台灣資安新聞彙整 2022.10.24 - 10.30

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

10/24

Google 開源可供企業評估軟體安全性的工具 GUAC

GUAC 主要由 4 部分組成，分別是收集、擷取、定序與查詢。GUAC 可以連接自各種軟體安全後設資料來源，收集包括公開資料 OSV，或是來自企業內部的儲存庫，或是來自資料供應商的第三方資料，並根據構件、專案、資源、漏洞、儲存庫和開發人員資料，擷取相關的資料。

https://www.ithome.com.tw/news/153793

VMware Workspace ONE Access 重大漏洞遭濫用植入多種惡意程式

VMware Workspace One Access 原名 Identity Manager，今年4月 VMware 公布並修補了編號 CVE-2022-22954 的漏洞，可被攻擊者透過傳送帶有惡意指令的訊息，發動指令注入攻擊，為一項風險值 9.8 的重大漏洞。

https://www.ithome.com.tw/news/153782

10/26

線上遊戲「原神」開發商發生大規模資料外洩

知名線上遊戲「原神」的開發商，米哈遊網絡發生了大規模的資料外洩，洩漏內容包含遊戲與員工資料，而開發商目前已經對網路上任何包含外洩資訊的貼文進行版權警告。

https://sirusgaming.com/genshin-impact-devs-massive-data-breach/

10/27

LinkedIn 推出新安全功能來減少假帳號

為了避免該平臺遭到有心人士的濫用，LinkedIn 本周發表了新的安全機制，以協助辨識 LinkedIn 上的假帳號，包括新推出的「關於此一個人檔案」（About this profile）、AI 大頭照的偵測技術，以及在使用者收到可疑訊息時提出警告。

https://www.ithome.com.tw/news/153853

10/28

Google Play 商店中發現針對銀行和加密貨幣錢包的惡意病毒植入程式（Dropper）

Google Play 商店上被發現有累積安裝次數超過 13 萬次、惡意的 Android 病毒植入程式，散佈 SharkBot 和 Vultur 等銀行木馬，能夠竊取金融資訊並在裝置上進行詐欺。這些病毒植入程式的目標包含 231 款多國（美國、義大利、英國、德國、法國、西班牙、波蘭、奧地利、荷蘭、澳洲等）的金融機構所提供的銀行與加密貨幣錢包的應用程式。

https://thehackernews.com/2022/10/these-dropper-apps-on-play-store.html

Google 針對零日漏洞緊急發布 Chrome 更新

Google 釋出緊急修復版本，以控制 Chrome 瀏覽器中一個被積極利用的零日漏洞。該漏洞被標記為 CVE-2022-3723，是 V8 JavaScript 引擎中屬於類型混淆（type confusion）的安全漏洞。

https://thehackernews.com/2022/10/google-issues-urgent-chrome-update-to.html

多家市場研究公司指出，未來十年工業資安防護市場將大幅成長

綜合各家研究報告，目前製造業與工業資安防護市場的總產值，約為 160 億到 200 億美元之間；據較保守的估計指出，2027 年時該市場總產值將成長到 201 美元，2030 年成長到 237 億美元。

https://www.twcert.org.tw/tw/cp-104-6659-2fa2c-1.html

10/29

Twilio 揭露八月遭駭前的另一起攻擊

Twilio 披露其公司在六月時經歷了另一次攻擊，導致顧客資料有未經授權的存取，而且與八月遭駭事件幕後是同一威脅行為者。Twilio 解釋，有一名員工遭到社交工程攻擊，經由語音釣魚提供了憑證，因此惡意行為者才能夠存取到顧客的聯絡資訊。

https://thehackernews.com/2022/10/twilio-reveals-another-breach-from-same.html