量子密碼破解威脅是近年來資安界相當重視的資安議題,自去年量子密碼PQC標準正式發布後,臺灣也積極應對這樣的問題,後量子資安產業聯盟(PQC-CIA)召集人李維斌近期透露最新進展。
李維斌在上個月舉行的後量子密碼研討會中表示,他們已經打造了「後量子晶片公版平臺」,接下來還會進一步提供產業的遷移指引。
【攻擊與威脅】
檢查URL的網域名稱還是有可能被帶到惡意網站!網釣工具包Morphing Meerkat濫用DNS MX記錄、重開放導向漏洞
為了引誘打手從事網路釣魚攻擊活動,能夠仿冒各式知名品牌的網釣工具包不斷推出,並以租用的型式(Phishing-as-a-Service,PhaaS)提供給賣家運用,但近期研究人員看到同時整合DNS郵件交換記錄(MX Record)、DNS-Over-HTTPS(DOH)的新型態網釣套件工具包,使得相關攻擊活動的調查變得更加困難。
資安業者Infoblox揭露名為Morphing Meerkat的網釣工具包,駭客最早可能從2020年1月就開始活動,總共仿冒114個品牌來進行相關攻擊。研究人員先是發現有數千封使用該工具包發送的垃圾郵件,但特別的是,有超過半數郵件來源與兩家網際網路服務供應商(ISP)有關,分別是英國業者Iomart、美國業者HostPapa,研究人員認為,這代表相關的攻擊是精心策畫,並透過通用系統來進行。
研究人員提及,此網釣工具包較其他的PhaaS平臺來得先進,原因是Morphing Meerkat不只具備發送大量垃圾郵件的能力,還配備能讓繞過資安系統的機制。其中,他們提及該工具包可藉由DoubleClick廣告伺服器的重新導向漏洞,產生網釣連結,從而繞過電子郵件防護系統;再者,駭客也透過已遭感染的WordPress網站,將使用者重新導向網釣內容;此外,攻擊者還利用DNS MX記錄來確認受害者的郵件服務供應商,從而動態偽造登錄網頁。
惡意軟體Resurge鎖定Ivanti的SSL VPN漏洞而來
今年1月資安業者Ivanti修補旗下SSL VPN系統Connect Secure重大層級漏洞CVE-2025-0282,後續資安業者Mandiant、日本電腦危機處理暨協調中心(JPCERT/CC)揭露相關攻擊行動,如今美國也公布相關調查結果,指出駭客使用的惡意軟體出現新的變種。
3月28日美國網路安全暨基礎設施安全局(CISA)發布惡意軟體攻擊警告,要企業組織對名為Resurge的惡意軟體提高警覺,因為攻擊者滲透受害組織的管道,就是針對尚未修補CVE-2025-0282的Ivanti Connect Secure(ICS)設備下手而得逞。
此惡意程式為JPCERT/CC揭露的SpawnChimera變種,Resurge具備SpawnChimera多種能力,其中一種是會讓ICS主機不斷重開機,然而CISA指出,Resurge具備其他功能,而會對受害組織造成更大的威脅。
其他攻擊與威脅
◆針對發生在3月份的GitHub供應鏈攻擊事故,研究人員揭露是鎖定Coinbase而來
◆逾1500臺PostgreSQL伺服器遭到鎖定,駭客發動無檔案挖礦攻擊
【漏洞與修補】
3月31日蘋果發布一系列更新,其中iOS與iPadOS 15.8.4、16.7.11,以及macOS Sonoma 14.7.5、Ventura 13.7.5安全更新相當值得留意,因為該公司修補3個已被積極利用的零時差漏洞。Apple證實這些漏洞已遭用於針對性極高、技術成熟的攻擊行動,目標為特定個人使用者。
其中,CVE-2025-24200是與實體存取有關的權限處理問題,允許攻擊者在未經授權的情況下,在裝置鎖定時關閉USB限制模式,該模式原為保護iOS裝置在未解鎖狀態下,不被外部USB配件存取敏感資料。蘋果解釋,此漏洞與授權狀態管理機制不全有關,並已透過改善狀態管理進行修補。
另一項修補的漏洞為CVE-2025-24201,存在於WebKit瀏覽器排版引擎,該元件為Safari以及多數第三方App所共用。攻擊者可透過特製的網頁內容,觸發記憶體越界寫入行為,成功後有機會逃脫網頁內容沙箱,進而執行未授權動作。Apple指出,此項更新為對iOS 17.2中先前修補措施的補強,針對的是使用早期版本的裝置。
第三個零時差漏洞CVE-2025-24085,則是影響macOS平臺。攻擊者可利用惡意應用程式,在未經使用者知情同意的情況下,存取系統中的敏感資訊,包括行事曆資料。
其他漏洞與修補
◆Ivanti修補Connect Secure已遭中國駭客利用的零時差漏洞
◆Apache基金會修補Parquet危險層級達到10分的重大層級漏洞
【資安產業動態】
因應量子破密威脅,臺灣今年將推出PQC遷移指引,預計4月臺灣資安大會發布
為了應對量子破密的潛在威脅,去年8月後量子密碼PQC標準(FIPS 203、FIPS 204與FIPS 205)正式發布,成全球資安界矚目的焦點,然而,PQC遷移的問題仍迫在眉睫,以及臺灣如何在此浪潮掌握先機,是我們持續關注的焦點。
最近3月一場後量子密碼研討會上,有最新進展揭露,說明美國國家安全局(NSA)公布的6大軟硬體領域更新時間表,同時也揭露國內進度,包括已經打造「後量子晶片公版平臺」,接下來今年4月臺灣資安大會期間,還會公布「臺灣後量子遷移產業指引」。
近期資安日報
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-20
2025-05-19
2025-05-20
2025-05-20