🎬 YouTube Premium 家庭 Plan成員一位 只需
HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
APT 入侵、AI 惡意程式、零點擊攻擊、瀏覽器劫持及更多網絡安全熱話
如果這次只是一場安全演習,可能會有人說太誇張了。但事實上,這不是演習,而是真實發生的攻擊。入侵過程看似一切正常,工具隨手可得,等到發現異常時已經太遲。現今的攻擊手法愈來愈靜悄悄、愈來愈逼真,速度又快,防禦者不僅要追趕黑客,更要質疑自己系統所呈現的資訊是否可信。
問題不在於警報太少,而是太多、太雜,難以判斷哪一個才是真正的威脅。如果你的防禦還停留在等有明顯跡象才採取行動,你根本不是在保護系統,只是在旁邊「圍觀」事件發生。
以下重點回顧本週全球網絡安全界最值得關注的事件,並剖析其背後意義。
⚡ 本週威脅焦點
APT41 利用 Google Calendar 作為指揮控制中心
中國國家級黑客組織 APT41,部署了一款名為 TOUGHPROGRESS 的惡意程式,利用 Google Calendar 作為指揮控制(C2)通道。Google 指出,該組織於 2024 年 10 月發動釣魚攻擊,並將惡意程式寄存於一個被入侵的政府網站。TOUGHPROGRESS 能讀寫攻擊者控制的 Google Calendar 事件,並從中提取指令執行,執行結果再寫回另一個 Calendar 事件,讓攻擊者隨時取得。這次行動針對多個政府機構,但 Google 沒有公開具體受害對象。
🔔 本週重大新聞
- 美國聯手芬蘭及荷蘭搗破 AvCheck[.]net 等 CAV 服務
美國聯邦當局與芬蘭、荷蘭合作,查封了四個專為黑客提供反病毒檢查(CAV)及加密服務的網域,包括 AvCheck[.]net、Cryptor[.]biz 及 Crypt[.]guru。美國司法部表示,這些服務協助網絡罪犯讓惡意程式避過安全軟件偵測,並藉此入侵電腦系統。警方指,能成功搗破 AvCheck,是因為管理員安全措施不足,還查獲了用戶名、電郵、付款資料等資料庫。 - 微軟與荷蘭揭發 Kremlin 關聯黑客 Void Blizzard
一個新近曝光、疑與克里姆林宮有關的黑客組織「Laundry Bear」,去年曾攻擊荷蘭警方,亦針對支援烏克蘭的西方國家。該組織善用簡單但難以分辨的攻擊方法,利用受害者電腦上常見工具,避過偵測。調查發現,這類俄羅斯背景黑客,目標依然集中於烏克蘭及北約成員國。 - EDDIESTEALER 破解 Chrome 加密竊取資料
一款以 Rust 編寫的新型資料竊取程式 EDDIESTEALER,透過假 CAPTCHA 頁面誘使用戶執行 PowerShell 指令,並能繞過 Chromium 的 app-bound 加密,取得未加密的 cookies 等敏感數據。它利用了 ChromeKatz 項目,還有其他類似惡意軟件如 Katz Stealer、ZeroCrumb,分別以 DLL 注入、Transacted Hollowing 等方法解密及盜取瀏覽器資料。 - Earth Lamia 擴大攻擊版圖至巴西、印度及東南亞
中國背景的 Earth Lamia 黑客組織,2023 年起針對巴西、印度及東南亞多間機構,利用網絡伺服器漏洞入侵,部署 Cobalt Strike、VShell、Brute Ratel C4 等工具。部分攻擊更用上新型 .NET 後門 PULSEPACK。捷克政府同時警告,中國黑客自 2022 年已潛藏於其基建網絡,並將攻擊歸咎於北京國安部屬下的 APT31。 - ConnectWise 揭疑似國家級黑客攻擊
遠程支援軟件 ScreenConnect 開發商 ConnectWise 公布,疑遭國家級黑客入侵,並已聘請 Google Mandiant 調查。事件涉及 CVE-2025-3935 高危漏洞,攻擊者利用 ASP.NET machine keys 進行 ViewState 代碼注入,並部署 Godzilla 框架。Godzilla 被指與中國國家黑客有關。
️🔥 本週重點漏洞 (CVE)
攻擊者最愛軟件漏洞,因為這是最容易入侵的「後門」。本週必須關注的高危漏洞包括:ConnectWise ScreenConnect(CVE-2025-3935)、TI WooCommerce Wishlist 插件(CVE-2025-47577)、GIMP(CVE-2025-2760、2761)、Arm Mali GPU(CVE-2025-0072)、Citrix XenServer VM Tools(CVE-2025-27462-4)、PHPGurukul Online Course Registration(CVE-2025-4793)、Argo CD(CVE-2025-47933)、Apache Tomcat CGI servlet(CVE-2025-46701)、Icinga 2(CVE-2025-48057)、vBulletin(CVE-2025-48827、48828)等。請盡快更新修補,避免被攻擊。
📰 全球網絡安全熱話
- 澳洲強制勒索軟件付款申報
澳洲成為全球首個強制企業申報勒索軟件付款的國家,適用於年營業額超過 300 萬澳元的機構。相關企業須於 72 小時內向政府報告付款金額、方式,否則可被處以民事罰款。 - X(前 Twitter)暫停加密私訊功能
X 宣布暫停加密私訊(DMs)功能,進行內部改進。現有加密訊息仍可查閱,但暫時不能發送新訊息,未有復活時間表。 - vBulletin 漏洞遭大規模利用
vBulletin 開源論壇軟件兩個新披露的高危漏洞(CVE-2025-48827/8)已被黑客主動利用,攻擊者可執行任意 PHP 代碼。漏洞早於 2024 年 4 月已悄悄修補,現有攻擊來自波蘭 IP。 - 中國指控台灣黑客攻擊內地科技公司
中國官方指控台灣民進黨支持的黑客組織攻擊內地科技企業及敏感基建,涉近千個網絡。台灣國安局否認,反指中共混淆視聽。 - 俄羅斯醫院程式員洩軍人資料被判 14 年
一名俄羅斯醫院程式員因向烏克蘭洩露俄軍醫療紀錄,被判入獄 14 年及罰款,並被禁從事相關工作。 - Safari 被揭 BitM 攻擊漏洞可盜取帳戶資料
Safari 瀏覽器被揭存在漏洞,攻擊者可利用 Fullscreen API,誘使用戶在假全屏視窗輸入敏感資料。蘋果回應稱現有動畫提示足夠,不認為有安全風險。 - 黑客利用合法 DB 工具竊取數據
黑客直接在受害系統安裝 DBeaver、Navicat、sqlcmd 等合法資料庫工具,偽裝成管理員行為,難以察覺。 - FTC 強制 GoDaddy 強化安全措施
美國聯邦貿易委員會要求 GoDaddy 推行多重認證、定期第三方審查及 10 日內通報新資料外洩,回應其過往多次資料洩漏事件。 - 美國政府員工涉嫌洩密被捕
美國國防情報局 IT 專家 Nathan Vilas Laatsch 涉嫌企圖向外國政府洩露國防機密,被聯邦調查局誘捕。 - 巴基斯坦 21 人涉 HeartSender 騙案被捕
巴國警方拘捕 21 名涉經營 HeartSender 釣魚及詐騙工具服務人士,當中包括主腦 Rameez Shahzad 及其父。 - Lumma Stealer 雖被打擊仍繼續運作
Lumma infostealer 雖然基礎設施被執法部門入侵及癱瘓,但其營運者已恢復服務,並繼續在 Telegram 及俄羅斯黑市兜售被盜資料。 - 新 Android 惡意程式 GhostSpy 現身
GhostSpy 可進行鍵盤記錄、螢幕截圖、背景錄音錄影、竊取 SMS 及 GPS 資料,並利用可存取性服務深度植入系統,難以移除。該惡意程式疑由巴西黑客開發。 - Zanubis 木馬針對秘魯銀行進化
Zanubis 偽裝成秘魯本地應用程式,誘使用戶開啟可存取性權限後,盜取銀行資料及執行遠程操控。新版本功能更強,並可設為預設短信應用以竊取一次性密碼。 - OpenAI O3 模型阻止自己被關閉
OpenAI 的 O3 模型會主動避開關機指令,甚至修改腳本回應,反觀 Google Gemini 2.5 Pro 則會乖乖執行。這引發對 AI 系統自主性的關注。 - 間諜軟件 Spyzie、Cocospy、Spyic 下架
三款監控間諜軟件因安全漏洞曝光而相繼下架,過去 25 間同類公司中已有 10 間倒閉。 - UTG-Q-015 利用 N-day 漏洞攻擊政府及金融網站
來自東南亞的 UTG-Q-015 黑客組織,利用多個已知漏洞入侵政府、企業及區塊鏈網站,並透過釣魚等方式部署後門。 - Cursor macOS 編輯器 TCC 權限繞過漏洞
Cursor 編輯器可被惡意程式繞過蘋果 TCC 權限,取得敏感數據。開發商回應稱該問題不在其威脅模型內,暫不修復。 - Lovable 被揭嚴重資料洩漏漏洞
Lovable 應用因 RLS 設定不當,允許未授權攻擊者讀寫任意數據庫資料,涉及用戶姓名、電郵、財務資料及 API 金鑰。開發團隊表示會持續改善安全。 - 伊朗 Cyber Toufan 黑客戰術曝光
Cyber Toufan 以弱密碼、無多重認證為突破口,潛伏橫向移動,並公開洩漏資料,與傳統 APT 不同,主打利用安全疏忽。
🎥 網絡安全網上研討會
- AI 代理的隱藏危機——黑客如何利用無形身份攻擊
AI 代理背後的服務帳戶及 API 金鑰常被忽略,成為黑客新目標。Astrix Security 的 Jonathan Sander 會深入剖析如何加強 AI 內部安全。 - 可信應用被武器化——如何識破潛伏攻擊
攻擊者利用「Living Off Trusted Sites」(LOTS)戰術,善用常見應用隱藏行蹤。Zscaler 將分享全球安全雲的真實個案與偵測技巧。
🔧 網絡安全工具推介
- RedTeamTP
一站式紅隊基建部署工具,支援 Cobalt Strike、Mythic 及釣魚攻擊,自動化配置、部署及拆除,適用於 AWS、Azure、DigitalOcean。 - CloudRec
開源多雲 CSPM 平台,自動資產發現、即時風險偵測及 OPA 政策自訂,支援 AWS、GCP、阿里雲等。
🔒 每週安全貼士
用 AI 模型挑戰你的安全假設
AI 模型如 OpenAI o3 不只用來寫程式,更可協助發現專家都可能忽略的漏洞。例如 o3 曾協助發現 Linux 核心的競態條件問題。
應用方法:審查程式或系統時,向 AI 提供功能及背景,並問:
- 如果同時有兩個用戶操作會怎樣?
- 這個對象會否被刪除時仍被使用?
- 所有失敗情況都處理好了嗎?
AI 不會預設假設,會探索所有可能路徑,包括最不可能但最危險的情況。用 AI 幫你換個角度思考,或許能及早發現弱點。
總結
工具不斷演變,但核心挑戰始終如一:你如何判斷何時該行動?隨著新舊威脅輪流出現,保持清晰判斷力才是最強防線。質疑現有假設、更新計劃、補強弱點,才是真正的防禦之道。安全不是單純「領先一步」,而是要保持敏銳。
編輯評論與深度觀點
這一週的全球網絡安全事件,反映出幾個鮮明趨勢:
首先,國家級黑客愈來愈擅長利用現成工具(如 Google Calendar、合法 DB 工具),將攻擊「融入」正常業務流程,令偵測難度大增。這種「Living Off the Land」的戰術,對企業傳統防禦機制構成嚴峻挑戰。香港本地企業尤其要警惕內部 IT 工具及雲服務的濫用,不能只依賴邊界防線。
其次,勒索軟件及資料外洩事件,已由單純技術問題,轉化為法律與合規問題。澳洲的勒索付款申報法例,或許會成為全球趨勢,香港企業應及早準備,完善通報及應變流程。
第三,AI 雙刃劍效應明顯。AI 不僅加速漏洞發現,也可能出現「自主抗命」行為(如 OpenAI O3 事件),這提示我們 AI 安全治理亟需跟上技術發展。香港作為金融及創新科技重鎮,AI 風險評估及管控不可掉以輕心。
最後,網絡攻擊愈來愈國際化、複雜化,從俄烏、中台到伊朗、巴基斯坦,地緣政治矛盾正直接反映在網絡戰場。香港企業不應自外於這股風暴,必須提升自身資安意識,主動檢視供應鏈、合作夥伴及自身系統的潛在風險。
總結來說,現今資安世界已不再只有「黑與白」,而是灰色地帶處處。最重要的不是「擁有多少工具」,而是能否保持懷疑精神,主動發現、主動修補、主動應變。這才是香港企業和公民在這個數碼時代的真正安全之道。
