資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
事件通報：
        近一週公務機關資安事件通報之類型與數量，同時包含民營機構依規定揭露重大資通安全訊息

防範偽冒軟體風險 應以必要性與可信來源為原則 強化軟體安裝安全
        本週總計接獲10件公務機關與特定非公務機關事件通報，公務機關非法入侵事件中以異常連線占多數。近期觀察到偽冒軟體散布手法出現變化，除過往以偽冒通訊軟體為主外，攻擊者開始利用遊戲平台及官方模擬器名義散播惡意程式。攻擊者透過仿冒下載網站或偽裝合法安裝程式，誘使使用者下載執行，進而於端點設備植入惡意程式，並建立後續之遠端控制通道。
        鑑於攻擊者偽冒軟體手法持續演變，端點防護除惡意程式偵測外，亦應涵蓋軟體下載與安裝行為控管；技術面建議限制來源不明程式執行並強化新安裝程式與異常連線監控，管理面上，應明確規範公務設備僅限安裝業務必要軟體，避免於公務設備安裝非業務用途之應用程式，以降低惡意程式透過偽冒軟體進入機關環境之風險。

防護建議：
除修補漏洞外，應：
以攻擊為出發評估潛在風險
‧留意偽冒官方軟體名義誘導下載與安裝之資安風險
‧警覺惡意程式植入後建立遠端控制通道之威脅
針對潛在風險執行相應改善
‧建立來源驗證機制限制未知程式執行
‧強化新安裝軟體與異常行為監控機制
‧落實端點對外異常連線即時告警機制
‧建立公務設備軟體安裝白名單制度

聯防監控：
        近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為，提醒公務機關留意攻擊趨勢變化，是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
攻擊手法轉向深層滲透! 橫向擴散與C2通訊活動雙雙攀升
本週資安聯防監控顯示，整體攻擊態勢呈現多元化發展趨勢。與上週相比，「偵測刺探」階段從17.2%下降至14.7%，「攻擊整備」也從13.8%降至11.1%，顯示攻擊者在初期探測階段的活動有所減緩。然而值得關注的是，「防禦迴避」仍維持最高佔比達16.2%，攻擊者持續運用關閉或清除指令紀錄、利用合法工具執行惡意命令等技術來規避偵測。其次為「偵測刺探」與「初始入侵」，後者從9.5%上升至11.3%，顯示攻擊者正積極嘗試突破防線。此外，「惡意執行」佔比11.4%位居第三，反映出成功入侵後的惡意程式執行活動頻繁。
特別需要留意的是「橫向擴散」從1.47%增加至2.44%，以及「C2通訊」從1.4%上升至2.6%，這些數據顯示部分攻擊已從初期偵測階段進入更具破壞性的內網滲透與遠端控制階段。整體而言，雖然初期探測活動減少，但攻擊者正朝向更深層的網路滲透發展，組織應提高警覺並強化縱深防禦機制。

防護建議：
建議機關採取下列防護措施：

強化偵測刺探防護
‧導入端點偵測與回應(EDR)解決方案，即時監控異常行為模式
‧強化指令紀錄稽核機制，確保所有系統操作留有完整記錄
‧限制高風險工具的使用權限，防止合法工具遭濫用執行惡意命令
‧落實特權帳號管理，定期審查並限縮管理權限範圍

加強初始入侵防護
‧定期更新系統與應用程式修補程式，減少可利用的漏洞
‧實施多因素驗證機制，提高帳號安全性
‧強化電子郵件安全閘道，過濾釣魚郵件與惡意附件

監控橫向擴散與C2通訊
‧部署網路流量分析工具，偵測異常的內網通訊行為
‧實施網路區隔，限制不同網段間的橫向移動
‧建立威脅情資整合機制，即時阻擋已知的C2伺服器連線

近期重大弱點提醒
近⼀週資安院研究⼈員發現以下重⼤弱點資訊，建議組織內部進⾏檢查與修補：
Google Chrome、Microsoft Edge、Vivaldi、Brave及Opera等以Chromium為基礎之瀏覽器存在高風險安全漏洞(CVE-2026-2441)，類型為使用釋放後記憶體(Use After Free)，未經身分鑑別之遠端攻擊者可利用特製HTML頁面觸發記憶體錯誤，進而於瀏覽器沙箱環境執行任意程式碼。

Cisco Catalyst SD-WAN存在高風險安全漏洞(CVE-2026-20127與CVE-2026-20129)，類型為身分鑑別繞過(Authentication Bypass)，前者因對等連線(peering)驗證機制運作異常，導致未經身分鑑別之遠端攻擊者可透過發送特製請求，取得高權限帳號；後者因API使用者驗證機制不當，致使未經身分鑑別之遠端攻擊者可透過發送特製請求，以netadmin角色權限執行任意程式碼。

Microsoft Windows與Office存在5個高風險安全漏洞，類型包含安全功能繞過(Security Feature Bypass)漏洞(CVE-2026-21510、CVE-2026-21513及CVE-2026-21514)與本機提權(Local Privilege Escalation)漏洞(CVE-2026-21519與CVE-2026-21533)，前者可使未經身分鑑別之攻擊者於使用者互動情境下繞過系統安全機制；後者可使已通過身分鑑別之攻擊者在既有權限基礎上提升權限。

資料來源：國家資通安全研究院資安週報重點節錄