但在整體高風險結構中占比不低,且具高損失特性,仍不可忽視。特別是以「投資理財」、「虛擬貨幣」、「內線名單」、「高報酬穩賺不賠」等話術包裝的假投資標的,常在市場波動、年底資金調度或社群熱點時快速累積警訊。

 

綜整而言,本期最新一週高風險偵測量明顯回升,其中「產品服務」仍為最關鍵的高風險來源;「身分冒充」與「金融投資」也同步升溫,需將整體警戒重新拉高,避免在短期波動中誤判風險已下降。 

 

圖6 | 偵獲高風險金融投資、身分冒充、產品服務類詐騙週趨勢

圖6 | 偵獲高風險金融投資、身分冒充、產品服務類詐騙週趨勢

 

高風險詐騙偵測趨勢分析與提醒

提升多平台風險警覺

  1. 避免直接點擊與「產品服務」相關的不明優惠連結、簡訊,尤其是「限時搶購/最後名額/折扣碼」等誘導訊息。 
  2. 面對「投資理財」廣告或社群邀請(帶單、老師、群組)時,主動查證來源與合法性,切勿因短期獲利截圖就匆忙入金。 
  3. 凡「官方客服」主動聯繫並要求操作ATM、轉帳或提供驗證碼,皆屬高風險,務必立即中止互動。

強化身分驗證與求證習慣

  1. 接獲疑似「身分冒充」親友急需匯款時,務必以電話或影音再次確認,避免只用文字訊息往返。
  2. 自稱「公部門」、「金融機構」要求提供帳戶資訊、協助解除分期或資金檢核時,先掛斷並改撥官方電話查證。
  3. 網路帳號開啟多重驗證、定期更換密碼,避免帳號遭盜用後成為詐騙工具或冒名管道。

善用官方資訊與檢舉機制

  1. 遇到疑似詐騙內容,可主動通報「165 反詐騙專線」或平台客服。
  2. 關注政府與金融機構發布的最新手法警示與高風險名單,特別留意「假客服/假投資」常見關鍵話術。 
  3. 建議企業與平台定期檢視並更新詐騙防制的偵測與攔截機制,並針對檔期活動期間加強風險控管與提醒曝光。
     

本週代表性詐騙關鍵字Top 10 以「免費」、「領取」、「優惠」為主軸,前三名合計約占 Top 10 總出現次數四成,顯示詐騙話術仍高度依賴「零成本/限量回饋」的誘因包裝,詳見圖7。常見做法是先用「免費領取」或「優惠體驗」降低戒心,再要求民眾「點擊」連結、填寫資料、加入指定帳號或群組,藉此導流到私域空間進行後續詐騙(蒐集個資、誘導下單、要求匯款或綁定付款方式) 。

 

其中,「機會」與「時間」常被組合成「名額有限、時間彈性、固定時段、錯過可惜」等敘事,營造看似合理的兼職/合作情境(例如以電商旺季支援、線上客服、遊戲陪打等名義)。這類話術通常會在初期提供看似明確的工作流程或教學,接著以「保證金/入會費/教材費/帳戶驗證」等理由要求先付款,或引導至不明平台操作、代收代付,最終造成金錢損失,甚至帳戶遭利用為人頭帳戶的風險。 

 

另外,「課程」與「活動」也明顯出現,常見於假借培訓、講座、體驗營、投資/技能課程等名義,搭配「設計」宣稱可為個人「量身設計」學習方案、理財計畫或專屬服務,營造專業顧問形象以建立信任;一旦加入社群或私訊,便可能逐步導向付費升級、購買方案,甚至轉為高報酬投資或代操話術。至於「台灣」則常被用來強化在地可信度(如「台灣限定」、「台灣客服/官方」),讓受眾誤以為來源可靠而放鬆警覺。

 

整體而言,本週趨勢呈現「誘因(免費/優惠/領取)→ 行動(點擊/加入)→ 轉場(群組/私訊)→ 深度詐騙(付費/匯款/帳戶操作)」的典型路徑,同時混入「兼職機會」、「課程活動」、「客製設計」等外衣提高擬真度。提醒民眾:凡是要求先點不明連結才能領取優惠、要求加入群組才提供名額,或以課程/工作為由要求先付款或提供帳戶資料者,都應視為高風險情境;建議改走官方網站/客服多方查證,並拒絕任何「先付費、再領取/再上工/再開通」的流程,以降低受騙風險。

 

圖7 | 本週代表性詐騙關鍵字 Top 10

焦點文章

 

產業資安情資分享與重點趨勢分析

解讀 76% 駭侵情資背後意義:資安聯防體系的成熟與強化

隨著數位轉型加速與網路環境日趨複雜,企業面臨的威脅已不再侷限於單一端點,而是擴張至複雜的供應鏈體系。透過TWCERT/CC在114年資安情資分享,產業間的防禦邏輯已產生顯著質變,「駭侵事件」以 76.2% 的占比成為情資分享主流,遠高於「漏洞情資」的 20.9%、「入侵指標」的 2.4% 及「活動預警」的 0.5%,詳見圖8。此數據的大幅成長,並非單純代表攻擊事件激增,而是源於資安聯防體系在情資蒐整、分析與通報機制上的成熟與強化,使TWCERT/CC得以於掌握重大安全漏洞或攻擊相關情資時,透過既有通報與情資分享機制,即時向企業發布風險預警,協助企業在攻擊發生前,將「潛在風險」轉化為「可預先因應的已知防禦」。

  

圖8 | TWCERT/CC在114年資安情資分享1

 

在這些情資中,又以「產品安全事件」為推升數據的主要動能,詳見圖9,顯示出目前資安威脅已高度集中於供應鏈漏洞。面對此趨勢,企業必須從被動修補轉向主動管理。首先,應落實軟體清單(SBOM)的建立,確保在接獲產品風險通報時,能立即判斷內部環境是否受影響,快速縮短反應時間,避免錯失漏洞修補時機。同時,企業需建立自動化的漏洞掃描與比對機制,針對外部資產進行常態化檢測,務必在駭客利用漏洞發動大規模攻擊前完成修補。此外,強化供應商資安稽核與聯防體系,已成為提升供應鏈資安防護能力之必要作為。企業可透過要求供應商揭露安全更新與修補資訊,並參與產業情資分享平台(如 ISAC),以促進供應鏈上下游對新興威脅之即時掌握與因應。透過這種「主動偵測」、「精準通報」及「有效修補」的結合,成功從被動應對轉為主動狩獵,不僅提升了企業整體的資安韌性,更有效遏止了供應鏈漏洞可能引發的連鎖性傷害。

 

圖9 | TWCERT/CC在114年資安情資分享2

 

關鍵字:產品安全、供應鏈、企業聯防

瀏覽數:
友善列印