【資安日報】2月11日，馬偕醫院遭勒索軟體CrazyHunter攻擊，傳出是中國駭客所為

5年前臺灣醫院發生大規模遭遇勒索軟體攻擊的情形，當時傳出有多達66家醫院受害，如今傳出有醫院再度遭到攻擊的事故，引起外界高度關注。

這起事故在今日上午傳出，當時有人透露有數百臺電腦當機，掛號系統受到波及，影響上百名病人，值得留意的是，這家醫院已先後遭遇兩次攻擊，駭客揚言在今天傍晚發動另一波攻擊，企圖對醫院施壓。

【攻擊與威脅】

馬偕醫院傳出遭CrazyHunter勒索軟體攻擊，衛福部與資安署已成立快速應變小組協助因應

今日上午，傳出國內知名醫院連續遭駭客入侵，有多達數百臺電腦當機，掛號系統也受波及，影響上百名病患。目前我們已確認這起事件，是遭CrazyHunter勒索軟體攻擊，衛生福利部（衛福部）資訊處也在今日向全國所有醫院發布警訊通知，說明近期部分醫院遭勒索軟體攻擊，請各院加強戒備。

根據國內媒體報導，這次遭受攻擊的醫院，是臺北一家中山區捷運站附近的醫院，並且淡水也有分院。而且遭受攻擊的時間，是從兩日前（週日）早上8點半開始，昨日（週一）也再次受到攻擊。根據以上描述，顯然這起事件的受害者應是指馬偕醫院，而且已經是連續兩日遭到攻擊。

究竟這次資安事故的情形為何？我們詢問到衛生福利部資訊處處長李建璋，他表示，這次馬偕醫院遭遇的資安事故，確實是遭受Crazy Hunter勒索軟體攻擊。馬偕醫院傍晚發布新聞稿說明這次事件，表示於9日發現系統異常，此次事故影響北淡兩區急診室，目前醫療均正常運作，未有病人個資外洩情事。

大規模暴力破解攻擊專門針對網路邊緣裝置而來，駭客透過280萬個IP位址發動攻勢

資安研究機構Shadowserver基金會提出警告，他們最近幾個禮拜從蜜罐陷阱當中，偵測到專門針對網路邊緣裝置（edge devices）而來的大規模暴力破解攻擊，駭客平均每天動用約280萬個IP位址進行網頁介面登入嘗試，特別偏好攻擊Ivanti、Palo Alto Networks、SonicWall等廠牌的設備。

從攻擊來源的地理位置而言，超過三分之一的IP位址來自巴西最多，約有110萬個，其次是土耳其、俄羅斯、阿根廷，分別約有13.5萬、13.3萬、9.9萬個IP位址。從被用來發動攻擊的設備來看，遭到控制的MikroTik設備數量最多，有13萬臺，華為、思科設備分別約有1.3萬、1萬臺，這些廠牌的設備經常遭到殭屍網路鎖定，而被入侵並受到擺布。

雖然Shadowserver基金會在社群網站X透露的資訊並不多，但他們向資安新聞網站Bleeping Computer透露，這波攻擊行動仍在持續進行，而且規模有擴大的趨勢。

程式碼管理工具Google Tag Manager遭濫用，攻擊者用來對Magento網站側錄信用卡資料

資安業者Sucuri接獲客戶通報，指出他們的Magento電子商務網站出現信用卡資料遭竊的情況，Sucuri進行調查後發現，這家公司的電子商務網站遭到惡意程式感染，而這支惡意程式散布的媒介，竟然是放在GTM上面的指令碼。Sucuri資安分析師Puja Srivastava指出，他們對於網站的檔案進行檢查，結果找到惡意程式從資料庫特定的資料表cms_block.content載入。

乍看之下，有問題的程式碼看似GTM或Google Analytics的追蹤指令碼，但Puja Srivastava指出，他們對程式碼進行檢查，確認這些程式碼用於惡意行為，而非一般的網站分析或廣告成效分析。而有問題的後門程式，出現在./media/index.php，根據GTM的ID，研究人員進一步追查是否有其他網站受害，結果他們確認至少有6個網站遭到感染。

一旦觸發了GTM的標籤，經過加密處理的JavaScript酬載就會進行側錄信用卡資料的工作，在消費者結帳時收集輸入的內容，然後傳送至攻擊者控制的伺服器。

去年12月下旬OpenAI公布新的AI模型o3、o3-mini預覽版本，並引入新的資安功能「審議一致（Deliberative Alignment）」，藉由這項機制，OpenAI號稱AI模型將高度遵守他們的安全政策，改善原有模型容易被越獄的情況。但在1月底o3-mini正式推出不久，有研究人員指出，他們成功突破這項防護，讓該AI模型指導如何對Windows元件本機安全認證子系統服務（lsass.exe）發動攻擊。