3月初彰基醫院證實連假期間遭遇網路攻擊,經衛福部介入協助之後,確認是勒索軟體駭客CrazyHunter所為,研判在馬偕和彰基之後,駭客會尋找下一間醫院發動攻擊。但如今,傳出這些駭客針對臺灣其他產業下手的情況。
昨天上市公司科定發布資安重訊,表示他們遭遇網路攻擊。而對於攻擊者的身分,CrazyHunter表明是他們所為,並竄改科定的網站向該公司施壓。
【攻擊與威脅】
攻擊馬偕、彰基的CrazyHunter再度犯案,鎖定臺灣上市公司科定
臺灣又有上市公司疑似遭遇勒索軟體組織的攻擊,上市公司科定企業在3月17日早上發布資安重訊證實發生網路資安事件。值得我們關注的是,這起事件的攻擊者,似乎就是半個月前攻擊馬偕、彰基醫院的幕後兇手CrazyHunter。
科定企業這家公司的本業,是研發與生產KD塗裝木皮板、環保批批板,也就是環保裝潢加工板材。17日上午10時我們接獲科定遭網路攻擊的消息,因此連至該公司網站欲查詢其聯繫方式,結果發現,該公司整個首頁遭到攻擊者竄改。
根據駭客竄改該公司網站首頁的內容顯示,對方自稱為CrazyHunter,並且態度十分囂張地聲稱他們加密了受害者所有的系統,包含Hyper-V、NAS、Vmware與Veeam的備份,並竊取了15 TB的資料,包含檔案伺服器資料、CRM、BPM、EIP、SAP、生產圖紙、客戶資料等其他敏感資料,要脅受害者與他們聯繫,否則將在24小時後揭露1 TB資料。
網頁伺服器系統Tomcat是Apache基金會核心專案之一,根據W3Techs網站的統計,雖然目前市占不到0.1%,但它仍是不少企業採用的Java應用伺服器平臺,原因在於Tomcat開源且占用資源少,廣泛支援Java網頁應用,因此適合小型應用及微服務架構,有許多企業及雲端平臺採用,不過,一旦這種重要元件出現弱點,影響將非常廣泛。自去年底Apache基金會揭露Tomcat重大層級漏洞CVE-2024-50379,最近他們公布了新漏洞CVE-2025-24813(未公布CVSS風險評分),但直到有資安業者警告該漏洞出現攻擊行動,才引起各界關注此事。
3月17日API資安業者Wallarm指出,在3月11日Apache基金會公開CVE-2025-24813之後,隔天有名為iSee857的中國使用者公布概念驗證(PoC)程式碼,與Apache基金會公開漏洞的時間間隔僅有30個小時。隨後研究人員就在12日北美中部時間(CST)下午12時38分偵測到第一波攻擊,這起攻擊來自波蘭。Wallarm指出這項漏洞非常危險,因為將其用於攻擊極為容易,而且不需通過身分驗證,唯一的必要條件,就是Tomcat必須採用以檔案為基礎的連線階段儲存(Session Storage)機制,而這是大部分Tomcat相當常見的部署型態。
駭客佯裝Booking.com從事ClickFix網釣,對旅館業者的人際網路散布惡意程式
微軟威脅情報團隊從去年12月的旅遊旺季,察覺專門針對旅館業者的ClickFix網釣攻擊行動,駭客組織Storm-1865假借訂房網站Booking.com的名義發送釣魚郵件,意圖散布能竊取多種帳密資料的惡意程式。值得留意的是,這波攻擊行動仍在持續進行當中。
駭客攻擊的範圍相當廣泛,涵蓋北美、大洋洲、南亞及東南亞,歐洲北部、南部、東部、西部都有災情。遭到攻擊的目標存在共通點,那就是大部分都與Booking.com有合作關係。
在這波攻擊當中,駭客先鎖定可能與Booking.com合作的旅館及相關人士,假借該訂房網站名義寄送惡意郵件,信件內容相當多元,包括旅客的負面評論、潛在客戶需求、網路促銷機會,以及帳號驗證等。然而,這些郵件存在共通之處,不是內文包含URL連結,就是挾帶的PDF附件存在URL,駭客引誘收信人點選,對Booking.com進行回覆,若是照做就會遭遇ClickFix攻擊,可能導致電腦被植入惡意程式。
其他攻擊與威脅
◆訊舟網路攝影機零時差漏洞去年上半遭到利用,兩組人馬散布殭屍網路Mirai
◆汽車經銷商網站LESA遭遇供應鏈攻擊,駭客透過網站向使用者從事網釣
◆木馬StilachiRAT鎖定逾20種加密貨幣錢包,挾持剪貼簿收集敏感資料
【漏洞與修補】
思科修補IOS XR的BGP聯盟實作漏洞,若不處理恐面臨DoS服務中斷攻擊
思科上週發布的網路設備作業系統IOS XR上半年例行更新,其中一項資安漏洞CVE-2025-20115引起高度關注,因為這項弱點思科將其評為中度風險,但CVSS風險評估卻高達8.6分,使得國內外資安媒體爭相報導此事,呼籲IT人員不能掉以輕心,應儘速套用更新程式修補。
這項弱點出現在IOS XR的邊界閘道協定(BGP),影響已設置BGP聯盟的設備。未經身分驗證的攻擊者有機會遠端發動阻斷服務(DoS)攻擊。起因是在BGP更新時建立的AS_CONFED_SEQUENCE屬性當中,若是出現255組自治系統編號(ASN),就有可能出現記憶體損壞的現象而引發漏洞。攻擊者可藉由發送特製的BGP更新訊息,或是在特定的網路環境下讓IOS XR設備登錄255組以上的ASN,就有機會觸發漏洞。
一旦成功觸發這項弱點,攻擊者就能造成IOS XR設備記憶體損壞,從而導致BGP處理程序重新啟動,從而造成服務阻斷。
其他漏洞與修補
◆GitHub Action存在弱點,攻擊者將其用於洩露儲存庫機密資料
【資安產業動態】
外傳Alphabet再度試圖買下資安新創Wiz,開價300億美元
3月17日華爾街日報、彭博社引述消息來源報導,Google母公司Alphabet在去年打算以230億美元收購雲端資安新創Wiz未果,近期Alphabet提高價碼,再度提議買下Wiz,而對於併購的金額,兩家新聞網站掌握到的數字不同:華爾街日報表示為300億美元,彭博社透露可能是330億美元。假若這項併購案成真,將成為Alphabet史上金額最大的交易。
而對於Alphabet併購Wiz的動機,外界普遍認為很有可能是為了強化GCP及其雲端資安業務。值得留意的是,去年Wiz在拒絕併購時,傳出執行長向員工宣布要發行股票(IPO),但後來卻不了了之,並開始與買家進行交涉,目前與Alphabet的協商進行到最後階段。彭博社指出,兩家公司最快會在本週宣布此事。
近期資安日報
【3月17日】Fortinet身分驗證繞過漏洞傳出被用於勒索軟體攻擊
熱門新聞
2025-03-17
2025-03-17
2025-03-18
2025-03-17
2025-03-17
