根據2025年9月21日~9月27日間媒體報導資料，及台灣應用軟件每天發行的資訊安全日報， 整理出以下幾個資訊安全威脅情資，提供組織評估分析組織內部的管理、技術架構、系統設定維護等之參考。網頁上僅整理有限的風險情境資料，台灣應用軟件週報對每一則風險情境，有更詳細的分析評估資料，有需要的組織，可以來信或來電接洽我們。

威脅情資-250941
情資名稱：新的 EDR-Freeze 工具使用 Windows WER 暫停安全軟體
情資說明：假設組織使用 Windows 11 24H2 作業系統，並部署 EDR 工具（如 CrowdStrike Falcon）於生產環境中。攻擊者透過釣魚郵件植入惡意程式，利用 Windows 的 WerFaultSecure 功能執行 MiniDumpWriteDump，成功凍結 EDR 掃描程序，使其無法偵測後續行為。
影響產品：Windows 11 24H2 系統、所有部署 EDR 工具但未防範此攻擊鏈的端點
風險評估：一旦 EDR 或防毒軟體被凍結，攻擊者可在系統中自由活動，竊取憑證、帳號、敏感檔案而不被偵測。
風險影響：防毒與 EDR 被凍結，無法偵測或阻止惡意行為
應對措施：禁止非授權程序呼叫 MiniDumpWriteDump，強化 EDR 行為偵測規則，納入 WER 濫用模式。

威脅情資-250942
情資名稱：虛假儲存庫可能透過 Atomic Infostealer 感染 macOS
情資說明：組織員工在搜尋「LastPass for Mac」時，點擊 Google 搜尋結果中的 GitHub 連結，並依照頁面指示在 Terminal 中執行指令，導致 Atomic Stealer 惡意程式植入。
影響產品：LastPass 瀏覽器擴充套件（Chrome、Firefox、Edge）、LastPass CLI 工具與 SDK
風險評估：假冒儲存庫可能包含惡意程式碼，竊取使用者密碼、金鑰或瀏覽器憑證。若開發者或使用者誤植該版本，將導致敏感資料外洩。
風險影響：密碼外洩、帳號被盜、金融損失、隱私洩漏
應對措施：僅從官方網站或官方 GitHub 儲存庫下載 LastPass 工具，使用瀏覽器擴充套件管理工具（如 Chrome Extension Source Viewer）檢查程式碼。

威脅情資-250943
情資名稱：Microsoft Entra ID 漏洞可劫持任何公司的租戶
情資說明：跨國企業使用 Microsoft Entra ID 管理全球帳號與資源。攻擊者利用自身控制的租戶產生 Actor Token，並透過公開 API 查詢目標租戶 ID 與使用者 netId，成功偽裝成 Global Admin，存取並修改租戶設定。
影響產品：Microsoft Entra ID（前身為 Azure Active Directory）、所有透過 Entra ID 驗證的雲端服務。
風險評估：攻擊者可透過未簽章的 Actor Token 模擬任意使用者，存取受害租戶的敏感資料（如帳號、設定、郵件、雲端資源），且無日誌紀錄。
風險影響：攻擊者可取得最高權限，導致帳號接管、資料竄改、設定破壞。
應對措施：停用 Azure AD Graph API，全面改用 Microsoft Graph API；建立 Conditional Access 規則，限制高權限帳號存取來源。

威脅情資-250944
情資名稱：25 個 MCP 漏洞揭示 AI 代理程式如何被利用
情資說明：組織導入基於 MCP 的 AI agent 處理客戶查詢與內部流程。攻擊者透過釣魚郵件或公開 API，植入特製 prompt，觸發 MCP 工具鏈中的 calendar 整合模組，導致 AI agent 執行未授權指令，並回傳內部郵件與憑證。
影響產品：所有採用 MCP 標準的 Agentic AI 平台，如 ChatGPT、Claude、Copilot、企業內部 AI 工具。
風險評估：MCP 工具若遭提示注入或工具投毒，可能導致 AI Agent 存取或回傳使用者的敏感資料（如帳號、憑證、內部文件），造成資料外洩。
風險影響：敏感資訊遭外洩、誤刪或未授權存取。
應對措施：強制所有工具實作輸入驗證與回應 Schema 驗證，工具描述與回應需簽章並驗證完整性（如 SHA256 + RSA）。

威脅情資-250945
情資名稱：ShadowV2 殭屍網路攻擊 Docker 錯誤組態
情資說明：雲端服務供應商在 AWS EC2 上部署多個 Docker 容器，未啟用 TLS 與存取控管。攻擊者利用 ShadowV2 的 Python 擴散模組入侵 Docker Daemon，植入 Go RAT，並將主機納入 DDoS-for-Hire 平台。
影響產品：AWS EC2、Docker 容器、Cloudflare 防禦機制。
風險評估：攻擊者可存取未受保護的 Docker API，進而竊取容器內部資料、憑證、環境變數與機密設定。
風險影響：主機資源被濫用進行加密挖礦或 DDoS，導致效能下降或服務中斷。
應對措施：禁止 Docker API 綁定至 0.0.0.0，僅允許 localhost 或內部網段；使用防火牆（如 iptables、cloud security group）限制 API 埠存取。