Google發布了新的電腦版Chrome 125，增加不少新功能，其中，與資安防護有關的部分，包含了新的隱私控制選項，來避免攻擊者挾持，而對於Windows版用戶，他們將網路服務放在沙箱執行。

但在此同時，本次Google也修補9個弱點，當中包含了JavaScript引擎V8的高風險漏洞CVE-2024-4947，而這是該公司在最近一週修補的第3個零時差漏洞。

【攻擊與威脅】

Windows遠端協助工具「快速助手」遭到濫用，駭客從事勒索軟體Black Basta攻擊行動

5月10日資安業者Rapid7揭露一項社交工程攻擊行動，駭客鎖定採用威脅偵測與應變代管服務（Managed Detection and Response，MDR）的企業組織而來，利用垃圾郵件轟炸目標用戶的電子郵件信箱，然後撥打電話表示能提供協助，引誘用戶下載遠端管理軟體，其中一種是Windows作業系統內建的「快速助手（Quick Assist）」，攻擊者的身分很可能與勒索軟體駭客組織Black Basta有關。而相關的攻擊行動，最近有了新的發現。

微軟也針對這項社交工程攻擊著手調查，並指出攻擊者的身分是出於經濟動機的駭客組織Storm-1811，而這個組織經常會在攻擊行動部署勒索軟體Black Basta。他們從4月中旬看到對方從事攻擊行動，先是透過語音網路釣魚（Vishing）來引誘目標用戶上當，然後啟動快速助手控制目標電腦，從而散布ScreenConnect、NetSupport Manager等遠端管理工具，以及惡意程式QBot、滲透測試工具Cobalt Strike，最終達到部署勒索軟體的目的。

其他攻擊與威脅

◆歐洲外交機關遭俄羅斯駭客Turla鎖定，植入後門程式LunarWeb、LunarMail

◆桑坦德銀行傳出資料外洩，影響智利、西班牙、烏拉圭客戶，起因是第三方供應商遭駭

【漏洞與修補】

Google發布Chrome 125新版，一週內修補3個零時差漏洞受到關注

5月15日Google發布Chrome 125新版本（125.0.6422.60、61），當中總共修補9個漏洞，值得留意的是高風險漏洞CVE-2024-4947，Google指出已被用於實際攻擊行動，而這是自5月9日以來，該公司修補的第3個零時差漏洞。

這項漏洞存在於JavaScript引擎V8，為類型混淆弱點，由資安業者卡巴斯基13日通報。Google並未進一步說明細節，而對於提供研究人員的獎勵，他們表示有待進一步決定。

Adobe發布5月例行更新，修補PDF編輯工具、檢視器，以及FrameMaker、Animate等多項應用程式漏洞

本週二Adobe發布5月份例行修補，針對旗下的Acrobat及Acrobat Reader、Illustrator、Substance 3D Painter、Substance 3D Designer、Animate、FrameMaker、Dreamweaver、Aero等多項產品發布更新，總共修補35個漏洞，這些漏洞多數同時影響Windows版及macOS版用戶，該公司表示，截至發布公告為止，他們尚未發現漏洞遭到利用的跡象。

其他漏洞與修補

◆VMware修補虛擬化平臺在Pwn2Own 2024揭露的高風險漏洞

◆Intel發布5月例新更新，修補逾90個漏洞

◆西門子、三菱電機、江森自控、Rockwell發布5月份工控系統資安公告

【資安產業動態】

賴清德準總統公開承諾，新政府仍將繼續支持資安產業發展

下週一（5月20日）臺灣第16任、新任總統賴清德即將走馬上任，此次他率領未新內閣中與資安發展相關的主管，一同蒞臨CYBERSEC 2024臺灣資安大會，包括：現任青平臺基金會董事長、候任行政院副院長兼資安長鄭麗君，中研院資創中心研究員、候任國安會諮詢委員李育杰，以及中研院資創中心特聘研究員、候任數位發展部部長黃彥男等人，共同關心臺灣資安產業的發展。

賴清德致詞表示，未來新政府也會延續蔡英文總統「資安即國安」的政策繼續推動資安，並公開承諾，將會繼續支持臺灣資安產業的發展，推動產業更上一層樓。

他也提及，臺灣是全球假訊息被攻擊最嚴重的國家，如果將這個視為可以磨練、鍛鍊臺灣資安產業的場域時，就會是臺灣資安產業發展的契機。

【資安防禦措施】

行政院通過打詐專法，Google、Meta等網路廣告平臺未盡防詐義務最高開罰2,500萬元，嚴重者可限制流量或阻擋連結

行政院5月9日通過外界期待的「詐欺犯罪危害防治條例」，也就是俗稱的打詐專法，未來將連同其他法規，包括洗錢防制法、科技偵查及保障法、通訊保障及監察法，合稱打詐新四法，一起送到立法院審議。

在新的打詐專法中，明訂金融、電信、數位產業的打詐義務，其中在數位產業方面，要求Google、Meta等網路廣告平臺業者在臺設立法律代表，依法配合防詐，若情節嚴重者最高可罰2,500萬元，未改正者由專家審議，祭出停止解析或限制接取等重罰。

美國聯邦通訊委員會揭露機器人電話駭客組織Royal Tiger，意圖打擊當地報稅季語音網釣氾濫的現象

5月13日美國聯邦通訊委員會（FCC）揭露名為Royal Tiger的駭客組織，該組織專門透過機器人撥打電話（Robocall）犯案，他們經常假冒政府機關、銀行、企業組織，利用偽冒的電話號碼撥打電話，聲稱提供信用卡低利分期優惠，來引誘受害者上當，過程中濫用生成式AI複製的聲音來進行。

為何公布此駭客組織的相關細節？主要與美國執法單位4月進行的「春季掃蕩（Spring Cleaning）」執法行動有關，該行動的主要目的，就是打擊在該國報稅季當中，以電話撥打機器人（Robocaller）宣稱能提供納稅人減稅的網釣攻擊。

FCC將Royal Tiger歸於消費者通訊資訊服務威脅（Consumer Communications Information Services Threat，C-CIST），並公布該組織的相關細節，以便地方政府與國內外執法單位，識別、調查其攻擊行動及攻擊基礎設施。

近期資安日報

【5月15日】微軟發布5月份例行更新，公告3個零時差漏洞受到各界關注

【5月14日】芬蘭首都證實資料外洩事故，起因是教育部門的遠端存取伺服器未修補已知漏洞

【5月13日】韓國警方證實法院大量民眾個資遭北韓駭客竊取，近1 TB資料流出但僅有少部分能確認受害者身分