威脅態勢分析 — 2026 第 05 週
涵蓋期間:2026-01-22 至 2026-01-28 資料來源:國際 CERT/安全機構 RSS、NVD、EPSS、Exploit-DB、abuse.ch 產出日期:2026-01-28
2.1 近期重大資安事件
以下事件依嚴重程度排序,整合 L1 資安新聞事實層之多來源情資。
2.1.1 CISA 本週大量新增 KEV 已知遭利用漏洞(嚴重程度:Critical)
| 日期:2026-01-22 至 2026-01-26 | 來源:CISA(美國) |
本週 CISA 分三批次共新增 10 個漏洞 至已知遭利用漏洞目錄(KEV),力道為近期之最:
- 2026-01-21(1 筆):CVE-2026-20045(Cisco Unified CM 代碼注入)
- 2026-01-22(4 筆):CVE-2025-31125(Vite 存取控制)、CVE-2025-34026(Versa Concerto 認證繞過)、CVE-2025-54313(Prettier eslint-config-prettier 惡意程式碼)、CVE-2025-68645(Zimbra PHP 遠端檔案包含)
- 2026-01-23(1 筆):CVE-2024-37079(VMware vCenter Server 越界寫入,RCE)
- 2026-01-26(5 筆):CVE-2018-14634(Linux Kernel 整數溢位)、CVE-2025-52691(SmarterMail 任意檔案上傳)、CVE-2026-21509(Microsoft Office 安全功能繞過)、CVE-2026-23760(SmarterMail 認證繞過)、CVE-2026-24061(GNU InetUtils 參數注入)
值得注意:CVE-2018-14634 為 2018 年的舊漏洞,時隔 8 年重新被觀察到活躍利用,顯示攻擊者持續利用未修補的歷史漏洞。
來源:CISA KEV 2026-01-22、CISA KEV 2026-01-23、CISA KEV 2026-01-26
2.1.2 FortiCloud SSO 繞過漏洞持續遭多波段攻擊活動利用(嚴重程度:Critical)
| 日期:2026-01-22(持續中) | 來源:CERT.at(奧地利) |
CERT.at 透過高互動蜜罐觀察到 FortiCloud SSO 繞過漏洞(CVE-2025-59718/59719)自 2025 年 12 月 12 日起至少有 5 波不同的攻擊活動:
| 攻擊波段 | 時間 | 手法 |
|---|---|---|
| Campaign 1 | 2025-12-19 | SSO 繞過 + 組態備份嘗試(HTTP 405 失敗) |
| Campaign 2 | 2025-12-20 | 成功下載完整組態備份(POST 請求) |
| Campaign 3 | 2025-12-21 | 建立後門管理帳號(如 “root_admin”,弱密碼、無 MFA) |
| Campaign 4 | 2025-12-22 | WebSocket 終端指令執行,收集組態資訊 |
| Campaign 5 | 2025-12-23 | 建立 API 使用者(”automation_user”)與金鑰,實現持久化存取 |
截至 2026-01-22,攻擊活動仍在持續。單一蜜罐每日記錄約 50,000 次暴力破解登入嘗試。Fortinet 於 2026 年 1 月正式確認漏洞影響範圍擴大至所有 SAML SSO Identity Provider 配置。
來源:CERT.at Blog
2.1.3 MongoDB MongoBleed 記憶體洩漏漏洞影響全球 87,000+ 伺服器(嚴重程度:High)
| 日期:2026-01-27 | 來源:TWCERT/CC |
CVE-2025-14847(CVSS 4.x: 8.7)影響多個 MongoDB Server 版本。攻擊者可透過特製 zlib 壓縮封包擷取記憶體中的敏感資料(資料庫密碼、存取金鑰、憑證等)。CISA 於 2025-12-29 已將此漏洞列入 KEV,PoC 程式碼已公開。全球約 87,000 台公開暴露的 MongoDB 伺服器受影響。官方修補版本:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30。
來源:TWCERT/CC
2.1.4 Schneider Electric EcoStruxure Process Expert ICS 漏洞(嚴重程度:High)
| 日期:2026-01-22 | 來源:CISA ICS Advisory(ICSA-26-022-01) |
CVE-2025-13905(CVSS 7.3)影響 EcoStruxure Process Expert 2025 之前版本。攻擊者可透過修改安裝目錄中的可執行服務二進位檔案實現權限提升(逆向 Shell)。影響關鍵製造、能源及商業設施等工業控制系統場域。
2.1.5 EVMAPA 電動車充電站管理系統嚴重漏洞(嚴重程度:Critical)
| 日期:2026-01-22 | 來源:CISA ICS Advisory(ICSA-26-022-08) |
EVMAPA 電動車充電站管理系統揭露 3 個漏洞(CVSS 9.4),包含 CVE-2025-54816(缺失關鍵功能認證)、CVE-2025-53968(認證嘗試限制不當)、CVE-2025-55705。可導致服務中斷、遠端命令執行及充電站狀態偽造。
2.1.6 台灣半導體產業遭中國 APT 組織鎖定攻擊(嚴重程度:High)
| 日期:2025 年 3-6 月(持續追蹤中) | 來源:TWCERT/CC、Proofpoint |
三個與中國有關的駭客組織(UNK_FistBump、UNK_DropPitch、UNK_SparkyCarp)針對台灣半導體產業發動大規模魚叉式釣魚攻擊。UNK_FistBump 入侵台大學生帳號冒名寄送求職郵件,透過 Zendesk/Filemail 投遞 Cobalt Strike Beacon 與 Voldemort 後門;UNK_DropPitch 偽裝金融投資公司,使用偽造政府 API 端點投遞 HealthKick 後門;UNK_SparkyCarp 架設偽造企業登入頁面竊取員工憑證。
來源:TWCERT/CC
2.1.7 SonicWall SMA100 遭 UNC6148 植入持久性後門(嚴重程度:High)
| 日期:2025-08-20 | 來源:TWCERT/CC、Google GTIG |
Google 威脅情報小組揭露駭客組織 UNC6148 針對 SonicWall SMA100 系列設備攻擊。即使設備已安裝官方更新修補,攻擊者仍能利用先前竊取的管理憑證與 OTP 重新取得權限,植入持久性後門。
來源:TWCERT/CC
2.1.8 Operation WrtHug 鎖定華碩路由器逾 50,000 台設備感染(嚴重程度:High)
| 日期:2025-11-25 | 來源:TWCERT/CC、SecurityScorecard STRIKE |
利用 ASUS AiCloud 服務的已知漏洞(CVE-2023-39780)進行 OS 指令注入攻擊,影響 8 款路由器型號,過去六個月超過 50,000 個 IP 設備被感染並加入殭屍網路。
來源:TWCERT/CC
2.2 漏洞趨勢分析
本週新增漏洞概況
根據 L2 漏洞追蹤層資料,目前追蹤資料庫中共收錄:
- Critical/High 等級漏洞:586 筆(其中 2026 年新增 55 筆)
- Medium 等級漏洞:1,263 筆(其中 2026 年新增 50 筆)
- 合計 2026 年新增:約 105 筆漏洞進入追蹤
按廠商分布(本週重點通報)
| 廠商 | 漏洞筆數 | 最高 CVSS | 產品類型 | 來源 |
|---|---|---|---|---|
| Broadcom (VMware) | 1 | Critical | vCenter Server RCE | CISA KEV |
| Microsoft | 多筆 | High | Office 安全功能繞過 + 1 月 Patch Tuesday | CISA KEV / GovCERT.HK |
| Cisco | 多筆 | High | Unified CM 代碼注入 + 多產品更新 | CISA KEV / GovCERT.HK |
| F5 | 多筆 | High | F5OS 及多產品漏洞(3 批次公告) | GovCERT.HK |
| SmarterTools | 2 | Critical | SmarterMail 任意上傳 + 認證繞過 | CISA KEV |
| Oracle | 多筆 | High | 2026 年 1 月 CPU 安全更新 | GovCERT.HK |
| Juniper | 多筆 | High | Junos OS、Junos Space、Paragon | GovCERT.HK |
| Schneider Electric | 1 | High (7.3) | EcoStruxure Process Expert | CISA ICS |
| 普羅通信 (BROWAN) | 3 | Critical (9.8) | PrismX MX100 AP controller 硬編碼憑證 | TWCERT/CC |
| 銘祥科技 (JNC) | 2 | Critical (9.8) | IoT 空品監測器認證繞過 | TWCERT/CC |
| 哈瑪星科技 | 3 | Critical (9.8) | MeetingHub 任意檔案上傳 | TWCERT/CC |
| 金諄資訊 (Gotac) | 6 | Critical (9.8) | 警政/統計資料庫系統多漏洞 | TWCERT/CC |
| 利凌 (Merit LILIN) | 2 | High (8.8) | DVR/NVR + IP Camera OS 命令注入 | TWCERT/CC |
| 廣達電腦 | 6 | High (8.8) | QOCA aim AI 醫療雲平台 | TWCERT/CC |
| 葳橋資訊 (WellChoose) | 3 | High (8.8) | SSO 系統命令注入 | TWCERT/CC |
按嚴重程度分布
| 嚴重程度 | 2026 新增通報數 | 典型漏洞類型 |
|---|---|---|
| Critical (CVSS 9.0+) | ~15 筆 | 硬編碼憑證(CWE-798)、缺失認證(CWE-306)、任意檔案上傳(CWE-434) |
| High (CVSS 7.0-8.9) | ~25 筆 | OS 命令注入(CWE-78)、SQL 注入(CWE-89)、越界寫入(CWE-787) |
| Medium (CVSS 4.0-6.9) | ~50 筆 | 路徑遍歷、XSS、憑證保護不足 |
趨勢觀察
- IoT/OT 設備漏洞密度高:利凌監控攝影機/主機(部分已 EOL)、BROWAN AP controller、銘祥 IoT 監測器(M3 晶片無修補)、EVMAPA 充電站系統均存在嚴重漏洞
- 台灣資安研究能量活躍:DEVCORE、NICS(國家資通安全研究院)、CHT Security 等團隊本週揭露多個重要漏洞
- 開源元件供應鏈風險:Prettier eslint-config-prettier 遭植入惡意程式碼(CVE-2025-54313)已列入 KEV,反映 npm 供應鏈攻擊威脅持續
- 多家國際廠商同步發布安全更新:Microsoft、Cisco、F5、Oracle、Juniper 本週均發布安全更新公告,顯示漏洞揭露節奏密集
2.3 活躍利用與 PoC 動態
KEV 新增活躍利用漏洞清單(本週 11 筆)
| CVE | 產品 | 類型 | 嚴重程度 | KEV 加入日期 | 修補期限 |
|---|---|---|---|---|---|
| CVE-2026-20045 | Cisco Unified CM | Code Injection (CWE-94) | High | 2026-01-21 | 2026-02-11 |
| CVE-2025-31125 | Vite Vitejs | Improper Access Control (CWE-284) | Medium | 2026-01-22 | 2026-02-12 |
| CVE-2025-34026 | Versa Concerto | Auth Bypass (CWE-288) | High | 2026-01-22 | 2026-02-12 |
| CVE-2025-54313 | Prettier eslint-config-prettier | Malicious Code (CWE-506) | Critical | 2026-01-22 | 2026-02-12 |
| CVE-2025-68645 | Zimbra ZCS | PHP RFI (CWE-98) | Critical | 2026-01-22 | 2026-02-12 |
| CVE-2024-37079 | VMware vCenter Server | OOB Write / RCE (CWE-787) | Critical | 2026-01-23 | 2026-02-13 |
| CVE-2018-14634 | Linux Kernel | Integer Overflow / LPE (CWE-190) | High | 2026-01-26 | – |
| CVE-2025-52691 | SmarterMail | File Upload / RCE (CWE-434) | Critical | 2026-01-26 | – |
| CVE-2026-21509 | Microsoft Office | Security Feature Bypass (CWE-807) | High | 2026-01-26 | 2026-02-16 |
| CVE-2026-23760 | SmarterMail | Auth Bypass (CWE-288) | Critical | 2026-01-26 | 2026-02-16 |
| CVE-2026-24061 | GNU InetUtils telnetd | Argument Injection (CWE-88) | High | 2026-01-26 | 2026-02-16 |
新公開 PoC 彙整
L3 PoC 追蹤層新增 51 筆 2026 年標記的 PoC 公開紀錄(累計追蹤 143 筆),涵蓋範圍廣泛:
- 歷史漏洞 PoC 更新:CVE-2022-22965(Spring4Shell)、CVE-2022-30190(Follina)、CVE-2023-20198(Cisco IOS XE)等經典漏洞持續有新 PoC 出現
- 近期漏洞 PoC:CVE-2025-1094(PostgreSQL)、CVE-2024-38476(Apache)、CVE-2024-21413(Microsoft Outlook)
- 特別關注:CVE-2025-14847(MongoDB MongoBleed)已有公開 PoC,結合 87,000+ 暴露伺服器,風險極高
與 L2 漏洞的交叉關聯
| 交叉項目 | 說明 |
|---|---|
| VMware vCenter (CVE-2024-37079) | L2 追蹤 + L3 活躍利用 + L1 新聞確認,三層交叉驗證 |
| SmarterMail (CVE-2025-52691 / CVE-2026-23760) | L3 活躍利用,兩個漏洞可形成攻擊鏈(認證繞過 + 檔案上傳 = 完整接管) |
| Fortinet FortiOS (CVE-2025-59718/59719) | L1 多波段攻擊活動觀測(5 波攻擊持續至今),攻擊鏈從 SSO 繞過到 API 持久化 |
| MongoDB (CVE-2025-14847) | L1 新聞 + PoC 可用 + KEV 已收錄,影響面極廣(87,000+ 伺服器) |
| Cisco Unified CM (CVE-2026-20045) | L3 KEV 列入 + GovCERT.HK 同步發布 Cisco 多產品警示 |
2.4 攻擊手法歸納
分類統計
基於 L1 攻擊事件層與 L4 威脅情報饋送層之綜合分析:
惡意軟體家族分布(L4 MalwareBazaar,本週樣本 853 筆)
| 排名 | 惡意軟體家族 | 樣本數 | 類型 | 趨勢判讀 |
|---|---|---|---|---|
| 1 | Mirai | 399 | IoT 殭屍網路 | 占比 46.8%,持續主導 IoT 威脅 |
| 2 | N/A(未辨識) | 166 | – | 大量新型/變種樣本尚未歸類 |
| 3 | GCleaner | 63 | Pay-per-install 分發 | 惡意程式分發平台持續活躍 |
| 4 | AdwareNeoReklami | 35 | 廣告軟體 | 低威脅但高量 |
| 5 | AsyncRAT | 17 | 遠端存取木馬 | 常見 RAT,用於初始存取後控制 |
| 6 | Gafgyt | 14 | IoT 殭屍網路 | Mirai 同類競爭者 |
| 7 | QuasarRAT | 9 | 遠端存取木馬 | 開源 RAT |
| 8 | ConnectWise | 9 | RMM 工具濫用 | 合法遠端管理工具被惡意使用 |
| 9 | Tsunami | 7 | Linux 殭屍網路 | 針對 Linux 伺服器 |
| 10 | Stealc | 7 | 資訊竊取 | 新興 Stealer-as-a-Service |
IoC 指標分布(L4 ThreatFox,本週 935 筆)
| 排名 | 威脅工具/家族 | IoC 數 | 類型 | 備註 |
|---|---|---|---|---|
| 1 | Cobalt Strike | 239 | C2 框架 | 占比 25.6%,仍為最常見攻擊工具 |
| 2 | Meterpreter | 168 | 滲透測試/攻擊工具 | 占比 18.0% |
| 3 | Unknown Malware | 75 | 未辨識 | |
| 4 | Vidar | 58 | 資訊竊取 | |
| 5 | AsyncRAT | 28 | RAT | |
| 6 | ValleyRAT | 19 | RAT(中國關聯) | 疑與中國威脅行為者相關 |
| 7 | XWorm | 18 | RAT | |
| 8 | Remcos | 18 | RAT | |
| 9 | Quasar RAT | 17 | RAT | |
| 10 | DeimoS C2 | 12 | 新興 C2 框架 |
進階攻擊工具觀測
| 工具 | IoC 數 | 信心水準 | 託管分布 | 威脅意涵 |
|---|---|---|---|---|
| Brute Ratel C4 | 多筆 | 100% | Amazon AWS (AS16509) | 新一代紅隊 C2 框架,難以被傳統偵測 |
| Havoc | 多筆 | 100% | DigitalOcean (AS14061) | 開源 C2 框架,門檻較低 |
| BianLian | 多筆 | 100% | DigitalOcean (AS14061) | 勒索軟體組織 C2 基礎設施 |
C2 活動趨勢
QakBot 殭屍網路持續復活:L4 Feodo Tracker 本週追蹤到 2 個新的 QakBot C2 伺服器:
| IP | Port | 託管商 | 國家 | 首次發現 | 狀態 |
|---|---|---|---|---|---|
| 34.204.119.63 | 443 | Amazon AWS (AS14618) | US | 2026-01-13 | offline |
| 172.232.59.14 | 443 | Akamai Linode (AS63949) | FR | 2026-01-19 | offline |
特徵分析:
- 均使用 443 埠(HTTPS),混入正常流量以規避偵測
- 活躍時間極短(約 1 天),採用「短命基礎設施」策略
- 分散於不同雲端服務商(AWS、Linode),降低被批量封鎖風險
- QakBot 於 2023 年遭執法機構 Operation Duck Hunt 打擊後持續重建基礎設施
惡意 URL 散布趨勢
L4 URLhaus 本週收錄 19,341 筆 惡意 URL,觀察到的散布模式包括:
- Shell 腳本下載(如
bin.sh)– 主要針對 Linux/IoT 設備,與 Mirai 活動吻合 - CDN 服務濫用(如
cdn.jsdelivr.net)– 利用合法平台託管惡意程式 - 品牌仿冒(如
itsnetflix.app)– 釣魚 / 社交工程 - MSI 安裝包散布 – Windows 目標惡意軟體投遞
L1 攻擊手法歸納
| 攻擊手法 | 事件數 | 代表事件 |
|---|---|---|
| 社交工程 / 釣魚 | 3+ | 台灣半導體 APT(魚叉式釣魚)、M365 雲端釣魚、偽冒 LINE |
| 漏洞利用(已知) | 5+ | FortiCloud SSO 繞過、VMware vCenter、SonicWall SMA100、MongoDB MongoBleed、ASUS 路由器 |
| 勒索軟體 | 2+ | BERT/Water Pombero 跨平台、BianLian C2 活躍 |
| 後門植入 / 持久化 | 3+ | FortiCloud API 持久化、SonicWall OVERSTEP、Operation WrtHug |
| 供應鏈攻擊 | 1 | Prettier eslint-config-prettier 惡意程式碼植入 |
2.5 新興威脅識別
威脅 1:npm 供應鏈攻擊從偶發事件演變為系統性威脅
- 信心水準:高(CISA KEV 確認)
- 證據:CVE-2025-54313(Prettier eslint-config-prettier)已被列入 KEV,安裝即觸發 install.js 執行 node-gyp.dll 惡意程式(Windows)
- 影響評估:eslint-config-prettier 為廣泛使用的開發工具,供應鏈影響面可能極大
- 趨勢判斷:繼 event-stream (2018)、ua-parser-js (2021)、colors/faker (2022) 等事件後,npm 供應鏈攻擊已成為常態化威脅
威脅 2:SmarterMail 漏洞鏈可實現零點擊完整接管
- 信心水準:高(兩個 CVE 同時列入 KEV)
- 證據:CVE-2026-23760(認證繞過,無需任何憑證即可重設管理員密碼)+ CVE-2025-52691(任意檔案上傳至 RCE),攻擊門檻極低(無需身份驗證、無需使用者互動、攻擊複雜度低)
- 影響評估:SmarterMail 為中小企業常用郵件伺服器
- 建議:優先修補或考慮遷移至更安全的郵件平台
威脅 3:IoT 殭屍網路持續擴張,Mirai 變種佔據近半惡意軟體樣本
- 信心水準:高(abuse.ch MalwareBazaar 直接觀測)
- 證據:Mirai 佔 MalwareBazaar 本週樣本 46.8%(399/853),結合 Gafgyt(14 筆)、Tsunami(7 筆)等 IoT 殭屍網路,合計超過 49%。同時,利凌、BROWAN、銘祥等台灣 IoT 廠商產品均存在 Critical 漏洞,部分 EOL 設備無修補
- 影響評估:IoT 設備成為殭屍網路的主要來源,EOL 設備構成永久弱點
- 趨勢判斷:URLhaus 大量
bin.sh類 Shell 腳本散布 URL 與 IoT 殭屍網路擴張趨勢吻合
威脅 4:Cobalt Strike 與新一代 C2 框架並行活躍
- 信心水準:高(ThreatFox 直接觀測,信心水準 100%)
- 證據:Cobalt Strike IoC 239 筆(25.6%)仍居首位;同時觀察到 Brute Ratel C4(託管於 AWS)、Havoc(託管於 DigitalOcean)、DeimoS C2 等新興框架
- 影響評估:攻擊者工具箱持續多樣化,新框架較不易被傳統安全產品偵測
- 趨勢判斷:防禦方需更新偵測簽章,涵蓋 Brute Ratel、Havoc 等新世代 C2
威脅 5:QakBot 殭屍網路持續重建,暗示勒索軟體生態系統運作
- 信心水準:高(Feodo Tracker 直接觀測)
- 證據:2026 年 1 月已觀察到至少 2 個新 C2 伺服器(AWS + Linode),採用短命基礎設施策略
- 影響評估:QakBot 歷史上與 Black Basta、Conti 等勒索軟體組織合作,其持續重建暗示勒索軟體生態系統的支援基礎設施仍在運作
- 趨勢判斷:結合 BianLian C2 活躍觀測,勒索軟體威脅持續存在
威脅 6:FortiCloud SSO 繞過漏洞的後期利用已發展為標準化流程
- 信心水準:高(CERT.at 蜜罐直接觀測)
- 證據:5 波攻擊活動在 5 天內依序完成「偵察 → 資料竊取 → 帳號建立 → 指令執行 → API 持久化」的完整攻擊鏈,顯示攻擊工具已標準化或自動化
- 影響評估:管理介面暴露在公網的 Fortinet 設備面臨極高風險
- 建議:管理介面必須限制於受信任網路,禁止公網直接存取
威脅 7:AI 安全治理差距擴大(推測)
- 信心水準:中(產業趨勢觀察)
- 證據:Kaspersky 分析指出 AI Agent 自主決策造成 CIO/CISO「巨大治理難題」,現有 IT 安全工具無法約束 AI 行為;SANS ISC 測試發現 AI 生成 Python 程式碼含 14 個高信心漏洞(1,500 行)
- 趨勢判斷:(推測)AI 安全將在 2026 年成為 CISO 議程中的優先事項
政策法規動態
NIS2 指令修正提案
| 日期:2026-01-21 | 來源:CERT.at(奧地利) |
歐盟執委會於 2026-01-20 提出 NIS2 指令立法修正案,主要變更包括:
- 新增歐洲數位身分錢包提供者為適用對象
- 增設勒索軟體案件特殊通報要求
- 建立 DNS 伺服器營運商最低規模門檻
- 重新定義 CSIRTs 網路組成(明確納入 ENISA)
- 釐清範圍以避免大型企業因小型太陽光電設施而被歸類為電力部門實體
來源:CERT.at Blog
CISA 後量子密碼學產品分類指引
| 日期:2026-01-23 | 來源:CISA(美國) |
回應行政命令 EO 14306,CISA 發布後量子密碼學(PQC)產品分類清單:
- 已廣泛可用類別:雲端服務(PaaS/IaaS)、協作軟體、Web 軟體、端點安全
- 過渡中類別:網路設備、SaaS 雲端服務、電信硬體、作業系統、ICAM、資料庫、企業安全工具
- 參考標準:FIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)、NIST SP 800-208
來源:CISA PQC Product Categories
資料統計摘要
| 資料層 | 類別 | 筆數 | 說明 |
|---|---|---|---|
| L1 資安新聞 | 攻擊事件 | 588 | 累計追蹤(含歷史) |
| L1 資安新聞 | 漏洞揭露 | 212 | 含 CISA KEV 批次公告 |
| L1 資安新聞 | 政策法規 | 113 | NIS2 修正、PQC 指引 |
| L1 資安新聞 | 產業趨勢 | 213 | AI 安全為本週焦點 |
| L2 漏洞追蹤 | Critical/High | 586(2026 新增 55) | TWCERT/CC + GovCERT.HK |
| L2 漏洞追蹤 | Medium | 1,263(2026 新增 50) | |
| L3 利用情報 | 活躍利用 | 11 | CISA KEV 本週新增 |
| L3 利用情報 | PoC 公開 | 143(2026 新增 51) | 含歷史漏洞新 PoC |
| L4 威脅饋送 | C2 基礎設施 | 12 | QakBot 為主 |
| L4 威脅饋送 | 惡意軟體樣本 | 853 | Mirai 占 46.8% |
| L4 威脅饋送 | IoC 指標 | 935 | Cobalt Strike 占 25.6% |
| L4 威脅饋送 | 惡意 URL | 19,341 | Shell 腳本 + CDN 濫用 |
資料限制與免責聲明
本報告基於以下資料來源,存在已知限制:
- 來源範圍:基於國際 CERT/安全機構公開資料(CISA、CERT.at、GovCERT.HK、TWCERT/CC、SANS ISC、NCSC-FI)與 abuse.ch 威脅情報(Feodo Tracker、MalwareBazaar、ThreatFox、URLhaus),但不涵蓋所有威脅情資
- 時效性:資料可能存在數小時至數天的延遲,部分 L1 新聞事件為歷史資料的持續追蹤
- 完整性:未包含非公開威脅情報、暗網情資、付費情報服務(如 Recorded Future、Mandiant 等)來源
- 分析局限:L4 惡意軟體與 IoC 統計基於 abuse.ch 公開樣本,不代表全球威脅全貌;趨勢分析基於公開資料樣本,統計推論應謹慎解讀
- 翻譯風險:部分非英文來源(TWCERT/CC 中文公告)經 AI 處理,可能存在語義偏差
- 涵蓋偏差:L2 漏洞追蹤以 TWCERT/CC 及 GovCERT.HK 來源為主,可能低估其他地區的漏洞揭露數量
本報告僅供參考,不構成完整的威脅評估。 重大安全決策請結合多方情資來源。
自我審核結果
- 所有事件標註來源與日期
- 趨勢分析基於足夠樣本(L4 共 853 + 935 + 19,341 筆;不足時已說明)
- 新興威脅標註信心水準(高/高/高/高/高/高/中,共 7 項)
- 統計數據核對完成(KEV 11 筆、PoC 51 筆、C2 2 筆、Malware 853 筆、IoC 935 筆、URL 19,341 筆)
- 未經證實的推論標註為「推測」(威脅 7 AI 安全治理)
- 交叉關聯分析涵蓋 L1-L4
- 無需加註 [REVIEW_NEEDED]
報告產出時間:2026-01-28 分析模型:Claude Opus 4.5 資料萃取期間:2026-01-22 至 2026-01-28