文/羅正漢
2025年8月2日
在2025年7月底的資安新聞的最大焦點,是透過語音網釣(Vishing)作為入侵企業開端的威脅擴大,我們月初曾發布這方面的封面故事報導,月底再有多起新聞事件與之有關。
其中駭客組織Scattered Spider(0ktapus、UNC3944、Octo Tempest)的動向備受關注,多家資安業者2023年指出多家飯店當時遭駭的初始入侵狀況,就是該組織作為IAB掮客的身分發動的Vishing攻擊,他們假冒員工鎖定企業IT支援服務臺(IT Help Desk)撥打電話騙取系統存取權限,要求重設密碼新增MFA裝置。今年該組織攻擊更擴大至零售業、航空業,6月底美FBI也特別呼籲各界,要多加防範Scattered Spider攻擊,在此同時,還有其他消息顯示,有更多駭客組織以Vishing攻擊作為初始入侵開端。
(一)Google公布UNC3944駭客作案流程,鎖定IT Help Desk發動Vishing,之後透過LoL攻擊手法滲透AD,再對VMware vSphere環境部署勒索軟體。(二)思科揭露新的Chaos勒索軟體RaaS平臺,指出疑似勒索軟體BlackSuit的前成員建立,當中並提到其初始入侵手法,是以洪水式垃圾郵件搭配Vishing攻擊。(三)安聯人壽美國分公司傳出遭勒索軟體ShinyHunters攻擊,該公司使用的客戶管理系統(CRM)資料被竊取。由於6月Google曾揭露UNC6040駭客擅長Vishing,而且竟是針對企業的Salesforce資料而來,因此促使我們認為這些活動彼此相關,Bleeping Computer也找到知情人士,並指出安聯事故與該則Google警告有關,可惜未說明兩個組織之間的關聯。
在資安事故方面,這一星期有多起資安事故消息浮上檯面,其中兩起與臺灣有關,國際間則有多個重大事故揭露,受影響產業涵蓋電信、國防、政府機關與航空業。
●易飛網發布資安事件重訊,表示少數客戶反映疑似個資外洩並接到電話聯繫,目前持續調查中,以查證此次事件與今年1月的發生資安事件是否有關聯。●刑事警察局宣布破獲徵信社販售個資案,查出有徵信社分公司負責人透過其工程師從駭客論壇購買9,300萬筆民眾個資,且該工程師亦在網路上轉售這些資料。●法國大型電信商Orange揭露7月25日發現IT系統遭受攻擊,當下已隔離受影響系統,但此舉也導致部分企業與消費者服務中斷。●法國國防業者Naval Group傳出遭駭,駭客聲稱竊得1 TB內部資料,該公司表示未發現入侵跡象,有媒體推測資料可能來自3年前Thales遭攻擊的外洩事件。●美國明尼蘇達州聖保羅遭駭客入侵,後續更是全面關閉其其資訊系統來因應,使得當地多項政府服務中斷,甚至宣布動員國民兵的網路防護部隊協助因應。●俄羅斯航空(Aeroflot)遭受網路攻擊,導致數千臺系統運作中斷,並造成80多航班被迫取消或延遲,事後有白俄羅斯反對派駭客與烏克蘭駭客宣稱是其所為。
至於最新威脅態勢方面,有兩則重要消息,包括新發現透過ISP發動AiTM網釣,以及利用樹莓派ATM的實體後門的揭露。
一是微軟揭露俄羅斯駭客Secret Blizzard(Turla)的AiTM網釣攻擊手法,是利用當地ISP業者的網路層級能力來劫持,主要針對位於莫斯科各國大使館與外交機構,將目標導向偽裝成公共Wi-Fi的Captive Portal的惡意頁面。
另一是Group-IB揭露駭客組織UNC2891滲透銀行ATM設備有特殊方法,是將樹莓派裝置部署於銀行內網,連結ATM使用的交換器並透過4G網路遠端存取,以避過防禦機制,但報告中未說明攻擊者如何能夠將樹莓派部署於銀行內部。
此外,還有資安業者ESET揭露開源木馬程式AsyncRAT的最新發展,指出已經衍生逾30款分支惡意軟體,包括受廣泛利用的變種DCRat與VenomRAT。
【7月28日】勒索軟體ShinyHunters傳出對保險公司安聯人壽發動攻擊
上週末有兩則重大的消息引起資安圈關注,其中一起是安聯人壽美國分公司因遭受網路攻擊向美國政府通報資料外洩事故的情況,另一則消息則與北韓IT工作者有關,美國政府逮捕一名涉嫌經營筆電農場協助犯案的女性共犯。
回顧這幾天國內發生的資安新聞,有一個消息與個資外洩有關:易飛旅遊(易飛網)上週五突然發布資安重訊,原因是他們獲報部分客戶發現自己個資外流的現象,但是否與今年1月發生的供應鏈攻擊有關,有待進一步釐清。
【7月29日】Scattered Spider鎖定VMware虛擬化平臺而來,並使用勒索軟體加密檔案
惡意昭彰的駭客組織Scattered Spider(0ktapus、UNC3944、Octo Tempest),從今年4月攻擊多家英國零售業者引起關注,後續該組織又將範圍延伸到美國,究竟這些駭客如何得逞?這段期間曾多次提出警告的Google,近日公布調查結果。
另一方面,與中國有關的駭客組織Sliver Fox,也有研究人員公布長期追蹤的結果,指出這些駭客在2年裡設置逾2,800個網域名稱,用來散布多種惡意程式,其中仍有近十分之一的網域迄今仍被用於攻擊行動。
【7月30日】美國明尼蘇達州首府遭到網攻,進入緊急狀態、動員國民兵因應
從上週末到今天,在法國、俄羅斯、美國發生多起與關鍵基礎設施(CI)有關的網路攻擊事故,其中苦主包含了俄羅斯航空業者Aeroflot、法國電信公司Orange、國防承包商Naval Group,以及美國明尼蘇達州首府聖保羅。
其中,Aeroflot、Orange、聖保羅皆傳出影響運作的情況,最特別的是聖保羅的資安事故,由於事件規模及複雜程度已超出市政府的因應能力,明尼蘇達州州長罕見動員美國國民兵部隊來因應這起事故。
【7月31日】駭客挾持ATM出奇招,於隔離網路部署實體後門
本週有多家資安業者公布資安事故的調查結果,其中最為特別的是針對ATM的攻擊行動,揭露此事的資安業者Group-IB發現,駭客組織UNC2891透過嵌入式設備當做實體後門,從而對受害銀行的ATM系統上下其手,不過他們如何將設備部署到銀行內部?資安新聞網站Bleeping Computer推測,很可能是收買員工來達到目的。
鎖定軟體套件開發者的攻擊行動也相當值得留意,我們上週報導針對NPM套件開發者的網釣攻擊,本週PyPI針對套件維護者提出警告,他們發現有人打造假的PyPI網站,想要騙取帳密資料。再者,利用SAP NetWeaver滿分漏洞,以及VMware虛擬化平臺已知漏洞的攻擊手法,也有資安業者公布新的調查結果。
【8月1日】俄羅斯駭客針對當地外交單位從事網路間諜活動
為了掌握其他國家的情報,國家級駭客從事網路間諜活動的情況,在國際局勢不斷升溫之際,一直有相關資安事故傳出,但最近微軟揭露的攻擊行動相當特別,俄羅斯駭客針對各國駐俄外交單位下手,而且,他們動用了ISP與電信業者的環境來接觸攻擊目標。
近期遭受執法壓力的勒索軟體BlackSuit也是本週受到關注的焦點,原因是思科發現,這些駭客早就做好準備,即使執法單位破壞他們的暗網網站,這些駭客疑似幾個月前就已另外成立新組織Chaos,並在駭客論壇尋找新的加盟主進行合作。