台灣資安新聞彙整 2023.04.10 - 04.16

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

4/10

超過 100 萬個 WordPress 網站受到惡意軟體感染

名為 Balada Injector 的大規模惡意軟體活動利用所有已知和最近發現的主題和插件漏洞感染了超過一百萬個 WordPress 網站。該惡意軟體最終允許生成假的 WordPress 管理員用戶，透過收集、儲存在底層主機中的數據為永久存取網站留下後門。

https://thehackernews.com/2023/04/over-1-million-wordpress-sites-infected.html

4/11

超過 40% 的 IT 安全專家被告知不要揭露資料外洩

根據 Bitdefender 的 2023 年網路安全評估報告指出，超過 40% 的受訪 IT 安全專業人員表示他們被告知要對網路漏洞保密，儘管法律和道德規範要求揭露這些訊息。根據美國、歐盟和英國的大公司回應，有一半的組織曾於過去一年中經歷資料外洩。

https://www.theregister.com/2023/04/11/in_brief_security/

4/12

勒索軟體攻擊導致肯德基、必勝客母公司用戶資料外洩

肯德基、必勝客（Pizza Hut）及 Taco Bell 母公司百勝餐飲集團（Yum Brands）本周指出，今年初的勒索軟體攻擊中，旗下近 300 家餐廳暫停營業一天，該公司事後調查發現用戶資料也因此外洩。

https://www.ithome.com.tw/news/156370

公民實驗室與微軟揭露另一家以色列駭客公司 QuaDream

QuaDream 銷售名為 Reign 的平臺給予全球政府組織，該平臺供應了各種攻擊程式、惡意程式，以及用來向各種行動裝置汲取資料的基礎設施，其中之一即為 iOS 惡意程式KingsPawn。KingsPawn 可用來竊取裝置資訊、搜尋及取得裝置檔案、於背景中使用裝置攝影機、取得裝置位置、存取 iOS 鑰匙圈，甚至是產生 iCloud 的一次性密碼。

https://www.ithome.com.tw/news/156371

4/13

LinkedIn 發表免費身分驗證服務

專業人才社交平臺 LinkedIn 周三（4/12）發表多項身分驗證服務，包括可藉由電子郵件來驗證會員目前所任職的公司，與 CLEAR 合作來驗證美國會員的身分，以及利用微軟的 Microsoft Entra 來發布數位工作場所身分驗證，以上驗證服務都是免費的。

https://www.ithome.com.tw/news/156390

隨著納稅日來臨，微軟警告網路釣魚攻擊將以會計師為攻擊目標

微軟警告指出，針對會計師事務所和稅務編制者的網路釣魚活動具有遠端存取惡意軟體，允許對公司網路進行初始存取。隨著美國一年一度的報稅季即將結束，會計師們正爭先恐後地收集客戶的稅務文件以完成並提交他們的納稅申報表，而威脅行為者則希望他們在慌亂中誤開惡意文件。

https://www.bleepingcomputer.com/news/security/microsoft-phishing-attack-targets-accountants-as-tax-day-approaches/

4/14

美國調查指出，近半員工會用舊密碼存取前公司系統服務

美國資安公司 Password Manager 於 2023 年 3 月針對 1,000 名擁有前一份工作使用之登入資訊的美國地區的工作者進行問卷調查，了解員工在離職後繼續使用前公司各項網路服務。報告指出近半數員工在離開原任職公司後，仍會以先前持有的登入資訊存取原任職公司的各種帳號。

https://www.twcert.org.tw/tw/cp-104-7044-0ee33-1.html