文/羅正漢
2025年8月25日
在2025年8月第三星期的資安新聞,最受國人關注的消息是,有臺灣網站主機代管業者遭中國駭客組織UAT-7237入侵的消息。
這起資安警訊是由思科威脅情報團隊Talos揭露,指出其攻擊過程使用SoundBill惡意軟體與Mimikatz,也運用JuicyPotato在受害組織提升權限,並會偷偷安裝SoftEther VPN以建立長期存取的管道,他們也發現,此組織可能是另一中國駭客UAT-5918的分支,因兩者使用的工具與活動有顯著重疊,但攻擊手法與TTP有些許差異。
在重大資安事件方面,有一起涉及關鍵CI與OT的資安事故後續消息,挪威今年4月發生水壩閘門控制系統遭入侵的狀況,本週挪威警察安全局(PST)、國家犯罪調查局(Kripos)指控是俄羅斯駭客所為,挪威安全局負責人BeateGangaas指出,此類行動意圖在一般大眾間製造恐懼與混亂,而公開指責俄羅斯是為了警告該國民眾,也讓國際間注意俄羅斯對北歐國家的威脅。
其他資安事件方面,國內有兩起上市櫃公司揭露消息,國際再度傳出簡訊網釣、語音網釣引發的資安事故。●身為遊戲代理商的臺灣上櫃公司樂意於8月15日發布資安重訊,指出陸續接獲合作廠商通報疑似遭遇資料外洩的情況,並表示在接獲通報後已著手調查。●勒索軟體組織Qilin聲稱經營外籍移工匯款的臺灣上櫃公司統振是其受害者,該公司週五回覆我們是外部伺服器遭攻擊,並於8月22日傍晚發布資安重訊說明。●雲端人資管理平臺Workday揭露資安事故,指出內部使用的CRM系統存取權遭攻擊者騙取,已通知影響客戶,對方手法是假冒HR或IT以簡訊或電話聯繫員工。●英國電信業者揭露先前部分服務出現中斷是因為遭遇網路攻擊,勒索軟體Warlock聲稱是其所為,外界認為可能是前一陣子SharePoint漏洞攻擊造成。
還有3個漏洞利用攻擊消息,其中攻擊者鎖定蘋果零時差漏洞發動攻擊的狀況最引人憂心,蘋果在8月20日緊急修補這項漏洞CVE-2025-43300。
荷蘭國家網路安全中心NCSC則警告,6月底傳出有攻擊者鎖定Citrix NetScaler已知漏洞發動攻擊,後續荷蘭在7月16日後發現當地多個重要機構也遭受此漏洞攻擊,但進一步調查顯示,駭客其實早在5月初就已利用、發動零時差漏洞攻擊;美國FBI這個星期也發布警告,俄羅斯駭客正濫用思科7年前老舊漏洞(CVE-2018-0171),針對全球未修補漏洞或未升級產品的用戶發動攻擊。
在資安防禦動向上,國內有3則重要消息,涵蓋政府與即時通訊平臺的合作,醫療產業的資安強化,以及網域資安韌性的推動。●面對攻擊者濫用合法通訊管道、可能假冒政府、公務人員行騙,因此數發部與Line聯手宣布,推出政府機關官方Line帳號認證計畫。●面對醫療產業資安推動的挑戰,衛福部擬為中小型醫療機構建立區域聯防機制,數發部亦與衛福部合作,聚焦擬真演練、人才培育、機關輔導、稽核強化的推動。●台灣網路資訊中心(TWNIC)揭露發展策略,宣布今年已陸續推出綠色域名認證、域名安全鎖RegistryLock,還將強化Anycast架構、DNSSEC推廣,以及國際鏈結。
國際資安防護領域,也有兩項值得關注的進展,首先,微軟開放Wassette的程式原始碼,這是專套工具是專為AI代理打造的安全執行環境;第二,Python套件託管平臺PyPI為防堵帳號接管及供應鏈攻擊,新宣布將封鎖無效網域名稱有關帳號。
此外,微軟主動防護計畫(MAPP)可幫助身為成員的全球資安業者提前掌握漏洞細節,但傳出有成員濫用這項情報來發動鎖定SharePoint伺服器的零時差漏洞攻擊,因此傳出微軟打算限縮部分中國MAPP成員存取的消息。
【8月18日】臺灣網站主機代管業者傳出遭駭客組織UAT-7237入侵
鎖定臺灣的攻擊行動近期不時傳出,最近有一起資安事故的揭露相當值得我們留意,那就是思科揭露中國駭客組織UAT-7237針對臺灣網站主機代管業者的情況,但引起關注的是,臺灣的主機代管業者數量相當多,思科卻並未透露受害組織的規模或是數量,也沒有說明駭客利用的已知漏洞為何,而對於駭客利用能公開取得的開源工具,僅提及SharpWMI、WMICmd、JuicyPotato、Mimikatz等4款,並未透露其他細節,由於揭露的資訊仍相當有限,防守方恐怕很難掌握要加強防禦的重點。
除此之外,SharePoint零時差漏洞CVE-2025-53770(ToolShell)的攻擊行動仍持續發生,上週傳出有新的受害組織,其中之一是英國電信業者Colt Technology Services,另一個苦主是加拿大眾議院。
【8月19日】勒索軟體Crypto24用EDR廠商工具卸載EDR代理程式
EDR系統發展多年,已日趨成熟,市面上的解決方案百家爭鳴,但另一方面,駭客也對這類系統的架構越來越了解,不僅發展出多款妨礙EDR運作或繞過偵測機制的作案工具,他們還進一步濫用廠商提供的公用程式進行破壞,這樣的現象值得相關資安業者、IT人員留意,因為若是規畫不夠周延,有可能成為攻擊者迴避偵測的破口。
已被用於攻擊行動的資安漏洞也相當值得留意,例如,今年3月微軟修補的微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),俄羅斯駭客EncryptHub迄今仍用於攻擊行動;N-able上週修補的遠端監控管理(RMM)平臺N-central重大漏洞CVE-2025-8875、CVE-2025-8876,美國政府發現已被積極利用,但全球仍有近900臺系統尚未修補。
【8月20日】駭客打造串連SAP NetWeaver兩大漏洞的作案工具
今年4月下旬SAP修補風險值滿分的零時差漏洞CVE-2025-31324,許多駭客組織加入了利用漏洞的行列,後續有另一個CVE-2025-42999也被用於攻擊行動,如今有三個駭客組織聯手,串連兩項漏洞打造作案工具,資安業者Onapsis提出警告,這些漏洞能反覆利用,甚至駭客的工具還可能對今年7月公布的反序列化漏洞發動攻擊。
針對將零時差漏洞用於實際攻擊行動的情況,近期兩家俄羅斯資安業者也公布新的調查結果,他們指出勒索軟體RansomExx利用CVE-2025-29824提升權限的手法,最早可追溯到微軟公布這漏洞的三個月前。
【8月21日】AI瀏覽器可被誘騙,引導至冒牌電商網站自動下單
人工智慧已是大勢所趨,許多應用程式都導入相關功能,有多家瀏覽器業者加入競爭行列,AI業者也試圖以此跨足瀏覽器市場,改變使用者上網的生態,但近期有資安業者提出警告,整合AI代理程式的瀏覽器為駭客製造新的攻擊面,駭客未來下手的對象很可能不是使用者,而是鎖定瀏覽器搭載的AI機器人。
在近期的資安漏洞揭露上,蘋果修補已遭利用的圖像框架元件資安漏洞非常受到各界關注,並表示已被用於極度複雜的攻擊行動;另一方面,Google也發布Chrome更新,修補由AI資安代理程式Big Sleep找出的高風險漏洞。
【8月22日】惡意軟體Noodlophile Stealer鎖定企業而來,以更細緻的版權爭議誘餌散布
透過臉書粉絲頁出現版權爭議為誘餌來散布惡意程式的手法,最近幾年陸續有資安業者和研究人員公布相關事故,其中有一起本週揭露的事故相當值得留意,因為攻擊手法大幅精進,駭客試圖以更難察覺的策略犯案。
除此之外,本週美國聯邦調查局(FBI)針對俄羅斯駭客的攻擊行動提出警告,也相當值得留意,因為駭客用了7年前公布的已知漏洞,這代表尚有不少設備沒有套用修補程式而成為目標。再者,近期多次出現在新聞版面的處理器大廠英特爾(Intel),有研究人員公布內部網站的資安漏洞,而再度成為各界的焦點。