2025年12月第一週 資訊安全威脅情資2025.12.08風險情境本報告彙整 2025 年 11 月至 12 月間重大資安事件,包含假冒 Calendly 會議邀請劫持 Google Workspace、瀏覽器擴充功能供應鏈滲透、GitLab 公開程式碼庫洩漏超過 17,000 個金鑰,以及攻擊者欺騙 AI 系統的新手法。提供企業風險評估與防護措施參考,協助強化雲端、瀏覽器與 AI 安全。
調查顯示企業用戶遭受網路釣魚攻擊的可能性比遭受惡意軟體攻擊高 3 倍2025.12.05資訊安全SpyCloud最新數據顯示,針對企業用戶的網路釣魚攻擊成功率與數量急劇上升,成為入侵企業環境的首選途徑,員工遭受釣魚攻擊的風險是惡意軟體攻擊的三倍。本報告分析此趨勢與對企業的警示。
Predator間諜軟體利用新型感染途徑進行零點擊攻擊2025.12.05資訊安全報告揭示Intellexa的Predator間諜軟體使用名為「Aladdin」的零點擊感染機制,透過商業廣告系統鎖定特定IP目標並發動攻擊。本文強調此精密威脅的運作方式及用戶必須採取的防禦措施。
攻擊者不斷尋找欺騙人工智慧的新方法2025.12.03人工智慧本報告依據《國際人工智慧安全報告》,深入探討人工智慧在快速發展下的安全保障失衡問題,分析多層防禦的侷限、攻擊戰術的超前性、開放式模型的可重利用風險,以及全球監管和企業安全框架的早期建構現狀,旨在為理解AI安全前沿提供參考。
Everest勒索軟體聲稱入侵華碩系統,導致1TB資料被竊2025.12.03資安重訊分析 Everest 勒索軟體組織聲稱攻擊全球科技巨頭華碩(ASUS)並竊取超過1TB數據的事件。重點探討相機原始碼被竊的潛在影響、勒索集團的行動策略,以及此類針對亞洲製造業巨頭的雙重勒索攻擊趨勢。
Proxyearth 工具只需一個手機號碼即可讓任何人追蹤印度的用戶2025.12.03資訊安全針對印度公民的 Proxyearth 網站僅憑手機號碼即可洩露全名、Aadhaar 號碼與即時位置,揭示數百萬人面臨的嚴重隱私與國家安全威脅。
假冒的Calendly邀請虛假的知名品牌劫持廣告管理帳戶2025.12.03資訊安全駭客集團利用假冒聯合利華、迪士尼等頂級品牌的 Calendly 會議邀請,發動高度針對性的 AiTM 網路釣魚活動,專門竊取企業的 Google 與 Facebook 廣告管理帳號憑證,對企業資產構成嚴重威脅。