文/羅正漢 | 2025-02-17發表

回顧2025年2月第二星期的資安新聞,臺灣遭受勒索軟體攻擊的情況,成為主要焦點,有3起新聞事件,最受關注的是馬偕紀念醫院的狀況,因為該院傳出自2月9日持續遭遇勒索軟體CrazyHunter攻擊,衛福部也因駭客揚言再度攻擊,與資安署合作成立快速反應小組,進駐馬偕醫院協助因應。

目前最新消息顯示,研判是Hunter Ransom Group駭客族群所為,而在事故因應方面,包括H-ISAC與奧義智慧都公布預警資訊,包含這次事件的入侵偵測指標(IoC),並說明手法包括滲透AD並以AD派送惡意程式,以及使用BYOVD提供攻擊技術。

另一起事件發生在國內上市公司的重電大廠華城電機,他們的資安重訊內容也表明是遭受加密攻擊,雖然該公司表示未受影響,但我們在事發後幾日,發現該公司官網疑似先利用全幅官網圖片暫時因應,目前已恢復正常運作。

此外,上星期欣興電子揭露子公司聯能科技遭勒索軟體攻擊,如今有另一則消息傳出,勒索軟體Sarcoma聲稱竊得該公司337 GB的資料,目前尚未得知兩起事件是否有關聯。

在漏洞消息方面,這一星期適逢多家IT廠商釋出每月例行安全更新,包含微軟、SAP、Adobe、西門子、施耐德電機等,企業與用戶在及時關注並優先部署修補之餘,也要留意OpenSSL修補高風險漏洞等消息,而對於近期確認遭駭客利用6個的漏洞,更需提高警覺。

●PostgreSQL修補與去年12月BeyondTrust事件相關的零時差漏洞CVE-2025-1094,資安業者Rapid7指出,攻擊者在先前攻擊過程,其實也利用了這項漏洞。
●微軟修補4個零時差漏洞,其中兩個已遭利用:Windows儲存權限提升的漏洞CVE-2025-21391,以及Windows附屬功能驅動程式的漏洞CVE-2025-21418。
●蘋果修補已經遭利用的零時差漏洞CVE-2025-24200。
●SimpleHelp在1月修補遠端監控管理軟體的漏洞CVE-2024-57727,以及Mitel去年8月修補SIP Phones的漏洞CVE-2024-41710,新發現已遭駭客利用。

在資安威脅態勢上,其中有一起大規模網釣攻擊手法值得留意,資安業者指出釣魚郵件所引導致的釣魚網站,一開始會收集使用者名稱、密碼,特別的是,該網站還會動態針對組織特定的MFA設計,顯示第二個因素的提示,包括App驗證、簡訊驗證或推播通知,並且進一步欺騙使用者允許,以繞過MFA的保護。

●一起大規模釣魚攻擊事故揭露,資安業者Abnormal Security指出企業雖然普遍採用MFA多因素驗證,但偽冒ADFS入口網站的手法,仍然相當容易奏效。
●出現針對網路邊緣裝置的大規模暴力破解攻擊,資安研究機構Shadowserver基金會指出,近期駭客平均每天動用約280萬個IP位址,進行非法登入嘗試。
●攻擊者針對Magento網站植入惡意程式側錄信用卡資料,資安業者Sucuri調查這起資安事故發現,攻擊者散布惡意程式的媒介,是濫用了程式碼管理工具Google Tag Manager。
●資安研究人員聲稱突破OpenAI新款AI模型o3-mini限制,可讓AI模型指導如何對Windows元件本機安全認證子系統服務(lsass.exe)發動攻擊。

在資安防禦新聞上,這一週的重大消息,是關於富邦人壽揭露他們通過NIST CSF驗證的過程,成為臺灣金融業首例,該公司並說明導入時遇到的關鍵挑戰,強調在建立風險評估方法論上,是與導入ISO 27001的最大差異。

 

【2月10日】150家企業組織的AD聯合身分驗證服務系統遭鎖定,駭客藉此挾持帳號

為了突破多因素驗證(MFA),現在有許多網路釣魚工具包都提供駭客對手中間人攻擊(AiTM)功能,但也有駭客從企業組織的基礎設施下手,針對AD聯合身分驗證服務服務(ADFS)達到相同目的。

值得留意的是,駭客成功挾持其中一個帳號,還會用來對企業組織的員工、合作夥伴、客戶發動進一步攻擊,造成更嚴重的破壞。

【2月11日】馬偕醫院遭勒索軟體CrazyHunter攻擊,傳出是中國駭客所為

5年前臺灣醫院發生大規模遭遇勒索軟體攻擊的情形,當時傳出有多達66家醫院受害,如今傳出有醫院再度遭到攻擊的事故,引起外界高度關注。

這起事故在今日上午傳出,當時有人透露有數百臺電腦當機,掛號系統受到波及,影響上百名病人,值得留意的是,這家醫院已先後遭遇兩次攻擊,駭客揚言在今天傍晚發動另一波攻擊,企圖對醫院施壓。

【2月12日】Fortinet公布用於攻擊防火牆的身分驗證繞過漏洞

這個星期二是許多科技業者發布本月份例行更新的日子,但資安業者Fortinet一個月前發布的公告突然更新內容,引起各界更高度的關注。

為何如此?原因是這則公告與資安業者Arctic Wolf揭露的防火牆攻擊事故有關,但為何會事隔一個月才公告新漏洞?Fortinet表示,當時他們並未察覺攻擊者利用第二個漏洞的跡象。

【2月13日】勒索軟體駭客號稱從臺灣PCB大廠欣興電子竊得大量內部資料

在農曆新年期間,有多家上市櫃公司針對資安事故發布重大訊息,若是剛好又有駭客組織聲稱對這些公司下手,很難不讓人懷疑兩者是否有所關連。

像是近期勒索軟體駭客Sarcoma聲稱對欣興電子下手,就是典型的例子。值得留意的是,欣興電子在重訊表示遭到攻擊的是中國子公司聯能科技,但駭客直指欣興電子而來,兩者是否為相同事故?顯然有待釐清。

【2月14日】資安業者揭露已遭中國駭客用於攻擊行動的Windows使用者介面零時差漏洞

今天有兩則零時差漏洞的消息相當引人關注,其中一則是去年底BeyondTrust資安事故新的調查發現,另一則與Windows的使用者圖形介面(GUI)有關,由於這項漏洞傳出已遭到中國駭客積極利用,使得後續發展特別值得留意。

值得留意的是,這項存在於使用者圖形介面的漏洞,研究人員透露駭客利用的方式,是拿來執行同時具備隱藏及系統保護屬性的檔案,產生未知屬性的ActiveX元件,究竟實際的情形如何,有待研究人員公布更多細節。

 

iThome Security

熱門新聞

Advertisement