關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
  4. 資安風險
顯示分類
2026.02.09
漏洞與風險/資安風險
2026年2月第一週 資訊安全威脅情資

根據2026/02/01~2026/02/07間國外媒體報導的資訊安全相關議題,以這些議題作為資訊安全威脅情資,進行風險分析作業,生成以下風險情境資料,提供組織評估是否存在類似風險之參考。組織可以參考下表資料,決定是否需進一步從CIA構面,分析風險影響,再據以建立風險處理措施。本週風險情境都可以在台灣應用軟件公司網頁當週的資料整理,找到原文報導資料。


威脅情資-260211
情資名稱:利用舊版合法 EnCase 驅動作為 EDR 終結器(EDR Killer),繞過防護軟體阻擋與引發端點安全失效
情資說明

近期資安調查顯示,威脅行為者在一次實際攻擊行動中,成功採用「Bring Your Own Vulnerable Driver(BYOVD)」手法——即將一個合法但已撤銷、過時的 Windows 核心驅動程式(來自 EnCase 法證工具)當作惡意執行載具,進入受害者環境並終止其端點防護及偵測技術(EDR/EPP)。在被濫用後,這類驅動允許攻擊者從核心層級直接終止安全相關進程,包括多家主流廠商的 EDR 與 AV,顯著削弱防護能力並為後續橫向移動與惡意活動鋪路。

影響產品
  • Windows 核心安全與驅動載入機制:由於 Windows 允許舊憑證簽章的核心驅動載入,即使憑證過期或撤銷,惡意 BYOVD 仍可透過復用合法驅動獲得內核層級權限,進而終止防護進程。
  • 端點偵測與防護工具(EDR/EPP):被 BYOVD 動用的“EDR killer”會包含一份目標流程名單,可在內核層直接終止包括 Microsoft、CrowdStrike、SentinelOne、Kaspersky 等多家防護產品相關進程,使其失效。
  • VPN 與遠端存取服務:在本案中,攻擊者利用被盜 VPN 帳號作為初始存取點,再部署 EDR killer,暗示未強制多因素認證或異常登入偵測的存取管道可被濫用作攻擊進入。

威脅情資-260212
情資名稱:濫用受信任雲端平台托管誘騙式釣魚攻擊,導致企業帳戶被竊取與橫向濫用
情資說明

近期資安研究指出,威脅行為者正大量 濫用受信任的雲端與 CDN 平台(包括由 Google、Microsoft、Cloudflare 等知名雲服務提供者運行的托管環境)來托管釣魚套件及誘騙頁面,並對企業使用者啟動釣魚攻擊。這些惡意頁面利用合法雲端提供的網域與憑證,使網址看起來屬於可信任來源,進而繞過傳統基於聲譽的安全控管與靜態分析檢測。

影響產品
  • 企業身分驗證與雲端服務入口(如 Microsoft 365、Google Workspace):釣魚頁面被托管於知名雲端平台後,攻擊者能更容易誘使使用者輸入其企業身分憑證,進一步進行帳戶接管與橫向存取。
  • 雲端託管平台與 CDN(例如 Azure Blob Storage、AWS CloudFront、Google Sites、Firebase):攻擊者利用這些受信任的雲端域名托管釣魚內容,使得 URL 與憑證看似合法,降低安全工具的攔截效能。
  • 企業郵件系統與入口防護(Email Gateway/SECaaS):由於托管於雲端的釣魚連結不含惡意特徵且屬於知名域名,郵件安全閘道與 URL 防護機制可能將其錯判為正常內容,降低攔截率。

威脅情資-260213
情資名稱:開源供應鏈軟體依賴與自動化流程成為惡意程式碼散布與憑證外洩的常態入口
情資說明

現代軟體開發高度仰賴第三方開源程式庫、相依性與快速自動更新工具,而數個開源生態系(特別是 npm)在 2025 年成為惡意軟體傳播與供應鏈攻擊的主要載體。開發自動化工具在拉取更新時未進行有效信任邊界控制,擴大了受影響範圍,使攻擊者可更廣泛地收集開發環境的憑證與敏感資料。

影響產品
  • npm 套件註冊中心與相依性機制:作為最大量開源套件散布的渠道,惡意套件或受控更新可透過帳戶劫持或錯誤相依性快速進入數萬下游專案。
  • 自動依賴管理與建置工具(例如 npm、pnpm、Bun 等):在未區分可信來源與審核更新的情況下,這些工具可能在常規開發流程中下載並執行含有惡意程式碼的套件或更新。
  • 開發環境與 CI/CD 管線:透過自動化建置流程與快速更新,遭污染的開源相依性可能將惡意載荷引入開發工作站與持續部署環境,並進一步擴散至生產系統與企業資源。

威脅情資-260214
情資名稱:AI 身分(AI Identity)快速擴張導致身分與存取治理失衡,增大企業資安與控制盲點
情資說明

隨著 AI 系統日益深入企業工作負載與自動化流程,傳統身份與存取管理(IAM)系統面臨新的壓力點,AI 身分(如代理人身份、API Key、服務帳號等)正在以程式化方式高速被創建與使用。這導致憑證氾濫(credential sprawl)、不清楚的擁有權、生命周期控制不足等長年 IAM 弱點被放大,且由於 AI 身分往往跨多環境與系統散佈,安全團隊缺乏有效追蹤與稽核能力,進一步增加憑證泄露、授權錯置與未授權存取的風險。

影響產品:
  • 企業 IAM 與身分證書基礎設施(如 Azure Active Directory、Okta IAM):AI 身分生成與授權往往穿插於現有 IAM 池中,增加憑證及權限過度累積與管理複雜度。
  • 資源與服務控制平面(API 閘道、微服務身份授權):AI 身分憑證若無實時管控,可造成 API 端點未授權訪問或濫用行為,削弱服務控制與隔離原則。
  • AI 平台與代理執行環境(自動化代理、聊天助手服務):AI 身分在操作企業資料與雲端服務時,可能因治理不足而取得過度權限或無明確歸屬,導致設計上的授權繞過或橫向擴散通道。
本週彙整四則近期資安事件,分析風場景,這些情境都僅包含有限的資訊。風險評鑑人員可以依照需要,尋求顧問人員協助,或者應用過去處理風險的經驗,進一步執行風險評估、分析風險影響以及擬定應對措施。