【資安日報】6月17日,歐洲理事會驚傳遭ShinyHunters入侵
駭客組織ShinyHunters本周宣稱,駭入歐洲理事會(Council of Europe)內部系統,竊走歐洲多國人員薪資等42.9萬份檔案,內容涵蓋多個歐洲理事會分部的人事及薪資檔案,包括上萬名員工2011到2026年間的薪資單約40.9萬份、內部人事檔案3,700多份、1.4萬份履歷表。外洩的資料型態眾多,包括員工ID、地址、電話號碼、出生日期、薪資、銀行帳號、稅務和社會安全碼資訊、醫療資料和出勤記錄、任務資訊及其他內部機構資料。歐洲理事會以正在著手調查為由,現階段拒絕評論。
根據科技新聞網站TechNadu報導,自稱為SHADOWBYT3$的駭客6月13日在地下論壇張貼勒索訊息,宣稱從任天堂的TINYpulse系統竊得近859 MB資料,喊價200萬美元作為贖金。TINYpulse是蒐集員工匿名反饋意見的員工關係管理平臺。這名駭客宣稱從TINYpulse取得員工姓名、電子郵件、分析報告、銀行對帳單PDF檔、以及職場問卷,涵括2016年到2026年的資料。任天堂在同一天接獲勒索恐嚇信,駭客要求任天堂48小時做出回應,若在6月15日前未接獲聯繫,他們將公開竊得資料。
駭客組織ShinyHunters鎖定教育科技公司Infinite Campus,竊取13.7萬名師生個資
今年3月,勒索軟體駭客ShinyHunters聲稱入侵教育科技公司Infinite Campus,從該公司使用的Salesforce平臺竊得1.2 GB的檔案,由於該公司為美國逾3,200個學區提供學生資訊系統,範圍涵蓋46個州、握有約1,100萬名學生個資,使得這起事故在美國受到關注。根據資安新聞網站Bleeping Computer報導,密碼外洩查詢網站Have I Been Pwned(HIBP)本週將這起事故納入資料庫,並指出約有137,100個帳號的資料外洩。
德國多家醫院病患資料外洩,起因於醫療帳務委外服務商Unimed遭駭,突顯第三方供應鏈攻擊風險
近日,德國多家大學附設醫院陸續發布資安事故公告,揭露因委外服務商Unimed遭駭導致的資料外洩災情。受影響的醫院與規模如下:弗萊堡大學附設醫院揭露有5.4萬名病患個資外洩,其中 900名病患的帳單資料遭竊;海德堡大學附設醫院指出1.1萬名病患個資外洩,2,700名病患帳單資料被竊;科隆大學附設醫院表示約3萬名病患紀錄受影響;而烏姆大學附設醫院也同樣證實數千名病患資料遭竊。Unimed發布公告指出,該公司於4月14日遭到攻擊。
波蘭數位事務部於6月12日發布警訊,近期出現偽冒當地政府官員的社交工程活動。駭客試圖藉此與大型企業執行長取得聯繫,最終目的可能在於竊取敏感資料、植入惡意軟體或詐取資金。網路犯罪分子主要利用社交工程手法,在WhatsApp和Signal等即時通訊軟體上冒充政府官員與VIP人士。為了提高可信度,攻擊者會從官員的官方帳號下載照片與個人資料來建立偽冒帳號,但使用的電話號碼與官員實際登記的並不相同。
今年1月,義大利亞得里亞海港務局證實遭遇勒索軟體Anubis攻擊,當時該機關表示事故發生在去年12月,約有2%資料外流。近日資安公司Resecurity指出,駭客向員工寄送帶有惡意附件的釣魚信來接觸該組織,成功入侵後便進行權限提升,在內部網路橫向移動,然後利用港務局IT基礎設施中尚未修補的漏洞,逐步取得重要系統的控制權。值得注意的是,本次攻擊駭客並未直接針對OT環境的基礎設施,而是入侵M365與Azure等IT系統來達到目的,使貨物追蹤、船期排程及海關作業等核心系統全面癱瘓。
中國駭客Earth Lusca打造惡意軟體SprySOCKS變種,於政府機關從事攻擊活動
資安公司ESET指出,他們發現中國駭客組織Earth Lusca,將原本針對Linux環境的後門程式SprySOCKS,開發出衍生的Windows版本,他們起初在VirusTotal發現惡意檔案,進一步比對遙測資料,發現這些駭客在2023至2024年用於攻擊行動,受害組織主要是政府機關,範圍涵蓋臺灣、宏都拉斯、泰國和巴基斯坦。ESET一共看到兩種Windows版的SprySOCKS變種WIN_DRV與WIN_PLUS,其中又以WIN_DRV較為特別,內建核心驅動程式RawWNPF來隱藏網路連線。
Awesome Motive旗下外掛遭供應鏈攻擊,120萬個WordPress網站受影響
資安業者Sansec於6月13日揭露,Awesome Motive旗下OptinMonster、TrustPulse及PushEngage的JavaScript檔案遭駭客植入惡意程式,導致使用相關外掛的WordPress網站面臨後門植入風險,影響規模超過120萬個網站。Awesome Motive則說,駭客是利用第三方WordPress備份外掛UpdraftPlus的已知漏洞,取得其行銷網站伺服器存取權。
UpdraftPlus WordPress外掛程式漏洞攻擊活動升溫,Wordfence單日攔截逾7萬次攻擊嘗試
資安業者Wordfence近日警告,6月10日揭露的WordPress網站備份外掛程式UpdraftPlus漏洞CVE-2026-10795,已出現明顯的攻擊活動升溫跡象。根據Wordfence漏洞資料庫統計,該公司旗下防護服務曾在單日內攔截超過7.4萬次針對此漏洞的攻擊嘗試,顯示攻擊者已開始大規模掃描與利用尚未修補的網站,UpdraftPlus用戶應儘速升級至已修補版本,免費版用戶應升級至1.26.5版,Premium付費版用戶則升級至2.6.5版。
美國警告Joomla外掛JCE的滿分重大漏洞已被用於實際攻擊活動
6月16日美國網路安全與基礎設施安全局(CISA)提出警告,由軟體廠商Widget Factory開發的Joomla外掛程式Joomla Content Editor(JCE),存在重大漏洞CVE-2026-48907,CISA已掌握積極利用該弱點的攻擊跡象,因此,他們將其列入已遭利用的漏洞名單(KEV),並要求聯邦機構在6月19日前完成修補。此為存取控制不當類型的弱點,攻擊者有機會造成PHP程式碼上傳及執行,CVSS v4.0評為滿分10分。
Jenkins修補重大遠端執行程式碼漏洞,攻擊者已開始利用漏洞試圖入侵企業CI/CD環境
資安業者Defused Cyber於6月15日警告,開源自動化CI/CD平臺Jenkins的遠端執行程式碼漏洞CVE-2026-53435,漏洞的CVSS嚴重性評分達8.8分,已遭攻擊者實際利用,可能影響企業CI/CD建置流程的安全性,用戶應儘速升級至已修補的2.568版與LTS 2.555.3版。該公司已觀察到攻擊者利用自動化掃描工具搜尋暴露於網際網路的Jenkins主機,並嘗試利用前述漏洞發動攻擊。Jenkins專案已於6月10日發布修補版本,用戶應儘速更新。
上週資安公司Fortinet修補重大等級的作業系統指令注入漏洞CVE-2026-25089,威脅情報公司Defused Cyber於6月16日在社群網站X發文警告,他們看到有人試圖利用CVE-2026-25089、CVE-2026-39813、CVE-2026-39808等已知漏洞攻擊FortiSandbox系統,根據駭客利用CVE-2026-25089的手法,該公司研判是借助AI的力量來達到目的。Defused Cyber提及,這是首度有人成功利用CVE-2026-39813的攻擊活動。
耗材與影像輸出解決方案業者上福全球科技(6128)於6月16日,於股市公開觀測站代重要子公司Katun Corporation發布重大訊息,指出該公司發生網路資安事件,目前已啟動相關應變與調查程序,並評估事件對營運的影響。針對這起事故造成的影響,上福根據初步調查結果指出,尚未對公司整體營運、財務狀況或客戶服務造成重大影響。
美國政府要求Anthropic停止對外國用戶提供Claude Fable 5,原因是傳出有人能成功越獄
上週Anthropic正式發表Claude Fable 5與Mythos 5,不料3天後突然因美國政府禁令被迫宣布停用,有科技新聞網站指出,傳出至少有兩組研究團隊已能成功越獄。根據科技新聞網站SiliconANGLE報導,美國商務部下達出口管制令的原因,很有可能源自英國資安研究機構AI Security Institute(AISI)紅隊負責人Xander Davies的推文;華爾街日報指出,美國政府下令禁止所有外國人士使用,疑似源自Amazon總裁Andy Jassy向美國官員透露已成功越獄的情形。
微軟整合雲端防護與程式碼安全工具,協助企業依正式環境風險排序漏洞修補
微軟在Build 2026揭露軟體安全布局,宣布兩大產品的原生整合正式推出,它們分別是雲端資安防護服務Microsoft Defender for Cloud,以及程式碼安全服務GitHub Code Security,讓企業能將正式環境中的風險資訊納入程式碼漏洞管理與修補流程。企業可透過GitHub connector連接GitHub組織或儲存庫,讓系統自動對應來源儲存庫與正在執行的雲端工作負載,協助團隊判斷哪些漏洞已實際影響運作中的工作負載,應優先修補。
國際支付卡組織Visa宣布與OpenAI合作,將把其支付網路及安全、身分驗證技術整合到OpenAI ChatGPT使用體驗中,以實現消費者及企業AI代理式支付的安全及流暢度,這項合作讓開發人員或店家得以接受由AI代理人啟動的Visa支付,雙方也計畫將支付安全機制整合到開發或業務流程。其中,Visa將提供底層全球支付網路、支付憑證記號化(tokenization)、授權、代理人識別及風險管理基礎架構以確保交易安全性。
2026年CVE數量恐破6.6萬個,FIRST國際資安應變組織提四項應對建議
FIRST國際資安應變組織於6月15日舉行的第38屆年會裡,發布2026年年中漏洞預測報告,當中指出今年登記在案的CVE漏洞數量將呈現史無前例的激增。根據FIRST最新公布資料顯示,2026年1至4月的實際披露量已較原先預估多出約6,420個漏洞,比例高出46.3%,這使得全年總量從2月份預估的59,427個,現在上修至約66,000個。FIRST指出,這波CVE數量暴增並非軟體安全性下降,而是反映漏洞挖掘技術與回報機制的結構性轉變。
數位發展部資通安全署針對中小企業的資安輔導措施,於6月11日開辦「資安專家會客室」服務,將邀請具備實務經驗的專家,針對企業面臨的駭客入侵、機敏資料保護等關鍵議題,提供一對一的客製化具體行動建議,並於後續主動關懷企業的落實情況。資安專家會客室採線上視訊為主、實體面談為輔進行,讓缺乏資源的中小企業可以免費預約諮詢。活動期間為6月11日起至10月底,每週共計舉行6場,預估整體量能可達100場次以上。
當Physical AI走進現實,一張傳單就可讓機器人出拳攻擊
【臺灣資安大會直擊】專精車用資安與機器人資安的VicOne執行長鄭奕立指出,在Physical AI(物理AI)的世界裡,機器人的手腳可能會直接傷害人類。只需一張含戰鬥指令的傳單,就能操控機器狗由友善互動轉為攻擊行為。此現象凸顯AI機器人面臨五大資安威脅層面,包括感測器欺騙、AI模型劫持、無線通訊滲透、軟體供應鏈漏洞及硬體弱點。對此,鄭奕立認為,強調資安必須在設計端同步納入,確保未來機器人服務落地時能兼顧安全與隱私。
為了強化國家安全,政府機關導入臉部辨識機制來防範犯罪行為,不過也可能造成隱私層面的疑慮。英國內政部在5月底發布官方指引,宣布在多佛(Dover)等重要邊境港口與拘留中心,全面啟動AI臉部年齡估算技術,協助第一線執法人員對難民與尋求庇護者進行初步的年齡判定,以防範成年人蓄意隱瞞真實年齡、冒充未成年兒童入境,然而,人權團體與隱私倡議組織質疑演算法的準確性、對不同族群可能存在的特徵偏誤,以及個資隱私權保護的擔憂。
近期資安日報
【6月16日】上百名資安專家連署反對Claude Fable禁令
駭客宣稱駭入任天堂竊走員工及公司資訊,勒索200萬美元
駭客宣稱入侵日本遊戲大廠任天堂使用的員工意見回饋平臺,並竊得近859MB資料,向任天堂勒索200萬美元
www.ithome.com.tw
Comments (0)