用于发送HTTP请求及接收回应的用户端（HTTP cilent）应用程序，例如：cURL、wget，以及程序库像是：Axios、Go Resty、Node-fetch、OkHttp，运行向网页服务器发出请求并接收回应的工作，这类工具经常在开发及测试领域使用，但如今黑客也将其用于大规模攻击，引起研究人员提出警告。

资安业者Proofpoint指出，他们近期看到有人滥用合法的HTTP用户端工具，企图入侵Microsoft 365环境。值得留意的是，由于相关资源能从GitHub等公开的存储库取得，这种工具被用于暴力破解及对手中间人攻击（AiTM）的情况显著增加，导致帐号挟持（ATO）的资安事故不断发生。

这种利用合法HTTP用户端工具的攻击行动，最早可追溯到2018年2月，但去年1月Proofpoint威胁研究小组发现攻击手法开始出现变化，黑客改用OkHttp的变种犯案，接着在3月又使用更为广泛的HTTP用户端工具，相关攻击行动于5月达到高峰，攻击者利用数百万个遭到挟持的IP位址来攻击云端帐号。

木马程序AsyncRAT滥用TryCloudflare服务散布

资安业者Forcepoint揭露AsyncRAT最新一波攻击行动，攻击者利用TryCloudflare隧道与Python套件来散布恶意酬载，他们先是通过钓鱼邮件与受害者接触，一旦收信人点击信里的链接，就会触发一系列的攻击流程，从而在电脑植入AsyncRAT等多种恶意程序。

针对这起事故发生的过程，Forcepoint X-Labs威胁研究员Jyotika Singh指出，攻击是通过钓鱼邮件开始，而这些信件的共通点，就是含有连往Dropbox的链接，一旦收信人点击，电脑就会下载ZIP压缩档，其内容是互联网捷径档（URL），假若打开，电脑就会下载Windows捷径档（LNK），从而运行JavaScript文件。

而这个JavaScript脚本，又会触发BAT批量档，然后下载另一个含有恶意内容的ZIP档，该压缩档内含Python脚本，会在受害电脑植入AsyncRAT。

其他攻击与威胁

◆DeepSeek聊天机器人恐将数据发送给中国国营电信业者

◆Google警告旗下AI机器人Gemini遭滥用，中国、俄罗斯、北韩国家级黑客企图用于打造网络攻击工具

◆150家企业组织遭到锁定，黑客借由AD联邦服务绕过多因素验证，从而挟持帐号

◆黑客组织Silent Lynx锁定吉尔吉斯、土库曼斯坦等中亚国家而来

【漏洞与修补】

合勤证实研究人员揭露的漏洞存在于12款DSL CPE设备，呼吁用户应尽速汰换因应

资安业者GreyNoise一月下旬发现Mirai僵尸网络变种攻击的行动，攻击者利用去年7月底资安业者VulnCheck发现的漏洞CVE-2024-40891，该漏洞存在于存在于合勤科技（Zyxel Communications）CPE通信设备，由于当时漏洞尚未修补，也没有公开细节，引起资安界的关注。

当时我们也向合勤科技的关系企业兆勤科技（Zyxel Networks）询问，该公司初步表示此批受影响的设备生命周期已经结束（EOL）多年，但并未说明有那些设备存在相关漏洞，事隔两天，我们发现有国外资安新闻媒体引述VulnCheck及合勤科技的公告，进行追踪报导。

在VulnCheck公布的细节与合勤、兆勤的资安公告里，终于明确揭露有那些设备存在漏洞，当中列出的项目不只是去年找到的CVE-2024-40890、CVE-2024-40891，还包括一项重大层级的默认帐密弱点CVE-2025-0890。

Veeam修补本地端与云端备份软件漏洞，黑客可用中间人攻击伎俩破坏系统

备份与数据保护软件厂商Veeam，于2月4日揭露影响6款备份软件的重大漏洞，并发布修补。

这个编号为CVE-2025-23114的漏洞，存在Veeam备份产品使用的Veeam Updater组件，攻击者可趁机通过中间人攻击的手法，以root权限在受影响服务器上运行任意代码，严重性等级达到9.0。

Veeam旗下使用Veeam Updater组件的产品，总共有6款备份软件，目前只有Veeam Backup for Salesforce的3.1版与后续版本，仍受此漏洞影响，解决漏洞的办法是将内含的Veeam Updater组件更新到7.9.0.1124版，用户只需通过控制台界面的Checking for Updates选项，让系统自动运行更新即可。

AMD Zen架构处理器存在微指令签章验证漏洞，影响SEV-SNP机密运算安全

Google安全团队发现，部分基于Zen架构的AMD处理器存在微指令签章验证漏洞CVE-2024-56161，该漏洞可能使具备本地管理员权限的攻击者注入恶意微指令，进而危及依赖AMD安全加密虚拟化（SEV-SNP）保护的机密工作负载安全。由于漏洞一旦被滥用，可能导致机密运算环境保护失效，相关修补措施已于去年12月陆续发布，用户应密切关注BIOS与微指令更新状况。

该漏洞影响Zen 1至Zen 4架构的处理器，攻击者在取得本地管理员权限后，可借由注入恶意微指令直接影响处理器的核心运作机制。尤其是在使用AMD SEV-SNP技术保护机密工作负载的用例下，恶意微指令可能破坏工作负载的保密性与完整性，进而影响整个运算环境的安全基础。

针对此安全漏洞，Google于2024年9月底向AMD回报，AMD随后在2024年12月中旬针对Naples、Rome、Milan与Genoa等平台，推出微指令更新修补版本。

其他漏洞与修补

◆Meta大型语言模型框架Llama存在漏洞，恐导致AI系统曝露远程代码运行风险

【资安产业动态】

新任数位发展部资安署署长蔡福隆走马上任，将迎接挑战、积极对话，打造可信赖的资安环境

今日前金管会主任秘书蔡福隆正式升任数位发展部资通安全署（简称资安署）署长一职，各界都很关注台湾资安未来走向。蔡福隆接受iThome电话专访时表示，资安署肩负国家资安政策的推动与落实，他接任署长后，最重要的任务，就是打造一个「可信赖」的数位环境，并且积极和各方利害关系人沟通、对话，不只是要延续既有的政策，还要积极面对包括人力短缺、供应链安全甚至是生成式AI带来的挑战，而长期金融资安和相关监理的训练和经验，也为蔡福隆如何借由公私协力，强化台湾资安韧性奠定基础。

近期资安日报

【2月5日】去年修补的7-Zip的MotW漏洞被用于攻击乌克兰企业与政府机关

【2月4日】美荷执法单位联手，撤下提供商业邮件诈骗武器的地下市集

【2月3日】苹果针对旗下设备修补今年第一个零时差漏洞