回顧2025年3月第三星期的資安新聞,勒索軟體CrazyHunter持續鎖定臺灣的狀況最引發關注,不只是先前馬偕、彰基醫院受害,如今上市公司「科定」也被列為其受害者,這起事故也意味著該組織的攻擊目標,可能從醫療院所持續擴展至上市櫃公司。而且我們還發現,在該公司發布重大訊息揭露之前,其公司網站首頁遭到惡意置換,對方聲稱加密受害者所有系統並留下勒索訊息。
近來還有假冒我國財政部的網釣攻擊,需要政府機關及企業的財務人員注意,今年已有財政部、資安業者、數位發展部相繼提出警告,指出有駭客假冒其名義,以稅務抽查涉稅企業名單、稅務通知、賦稅稽查通知書為幌子從事網釣攻擊。
另一臺灣企業要特別注意的風險是弱點管理,去年臺灣資安研究人員揭露與通報的PHP-CGI重大漏洞CVE-2024-4577,今年1月有攻擊者鎖定日本的未修補企業組織攻擊,如今另一資安業者示警,指出最近一個月臺灣是攻擊者的主要目標。
在漏洞消息方面,這一星期3個漏洞利用消息,涵蓋Windows、Tomcat與ChatGPT,雖然美CISA尚未納入已知漏洞利用清單,但值得優先重視。另有Paragon間諜軟體利用零點擊WhatsApp零時差漏洞的揭露,Meta已修補但不會分配CVE編號。
●ZDI去年9月發現利用ZDI-CAN-25373漏洞的攻擊行動,鎖定的是Windows尚無修補的零時差漏洞,已有11個國家級駭客用以散布惡意LNK檔案發動攻擊。
●Apache基金會新修補Tomcat的漏洞CVE-2025-24813,有資安業者發現30小時後已有PoC公布,並且偵測到第一波攻擊。
●去年ChatGPT commit f9f4bbc被揭露存在SSRF漏洞CVE-2024-27564,如今有資安業者警告已被用於實際攻擊。
還有5個漏洞被CISA列入已知被利用漏洞清單,其中兩項我們在2月中與上星期就已經報導有資安業者揭露,包括Fortinet的漏洞CVE-2025-24472利用,以及訊舟科技老舊網路攝影機的漏洞CVE-2025-1316 利用,CISA強調,當漏洞緩解措施無法發揮作用時,應停止使用產品。其他3項我們整理如下:
●GitHub Action的tj-actions/changed-files出現與供應鏈攻擊相關的漏洞CVE-2025-30066,將導致日誌列出的敏感CI/CD憑證與機密資訊發生洩漏狀況。
●Nakivo備份軟體去年11月修補、今年2月揭露的漏洞CVE-2024-48248
●SAP NetWeaver應用伺服器平臺2017年修補的漏洞CVE-2017-12637
其他重要漏洞修補的消息,還包括:Python程式庫Python JSON Logger、SAML程式庫ruby-saml,以及思科、IBM、Veeam、群暉等。
而在威脅態勢方面,有3起消息與網釣與惡意套件散布有關,突顯這類社交工程手法持續受到駭客青睞。
●駭客組織Storm-1865發動ClickFix網釣活動被揭露,駭客假借Booking.com名義,對其合作的旅館業者的旅館及相關人士發送釣魚郵件、散布惡意程式。
●新一起駭客鎖定微軟開源IDE編輯器Visual Studio Code(VS Code)的狀況,有攻擊者鎖定開發人員散布惡意套件ahban.shiba等,意圖植入勒索軟體。
●中國駭客MirrorFace散布惡意程式ANEL、AsyncRAT的新網釣活動被揭露,不僅入侵後會濫用VS Code內建功能隱匿行蹤,鎖定目標已從日本擴展至歐洲。
●鎖定WordPress網站的惡意軟體攻擊行動DollyWay被揭露,主機代管業者GoDaddy的資安研究團隊指出駭客已入侵超過2萬個網站。
在資安業者動向與防禦方面,有一件重大消息,Google宣布將以320億美元買下資安新創Wiz,還有下列消息也值得留意,包括:Google釋出開源軟體漏洞掃描工具OSV-Scanner的2.0版,Chrome改用Rust重寫字型處理程式庫Skrifa以提升安全性,以及蘋果預告iOS將支援RCS 3.0所新增的E2EE功能,提升與安卓訊息互通安全性。
【3月17日】Fortinet身分驗證繞過漏洞傳出被用於勒索軟體攻擊
資安業者Fortinet今年1月公布重大層級的防火牆漏洞CVE-2024-55591,但在事隔一個月後在同一則公告提及,還有另一項身分驗證漏洞CVE-2025-24472也遭到利用,但究竟新漏洞如何遭到利用?最近有資安業者公布新的攻擊行動,並指出上述兩項漏洞都遭到利用。
針對這項漏洞利用攻擊事故,資安業者Forescout透露是勒索軟體SuperBlack的攻擊行動,值得留意的是,他們發現駭客使用不同管道來攻擊防火牆設備,但實際上都是為了觸發相同的漏洞。
【3月18日】駭客組織CrazyHunter聲稱攻擊臺灣上市公司科定
3月初彰基醫院證實連假期間遭遇網路攻擊,經衛福部介入協助之後,確認是勒索軟體駭客CrazyHunter所為,研判在馬偕和彰基之後,駭客會尋找下一間醫院發動攻擊。但如今,傳出這些駭客針對臺灣其他產業下手的情況。
昨天上市公司科定發布資安重訊,表示他們遭遇網路攻擊。而對於攻擊者的身分,CrazyHunter表明是他們所為,並竄改科定的網站向該公司施壓。
【3月19日】11組國家級駭客劍指Windows尚無修補的零時差漏洞,散布惡意LNK檔案發動攻擊
今天最受到關注的資安新聞,莫過於一項被利用8年以上的零時差漏洞,將其用於攻擊行動的國家級駭客就有11組人馬,但這項發現受到矚目的原因,在於研究人員通報後廠商表示不會進行修補。
這種情況已非首例,企業或許能透過入侵防禦系統(IPS)的虛擬修補(Virtual Patching)機制來因應,但對於個人用戶而言,可能就難以尋求其他防護機制自保。
【3月20日】PHP已知重大漏洞攻擊行動升溫,臺灣是主要攻擊目標
PHP-CGI重大漏洞CVE-2024-4577在揭露後很快就傳出災情,不僅有勒索軟體將其作為入侵受害組織的手段,也有臺灣的大學被植入後門程式。事隔半年,漏洞利用的事故再度傳出,而且,駭客的主要目標就是臺灣。
根據資安業者Bitdefender的調查,他們發現駭客在近一個月相關攻擊出現顯著增加的情況,與過往不同的是,已有駭客將受害主機用來挖礦,或是部署其他惡意軟體從事其他活動。
【3月21日】VS Code擴充套件市集成為駭客散布勒索軟體的新管道
近期駭客濫用微軟開源IDE編輯器Visual Studio Code(VS Code)的情況不時傳出,在我們本週報導中國駭客MirrorFace利用這套IDE工具的內建功能隱匿行蹤之後,又有駭客上架有問題的擴充套件,意圖散布勒索軟體。
值得留意的是,有研究人員向資安新聞網站透露,駭客早在4個月前就開始上架能發動攻擊的惡意套件,他們當時通報此事卻疑似因為鮮少用戶下載而被忽視,這代表微軟可能得調整相關機制來因應。
