文/羅正漢
2025年7月21日
回顧2025年7月第三星期資安新聞,社交工程攻擊成為主要焦點,有多起新聞與之有關,涵蓋傳統網路釣魚,駭客濫用瀏覽器上傳的ClickFix、FileFix新手法,還有語音網釣與AI語音偽冒,我們整理如下:
(一)臺灣半導體產業與相關機構的人資部門注意!資安業者Proofpoint揭露中國駭客狂發假冒研究生求職的釣魚信,時間發生在今年3到6月,並且是盜用臺灣大專院校電子郵件信箱發送,引誘收信人開啟附件的履歷並點選惡意URL,目前研判這起行動與TA415有交集,還有國內投資分析師也遭鎖定。(二)勒索軟體駭客組織Interlock新一波攻擊曝光,自5月開始濫用瀏覽器的檔案上傳機制,利用FileFix網釣手法(ClickFix衍生版本),以散布木馬程式Interlock RAT,這是FileFix首度被發現用於實際攻擊活動。(三)近來語音網釣、AI偽冒的新聞事件不斷,我們近期發布的封面故事介紹最新攻擊實例,尤其日本山形地區遭遇的Vishing攻擊相當特殊,攻擊者不只寄送網釣郵件,更從自動語音開場、真人偽冒客服來誘導,目標是讓員工被騙交出企業網路銀行帳戶的存取權限;而在AI偽冒通話方面,新加坡與馬來西亞的企業財務主管,也接連傳出遭遇Deepfake視訊會議的詐騙攻擊,還有義大利與美國官員聲音遭偽冒並遭假冒聯繫他人。
本星期還有一起網路防護烏龍事件,引發國人熱議,微軟Azurewebsites.net根網域在臺灣網路遭到封鎖,影響時間將近2小時,起因是刑事局提供涉毒網站給TWNIC進行DNS RPZ屏蔽封鎖,但由於轉檔作業發生疏失,造成原網址清單的子網域被誤刪。雖然政府打詐打毒看重處理的時效,但這類誤封事故並非第一次發生,如何改善事前審核,以及事中發生誤封該如何盡快修正,都需要相關單位盡快協商出相關辦法。
在資安事件方面,知名精品業者LV系統遭駭事件備受矚目,因為不只臺灣分公司證實這項消息,LV的韓國、英國、土耳其分公司也陸續有通知客戶的消息,傳出已有10多國的分公司受波及,目前已知該廠商通知客戶有未經授權第三方人士短暫存取該公司系統,部分個資遭竊。
在威脅態勢方面,有兩起鎖定WordPress網站與外掛的攻擊,突顯攻擊新手法與軟體供應鏈攻擊依然嚴峻
●駭客針對WordPress網站攻擊有新手法,將惡意程式碼埋入ZIP壓縮檔,再透過zip://通訊協定呼叫、解除混淆、載入並執行,將使用者重新導向至特定網域。●WordPress表單外掛Gravity Forms遭供應鏈攻擊,駭客於特定版本外掛程式植入後門,目的是收集網站系統資訊並部署其他作案工具。●有駭客針對Cursor AI打造模仿正牌工具Solidity的惡意延伸套件,兩個月被下載5.4萬次,有區塊鏈開發人員發現加密貨幣遭竊尋求資安業者幫助才讓此事曝光。
在漏洞消息方面,首先Chrome修補已遭利用的零時差漏洞CVE-2025-6558,其次是有兩個上星期才修補的漏洞,已經出現鎖定利用情形必需重視,一是Fortinet WAF產品的漏洞CVE-2025-25257,一是Wing FTP Server的漏洞CVE-2025-47812。還有6月下旬Citrix修補的漏洞CVE-2025-5777(CitrixBleed 2),同樣被證實已出現鎖定利用狀況。
另外,研究人員揭露美國麥當勞的徵才對話機器人McHire(以Paradox.ai的Olivia機器人打造)有兩個弱點,一是其系統的管理後臺竟採用帳號與密碼皆為123456的預設帳號,另一是Paradox.ai存在IDOR漏洞。此新聞在本星期亦受到許多關注。
至於資安防禦動態方面,國際AI資安合規出現重要突破:歐盟執委會(EC)發布通用AI實踐準則,以協助製造商及供應商符合AI Act的規定,外界預料將對AI產業治理模式帶來深刻影響。
【7月14日】臺美關稅遲遲未定,美國大型律師事務所驚傳遭中國駭客入侵
這個週末有許多事故傳出,其中,最值得留意的是中國駭客傳出入侵美國大型律師事務所Wiley Rein的事故,由於該事務所協助美國政府與企業應對中國貿易嚴,再加上美國始終沒有公告臺灣的關稅比例,這起事故帶來的後續效應,相當值得留意。
除此之外,另一起引起外界關注的消息,是關於麥當勞的招募對話機器人McHire的漏洞揭露,其中最引起外界關注的是,這套系統竟留存了測試階段使用的管理員帳號,其帳號密碼皆為123456。
【7月15日】IDE開發工具Cursor AI出現惡意延伸套件,有用戶因此損失50萬美元
針對開發人員的惡意套件攻擊,從NPM、PyPI套件,到IDE開發工具Visual Studio Code(VSCode)的延伸套件市集,如今也有針對Cursor AI用戶的攻擊行動,駭客鎖定的目標,是名為Open VSX的套件庫,且有開發人員因不慎安裝惡意套件損失50萬美元(約新臺幣1,465萬元)。
在惡意套件攻擊事故之外,最近出現的新型態攻擊手法相當值得留意,例如:FileFix網釣手法、搭配ZIP檔的網站攻擊活動、濫用Inno Setup內建指令碼功能載入惡意軟體的手段,都更難以察覺及防範。
本週VMware修補一系列與虛擬化平臺有關的資安漏洞,皆來自漏洞挖掘競賽Pwn2Own參賽者的研究,且影響範圍相當廣泛,包含ESXi、Workstation、Fusion,以及Windows版虛擬機器公用程式VMware Tools,用戶都應儘速套用相關更新因應。
另一個相當值得留意的情況,是WordPress網站有關的資安威脅加劇,在我們昨天報導有人利用ZIP檔案發動攻擊,將網站用戶重新導向的事故,今天整理兩篇與表單外掛程式有關的消息,其中一個是Gravity Forms遭遇供應鏈攻擊的情況,另一個是SureForms存在任意檔案刪除漏洞,恐影響20萬個網站。
【7月17日】精品品牌LV在多國的分公司接連傳出網路攻擊事故
繼英國零售業者接進傳出受害,精品業者迪奧(Dior)、卡地亞(Cartier),運動品牌愛迪達(Adidas)、以及女性內衣業者維多莉亞的秘密(Victoria's Secret)接連傳出資安事故,最新一起事故是發生在Louis Vuitton(LV),由於陸續傳出多個國家的分公司資料外洩的情況,使得這起事故格外受到關注。
除此之外,近期公布的資安弱點也相當值得留意,其中又以Google修補Chrome今年第5個零時差漏洞影響相當廣泛,再者,資安業者Binarly找到的技嘉主機版漏洞,用戶也要儘速套用相關韌體更新因應。
【7月18日】中國駭客鎖定臺灣半導體生態系從事大規模網釣,假冒研究生求職與投資分析合作
隨著國際局勢日益緊張,臺海危機升溫,中國駭客對臺灣發動攻擊的情況也越來越頻繁,其中資安業者Proofpoint發布的調查報告引起全臺高度關注,因為這些駭客廣泛對臺灣重要經濟命脈半導體生態系從事網釣,從半導體公司人資部門到投資分析師,都是他們下手的目標。
在上述的攻擊行動之外,本週證交所祭出的裁罰也與半導體產業有關,他們處罰的對象,是今年1月、5月兩度遭到勒索軟體攻擊的矽光子及光電封測大廠聯鈞光電。