适逢农历年节前夕，在2025年第三星期资安新闻的主要焦点，是国家级黑客的最新进展，显现电信业在2024已成黑客攻击头号目标的态势，不只最近美国9家电信业遭中国黑客渗透的事故，还有多国电信业近年持续被发现遭中国黑客入侵。

此次报导亦整理出最新威胁态势，突显这些组织不只直接攻击企业组织，更聚焦于边缘设备漏洞利用等方式渗透，而且供应链攻击也深入台湾发展的软件与服务，像是近年一起资安事故就是通过ERP入侵，并且真正攻击目标是台湾无人机产业。

在资安事件方面，这一星期国内多家上市柜公司发布资安事件重讯，最大焦点是以AI机器视觉与机器人当红的所罗门，因为这又是一起同集团均受影响的状况；韩国VPN业者IPany遭入侵所引发的供应链攻击事件亦受关注，资安业者指出是中国黑客PlushDaemon所为。
●上市公司联钧光电1月19日说明部分信息系统遭遇勒索软件攻击。
●上市公司所罗门在1月23日说明信息系统遭受黑客攻击，同日所罗门集团旗下的上柜公司新门科技，亦发布相同资安重讯内容。目前所罗门集团官网无法连接。
●韩国VPN业者IPany遭骇，攻击者在原厂提供的安装档加料散布恶意程序SlowStepper，这起供应链攻击目标包含韩国半导体、软件业，日本用户也受害。
●HPE内部系统凭证、产品源码疑遭窃取，知名初始入侵管道掮客IntelBroker在黑客论坛上兜售。HPE表示已着手调查。

在威胁态势与事件上，僵尸网络的威胁揭露是一大焦点，因为有4起消息与之有关，占据本星期新闻事件不少版面。
●1.3万台MikroTik路由器被黑客绑架组成僵尸网络，借此发送垃圾邮件并散布木马，特殊之处是黑客利用DNS记录设置不良来通过SPF的验证，2万网域遭利用。
●黑客通过Mirai变种僵尸网络发动创下新高的5.6 Tbps的UDP DDoS攻击，Cloudflare一家东亚ISP的客户成为目标，且攻击时间是2024万圣夜期间。
●cnPilot路由器被僵尸网络Airashi利用零时差漏洞绑架，攻击者不只用于发动DDoS攻击，也借此提供非法代理服务器服务。
●Mirai变种僵尸网络Murdoc的攻击活动被揭露，主要锁定升泰IP摄影机、华为路由器。

在漏洞消息方面，有两则漏洞利用的消息，一是今年1月初，专为多云环境设计的云端网络控制平台Aviatrix Controllers，修补CVSS评分10分的重大漏洞CVE-2024-50603，在1月23日美国CISA将其列入已知被利用漏洞清单（KEV），对当地机构要求限期修补；另一是2020年JQuery的老旧漏洞CVE-2020-11023，同样在当日被列入KEV清单。

另外，我们观察到2个研究人员发现的新资安问题，值得大家留意，一是资安研究人员发现可滥用Cloudflare缓存，进而推测用户地理位置的手法；另一是发现群组原则已设置只接受NTLMv2的情况下，仍有部分应用程序可通过ParameterControl的参数，来请求NTLMv1验证消息。

至于资安防御发展新闻中，有一项重要消息是，Google发布新的软件组成分析函数库OSV-SCALIBR，将有助于协助生成精准的SBOM，并提升漏洞检测性能。

【1月20日】黑客绑架MikroTik路由器从事网钓攻击，意图散布恶意软件

攻击者看上路由器将其绑架组成僵尸网络，多半是为了用来从事DDoS攻击，近期有人却将其用于规画更为复杂的网络攻击行动，使得相关手法更难防范。

这起资安事故特别之处在于，攻击者也搭配了DNS的不当组态，而能借此假冒合法的网域名称寄送钓鱼信，使得信件不会被邮件安全系统视为有害。

【1月21日】黑客声称握有IT大厂HPE的内部数据，该公司正在着手调查

去年底初始入侵管道掮客IntelBroker先后于10月、12月两度公布思科的内部数据，而在今年初这些黑客又有动作，他们声称手上有服务器大厂HPE的内部文件。

值得留意的是，这些黑客并非首次表明窃得HPE内部的数据，去年2月，他们号称从HPE开发环境取得内部数据。究竟这次黑客兜售的数据是否与之前有关？有待进一步厘清。

【1月22日】升泰IP摄影机已知漏洞再传遭到Mirai变种僵尸网络锁定

去年美国网络安全暨基础设施安全局（CISA）、资安业者Akamai揭露升泰科技（Avtech）的IP摄影机漏洞CVE-2024-7029，并表示已有攻击行动出现，如今有资安业者发现，可能还有其他黑客用于僵尸网络攻击。

资安业者Qualys揭露绑架超过5,500台设备的僵尸网络Murdoc，并提及攻击者运用已知漏洞对设备散布恶意软件，其中一个就是CVE-2024-7029。

【1月23日】中国黑客入侵韩国VPN业者IPany发动供应链攻击，窜改安装程序散布后门

黑客入侵软件开发业者，并在正式发布的软件里加入恶意代码的情况，不时有事故传出，最近一起针对韩国VPN业者的攻击事故揭露，引起外界的关注。

值得留意的是，发动这起事故的中国黑客组织PlushDaemon，开发了具备超过30种功能的后门程序来从事攻击，但资安业者ESET发现，这些黑客也着手开发威力更加强大的版本。

【1月24日】印度黑客组织DoNot假借提供即时通信软件的名义散布恶意程序

黑客锁定安卓手机收集数据的情况，随着全球国际局势的紧张，这种攻击也不断出现，其中，最常见的就是要受害者授予各式的存取权限，从而大肆搜刮手机的数据并监控用户，如今这样的手法出现变化。

资安业者Cyfirma揭露印度黑客组织DoNot（APT-C-35）近期的攻击行动当中，黑客的恶意App在取得辅助功能权限后，竟是通过消息推播的方式，发动第二波网钓攻击