適逢農曆年節前夕，在2025年第三星期資安新聞的主要焦點，是國家級駭客的最新進展，顯現電信業在2024已成駭客攻擊頭號目標的態勢，不只最近美國9家電信業遭中國駭客滲透的事故，還有多國電信業近年持續被發現遭中國駭客入侵。

此次報導亦整理出最新威脅態勢，突顯這些組織不只直接攻擊企業組織，更聚焦於邊緣裝置漏洞利用等方式滲透，而且供應鏈攻擊也深入臺灣發展的軟體與服務，像是近年一起資安事故就是透過ERP入侵，並且真正攻擊目標是臺灣無人機產業。

在資安事件方面，這一星期國內多家上市櫃公司發布資安事件重訊，最大焦點是以AI機器視覺與機器人當紅的所羅門，因為這又是一起同集團均受影響的狀況；韓國VPN業者IPany遭入侵所引發的供應鏈攻擊事件亦受關注，資安業者指出是中國駭客PlushDaemon所為。
●上市公司聯鈞光電1月19日說明部分資訊系統遭遇勒索軟體攻擊。
●上市公司所羅門在1月23日說明資訊系統遭受駭客攻擊，同日所羅門集團旗下的上櫃公司新門科技，亦發布相同資安重訊內容。目前所羅門集團官網無法連線。
●韓國VPN業者IPany遭駭，攻擊者在原廠提供的安裝檔加料散布惡意程式SlowStepper，這起供應鏈攻擊目標包含韓國半導體、軟體業，日本用戶也受害。
●HPE內部系統憑證、產品原始碼疑遭竊取，知名初始入侵管道掮客IntelBroker在駭客論壇上兜售。HPE表示已著手調查。

在威脅態勢與事件上，殭屍網路的威脅揭露是一大焦點，因為有4起消息與之有關，佔據本星期新聞事件不少版面。
●1.3萬臺MikroTik路由器被駭客綁架組成殭屍網路，藉此發送垃圾郵件並散布木馬，特殊之處是駭客利用DNS記錄設定不良來通過SPF的驗證，2萬網域遭利用。
●駭客透過Mirai變種殭屍網路發動創下新高的5.6 Tbps的UDP DDoS攻擊，Cloudflare一家東亞ISP的客戶成為目標，且攻擊時間是2024萬聖夜期間。
●cnPilot路由器被殭屍網路Airashi利用零時差漏洞綁架，攻擊者不只用於發動DDoS攻擊，也藉此提供非法代理伺服器服務。
●Mirai變種殭屍網路Murdoc的攻擊活動被揭露，主要鎖定陞泰IP攝影機、華為路由器。

在漏洞消息方面，有兩則漏洞利用的消息，一是今年1月初，專為多雲環境設計的雲端網路控制平臺Aviatrix Controllers，修補CVSS評分10分的重大漏洞CVE-2024-50603，在1月23日美國CISA將其列入已知被利用漏洞清單（KEV），對當地機構要求限期修補；另一是2020年JQuery的老舊漏洞CVE-2020-11023，同樣在當日被列入KEV清單。

另外，我們觀察到2個研究人員發現的新資安問題，值得大家留意，一是資安研究人員發現可濫用Cloudflare快取，進而推測用戶地理位置的手法；另一是發現群組原則已設定只接受NTLMv2的情況下，仍有部分應用程式可透過ParameterControl的參數，來請求NTLMv1驗證訊息。

至於資安防禦發展新聞中，有一項重要消息是，Google釋出新的軟體組成分析函式庫OSV-SCALIBR，將有助於協助生成精準的SBOM，並提升漏洞檢測效能。

【1月20日】駭客綁架MikroTik路由器從事網釣攻擊，意圖散布惡意軟體

攻擊者看上路由器將其綁架組成殭屍網路，多半是為了用來從事DDoS攻擊，近期有人卻將其用於規畫更為複雜的網路攻擊行動，使得相關手法更難防範。

這起資安事故特別之處在於，攻擊者也搭配了DNS的不當組態，而能藉此假冒合法的網域名稱寄送釣魚信，使得信件不會被郵件安全系統視為有害。

【1月21日】駭客聲稱握有IT大廠HPE的內部資料，該公司正在著手調查

去年底初始入侵管道掮客IntelBroker先後於10月、12月兩度公布思科的內部資料，而在今年初這些駭客又有動作，他們聲稱手上有伺服器大廠HPE的內部檔案。

值得留意的是，這些駭客並非首次表明竊得HPE內部的資料，去年2月，他們號稱從HPE開發環境取得內部資料。究竟這次駭客兜售的資料是否與之前有關？有待進一步釐清。

【1月22日】陞泰IP攝影機已知漏洞再傳遭到Mirai變種殭屍網路鎖定

去年美國網路安全暨基礎設施安全局（CISA）、資安業者Akamai揭露陞泰科技（Avtech）的IP攝影機漏洞CVE-2024-7029，並表示已有攻擊行動出現，如今有資安業者發現，可能還有其他駭客用於殭屍網路攻擊。

資安業者Qualys揭露綁架超過5,500臺裝置的殭屍網路Murdoc，並提及攻擊者運用已知漏洞對裝置散布惡意軟體，其中一個就是CVE-2024-7029。

【1月23日】中國駭客入侵韓國VPN業者IPany發動供應鏈攻擊，竄改安裝程式散布後門

駭客入侵軟體開發業者，並在正式發布的軟體裡加入惡意程式碼的情況，不時有事故傳出，最近一起針對韓國VPN業者的攻擊事故揭露，引起外界的關注。

值得留意的是，發動這起事故的中國駭客組織PlushDaemon，開發了具備超過30種功能的後門程式來從事攻擊，但資安業者ESET發現，這些駭客也著手開發威力更加強大的版本。

【1月24日】印度駭客組織DoNot假借提供即時通訊軟體的名義散布惡意程式

駭客鎖定安卓手機收集資料的情況，隨著全球國際局勢的緊張，這種攻擊也不斷出現，其中，最常見的就是要受害者授予各式的存取權限，從而大肆搜刮手機的資料並監控使用者，如今這樣的手法出現變化。

資安業者Cyfirma揭露印度駭客組織DoNot（APT-C-35）近期的攻擊行動當中，駭客的惡意App在取得輔助功能權限後，竟是透過訊息推播的方式，發動第二波網釣攻擊