回顧2025年1月資安新聞,國家級駭客發動的網路間諜行動是主要焦點,在多起攻擊事件被資安界揭露之際,我們年初也特別以封面故事報導這方面的最新威脅態勢與重要變化。
還有其他重要網路安全議題與事件同樣值得重視,包括海纜安全與通訊服務韌性,臺灣9家上市櫃發布資安重大訊息,DDoS攻擊衝擊臺灣、日本與全球等,在此我們整理出5大重要威脅態勢,幫助大家快速回顧。
(一)國家級駭客網路間諜攻擊加劇
受政府資助駭客組織發動的網路間諜行動,危害持續升級,本月封面故事我們報導了這類組織近年的重要變化,例如,從受國家指揮的軍事單位,政府資助的半獨立團體,現也涵蓋到國家支持的民間企業與承包商,而其攻擊手法上,也變得更常以供應鏈攻擊、邊緣裝置漏洞來入侵滲透。
同時,我們還整理出多項國家級駭客攻擊的現況與最新態勢,包括:
●微軟2024年度數位防禦報告中,揭露了國家級駭客鎖定攻擊的前7大目標,依序是:美國、以色列、烏克蘭、阿拉伯聯合大公國,以及英國、臺灣。
●國家級駭客鎖定電信業的情況已持續多年,在2024年呈現爆發的態勢,不只美國、東南亞的電信業有重大事故揭露,多國網路安全機構也特別真對中國駭客組織對電信業攻擊的威脅示警。
●臺灣國家安全局揭露過去一年中共網駭手法分析報告,指出我國遭受攻擊成長最多的產業,是電信業為主的通訊傳播領域,遭受攻擊比之前增長6.5倍,其次為交通、國防供應鏈,分別增長70%與57%。
此外,後續還有一起新聞事件也呈現這方面威脅的嚴重性。日本警方也在1月上旬發布中國駭客MirrorFace(Earth Kasha)入侵警報,指出該組織在近5年對日本發動逾200起攻擊,目的是竊取日本的國家安全及先進技術的資料,並公開3波攻擊樣態與防範措施,希望促進企業組織更積極因應。
(二)海纜安全與國家網路數位韌性受挑戰
本月臺灣多起海底電纜事故的新聞,持續引發國人對於通訊網路及服務韌性的關注,從1月3日中華電信海底電纜遭貨輪破壞,到1月22日發生臺馬二號海纜疑似芯線老化導致服務中斷,數位發展部在當日也緊急召開記者會說明。
當中提到不少國人關心的重點,例如:我國目前有14條國際海纜、10條國內海纜,國際海纜方面由國際業者籌組聯盟共同投資,因此修復也是共同分擔,在國內海纜方面,雖然主要由中華電信包辦,但如今全都已經列為國家關鍵基礎設施,因此政府會監督與協助關鍵CI民間業者強化這方面的防護。
對於近期國內海底電纜事故的狀況,數位部指出,2025年1月已經發生4次,超過2024全年的3次,的確呈現今年密集暴增的情形。而在海纜斷裂的事故原因,除了人為破壞,也有天然因素,像是最新一次的「臺馬二號海纜」是芯線老化造成。
至於因應上,由於先前政府推動關鍵CI防護計畫,已請中華電信在2024年完成微波通訊備援,因此能在一小時內通知中華電信,啟動微波備援方案,確保民生相關的服務不致出現中斷的現象。另外也通知受補助單位電信技術中心,啟用非同步衛星站點,作為微波之備援。另外,在微波通訊、非同步衛星的網路備援機制之外,數位部也補助中華電信建置臺馬四號海纜,預計在2026年6月完工。
此外,關於年初貨輪海纜安全事故的新聞中,還有國內學者呼籲政府重視中國對臺資訊封鎖的風險,曾擔任NCC電信普及服務基金委員的成大電機系教授李忠憲指出,國內欠缺對大規模網路中斷的應變演練,需提高對緊急狀態下的網路韌性演習。
(三)臺灣重大資安事件
根據公開資訊觀測站的重大訊息公告,本月9家上市櫃公司發布資安重訊。
●第一週有4起,包含:易飛網遭遇供應鏈攻擊及資料竊取,新海瓦斯伺服器檔案遭受勒索軟體加密,悠泰科技、華航公布官網遭DDoS攻擊。
●第二週有2起,泰藝電子表示有部分資訊系統遭到網路攻擊;遠東新表示重要資通訊合作廠商遭網路攻擊,導致自家資料外洩疑慮。
●第三週有3起,聯鈞表示資訊系統遭受勒索病毒攻擊;所羅門與集團旗下新門科技在同日表示資訊系統遭受駭客攻擊。
還有1起與臺灣有關的威脅揭露,同樣值得留意,資安業者Recorded Future針對中國駭客組織RedDelta(Earth Preta、Mustang Panda、TA416)的攻擊行動提出警告,這些駭客兩年前因中國政府聲援俄羅斯,主要攻擊鎖定歐洲各國,但自2023年下半其攻擊目標有了明顯調整,開始轉向蒙古、其他東南亞國家,還有臺灣。
(四)DDoS攻擊威脅再度侵襲各國
DDoS攻擊威脅依然持續,有3則新聞成為主要焦點。
首先,2025年一開始親俄駭客NoName057的DDoS攻擊再成焦點,臺灣已遭遇第三波攻擊,包括上市公司台塑、大眾電腦等公司發布資安重訊,根據駭客宣稱的攻擊目標,還包括主計總處、櫃買中心與20多個交通運輸、地方政府的網站。
特別的是,遭受NoName057攻擊的國家也增加,除了之前攻擊過英國、瑞士、烏克蘭,1月還擴及印尼、加拿大、德國、義大利。這些國家均有數十個政府機關、關鍵CI與企業網站被攻擊。
其次,日本也面臨一波未知攻擊者的DDoS攻擊,自12月底至1月上旬期間,先是傳出日本航空(JAL)因此造成航班延誤,接著三菱UFJ、瑞穗等銀行也遭攻擊,趨勢科技向當地媒體表示這期間共46起DDoS事件,都是來自同一個殭屍網路的攻擊。
第三件新聞,則是關於巨量DDoS攻擊的揭露。Cloudflare公布最新一季DDoS攻擊態勢,指出一家東亞ISP客戶在3個月前遭遇的UDP DDoS攻擊達到5.6 Tbps,再次突破先前的記錄,並也說明攻擊是來自1.3萬臺IoT裝置。另要注意的,超過1Tbps的攻擊數量,也比前一季大增18倍。
(五)攻擊者持續挖掘新漏洞與發展新攻擊手法
關於重要網路攻擊與威脅的揭露方面,以零時差漏洞利用攻擊而言,本月新聞涵蓋Ivanti(CVE-2025-0282),微軟(CVE-2025-21333、CVE-2025-21334、CVE-2025-21335),以及Fortinet(CVE-2024-55591)。值得注意的是,在Ivanti漏洞攻擊調查的新聞中,研究人員指出發現攻擊者還會利用假裝系統升級成功的手法,包括攔截升級流程、製作假的升級進度條,並繞過系統完整性檢查,這點相當特別。
在勒索軟體威脅上,除了注意12月新出現的勒索軟體FunkSec的消息,還有另一勒索攻擊手法揭露的新聞值得留意,是針對雲端環境而來,攻擊者先利用外流或曝險的AWS金鑰,進而濫用AWS提供的用戶端資料保護措施SSE-C,將客戶資料加密並勒索。
【資安週報】0106~0110,臺灣電信業遭受中共網駭情形在2024年暴增6.5倍,交通與國防供應鏈也成被針對的重點日
在2025年第一星期資安新聞的主要焦點是,臺灣國家安全局於1月5日發布中共網駭手法分析報告,指出2024年國安情報團隊掌握我國政府及民間網駭案中,最嚴峻是以電信業者為主的資通訊領域,遭受攻擊是前一年度的6.5倍,其次是交通與國防供應鏈,遭受攻擊也比前一年度增長,顯示這些領域已是中共新興網駭重點。
此外,日本警方於1月8日發布中國駭客MirrorFace(Earth Kasha)入侵警報,揭露該組織5年間對日本發動逾200起攻擊。事實上,趨勢科技兩個月前已警告該組織利用多家品牌SSL VPN設備漏洞入侵。不僅日本企業受害,臺灣與印度也遭波及。因此日本警方此次公布的攻擊手法與偵測措施,也可供我國企業組織參考。
在資安事件方面,這一星期國內多家上市櫃公司發布資安事件重訊,其遭遇事故類型涵蓋供應鏈攻擊、勒索軟體攻擊,以及DDoS攻擊事件。
●易飛網在1月7日說明遭遇供應鏈攻擊及資料竊取,致有個資外洩。
●新海瓦斯1月9日揭露伺服器內部檔案遭受勒索軟體加密。
●悠泰科技、華航在1月7日與8日分別公布官網遭受網路DDoS攻擊。
●針對中華電信海底電纜遭貨輪破壞的事故,數位發展部表示中華電信當日已通報並啟動其他海纜備援,之後將配合海巡署、法務部、NCC與司法機關加強執法。
●資安業者Tenable傳出外掛程式更新出錯的意外事故,造成端點代理程式停擺。
在資安威脅的攻擊技術態勢上,有1則重要消息,是關於雙點擊劫持(DoubleClickjacking)手法的揭露,研究人員提醒,多數網站已能透過「X-Frame-Options header」、「SameSite: Lax/Strict」來防範點擊劫持攻擊手法,但無法因應這種新的變種手法,研究人員闡釋攻擊原理,同時建議可藉由用戶端保護方式來緩解。
還有不同資安業者公布其發現的最新攻擊手法,有3則同樣值得我們留意,包括:出現新型態的惡意JavaScript、Python、Ruby套件,顯示攻擊者正濫用oastify.com、oast.fun等新興應用程式安全測試OAST檢測服務;發現針對蘋果電腦用戶的新型竊資軟體Banshee,會冒用內建防毒XProtect的字串加密演算法來迴避偵測;俄羅斯網路犯罪論壇正兜售名為PhishWP的惡意WordPress外掛程式,可用於建立幾可亂真的付款網頁。
在漏洞利用消息方面,以Ivanti的零時差漏洞利用情形最受關注,Google旗下資安公司Mandiant在漏洞公布隔日的1月10日,發布相關研究報告,研判中國駭客組織利用此漏洞進行網路間諜活動,並揭露其攻擊手法的特殊之處是假裝系統升級成功,包括:插入惡意程式碼攔截升級執行流程,製作假的升級進度條來迷惑管理員,並繞過系統完整性檢查,假裝成為升級後的版本。
●Ivanti針對Ivanti Connect Secure等設備修補已遭利用零時差漏洞CVE-2025-0282,隔日Mandiant公布研究報告,指出該漏洞2024年12月中旬已遭利用。
●加拿大電信業者Mitel在前幾個月陸續修補MiCollab整合通訊平臺的漏洞CVE-2024-41713、CVE-2024-55550,如今被發現遭駭客鎖定利用於攻擊活動。
●Oracle於5年前修補WebLogic Server的漏洞CVE-2020-2883,當時已有資安業者指出遭駭客鎖定利用,最近美CISA將其列入限期修補的已知被利用漏洞清單。
至於資安防禦動向上,有兩則重要新聞,一是歷經18個月討論的美國物聯網裝置網路安全標章U.S. Cyber Trust Mark正式發布;通訊軟體Telegram宣布將推出業界首創的第三方驗證機制,採更主動式防護來打擊假消息與詐騙行為。
【資安週報】0113~0117,中國駭客RedDelta持續散布惡意程式PlugX,臺灣、東南亞與蒙古頻遭鎖定
在2025年第二星期的資安新聞,適逢多家IT大廠每月例行安全更新發布,其中微軟與Fortinet的修補是重要焦點。微軟本月修補159個漏洞中,包含了8個零時差漏洞,其中5個已經公開揭露,另外3個更為嚴重,因為已出現實際利用狀況;資安業者Arctic Wolf在1月10日揭露一起Console Chaos攻擊行動,指出有攻擊者從去年11月針對Fortinet FortiGate防火牆設備發動零時差漏洞利用攻擊,4天後Fortinet發布相關修補資安公告。
●微軟修補8個零時差漏洞,其中3個已遭利用,分別是:CVE-2025-21333、CVE-2025-21334、CVE-2025-21335,皆涉及Hyper-NT核心整合VSP的漏洞。
●Fortinet修補FortiOS零時差漏洞CVE-2024-55591,並表示該漏洞已遭廣泛利用。雖然Fortinet未提及漏洞是由Arctic Wolf通報,但Fortinet資安公告列出的IoC指標與Arctic Wolf的報告吻合。
●互動式BI系統Qlik Sense在2023年修補的漏洞CVE-2023-48365,最近美CISA將其列入限期修補的已知被利用漏洞清單。
另還傳出有駭客公布1.5萬臺Fortinet防火牆的詳細組態配置資料、VPN帳密,研究人員推測可能是駭客透過2年前的零時差漏洞取得,雖然許多防火牆可能早已修補,但因這批資料包含防火牆規則的完整資料,因此研究人員提醒不要忽略這些能夠防範的風險。
在威脅態勢上,使用PlugX惡意程式的中國駭客威脅,是資安界與國家網路安全機構關注的重點,不僅有資安業者揭露攻擊態勢,後續我們還發現,有國家執法單位正設法積極移除這類威脅的消息。
首先,資安業者Recorded Future揭露中國駭客RedDelta(也叫做Earth Preta、Mustang Panda、TA416)自2023年中旬將網路攻擊目標轉向蒙古、臺灣與東南亞,主要是配合中國外交政策,而且近半年更是擴大攻擊範圍,鎖定馬來西亞、日本、美國、衣索比亞、巴西、澳洲、印度。
其次,美國FBI在1月14日宣布,在與法國執法單位及資安公司Sekoia合作下,經美國法院授權,遠端刪除美國境內4,200電腦上被感染的中國駭客散布的PlugX惡意軟體,並通知受影響使用者。
在其他重要威脅態勢與事件上,有兩起是鎖定開發人員與資安研究人員的揭露,包括攻擊者假借提供漏洞偵測工具,或是漏洞驗證工具,但實則暗藏惡意程式;有兩起是勒索軟體威脅的最新動向,其中專門針對AWS S3儲存桶的勒索軟體攻擊值得留意,因為攻擊者濫用了AWS本身提供的資料保護措施。
●有攻擊者提供偽裝成以太坊智慧合約漏洞偵測工具的NPM套件,宣稱能找出潛在漏洞,實際上該套件暗藏遠端存取木馬Quasar RAT。
●有駭客假借提供去年12月LDAPNightmare漏洞的概念驗證程式碼,意圖對資安研究人員散布竊資軟體。資安專家提醒,若要研究PoC應從原始揭露來源取得。
●新興勒索軟體FunkSec出現值得留意,資安業者Check Point指出這是去年12月,不僅會發動雙重勒索,並研判該組織運用了AI輔助開發相關工具。
●新發現有勒索軟體駭客的攻擊手法,是利用外流或是不慎曝光的AWS金鑰,接著濫用了AWS提供的資料保護措施SSE-C將客戶資料加密,再向使用者勒索。
此外,還有兩起關於臺灣上市櫃公司的資安事件,專注於石英頻率控制元件的泰藝電子在1月12日發布重訊,說明有部分資訊系統遭到網路攻擊;國內老牌紡織纖維業者遠東新世紀〈原遠東紡織〉在1月16日發布重訊,說明他們接獲重要資通訊合作廠商通報,與自家公司合作的相關系統有資料外洩疑慮。
【資安週報】0120~0124,國家級駭客攻擊全球,網路間諜攻擊威脅大增,電信產業成2024年重災區
適逢農曆年節前夕,在2025年第三星期資安新聞的主要焦點,是國家級駭客的最新進展,顯現電信業在2024已成駭客攻擊頭號目標的態勢,不只最近美國9家電信業遭中國駭客滲透的事故,還有多國電信業近年持續被發現遭中國駭客入侵。
此次報導亦整理出最新威脅態勢,突顯這些組織不只直接攻擊企業組織,更聚焦於邊緣裝置漏洞利用等方式滲透,而且供應鏈攻擊也深入臺灣發展的軟體與服務,像是近年一起資安事故就是透過ERP入侵,並且真正攻擊目標是臺灣無人機產業。
在資安事件方面,這一星期國內多家上市櫃公司發布資安事件重訊,最大焦點是以AI機器視覺與機器人當紅的所羅門,因為這又是一起同集團均受影響的狀況;韓國VPN業者IPany遭入侵所引發的供應鏈攻擊事件亦受關注,資安業者指出是中國駭客PlushDaemon所為。
●上市公司聯鈞光電1月19日說明部分資訊系統遭遇勒索軟體攻擊。
●上市公司所羅門在1月23日說明資訊系統遭受駭客攻擊,同日所羅門集團旗下的上櫃公司新門科技,亦發布相同資安重訊內容。目前所羅門集團官網無法連線。
●韓國VPN業者IPany遭駭,攻擊者在原廠提供的安裝檔加料散布惡意程式SlowStepper,這起供應鏈攻擊目標包含韓國半導體、軟體業,日本用戶也受害。
●HPE內部系統憑證、產品原始碼疑遭竊取,知名初始入侵管道掮客IntelBroker在駭客論壇上兜售。HPE表示已著手調查。
在威脅態勢與事件上,殭屍網路的威脅揭露是一大焦點,因為有4起消息與之有關,佔據本星期新聞事件不少版面。
●1.3萬臺MikroTik路由器被駭客綁架組成殭屍網路,藉此發送垃圾郵件並散布木馬,特殊之處是駭客利用DNS記錄設定不良來通過SPF的驗證,2萬網域遭利用。
●駭客透過Mirai變種殭屍網路發動創下新高的5.6 Tbps的UDP DDoS攻擊,Cloudflare一家東亞ISP的客戶成為目標,且攻擊時間是2024萬聖夜期間。
●cnPilot路由器被殭屍網路Airashi利用零時差漏洞綁架,攻擊者不只用於發動DDoS攻擊,也藉此提供非法代理伺服器服務。
●Mirai變種殭屍網路Murdoc的攻擊活動被揭露,主要鎖定陞泰IP攝影機、華為路由器。
在漏洞消息方面,有兩則漏洞利用的消息,一是今年1月初,專為多雲環境設計的雲端網路控制平臺Aviatrix Controllers,修補CVSS評分10分的重大漏洞CVE-2024-50603,在1月23日美國CISA將其列入已知被利用漏洞清單(KEV),對當地機構要求限期修補;另一是2020年JQuery的老舊漏洞CVE-2020-11023,同樣在當日被列入KEV清單。
另外,我們觀察到2個研究人員發現的新資安問題,值得大家留意,一是資安研究人員發現可濫用Cloudflare快取,進而推測用戶地理位置的手法;另一是發現群組原則已設定只接受NTLMv2的情況下,仍有部分應用程式可透過ParameterControl的參數,來請求NTLMv1驗證訊息。
至於資安防禦發展新聞中,有一項重要消息是,Google釋出新的軟體組成分析函式庫OSV-SCALIBR,將有助於協助生成精準的SBOM,並提升漏洞檢測效能。
【2024年12月資安月報,美國9家電信業遭中國駭客Salt Typhoon滲透,政府呼籲使用全程加密的即時通訊App】
【2024年11月資安月報,身分安全與AI成資安熱點,電信業滲透事件敲響警鐘】
【2024年10月資安月報】關切資安法修法、零信任、CMMC 2.0與資訊作戰,迎向不斷變化的資安威脅考驗
【2024年9月資安月報】數十個臺灣政府機關、企業的網站服務遭受DDoS攻擊
【2024年8月資安月報】
【2024年7月資安月報】
熱門新聞
2025-01-26
2025-01-26
2025-01-24
2025-01-24
2025-01-26
2025-01-25