【資安週報】0113~0117，中國駭客RedDelta持續散布惡意程式PlugX，臺灣、東南亞與蒙古頻遭鎖定

在2025年第二星期的資安新聞，適逢多家IT大廠每月例行安全更新發布，其中微軟與Fortinet的修補是重要焦點。微軟本月修補159個漏洞中，包含了8個零時差漏洞，其中5個已經公開揭露，另外3個更為嚴重，因為已出現實際利用狀況；資安業者Arctic Wolf在1月10日揭露一起Console Chaos攻擊行動，指出有攻擊者從去年11月針對Fortinet FortiGate防火牆設備發動零時差漏洞利用攻擊，4天後Fortinet發布相關修補資安公告。

●微軟修補8個零時差漏洞，其中3個已遭利用，分別是：CVE-2025-21333、CVE-2025-21334、CVE-2025-21335，皆涉及Hyper-NT核心整合VSP的漏洞。
●Fortinet修補FortiOS零時差漏洞CVE-2024-55591，並表示該漏洞已遭廣泛利用。雖然Fortinet未提及漏洞是由Arctic Wolf通報，但Fortinet資安公告列出的IoC指標與Arctic Wolf的報告吻合。
●互動式BI系統Qlik Sense在2023年修補的漏洞CVE-2023-48365，最近美CISA將其列入限期修補的已知被利用漏洞清單。

另還傳出有駭客公布1.5萬臺Fortinet防火牆的詳細組態配置資料、VPN帳密，研究人員推測可能是駭客透過2年前的零時差漏洞取得，雖然許多防火牆可能早已修補，但因這批資料包含防火牆規則的完整資料，因此研究人員提醒不要忽略這些能夠防範的風險。

在威脅態勢上，使用PlugX惡意程式的中國駭客威脅，是資安界與國家網路安全機構關注的重點，不僅有資安業者揭露攻擊態勢，後續我們還發現，有國家執法單位正設法積極移除這類威脅的消息。

首先，資安業者Recorded Future揭露中國駭客RedDelta（也叫做Earth Preta、Mustang Panda、TA416）自2023年中旬將網路攻擊目標轉向蒙古、臺灣與東南亞，主要是配合中國外交政策，而且近半年更是擴大攻擊範圍，鎖定馬來西亞、日本、美國、衣索比亞、巴西、澳洲、印度。

其次，美國FBI在1月14日宣布，在與法國執法單位及資安公司Sekoia合作下，經美國法院授權，遠端刪除美國境內4,200電腦上被感染的中國駭客散布的PlugX惡意軟體，並通知受影響使用者。

在其他重要威脅態勢與事件上，有兩起是鎖定開發人員與資安研究人員的揭露，包括攻擊者假借提供漏洞偵測工具，或是漏洞驗證工具，但實則暗藏惡意程式；有兩起是勒索軟體威脅的最新動向，其中專門針對AWS S3儲存桶的勒索軟體攻擊值得留意，因為攻擊者濫用了AWS本身提供的資料保護措施。
●有攻擊者提供偽裝成以太坊智慧合約漏洞偵測工具的NPM套件，宣稱能找出潛在漏洞，實際上該套件暗藏遠端存取木馬Quasar RAT。
●有駭客假借提供去年12月LDAPNightmare漏洞的概念驗證程式碼，意圖對資安研究人員散布竊資軟體。資安專家提醒，若要研究PoC應從原始揭露來源取得。
●新興勒索軟體FunkSec出現值得留意，資安業者Check Point指出這是去年12月，不僅會發動雙重勒索，並研判該組織運用了AI輔助開發相關工具。
●新發現有勒索軟體駭客的攻擊手法，是利用外流或是不慎曝光的AWS金鑰，接著濫用了AWS提供的資料保護措施SSE-C將客戶資料加密，再向使用者勒索。

此外，還有兩起關於臺灣上市櫃公司的資安事件，專注於石英頻率控制元件的泰藝電子在1月12日發布重訊，說明有部分資訊系統遭到網路攻擊；國內老牌紡織纖維業者遠東新世紀〈原遠東紡織〉在1月16日發布重訊，說明他們接獲重要資通訊合作廠商通報，與自家公司合作的相關系統有資料外洩疑慮。

【1月13日】研究人員揭露中國駭客RedDelta最新一波攻擊行動，主要目標是臺灣和蒙古

中國駭客組織RedDelta（也被稱為Earth Preta、Mustang Panda、TA416）的攻擊行動最近幾年不斷傳出，這些駭客往往跟隨中國政府的外交策略發動攻擊，1月剛出爐最新的資安廠商調查結果，再度印證這樣的活動方針。

值得留意的是，這些駭客兩年前因中國政府聲援俄羅斯攻擊歐洲各國，但自2023年下半，他們將目標轉向臺灣、蒙古，以及其他東南亞國家。

【1月14日】Ivanti旗下VPN系統再傳零時差漏洞，臺灣曝險伺服器數量全球第三

資安業者Ivanti公布SSL VPN系統Connect Secure重大層級的漏洞CVE-2025-0282，並透露已出現攻擊行動的情況，協助調查的資安業者Mandiant表示攻擊者利用該漏洞長達半個月，但究竟有多少駭客加入利用漏洞的行列？有待進一步的調查。

值得留意的是，企業組織應儘速套用修補程式，截至12日，臺灣尚有近80臺伺服器尚未修補，數量僅次於美國和西班牙。

【1月15日】多組人馬利用零時差漏洞繞過身分驗證，攻擊Fortinet防火牆設備

新的一年零時差漏洞攻擊事故接連傳出，先是Ivanti上週公布VPN系統Connect Secure的重大漏洞CVE-2025-0282出現攻擊行動，協助調查此事的資安業者Mandiant透露攻擊行動的相關細節；接著在1月10日，資安業者Arctic Wolf揭露Fortinet防火牆大規模攻擊事故，本週也引起高度關注，今天Fortinet終於證實攻擊者使用的零時差漏洞確實存在，並登記為CVE-2024-55591。

【1月16日】勒索軟體駭客將AWS S3儲存桶加密，並向受害者索討贖金

勒索軟體通常針對工作站電腦及伺服器主機而來，駭客將其資料加密，要脅受害者必須付錢換取解密金鑰，或是避免資料外流，但如今，有人針對雲端儲存服務發動相關攻擊，引起資安業者的注意。

例如，資安業者Halcyon公布針對AWS S3儲存桶攻擊的事故，就是這樣的例子。特別的是，攻擊者並非打造專屬的檔案加密工具，而是透過AWS提供的資料防護機制犯案。

【1月17日】駭客公布1.5萬臺Fortinet防火牆的詳細組態配置資料、VPN帳密

這兩個禮拜，針對Ivanti Connect Secure、Fortinet防火牆的零時差漏洞攻擊事故相當受到各界關注，其中又以Fortinet防火牆的事故較引起注意，如今有人公布一批資料防火牆組態的資料，使得該廠牌用戶恐面臨更嚴峻的資安威脅。

值得留意的是，雖然這批資料駭客疑似2年多前搜括而得，但由於內含詳細的防火牆政策、組態資料，甚至是VPN帳密資料，很有可能被人用於從事攻擊。