文/周峻佑 | 2025-04-18發表

這兩個月不斷在臺灣攻擊醫院、上市櫃公司的勒索軟體駭客組織CrazyHunter,在4月初刑事警察局公布駭客身分後,最近有資安業者透露其作案手法,並認為該組織的主要攻擊目標,就是臺灣。

本週趨勢科技公布相關調查結果,他們提及駭客利用的工具多半由GitHub就能取得,這代表駭客犯案的門檻並不高。

 

【攻擊與威脅】

趨勢科技證實CrazyHunter鎖定臺灣而來,運用來自GitHub的工具犯案

從今年2月開始攻擊馬偕、彰基,以及臺灣多家上市櫃公司而引起全臺灣高度關注勒索軟體駭客組織CrazyHunter,4月初刑事警察局公布駭客身分,並表示地檢署已發布通緝,但對於駭客的攻擊手法,近期終於有資安業者公布相關細節。

趨勢科技本週透過部落格文章揭露這一系列鎖定臺灣的攻擊調查結果,他們從1月初開始追蹤、調查CrazyHunter,並確認該組織約有8成的作案工具透過GitHub平臺取得,且藉由自帶驅動程式(BYOVD)手法迴避偵測。而根據駭客架設的資料外洩網站,他們專門針對臺灣的企業組織而來,尤其針對醫療保健及教育機構,但也有製造業及工業領域受害的情形。

針對駭客使用的工具,最引起研究人員注意的是勒索軟體建置工具Prince,原因是此工具可直接從GitHub取得,且能讓攻擊者輕易產生變種勒索軟體來降低攻擊門檻。此勒索軟體以Go語言打造而成,駭客採用ChaCha20與ECIES演算法加密受害電腦,並置換副檔名為.Hunter。

【當心提示注入、敏感資訊洩漏、錯誤資訊等問題】已在真實世界發生的LLM資安風險

當生成式AI技術快速進入企業應用的同時,資安風險也伴隨而來,在知名OWASP Top 10風險排名報告中,已列出並持續更新大型語言模型(LLM)應用的十大安全風險,不僅揭露應用的潛在威脅,也提醒生成式AI服務供應商,以及應用這些技術的企業與個人,應注意這方面的安全問題。

別以為這些只是假設在未來發生的情境,有些風險本身就是反映真實世界存在的安全事件。在我們近期報導的國內外資安新聞中,就有一些案例突顯這些問題,並且提醒大家須保持警惕。

其中,去年11月在臺灣就發生相關事故,有民眾發現,北捷提供的AI智慧客服服務,竟能用於生成程式碼範例,引發許多網友測試,導致資源遭濫用。這其實就是名列LLM十大風險的「提示詞注入」當中的一種情境,使用者透過特定輸入,誘使AI客服產生超出預期範圍的回應,代表系統可能未有效限制模型的回應範圍,導致被濫用。

其他攻擊與威脅

北韓、伊朗、俄羅斯駭客發動ClickFix網釣攻擊,散布惡意軟體

中國駭客Mustang Panda鎖定緬甸而來,利用StarProxy橫向移動

中國駭客UNC5221鎖定歐洲,散布後門程式BrickStorm

惡意Chrome延伸套件遭下載6百萬次,受害者恐遭監視上網行為

其他漏洞與修補

Windows工作排程元件存在弱點,恐被用於提升權限

 

【資安產業動態】

【臺灣資安大會直擊】個資保護委員會籌備處建議用MFA確保使用者身分安全,並以高安全性多因子驗證來提高攻擊難度

「許多人會問個資保護與資訊網路安全到底有什麼關係?答案是兩者之間有關係!」,個人資料保護委員會籌備處隱私科技組組長林逸塵在今年資安大會上這麼說。林逸塵指出,對於資料及資安保護採取PDCA四大步驟,規畫(Plan)、實施(Do)、檢查(Check)、改善(Adjust),數發部產業署在2023年提出詳細的PDCA各步驟要求,可供企業參考,只要公司內有資訊系統,除了要符合資訊服務業者的PDCA四大步驟,還需要遵守各自業別的法律規定及資料保護要求。

在PDCA裡,「實施」要求企業需確保資料安全、人員安全、設備安全。林逸塵表示,只要企業有資訊系統及資訊設備,對個資進行存取、新增或修改,就需要符合資料安全、人員安全、設備安全的要求。其中在身分鑑別方面,除了傳統使用的帳號及密碼,近幾年倡導使用多因子驗證(MFA),因不同的因子安全性高低有別,因此,林逸塵也建議應該將因子安全性高低納入考慮,例如採用電子憑證或生物特徵,甚至是將更多的因子綁在一起,提高攻擊的難度。

【臺灣資安大會直擊】安碁學苑:企業應從實務出發,打造涵蓋內外部人員角色的資安人才梯隊培訓藍圖

資安威脅複雜程度不斷提升,駭客手法隨著科技創新跟著進化的現今,企業應如何規畫資安人才培育,來支援企業營運韌性?資安訓練服務商安碁學苑營運長劉孟昌列出三項企業可自我檢視的問題:是否具備即戰力的資安團隊?是否有分類與分層次的資安人才培育藍圖?以及,是否具備整合內外部資源、持續進化的能力?

劉孟昌進一步解釋,現行環境下,不只資安人才不足成挑戰,培訓資安人才的方式,也可能跟不上日新月異的資安威脅。他觀察,不少企業資安訓練內容,是證照考取導向,或理論導向。這類培訓方法,難以為資安人員應付最新威脅做準備。應該以實務為導向來培育具備即戰力的資安人員,才能對威脅快速反應。

不只IT和資安人員需要具備即戰力。劉孟昌認為,企業應該先意識到,每個部門的每個角色都是資安第一線防線。由於每個職位的工作流程,仍是該職位人員最熟悉。企業須普及資安意識及知識到全體員工,才能靠各職位人員辨別工作流程中易被突破的環節或資訊外洩缺口。

 

近期資安日報

【4月17日】CVE專案長年靠美國政府資金運作議題浮上檯面

【4月16日】MITRE停止維護CVE等多項專案,恐波及全球資安漏洞分析

【4月15日】總統親臨臺灣資安大會致詞,從國家戰略、產業政策彰顯資安

iThome Security

熱門新聞

Advertisement