文/周峻佑 | 2025-03-19發表

今天最受到關注的資安新聞,莫過於一項被利用8年以上的零時差漏洞,將其用於攻擊行動的國家級駭客就有11組人馬,但這項發現受到矚目的原因,在於研究人員通報後廠商表示不會進行修補。

這種情況已非首例,企業或許能透過入侵防禦系統(IPS)的虛擬修補(Virtual Patching)機制來因應,但對於個人用戶而言,可能就難以尋求其他防護機制自保。

 

【攻擊與威脅】

11組國家級駭客共散播上千個惡意LNK捷徑檔,劍指Windows尚無修補的零時差漏洞

一項曝露超過8年、至少有11個國家級駭客利用的零時差漏洞,因為微軟決定不予修補,在研究人員公布相關發現後,引起各界高度關注。

趨勢科技旗下的漏洞懸賞專案Zero Day Initiative(ZDI)指出,他們去年9月發現利用零時差漏洞ZDI-CAN-25373攻擊行動,這波攻擊最早可追溯到2017年,來自北韓、伊朗、俄羅斯、中國的11個國家級駭客利用這項漏洞,針對北美洲、南美洲、歐洲、亞洲、澳洲從事相關攻擊,範圍涵蓋政府機關、金融機構、電信業者、軍事單位、能源產業等領域。除此之外,也有以經濟利益為動機的駭客加入漏洞利用的行列。

這些駭客使用LNK檔案未公布的命令列參數來觸發漏洞,從而在不被偵測到的情況下執行惡意酬載。研究人員總共找到接近1千個駭客使用的捷徑檔(Shell Link檔案,副檔名為LNK),並研判駭客實際使用的惡意檔案數量遠大於此。ZDI向微軟通報這項弱點並得到確認,但微軟起初表示該弱點並未達到服務條件,決定不予修補。在資安媒體廣泛報導ZDI的發現後,微軟發言人也做出新的說明,表示雖然該弱點雖然未達到該公司立即處理的標準,但他們將考慮在未來的功能發布當中緩解。

超過1百萬裝置遭殭屍網路BadBox 2.0綁架,用於廣告詐欺、非法代理伺服器

去年12月德國封鎖預載於安卓物聯網裝置的惡意軟體BadBox,並評估該國至少有3萬臺裝置曝險,後來資安業者BitSight指出,全球有多個國家也出現災情,他們掌握有19萬臺裝置被綁架的情況,如今有資安業者公布新的發現,指出駭客發起新一波的攻擊行動,且規模更加龐大。

資安業者Human旗下的威脅情報研究團隊Satori與Google、趨勢科技、Shadowserver基金會等合作夥伴聯手,揭露新一波的惡意軟體BadBox 2.0攻擊行動,並指出這是有史以來最大的連網電視(Connected TV,CTV)殭屍網路,估計有超過100萬臺裝置被綁架,這些裝置的流量遍及全球222個國家。

一旦攻擊者成功植入BadBox 2.0的詐欺模組,受害裝置隨即成為殭屍網路的一部分,攻擊者會將其用於程式化的廣告詐欺、點擊詐欺,以及提供惡意代理伺服器服務。若是使用者租用這種服務,就會進一步從事其他網路犯罪行為,例如:帳號挾持(ATO)、產生用於犯罪的假帳號、竊取動態密碼(OTP)丶散布惡意軟體或是發動DDoS攻擊。

中國駭客MirrorFace從事新一波攻擊,散布惡意程式ANEL、AsyncRAT

2025世界博覽會即將於下個月在日本大阪市舉辦,但在此之前傳出中國駭客想要藉此攻擊與會歐洲外交單位的情況。

資安業者ESET於去年8月偵測到中國駭客組織MirrorFace的攻擊行動,主要目標是想要參與世界博覽會的中歐外交機構。研究人員指出,這些駭客過往長期針對日本而來,這是他們首度看到攻擊歐洲相關單位的情況。這波攻擊延續去年該公司揭露的攻擊行動Operation AkaiRyū,但戰略、手段、流程(TTP)有所調整,包含使用自製的AsyncRAT變種、來自另一個中國駭客組織APT10的惡意程式Anel(也被稱做UpperCut),並採用更為複雜的攻擊步驟。

另一方面,這些駭客也濫用開發工具Visual Studio Code(VS Code),建立遠端隧道機制,從而秘密地存取受害電腦,執行任意程式碼,或是傳送其他作案工具。

其他攻擊與威脅

ChatGPT存在漏洞,傳出被用於對美國政府及組織下手

供應鏈攻擊出現新手法Rules File Backdoor,恐波及AI編輯器用戶

安卓惡意軟體Vapor透過逾300個App散布,於Google Play市集被下載6千萬次

駭客透過ClickFix手法散布各式竊資軟體

其他漏洞與修補

AMI旗下MegaRAC BMC存在重大漏洞,恐導致伺服器遭挾持

 

【資安產業動態】

Google正式宣布將以320億美元買下資安新創Wiz

3月18日Google宣布,已與雲端安全平臺Wiz簽署最終併購協議,準備支付320億美元的現金買下Wiz,併購完成後Wiz將直接併入Google Cloud,目前雙方正在等待監管機關的審核。而這是2022年該公司先後以5億美元、54億美元買下資安業者Siemplify、Mandiant之後

而對於Alphabet併購Wiz的動機,外界普遍認為很有可能是為了強化GCP及其雲端資安業務。值得留意的是,去年Wiz在拒絕併購時,傳出執行長向員工宣布要發行股票(IPO),但後來卻不了了之,並開始與買家進行交涉,目前與Alphabet的協商進行到最後階段。彭博社指出,兩家公司最快會在本週宣布此事。

 

近期資安日報

【3月18日】駭客組織CrazyHunter聲稱攻擊臺灣上市公司科定

【3月17日】Fortinet身分驗證繞過漏洞傳出被用於勒索軟體攻擊

【3月14日】國家資通安全戰略2025即將發布,將以全社會防衛為基礎打造國家資安韌性

iThome Security

熱門新聞

Advertisement