【資安週報】0915~0919，中國駭客組織CamoFei鎖定郵件伺服器系統Roundcube漏洞攻擊，臺灣有教育機構受害

文/羅正漢

2025年9月22日

在2025年9月第三星期的資安新聞中，中國駭客組織CamoFei的攻擊動向最受關注，主要利用郵件伺服器系統Roundcube在6月揭露的重大漏洞CVE-2025-49113入侵多國政府機構，臺灣資安業者TeamT5杜浦數位安全最近揭露，國內教育機構也是受害者，並指出攻擊者入侵後，部署名為Godzilla的後門程式，以及RAT木馬Pupy。

在資安事故方面，臺灣有兩起資安事故浮上檯面，國際間則有政府與醫療業的重大消息引發關注，我們整理如下：

●上市公司致茂發布資安重訊，說明資訊系統遭受駭客網路攻擊，我們在網路上發現多個勒索軟體威脅情報網站的資訊，指出Warlock聲稱是他們攻擊致茂。●臺灣壽司郎傳個資外洩事故，有客戶在社群平臺指出收到他人點數到期通知，壽司郎Threads官方帳號在相關貼文下面回覆：經查為系統發信程序出現異常，技術團隊已緊急介入處理。●巴拿馬財政部揭露遭遇網路攻擊事件，INC Ransom勒索軟體聲稱已竊取其1.5TB的資料。●巴西醫療軟體供應商傳出遭駭，勒索軟體組織KillSec聲稱是他們所為，此事件並波及多家醫療機構。

中國「防火長城」爆發史上最大資料外洩事件，也是震撼全世界的消息。近期獨立報告網站GFW Report發布了分析報告，指出外洩來源為積至與MESA實驗室，這些文件曝光了防火長城內部運作機制，也顯示其網路審查系統已能產品化，在洩漏的文件當中，提到積至的技術方案已整合到包括緬甸、巴基斯坦、衣索比亞、哈薩克等國家的電信系統與資料中心，顯示中國已將其網路審查技術成功對外輸出。

在最新資安威脅態勢方面，有兩類威脅最需要注意，一是發起DDoS攻擊的殭屍網路規模更擴大，顯現駭客能在短時間內提升攻擊的規模與強度，另一是針對NPM開發者攻擊的活動不斷，近期更出現惡意套件能自行感染其他套件的手法，我們整理如下：

●英國資安業者FastNetMon指出，偵測到一起大規模DDoS攻擊是針對西歐流量清洗服務商，駭客劫持了全球多達1.1萬個物聯網裝置及路由器。●資安公司Qrator Labs示警，出現鎖定政府機構針對L7應用層的巨量DDoS攻擊，指出攻擊來源IP位址的數量高達576萬個。●資安業者Socket揭露NPM套件的供應鏈攻擊Shai-Hulud，逾500個NPM套件被植入具大量散播能力的蠕蟲，特別的是，資安業者CrowdStrike發布NPM套件的帳號也受害。●ETH Zurich與Google揭露記憶體攻擊新手法Phoenix，指出DDR5雖引進TRR的防護機制，但其取樣間隔過長，仍存在設計的盲點，駭客仍能藉此成功發動Rowhammer攻擊，該漏洞已登記為CVE-2025-6202。研究人員建議，不應只依賴記憶體廠商自訂的保護方案，而應採用如JEDEC提出的「Per Row Activation Counting」。此外，伺服器常見的Rank-level ECC雖能提高攻擊成本，但不足以完全阻擋Phoenix攻擊。

關於前一兩個月，駭客大規模竊取企業Salesforce客戶資料，如今再有後續消息傳出，像是美國FBI也發出警報，公開這些攻擊活動的入侵指標（IoC），以協助企業比對與偵測潛在威脅，同時並針對兩大駭客組織威脅手法發出提醒：

（一）在UNC6040（ShinyHunters）駭客組織的攻擊當中，目標是使用Salesforce的企業，手法是以語音釣魚（Vishing）方式，採假冒IT人員的技術支援詐騙並針對企業客服人員而來，設法誘騙企業員工Salesforce帳密與MFA，或誘使點擊惡意連結。（二）在UNC6395駭客組織的攻擊而言，目標是第三方供應商Salesloft，其入侵手法是利用遭竊的OAuth權杖，鎖定可與Salesforce整合的AI聊天機器人Salesloft Drift應用程式，藉此入侵受害者的Salesforce環境並竊取資料。

相關事件是否對臺灣使用Salesforce的用戶造成影響？據了解，這波Vishing以英文為主，至於Salesloft Drift主要服務市場在美國，我們詢問Salesforce之後，得知臺灣並未有企業受到影響。

此外，又傳出UNC6040攻擊的受害者，擁有Gucci等品牌的法國零售業巨人Kering證實遭駭，另也有Scattered Lapsus$ Hunters鎖定Google執法請求系統（LERS）帳號攻擊的狀況。不僅如此，還有ShinyHunters後續宣稱從Salesloft Drift事件竊得15億筆Salesforce資料的消息。

在資安防護與產業動態方面，以國內而言，國際半導體展資安趨勢高峰論壇在9月12日登場，現場舉行了SEMI E187認驗證制度啟動儀式；資安院公布推動中小企業與NGO增進防禦的最新成果，包含引進UC Berkeley Cybersecurity Clinic課程課綱打造資安健檢團；縱觀國際社會，法國CERT-FR的示警值得關注，他們指出Apple近來時常針對其用戶發出的威脅通知，特別呼籲收到這項通知的用戶，第一時間應先保存證據，避免自行操作裝置，以利後續調查。

資安產業對於AI的投入仍是焦點，這一星期有多起併購消息，包括F5宣布收購AI安全公司CalypsoAI，CrowdStrike宣布買下AI資安新創Pangea進軍AIDR領域，Check Point宣布收購AI資安新創Lakera，打算將其執行期防護技術整合到自家的Infinity架構，以及SecurityScorecard買下問卷自動化業者HyperComply。

還有兩則消息躍上本星期熱門新聞，均與微軟作業系統與產品生命週期改朝換代有關。微軟最近再度提醒用戶注意下列產品的更新機制將改變，Windows 10、Exchange Server 2016/2019、Office 2016/2019將在一個月後10月14日終止支援，提醒用戶取得ESU延伸安全性更新或儘速升級。

【9月15日】美國警告兩駭客組織鎖定Salesforce平臺竊取企業資料

最近兩至三個月，駭客組織UNC6040（ShinyHunters）鎖定雲端CRM平臺Salesforce系統而來的攻擊行動不時傳出，近期更出現Salesloft Drift供應鏈攻擊，駭客組織UNC6395入侵Salesloft的GitHub帳號，從而竊得採用Drift整合元件的企業組織憑證（Token），從而入侵並竊取存放在Salesforce平臺的資料，這樣的現象也引起美國聯邦調查局機（FBI）警告，並呼籲企業組織要嚴加防範。

另一個引起各界高度關注的消息，是近日三星為旗下安卓裝置修補零時差漏洞CVE-2025-21043，並表示已被用於實際攻擊行動。由於通報此事的Meta與WhatsApp資安團隊表示，他們是在調查一起高度針對性的攻擊事故發現漏洞，不禁讓人好奇，該漏洞是否如之前蘋果、Meta先前修補的零時差漏洞，被用於攻擊三星裝置的WhatsApp用戶。

【9月16日】ShinyHunters聲稱駭入擁有多個時尚品牌的公司

近半年精品業者遭遇網路攻擊導致資料外洩的情況頻傳，包括Cartier、迪奧（Christian Dior Couture）、Pandora、香奈兒（Chanel），其中部分傳出是駭客組織ShinyHunters（UNC6040）所為，如今又有精品業者受害，這次是旗下有Gucci、Balenciaga、YSL等品牌的Kering，但是否如同最近頻傳資安事故，攻擊者從該公司的Salesforce系統竊得資料，有待進一步釐清。

昨天我們報導綁架1萬多臺物聯網裝置及路由器的大規模DDoS攻擊行動，今天又有資安業者公布新的發現，他們看到綁架576萬臺裝置的大型DDoS殭屍網路，駭客半年內已策畫至少3次攻擊行動，特別的是，在最近一次攻擊當中，他們採取兩階段調度的做法，相當罕見。

【資安週報】0915~0919，中國駭客組織CamoFei鎖定郵件伺服器系統Roundcube漏洞攻擊，臺灣有教育機構受害

【9月15日】美國警告兩駭客組織鎖定Salesforce平臺竊取企業資料

【9月17日】中國駭客CamoFei利用Roundcube攻擊臺灣教育機構

【9月18日】逾500個NPM套件被植入具大量散播能力的蠕蟲

【9月19日】多家資安業者紛紛宣布併購AI公司