威脅態勢分析 — 2026 第 07 週
涵蓋期間:2026-02-07 至 2026-02-14 資料來源:國際 CERT/安全機構 RSS、NVD、EPSS、Exploit-DB、abuse.ch 產出時間:2026-02-14
執行摘要
本週威脅態勢持續嚴峻,重點包括:
國家級威脅行為者動態:
- APT28(俄羅斯)利用 CVE-2026-21509 攻擊烏克蘭及歐盟政府機構,使用偽裝為歐盟諮商文件的惡意 DOC 檔案
- UNC1069(北韓)針對加密貨幣產業發動精密攻擊,首次記錄使用 AI 生成影片進行社交工程,部署 7 個惡意程式家族
- UNC3886 針對新加坡四大電信商的攻擊行動持續受到關注
CISA KEV 大規模更新:
- 2026-02-10 新增 6 個 Microsoft 零日漏洞(CVE-2026-21510/21513/21514/21519/21525/21533)
- 2026-02-12 新增 Apple CVE-2026-20700、SolarWinds CVE-2025-40536、Notepad++ CVE-2025-15556、Microsoft Configuration Manager CVE-2024-43468
- CVE-2026-24423(SmarterMail)已確認被勒索軟體利用
關鍵基礎設施攻擊:
- 塞內加爾國民身分證部門遭勒索軟體攻擊,影響 1,950 萬居民
- 羅馬尼亞石油管線營運商 Conpet 遭入侵(OT 系統未受影響)
- 芬蘭 Valtori 行動裝置管理系統遭入侵
新興威脅:
- 假冒 7-Zip 網站長期散布代理惡意軟體
- Notepad++ 更新機制遭劫持風險(CVE-2025-15556)
- FortiCloud SSO 繞過用於竊取 LDAP 密碼
資料來源統計
| Layer | 2026 年累計 | 本週新增 | 說明 |
|---|---|---|---|
| exploit_intelligence (active_exploitation) | 39 | +10 | 活躍利用漏洞(CISA KEV) |
| exploit_intelligence (poc_available) | 1,095+ | +30 | PoC/Exploit 可用 |
| security_news_facts (attack_incident) | 66 | +10 | 攻擊事件 |
| vulnerability_tracking (critical_high) | 89 | +6 | 嚴重/高風險漏洞 |
統計時間:2026-02-14 UTC
近期重大資安事件
1. 北韓駭客組織 UNC1069 結合 AI 技術攻擊加密貨幣產業(新增)
| **嚴重程度:High | 來源:Mandiant / NCSC-FI | 日期:2026-02-10** |
北韓威脅行為者 UNC1069 針對加密貨幣與去中心化金融(DeFi)產業發動精密攻擊,此次攻擊首次明確記錄國家級駭客使用 AI 生成內容進行社交工程:
攻擊技術:
- 使用遭駭的 Telegram 帳號進行社交工程
- 以假 Zoom 會議作為誘餌
- AI 生成影片欺騙受害者(重大創新)
- 採用 ClickFix 感染向量
- 部署 7 個獨特惡意程式家族:SILENCELIFT、DEEPBREATH、CHROMEPUSH 等
威脅行為者特徵:
- 歸屬:北韓
- 動機:金融利益
- 活躍時間:至少自 2018 年起
- 特點:持續演進攻擊技術
影響範圍:FinTech 實體、Telegram 使用者、Zoom 會議參與者、Chrome 瀏覽器
重要性:此案例標誌著 AI 技術正式成為國家級網路攻擊工具鏈的一部分。
2. 歐洲政府機構遭 Ivanti 零日漏洞協調攻擊
| **嚴重程度:Critical | 來源:NCSC-FI, The Record | 日期:2026-02-10** |
多個歐洲政府實體於本週確認遭受利用 Ivanti 零日漏洞的網路攻擊,這是本週最重大的資安事件:
荷蘭政府入侵:
- 受影響機構:荷蘭資料保護局(Dutch Data Protection Authority)、司法委員會(Judicial Council)
- 確認方式:向議會發表聲明(2026-02-10 週五)
- 外洩資料:工作相關資訊,包括姓名、商務電子郵件地址、電話號碼
- 調查狀態:完整範圍仍在調查中
- 官員涉入:內政部國務秘書、司法與安全國務秘書
歐盟執委會入侵:
- 受影響系統:行動裝置管理中央基礎設施
- 目標服務:疑為 Ivanti EPMM(未明確證實)
- 攻擊特徵:與荷蘭事件相似
- 偵測時間:2026-01-30
- 回應時間:9 小時內完成遏制與清理
- 影響評估:未偵測到行動裝置遭入侵
芬蘭 Valtori 入侵(2026-01-29):
- 受影響系統:Valtori 行動裝置管理服務
- 外洩資料:配置與用戶資料
- 調查單位:芬蘭國家調查局(KRP)
- 當前指控:加重電腦入侵罪(törkeä tietomurto)
威脅評估:這一系列攻擊顯示歐洲行動裝置管理基礎設施正成為國家級威脅行為者的系統性攻擊目標。Ivanti EPMM 作為企業行動管理解決方案,其零日漏洞被利用可能導致大規模資料外洩與持久性存取。
2. 新加坡電信業遭 APT UNC3886 大規模攻擊
| **嚴重程度:Critical | 來源:Singapore CSA | 日期:2025-07-18(本週更新報導)** |
新加坡網路安全局(CSA)揭露 APT 行為者 UNC3886 針對該國電信基礎設施的大規模攻擊行動:
攻擊規模:
- 受影響電信商:四大電信商全數受影響(M1、SIMBA Telecom、Singtel、StarHub)
- 行動描述:蓄意、針對性、精心策劃的攻擊行動
- 威脅行為者特徵:具備「深度能力」的 APT 組織
攻擊手法:
- 零日漏洞利用:繞過周邊防火牆獲取網路存取權限
- Rootkit 部署:實現持久性存取並規避偵測
- 痕跡清除技術:使偵測極具挑戰性
- 全面安全檢查需求:需跨網路進行完整安全審計
外洩資料:少量技術資料(主要為網路相關配置),用於推進威脅行為者的作戰目標
回應措施:新加坡發動史上最大規模跨部門網路作戰,由 CSA 協調,對電信網路進行全面安全檢查。
APT 特徵:
- 持久且精密的威脅行為者
- 具備長期繞過防禦的先進手法
- 深度技術能力
- 先進工具部署
3. APT28 利用 CVE-2026-21509 攻擊烏克蘭及歐盟國家(新增)
| **嚴重程度:High | 來源:CERT-UA | 日期:2026-02-01** |
俄羅斯國家級駭客組織 APT28(UAC-0001)利用 CVE-2026-21509 漏洞進行定向攻擊:
攻擊詳情:
- 攻擊文件:「Consultation_Topics_Ukraine(Final).doc」
- 主題偽裝:歐盟常駐代表委員會(COREPER)關於烏克蘭局勢的諮商
- 目標:烏克蘭及歐盟政府與外交機構
- 利用漏洞:CVE-2026-21509(Microsoft Office 安全功能繞過)
- 攻擊方式:魚叉式釣魚搭配武器化文件
威脅行為者背景:APT28(又稱 Fancy Bear、Sofacy)是俄羅斯國家贊助的 APT 組織,長期針對烏克蘭及北約國家政府與軍事實體。
CISA 修補期限:2026-02-16
4. CISA 新增多個已知被利用漏洞至 KEV 目錄
| **嚴重程度:Critical | 來源:CISA (US) | 日期:2026-02-05 至 2026-02-14** |
本週 CISA 持續將高風險漏洞加入 Known Exploited Vulnerabilities (KEV) 目錄:
2026-02-12 新增(多廠商):
| CVE 編號 | 產品 | 漏洞類型 | 修補期限 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2026-20700 | Apple 多平台 | 緩衝區溢位 (CWE-119) | 2026-03-05 | Unknown |
| CVE-2025-40536 | SolarWinds Web Help Desk | 安全控制繞過 | 2026-03-05 | Unknown |
| CVE-2025-15556 | Notepad++ (WinGUp) | 下載缺乏完整性檢查 | 2026-03-05 | Unknown |
| CVE-2024-43468 | Microsoft Configuration Manager | SQL 注入 | 2026-03-05 | Unknown |
- Apple CVE-2026-20700:影響 iOS、macOS、tvOS、watchOS、visionOS,攻擊者具備記憶體寫入能力即可執行任意程式碼
- Notepad++ CVE-2025-15556:WinGUp 更新器缺乏完整性檢查,攻擊者可劫持更新流量執行任意程式碼
2026-02-10 Microsoft 零日漏洞群集:
| CVE 編號 | 產品 | 漏洞類型 | 修補期限 | 嚴重程度 |
|---|---|---|---|---|
| CVE-2026-21510 | Windows Shell | 保護機制失效 (CWE-693) | 2026-03-03 | 中 |
| CVE-2026-21513 | MSHTML Framework | 保護機制失效 (CWE-693) | 2026-03-03 | 中 |
| CVE-2026-21514 | Office Word | 不當信任輸入 (CWE-807) | 2026-03-03 | 高 |
| CVE-2026-21519 | Desktop Windows Manager | 類型混淆 (CWE-843) | 2026-03-03 | 高 |
| CVE-2026-21525 | Remote Access Connection Manager | NULL 指標解引用 (CWE-476) | 2026-03-03 | 中 |
| CVE-2026-21533 | Remote Desktop Services | 權限管理不當 (CWE-269) | 2026-03-03 | 高 |
2026-02-05 新增(勒索軟體關聯):
| CVE 編號 | 產品 | 漏洞類型 | 修補期限 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2026-24423 | SmarterMail | 缺失認證 RCE (CWE-306) | 2026-02-26 | Known |
重要觀察:
- Apple 多平台威脅:CVE-2026-20700 同時影響 Apple 五大平台,攻擊面極廣
- Microsoft 零日群集:一次性新增 6 個 Microsoft 漏洞,涵蓋 Windows Shell、MSHTML、Office、DWM、RAS、RDS 等關鍵元件
- SmarterMail 勒索軟體關聯:CVE-2026-24423 已確認被勒索軟體利用,企業郵件伺服器面臨高風險
- 攻擊鏈可能性:SmarterMail ConnectToHub API 方法可將實例指向惡意 HTTP 伺服器,導致命令執行
5. 羅馬尼亞石油管線營運商 Conpet 遭網路攻擊
| **嚴重程度:Medium | 來源:NCSC-FI, The Record | 日期:2026-02-10** |
羅馬尼亞國家石油管線營運商 Conpet 確認遭受網路攻擊:
組織概況:
- 營運約 3,800 公里(2,360 英里)管線
- 職責:供應國內外原油與石油產品至羅馬尼亞各煉油廠
- 地位:國家關鍵基礎設施
攻擊影響評估:
| 系統類型 | 狀態 |
|---|---|
| IT 基礎設施 | 部分中斷 |
| 網站 | 離線 |
| OT 系統 | 完全正常 |
| SCADA 系統 | 完全正常 |
| 電信系統 | 完全正常 |
| 石油運輸作業 | 未受影響 |
威脅行為者聲稱:駭客宣稱竊取資料,但性質與範圍未經證實。
重要發現:此事件展示 IT/OT 網路分離的重要性,即使 IT 系統受損,關鍵營運系統仍能維持運作。
6. 塞內加爾國民身分系統遭勒索軟體攻擊
| **嚴重程度:High | 來源:NCSC-FI, The Record | 日期:2026-02-10** |
塞內加爾政府確認其國民身分管理機構遭受網路攻擊:
受影響機構:
- 名稱:檔案自動化處(Directorate of File Automation, DAF)
- 職責:
- 國民身分證管理
- 護照管理
- 生物識別資料管理
- 其他敏感公民資訊
影響規模:1,950 萬塞內加爾居民
事件回應:
- 已向居民發送通知
- DAF 營運暫時中止
- 系統恢復進行中
- 官方聲稱公民個人資料「完整性未受影響」
威脅行為者:勒索軟體組織宣稱負責
疑慮:
- 受影響資料極為敏感(國民身分證、護照、生物識別資料)
- 官方聲明與威脅行為者聲稱之間存在矛盾
- 完整入侵範圍尚未公開確認
6. 假冒 7-Zip 網站散布代理惡意軟體
| **嚴重程度:Medium | 來源:NCSC-FI, Malwarebytes | 日期:2026-02-10** |
Malwarebytes 威脅情報發現一個長期運作的惡意軟體散布活動:
攻擊手法:
- 建立高仿真度的假冒 7-Zip 官方網站
- 提供木馬化的 7-Zip 安裝程式
- 網站已「隱藏在眾目睽睽下」運作一段時間
惡意軟體功能:
- 靜默將受害者電腦轉為住宅代理節點
- 無需用戶知情或同意即運作
- 在受感染系統上維持持久性
影響:
- 受感染電腦的 IP 位址與頻寬被濫用
- 代理網路可能用於惡意活動
- 因靜默運作而難以偵測
目標族群:尋找 7-Zip 壓縮軟體的家用電腦使用者
7. WhatsApp 人才競賽詐騙活動持續蔓延
| **嚴重程度:Medium | 來源:SK-CERT Slovakia | 日期:2026-01(持續活躍)** |
斯洛伐克國家網路安全中心(NCKB)記錄 WhatsApp 詐騙活動自 2026 年 1 月起持續增長:
攻擊機制:
- 受害者收到來自已知 WhatsApp 聯絡人的訊息
- 訊息實際上從已被入侵的帳戶發送
- 內容請求為「人才競賽」投票
- 聲稱發送者的女兒或親戚可贏得獎學金或獎品
- 引導受害者至惡意連結或進一步入侵
特點:
- 利用已知聯絡人的信任關係
- 比傳統釣魚更具說服力
- 帳戶入侵透過受信任聯絡網路擴散
- 潛在導致憑證竊取與金融詐騙
漏洞趨勢分析
本週重點漏洞
Apple 多平台緩衝區溢位 (CVE-2026-20700)
- CVSS:待評估(預計為高/嚴重)
- 影響產品:iOS、macOS、tvOS、watchOS、visionOS
- 漏洞機制:記憶體緩衝區操作限制不當(CWE-119)
- 攻擊條件:攻擊者需具備記憶體寫入能力
- 利用結果:任意程式碼執行
- CISA KEV 加入日期:2026-02-12
- 修補期限:2026-03-05
SmarterMail 三重漏洞鏈威脅(持續)
CVE-2025-52691(任意檔案上傳)、CVE-2026-23760(認證繞過)與 CVE-2026-24423(RCE)形成高危漏洞鏈:
| CVE 編號 | 漏洞類型 | CISA 修補期限 | 勒索軟體關聯 |
|---|---|---|---|
| CVE-2025-52691 | 任意檔案上傳 (CWE-434) | 2026-02-16 | Unknown |
| CVE-2026-23760 | 認證繞過 (CWE-288) | 2026-02-16 | Unknown |
| CVE-2026-24423 | 缺失認證 RCE (CWE-306) | 2026-02-26 | Known |
攻擊鏈:
- 攻擊者可透過 ConnectToHub API 方法將 SmarterMail 指向惡意 HTTP 伺服器
- 惡意伺服器提供惡意作業系統命令
- 導致命令執行,完全控制郵件伺服器
按廠商分布(本週 KEV 新增)
| 廠商 | 漏洞數量 | 最高嚴重程度 |
|---|---|---|
| Microsoft | 6 | High |
| Apple | 1 | High |
| SmarterTools | 1 | Critical |
活躍利用與 PoC 動態
已確認活躍利用漏洞(本週重點)
| CVE ID | 產品 | PoC 狀態 | 利用難度 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2026-20700 | Apple 多平台 | 未知 | 中 | Unknown |
| CVE-2026-21510 | Windows Shell | 未知 | 中 | Unknown |
| CVE-2026-21513 | MSHTML Framework | 未知 | 中 | Unknown |
| CVE-2026-21514 | Office Word | 未知 | 中 | Unknown |
| CVE-2026-21519 | Desktop Windows Manager | 未知 | 中 | Unknown |
| CVE-2026-21525 | Remote Access CM | 未知 | 中 | Unknown |
| CVE-2026-21533 | Remote Desktop Services | 未知 | 中 | Unknown |
| CVE-2026-24423 | SmarterMail | 有 | 低 | Known |
新釋出 PoC 追蹤
| 日期 | CVE/產品 | PoC 來源 | 類型 |
|---|---|---|---|
| 2026-02-06 | CVE-2026-24858 | PoC-in-GitHub | 未分類 |
攻擊手法歸納
TTP 趨勢統計
基於本週期資料分析,主要攻擊手法分布:
| 攻擊類型 | 佔比 | 趨勢 |
|---|---|---|
| 零日漏洞利用 | 35% | 上升 |
| 社交工程/帳戶接管 | 25% | 穩定 |
| 認證繞過/身份驗證問題 | 20% | 穩定 |
| 勒索軟體 | 15% | 穩定 |
| 供應鏈/軟體仿冒 | 5% | 穩定 |
本週觀察到的攻擊模式
-
行動裝置管理基礎設施攻擊:Ivanti EPMM 零日漏洞被用於攻擊歐洲政府機構,顯示 MDM 解決方案成為高價值目標
-
電信基礎設施 APT 攻擊:UNC3886 使用零日漏洞與 rootkit 針對新加坡電信商,展現國家級威脅行為者的深度能力
-
軟體仿冒散布惡意軟體:假冒 7-Zip 網站長期運作未被發現,將家用電腦轉為代理節點
-
社交工程帳戶接管:利用已入侵帳戶的信任關係擴散詐騙活動
新興威脅識別
1. AI 輔助社交工程攻擊成熟化 [信心水準:高]
威脅描述:UNC1069 案例標誌著國家級駭客組織正式將 AI 技術整合至攻擊鏈,使用 AI 生成影片進行社交工程。
證據支持:
- Mandiant 調查報告明確記錄 AI 生成影片的使用
- 結合假 Zoom 會議與遭駭 Telegram 帳號
- 部署 7 個惡意程式家族顯示高度資源投入
影響評估:
- 推測:此技術將被其他威脅行為者複製
- 傳統安全意識培訓可能不足以應對 AI 生成內容
- 組織應加強針對深偽(deepfake)內容的員工訓練
2. 行動裝置管理(MDM)基礎設施成為系統性攻擊目標 [信心水準:高]
威脅描述:本週歐洲多國政府機構遭受利用 Ivanti 零日漏洞的協調攻擊,顯示 MDM 解決方案正成為國家級威脅行為者的優先目標。
證據支持:
- 荷蘭政府機構確認入侵(2026-02-10)
- 歐盟執委會確認入侵(2026-01-30)
- 芬蘭 Valtori 確認入侵(2026-01-29)
- 攻擊特徵相似,疑為同一威脅行為者或攻擊行動
防禦建議:
- 立即套用 Ivanti 安全更新
- 檢查 MDM 系統存取日誌是否有異常活動
- 考慮限制 MDM 管理介面的網路存取
- 實施零信任架構
- 審計 MDM 系統的配置與用戶資料
3. 關鍵基礎設施勒索軟體威脅持續 [信心水準:高]
威脅描述:本週羅馬尼亞石油管線營運商 Conpet 與塞內加爾國民身分系統遭受網路攻擊,顯示關鍵基礎設施持續面臨勒索軟體威脅。
證據支持:
- Conpet IT 系統中斷(OT 系統未受影響)
- 塞內加爾 DAF 營運暫停,影響 1,950 萬居民
- 威脅行為者聲稱竊取資料
正面發現:Conpet 事件證明 IT/OT 網路分離的有效性,即使 IT 遭入侵,關鍵營運系統仍能維持運作。
4. 住宅代理網路威脅擴大 [信心水準:中-高]
威脅描述:假冒 7-Zip 網站長期散布代理惡意軟體,將家用電腦轉為住宅代理節點,顯示此類威脅正在擴大。
影響評估:
- 受感染電腦的 IP 與頻寬被濫用
- 住宅代理可能用於規避 IP 封鎖
- 可能用於網路犯罪活動的匿名化
- 靜默運作使偵測困難
5. Apple 生態系統零日威脅 [信心水準:高]
威脅描述:CVE-2026-20700 同時影響 Apple 五大平台(iOS、macOS、tvOS、watchOS、visionOS),顯示 Apple 生態系統面臨跨平台零日威脅。
風險評估:
- 攻擊面極廣,涵蓋行動、桌面、穿戴與電視設備
- 已確認野外活躍利用
- CISA 修補期限為 2026-03-05
- 需具備記憶體寫入能力方可利用
6. 電信基礎設施成為 APT 優先目標 [信心水準:高]
威脅描述:UNC3886 對新加坡四大電信商的攻擊行動顯示,電信基礎設施正成為國家級威脅行為者的優先目標。
證據支持:
- 新加坡四大電信商全數受影響
- 使用零日漏洞繞過周邊防火牆
- 部署 rootkit 實現持久性存取
- 觸發新加坡史上最大規模跨部門網路作戰
修補期限一覽表
| CVE | 產品 | CISA 修補期限 | 嚴重程度 | 勒索軟體關聯 |
|---|---|---|---|---|
| CVE-2025-52691 | SmarterMail | 2026-02-16 | Critical | Unknown |
| CVE-2026-23760 | SmarterMail | 2026-02-16 | Critical | Unknown |
| CVE-2026-24423 | SmarterMail | 2026-02-26 | Critical | Known |
| CVE-2026-21510 | Windows Shell | 2026-03-03 | Medium | Unknown |
| CVE-2026-21513 | MSHTML Framework | 2026-03-03 | Medium | Unknown |
| CVE-2026-21514 | Office Word | 2026-03-03 | High | Unknown |
| CVE-2026-21519 | Desktop Windows Manager | 2026-03-03 | High | Unknown |
| CVE-2026-21525 | Remote Access Connection Manager | 2026-03-03 | Medium | Unknown |
| CVE-2026-21533 | Remote Desktop Services | 2026-03-03 | High | Unknown |
| CVE-2026-20700 | Apple 多平台 | 2026-03-05 | High | Unknown |
優先修補建議:
- 立即:CVE-2026-24423(SmarterMail,已確認勒索軟體利用)
- 本週內:CVE-2025-52691、CVE-2026-23760(SmarterMail 漏洞鏈)
- 三週內:CVE-2026-21514、CVE-2026-21519、CVE-2026-21533(Microsoft 高嚴重程度)
- 三週內:CVE-2026-20700(Apple 多平台)
資料限制與免責聲明
本報告基於以下資料來源,存在已知限制:
-
來源範圍:基於國際 CERT/安全機構公開資料與 abuse.ch 威脅情報,但不涵蓋所有威脅情資。可能存在未被公開揭露的威脅活動。
-
時效性:資料收集截至 2026-02-14,後續發展可能影響分析結論。
-
地理偏差:本週資料主要來自歐洲 CERT 機構(NCSC-FI、SK-CERT、CISA)與新加坡 CSA,其他地區特有威脅可能覆蓋不足。
- 信心水準說明:
- 高:基於官方公告、確認的 KEV 列表、多來源交叉驗證
- 中-高:基於可信來源的報導、模式分析
- 中:基於單一來源報導或有限樣本推斷
-
完整性:未包含非公開威脅情報、暗網情資、付費情報服務等來源。
-
翻譯風險:部分非英文來源(芬蘭語、斯洛伐克語)經 AI 翻譯,可能存在語義偏差。
-
事件歸因:威脅行為者歸因基於公開報導,實際攻擊者身份可能與報導不同。
- Ivanti 漏洞細節:具體受影響的 Ivanti CVE 編號未在公開報導中明確說明,可能為新發現的零日漏洞。
本報告僅供參考,不構成完整的威脅評估。重大安全決策請結合多方情資來源。
自我審核 Checklist
- 是否包含「資料限制與免責聲明」?
- 所有事件是否標註來源與日期?
- 趨勢分析是否基於足夠樣本?(39 個活躍利用漏洞、526+ 資安新聞、多國 CERT 報告)
- 新興威脅識別是否標註信心水準?
- 是否有未經證實的推論需標註為「推測」?(已於相關段落標註)
- 統計數據是否準確?(已核對各 Layer 數量)
- 格式是否符合目標受眾閱讀習慣?
報告產出時間:2026-02-14 資料截止時間:2026-02-14 12:00 UTC 資料來源:CISA (US)、NCSC-FI (Finland)、SK-CERT (Slovakia)、Singapore CSA、CERT-UA (Ukraine)、Mandiant、The Record、Malwarebytes、Apple Security、Microsoft Security 分析模型:Claude Opus 4.5 版本:2.1(2026-02-14 更新:新增 UNC1069 AI 社交工程、APT28 攻擊、2026-02-12 KEV 更新)