文/羅正漢
2025年7月14日
在2025年7月第二星期的資安新聞,涉及身分偽冒的詐騙、Deepfake事件,是我們首要關注的焦點,顯示攻擊者不僅用好康、冒名與假消息來騙不懂求證的人,加上Deepfake門檻變低,因此,越來越多攻擊者採用語音網釣加上AI語音偽冒的手段,讓受害者明知陌生電話或帳號來聯繫,也可能因為聲音很像誤信而忽略求證,下列兩起事件,是我們認為這個星期最重大的資安危機。
(一)橫行全球的網路投資詐騙活動BaitTrap,被資安業者CM360揭露,駭客架設逾1.7萬個誘餌新聞網站,中東有1萬個最多,亞太地區3,400個次之,不僅偽裝成知名媒體散布假消息,並假借知名公眾人物或銀行名義來建立信任,宣稱意外發現透過加密貨幣致富秘密方法來進行投資詐騙。
(二)AI偽冒政府官員的事件正引發全球關注。在美國,繼5月白宮幕僚長Susie Wiles遭偽冒後,美國國務院7月也警告,有人偽冒美國國務卿盧比奧(Marco Rubio)發送文字與Signal語音訊息。國務院警告,歹徒可能企圖透過AI生成的文字與語音操控特定人士,目的在於取得資訊或存取帳號。
此外,駭客也持續利用不同社交工程手法來欺騙上網的大眾,散布釣魚網站、釣魚郵件,或是散布假瀏覽器套件,近期有3起重要事件揭露,意圖讓目標上當,導致信用卡資訊被竊或電腦被安裝惡意程式。
●墨西哥記者發現當地出現各種仿冒熱門品牌的釣魚網站,有逾700個,網路情報平臺Silent Push循線追查,揭露是中國駭客所為,封鎖後仍有數千個釣魚網站活躍,當中多是以假亂真的網址,誘拐消費者購買並輸入信用卡資訊。●18款惡意瀏覽器延伸套件被下載230萬次,資安業者Koi Security揭露相關攻擊行動RedDirection,指出這些偽冒的套件類型包括:Emoji符號鍵盤、天氣預報、影片速度控制器、音量放大、YouTube解鎖工具等。●中國駭客Mustang Panda持續鎖定圖博人士從事攻擊,IBM X-Force指出該組織寄送釣魚郵件,利用6月圖博大會、達賴喇嘛新書等時事議題作為誘餌,意圖引誘開啟郵件中的雲端檔案連結,下載包含惡意的ZIP或RAR壓縮檔。
在資安威脅事件與態勢方面,這星期國內有一起上市公司資安事件的揭露,還有四大議題值得特別留意,涵蓋OT安全、紅隊演練工具遭濫用,以及Linux、macOS遭鎖定的態勢。
●專注無線通訊模組及數位影像處理方案的海華科技,屬於和碩集團的成員,他們發布資安事件重訊,揭露資訊系統遭受駭客攻擊。●挪威媒體揭露今年4月有駭客入侵Lake Risevatnet水壩控制系統,閘門開啟數小時無法關閉,而原因是弱密碼釀禍,幸好當時河床足以因應龐大水流。●出現駭客濫用新的資安演練工具從事攻擊的狀況,Elastic發現駭客濫用迴避偵測框架Shellter來散布竊資軟體,企圖迴避防毒軟體與EDR偵測。●韓國資安公司AhnLab揭露,Linux伺服器因密碼強度不足或管理疏忽,逐漸成為駭客鎖定目標。●近期針對macOS用戶的竊資軟體接連被揭露,包括Atomic Stealer(AMOS Stealer)、北韓駭客打造的NimDoor,以及先前揭露的Odyssey Stealer,突顯攻擊者鎖定macOS攻擊的狀況是越來越多。
在漏洞消息方面,這一星期微軟、Adobe、SAP等多家廠商發布7月例行更新,需要大家儘快修補與因應,還有4個老舊已知漏洞遭利用的消息需要留意,已被美國CISA列入已知漏洞利用清單(KEV)。
其中1起漏洞利用值得電信ISP業者或大型網路業者重視,是開源TCP/IP路由軟體Multi-Router Looking Glass(MRLG)的漏洞CVE-2014-3931,駭客仍鎖定這個10年前的漏洞來利用。其他還包括:PHP開源郵件寄送函式庫PHPMailer的漏洞CVE-2016-10033,Ruby開源Web應用框架Ruby on Rails的漏洞CVE-2019-5418,以及整合式企業郵件與協作平臺ZCS的漏洞CVE-2019-9621。
還有3個漏洞需要密切關注,因為已發現駭客掃描的跡象,可能是攻擊前兆,這些漏洞是3月Tomcat修補的RCE漏洞(CVE-2025-24813),以及同樣3月Camel修補的RCE漏洞(CVE-2025-27636、CVE-2025-29891)
至於資安防禦上,有兩起重要消息,一是美國司法部在義大利米蘭逮捕一名中國駭客,此人涉嫌於2020年2月至2021年6月間,受中國政府指使竊取COVID-19疫苗研究成果;另一是臺灣資安業者奧義智慧切入AI Guardrails領域,並攜手AI業者APMIC推出AI模型XecGuard,以及Safety LLM安全評測服務。預計第三季將推出閘道端的AI防火牆產品。
【7月7日】Linux命令列工具Sudo修補兩項權限提升漏洞
這週末有數則漏洞修補的消息,其中尤以Sudo發布新版的消息相當值得留意,開發團隊這次一共修補兩項漏洞,但特別的是,其中一項危險程度僅有2.3分的低風險漏洞引發關注,因為從12年前發布的版本都受到影響,而有可能影響相當廣泛。
而在這段期間發生的資安事故當中,Apache Tomcat、Camel漏洞利用的攻擊活動相當值得留意,再者,由於先前有Verizon、T-Mobile資料外洩事故,西班牙電信業者Telefonica傳出資料外洩的情況,也引起關注;附帶一提的是,中國駭客仿冒知名品牌網站,試圖針對墨西哥用戶進行大規模網釣攻擊的現象,其手法也引起網路情報平臺Silent Push注意,並調查此事。
【7月8日】macOS竊資軟體Atomic Stealer加入後門功能,攻擊者可持續在受害電腦活動
過往大多竊資軟體主要針對Windows電腦而來,但如今針對macOS用戶的竊資軟體接連出現,我們今天整理了Atomic Stealer(AMOS Stealer),以及北韓駭客打造的NimDoor,還有先前揭露的Odyssey Stealer,而這些事故都突顯出相關攻擊手法日益複雜的情形。
另一方面,上週勒索軟體Hunters International宣布結束營運並免費提供解密金鑰,此舉也引起資安圈關注,但這並非代表駭客就此收手,而是為了避免遭到執法單位圍剿,決定不再使用勒索軟體從事破壞行為,有資安人員認為,此舉之後會有其他勒索軟體駭客跟進。
微軟發布今年第7次的每月例行更新(Patch Tuesday),雖然這次修補的漏洞數量相當多,但未提到這些漏洞出現用於實際攻擊行動的情況,僅有一個是在微軟修補前遭到公開的SQL Server弱點。漏洞懸賞專案Zero Day Initiative(ZDI)推測,微軟這次修補的漏洞數量大幅增加,很有可能與接下來8月初舉行的資安大型會議黑帽大會(Black Hat)、DEFCON有關。
在資安威脅態勢方面,有人透過AI假冒美國國務卿盧比奧(Marco Rubio)的情況,引起該國政府重視;再者,駭客在Chrome、Edge延伸套件市集上架惡意套件的攻擊行動,這些套件已被下載230萬次,使用者應儘速確認是否受害;而對於新興勒索軟體Bert的動態,他們從原本鎖定Windows電腦,如今也加密虛擬化平臺的檔案。
【7月10日】大規模詐騙新聞網站攻擊活動BaitTrap鎖定50個國家而來
投資詐騙的事故頻傳,為了取信受害人,有些歹徒架設誘餌新聞網站(Baiting News Sites),以類似新聞報導的形式散布詐騙訊息,揭露此事的資安業者CM360偵測到超過1.7萬個網站,值得留意的是,這些網站都針對目標民眾進行調整,以當地語言、名人、金融機構來行騙。
本週有許多廠商發布7月份例行更新,其中又以SAP供應商關係管理平臺的滿分漏洞最危險,再者,Fortinet應用程式防火牆(WAF)的SQL注入漏洞也相當嚴重而值得留意;Citrix修補VDI平臺的代理程式高風險漏洞,有機會讓攻擊者得到SYSTEM權限。
【7月11日】迴避偵測框架Shellter被用於散布竊資軟體
企業級紅隊演練工具遭到駭客濫用的情況,最常見的就是Cobalt Strike、Brute Ratel C4(BRc4),但如今有另一款名為Shellter工具遭到利用,罕見的是,開發團隊也做出公開說明,表示他們打算如何因應及防範類似情況再度發生,並希望察覺此事的Elastic能夠及早通知,而非看到部落格文章才得知此事。
除此之外,美國逮捕涉嫌聽令中國政府竊取COVID-19研究資料的中國駭客,也相當受到關注,尤其是這些駭客為了搜括資料,後續更進一步利用資安漏洞ProxyLogon,對Exchange伺服器發動大規模攻擊。