文/羅正漢
2025年7月7日
回顧2025年7月初的資安新聞,臺灣有兩起重大新聞事件受矚目,包括消防救護領域有即時資訊遭竊,以及金融支付領域有全支付UAT測試環境帳密外洩情形。
(一)調查局偵破消防局救護資訊遭竊案,全臺21縣市的行動派遣等緊急救護系統受影響,發現每年非法連線超過三千萬次。調查發現,喪葬業者委託潘姓男子入侵系統,非法取得派遣與出勤資訊,行為已持續逾四年。經檢察官複訊後,業者與工程師均涉犯刑法妨害電腦使用罪。(二)全支付Pxpay Plus測試環境的管理帳密被發現兜售於深網(Deep Web),該公司表示已掌握此事,確實有測試環境帳密外洩情資,經深入分析非內部系統遭駭,而是少數合作商戶遭駭客入侵,從其商戶的個人電腦取得登入資訊所導致。
還有3起威脅與風險揭露,同樣值得臺灣留意,涵蓋網釣攻擊、鎖定Exchange伺服器的攻擊,以及國安局依據《行動應用APP基本資安檢測基準v4.0》抽查5款中國App的結果公開。●資安業者Seqrite揭露國家級APT攻擊活動Swan Vector正鎖定臺灣、日本,藉由假的履歷表、財務文件名義網釣,鎖定教育與機械工程產業。●資安業者Positive Technologies揭露有駭客鎖定Exchange伺服器注入鍵盤內容側錄工具(Keylogger),越南、俄羅斯與臺灣是前3大攻擊目標。●國安局針對5款中國App進行抽查,依據15項指標檢測,發現小紅書每一項都違規,微博、抖音則有13項違規、微信為10項、百度雲盤為9項。
在威脅態勢方面,國際間有一連串重大消息是:多家航空業運輸業發布資安事故公告,包括夏威夷航空、西捷航空與澳洲航空。
更引發關注的是,這些事件可能都與駭客團體Scattered Spider有關,該組織擅長網釣、憑證竊取、語音網釣、SIM swapping、簡訊網釣,美國FBI已於6月30日於社群平臺X示警,指出該組織正將攻擊目標轉向航空與運輸業,手法是經常假冒員工或承包商誘騙企業IT支援服務臺(IT Help Desk),騙取內部系統存取權限。
其他重要資安威脅態勢與事件,其中多款IDE延伸套件檢驗機制的問題最值得留意,需要開發人員重視。
●資安業者OX發現多款IDE的延伸套件檢驗機制存在瑕疵,影響IDE工具如Visual Studio Code、Visual Studio、IntelliJ IDEA、Cursor,導致攻擊者可讓惡意套件顯示「已通過驗證」徽章,欺騙開發人員。●法國網路安全局(ANSSI)發布調查報告,指出中國駭客UNC5174自去年9月初開始,對當地的政府、電信、媒體、金融、交通產業發起攻擊行動Houken,主要利用Ivanti漏洞入侵。●瑞士政府揭露資料外洩事件,起因是受非營利組織Radix遭勒索軟體攻擊波及。
此外,還有3篇我們針對OTP盜刷網釣的報導,其最新態勢顯示同步竊取OTP的手法已經氾濫,且盜刷領域的網釣即服務(PhaaS)數量大增,因此支付與電商產業需採強式身分驗證機制,強化裝置指紋識別技術,持續發展AI/ML詐欺偵測模型。
在漏洞消息方面,有一個零時差漏洞攻擊的事件,Google針對Chrome修補V8 JavaScript引擎的類型混淆CVE-2025-6554,已獲報有鎖定利用情形。還有兩個已知漏洞新遭鎖定,今年5月安全通訊解決方案廠商TeleMessage TM SGNL的漏洞CVE-2025-48927、CVE-2025-48928證實已遭利用。
至於資安防禦與合規方面,有兩則重要新聞,在國際間,AT&T為了防堵SIM卡置換攻擊,推出可讓用戶啟用Wireless Account Lock的新機制,促使未來電信門號進行重要變更的程序時,需強制採取額外的步驟進行驗證;在國內,臉書廣告服務管理系統出包,又有23件廣告未即時揭露託播者訊息,遭數發部開罰1,500萬元。
【6月30日】微軟Exchange伺服器遭大規模攻擊鎖定,臺灣是前三大目標
近期鎖定微軟Exchange伺服器的攻擊行動再度出現,值得留意的是,揭露此事的資安業者Positive Technologies表示,臺灣是駭客攻擊的主要目標,受害規模僅次於越南、俄羅斯。
鎖定MFT檔案傳輸系統MOVEit、Citrix NetScaler已知漏洞的攻擊行動,以及惡名昭彰的Scattered Spider針對航空產業而來,都相當值得留意,在法規遵循方面的消息,國內數發部對Meta二度開罰、德國要求蘋果與Google下架DeepSeek行動裝置App的情況,後續發展值得留意。
【7月1日】逾1,200臺Citrix NetScaler設備尚未修補CitrixBleed 2
6月下旬Citrix先後修補CitrixBleed 2(CVE-2025-5777)、CVE-2025-6543,並表明CVE-2025-6543已出現實際利用的情況,然而CitrixBleed 2也相當危險,輕忽不得!Shadowserver基金會指出,有超過1,200臺NetScaler設備尚未修補這項漏洞,值得留意的是,這樣的數字並不包含企業設置於內部網路環境、未與網際網路連線的NetScaler設備,因此實際曝險範圍可能遠大於此。
在其他資安事故方面,有兩起網釣攻擊值得留意,其中,鎖定臺灣、日本的APT攻擊Swan Vector,駭客利用履歷表與財務文件當作誘餌引人上當;另一起則是針對使用簡體中文的用戶而來,中國駭客組織Silver Fox假借提供DeepSeek、WPS Office、搜狗輸入法等安裝程式,來散布惡意軟體。
【7月2日】美國電信業者AT&T祭出新措施防堵SIM卡置換攻擊
因應SIM卡置換(SIM Swapping)攻擊氾濫的現象,首度有大型美國電信業者祭出新的防護機制,而受到各界關注,這項服務免費提供,用戶必須在手機App當中啟用,才能受到保護。
今天我們也整理多起資安事故與弱點相關消息,有兩件是關於網路攻擊,像是:瑞士政府機關因非營利組織Radix遭勒索軟體攻擊而導致資料外洩的情況、駭客以更隱密的手法濫用組態不當的Docker API從事挖礦攻擊,另外兩起是資安漏洞方面的狀況,例如:美國CISA證實Citrix NetScaler重大漏洞CVE-2025-6543已被用於實際攻擊、Google修補已遭利用的零時差漏洞CVE-2025-6554,也相當值得留意。
【7月3日】全支付測試環境帳密驚傳遭駭客兜售
本日國內最受到關注的資安新聞,應該就屬電子支付平臺全支付(Pxpay Plus)傳出測試平臺的後臺管理員(Admin)帳號密碼遭外洩,察覺此事的資安專家指出,由於測試與正式環境共用商業邏輯與金流驗證機制,有可能會波及正式環境。
在上述的資安事故之餘,中國應用程式過度收集用戶個資並傳送到中國的情況,也相當值得留意,本週國安局認證5款熱門中國App存在嚴重資安風險,呼籲民眾挑選應用程式要特別小心;而在今天發生的國際資安事故當中,我們整理了澳洲航空Qantas傳出遭到Scattered Spider攻擊,再者,法國揭露去年中國駭客UNC5174利用Ivanti CSA設備零時差漏洞入侵當地企業組織的情形。
【7月4日】多款IDE開發工具選用延伸套件要當心,此類元件的檢驗機制存在可乘之機
最近幾年鎖定開發人員而來的惡意套件攻擊相當氾濫,這些攻擊的範圍相當廣,涵蓋NPM、PyPI,以及Visual Studio Code(VSCode)等,多半都是上架市集引誘開發者上當,但最近資安業者OX發現,IDE對於延伸套件驗證機制存在缺陷,攻擊者可製作顯示已通過驗證(Verified)的套件,目的是誘騙開發者上當。
而在今天的資安新聞,有數則與臺灣有關的消息,首先針對近日有人兜售全支付測試環境帳密資料的情況,我們獨家採訪該公司並取得回應,他們也進一步透露掌握的情況及調查結果;再者,有數家殯葬業者為了搶生意,竟找駭客來監聽消防救護系統,相當不可取;數發部警告有歹徒假冒買家、客服、第三方支付網站的情況,消費者須提高警覺。