在2025年3月最後一週的資安新聞中,主要焦點是有3家臺灣上市公司遭遇資安事故,並且都在3月25日同一天發布重大訊息。其中,喬山遭CrazyHunter組織攻擊的事件尤為引人注目,目前該組織列出的8個受害者皆為臺灣的醫學中心與上市公司,這種情況極為罕見;網通廠居易科技說明網站遭DDoS也引發外界關注,因為日前該公司的產品疑似也遭鎖定攻擊,導致其用戶受影響,該公司臉書粉絲專頁則表明:「機器一直重開,受到攻擊,請更新。」後續居易向我們表示,目前預估是有策略性的攻擊,攻擊了該公司註冊的主機及官網及路由器。
●喬山健康科技揭露網路資安事件,說明總部與部分海外子公司內網有被企圖登入,資訊系統遭受駭客。
●國揚建設公布遭遇網路資安事件,指出遭受加密攻擊。
●居易科技說明疑似發現遭遇DDoS攻擊,初步調查顯示,公司官方網站、MyVigor網站皆遭受攻擊。
還有一項消息值得國內重視,思科Talos揭露了駭客組織UAT-5918的攻擊行動,顯示該駭客組織自2023年開始鎖定臺灣關鍵基礎設施(CI)攻擊,針對包含電信、醫療保健、資訊科技等垂直產業,另也指出該組織攻擊手法與多個中國駭客組織有所交集。
在資安威脅態勢方面,電信業被鎖定攻擊的情形再成焦點,資安業者Sygina揭露新一起攻擊活動,指出使用變種中國菜刀(China Chopper)Web Shell的中國駭客客Weaver Ant,針對東南亞一家大型電信業者下手,暗中持續從事網路間諜活動長達4年之久。
還有資料外洩事故,國際間有一起重大新聞,有駭客聲稱握有600萬筆Oracle雲端服務資料,雖然Oracle否認遭入侵,但有消息指出駭客入侵管道與身分驗證的環節有關,有可能利用CVE-2021-35587而得逞,後續資安業者CloudSEK亦確認這批資料來自Oracle Cloud網域。
另要留意的供應鏈攻擊的威脅與風險,特別是有兩則消息均與GitHub有關。
一是有資安研究人員發現供應鏈攻擊新手法Rules File Backdoor,該手法主要針對Cursor與GitHub Copilot兩款AI程式碼編輯器而來,並指出其特殊之處在於,攻擊者可將AI程式助手的規則檔案變攻擊媒介。
另一是實際發生的威脅,上星期GitHub Action出現供應鏈攻擊的漏洞CVE-2025-30066遭利用,將導致日誌列出敏感憑證與機密資訊而發生洩漏,如今又發現可能是另一個reviewdog/action-setup@v1的漏洞CVE-2025-30154洩露所導致。
在其他漏洞利用消息方面,涵蓋Chromium、思科與Sitecore的產品。
●Google修補Chromium已遭利用零時差漏洞CVE-2025-2783,通報的卡巴斯基研究人員表示,此攻擊還同時利用另一RCE漏洞。(Firefox也因此事故發現IPC有類似弱點而修補另一漏洞)
●思科去年9月修補授權管理工具的漏洞CVE-2024-20439、CVE-2024-20440,近期發現已有駭客鎖定未修補用戶攻擊的跡象。
●Sitecore CMS平臺在2019年修補的漏洞CVE-2019-9875、CVE-2019-9874,近日發現遭鎖定利用,國內亦有金融業應用此產品,需留意是否早已修補。
另外,還有一個零時差漏洞揭露的消息值得留意,資安業者0patch揭露Windows存在NTLM雜湊洩露新漏洞,他們表示免費提供微修補程式暫時因應,也提醒用戶需注意後續微軟修補動向。
【3月24日】駭客組織UAT-5918鎖定臺灣關鍵基礎設施而來
中國駭客組織鎖定臺灣的情況不時傳出,近期思科揭露的新駭客組織UAT-5918引起資安媒體高度關注,原因是這個駭客組織主要的攻擊目標就是臺灣,而且活動長達2年才被發現行蹤。
這批人馬專門針對電信、醫療保健、資訊科技的垂直產業下手,但除此之外,臺灣其他關鍵基礎設施(CI)也遭到攻擊。特別的是,他們也與多組中國駭客的目標及手法存在交集,這樣的情況讓人不禁聯想UAT-5918可能也來自中國。
【3月25日】中國駭客Weaver Ant埋伏東南亞某電信業者環境4年
3月初彰基醫院證實連假期間遭遇網路攻擊,經衛福部介入協助之後,確認是勒索軟體駭客CrazyHunter所為,研判在馬偕和彰基之後,駭客會尋找下一間醫院發動攻擊。但如今,傳出這些駭客針對臺灣其他產業下手的情況。
昨天上市公司科定發布資安重訊,表示他們遭遇網路攻擊。而對於攻擊者的身分,CrazyHunter表明是他們所為,並竄改科定的網站向該公司施壓。
【3月26日】喬山健康科技遭遇資安事故,疑似CrazyHunter所為
中國駭客組織對臺侵擾不斷,我們本週報導了專門針對臺灣關鍵基礎設施的駭客組織UAT-5918,先前攻擊馬偕、彰基,以及科定企業的駭客組織CrazyHunter,再傳對臺灣的上市公司下手。
值得留意的是,近來臺灣企業組織接二連三傳出遭到CrazyHunter攻擊,由於這些駭客攻擊行動幾乎全面鎖定臺灣,這種情況並不常見,需要臺灣政府、資安業者、企業共同警戒及應對。
【3月27日】資安業者揭露能對GitHub Copilot用戶發動的AI供應鏈攻擊手法
鎖定開發人員的攻擊行動的日益頻繁,其中最常見的是利用NPM、PyPI套件,引誘開發人員下載,進而在受害者電腦部署惡意程式,然而最近有資安業者警告,他們發現一種針對AI工具GitHub Copilot的攻擊手法,能讓開發人員在不知情的情況下,產生有問題的程式碼。
這個問題的核心,在於攻擊者有機會操弄GitHub Copilot的規則檔案(Rules File),從而左右AI產出的程式碼。研究人員指出,這種手法開發人員難以察覺,因此他們呼籲必須採取相關措施來因應這類感脅。
【3月28日】NPM惡意套件攻擊出現難以清除的新手法
昨天我們報導了針對開發人員而來的新型態供應鏈攻擊手法Rules File Backdoor,這種手法駭客看上的就是越來越多開發人員使用的AI程式碼助理GitHub Copilot,如今NPM套件攻擊的手法也出現了變化。
例如,資安業者ReversingLab揭露的不尋常NPM攻擊行動,一旦開發人員部署了駭客的惡意套件,就會在另一個合法的ethers套件埋入惡意程式碼。
