全部文章分享

          本文擷取自資安人

駭客組織 TeamPCP 正大規模攻擊設定錯誤的雲端管理服務，將受害系統轉化為犯罪基礎設施。這波攻擊自去年 12 月底啟動，已入侵全球至少 6 萬台伺服器。

TeamPCP 採用類似蠕蟲的攻擊方式，每台被入侵的系統會自動掃描並感染下一個脆弱目標。資安公司 Flare 的研究員 Assaf Morag 指出，TeamPCP 的威脅並非來自新型漏洞或原創惡意程式，而是將已知攻擊技術進行大規模自動化。該組織也以 PCPcat 和 ShellForce 等別名運作。
攻擊目標與手法
TeamPCP 主要掃描暴露在外的 Docker API、Kubernetes 叢集、Redis 伺服器、Ray 儀表板，以及存在 React2Shell 漏洞(CVE-2025-29927)的系統。入侵後會部署惡意 Python 和 Shell 腳本，安裝代理伺服器、通道軟體，並建立即使重開機也能持續運作的機制。

針對 Kubernetes 環境，攻擊者使用專門的 kube.py 腳本竊取憑證，並透過管理層級 API 將惡意容器推送到所有可存取的 Pod。這種做法能將初步入侵點擴大為整個叢集的控制權，實際上將整個叢集變成自我傳播的掃描網路。

根據資安業者分析，超過 60% 的攻擊案例針對 Azure 雲端基礎設施，37% 針對 AWS。TeamPCP 也積極攻擊 Google 和 Oracle 雲端環境中的伺服器。

多重獲利管道
TeamPCP 透過多種方式將入侵系統變現：用於挖礦（cryptomining）、賣給其他犯罪組織當代理伺服器、進行更多掃描和攻擊，以及架設勒索軟體的命令與控制基礎設施。

這種多重獲利策略確保每個被入侵的系統都能創造多種收入來源。正如研究人員所說：「每個受害系統都成為掃描器、代理伺服器、挖礦機、資料外洩節點，以及進一步攻擊的跳板。」Kubernetes 叢集不僅被入侵，更被轉換成分散式殭屍網路。

除了竊取運算資源，TeamPCP 也透過傳統的資料竊取和勒索獲利。研究人員發現該組織透過關聯組織 ShellForce 營運的資料外洩網站，發布竊取的身分記錄、企業資料和履歷資料庫。

竊取的文件包含完整姓名、身分證字號、住址、電話號碼、就業和企業記錄，以及詳細的求職資料。其中一起重大案例是越南招聘平台 JobsGO，TeamPCP 竊取了超過 200 萬筆求職者的詳細個人與專業資訊。

研究人員指出，這些資料雖然不像信用卡或銀行登入資訊那樣容易在地下市場變現,但對攻擊者進行網路釣魚(phishing)、身分冒用或帳號接管等攻擊很有用。大部分受害者位於南韓、加拿大、美國、塞爾維亞和阿拉伯聯合大公國。

舊技術的工業化應用
TeamPCP 的 Telegram 頻道約有 700 名成員，似乎於 11 月推出。該組織宣稱正在「重新包裝」業務，暗示可能先前已以其他名義運作。

最令人擔憂的是，TeamPCP 的技術其實並不特別。該組織並未自行撰寫惡意程式碼，而是使用複製、稍加修改或 AI 輔助的程式碼進行掃描和攻擊。他們利用的漏洞和雲端設定錯誤都有完整文件記錄，這意味著 TeamPCP 並非發明新攻擊方法，而是將已知技術工業化，並達到驚人的效果。

研究人員表示，只要組織持續暴露編排 API、在 .env 檔案中洩漏密鑰，並在缺乏強大安全邊界的情況下部署雲端服務，像 TeamPCP 這樣的威脅者就會繼續將全球的運算資源變成他們的犯罪基礎設施。

防護建議
Flare 建議組織應重視雲端安全基礎，包括：


透過適當的身分驗證、網路區隔和最小權限存取政策來保護雲端控制平面
實施執行時期安全監控，偵測異常的容器部署、不尋常的網路連線，以及可能顯示入侵跡象的行為異常


本文轉載自 DarkReading。

         本文擷取自資安人

 Sophos 宣布收購總部位於英國的 Arco Cyber。Arco Cyber 是一家專注於資安保證的公司，致力於協助企業提升安全防護態勢，同時領先於法規遵循要求與新興威脅之前。

此次收購是 Sophos 策略中的重要一步，藉此可以透過全球合作夥伴生態系，協助處於各種成熟度階段的企業全面強化資安策略與治理能力。Sophos 將此稱為「Sophos CISO Advantage」，這是一套能力組合，可將世界級資安長 (CISO) 的知識、判斷力與營運紀律規模化，提供給無論是否具備專職資安主管的組織。該方案結合了代理式 AI (Agentic AI)、整合式平台，以及透過託管服務供應商 (MSP) 與託管資安服務供應商 (MSSP) 所提供的可信賴人類專業能力。隨著代理式與 AI 輔助系統的進步，如今已能在維持人類監督與判斷的前提下，即時掌握控制措施的成效。

Arco Cyber 透過強化持續性驗證、風險與法規框架對應，以及高階決策洞察能力，加速實現此一願景，協助組織以更具信心與紀律的方式管理資安風險。

Sophos 執行長 Joe Levy 表示，市場上並不缺乏卓越的安全技術。但多數組織真正欠缺的，是對這些安全工具進行有效治理與監督、了解控制措施是否確實發揮作用，以及就風險做出明智決策的能力。Arco 打造了一個能提供清晰度、可責性與可驗證成果的平台與團隊。這與我們的策略高度契合，也為客戶在簡化法規遵循與自信管理網路風險方面奠定更穩固的基礎。

MSP 與 MSSP 在大規模交付這些能力方面所扮演的角色，是 Sophos CISO Advantage 的核心關鍵之一。多數組織都是仰賴值得信賴的合作夥伴，將洞察轉化為行動、提供情境脈絡，並指引日常決策。Sophos CISO Advantage 的目的在於強化這種合作關係，透過 AI 驅動的治理能力、持續性保證，以及清晰的風險洞察力，讓合作夥伴能以「服務化」方式提供 CISO 等級的領導力。藉此，MSP 與 MSSP 能將自身角色從技術營運者提升為策略型的資安顧問，同時讓客戶在管理網路風險時擁有更高的透明度、掌控力與信心。
彌補資安領導力缺口
全球約有 3.59 億家企業，但其中擁有資安長的不到 32,000 家。即便設有 CISO 或其他專職資安領導職位的組織，也仍需要清晰的風險評估、治理機制、優先順序規劃，以及能向董事會、監管機構與保險公司證明資安成效的能力。

IDC 治理、風險與法規遵循解決方案研究總監 Phil Harris 表示，隨著資安發展逐漸超越單純的警示與單點式解決方案，組織越來越重視證明實際成效，而不僅是活動本身。董事會、監管機構與保險公司都希望看到清楚的證據，證明資安投資確實降低了風險並強化治理。能將偵測與回應整合至保證機制、顧問服務，以及以風險為基礎的衡量方式的平台，更可符合組織實際的運作模式。Sophos 與 Arco Cyber 的結合，代表一種以平台為核心的全新資安類別，將營運、保證與風險導向成果連結在一起。

對於設有 CISO 或類似領導職位的企業而言，Sophos CISO Advantage 將提供更高效率、整合性的方式來管理風險、追蹤進展並溝通成果。對於尚未設置類似職位的企業，Sophos CISO Advantage 將提供實務可行、CISO 等級的指導，幫助他們掌握自身的安全防護態勢與決策。
Arco Cyber 執行長暨共同創辦人 Matt Helling 表示，Arco 的成立宗旨，是協助企業在資安領域從『假設』走向『證明』。加入 Sophos 之後，我們能更有效實現這項使命，並觸及更多在證明控制成效、風險排序及為資安決策提供合理依據時面臨挑戰的客戶。Sophos 與我們一樣相信，資安應帶來清晰度、信心與掌控力，而不只是大量數據。透過攜手合作，我們能協助各種規模的組織，將資安轉化為一門可管理、可審計的企業營運紀律。

Arco Cyber 將以專責團隊形式加入 Sophos，推動 Sophos CISO Advantage 的發展。其技術與專業能力將整合至 Sophos Central 平台。Sophos Central 是 Sophos 更廣泛生態系的核心平台，涵蓋顧問服務、託管式偵測與回應 (MDR)，以及由合作夥伴提供的服務，使 MSP 與 MSSP 能為客戶規模化推動資安策略。

                本文擷取自資安人

Sophos 分析師發現，勒索軟體集團並非自行架設伺服器，而是租用價格低廉的虛擬機器。這個作法讓駭客能夠快速擴大行動規模、維持匿名性，並確保其惡意活動持續運作。即使其中一台伺服器遭到關閉，仍有數百台幾乎一模一樣的伺服器持續存在並運作。

這項研究是根據多起 WantToCry 勒索軟體事件的調查，研究發現攻擊者使用的伺服器皆擁有相同、由系統自動產生的 Windows 主機名稱。這些主機名稱在不同事件及多個國家反覆出現，顯示實際上有數以千計的犯罪伺服器共用了相同的基礎架構。

以下是幾項重要發現：

重複的虛擬機器主機名稱成為追蹤勒索軟體基礎架構的關鍵線索：數以千計的主機代管與虛擬機器平台共用固定的主機名稱，其中許多與勒索軟體及惡意程式活動有關。
 
大多數活動集中在少數幾家服務供應商：多數受影響的虛擬機器託管於特定幾家供應商，其中部分與國家級資助行動或網路犯罪活動有關。
 
濫用防彈式 (即使收到反應，ISP 仍然會讓伺服器維持運作) 託管服務：像 MasterRDP 這些業者將虛擬機器出租給犯罪分子，讓他們濫用合法的主機代管與虛擬機器基礎架構。

        本文擷取自資安人

Check Point Software Technologies Ltd. 近期發布《2026 年網路安全報告》，報告中指出 2025 年各組織平均每周遭受 1,968 次網路攻擊，較 2023 年大幅增長 70%。此外，攻擊者廣泛利用自動化與 AI 技術，促使資安產業重新審視對攻擊起源、傳播途徑及防禦方式的核心假設。隨著駭客組織的攻擊能力全面普及化，各種規模的組織都將面臨更高度客製、協作且規模化的威脅。
 
Check Point Software 研究副總裁 Lotem Finkelstein 表示，AI 不僅影響網路攻擊的數量，更重塑其運作機制。根據 Check Point 觀察，攻擊者正從手動操作轉向更高程度的自動化，甚至已出現自主攻擊技術的早期跡象。面對 AI 時代的轉變，組織必須重新驗證其安全基礎，並在威脅擴散前及時阻斷。
《2026 年網路安全報告》要點
報告強調，網路攻擊正明顯朝向「整合式、多渠道」的攻擊模式轉變，結合人為誘騙為核心的社交工程與機器級速度的自動化能力：


AI 驅動的攻擊更趨自主化：
AI 正逐步融入於攻擊工作流程，加速偵察、社交工程和營運決策。在三個月的觀察期間，89% 的組織曾遭遇高風險 AI 提示詞（Prompts），平均每 41 個提示詞就有 1 個被歸類為高風險。由此可見，隨著 AI 被嵌入到日常業務流程，新的安全風險也隨之浮現。
 
勒索軟體攻擊分散化與規模化：
勒索軟體生態系正分化為更小型、專業的團隊，導致受害者數量年增 53%，而新的勒索軟體即服務（RaaS）團隊數量亦增加 50%。AI 被應用於加速目標篩選、談判流程及整體營運效率，使攻擊更加激進且難以控制。
 
社交工程不再侷限於電子郵件：
攻擊者正跨越電子郵件、網頁、電話及協作平台發動攻擊，「ClickFix」攻擊劇增 500%，利用欺詐性提示誘導使用者進行操作；同時，基於電話的冒充攻擊也正演變為更結構化的企業入侵嘗試。隨著 AI 被嵌入瀏覽器、SaaS 平台和協作工具中，數位工作空間正成為攻擊者瞄準的關鍵信任層。
 
邊緣和基礎設施弱點擴大暴露風險：
未受監控的邊緣設備、VPN 設備和物聯網（IoT）系統正日益被攻擊者作為「中繼點」，藉此混入合法網路流量中發動攻擊。
 
AI 基礎設施湧現新風險：
Check Point 旗下公司 Lakera 進行的一項分析發現，在審查的 10,000 台模型上下文協定（MCP）伺服器中，有 40% 存有安全弱點。隨著 AI 系統、模型和代理（Agents）逐步融入企業環境，整體暴露面正持續擴大。 


策略建議與洞察
《2026 年網路安全報告》指出，組織需要重新思考安全體系的設計與執行方式以應對 AI 驅動的威脅，而非僅專注於提升回應速度。根據趨勢觀察，Check Point 建議組織從以下面向著手：


針對 AI 時代重塑安全基礎：AI 驅動的攻擊利用速度、自動化及跨環境的信任機制，而這些環境本身並非為應對機器級威脅而設計，組織應重新評估跨網路、端點、雲端、電子郵件和 SASE 的控管措施，確保能及早阻止自主且具協作性的攻擊行為。
 
安全地推動 AI 部署：隨著 AI 融入日常工作流程，單純封鎖使用 AI 可能反而增加風險，安全團隊應針對已授權與未經授權的 AI 使用行為建立治理和可視性機制，以降低因高風險提示詞、資料洩露及不當使用所引發的暴露風險。
 
守護數位工作空間：社交工程攻擊已跨越電子郵件、瀏覽器、協作工具、SaaS 應用程式和語音通訊渠道，安全策略必須涵蓋人類信任與 AI 自動化交會的數位工作空間。
 
強化邊緣設備和基礎設施：未受監控的邊緣設備、VPN 設備和 IoT 系統正成為攻擊者隱蔽入侵的切入點，透過主動盤點與防護資產，有助於降低隱藏的暴露面及持續性攻擊的風險。
 
採用預防優先的安全策略：面對以機器級速度運行的攻擊，採取以預防為導向的安全策略至關重要，才能在橫向移動、資料外洩或勒索發生前攔截威脅。
 
統一混合環境的可視性：在地端、雲端與邊緣環境中落實一致的可視性和策略執行，能有效消除安全盲區、降低複雜性與增加防禦韌性。

             本文擷取自資安人

多因子驗證（MFA）原本是抵禦網路釣魚攻擊的重要防線，但駭客集團 ShinyHunters 反其道而行，將 MFA 轉化為攻擊工具，透過精心設計的社交工程手法繞過防護機制。這波攻擊已成功入侵 Panera Bread、SoundCloud、Match Group（旗下擁有 Tinder、Hinge、Match 和 OkCupid 等交友服務）及 Crunchbase 等知名企業。

根據 Silent Push 研究人員的監測，攻擊者正積極鎖定科技、金融科技、金融服務、房地產、能源、醫療保健、物流及零售等多個產業，實際受害者數量可能遠超過目前已知案例。

身分驗證服務商 Okta 近期警告，語音釣魚的專門攻擊者正使用客製化釣魚工具包，讓釣魚網頁上的驗證流程與電話中的要求同步進行。Okta 研究人員指出，這種混合式釣魚攻擊甚至能繞過數字挑戰或數字配對的推播通知驗證機制，讓攻擊者可在電話中直接要求受害者選擇或輸入特定數字。
多個威脅集團採用相似手法
Google Cloud 旗下的威脅情報與事件應變部門 Mandiant 發現，多個看似獨立的威脅集團（包括 UNC6661 和 UNC6671）正使用相同或類似的攻擊手法。

2026 年 1 月初至中旬，UNC6661 假冒 IT 人員致電目標組織員工，聲稱公司正在更新 MFA 設定。攻擊者引導員工前往偽裝成企業品牌的釣魚網站，藉此竊取單一登入（SSO）憑證和 MFA 驗證碼，隨後註冊自己的裝置以進行 MFA 驗證。部分案例中，攻擊者成功入侵 Okta 客戶帳號。

攻擊者取得初始存取權限後，會在受害者的客戶環境中橫向移動，存取各種 SaaS 平台並竊取特定資料。他們主要搜尋兩類文件：包含個人識別資訊（PII）的文件，以及含有「poc」、「confidential」、「internal」、「proposal」、「salesforce」、「vpn」等關鍵字的文件。

為了降低被偵測的風險，攻擊者在至少一起事件中刪除了 Okta 寄發的「已註冊安全方法」電子郵件，同時也刪除了從遭入侵帳號寄送給加密貨幣企業聯絡人的釣魚郵件。

更激進的勒索手法
同一時期，UNC6671 威脅行為者也透過電話假冒 IT 人員，引導受害者在偽裝成雇主網站的釣魚頁面輸入憑證和 MFA 驗證碼。取得 Okta 客戶帳號的存取權限後，該集團利用 PowerShell 從 SharePoint 和 OneDrive 下載敏感資料。竊取資料後，他們採用更激進的勒索手法，包括直接騷擾受害企業的人員。

Mandiant 研究人員根據釣魚網域託管、用於談判的 Tox 聊天帳號等細節，判斷這是兩個獨立的集團或個人。而根據重疊的戰術、技術和程序（TTP），UNC6661 可追溯至 UNC6040，也就是 ShinyHunters 網路勒索集團。

研究人員也觀察到，攻擊者向員工發送勒索簡訊，並對受害者網站發動分散式阻斷服務（DDoS）攻擊。

ShinyHunters攻擊範圍持續擴大
ShinyHunters 在去年針對 Salesforce 發動攻擊後，已將勒索範圍擴展至各種 SaaS 環境。Mandiant 追蹤發現，當時的攻擊導致 Google、Cisco、Adidas 和 Workday 等多家組織遭到入侵。

延伸閱讀：駭客組織ShinyHunters宣稱藉Drift漏洞竊取15億筆Salesforce資料

最近的攻擊範圍更廣，鎖定 Microsoft 365、SharePoint、Slack 等熱門 SaaS 服務。這顯示威脅行為者正在擴大目標雲端平台的數量和類型，調整作業方式以收集更多敏感資料進行勒索。

另一個威脅集團 UNC6240 負責入侵後的勒索活動。其使用 Tox 即時通訊帳號進行談判，發送標記 ShinyHunters 品牌的勒索郵件，並透過 Limewire 平台提供遭竊資料樣本。在寄給受害者的郵件中，攻擊者會列出聲稱竊取的資料、指定付款金額和比特幣地址，並威脅若未在 72 小時內支付贖金，將發動 DDoS 攻擊。

閱讀更多：ShinyHunters 鎖定 Salesforce 發動社交工程攻擊 Chanel、Pandora 等知名品牌

防護建議
儘管美國去年 10 月關閉了 ShinyHunters 的 Salesforce 勒索網站，該集團仍持續演進攻擊手法。為協助組織強化防護，Mandiant 已發布全面的主動強化和偵測建議，並分享攻擊相關的入侵指標（IoC）和威脅獵捕查詢語句。Google 也已將所有已識別的釣魚網域加入 Chrome 安全瀏覽功能，保護 Chrome 使用者。

專家建議組織採取以下措施，抵禦此類社交工程攻擊：


使用抗釣魚驗證機制，例如通行金鑰(passkeys)
設定網路區域(network zones)
建立租戶存取控制清單(tenant access control lists)
加強員工對語音釣魚攻擊的認知訓練
建立完善的事件偵測和回應機制


本文轉載自HelpNetSecurity、DarkReading。

             本文擷取自資安人

Check Point Software Technologies Ltd. 近日發布《曝險管理現況報告（State of Exposure Management）》，揭示組織面臨的威脅、漏洞與錯誤設定較以往更為嚴峻，於一年中識別出的全新威脅情資超過 7 億筆，且攻擊者從發現到利用情資的行動已縮短至數小時；相較之下，多數組織的回應速度仍偏慢，不僅平均修復時間（MTTR）長達 3.5 天，且一年僅約 50% 能完成修復。對此，Check Point 宣布推出 Check Point Exposure Management（曝險管理），透過全新方法將分散數據轉化為具優先順序、可執行且安全的修復措施，協助組織在 AI 時代有效反制網路攻擊。
 
在 Cyberint、Veriti 及 Check Point 全球威脅可視能力的支援下，Exposure Management 透過整合威脅情資、暗網洞察、攻擊面可視性、可利用性情境及自動化修復，實現即時態勢感知。面對攻擊者利用 AI 與自動化，使行動速度遠超傳統資安回應能力的情況，能協助組織縮短反應時間，提升防禦效率。
 
Check Point Software 曝險管理副總裁 Yochai Corem 表示，安全團隊雖掌握大量情資，卻難以將洞察轉化為行動，運用現有的安全投資降低風險。Exposure Management 結合現實世界的威脅情資與安全且自動化的修復，縮短從洞察到行動的落差，協助組織在準備因應 AI 攻擊時更快降低風險。
 
隨著攻擊者規模擴大且自動化程度日益提升，許多企業的修復工作仍緩慢且仰賴人工操作。工具間缺乏整合、團隊間缺乏協作，不僅過度仰賴靜態嚴重度分數（Static Severity Scores）以致關鍵暴露問題未能有效解決，同時更進一步擴大網路安全修復缺口，增加不法分子利用的可能性。
 
本次推出的全新 Exposure Management 與 Gartner 提出的「持續威脅曝險管理（Continuous Threat Exposure Management，CTEM）」架構高度一致，強調持續將真實攻擊者行為與企業資產進行連結。Check Point 透過串聯情資、暴露背景與修復行動，使企業能在攻擊者採取行動前，優先處理並消除風險最高的暴露點。
 
Exposure Management 專為現有環境設計，可與超過 75 種安全控制措施整合，涵蓋約 90% 主流資安業者產品，橫跨網路、端點、雲端、電子郵件、身份驗證及作業系統等多個層面，廣泛的整合力體現 Check Point 的開放式花園（Open Garden）策略，使企業能利用既有工具降低風險，同時減少操作複雜度，進而於所有攻擊面向中，從具備可視性升級為可被驗證、執行的行動。
 
Check Point Exposure Management 由三個緊密整合的層面構成：                              

威脅情資（Threat Intelligence）：
Check Point 利用全球層級的可視性能力繪製攻擊者生態系圖譜，基於廣泛的來源觀察真實世界的攻擊，以此追蹤活躍的攻擊活動、遭利用的漏洞、惡意基礎設施及高風險指標。
 
漏洞優先級排序（Vulnerability Prioritization）：
平台透過內建掃描器自動偵測組織攻擊面，並與業界標準工具整合，依據真實世界的可利用性、業務情境與既有安全控制，對暴露點進行優先級排序，並持續評估安全控制的有效性。
 
安全修復（Safe Remediation）：
Exposure Management 不僅提供優先級排序，更能透過 API 重新配置既有安全控制措施。經驗證的行動（如虛擬修補程式、IPS 啟用及威脅指標強制執行）可在大規模環境中實現一致性修復。  

憑藉著由情資驅動、行動導向的方法，Exposure Management 協助組織在 AI 時代持續降低攻擊風險，並於受到攻擊前搶先一步應對。

            本文擷取自資安人

Sophos 宣布推出 Sophos Workspace Protection，進一步擴展其產品組合，協助組織保護混合式工作環境，並治理包含 AI 在內的新興技術使用。該解決方案以 Sophos Protected Browser 為核心，並由 Island 技術支援，使組織無論在何處工作，都能保護應用程式、資料、使用者與訪客，同時提供一套一致性的現代化工作空間防護方法。
重新思考混合式工作的資安防護
傳統的混合式工作防護方式，包括部署多套雲端交付的 SASE 與 SSE 解決方案，往往需要大量基礎架構、專業技術能力，以及持續的營運與管理成本。這種模式不僅提高了整體成本與複雜度，仍可能在現代工作的實際情境中留下可視性與控管上的缺口。

Sophos Workspace Protection 則採取截然不同的做法，直接在工作空間層級進行防護，無須將流量回傳至集中式基礎架構。此方式可降低營運負擔與成本，同時讓防護機制隨著使用者、應用程式、網際網路使用行為與資料而行，無論工作地點為何皆能受到保護，為各種資安成熟度的組織提供一種更簡單、無額外複雜度的混合式工作防護方式。

Sophos Workspace Protection 的核心是 Sophos Protected Browser，由 Island 技術驅動，並專為與 Sophos Central 平台無縫整合而設計。在當今的日常工作中，高達 85% 的工作活動是在網頁瀏覽器中完成的，Sophos Protected Browser 正是為了解決現代工作情境中的資安需求而開發。它為組織提供工作空間層級的可視性與控管能力，協助保護敏感資料、管理應用程式存取，並直接在瀏覽器內強制執行資安原則。 透過將安全控制嵌入使用者熟悉的操作中，Sophos Workspace Protection 讓組織能在企業內部與遠端環境中全面保護工作流程，同時不影響生產力。

IDC 研究總監 Mike Jude 表示，隨著混合式工作、SaaS 採用以及 AI 工具不斷擴展工作空間，資安團隊正日益受到複雜性的影響。Sophos Workspace Protection 反映了市場中一項務實的轉變：透過整合式、以端點與瀏覽器為核心的方法，實現 SASE 與 SSE 的關鍵成果，簡化部署、降低營運負擔，並協助組織在不增加額外基礎架構的情況下，治理應用程式與 AI 的使用。

治理影子 IT 與影子 AI
隨著包含生成式 AI 在內的新興技術逐漸融入日常工作流程，組織越來越難掌握這些工具的實際使用方式，以及透過其分享了哪些資料。近期研究顯示，全球已有超過一半的員工在工作中使用 AI 工具，而且往往是在正式政策或控管機制尚未建立之前即已開始使用，進而提高了影子 IT 與影子 AI 所帶來的風險。透過在工作空間層級提供可視性與控管能力，Sophos Workspace Protection 能協助組織評估風險、強制執行資安原則，並在整個混合式工作環境中，安全地管理新興技術。

Sophos Workspace Protection 組成元件
Sophos Workspace Protection 以一組具高度彈性的整合式元件提供，組織可依其資安與營運需求，選擇整套部署或單獨導入。Workspace Protection 套件由以下元件所組成：


Sophos Protected Browser：一款以 Chromium 為基礎的企業級安全瀏覽器，由 Island 技術支援，提供應用程式使用控管、本機資料處理控管，以及網頁內容過濾功能；其同時整合 Sophos ZTNA，可安全存取私有 Web 應用程式，並支援 SSH 與 RDP 遠端管理連線。
 
Sophos ZTNA：一個零信任網路存取 (ZTNA) 元件，透過僅允許已授權使用者與符合安全狀態的裝置連線，提供以裝置狀態為基礎的安全存取，同時將應用程式隱藏於網際網路之外。
 
Sophos DNS Protection：透過雲端交付的 DNS 安全防護服務，可作為 Workspace Protection 的一部分部署至個別 Windows 端點，其可透過封鎖惡意或不必要的網域，提供額外的網頁與網路釣魚防護層。
 
電子郵件監控系統：部署於 Google 或 Microsoft 電子郵件服務旁的電子郵件資安附加元件，用於監控電子郵件流量，並加強對不必要或惡意郵件 (包含釣魚郵件) 的偵測能力。這些元件共同為組織在保護現代化、混合式工作環境時，帶來多項關鍵效益與實際應用情境。

Sophos 執行長 Joe Levy 表示，長期以來，Sophos 都是透過端點與網路資安技術保護遠端與混合式工作者，然而，當今的工作環境對應用程式與資料的治理需求更加嚴格。許多 SASE 與 SSE 解決方案在增加複雜度與營運負擔的同時，仍無法消除可視性與控管上的缺口。透過結合 Island 的企業級瀏覽器技術、Sophos 的資安能力，以及 Sophos Central 平台，我們正協助組織以更容易部署與管理的方式，治理 AI 的使用、保護關鍵資料，並確保混合式勞動力的安全。

Island 共同創辦人暨執行長 Mike Fey 指出，混合式工作不應在安全性與生產力之間做出取捨。Island 能透過使用者已熟悉的瀏覽器保護資料、確保應用程式存取安全，並協助組織安全地擁抱 AI。與 Sophos Central 平台的整合，讓客戶能以更低的複雜度與更高的信心達成這些目標。

             本文擷取自資安人

名為 GoBruteforcer 的殭屍網路正在大規模攻擊暴露於網路上的 Linux 伺服器，透過暴力破解手法入侵 FTP、MySQL、PostgreSQL 和 phpMyAdmin 等常見服務。

資安業者 Check Point Research (CPR) 在 1 月 15 日發布的報告中估計，由於弱密碼和設定不當，超過 5 萬台公開存取的伺服器可能面臨風險。

GoBruteforcer 會將受害主機變成掃描和攻擊節點。一旦感染成功，這些伺服器就會被用來探測隨機 IP 範圍，並嘗試以常見的使用者名稱和密碼登入。攻擊者可能竊取資料、建立後門、轉售存取權限，或擴散殭屍網路。

這款惡意軟體最早在 2023 年被公開記錄，但研究人員在 2025 年中開始觀察到功能更強的變種。新版本完全使用 Go 語言撰寫，加入更複雜的混淆技術 (Obfuscation)、更強的持久性機制，以及用於偽裝惡意程序的技巧。
攻擊規模與目標特徵
目前這波攻擊活動由兩個趨勢推動：一是許多部署範例採用可預測的使用者名稱和弱預設值；二是持續使用 XAMPP 等舊版網頁伺服器套件。這些環境往往暴露 FTP 服務和管理介面，且缺乏安全強化措施。

CPR 研究人員指出，攻擊者並不使用零時差漏洞 ，而是反覆測試如 admin、password 等簡單憑證，或是在文件和教學中流傳多年的常見操作帳號。數百萬個資料庫和 FTP 伺服器仍可透過預設埠號存取，形成龐大的攻擊面 (Attack Surface)。即使成功率不高，但暴露系統的數量龐大，使得暴力破解攻擊在經濟上仍具吸引力。

GoBruteforcer 的攻擊活動每週輪替數次，攻擊重點也會改變。有些攻擊會對隨機 IP 位址噴灑常見使用者名稱，有些則更具針對性。研究人員觀察到的攻擊包括針對區塊鏈相關資料庫的加密貨幣主題帳號，以及與 WordPress 網站相關的 phpMyAdmin 面板。

金融動機與加密貨幣活動
在一台受害伺服器上，分析人員發現了以 Go 語言開發的工具，用於掃描 TRON 餘額並竊取 TRON 和幣安智能鏈 (Binance Smart Chain) 上的代幣。研究人員也發現一個包含約 2.3 萬個 TRON 位址的檔案，與殭屍網路元件放在同一處。

鏈上分析顯示，攻擊者控制的錢包中，至少部分金融攻擊確實得手，但多數受影響位址僅持有少量餘額。這些發現突顯一個持續存在的資安問題：暴露的服務、弱密碼和預設設定不斷為攻擊者提供可靠的入侵管道。

隨著生成式 AI 降低伺服器部署門檻，不安全預設值的風險可能隨之增加。應對這類威脅不僅需要偵測和清除行動，更需重新重視安全設定實務、憑證管理及持續的暴露管理。

本文轉載自 InfosecurityMagazine。

         本文擷取自資安人

資安研究人員發現名為 VoidLink 的進階惡意軟體框架，專門針對 Linux 系統設計，具備高度模組化架構與雲端優先的攻擊能力。資安業者 Check Point Research 於 2024 年 12 月首次發現這款工具，研判與中國駭客組織有關。目前尚未發現實際攻擊案例，但其技術成熟度已引起資安界高度關注。
雲端優先的攻擊設計
VoidLink 專為現代雲端環境設計，能自動識別目標系統所使用的雲端服務供應商。目前支援 Amazon Web Services（AWS）、Google Cloud Platform（GCP）、Microsoft Azure、阿里雲與騰訊雲，開發者計劃擴充至華為雲、DigitalOcean 與 Vultr 等平台。

成功感染系統後，VoidLink 會立即檢測是否運行於 Kubernetes 或 Docker 等容器環境，並據此調整行為模式，使其能在不同雲端基礎架構中保持隱蔽。

高度模組化與智慧躲避
VoidLink 採用靈活的模組化架構，核心是一套自訂的外掛 API，並參考 Cobalt Strike 的 Beacon Object Files（BOF）機制，預設提供超過 30 個外掛模組。整個框架使用 Zig 程式語言開發，同時具備使用者模式與核心層級的 rootkit 能力。

VoidLink的核心設計理念是「盡可能自動化規避偵測」。它會先分析 Linux 環境特性，然後在LD_PRELOAD、eBPF或LKM（Loadable Kernel Module，可載入核心模組）三種 rootkit 技術間智慧選擇最適合的隱藏策略。

在通訊方面，VoidLink 使用名為 VoidStream 的自訂協定，能將竊取的資料偽裝成 PNG 圖片或 JavaScript、CSS 程式碼，藉此躲避網路監控。它會掃描目標環境中的資安防護產品並給予風險評分。當風險較高時，會放慢動作以降低被發現機率。如果偵測到資安分析人員正在檢查系統，便會立即自我刪除以消滅證據。

VoidLink 能收集雲端環境憑證，也能竊取如 Git等服務的管理員登入資訊。研究人員認為軟體工程師可能是主要攻擊目標。駭客一旦取得開發人員憑證，就能存取原始碼儲存庫，植入後門、竊取智慧財產權，甚至透過供應鏈污染軟體。

開發進度快速接近完成
Check Point 研究團隊判斷 VoidLink 出自中國開發者之手，但確切的組織歸屬仍不明確。開發者具高度技術專業，精通 Go、Zig、C 及 React 等程式語言，並對作業系統底層運作有深入理解。介面採用中文設計，搭配專業的網頁儀表板。

最新樣本顯示大部分元件已接近完成，具備功能完整的 C2 伺服器與前端儀表板。快速的迭代更新顯示開發團隊正積極推進，力求盡快讓工具達到可實際部署的成熟度。

防護建議
雖然目前尚未發現實際攻擊案例，Check Point 仍呼籲企業採取主動防護措施：


強化雲端與容器環境的監控機制，特別注意異常的網路流量與系統行為
定期檢查並輪換雲端服務與版本控制系統的存取憑證
部署針對 Linux 環境的進階威脅偵測方案
監控容器與 Kubernetes 環境中的異常活動
建立完整的日誌記錄與稽核機制

研究人員指出，VoidLink 的最終目標是建立隱密的長期存取管道，用於監控與資料收集。這款惡意軟體比多數 Linux 防護人員過去遇到的威脅更為先進，值得資安社群密切關注。

本文轉載自 DarkReading、Hackread。

          本文擷取自資安人

Check Point Software Technologies Ltd.發布最新數據顯示，亞太地區組織於 2025 年 12 月平均每周遭受 3,017 次網路攻擊，持續位居全球遭攻擊最頻繁地區，其中台灣尤以 4,047 次居亞太區之冠。有鑒於 AI 基礎設施遭受攻擊和基於提示詞的操縱愈加猖獗，Check Point 宣布攜手 NVIDIA 為企業 AI 供應鏈提供防護，提供涵蓋基礎設施、企業應用與終端使用者層的全方位資安防護。

Gartner 指出，32% 組織曾遭遇 AI 提示詞攻擊，過去一年中有 29% 組織面臨生成式 AI 基礎設施攻擊，近七成資安領導者認為現有資安策略亟需變革。同時，Lakera 最新調查進一步揭露，僅 19% 組織對生成式 AI 安全狀態具備「高度信心」，近半數（49%）則對漏洞感到高度擔憂。Check Point Research 數據研究經理 Omer Dembinsky 表示，網路風險已非偶發高峰，而是常態性的壓力。未受控管的生成式 AI 使用在企業層級造成資料暴露，邁入 2026 年，組織必須將預防為優先的安全、即時 AI 威脅情報，以及對企業內 AI 工具的治理列為首要考量。
 
Check Point 與 NVIDIA 攜手整合 AI Cloud Protect、Enterprise AI Factory 驗證設計與 BlueField 平台，為新一代 AI 資料中心「AI Factory」提供可大規模部署且不影響系統效能的資安防護。該方案已於 NVIDIA RTX PRO 伺服器完成驗證，可實現企業級 AI 基礎設施的即時監控、強化工作負載隔離，並提供對 AI 資料的深度可視與控管，協助企業防禦 AI 威脅，完整保障 AI 供應鏈。
 
Check Point 的安全解決方案組合包括：

基礎設施層（Infrastructure Layer）：
AI Cloud Protect 運行於 NVIDIA BlueField 上，在不影響效能、佔用額外 GPU 資源的情況下為 AI Factory 提供防護，保障支撐 AI 運算的基礎設施。
 
企業應用層（Application Layer）：
CloudGuard WAF在源頭阻擋提示詞注入、越獄、LLM 中毒等 AI 應用攻擊，並保護 LLM 輸入/輸出及所有資料流，包含檢索增強生成（RAG）、模型上下文協定（MCP）伺服器。憑藉檢測能力與極低的誤報率，以及結合 Gandalf 平台（全球 AI 紅隊平台，擁有超過 8,000 萬筆對抗攻擊樣本）的獨特資料優勢，為自主與企業系統互動的代理式 AI（Agentic AI）應用提供專門防護。
 
終端使用者層（User Layer）：
GenAI Protect 可於合規要求下規範員工的 AI 使用行為、防止敏感資料外洩，並自動產出審計軌跡，協助企業在擁抱生成式 AI 的同時落實合規責任。 


網路層 AI 安全防護，實現安全 AI 導入


透過 Check Point 防火牆（Quantum 與 CloudGuard 網路安全）實現生成式 AI 安全
自動偵測 MCP 伺服器與流量，查看其使用的工具和應用程式，並產生流量日誌以便深入分析
將應用程式完整控制權擴展到 AI 應用，制定允許或阻擋存取策略
全面掌控 Agentic AI、MCP 伺服器及影子生成式 AI 應用

              本文擷取自資安人

俄羅斯知名國家級駭客組織 APT 28（又稱 Fancy Bear）持續針對巴爾幹半島、中東和中亞的特定組織發動憑證竊取攻擊。這個與俄羅斯聯邦總參謀部情報總局（GRU）相關的組織採用看似簡單卻極為有效的基本技術，投資報酬率往往超越複雜的惡意軟體行動。

APT 28 在 2010 年代中期是全球最惡名昭彰的進階持續性威脅（APT）組織之一。該組織針對烏克蘭、美國與歐洲選舉，以及奧運相關組織發動的攻擊，對全球網路安全議題產生了重大影響。而當時只有 Anonymous 駭客組織的影響力能與之匹敵。

相較之下，Fancy Bear 近期的活動主要針對全球政府機關或對俄羅斯具戰略價值的組織，進行標準的魚叉式網路釣魚攻擊。根據資安業者的研究，2025 年 2 月至 9 月期間，該組織鎖定全球各地的特定組織，竊取其憑證，攻擊工具僅為經設計的網路釣魚頁面和現成的基礎設施。
Fancy Bear最新攻擊手法解析
Fancy Bear 的攻擊始於網路釣魚電子郵件。這些郵件會根據目標特性客製化主題，並以目標的母語撰寫。受害者點擊連結後，會看到一份借用自相關組織的真實 PDF 文件。例如，該組織曾用中東某智庫的氣候變遷政策文件來攻擊土耳其的再生能源科學家。

瀏覽片刻後，受害者會被重新導向到模仿合法線上服務的登入頁面。受害者輸入 Sophos VPN、Google 或 Microsoft Outlook 憑證後，會再次被導向真實服務的相同登入頁面，需要再次輸入憑證。對受害者而言，這種情況僅會被誤認為只是系統故障。

為支援攻擊流程，Fancy Bear 採用各種常見的託管服務，而非自製工具和基礎設施。駭客取得憑證後，可存取受害者的電子郵件帳號或 VPN，進而蒐集情報、在系統中橫向移動，並對更有價值的相關目標發動後續攻擊。

憑證竊取攻擊依賴廣泛可用的網路服務，設置需求極少，且可快速重新配置或放棄，成本很低。使用廉價、可替換的組件也有助於駭客保持低調。這些行動通常透過商業 VPN 服務存取，基礎設施則託管在免費平台上，使傳統追蹤方法（如伺服器註冊追蹤或金流追蹤）的效果大幅降低。

除了節省成本，不使用特殊惡意軟體、基礎設施或技術還有另一層意義：駭客可以減少技術指紋，縮短基礎設施需保持活躍的時間。這種做法反映出情報蒐集的成熟演進，優先考慮持續性、可擴展性和可否認性，而非複雜性。相較於快速引起關注的高成本攻擊活動，這種方式往往能帶來更高的作戰價值。

最終目標：取得戰略組織的存取權限
這波攻擊活動的已知目標包括烏茲別克的 IT 系統整合商、歐洲智庫、北馬其頓的軍事組織，以及與土耳其能源和核能研究組織相關的科學家和研究人員。

乍看之下，目標似乎分散且缺乏關聯。然而從情報角度來看，這些選擇具有高度針對性，且與 GRU 的情報蒐集優先事項一致。這些目標幾乎都符合地緣政治、軍事或戰略情報目標，而非商業或犯罪目標。

值得注意的是，部分目標可能只是攻擊者為了接觸更高價值目標的跳板，例如烏茲別克的 IT 系統整合商。在先前的攻擊活動中，研究人員發現憑證竊取頁面會鎖定規模較小或較不知名的組織，這些組織後來證實透過差旅、物流或供應鏈關係與更高價值目標相連。

防護建議


加強員工網路釣魚意識訓練，特別針對客製化的多語言釣魚郵件
實施多因素驗證（MFA）機制，降低憑證遭竊後的風險
監控 VPN 和郵件帳號的異常登入行為
定期檢視與第三方供應商及合作夥伴的連結關係，評估供應鏈風險


本文轉載自 DarkReading。

              本文擷取自資安人

過去一個月內，假冒郵政快遞服務的惡意網站數量暴增 86%，消費者在追蹤年終假期包裹時面臨更高的詐騙風險。

網路犯罪者利用線上購物的季節性高峰，發送看似來自合法物流公司的訊息，通常警告包裹延誤或暫停配送。這些假冒警示多透過簡訊或電子郵件送達，並附上竊取個人或財務資訊的連結。由於消費者預期會收到頻繁的配送更新，這類詐騙在出貨高峰期更容易得逞。
DHL成最大受害品牌，USPS詐騙網站單月暴增850%
根據 NordVPN 公布的資料，物流服務遭冒用的情況快速增加，但各品牌受影響的程度不同。DHL 是最常被冒用的業者，假冒其名義的詐騙網站較前月增加 206%。

DPD Group 排名第二，相關假網站數量增加 16%，成長幅度相對溫和。美國郵政服務（USPS）排名第三，但成長最為劇烈，冒用其名義的惡意網站在一個月內暴增 850%。

NordVPN 技術長 Marijus Briedis 表示，詐騙者正以前所未有的速度進化，利用 AI 不僅自動化攻擊，更讓手法變得極具說服力。隨著年終購物季進入高峰，消費者必須對日益複雜的網路釣魚手法保持警覺。

簡訊詐騙成主流手法，五年財損增五倍
以簡訊為基礎的物流詐騙，又稱為簡訊網路釣魚（Smishing），是這波趨勢的主要推手。NordVPN 調查發現，38% 的受訪者曾遇過物流詐騙，其中許多直接透過手機簡訊送達。簡訊經常繞過垃圾郵件過濾器且會被快速開啟，增加了使用者衝動點擊的機會。

這類詐騙造成的財務損失持續攀升。根據美國聯邦貿易委員會（FTC）資料，消費者在 2024 年因簡訊詐騙損失 4.7 億美元，是 2020 年的五倍。假冒物流通知已成為年終假期最常見且獲利最高的詐騙手法之一。

近期詐騙訊息常聲稱包裹因未繳關稅或海關費用而遭扣留，利用急迫感與擔心錯過包裹的心理，誘使收件人點擊惡意連結。

防護建議：直接查詢官網，切勿點擊可疑連結
NordVPN 建議採取以下預防措施降低風險：


避免點擊未經請求的簡訊或電子郵件中的追蹤連結
直接在官方物流公司網站或應用程式輸入追蹤號碼
對要求立即行動或付款的訊息保持警覺
仔細檢查寄件者資訊，留意變造的網域或拼寫錯誤
將可疑訊息回報給物流公司或 FTC，切勿直接回應

NordProtect 董事總經理 Tomas Sinicki 表示，成為假冒詐騙網站的受害者不僅會造成金錢損失，更會讓您面臨進一步詐騙和勒索的風險。

本文轉載自 InfosecurityMagazine。