In this post, we ask a fundamental question: How vulnerable is Apple's on-device foundation language model? With the rollout of iOS 18, iPadOS 18, and macOS Sequoia, Apple's foundation model now runs by default on millions of devices, powering Apple Intelligence across platforms. Its security is paramount.

本文將深入剖析我們團隊近期應對的一起針對雲地混合基礎架構的信用卡資料外洩事件，還原攻擊路徑，並解析攻擊者所使用的惡意程式以及攻擊手法。

本篇文章從情資來源的定義開始，一步步帶領聽眾梳理情資來源和網路威脅情報 (Cyber Threat Intelligence，CTI) 的關聯、理解好的情資來源如何幫助企業與社群偵測並防禦威脅，以及不好的情資來源如何反咬企業與社群長久以來建立的信任基礎。

TrustedSec 的研究人員 Justin Bollinger 發現了針對 AD CS 中 Extended/ Enhanced Key Usage (EKU) 憑證範本的漏洞，並將此攻擊命名為 ESC15 (EKUwu)，10 月 8 日於網路發布了可直接利用的 PoC。ESC15 弱點允許使用者利用預設憑證範本提權為網域管理員，或以任意使用者身分（包含高權限使用者）申請憑證。2024 年 11 月 12日，微軟將此漏洞編號為 CVE-2024–49019。

我們將解析 2023 年基於軟體供應鏈針對臺灣的 APT 攻擊。第一個案例是攻擊者利用弱點入侵 MDM 平台，第二個案例則是攻擊者使用跳島攻擊，攻擊金融體系下的內網基礎設備。在最後，我們也將統整所有針對供應鏈攻擊的研究與發現，使供應鏈管理能有效強化資安防護的部署。

本篇文章將深入探討 Active Directory 上 Identity Snowball Attack 的成因及資安研究人員在使用開源工具 BloodHound 分析 Identity Snowball Attack 時會遇到的痛點，並介紹如何將分析時的方法論及痛點轉換成可計算的演算法並且推薦使用者該如何阻擋 Identity Snowball Attack。

中國駭客組織 APT41（又名 Winnti Group、Amoeba、Wicked Spider 等）自 2010 年起便活躍於全球，攻擊目標遍及歐洲、亞洲、美洲等地，主要使用的攻擊工具除了有特別針對攻擊對象系統的特製惡意程式，也包含了本篇文章主題：ShadowPad 與其 ScatterBee 變種。

奧義智慧研究團隊發現： Microsoft Entra ID 新功能有「被濫用提權進行攻擊」的風險，由於目前仍少有相關討論，此篇先期研究將聚焦分析其潛在攻擊路徑 (Attack Path) 與緩解措施 (Mitigation)，在攻擊事件發生前未雨綢繆。

‍奧義智慧研究團隊發現在汽車產業 ISO/SAE 21434 資安標準生命周期中，不易整合各種資安解決方案的問題，並建議使用奧義智慧開發的 ATHENA 車載系統攻擊知識庫因應相關挑戰。我們以實際案例示範了 ATHENA 在生命周期各階段的應用情境與方法，再次強調「資訊傳遞一致性」在實作資安標準時的重要性。

2022 年到 2023 年間，在我們監控範圍下的許多金融單位，均能觀察到中國駭客組織的攻擊行為，比起往年顯得更加活躍；而藉由相關的調查，我們也發現了其中許多攻擊的成因，都與供應鏈相關的資安問題習習相關。

2022 年 10 月，奧義智慧資深資安威脅研究員姜尚德 (John Jiang) 與資安軟體工程師孫維崗 (Gary Sun) 遠赴美國參加 SANS Blue Team Summit，以「Don’t Relay Me: Empirically Diagnose Privilege Escalation via Active Directory Account Sighting」為題發表演說。

與俄羅斯情報機關有密切關聯的 APT29 組織，在世界情勢益發動蕩的當下，也正不斷精進攻擊手段。APT29 組織此次利用 Azure 服務發起的攻擊，不只著重於建立地端後門，更開始利用雲端服務的內建權限來躲避監控，甚至透過購置雲端平台的服務來規避 IP 偵測，可見地端與雲端的安全已密不可分。此組織的高度政治化特性，也反映在它特別強調長期潛伏、並持續竊取資訊上，高科技企業、政府組織等都需要格外注意此駭客組織的攻擊手法。