過往捉拿犯案的勒索軟體駭客組織,我們多半聽聞歐美國家偵辦、主導這類執法行動的消息,但如今臺灣也針對這類駭客的調查有新的突破,找出攻擊者的真實身分。
刑事警察局宣布找到接連攻擊臺灣醫院、上市櫃公司的駭客CrazyHunter真實身分,掌握明確的犯罪事證,地檢署也對這名駭客發布通輯。
【攻擊與威脅】
接連攻擊臺灣醫院企業的CrazyHunter現形,主嫌身分為20歲中國籍羅姓駭客
臺灣這兩個月接連發生遭CrazyHunter勒索軟體攻擊的事件,從2月馬偕醫院、3月彰基醫院受害以來,接續又有國內多家上市櫃公司遇害,由於這些攻擊專門鎖定臺灣攻擊,情況相當嚴峻。4月2日刑事警察局宣布他們有了新的突破,首次揭露了勒索軟體攻擊的幕後真兇。
刑事警察局科技犯罪防制中心主任林建隆在記者會上表示,自2月6日馬偕紀念醫院遭攻擊並報案後,他們聯合刑警大隊科技偵查隊成立專案小組偵辦,如今調查出犯嫌是一名20歲的中國浙江籍羅姓駭客。林建隆強調,地檢署現已發布通緝,顯示偵查結果已掌握明確的犯罪事證。此外,這次能夠發布通緝的另一大關鍵,就是成功追查出嫌犯的真實年籍資料。
由於攻擊者位於境外,後續警方將依據《海峽兩岸共同打擊犯罪及司法互助協議》,尋求中國的協助追查。只是,能否真的跨國逮捕歸案需要運氣,但不可否認的是,相比過去勒索軟體犯罪的偵辦,總是由歐美國家主導,臺灣警方能以專業技術更清楚辨識出幕後攻擊的真實身分,可堪稱是全球勒索軟體防護上的一大突破。
WordPress外掛程式資料夾成網路攻擊溫床!網站被植入惡意程式及垃圾內容
資安業者Sucuri於2月中旬揭露新型態的WordPress網站攻擊行動,駭客鎖定Must-Use Plugins(mu-plugins)外掛程式資料夾而來,藉此在網站植入後門程式,以便遠端執行惡意程式碼,如今相關攻擊規模再度擴大,駭客濫用上述外掛程式來埋入更多惡意軟體,並進一步對網站使用者發動攻擊。
研究人員發現,駭客濫用部署這類外掛程式的資料夾wp-content/mu-plugins/,置入惡意程式碼,他們一共看到3種型態的攻擊行動。
其中一種是假借提供更新的名義,將網站使用者重新導向外部網站的惡意軟體攻擊。第2種則是在網站植入Web Shell,使得攻擊者能夠執行任意程式碼,從而近乎完全控制整個網站。最後一種是注入垃圾內容的工具,駭客利用指令碼在網站裡注入垃圾內容,從而用來提升搜尋引擎最佳化(SEO)排名,或是從事詐欺行為。
DevOps廠商Sonatype揭露一系列長年存在於NPM儲存庫中的加密貨幣相關套件,其最新版本被惡意竄改,內含用以竊取環境變數等敏感資訊的混淆腳本。受影響的套件部分存在時間已超過9年,由於這些舊有開源專案未積極維護,便成為攻擊者鎖定的攻擊入口。
Sonatype資安研究人員分析,涉及的套件涵蓋區塊鏈SDK、使用者介面函式庫、開發工具組態與型別定義等,常見於加密貨幣與Web3應用開發的模組。其中country-currency-map套件的下載量更累積達近29萬次,近期上架的2.1.8版本即為被植入惡意程式碼的版本。該套件5年來未曾更新,其GitHub原始碼儲存庫也無異動紀錄,卻在近日於NPM上出現新版,說明攻擊並未透過原始碼貢獻流程,而是直接操控NPM發布權限。
值得注意的是,本次事件涉及多個維護者不同、用途不一的套件,卻在相近時間內陸續出現異常版本,研究人員推測可能與NPM帳號遭重用密碼攻擊,或網域過期遭他人接管有關。
其他攻擊與威脅
◆惡意軟體Shelby鎖定中東而來,透過GitHub接收命令、外傳竊得資料
◆惡意軟體載入工具KoiLoader透過LNK檔案散布,藉由PowerShell傳遞竊資軟體
◆駭客組織Storm-1811利用微軟Teams訊息及語音網釣發動攻擊,藉由TeamViewer部署惡意軟體
◆伊朗駭客MuddyWater鎖定盟國伊拉克、葉門從事網路間諜活動
【漏洞與修補】
Canon印表機存在重大層級漏洞,攻擊者有機會用以執行任意程式碼
3月28日Canon發布安全公告,警告多款多功能事務機及雷射印表機驅動程式存在重大風險漏洞,可能讓攻擊者執行任意程式碼。
本波安全更新修補的漏洞CVE-2025-1268為一EMF Recode處理過程中的越界漏洞。EMF Recode是微軟在Windows 11 加入的圖形渲染與性能優化技術,特別是在EMF(Enhanced Metafile)格式的處理上。這項漏洞可能造成用戶無法列印,而如果為惡意應用程式存取了列印功能,可能允許攻擊者執行任意程式碼。
CVE-2025-1268 CVSS風險值達9.4,屬重大風險。受CVE-2025-1268漏洞影響的Canon驅動程式包括V3.12版以前的PCL6、PS、UFR II LIPS4及LIPSLX,適用機器涵括數款大型、小型多功能事務機及雷射印表機。
其他漏洞與修補
◆網路作業系統VyOS存在中間人攻擊漏洞,以Debain為基礎的作業系統也可能曝險
【資安產業動態】
Google推動安全機制前移,Android程式碼撰寫階段即啟動政策違規提醒
Google針對Android與Google Play生態系統宣布多項強化措施,涵蓋開發工具、API更新與政策支援,目標是協助開發者有效建構安全、可信任的應用程式環境,同時防堵詐騙與惡意行為。Google藉由更新平臺安全機制,逐步推進安全設計前移,並簡化政策法遵的落實流程。
該公司在Play Console中擴充預先檢查功能,新增對隱私權政策連結與登入憑證要求的檢查項目,接下來一年將持續擴大適用範圍,要讓開發者在提交應用程式之前就先發現潛在問題。此外,Android Studio也開始導入與政策法遵相關的即時通知機制,當開發者在編寫程式碼階段違反特定規定時,系統將即時提醒,讓修正作業能前移至更早期的開發階段。
