中國駭客APT41使用惡意程式搜刮雲端憑證,範圍涵蓋AWS、GCP、Azure、阿里雲
資安公司Breakglass指出,他們發現APT41近期打造的ELF後門程式,鎖定建置在AWS、GCP、Azure、阿里雲的Linux雲端工作負載,該後門程式使用郵件通訊協定SMTP常用的25埠建立C2通訊,收集雲端服務供應商的憑證與中繼資料,然後將竊得資料傳送到3個冒充阿里巴巴的網域,這些主機架設於阿里雲新加坡的基礎設施。值得留意的是,VirusTotal納入的防毒引擎均未偵測出惡意程式,再加上駭客導入的C2交握驗證機制,使得Shodan、Censys等物聯網搜尋引擎難以識別受害的工作負載。
值得留意的是,這次駭客不再使用HTTPS進行C2通訊,而是刻意採用SMTP常見的連接埠。Breakglass指出,原因可能是雲端環境通常會提供電子郵件服務,因此25埠的流量往往會被視為正常,再加上許多資安工具不會深入檢查SMTP流量,以及各家雲端服務廠商對於25埠出口流量過濾做法不一致,使得相關活動難以被察覺。
Marimo重大漏洞遭利用,駭客透過Hugging Face散布惡意軟體NKAbuse
Python互動運算環境Marimo開發團隊上週揭露重大漏洞CVE-2026-39987(CVSS v4.0風險評為9.3分),資安公司Sysdig於10小時後首度看到漏洞利用活動,如今他們提出警告,已有多起漏洞利用攻擊出現。
Sysdig指出,他們在4月11日至14日,總共看到有11個IP位址發動662起攻擊,包括反向Shell、擷取憑證與DNS資訊,以及利用竊得憑證橫向移動,駭入資料庫系統PostgreSQL與Redis,其中一起活動引起Sysdig的注意:駭客搭配搶先註冊Hugging Face Spaces服務的方式,散布惡意軟體NKAbuse。這次駭客針對執行Linux或macOS的AI開發工作站而來,並搭配知名AI服務、冒用常見的開發工具名稱,並利用CVE-2026-39987,突顯執行Marimo的開發工作站極具價值,因為通常會存放雲端憑證、SSH金鑰、API權杖(Token),甚至是內部網路的存取權限。
研究人員對微軟回應BlueHammer感到失望,公布新的Microsoft Defender零時差漏洞RedSun
4月上旬研究員Chaotic Eclipse疑似對微軟通報漏洞的流程不滿,公布資安漏洞BlueHammer,後續有資安專家與資安公司證實這個漏洞確實存在,並指出問題與內建防毒軟體Microsoft Defender的更新機制有關,攻擊者若是成功利用,能取得SYSTEM權限,微軟在本月例行更新(Patch Tuesday)登記為CVE-2026-33825並提供修補。如今該名研究員想要繼續表達不滿,再度公布新的資安漏洞,目前尚無修補程式。
根據資安新聞網站Bleeping Computer報導,Chaotic Eclipse疑似對微軟處理BlueHammer的過程頗有微詞,於4月16日公布新的漏洞RedSun。針對上述研究人員指控,微軟向Bleeping Computer說明,該公司承諾會調查獲報的資安問題,並儘快更新受影響的裝置,保護用戶的安全。這樣的說法,還是相當制式,也無從得知微軟對RedSun掌握的情形。
思科本週釋出安全更新,修補視訊會議產品Webex漏洞CVE-2026-20184,攻擊者可冒充合法用戶存取目標系統。此漏洞存在於Webex服務的控制臺Control Hub,涉及單一簽入(SSO)整合功能,起因在於憑證驗證不當,讓攻擊者能經由服務端點,以假造的權杖(token)通過身分驗證。成功濫用漏洞的攻擊者可假冒用戶,存取合法Cisco Webex服務,CVSS風險分數達到9.8,屬重大等級漏洞。
思科已經更新Webex服務並解決漏洞,不過,為避免服務中斷,使用信任錨點作為SSO整合的使用者,必須上傳新的身分驗證供應商(Identity Provider,IdP)SAML憑證到Control Hub。
Nginx網頁管理介面元件Nginx UI存在重大漏洞,有資安公司警告已遭積極利用
網頁伺服器Nginx的第三方網頁管理介面Nginx UI存在重大漏洞,後續傳出遭到利用,由於攻擊者可用來在無須通過身分驗證的情況下接管網頁伺服器,這個弱點受到資安界高度關注。
這個漏洞被登記為CVE-2026-33032,起因是Nginx UI與模型上下文協定(Model Context Protocol,MCP)整合時,會曝露兩個HTTP端點/mcp與/mcp_message,其中的/mcp同時需要從白名單IP位址並通過身分驗證,才能存取,不過/mcp_message只需透過白名單IP位址就能存取,然而IP位址白名單預設沒有任何內容,再加上中間軟體預設允許所有的存取,導致未經身分驗證的攻擊者能使用所有的MCP工具,將Nginx重新啟動,或是建立、竄改、刪除組態設定檔案,甚至能觸發自動設定重新載入,完全挾持Nginx服務,CVSS風險評為9.8分(滿分10分),相當危險。
中國技術文件協作平臺ShowDoc存在重大漏洞,已被用於實際攻擊活動
資安公司VulnCheck提出警告,中國技術文件協作平臺ShowDoc已知漏洞CVE-2025-0520出現遭到利用的活動,他們透過蜜罐陷阱看到有人試圖部署Webshell,這是首度出現該漏洞被用於攻擊的情況。
CVE-2025-0520屬於未受限制的檔案上傳漏洞,起因是檔案類型的驗證不夠周延,可被攻擊者執行任何PHP指令,從而導致遠端程式碼執行(RCE)的情況,CVSS v4.0風險達到9.4分(滿分10分),屬重大等級,非常危險。ShowDoc開發團隊在2020年10月推出2.8.7版進行修補,當時中國將此漏洞登記為CNVD-2020-26585列管。
Google發布Chrome瀏覽器更新,修補31個漏洞,含多個重大與高風險漏洞
Google發布Chrome瀏覽器新版本,將Windows與Mac平臺穩定版更新至147.0.7727.101與147.0.7727.102,Linux版本更新至147.0.7727.101,此次改版修補多個重大與高風險漏洞。這次Chrome更新一共修補31個漏洞,包括5個重大漏洞、22個高風險漏洞,以及4個中度風險漏洞。
其中最受矚目的是重大漏洞CVE-2026-6296,為圖形處理元件ANGLE的堆積緩衝區溢位(heap buffer overflow)問題, Google給予通報者9萬美元獎勵,是近幾個月來Chrome漏洞通報中少見的高額獎金。另一個值得關注的重大漏洞是CVE-2026-6297,問題在於跨程序通訊代理層(Proxy),出現記憶體釋放後再存取使用(Use After Free)的狀況,Google給予通報者1萬美元獎金。
降低基頻高風險攻擊面,Google在Pixel 10系列導入Rust改寫的DNS解析器
Google在Pixel 10系列基頻(Baseband)韌體中導入記憶體安全語言,具體作法是導入以Rust實作用來解析DNS回應的DNS解析器。Google選用開源Rust函式庫hickory-proto作為基礎,並以體積最佳化設定建置原型後估算,相關Rust程式碼總計約371 KB。
開發團隊先從DNS著手,是因為現代行動通訊已轉為數位資料網路,連通話轉接等基本功能都仰賴DNS服務,而DNS協定複雜,必須解析來自網路的不受信任資料,容易衍生漏洞。以Rust重寫DNS解析器,可降低此處與記憶體不安全相關的漏洞風險。
在電腦版Gmail導入全程加密(E2EE)2年後,Google近日宣布將此功能推向Android和iOS裝置。不過,目前提供訂閱付費版Workspace的企業用戶使用。現在Google將這項功能透過Workspace Enterprise Plus with Assured Controls版本,或是Assured Controls Plus擴充程式,提供Android及iOS手機的Gmail用戶端加密(Client-side Encryption,CSE)功能。
管理員須在CSE管理員介面啟用相關功能,終端用戶若想在任何訊息加入用戶端加密,需先點選Gmail介面的鎖頭圖示、選擇額外加密,之後就能像平常一樣寫郵件和增加附件。
Palo Alto Networks完成併購Koi Security,強化AI代理時代的端點防護
今年初傳出Palo Alto Networks有意買下以色列資安新創廠商Koi Security的消息,本週正式宣布完成,Palo Alto Networks將藉由整合Koi Security的技術,為AI代理與自動化工具所帶來的新型資安風險,提供全新的AI代理端點安全(Agentic Endpoint Security,AES)類別解決方案。
Palo Alto Networks產品技術長Lee Klarich表示:代理AI為企業帶來巨大機遇,但也創造新的攻擊面,而傳統安全工具難以檢測這些攻擊面。透過併購Koi Security,則能為這項威脅的處理提供新的解決方案。Koi Security執行長兼聯合創辦人Amit Assaraf則表示:加入Palo Alto Networks後,他們將能為用戶提供最全面的解決方案,以保護終端和企業範圍內的所有AI與軟體安全。
解決簡訊OTP難題,FIDO生態系設法與電信業者整合,電話號碼驗證PNV與eSIM Passkey成新對策
近期大量LINE帳號遭盜用的事件受到廣泛關注,雖然這次事件主因在於電信業語音信箱採用預設密碼,讓攻擊者有機可乘,但整起事件背後還有其他更深層議題值得探討,因為雲端服務相關身分驗證機制仍仰賴OTP認證碼(一次性密碼)。
儘管全球產業早已推動採用更強的多因素驗證(MFA)與Passkey,以降低雲端服務登入遭網釣風險,但許多平臺在帳號註冊或復原的流程中,至今仍經常依賴簡訊OTP作為身分驗證方式。是否已有因應之道?今年3月FIDO臺灣分會舉辦活動,太思科技董事長何俊炘在一場演說剛好談及這方面的議題,揭露全球多國政府陸續禁用OTP的態勢之餘,更強調FIDO聯盟成員正積極與電信業合作的全新發展態勢。
其他資安威脅
◆惡意軟體ZionSiphon針對以色列水利設施,恐影響水資源處理與海水淡化工作
◆筆記軟體Obsidian用戶遭鎖定,駭客意圖散布惡意軟體PhantomPulse RAT
◆歐盟聯手21國從事執法活動Operation PowerOFF,找出逾7.5萬名涉及DDoS平臺的人士
近期資安日報
