【資安週報】0421~0425，駭客組織NightSpire橫行全球，臺灣傳長慎醫院、倍力資訊遭攻擊

在2025年4月第四星期的資安新聞焦點，臺灣再傳4起資安事故，涵蓋醫院、資訊服務業、半導體製成設備商、航運業。

其中長慎醫院事故已是國內今年第4家遭攻擊的醫院，突顯醫療業持續成鎖定對象；上櫃公司倍力資訊的事故也令人憂心，因為該業者是資訊軟體整合服務商，通常服務眾多客戶，事件影響是否擴大需持續留意。

值得注意的是，這兩起事故的攻擊者身分很可能是駭客組織NightSpire所為。該組織4月中宣稱的受害者，就包含上述兩家臺灣企業組織，其他還有日本Nippon Ceramic，加拿大Promenade Village Dental、印尼Pupuk indonesia，以及法國Ardon地方政府單位等，顯示近期其攻擊行動相當活躍。

●萬海航運18日發布重訊，指出資訊網站遭受網路駭客攻擊。
●桃園中壢長慎醫院事故消息在20日曝光於媒體，後續衛福部證實已接獲事故通報，該院21日發布資安事件聲明，說明醫療資訊系統異常發生於14日。
●萬潤科技20日發布重訊，揭露資訊系統與部份主機與電腦，遭受病毒攻擊。
●倍力資訊23日發布重訊，說明資訊系統遭受駭客網路攻擊。

還有一起攻擊活動值得國內留意，Fortinet揭露名為RustoBot的殭屍網路，指出攻擊行動鎖定Totolink及居易特定型號的路由器，攻擊目標遍及臺灣、日本、越南、墨西哥。

國際也有重大資安事件，日本知名Web郵件系統Active! Mail遭鎖定，影響大量當地企業與教育單位，引發當地多家主機商緊急中止服務，開發商亦公告修補漏洞CVE-2025-42599。這起事件再次突顯駭客的零時差漏洞攻擊目標，不只國際大廠，本土業者產品同樣需要當心。

另一起攻擊是鎖定韓國軟體、能源、金融產業而來，已查出攻擊者為北韓駭客，特別的是，其攻擊手段是透過6年前引發藍色當機畫面的BlueKeep漏洞。

在威脅態勢方面，金融領域要特別留意，有兩起重大消息，展現網路攻擊者滲透電商與金融詐騙的新手段。一是惡意NPM套件merchant-advcash被揭露，其表面聲稱支援金流整合，實際上在付款成功時觸發反向Shell，滲透電商交易伺服器；另一是SuperCard X安卓惡意軟體的揭露，其手段是能利用NFC中繼技術，偽造實體信用卡對POS或ATM系統進行詐騙交易，繞過實體卡驗證流程，並指出這可能是將NGate惡意軟體再包裝，功能更強。

這一星期還有多起攻擊新手法揭露的新聞，值得資安防禦人員留意，我們列出下列4起消息。
●Fortinet調查漏洞攻擊事件時發現駭客採用新技術，透過符號連結（Symbolic Link）功能，可產生後門問題，建立可存取FortiGate防火牆根檔案的能力。
●Zscaler揭露中國駭客Mustang Panda針對緬甸的攻擊行動，發現其後門程式ToneShell，並指出其調整了C2連線的FakeTLS協定與用戶端識別編號建立方式。
●出現繞過雲端平臺MFA驗證的Cookie-Bite攻擊手段，研究人員指出這是駭客利用自製Chrome瀏覽器擴充程式及自動化指令，進而竊取用戶Cookies。
●攻擊者鎖定使用node-telegram-bot-api函式庫的社群推出3個偽冒套件，目的是在Linux系統中植入SSH後門，研究人員提醒因應上不能只是單純移除套件。

在漏洞消息方面，在上述CVE-2025-42599之外，還有3項需優先重視。首先，深度學習框架PyTorch修補重大漏洞（CVE-2025-32434），由於PyTorch廣受產業及學術界採用，需儘速更新修補。

還有兩個漏洞被評為CVSS滿分，分別是有大學研究人員發現Erlang/OTP SSH函式庫漏洞（CVE-2025-32433），以及Commvault修補的備份管理平臺漏洞（CVE-2025-34028）。

另一項涉及Windows工作排程服務核心元件的揭露也是本星期焦點新聞之一，有研究人員發現可濫用schtasks.exe的方法，指出其研究突顯了一種從CLI模擬任何使用者及其密碼的方法，能導致UAC繞過。

【4月21日】微軟3月修補的NTLM漏洞出現超過10起實際濫用的攻擊行動

微軟每個月例行更新（Patch Tuesday）修補的資安漏洞，少則40、50個，多的時候往往會超過100個，也因此大家通常會優先注意已遭到利用的零時差漏洞，以及危險程度較高的弱點，但被認定較不可能被利用的漏洞，若不處理，有可能成為駭客攻擊的目標。

最近資安業者Check Point公布針對NTLM雜湊值洩露漏洞CVE-2025-24054的攻擊行動，就是這種例子，他們在一週內看到超過10起攻擊。

【4月22日】中壢長慎醫院遭駭客組織NightSpire攻擊，部分業務受到衝擊

繼勒索軟體駭客組織CrazyHunter攻擊馬偕和彰基，有駭客組織也加入行列，對臺灣中大型醫院發動攻擊，而引起全臺高度關注。

根據國內多家媒體報導，駭客組織NightSpire攻擊中壢長慎醫院，並聲稱竊得大量病歷資料，由於長慎醫院是老年專科醫院，專門照顧洗腎、糖尿病等慢性病患者，一旦資料外流，不光是病人隱私曝光，還有可能影響連續就醫的記錄，干擾醫生的診斷。

【4月23日】殭屍網路RustoBot在臺灣、日本、越南、墨西哥發動攻擊

最近3至4年，資安界疾呼開發人員軟體開發安全議題，其中一項做法應透過記憶體安全程式語言進行開發，Rust是最受到推薦的程式語言之一，但現在駭客也將其用來開發惡意軟體。

本週資安業者Fortinet揭露的殭屍網路RustoBot，就是典型的例子。值得留意的是，此殭屍網路的攻擊範圍，涵蓋臺灣在內的4個國家，且鎖定市面上常見的兩家路由器下手，後續態勢相當值得我們留意。

【4月24日】CISA傳出將停止使用Censys及VirusTotal

美國政府大幅縮減行政預算的情況，其中網路安全暨基礎設施安全局（CISA）也受到影響，先是一度傳出廣泛受到全球資安界運用的「常見漏洞披露（CVE）」資料庫，他們將暫停委託MITRE維護，如今又有新的消息傳出。

本週傳出CISA將停止採用部分資安工具，當中包含Censys威脅情報服務，以及惡意軟體分析平臺VirusTotal，後續影響有待觀察。

【4月25日】導致藍色當機畫面的RDP漏洞BlueKeep，再次出現利用活動

北韓駭客Kimsuky今年動作頻頻，這些駭客不僅利用LNK捷徑檔對零時差漏洞下手，也透過PowerShell指令碼於韓國散布惡意軟體，近期又有新的事故傳出。

本週資安業者AhnLab揭露該組織最新一波攻擊行動Larva-24005，值得留意的是，駭客利用的漏洞已公布6年之久，但他們仍能成功用於實際攻擊，突顯受害組織可能尚未完全修補這項弱點。