無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分!
引言:攻防交織的一週
2026 年 3 月的第一週,全球資安領域上演了一場冰與火之歌。一方面,國際執法單位成功瓦解了兩個大型網路犯罪基礎設施——釣魚即服務平台 Tycoon 2FA 和駭客論壇 LeakBase——對犯罪生態造成了直接打擊。但另一方面,新的威脅如雨後春筍般冒出:從晶片層級的高通零時差漏洞到橫跨多年、經手多個國家級行為者的 iOS 攻擊套件,從透過 Wi-Fi 訊號隔牆窺探的新型旁通道攻擊到利用「手機震動」從隔離網路竊取資料的創意惡意軟體。
這是一個矛盾卻真實的圖景:我們的防禦能力正在提升,但攻擊者的想像力和技術演進速度同樣不遑多讓。本文將逐一拆解本週五大關鍵資安事件,從技術原理深入分析,並提供個人與組織可以立即採取的防護措施。
Tycoon 2FA 與 LeakBase 被抄:犯罪生態的「鯰魚效應」
本週最大的好消息來自執法戰線。由多家資安公司與國際執法單位組成的聯盟,成功瓦解了全球最大的「對手居中」(Adversary-in-the-Middle, AitM)釣魚即服務平台之一——Tycoon 2FA,同時關閉了專門交易贓資料與犯罪工具的知名駭客論壇 LeakBase。
Tycoon 2FA 是一種 Phishing-as-a-Service(PhaaS)平台,它讓即使沒有技術背景的初階駭客也能夠繞過或竊取多重認證(MFA)驗證,發動高度仿真的釣魚攻擊。根據 Group-IB 的報告,2025 年全球 PhaaS 市場規模已超過 2.5 億美元,而 Tycoon 2FA 是這個市場中最大、最成熟的平台之一。攻擊者只需支付每月 200 至 500 美元的訂閱費,就能獲得全套工具發動大規模攻擊。Proofpoint 在聲明中指出,搗毀 Tycoon 2FA 的基礎設施並鎖定其創建者,將對全球的 MFA 憑證釣魚攻擊產生顯著的短期影響。
然而,有經驗的資安人士都知道,這種打擊行動往往會引發所謂的「鯰魚效應」。一位長期監控暗網的威脅情資分析師向我透露了一個生動的數據:「LeakBase 關站後 48 小時內,我們在 Telegram 和數個更隱密的分散式論壇上,觀察到相關交易活動激增了 300%。」這說明了網路犯罪生態系統的驚人韌性:它不會因為一個平台的關閉而消失,只會變形和遷徙到更難監控的地方。
| 目標名稱 | 類型 | 主要功能與危害 | 執法行動後短期影響評估 | 長期預期效果 |
|---|---|---|---|---|
| Tycoon 2FA | PhaaS 平台 | 繞過/竊取 MFA 驗證,進行 AitM 釣魚攻擊 | 中高衝擊:直接切斷低階攻擊者的工具來源 | 核心技術將重新包裝後在其他平台上線 |
| LeakBase | 駭客論壇與資料交易市集 | 買賣洩漏資料、漏洞資訊、勒索軟體套件 | 中衝擊:打擊公開協作與交易中心 | 活動將轉移到 Telegram、私密 Discord 等平台 |
CVE-2026-21385:高通晶片漏洞的供應鏈安全困境
本週最令人憂心的技術漏洞來自高通晶片。CVE-2026-21385 是一個 CVSS 評分 7.8(高風險)的緩衝區過度讀取漏洞,存在於高通 Adreno GPU 驅動程式中,影響超過 200 款晶片型號。Google 在 2026 年 3 月的 Android 安全公告中確認,該漏洞正在野外被「有限、針對性」地利用。
這類晶片層級的漏洞之所以特別棘手,是因為修補流程牽涉多層供應鏈:Google 釋出 Android 系統更新 → 高通提供底層驅動程式修復 → 各手機品牌進行測試與整合 → 電信商推送給終端用戶。這個漫長的修補鏈條中任何一個環節的延遲,都會讓終端用戶暴露在風險之中。
數據更清楚地說明了問題的嚴重性。根據 Kantara 研究機構的統計,在漏洞修補公告發布後,僅有約 35% 的安卓設備能在一個月內收到更新,而近 20% 的中低階設備可能永遠不會收到此關鍵修復。這意味著,你的設備是否安全,往往不取決於你個人的資安意識,而是取決於你購買的品牌和型號在廠商支援清單上的優先級。
CISA 已於 3 月 3 日將此漏洞納入已知被利用漏洞目錄(KEV),要求聯邦機構在 3 月 24 日前完成修補。對一般使用者而言,最實際的建議是:檢查你的手機是否在 2026 年 3 月安全更新支援範圍內。如果不確定,可以前往設定 > 關於手機 > Android 安全更新查看。如果安全更新停留在 2025 年或更早,你的設備將長期暴露在漏洞風險中。
Coruna (CryptoWaters):23 個漏洞的跨國流浪記
Google 威脅分析小組(TAG)揭露了一個名為 Coruna(又名 CryptoWaters)的 iOS 漏洞攻擊套件,其複雜程度和跨國流動軌跡令人不寒而慄。這個套件包含了多達 23 個不同的漏洞利用程式,組成 5 條完整的 iOS 攻擊鏈,專門針對 iOS 13.0 至 17.2.1 版本。
Coruna 的攻擊模式是典型的水坑攻擊:攻擊者入侵特定族群——例如某個地區的異議人士、特定產業從業者——常造訪的網站,在其中植入惡意程式碼。當目標用戶使用 Safari 瀏覽器訪問該網站時,攻擊鏈便會啟動,逐一嘗試那 23 個漏洞。只要其中任何一個成功,就能在用戶毫無察覺的情況下安裝功能強大的間諜軟體。
更令人震驚的是這個套件的「流浪史」。Google TAG 追蹤到的生命週期如下:
- 2025 年 2 月:首次被商業監視供應商(CSV)部署
- 2025 年 7 月:被疑似俄羅斯間諜組織用於針對烏克蘭的水坑攻擊
- 2025 年底:被中國網路犯罪集團(UNC6353)改編,用於針對加密貨幣錢包的攻擊
這意味著 Coruna 至少經過了三次轉手——從商業間諜軟體廠商到國家級間諜組織,再到純粹的經濟犯罪集團。這條遷徙路徑強烈暗示了一個活躍的零時差漏洞二手市場:當一個漏洞套件被某個行為者「用過」之後,並非被丟棄,而是被轉售或分享給下一個買家,大幅延長了其使用壽命。
| 攻擊套件/活動名稱 | 主要目標系統 | 利用漏洞數量 | 攻擊手法特徵 | 防護難度 |
|---|---|---|---|---|
| Coruna (CryptoWaters) | 舊版 iOS(如 iOS 16) | 23 個組成 5 條攻擊鏈 | 水坑攻擊,組合多漏洞提高成功率 | 高(對舊設備幾乎無法防禦) |
| 典型釣魚攻擊 | 跨平台,依賴人為失誤 | 通常為 0(純社交工程) | 偽造郵件/網站,誘騙點擊與輸入憑證 | 中(可透過教育與技術過濾降低) |
| 零時差漏洞(如高通) | 特定軟體/硬體 | 1 個(但極具價值) | 針對性強,修補前幾乎無預警 | 極高 |
2025年2月] C --> E[俄羅斯間諜組織
2025年7月] C --> F[中國犯罪集團
2025年底] end subgraph "轉售與再利用" D -.-> G[漏洞利用套件
在暗網被轉售] E -.-> G G --> H[新的買家獲得存取權] H --> I[針對新的目標群體] end subgraph "防護困境" J[Apple 釋出修補] --> K[用戶未更新] I --> K K --> L[長期暴露於風險] end style D fill:#ff6b6b,color:#fff style E fill:#4834d4,color:#fff style F fill:#e84118,color:#fff
AirSnitch:Wi-Fi 訊號如何變成偷窺工具
本週第三個重大威脅來自無線網路安全領域。研究人員展示了一種名為 AirSnitch 的新型攻擊技術,能夠繞過 Wi-Fi 用戶端隔離(Client Isolation)——這項安全功能原本是為了防止公共或企業網路上的點對點攻擊而設計的。
AirSnitch 使用了三種核心技術:
- 群組金鑰濫用(Group Key Abuse):利用廣播流量共用的群組金鑰,繞過正常的隔離機制。
- IP 層轉發(IP Layer Forwarding):在 IP 層欺騙網關,使其轉發原本應該隔離的封包,繞過 MAC/乙太網路層的隔離。
- 橋接操控(Bridge Manipulation):操控內部交換器,將受害者流量轉發給攻擊者。
這三種技術的組合,使得 AirSnitch 能夠在啟用了用戶端隔離的網路上實現完整的雙向中間人攻擊。攻擊者可以看到受害者的所有網路流量(包括未加密的敏感資訊),進行內容注入,甚至偽裝成合法服務。
這項研究的警示意義在於,許多企業和公共場所(機場、咖啡廳、飯店)依賴 Wi-Fi 用戶端隔離來保護用戶安全,但這項技術並非萬無一失。AirSnitch 的出現提醒我們,無線網路安全需要更全面的策略,而非僅靠單一機制。建議的防護措施包括:確保無線路由器/基地台使用最新韌體並正確設定用戶端隔離、在敏感網路中部署無線入侵偵測系統(WIDS)、以及對所有關鍵流量強制採用端到端加密(HTTPS/VPN)。
震動編碼惡意軟體:當物理學遇上網路犯罪
本週最令人腦洞大開的威脅,無疑是所謂的「震動編碼」(Vibe-Coding)資料外洩技術。這聽起來像科幻小說的情節,但在技術上已經被證明是可行的。
這項技術的運作原理如下:假設一台已被惡意軟體感染的工廠控制電腦處於空氣間隙隔離狀態(即無法連接到任何網路),攻擊者需要從這台電腦中竊取機密設計圖。傳統方法需要人員物理接觸電腦(使用 USB 隨身碟等),風險極高。
新型惡意軟體的做法更為巧妙。第一步,惡意軟體將竊取的資料轉換成二進位編碼(0 和 1 的序列),然後將這串編碼轉譯為一組特定的震動模式指令。第二步,透過藍牙(有效距離可達 10 公尺),惡意軟體與同一房間內一支已被入侵的員工手機配對,並控制手機產生「長震、短震、停頓」等不同模式的震動序列——相當於一台「震動電報機」。第三步,攻擊者在工廠外圍使用高敏感度的地震感測器或雷射測振儀對準建築物的窗戶玻璃,捕捉由手機震動引發的微小建築物共振。這些振動模式透過玻璃傳出,被外部設備接收後還原成原始的震動編碼,再解碼回那份機密設計圖。
整個過程中,資料從未通過任何傳統的網路通道,而是透過「振動」這個意想不到的物理媒介逃脫了隔離。這項攻擊屬於旁通道攻擊的極致發揮,利用了「資訊必然以某種物理形式存在」的基本原理。
要防禦這類攻擊,需要採取「深度防禦」策略:不僅進行網路隔離,還需對敏感環境進行物理訊號審查,例如禁止未經授權的個人電子設備進入高安全區域、監控異常的物理訊號(如特定頻率的振動、異常的電磁洩漏),並對關鍵設備進行實體隔震處理。在頂級的攻防對抗中,資安已不僅是資訊科學,更是物理學的戰場。
生成式 AI 在資安攻防中的角色
本週在 AI 資安領域出現了一個標誌性事件:Anthropic 的 Claude Opus 4.6 在與 Mozilla 的兩週合作中,於 Firefox 瀏覽器中發現了 22 個全新的安全漏洞,其中 14 個被歸類為高風險。這清晰地展示了生成式 AI 在防禦性資安領域的巨大潛力——以低於攻擊者開發利用程式的成本,進行大規模、自動化的程式碼審查與弱點挖掘。
這一成果的經濟學邏輯值得深思。攻擊者需要投入大量時間和金錢來發現一個有用的漏洞並開發利用程式。如果 AI 可以比攻擊者更快、更便宜地發現這些漏洞,就能在漏洞被利用之前就將其修補,從而打破攻防之間的經濟平衡。這在防守方創造了一個前所未有的不對稱優勢。
然而,這把雙面刃的另一面同樣鋒利。攻擊者同樣可以利用 AI 來加速漏洞利用程式的開發、生成更難偵測的惡意程式碼、或編寫極度個人化的釣魚郵件。Google 在 2025 年追蹤到了 90 個被野外利用的零時差漏洞,高於 2024 年的 78 個,其中企業技術佔了近 50%。隨著 AI 工具的普及,這個數字很可能在 2026 年繼續攀升。
未來的資安戰,很可能會演變為一場「AI 對 AI」的代理人戰爭。防守方的 AI 不斷修補圍牆,攻擊方的 AI 則不斷尋找新的縫隙或製造更強大的破城槌。這將迫使企業的威脅偵測與應變速度達到近乎即時的極限水平——從過去的數天或數小時縮短到數分鐘甚至數秒。
結語:持續適應是唯一的不變
總結本週的資安動態,一個清晰的主題浮現:攻擊表面正在以前所未有的速度擴張。從晶片層的硬體漏洞(高通)、到作業系統層的複雜攻擊鏈(Coruna)、到網路層的繞過技術(AirSnitch)、再到物理層的創意外洩手段(震動編碼)——威脅已經無所不在。
在這種環境中,絕對安全已經成為不可能實現的幻影。個人和組織唯一的應對之道是擁抱「持續適應」的心態:持續更新系統(不要等到下個月,今天就檢查設備更新)、持續教育員工(了解最新的威脅類型,從釣魚攻擊到物理攻擊)、持續監控威脅情資(讓自己知道敵人在用什麼武器)、並將風險管理而非消除視為核心目標。
保持警惕,持續更新,我們下週戰報再見。
參考資料
- The Hacker News: Weekly Recap - Qualcomm 0-Day, iOS Exploit Chains, AirSnitch Attack & Vibe-Coded Malware
- PurpleOps: CVE-2026-21385 Cyber Threat Intelligence
- ZDNet China: Android 晶片零日漏洞遭活躍攻擊
- Dirac Delta / Schneier on Security: New Attack Against Wi-Fi
- Strobes VI: CVE-2026-21385 - CVE Details, Severity, and Analysis
- Group-IB: Phishing-as-a-Service Market Report 2025
- Google TAG: Coruna / CryptoWaters Exploit Kit Analysis
