不要错过 - 頁面 2

在資安領域中，針對情資威脅分析，各家資安廠商對不同的國際駭客APT組織使用不同的命名方式。Mandiant命名格式為「APT-數字」，如常攻擊台灣的APT-10；對於尚不明確的APT組織則以「TEMP-英文」作為代稱，如TEMP-HEX；另外還有以「UNC 數字」命名，如UNC 3236。這些命名方式有助於資安專家快速識別和應對潛在的威脅。近年微軟開始發布針對威脅情資的文章，並以「typhoon」作為各個APT組織命名的結尾，例如Volt Typhoon是近期新聞中常見的中國駭客組織名稱，主要針對台灣進行攻擊。各家資安廠商對不同駭客組織的命名方式各有特色，部分命名會對應到比較大眾通用的駭客組織名稱，例如Mustang Panda是東亞地區非常活躍的中國駭客組織，經常針對台灣發動攻擊。在描述攻擊事件時，各家廠商使用自己的定義名稱，再標示該組織即是Mustang Panda。這些命名規則對於專業深耕於資安領域的威脅情資研究人員或許不成問題，但對於一般企業而言，閱讀不同廠商對駭客攻擊事件的描述時，可能難以區分多個事件是否由同一駭客組織所為，只因這些組織的名稱各不相同。此外，有些對於駭客組織的定義部分雷同，但實際上可能並不相同，舉例來說，A資安廠商和B資安廠商各自針對發現的APT組織命名，甚至觀察到相同的開源工具和惡意程式進行入侵，然而該惡意程式可能是此國家地區常用的共用惡意程式。如PlugX常見於中國地區的駭客組織使用，因此在描述攻擊事件時，兩家廠商可能會誤認為是同一駭客組織所為，而實際上卻可能是不同的兩個組織進行的攻擊。圖1：各家資安廠商對於駭客組織定義的示意圖(TWCERT/CC整理)。在探討駭客組織的歸因時，各家資安廠商定義和描述存在各異，這已成為當前需要面對和處理的課題。為了改善這一情況，MISP（Malware Information Sharing Platform）官方提出了針對APT組織命名的建議。儘管目前尚未完善，但提供威脅情資分析師和情資威脅平台建置一個參考標準，旨在促進不同組織之間的情資分享和溝通。MISP官方對APT組織命名規則提出一些具體建議，以提高命名的一致性和準確性。例如命名APT組織時，該名稱不能是字典上的單字，若名字有多個部分組成，必須使用破折號進行分隔，名稱長度以7的ASCII長度為主。另外，命名方式也不可以使用的工具、技術、模式命名，像是有一個APT組織被命名為Turla，但它同時也代表是惡意程式名稱，這樣的命名方式被視為不適合。 整體而言，各家資安廠商使用不同名稱描述同一駭客組織，使得識別上產生困難。儘管MISP公布的標準草案並不完善，但這是一個良好的開端，若未來能實現APT組織名稱的統一化，將有助於一般企業更好掌握入侵指標（IoC），從而有效預防潛在威脅。

近期觀察發現搜尋引擎最佳化中毒(SEO Poisoning）攻擊事件增加，當使用者搜尋特定關鍵字和網址時，可發現大量與賭博和投資相關可疑內容。初步調查，相關內容疑似源自攻擊者入侵合法網站，並透過操控搜尋引擎排名，將惡意網站推至搜尋結果頂端，誘導使用者誤點連結，最終可能導致下載惡意程式或洩露個人敏感資料。SEO Poisoning 是一種通過操控搜尋引擎排名的攻擊手法，攻擊者透過操控搜尋結果，當使用者搜尋特定關鍵字或網站時，會優先顯示與攻擊目的相關的轉址廣告，將使用者引導至惡意網站，進一步散佈惡意軟體或進行網路釣魚。常見的攻擊手法包括建立連結農場、植入惡意廣告、攻擊合法網站，以及採用內容遮蔽技術等。圖1:SEO Poisoning 操控搜尋引擎排名。 資料來源：TWCERT/CC整理利用SEO Poisoning導向使用者到詐騙網站的攻擊流程可以分為以下幾個步驟：1.網站入侵與程式碼植入攻擊者首先尋找合法網站的漏洞，將惡意程式碼上傳至受害網站，或直接在正常網頁中嵌入惡意腳本。這樣做的目的是操控訪客流量，使其被引導至攻擊者控制的網站。2.依訪問來源動態調整行為當使用者連接至受駭網站時，惡意程式碼會根據HTTP標頭中的資訊進行導向處理：直接訪問網站：若使用者直接輸入網址，且標頭中的User-Agent、Referer和URI不包含特定關鍵字，則網站將顯示原始正常內容，讓攻擊行為不易被察覺。透過搜尋引擎進入：使用者透過Google或YisouSpider搜尋引擎點擊結果進入，程式會檢測User-Agent或Referer是否包含Googlebot或YisouSpider等特徵，或URI中是否包含特定副檔名(如.aspx、.apk、.mljt、lbjt、aajt等)。當符合條件時，使用者將被重導向至中繼站，並可能看到詐騙廣告或連線至釣魚網站。3.後門植入與中繼站更新攻擊者在受駭網站中預留後門，以確保能隨時更新中繼站的惡意內容。這樣可以進一步擴大攻擊範圍或針對特定目標進行調整。圖2:SEO Poisoning導向使用者到詐騙網站的攻擊流程。 資料來源：TWCERT/CC整理防護措施建議如下：1.定期檢查網站內容：定期掃描網站，檢查是否存在漏洞或被植入惡意程式碼，並留意網頁內容中是否有可疑的連結或被轉址的情況。如果發現網站已受到SEO中毒攻擊，可透過Google Search Console的「移除網址」功能，將含有異常的搜尋結果從Google搜尋中移除。2.使用可信賴的網站工具及套件：若網站使用額外的套件來增強功能，應確保這些套件來自可信的開發者，並定期追蹤或訂閱更新資訊，確保及時修補安全性漏洞。3.強化網站安全性：部署網站安全防護設備，以有效識別並阻擋惡意攻擊，並建議限制特定網頁的存取來源，僅允許授權用戶及信任網段進行存取，以減少潛在風險，防止未授權訪問並避免敏感資料洩露。

Check Point資安團隊近期揭漏駭客新型社交工程攻擊手法，透過修改寄件標頭誘使受害者點擊Google日曆邀請連結，進而竊取個人或企業資料。在研究期間，該團隊觀察超過4,000封類似釣魚郵件，受害者涵蓋教育機構、醫療服務、建築公司及銀行等。 攻擊者設計相似於Google日曆邀請的通知郵件，成功繞過網域金鑰辨識郵件（DomainKeys Identified Mail，DKIM）、發件人策略框架（Sender Policy Framework，SPF）和基於網域郵件驗證、報告和一致性（Domain-based Message Authentication, Reporting, and Conformance，DMARC）等電子郵件安全檢查。這些郵件附帶惡意連結或日曆文件(.ics)，並與Google繪圖或Google表單連結搭配使用，誘使受害者點擊偽造的reCAPTCHA或其他按鈕，最終引導至釣魚網站。圖1、圖2與圖3為攻擊者精心設計的Google日曆釣魚郵件。圖1:Google日曆釣魚郵件標頭範例。圖片來源：Check Point圖2:Google日曆邀請釣魚郵件範例。圖片來源：Check Point圖3:結合Google繪圖發送Google日曆釣魚郵件。圖片來源：Check Point當受害者點擊惡意連結或附件後，攻擊者便能利用獲得的敏感資訊進行財務詐騙或未授權交易等不法活動。此外，竊取的敏感資訊甚至可以繞過其他帳戶的安全措施，進一步擴大損害。Google建議用戶啟用Google日曆中的「已知發件人」設置，當收到聯絡人名單以外或未曾互動的電子郵件地址邀請時，系統將發出告警。 透過這次的攻擊，發現攻擊者在觀察到相關安全產品能夠識別帶有Google表單連結的惡意日曆邀請後，轉而使用偽造Google繪圖的釣魚連結。隨著對廣為人知且受信任服務的攻擊日益增多，攻擊手法層出不窮。民眾與企業應提高警覺，並強化資安意識，以應對日新月異的網路威脅。

隨著科技的持續發展與全球數位化的加速，資訊安全的重要性日益增加。人工智慧、大數據、物聯網等技術的普及應用，使得網路攻擊的範圍和形式變得更加複雜和多樣化。對企業而言，不僅是技術上的挑戰，更涉及到業務營運、品牌信譽等多方面的風險。根據趨勢科技發布《2025年資安年度預測報告》，報告內容指出，隨著資安威脅持續演變，未來供應鏈可能面臨AI攻擊、國家級駭客集團對雲端環境攻擊。當企業將代理式AI應用於業務的自動化工具，由於操作人員無法直接掌握事件互動的細節，進而導致企業資安帶來隱憂。例如與大型語言模型(LLM)進行互動時，可能會無意中洩露敏感資料，包括個人識別資訊、智慧財產權、公司機密等。此外，趨勢科技預測國際政治局勢的變化，國家級駭客集團如Lazarus、Turla和Pawn Storm等，預計在2025年繼續活躍並加強攻擊。面對駭客不斷開發新漏洞並進行入侵，企業必須了解自身在供應鏈中的角色，並建立多層次的防禦措施，採取風險管理策略保護關鍵基礎設施和資訊安全，這不僅關乎產品的流通，更涉及到資訊安全的整體防護。另外，勒索病毒的攻擊策略也正發生變化，也是企業必須關注另一項重要議題。趨勢科技針對台灣服務案件進行統計，2024年約九成的目標式勒索攻擊事件針對中小企業，顯示中小企業因資源有限，而成為駭客的主要攻擊目標，因此更加需要加強資安防護措施。總體而言，2025年資安趨勢顯示，供應鏈安全的重要性不斷上升，而AI技術將在網路犯罪中扮演著愈加關鍵的角色。無論企業大小，都應加強風險管理策略，保護自身及供應鏈免受潛在威脅。同時，提升員工對資安意識的教育，也是防範攻擊的重要一環。

資安公司 Lookout 近期發現一款名為 EagleMsgSpy的Android 間諜軟體，並認為該軟體由中國操控，主要用於監控使用者的手機。這款間諜軟體能從 Android手機中竊取大量資料，包含通訊訊息、螢幕錄影、通話記錄等。目前尚未發現iOS系統的版本。 根據上傳至 VirusTotal的版本資料顯示，該間諜軟體自2017年起已被使用，至今仍持續開發與演變，存在多個變種。Lookout 資安團隊表示，目前在Google Play商店或其他應用程式商店並未觀察到此惡意程式的存在。 Lookout分析報告指出，此款間諜軟體似乎是由一個軟體開發商提供給多個客戶使用，因為要求使用者輸入特定的頻道(channel)，每個頻道對應一位使用者。透過歷史樣本的分析，資安專家發現該惡意程式在加密金鑰的混淆和儲存方式上不斷變化，顯示開發者對隱蔽性和抗分析能力的重視，證實該惡意程式正積極維護。 該間諜軟體主要目的為竊取Android手機上面的資料，包含通訊軟體的訊息(QQ、Telegram、Viber、WhatsApp、微信)、監控螢幕畫面、通話紀錄、簡訊、聯絡人資訊、GPS座標位置、無線網路資訊、瀏覽器書籤等。資料被竊取後，首先存放於設備檔案系統中的隱藏資料夾，再壓縮並加密傳送至惡意中繼站。圖1為Lookout 研究人員發現針對此間諜軟體的說明文件，內容包含安裝設備和使用。 追蹤EagleMsgSpy的過程中，Lookout研究人員發現惡意中繼站所使用的IP位置曾與武漢中企軟通科技有限公司的子網域有關聯，後續調查該中國企業使用的根網域為tzsafe.com，其中字串tzsafe是間諜軟體的監控模組密碼，因此分析人員認為此間諜軟體是由武漢中企軟通科技有限公司所開發和維護。圖2是整理Lookout研究人員發現該間諜軟體所使用的惡意中繼站之關聯圖。 使用者應提高警覺，除安裝可靠的防毒軟體並定期掃描手機外，保持系統和應用程式的最新版本。此外，應從官方網站下載應用程式，提高對網路釣魚攻擊的敏感度。這些措施能顯著降低資料被竊取的風險，保護個人隱私與安全。

美國網路安全暨基礎架構管理署(Cybersecurity and Infrastructure Security Agency , CISA)與多個國際資安組織於11月12日共同發布資安公告，彙整2023年常見駭客利用47個漏洞資訊與修補方式。 2023年最常利用的47個漏洞涉及廠商共有28家(綜整如表1)。其中以Microsoft因其中5個漏洞被頻繁利用，成為受影響最嚴重的公司之一；2023年在這些漏洞中，影響最廣的前四大漏洞分別來自 Citrix 和 Cisco。其中，Citrix 的兩個漏洞 CVE-2023-3519 和 CVE-2023-4966，以及 Cisco 的兩個漏洞 CVE-2023-20198 和 CVE-2023-20273，成為攻擊者的主要目標，對全球資訊安全環境帶來重大挑戰。 Citrix 旗下產品NetScaler Gateway是一款提供使用者遠端訪問應用程式和數據的控制平台；NetScaler ADC是負責平台交付和負載平衡解決方案。2023年最常被利用的前二名漏洞CVE-2023-3519 (CVSS 3.x：9.8) 和 CVE-2023-4966 (CVSS 3.x：9.4)，均影響Citrix NetScaler Gateway和NetScaler ADC。CVE-2023-3519 允許未經身分驗證的使用者透過發送HTTP GET請求，導致NSPPE程序發生緩衝區溢出；而CVE-2023-4966則可能導致Session Token洩漏。 第三名與第四名則是影響Cisco為網路裝置所開發的維護作業系統Cisco IOS XE漏洞，分別為CVE-2023-20198 (CVSS 3.x：10.0) 和 CVE-2023-20273 (CVSS 3.x：7.2)，這兩個漏洞皆存在於Cisco IOS XE的Web UI，CVE-2023-20198允許未經授權的使用者獲得最初訪問權限，並建立本地使用者帳號和密碼，從而以一般使用者身分登入系統。CVE-2023-20273是一個命令注入漏洞，同樣存在於Cisco IOS XE的Web UI，與CVE-2023-20198相關，駭客可利用最高權限將惡意程式寫入檔案系統，進而控制整個系統。 建議企業與使用者儘速檢視系統，確保所有相關漏洞已被適當修補，以降低風險，更多漏洞資訊可至CISA官方網站查看2023 Top Routinely Exploited Vulnerabilities。 表1、2023年最常利用的47個漏洞 項次 廠商 CVE編號 1 Apache CVE-2021- 44228 2 Apple CVE-2023-41064、CVE-2023-41061 3 Atlassian CVE-2023-22515、CVE-2023-22518、CVE-2021-26084、CVE-2022-26134 4 Barracuda Networks CVE-2023-2868 5 Cisco CVE-2023-20198、CVE-2023-20273、CVE-2017-6742 6 Citrix CVE-2023-3519、CVE-2023-4966 7 Dahua CVE-2021-33044、CVE-2021-33045     8 F5  CVE-2021-22986 9 FatPipe  CVE-2021-27860 10 Fortinet CVE-2023-27997、CVE-2018-13379 11 Fortra  CVE-2023-0669 12 GitLab  CVE-2021-22205 13 Ivanti  CVE-2023-35078、CVE-2023-35081、CVE-2019-11510 14 JetBrains CVE-2023-42793 15 Juniper CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847 16 Microsoft CVE-2020-1472、CVE-2023-23397、CVE-2019-0708、CVE-2022-41040、CVE-2021-34473 17 Netwrix  CVE-2022-31199 18 Novi CVE-2023-29492 19 ownCloud CVE-2023-49103 20 PaperCut CVE-2023-27350 21 Progress CVE-2023-34362 22 Progress Telerik CVE-2019-18935 23 RARLAB CVE-2023-38831 24 Red Hat  CVE-2021-4034 25 Sophos  CVE-2022-3236 26 Unitronics  CVE-2023-6448  27 Zoho CVE-2022-47966、CVE-2021-40539 28 N/A CVE-2023-44487

提供各種MaaS工具聞名的駭客組織Venom Spider (又稱Golden Chickens) 在2024年8月至10月期間，發現兩個惡意程式RevC2 和 Venom Loader使用其 MaaS工具進行部署。根據Zscaler的研究報告指出，這可能是新一代惡意程式家族的早期版本，未來有可能升級為更複雜的攻擊行動。 MaaS (Malware-as-a-Service) 是一種將惡意程式商品化的模式，駭客無需自行編寫或編譯惡意程式，而是直接訂購其他駭客開發的攻擊工具包，這種營運模式大幅降低發動網路攻擊的門檻，擴大網路安全威脅的範圍。 第一次的攻擊行動在2024年8月至9月，攻擊手法由VenomLNK檔案開始，此LNK檔包含一個混淆的批次(BAT)腳本，當腳本啟動後，會執行一張含有API檔案內容的圖片，利用該API文件作為誘餌，傳遞並執行能夠竊取敏感資料的RevC2後門程式，RevC2再透過WebSocket與C2進行通訊，其C2位置為ws://208.85.17[.]52:8082。 ThreatLabz開發模擬RevC2的Python腳本，供使用者測試設備是否有相關受害跡象，該腳本已上傳至ThreatLabz的Github儲存庫中，網址為：hxxps://github.com/ThreatLabz/tools/tree/main/revc2。 圖1:以RevC2作為有效負載的攻擊鏈。圖片來源：Zscaler Blog Zscaler ThreatLabz 研究人員觀察到第二次的攻擊行動則在2024年9月至10月期間進行，其攻擊手法與第一次相似，但此次攻擊以虛擬貨幣交易為誘餌，傳遞惡意程式Venom Loader並載入以JavaScript編譯的後門程式More_eggs lite，此後門程式含有遠端程式碼執行的功能。 圖2:以More_eggs lite作為有效負載的攻擊鏈。圖片來源：Zscaler Blog 利用MaaS所提供的工具進行網路攻擊日益增多，技術也不斷進化，民眾和企業應提高警覺，防範惡意程式、定期檢查系統安全，對抗網路威脅。

SteelFox是一款新型的惡意軟體，主要透過論壇貼文、Torrent追蹤器與部落格等平台進行傳播。該惡意軟體偽裝成知名流行軟體的破解工具，包括Foxit PDF Editor、AutoCAD和JetBrains等，旨在竊取使用者的信用卡資料、瀏覽紀錄及其他敏感資料，甚至利用使用者的設備進行加密貨幣挖礦。 卡巴斯基的研究人員指出，SteelFox並不針對個人或組織，而是對全球無差別進行大規模攻擊，目前資安產品成功檢測並阻止超過11,000次的攻擊，受害者主要分布位於巴西、中國、俄羅斯、墨西哥等國家。該惡意軟體最初透過論壇或Torrent追蹤器上散布含有惡意軟體的破解工具下載連結，誘導使用者下載安裝。當使用者啟動破解工具時，SteelFox安裝過程要求授予管理者權限，並在系統中植入惡意程式，以便進一步發起後續攻擊。 圖1：SteelFox利用論壇進行傳播。圖片來源：SECURELIST SteelFox使用AES-128加密技術避開嵌入式PE解析器進行偵測，隨後採用AES-NI指令集簡化加密過程。接著建立新的系統服務，使其能透過重新啟動，讓惡意程式在系統中保持運作狀態。當SteelFox成功控制受害者主機，會進一步在系統檔案中植入更多惡意軟體，且將自己註冊為Windows服務，使得檢測和刪除惡意檔案變得更加困難。 當取得管理者權限後，將會創建在內部運行的WinRing0.sys服務，此驅動程式存在CVE-2020-14979 與CVE-2021-41285 等漏洞，攻擊者可利用前述漏洞將權限提升至NT/SYSTEM等級，NT/SYSTEM權限比管理員權限更強大，允許攻擊者不受限制存取訪問系統任何資源，此驅動程式也是XMRig加密貨幣挖礦的一部分，使得攻擊者能夠使用受害者設備進行加密貨幣挖礦。 此外，SteelFox設計複雜的自我驗證機制，以確保只在合法的服務環境中執行，以避免被防毒軟體檢測。 SteelFox顯著的特點是安全通訊模型，一旦嵌入系統，惡意軟體自動透過動態分配IP位置和C2伺服器進行加密通訊，此連線採用SSL pinning 和 TLS v1.3，有效防止數據在傳輸過程中被攔截。當連線建立後，攻擊者開始收集受害者的敏感資料，如cookie、信用卡資料和瀏覽紀錄等，並將這些資料組合成JSON格式後發送至C2伺服器。 圖2：SteelFox的連接圖。圖片來源：SECURELIST 為了降低此類惡意活動，建議使用者從官方網站下載正版軟體，並對於任何免費破解軟體保持高度警惕。避免下載來路不明的軟體或破解工具，並定期更新作業系統及防毒軟體，以提高應對各類惡意程式的防範能力。  

Checkmarx安全研究團隊近期發現一個名為CryptoAITools新的惡意Python套件，這個套件偽裝成加密貨幣交易工具，但實際上具備竊取敏感資料與受害者加密錢包資產的功能。CryptoAITools透過Python Package Index (PyPI)和GitHub儲存庫進行擴散，此套件從PyPI下架之前，已經累積下載超過1300次。 Checkmarx安全研究團隊針對CryptoAITools的主要特點和發現包含： 該惡意軟體採用多種社交工程策略進行散播，包括在PyPI上最初的惡意軟體套件「cryptoaitools」、偽造的Github儲存庫則是名為「Meme-Token-Hunter-Bot」、模仿合法的加密貨幣交易機器人的虛假網站(coinsw[.]app)、透過Telegram與受害者互動。 使用者安裝惡意軟體後，CryptoAITools利用套件中的「__init__.py」檔，可確認目標是Windows或macOS作業系統，以執行相應版本的惡意軟體。 圖1 CryptoAITools辨別受害者的作業系統，圖片來源於Checkmarx CryptoAITools將圖形使用者介面(GUI)作為社交工程策略的一部分，旨在分散受害者的注意力，同時收集有關加密貨幣的敏感資訊，包含錢包資料、瀏覽器資料及敏感系統檔案等。 圖2 CryptoAITools的使用者介面，圖片來源於Checkmarx 該套件初始感染階段，透過腳本從虛假網站下載其他惡意元件，執行額外的有效負載，從而啟動多階段感染過程。惡意軟體精心設計具有說服力的加密貨幣交易機器人服務網站，搭配虛假用戶評論和訂閱者數量，試圖增加可信度。 圖3 CryptoAITools的虛假網站，圖片來源於Checkmarx 呼籲使用者在下載和安裝任何第三方套件時特別小心，應仔細檢查來源以及可信度，建議使用官方渠道，同時定期更新安全軟體，強化防護措施。

為了協助資通安全管理法納管對象以外的民間企業提升資安防護能力，數位發展部已責成國家資通安全研究院，自2024年1月起接手營運台灣電腦網路危機處理暨協調中心（TWCERT/CC）。該中心將提供全年24小時不間斷的資安事件通報、情資分享、應變協調、國際合作及意識提升等多項企業資安服務，旨在強化台灣整體的資安防護網。 TWCERT/CC主辦的第八屆台灣資安通報應變年會將於11月22日盛大舉行，主題為「預見資安威脅 賦能通報聯防」。此次年會將邀集國內各資安事件協處單位、企業代表及學術界專家，共同分享年度資安成果與最新趨勢。與會者將有機會深入探討以下重要議題： 資安聯防最佳實踐：分享各界在面對資安威脅時的成功經驗與策略。 資安威脅趨勢發展：分析當前及未來的資安威脅，幫助企業預見潛在風險。 實務經驗分享：邀請業界專家分享實際案例，提供參與者具體的應對建議。 TWCER/CC期望在本次年會提升企業人員的資安意識，並強化台灣企業在面對各類資安挑戰時的韌性。 本年會將開放實體與線上參與，為確保座位有限，實體參加者將優先開放予聯盟會員。 專業人士可透過以下連結報名參加：https://activity.twcert.org.tw/。 歡迎各界專業人士踴躍報名，共同參與這場提升資安意識的重要盛會。 隨著數位化進程的加速，企業面臨的資安威脅日益嚴峻。透過此次年會，我們希望能夠促進各界對於資安議題的關注與合作，共同打造更安全的數位環境。