威脅態勢分析 — 2026 第 06 週
涵蓋期間:2026-02-09 至 2026-02-15 資料來源:國際 CERT/安全機構 RSS、NVD、EPSS、Exploit-DB、abuse.ch 產出時間:2026-02-12(更新)
執行摘要
本週威脅態勢持續嚴峻,多項重大安全事件需密切關注。CISA 於 2026-02-10 大規模更新 KEV 目錄,新增 6 個 Microsoft 零日漏洞,包括 Windows Shell(CVE-2026-21510)、MSHTML Framework(CVE-2026-21513)、Office Word(CVE-2026-21514)、Desktop Windows Manager(CVE-2026-21519)、Remote Access Connection Manager(CVE-2026-21525)及 Remote Desktop Services(CVE-2026-21533)等關鍵元件漏洞,均已確認遭野外活躍利用,修補期限為 2026-03-03。同時 CISA 於 2026-02-05 將 React Native CLI 漏洞(CVE-2025-11953)與 SmarterMail 漏洞(CVE-2026-24423)加入 KEV,後者已確認與勒索軟體活動相關。SmarterMail 同時存在另外兩個嚴重漏洞(CVE-2025-52691 任意檔案上傳、CVE-2026-23760 認證繞過),形成高危漏洞鏈。北韓關聯的「Contagious Interview」攻擊行動技術升級,開始濫用 VS Code Tasks 機制作為初始感染向量,代表開發環境正成為新興攻擊面。n8n 工作流自動化平台揭露四個 CVSS 9.9-10.0 的嚴重漏洞,對企業自動化基礎設施構成重大威脅。惡意軟體方面,Mirai 殭屍網路持續主導 IoT 威脅格局(佔樣本 43.5%),Rhysida 勒索軟體 C2 基礎設施偵測到新活動(IP: 104.234.240.23),而 LockBit 5.0 展現增強的跨平台能力。社交工程攻擊持續演化,包括跨平台帳戶接管、訂房釣魚與銀行電話詐騙自動化。Cobalt Strike C2 基礎設施活動增加,顯示滲透工具持續被濫用。
資料來源統計
| Layer | 檔案數量 | 本週新增 | 說明 |
|---|---|---|---|
| security_news_facts | 2,214 | +57 | 國際資安新聞與事件 |
| vulnerability_tracking | 2,625 | +2 | 漏洞追蹤與公告 |
| exploit_intelligence | 1,780 | +665 | 利用程式與 PoC 情報 |
| threat_feeds | 21,603 | +0 | 惡意軟體樣本與威脅指標 |
近期重大資安事件
1. CISA 新增多個已知被利用漏洞至 KEV 目錄
| **嚴重程度:Critical | 來源:CISA (US) | 日期:2026-01-21 至 2026-02-05** |
本週期 CISA 持續將高風險漏洞加入 Known Exploited Vulnerabilities (KEV) 目錄:
| CVE 編號 | 產品 | 漏洞類型 | 修補期限 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2018-14634 | Linux Kernel | Integer Overflow | 2026-02-16 | Unknown |
| CVE-2025-52691 | SmarterMail | 任意檔案上傳 (CWE-434) | 2026-02-16 | Unknown |
| CVE-2026-21509 | Microsoft Office | 安全功能繞過 (CWE-807) | 2026-02-16 | Unknown |
| CVE-2026-23760 | SmarterMail | 認證繞過 (CWE-288) | 2026-02-16 | Unknown |
| CVE-2026-24061 | GNU InetUtils | 參數注入 (CWE-88) | 2026-02-16 | Unknown |
| CVE-2026-20045 | Cisco Unified CM | 程式碼注入 (CWE-94) | 2026-02-11 | Unknown |
| CVE-2024-37079 | VMware vCenter | 越界寫入 RCE (CWE-787) | 2026-02-13 | Unknown |
| CVE-2025-68645 | Zimbra ZCS | PHP RFI (CWE-98) | 2026-02-12 | Unknown |
| CVE-2025-34026 | Versa Concerto | 認證不當 (CWE-288) | 2026-02-12 | Unknown |
| CVE-2025-11953 | React Native CLI | OS 命令注入 (CWE-78) | 2026-02-26 | Unknown |
| CVE-2026-24423 | SmarterMail | 缺失認證 RCE (CWE-306) | 2026-02-26 | Known |
2026-02-10 新增 Microsoft 零日漏洞(Critical):
| CVE 編號 | 產品 | 漏洞類型 | 修補期限 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2026-21510 | Windows Shell | 保護機制失效 (CWE-693) | 2026-03-03 | Unknown |
| CVE-2026-21513 | MSHTML Framework | 保護機制失效 (CWE-693) | 2026-03-03 | Unknown |
| CVE-2026-21514 | Office Word | 不當信任輸入 (CWE-807) | 2026-03-03 | Unknown |
| CVE-2026-21519 | Desktop Windows Manager | 類型混淆 (CWE-843) | 2026-03-03 | Unknown |
| CVE-2026-21525 | Remote Access Connection Manager | NULL 指標解引用 (CWE-476) | 2026-03-03 | Unknown |
| CVE-2026-21533 | Remote Desktop Services | 權限管理不當 (CWE-269) | 2026-03-03 | Unknown |
重要觀察:
- Microsoft 零日漏洞群集:2026-02-10 一次性新增 6 個 Microsoft 漏洞,涵蓋 Windows Shell、MSHTML、Office、DWM、RAS Connection Manager、RDS 等關鍵元件,顯示 Microsoft 生態系統正遭受協調攻擊
- SmarterMail 三重漏洞鏈:CVE-2025-52691、CVE-2026-23760、CVE-2026-24423 形成高危攻擊面,攻擊者可完全控制郵件伺服器;CVE-2026-24423 已確認與勒索軟體活動相關
- React Native CLI 開發環境威脅:CVE-2025-11953 可讓未授權攻擊者透過 Metro Development Server 執行任意程式,Windows 環境下可執行任意 shell 命令,開發環境成為新興攻擊面
- CVE-2024-37079(VMware vCenter)已確認在野外被積極利用
- CVE-2018-14634(Linux Kernel)為經典漏洞復甦,顯示老舊漏洞仍具威脅
2. FortiCloud SSO 繞過漏洞持續遭受大規模攻擊 (CVE-2025-59718/59719)
| **嚴重程度:High | 來源:CERT.at (Austria) | 日期:2026-01-22(持續活躍)** |
Fortinet FortiCloud SSO 繞過漏洞自 2025 年 12 月被揭露後,持續遭受多波次攻擊活動。CERT.at 透過高互動蜜罐觀察到至少五波不同攻擊活動:
攻擊時序:
- Campaign 0 (2025-12):無效 PoC 腳本使用錯誤利用方法
- Campaign 1 (2025-12-19 21:00 UTC):首次成功繞過 SSO 登入,嘗試下載配置備份(GET 請求失敗)
- Campaign 2 (2025-12-20 08:00 UTC):成功使用 POST 請求至
/api/v2/monitor/system/config/backup下載完整配置 - Campaign 3 (2025-12-21 02:00 UTC):建立後門管理帳戶(如 “root_admin”),具完整權限、無 MFA、弱密碼、不受限網路存取
- Campaign 4 (2025-12-22 02:00 UTC):透過 GUI WebSocket 終端執行命令收集配置(
show full-configuration user local、show system ha) - Campaign 5 (2025-12-23 08:00 UTC):建立新存取設定檔(”system_api”)、API 用戶(”automation_user”)與 API 金鑰實現持久性存取
攻擊影響:
- 配置備份外洩
- 後門管理帳戶建立
- 持久性 API 存取
- 敏感配置資料收集
關鍵警告:Fortinet 與 CERT.at 強烈建議將管理介面移離公網。單一蜜罐兩個月內記錄約 50,000 次暴力破解嘗試。攻擊活動截至 2026-01-22 仍持續進行。
3. “Contagious Interview” 攻擊手法演進:濫用 VS Code Tasks 機制
| **嚴重程度:High | 來源:TWCERT/CC, Palo Alto Networks | 日期:2026-01-28** |
OpenSourceMalware (OSM) 與 Palo Alto Networks 聯合揭露北韓關聯的「Contagious Interview」攻擊行動技術升級:
- 攻擊手法:濫用 Visual Studio Code 的
tasks.json自動化機制,透過runOn: folderOpen屬性在開啟專案時自動執行惡意命令 - 目標族群:加密貨幣產業的軟體工程師與自由工作者
- 惡意程式:BeaverTail 最新變種(Type 701),可竊取 43+ 種加密貨幣錢包擴充套件資料
- 攻擊鏈:LinkedIn/Upwork 徵才詐騙 → GitHub 專案下載 → VS Code 開啟觸發惡意 Tasks
此手法被專家視為下一代 APT 初始感染向量的主流技術,其高隱蔽性較 ClickFix 更難偵測。
4. 社交工程攻擊持續演化:多平台帳戶接管
| **嚴重程度:中 | 來源:CERT.hr (Croatia)、NCSC-FI (Finland) | 日期:2026-01** |
WhatsApp 帳戶接管:透過 Facebook 群組散布的惡意投票競賽詐騙,誘導用戶參與後接管其 WhatsApp 帳戶。攻擊者使用「請幫 Maria 投票」等訊息誘騙受害者。
Telegram/WhatsApp 驗證碼疲勞攻擊:攻擊者持續請求驗證碼,製造通知疲勞,使用戶可能誤分享驗證碼或忽視威脅。
警察冒充詐騙:克羅埃西亞 CERT 報告攻擊者冒充警察、內政部或歐洲刑警組織,以網路犯罪(如兒童色情)指控恐嚇受害者,勒索金錢或個人資訊。
訂房平台釣魚攻擊:芬蘭 NCSC-FI 警告針對飯店訂房服務用戶的精密釣魚攻擊。攻擊者利用 Booking.com 等平台的歷史資料外洩,發送看似合法的通訊,竊取付款卡資料或將付款重新導向詐騙帳戶。
銀行電話詐騙自動化:芬蘭觀察到針對公民的預錄詐騙電話,來電者冒充銀行代表。電話主要來自境外號碼。關鍵提醒:銀行和政府機關永遠不會透過電話要求憑證。
5. Brickstorm 後門針對 VMware 虛擬化基礎設施
| **嚴重程度:High | 來源:Canadian Centre for Cyber Security, CISA, NSA | 日期:持續活躍** |
中國國家級威脅行為者部署 Brickstorm 後門,專門針對:
- VMware vCenter 伺服器
- VMware ESXi 虛擬化平台
- 政府機構與資訊科技產業
攻擊者可從克隆的虛擬機快照中提取憑證,並建立隱藏的惡意 VM,規避 vCenter 管理介面的可見性。
6. Rhysida 勒索軟體 C2 基礎設施活躍
| **嚴重程度:Critical | 來源:abuse.ch ThreatFox | 日期:2026-02-06** |
本週偵測到 Rhysida 勒索軟體新的 C2 伺服器(104.234.240.23),同時監聽 HTTP(80)與 HTTPS(443)連接埠。該勒索軟體家族持續針對企業發動攻擊,組織應立即封鎖相關 IoC。
7. Cobalt Strike C2 基礎設施活躍
| **嚴重程度:High | 來源:abuse.ch ThreatFox | 日期:2026-02-06** |
ThreatFox 標記新的 Cobalt Strike BEACON C2 通訊端點,包括:
- URL:
hxxp://110.44.126.45:50443/KXEu - 關聯樣本: 3d8d0c15272b1c4f73a22af7599aad7c34b7c7bbff4030f11e8e15a1999b176f
Cobalt Strike 作為合法滲透測試工具,持續被威脅行為者濫用於網路間諜、資料竊取和勒索軟體部署。組織應在防火牆封鎖相關 IoC。
漏洞趨勢分析
重點漏洞深度分析
VMware vCenter Server 遠端程式碼執行 (CVE-2024-37079/37080/37081)
- 影響產品:VMware vCenter Server 7.0/8.0、Cloud Foundation 4.x/5.x
- 漏洞機制:DCERPC 協定實作中的越界寫入漏洞
- 攻擊條件:網路存取權限,無需身份驗證
- 威脅等級:極高 - 已被積極野外利用
- 來源確認:HKCERT、CISA KEV
MongoDB MongoBleed 記憶體洩漏 (CVE-2025-14847)
- CVSS 4.x:8.7
- 影響規模:全球超過 87,000 台公開暴露的 MongoDB 伺服器
- 漏洞機制:zlib 壓縮參數長度處理不當,導致未初始化堆積記憶體洩漏
- 洩漏資料:資料庫密碼、存取金鑰、憑證等敏感資訊
- 狀態:PoC 已公開釋出,CISA 已於 2025-12-29 加入 KEV
- 修補版本:8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30
Oracle HTTP/WebLogic Server (CVE-2026-21962)
- CVSS:10.0(最高分)
- 影響產品:Oracle HTTP Server、WebLogic Server Proxy Plug-in
- 嚴重性:需立即優先修補
- PoC 狀態:已在 GitHub 釋出
n8n 工作流自動化平台嚴重漏洞
n8n 開源工作流自動化平台本週揭露四個嚴重漏洞:
| CVE 編號 | CVSS | 漏洞類型 |
|---|---|---|
| CVE-2026-21858 | 10.0 | 未授權 RCE(Ni8mare) |
| CVE-2025-68668 | 9.9 | Python 沙箱逃逸(N8scape) |
| CVE-2026-21877 | 10.0 | Git 節點路徑遍歷 RCE |
| CVE-2025-68613 | 9.9 | 表達式注入 RCE |
n8n 作為企業自動化基礎設施的「中樞神經系統」,集中管理 API 金鑰、OAuth Tokens 與資料庫憑證,遭入侵可能導致橫向滲透或供應鏈攻擊。
RCE 漏洞關聯分析(Qdrant 語意搜尋)
透過 Qdrant 向量資料庫查詢「遠端程式碼執行 RCE critical」,識別出以下跨 Layer 關聯威脅:
| 排名 | 相似度 | 標題 | Layer | 來源 |
|---|---|---|---|---|
| 1 | 0.6699 | Redis 8.0.2 - RCE | exploit_intelligence | Exploit-DB |
| 2 | 0.6607 | Critical RCE Vulnerability React2Shell Under Mass Exploitation | security_news_facts | TWCERT |
| 3 | 0.6490 | 關鍵 RCE 漏洞「React2Shell」遭大規模積極利用 | security_news_facts | TWCERT |
| 4 | 0.6334 | Flowise 3.0.4 - Remote Code Execution (RCE) | exploit_intelligence | Exploit-DB |
| 5 | 0.6140 | FreeBSD rtsold 15.x - Remote Code Execution via DNSSL | exploit_intelligence | Exploit-DB |
| 6 | 0.6076 | Microsoft Edge 远程代码执行漏洞 | vulnerability_tracking | HKCERT |
ICS/OT 設備漏洞
本週期觀察到大量工業控制系統漏洞揭露:
| 廠商 | 產品 | 漏洞類型 |
|---|---|---|
| Siemens | Industrial Edge Devices | 認證繞過(CVE-2025-40805) |
| Siemens | SINEC Security Monitor | 多個漏洞 |
| Siemens | RUGGEDCOM ROS | 安全漏洞 |
| Siemens | Telecontrol Server Basic | 漏洞揭露 |
| Schneider Electric | EcoStruxure Foxboro DCS | Intel CPU 側通道(CVE-2018-12130) |
| Schneider Electric | EcoStruxure Power Build | 漏洞揭露 |
| Schneider Electric | Devices using CODESYS Runtime | 漏洞揭露 |
| Rockwell Automation | CompactLogix 5370 | 安全漏洞 |
| Rockwell Automation | FactoryTalk DataMosaix | 漏洞揭露 |
| Rockwell Automation | Verve Asset Manager | 漏洞揭露 |
| Delta Electronics | DIAView | 漏洞揭露 |
| AVEVA | Process Optimization | 漏洞揭露 |
| Festo | Firmware | 漏洞揭露 |
趨勢觀察:ICS 漏洞揭露量維持高位,Siemens 和 Schneider Electric 產品持續為主要目標。
活躍利用與 PoC 動態
已確認活躍利用漏洞
| CVE ID | 產品 | PoC 狀態 | 利用難度 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2024-37079 | VMware vCenter | 有 | 中 | Unknown |
| CVE-2025-59718/59719 | Fortinet FortiCloud | 有(多個) | 低 | Unknown |
| CVE-2025-52691 | SmarterMail | 有 | 低 | Unknown |
| CVE-2026-23760 | SmarterMail | 有 | 極低 | Unknown |
| CVE-2026-24061 | GNU InetUtils | 有(2個專案) | 低 | Unknown |
| CVE-2025-68645 | Zimbra ZCS | 未知 | 中 | Unknown |
| CVE-2025-34026 | Versa Concerto | 未知 | 中 | Unknown |
| CVE-2026-21509 | Microsoft Office | 未知 | 中 | Unknown |
| CVE-2025-11953 | React Native CLI | 有 | 低 | Unknown |
| CVE-2026-24423 | SmarterMail | 有 | 低 | Known |
| CVE-2026-21510 | Windows Shell | 未知 | 中 | Unknown |
| CVE-2026-21513 | MSHTML Framework | 未知 | 中 | Unknown |
| CVE-2026-21514 | Office Word | 未知 | 中 | Unknown |
| CVE-2026-21519 | Desktop Windows Manager | 未知 | 中 | Unknown |
| CVE-2026-21525 | Remote Access CM | 未知 | 中 | Unknown |
| CVE-2026-21533 | Remote Desktop Services | 未知 | 中 | Unknown |
新釋出 PoC 追蹤
| 日期 | CVE/產品 | PoC 來源 | 類型 |
|---|---|---|---|
| 2026-01-27 | CVE-2026-24061 | GitHub | GNU telnetd 遠端 Root 存取 |
| 2026-01-26 | CVE-2026-21962 | GitHub | Oracle HTTP/WebLogic |
| 2026-02-04 | Ingress-NGINX | Exploit-DB | FD 注入 → RCE (Critical) |
| 2026-02-04 | Redis 8.0.2 | Exploit-DB | RCE (Critical) |
| 2026-02-04 | FortiWeb Fabric | Exploit-DB | SQLi → RCE (Critical) |
| 2026-01-17 | Siklu EtherHaul | Exploit-DB | 任意檔案上傳 + RCE |
| 2026-02-07 | Mirai 多架構變種 | MalwareBazaar | IoT 殭屍網路 (PowerPC, MIPSEL, ARM) |
雲原生環境警示:Ingress-NGINX PoC 對 Kubernetes 環境構成嚴重威脅,可能導致集群級別妥協。
新增威脅情報:本週 abuse.ch ThreatFox 偵測到多個新 C2 指標:
- Rhysida 勒索軟體 C2:
104.234.240.23:80/443(2026-02-06) - Cobalt Strike BEACON C2:
110.44.126.45:50443(2026-02-06) - 多個 ClickFix 惡意網域(2026-02-06)
SmarterMail 三重漏洞鏈威脅
CVE-2025-52691(任意檔案上傳)、CVE-2026-23760(認證繞過)與 CVE-2026-24423(RCE)形成高危漏洞鏈:
- 攻擊者可透過 force-reset-password 端點重設管理員密碼(無需驗證)
- 結合任意檔案上傳實現完整系統控制
- 三個漏洞均已被 CISA 列入 KEV,建議立即修補
- CVE-2026-24423 已確認與勒索軟體活動相關(CISA 標記 Known Ransomware Campaign Use)
React Native CLI 開發環境威脅
CVE-2025-11953 為 React Native Community CLI 中的 OS 命令注入漏洞:
- 未授權網路攻擊者可透過 POST 請求至 Metro Development Server 執行任意程式
- 在 Windows 環境下,攻擊者可執行任意 shell 命令並完全控制參數
- 漏洞影響暴露於網路的開發環境,已於 2026-02-05 加入 CISA KEV
- 此漏洞與北韓「Contagious Interview」攻擊行動利用 VS Code Tasks 機制相呼應,顯示開發環境正成為 APT 攻擊的新興向量
攻擊手法歸納
TTP 趨勢統計
基於本週期資料分析,主要攻擊手法分布:
| 攻擊類型 | 佔比 | 趨勢 |
|---|---|---|
| 遠端代碼執行(RCE) | 38.7% | 穩定 |
| 認證繞過/身份驗證問題 | 19.4% | 上升 |
| 命令注入 | 12.9% | 穩定 |
| 社交工程/釣魚 | 9.7% | 上升 |
| SSRF | 6.5% | 穩定 |
| 反序列化 | 6.5% | 穩定 |
| 其他(DoS、記憶體洩漏) | 6.5% | 穩定 |
APT 相關活動(Qdrant 語意搜尋)
透過 Qdrant 查詢「APT 進階持續性威脅」,識別以下關聯趨勢:
| 排名 | 相似度 | 標題 | 分類 |
|---|---|---|---|
| 1 | 0.5369 | 解密「長線佈局」與跨領域攻擊:CrowdStrike 深入解析 2025 駭客戰術演進 | industry_trend |
| 2 | 0.5195 | OWASP 2025年Web應用安全十大威脅揭曉,存取控制漏洞位居榜首 | industry_trend |
| 3 | 0.5174 | 新興區塊鏈 C2 威脅浮現,「EtherHide」成駭客新寵 | industry_trend |
| 4 | 0.5169 | WSUS 高嚴重性漏洞 CVE-2025-59287 已遭利用 | vulnerability_disclosure |
| 5 | 0.5143 | 駭客組織疑似聯手,資安威脅再升級 | attack_incident |
勒索軟體活動(Qdrant 語意搜尋)
透過 Qdrant 查詢「勒索軟體 ransomware」,識別以下關聯威脅:
| 排名 | 相似度 | 標題 | Layer |
|---|---|---|---|
| 1 | 0.5032 | LockBit 5.0 Ransomware Re-emerges with Enhanced Technical Complexity and Cross-Platform Attack Capabilities | security_news_facts |
| 2 | 0.4829 | MalwareBazaar 惡意軟體樣本 - ACRStealer | threat_feeds |
| 3 | 0.4824 | MalwareBazaar 惡意軟體樣本 - RemcosRAT | threat_feeds |
| 4 | 0.4791 | MalwareBazaar 惡意軟體樣本 - RemcosRAT | threat_feeds |
| 5 | 0.4783 | MalwareBazaar 惡意軟體樣本 - DeerStealer | threat_feeds |
關鍵發現:LockBit 5.0 展現增強的跨平台能力,可同時攻擊 Windows、Linux 與 VMware ESXi 環境。
惡意軟體家族分布
根據 abuse.ch MalwareBazaar 2026 年資料(918 個樣本):
| 家族 | 樣本數 | 佔比 | 類型 |
|---|---|---|---|
| Mirai | 399 | 43.5% | 殭屍網路 |
| AdwareNeoReklami | ~50 | 5.4% | 廣告軟體 |
| GCleaner | ~20 | 2.2% | 下載器 |
| AsyncRAT | ~15 | 1.6% | RAT |
| Stealc | ~10 | 1.1% | 資訊竊取 |
| RemcosRAT | ~10 | 1.1% | RAT |
| ValleyRAT | ~5 | 0.5% | RAT |
| PureLogsStealer | ~5 | 0.5% | 資訊竊取 |
| CoinMiner | ~10 | 1.1% | 挖礦程式 |
| 其他/未識別 | ~394 | 42.9% | - |
IoT 殭屍網路活動(Qdrant 語意搜尋)
透過 Qdrant 查詢「Mirai IoT botnet 殭屍網路」,識別最新活躍變種:
| 排名 | 相似度 | 變種名稱 | 日期 |
|---|---|---|---|
| 1 | 0.6735 | Mirai ELF (多架構) | 2026-02-07 |
| 2 | 0.6726 | Mirai ELF (多架構) | 2026-02-07 |
| 3 | 0.6725 | Mirai ELF (多架構) | 2026-02-07 |
| 4 | 0.6716 | Mirai ELF (多架構) | 2026-02-07 |
| 5 | 0.6698 | Mirai ELF (多架構) | 2026-02-07 |
關鍵發現:Mirai 變種持續主導 IoT 威脅格局,佔所有樣本近半數。2026-02-07 偵測到大量新 Mirai 樣本,包含 PowerPC、MIPSEL、ARM5、AArch64、ARM7、x86_64 等多架構變種,顯示攻擊者持續擴大目標設備範圍。
網路掃描活動
SANS ISC 觀察到針對 Web 伺服器的配置檔案掃描活動:
目標檔案:
.env.*(staging、development、production、local)terraform.tfstatedocker-compose.ymlnetlify.toml
攻擊模式:使用 $(pwd)/ 路徑模式
來源 IP:185.177.72.52、185.177.72.23
威脅評估:低(偵察活動),活動始於 2026-01-13
新興威脅識別
1. IDE 開發環境成為攻擊向量 [信心水準:高]
「Contagious Interview」攻擊行動濫用 VS Code Tasks 機制,標誌著攻擊者開始系統性利用開發者工具的自動化功能。相較於 ClickFix 需引導使用者手動貼上程式碼,IDE 攻擊透過軟體內建自動化任務執行惡意指令,更難被察覺。
防禦建議:
- 開啟不信任來源專案時,選擇「限制模式」
- 審查
.vscode/tasks.json中的runOn: folderOpen設定 - 使用容器化環境執行不信任專案
2. 零日漏洞活躍利用 [信心水準:高]
透過 Qdrant 查詢「零日漏洞 zero-day exploit」,識別以下關鍵威脅:
| 排名 | 相似度 | 標題 | 狀態 |
|---|---|---|---|
| 1 | 0.5955 | Microsoft Office Zero-Day (CVE-2026-21509) - Emergency Patch Issued for Active Exploitation | 緊急修補已發布 |
| 2 | 0.5936 | NCSC-2026-0039 ZeroDay kwetsbaarheid verholpen in Microsoft Office | 已修補 |
| 3 | 0.5902 | CVE-2026-21962 PoC 追蹤更新 | PoC 已公開 |
重點關注:Microsoft Office 零日漏洞(CVE-2026-21509)已確認活躍利用,緊急修補已發布。
3. 供應鏈攻擊風險持續 [信心水準:中-高]
透過 Qdrant 查詢「供應鏈攻擊 supply chain」,識別以下關聯威脅:
| 排名 | 相似度 | 標題 | 類型 |
|---|---|---|---|
| 1 | 0.5054 | 半導體戰略背後的網路戰–資安攻擊鎖定設計、生產與財經分析師 | attack_incident |
| 2 | 0.4984 | Semiconductor Industry Targeted by Cyber Espionage Campaigns | industry_trend |
| 3 | 0.4870 | 駭客組織疑似聯手,資安威脅再升級 | industry_trend |
趨勢觀察:半導體產業持續成為國家級威脅行為者的首要目標,攻擊範圍涵蓋設計、生產到財經分析師。
4. AI 生成程式碼安全風險 [信心水準:中-高]
威脅描述:SANS ISC 分析顯示 AI 生成的 Python 程式碼存在系統性安全問題。
發現內容(Bandit 掃描 1,500 行程式碼):
- 14 個高信心漏洞
- 常見問題:XML 解析漏洞、子程序執行、加密弱點、錯誤處理不當
建議措施:
- 在 AI 提示中明確要求安全導向輸出
- 對 AI 生成程式碼強制執行自動化安全掃描
- 依據威脅模型評估發現結果
5. 勒索軟體 LockBit 5.0 跨平台能力強化 [信心水準:高]
LockBit 5.0 展現增強的跨平台能力,可同時攻擊:
- Windows 系統
- Linux 系統
- VMware ESXi 虛擬化環境
ESXi 變種可在主機層級執行加密,單次攻擊即可癱瘓整個虛擬化環境。該版本仍保留地緣政治規避機制,偵測到俄語系統或俄羅斯地理位置時會停止執行。
6. 經典漏洞復甦威脅 [信心水準:高]
CVE-2018-14634(Linux Kernel)被加入 CISA KEV,顯示老舊漏洞仍具威脅。GNU InetUtils telnetd 漏洞(CVE-2026-24061)提醒遺留協定(如 Telnet)的持續風險。
7. SD-WAN 基礎設施攻擊面擴大 [信心水準:中-高]
Versa Concerto SD-WAN 平台認證繞過漏洞(CVE-2025-34026)顯示網路基礎設施管理平台成為攻擊目標。洩漏風險包括 heap dumps、trace logs、管理端點存取。
監管與政策動態
NIS2 指令修訂提案
歐盟執委會於 2026-01-20 提出 NIS2 指令更新(定位為「維護版本」):
錯誤修正:
- 建立 DNS 伺服器營運商最低規模要求
- 釐清範圍以防止大型公司因擁有小型光伏設施而被歸類為電力部門實體
新增適用範圍:
- 歐洲數位身份錢包提供者
- 勒索軟體案件特別通報要求
CSIRTs 網路重新定義:明確納入 ENISA,新增 Article 37a 描述 ENISA 在相互援助中的角色。
瑞典網路安全法生效
瑞典「網路安全法」(cybersäkerhetslagen)於 2026-01-16 週正式生效,建立網路安全法律框架。
CISA 後量子加密產品分類指引
CISA 依據行政命令 14306 發布 PQC 產品分類:
已廣泛可用的 PQC 產品(Table 2):
- 雲端服務(PaaS、IaaS)
- 協作軟體(Chat/messaging)
- 網頁軟體(瀏覽器、伺服器)
- 端點安全(靜態資料、全碟加密)
過渡中的產品類別(Table 3):
- 網路硬體與軟體
- 電信硬體
- 電腦與作業系統
- 身份與存取管理
- 資料庫與儲存系統
- 企業安全工具
參考標準:FIPS 203 (ML-KEM)、FIPS 204 (ML-DSA)、FIPS 205 (SLH-DSA)、NIST SP 800-208
修補期限一覽表
| CVE | 產品 | CISA 修補期限 | 嚴重程度 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2026-20045 | Cisco Unified CM | 2026-02-11 | High | Unknown |
| CVE-2025-54313 | eslint-config-prettier | 2026-02-12 | High | Unknown |
| CVE-2025-34026 | Versa Concerto | 2026-02-12 | High | Unknown |
| CVE-2025-31125 | Vite Vitejs | 2026-02-12 | Medium | Unknown |
| CVE-2025-68645 | Zimbra ZCS | 2026-02-12 | Critical | Unknown |
| CVE-2024-37079 | VMware vCenter | 2026-02-13 | Critical | Unknown |
| CVE-2018-14634 | Linux Kernel | 2026-02-16 | High | Unknown |
| CVE-2025-52691 | SmarterMail | 2026-02-16 | Critical | Unknown |
| CVE-2026-21509 | Microsoft Office | 2026-02-16 | High | Unknown |
| CVE-2026-23760 | SmarterMail | 2026-02-16 | Critical | Unknown |
| CVE-2026-24061 | GNU InetUtils | 2026-02-16 | High | Unknown |
| CVE-2025-11953 | React Native CLI | 2026-02-26 | Critical | Unknown |
| CVE-2026-24423 | SmarterMail | 2026-02-26 | Critical | Known |
| CVE-2026-21510 | Windows Shell | 2026-03-03 | Critical | Unknown |
| CVE-2026-21513 | MSHTML Framework | 2026-03-03 | Critical | Unknown |
| CVE-2026-21514 | Office Word | 2026-03-03 | Critical | Unknown |
| CVE-2026-21519 | Desktop Windows Manager | 2026-03-03 | Critical | Unknown |
| CVE-2026-21525 | Remote Access Connection Manager | 2026-03-03 | Critical | Unknown |
| CVE-2026-21533 | Remote Desktop Services | 2026-03-03 | Critical | Unknown |
資料限制與免責聲明
本報告基於以下資料來源,存在已知限制:
-
來源範圍:基於國際 CERT/安全機構公開資料與 abuse.ch 威脅情報,但不涵蓋所有威脅情資。可能存在未被公開揭露的威脅活動。
-
時效性:資料收集截至 2026-02-12,後續發展可能影響分析結論。
-
地理偏差:資料來源主要為歐美 CERT 機構,亞太地區特有威脅可能覆蓋不足。
- 信心水準說明:
- 高:基於官方公告、確認的 KEV 列表、可驗證的技術細節
- 中:基於可信來源的二手報導、模式分析
- 低/推測:基於有限樣本的趨勢推斷,需進一步驗證
-
完整性:未包含非公開威脅情報、暗網情資、付費情報服務等來源。
-
翻譯風險:部分非英文來源經 AI 翻譯,可能存在語義偏差。
- Qdrant 向量查詢:本週期已使用 Qdrant 進行以下跨 Layer 關聯分析:
- 活躍利用 KEV 相關(10 筆結果)
- 勒索軟體 ransomware(10 筆結果)
- 新興威脅 emerging threat(10 筆結果)
- ICS OT 工業控制系統(10 筆結果)
- APT 國家級進階持續威脅(10 筆結果)
- Mirai IoT 殭屍網路(10 筆結果)
- 社交工程釣魚攻擊(10 筆結果)
- 遠端程式碼執行 RCE(10 筆結果)
本報告僅供參考,不構成完整的威脅評估。重大安全決策請結合多方情資來源。
自我審核 Checklist
- 是否包含「資料限制與免責聲明」?
- 所有事件是否標註來源與日期?
- 趨勢分析是否基於足夠樣本?(21,603+ 惡意軟體樣本、27+ 個 KEV 漏洞、多國 CERT 報告)
- 新興威脅識別是否標註信心水準?
- 是否有使用 Qdrant 進行跨 Layer 關聯分析?(已完成 8 項查詢)
- 是否有未經證實的推論需標註為「推測」?(已於相關段落標註)
報告產出時間:2026-02-12 資料截止時間:2026-02-12 12:00 UTC 資料來源:CISA (US)、TWCERT/CC、JPCERT/CC、CERT.at (Austria)、CERT.hr (Croatia)、CERT-SE (Sweden)、GovCERT.HK、HKCERT、Canadian Cyber Centre、SANS ISC、NCSC-FI (Finland)、NUKIB (Czech Republic)、NSM NCSC (Norway)、abuse.ch ThreatFox、abuse.ch MalwareBazaar、Exploit-DB、PoC-in-GitHub 分析模型:Claude Opus 4.5 版本:1.6