在2025年2月第二個禮拜的資安新聞中,最受矚目是中國駭客組織Salt Typhoon攻擊全球電信業的後續消息。資安業者Recorded Future近兩個月發現,該組織持續針對尚未修補的思科網路設備發動攻擊,全球有1.2萬臺思科設備的網頁管理介面曝險,而且,歹徒主要鎖定1千多臺試圖發動攻擊,相當具針對性,目前已知有多個國家的電信業受害,包括英國、美國、南非、義大利、泰國與緬甸等。
而在我們整理本期週報之際,另外發現思科Talos在2月20日亦發布這方面報告,他們指出,攻擊者皆是透過獲取受害者的合法登入憑證,進而取得對Cisco設備的初始存取權限,其手法包括透過網路設備配置獲取憑證,破解弱密碼,以及部署自製工具JumbledPat針對Cisco設備進行封包擷取,藉此捕捉更多憑證。此外,他們也有發現一起案例,是對方濫用已知漏洞CVE-2018-0171並取得登入憑證。
國際間還有多項重要網路攻擊活動的揭露,有3起同樣與中國駭客組織威脅有關,涵蓋零時差漏洞攻擊、透過ERP入侵的攻擊,以及勒索軟體攻擊。
●日本多個產業遭中國駭客APT41旗下Winnti鎖定,初始入侵管道是利用目標組織Web伺服器中ERP系統的SQL注入漏洞,並在Web伺服器上設置WebShell。
●南亞一家中型軟體公司遭勒索軟體RA World攻擊,資安業者賽門鐵克指出,攻擊者是擅長間諜攻擊的中國駭客所為,推測該組織成員正私下發動勒索軟體牟利。
●Ivanti在1月修補已遭中國駭客利用的漏洞CVE-2025-0282,然而,日本JPCERT/CC近期指出,當地多家企業在12月遭到這個零時差漏洞的攻擊而受害。
●兩資安業者針對北韓駭客Kimsuky(又名APT43)攻擊行動提出警告,指出手法是以PowerShell命令散布惡意程式的有效酬載,鎖定韓國企業、政府機關攻擊。
●微軟揭露俄羅斯駭客Sandworm(又名APT44)的攻擊行動BadPilot,該惡意組織過去以郵件伺服器弱點入侵,2024年轉向利用ScreenConnect、FortiClient EMS特定已知漏洞。
值得我們注意的是,去年國內資安業者已經指出,中國駭客組織滲透企業竊密,出現利用ERP入侵企業的攻擊手法,以及主要發動網路間諜攻擊的中國駭客組織,隨著當地經濟衰退而展開勒索攻擊,而從上述新聞可以看出,其他國家如今也發生類似的資安事故。
在威脅態勢與攻擊手法方面,有3個重要新聞,其中Ghost勒索軟體的危害範圍已遍及全球70多國,需要特別留意。
●美國CISA、FBI發布Ghost(Cring)勒索軟體警報,指出背後攻擊者是中國駭客,並公布相關攻擊TTP與入侵偵測指標IoC。
●出現鎖定AWS用戶的新型態名稱混淆攻擊手法,目標是染指AWS的映像檔,雲端監控業者Datadog將此手法命名whoAMI,並指出已有數千個AWS帳號淪陷。
●macOS惡意軟體XCSSET出現新的變種,具有更高明的混淆與程式感染手法。
在漏洞利用消息方面,本週有多起事件顯示,駭客正積極鎖定近期新修補的已知漏洞,這些狀況突顯了及時更新系統的重要性。
●Craft CMS內容管理系統在1月中修補的漏洞CVE-2025-23209,發現已遭鎖定利用。
●Palo Alto Networks在一星期前修補的漏洞CVE-2025-0108、CVE-2025-0111,發現有攻擊者串連這兩個漏洞,與去年11月修補的另一漏洞,用於實際攻擊行動。
●SonicWall SonicOS SSLVPN在1月上旬修補的漏洞CVE-2024-53704,已遭利用於實際攻擊行動。
還有一項PHP漏洞CVE-2022-31631值得留意,原因是這項漏洞已在2023年1月修補,當時AWS、NetApp、Oracle、Red Hat等業者都針對旗下導入PHP元件的產品,修補這項漏洞(CVE編號都有曝光),但當時這個漏洞似乎受到列管,如今才於NVD與CVE平臺正式對外公開。
在資安防禦新聞方面,國內有一項重要消息,由於不久前馬偕紀念醫院遭遇勒索軟體攻擊,在數位發展部資安署新任署長上任記者會,署長蔡福隆透露,今年將以醫療機構作為演練場域,提升這類關鍵基礎設施的防護能力。
【2月17日】資安業者揭露2024年9月Salt Typhoon攻擊全球電信業者更多細節,利用已知漏洞入侵思科設備
中國駭客組織Salt Typhoon針對多家美國電信業者發動攻擊的事故,自去年9月曝光後,不斷有新的消息傳出,截至目前為止,傳出美國政府確認有9家當地電信業者受害,並指控有中國資安業者參與相關攻擊,如今這起事故傳出還在進行,有新的攻擊行動出現。
資安業者Recorded Future透露,這些駭客去年底將攻擊目標擴及全球各地的電信業者,並透過思科網路設備已知漏洞CVE-2023-20198、CVE-2023-20273取得初始入侵管道。
【2月18日】Ivanti旗下SSL VPN系統零時差漏洞在日本傳出攻擊行動
1月初資安業者Ivanti針對已被用於攻擊行動的CVE-2025-0282提出警告,協助調查的資安業者Mandiant指出,中國駭客組織UNC5337將其用於實際攻擊行動,散布Spawn系列的惡意軟體,但這起事故近期出現了後續發展。
日本電腦危機處理暨協調中心(JPCERT/CC)揭露於12月下旬出現的漏洞利用攻擊事故,並指出駭客打造更具威力的惡意程式SpawnChimera,對當地的企業組織下手。
【2月19日】新型態名稱混淆攻擊手法鎖定雲端環境的虛擬機器映像檔而來,數千個AWS帳號受害
利用使用者偷懶、輸入錯誤,進行名稱混淆的攻擊手法,最近兩到三年非常汜濫,而最常見的攻擊對象,就是針對使用NPM、PyPI套件的開發人員,如今有人將這種攻擊手法運用到雲端環境,引起雲端服務監控業者的注意。
雲端服務監控業者Datadog揭露針對AWS用戶而來的攻擊手法whoAMI,攻擊者使用名稱混淆手法提供虛擬機器映像檔,就有機會在使用者的EC2執行個體執行任意程式碼。值得留意的是,已有AWS帳號實際受害的情況發生。
【2月20日】Palo Alto Networks防火牆已知漏洞被用於攻擊網頁管理介面
鎖定Palo Alto Networks防火牆漏洞進行利用的攻擊行動,去年11月已傳出相關資安事故,如今有人將當時公布的漏洞與今年2月的漏洞串連,發起新一波的攻擊行動。
值得留意的是,大多數的防火牆曝露在網際網路上,而容易成為駭客下手的目標,若是沒有套用相關的修補程式,就有可能遭到入侵,甚至成為攻擊者進入企業組織內部環境的管道。
【2月21日】中國駭客使用勒索軟體Ghost在全球70個國家發動大規模攻擊
近期有許多資安業者針對中國駭客的攻擊行動提出警告,並有部分涉及勒索軟體攻擊,其中,美國政府針對一種由中國駭客發起的勒索軟體Ghost攻擊行動提出警告,而引起資安界高度關注。
值得留意的是,這款勒索軟體的攻擊範圍相當廣泛,橫跨70個國家,但究竟是否包含臺灣?有待其他資安業者進一步揭露相關細節。
