【資安日報】6月9日，中國驚傳大規模資料外洩，40億筆民眾個資在網際網路短暫裸奔

本日資安新聞環繞兩大主題：中國與勒索軟體；在中國的部分，彙整當地民眾的40億筆記錄大型資料庫曝光最受到矚目，其次，中國駭客使用iMessage零點擊漏洞攻擊政要，以及鎖定SQL Server、NetWeaver等應用系統入侵企業組織的情況，也相當值得留意。

而在勒索軟體的部分，駭客組織Qilin的活動再度浮上檯面，在此同時，攻擊者假借提供AI工具之名的線上平臺，成為散布勒索軟體的另類管道。

【攻擊與威脅】

中國驚傳大規模資料外洩，40億筆民眾個資在網際網路裸奔一天

中國政府藉由收集民眾各式資料進行監控的情況，不時有相關消息傳出，然而這些資料保護不周的現象也時有所聞，最近有一起大規模資料外洩事故，引起全球高度關注。

資安新聞網站Cybernews的研究團隊與資安業者Security Discovery聯手，於5月19日發現未受密碼保護的大型資料庫，內有超過40億筆用戶記錄，檔案大小為631 GB，內含金融財務資料、微信及支付寶（Alipay）的詳細資料，而且，大部分資料來自中國的使用者。研究人員認為，這應該是中國史上規模最大的資料外洩事故。

這批資料裡面有什麼？Cybernews提及持有者疑似將內容依據類型分成16種資料集存放，根據筆數多寡，最多的是名為wechatid_db的資料集，內有8.05億筆微信帳號資料；其次是名為address_db的資料集，內有7.8億筆住宅的地理識別資訊，第三大的資料集名稱為bank，內有6.3億筆涉及信用卡號、存款、消費習慣的金融財務資料。研究人員指出，相關資料是透過精心收集與維護，目的很有可能是彙整所有中國民眾的行為、經濟能力，以及社會狀態。

中國資助的駭客利用iMessage零點擊漏洞Nickname，攻擊歐美重要人物

端點防護業者iVerify發現駭客組織利用iPhone上的iMessage漏洞攻擊歐美政治人物、媒體高層、AI廠商等重要人物，過程裡完全無需使用者互動。他們也透露這些受害者的共通點，就是曾遭到另一駭客組織Salt Typhoon攻擊。

去年底到今年三月間之前，多位iPhone用戶發生手機當機事件，iVerify研究人員分析是和iMessage有關的零點擊攻擊，這波攻擊源自iMessage的imagent行程（process）中的一個漏洞，該漏洞基於其功能和位置因而之前未曾被揭露，iVerify將其命名為NICKNAME。

研究人員發現，有6名iPhone用戶遭到和iMessage有關的攻擊。其中一名用戶手機頻繁發生當機後，iMessage附件在數秒內被一次大量刪除或新增的異常情形。這類異常情況僅發生在高價值，如重要政經人物身上。另一個證據是，其中一位用戶是歐盟資深政府官員，他曾接到蘋果發送威脅通知，這類通知的對象是國家駭客或政府監聽活動鎖定的iPhone用戶。

中國駭客Earth Lamia鎖定SQL Server、NetWeaver等應用系統而來，利用已知漏洞入侵受害組織

5月上旬威脅情報業者EclecticIQ指出，與中國國家安全部（MSS）有關的駭客團體CL-STA-0048、UNC5221，以及UNC5174，利用SAP修補的NetWeaver滿分漏洞CVE-2025-31324，廣泛於英國、美國、沙烏地阿拉伯發動攻擊，現在有研究人員公布長期調查的結果，指出這些駭客長期針對網頁應用系統的資安漏洞來入侵受害組織，得逞後透過多種手法從事網路間諜活動，竊取內部資料。

資安業者趨勢科技指出，他們從2023年追蹤與上述團體有關的中國駭客組織Earth Lamia，這些駭客主要針對巴西、印度、東南亞的企業組織從事攻擊行動，他們利用的管道，是透過網頁應用程式的SQL注入漏洞存取受害組織的SQL Server，這些駭客也擅於使用已知漏洞對能夠從網際網路存取的伺服器下手。

這些駭客經常透過掃描找出目標網站的SQL注入漏洞，一旦找到漏洞，他們就會試圖開啟系統的Shell，從而得到SQL Server的遠端存取管道。但除了試圖利用SQL注入手法，駭客也使用已知漏洞來攻擊其他應用程式伺服器。

勒索軟體Qilin利用Fortinet已知漏洞從事攻擊行動

根據資安新聞網站Bleeping Computer的報導，資安業者Prodaft指出，勒索軟體駭客Qilin在今年5月至6月之間，發起鎖定多個企業組織的攻擊活動，利用Fortinet防火牆的已知漏洞來取得初始入侵管道，其中包含CVE-2024-21762、CVE-2024-55591。

而對於這些駭客針對的目標，研究人員指出共通點是來自使用西班牙語的國家，但他們認為駭客應該會隨機挑選下手目標，而非特別局限於特定的地理區域從事相關活動。

上述研究人員提及的防火牆漏洞，皆已用於實際攻擊行動，而且，CVE-2024-55591被用於散布勒索軟體已非首例，今年1月下旬，使用俄語的駭客組織Mora_001藉此部署以LockBit 3.0為基礎的勒索軟體SuperBlack；另一個漏洞CVE-2024-21762，美國網路安全暨基礎設施安全局（CISA）於2月列入已遭利用的漏洞名冊（KEV）。

勒索及惡意軟體偽裝成AI工具散布

資安業者Cisco Talos警告，隨著AI工具的盛行，駭客開始假冒各種合法的AI工具以散布CyberLock與Lucky_Gh0$t等勒索軟體，以及全新的惡意軟體Numero。

其中，CyberLock假冒為Novaleads，這是個協助企業將潛在客戶變現的線上平臺，主要提供行銷與客戶關係管理服務，其官網為Novaleads.app，其實跟AI並無關係，但駭客建立了一個Novaleads AI品牌，並申請Novaleadsai[.]com網址，同樣宣傳可推動銷售，企圖混淆視聽，提供產品下載，還說前12個月可免費使用，結果於執行程式中暗藏了CyberLock勒索軟體，向受害者要求價值5萬美元的門羅幣作為贖金。

而Lucky_Gh0$t則偽裝成ChatGPT 4.0完整版安裝程式ChatGPT 4.0 full version - Premium.exe，它只加密小於1.2GB的檔案，包括文字、程式碼與配置檔，或是Office與Adobe文件，以及安裝程式或憑證檔等，較大的檔案則是直接破壞。

其他攻擊與威脅

◆惡意軟體PathWiper鎖定關鍵基礎設施而來，意圖植入管理工具以便駭客後續作案

◆遊戲玩家、指令碼小子遭鎖定，駭客企圖透過GitHub散布木馬程式Sakura RAT

◆後門程式GlueStack透過惡意NPM套件散布

◆應用程式建置服務Passion.io資料庫未受保護，360萬開發者資料恐曝險

◆MCP伺服器近8%為惡意用途，逾1.7萬個GitHub儲存庫曝險