不要错过

近期，勒索軟體攻擊事件在全球範圍內持續升溫，台灣也成為駭客攻擊的目標之一。多個行業陸續傳出遭攻擊的案例，包括醫療機構、學校及上市櫃公司等。根據研究，駭客組織Crazyhunter、Nightspire及UAT-5918等，已在台灣發動數起攻擊，對相關機構的資訊安全造成嚴重威脅。根據 CYFIRMA的研究報告，2025 年 2 月全球勒索軟體攻擊事件急遽攀升，總計高達 956 起，較 1 月增加了 87%。其中，以 Clop 勒索軟體集團最為活躍，受害案例達 332 起；而 Play 勒索軟體的攻擊範圍與規模亦愈來愈大。報告指出，在歐洲地區，特別是醫療保健產業，攻擊者已開始利用 Check Point 網路閘道的漏洞(CVE-2024-24919)進行攻擊，並部署 PlugX 與 ShadowPad 惡意程式，再透過 NailaoLocker 進行勒索。部分駭客組織也針對亞洲特定產業展開攻擊行動。例如，Emperor Dragonfly 便對一家亞洲軟體公司發動 RA World 勒索軟體攻擊，並勒索 200 萬美元。該組織自 2024 年中至 2025 年初間，亦針對東南歐及亞洲政府機構與電信業者發動攻擊。2025 年 2～3 月勒索軟體攻擊趨勢 全球勒索軟體攻擊數量大幅上升，製造業與醫療保健產業受害情況尤為嚴重。 攻擊者持續利用已知漏洞(CVE-2024-24919)，對歐洲醫療機構進行滲透攻擊。 勒索手法日趨複雜，結合偽裝文件與雙重勒索策略(Double Extortion)。 攻擊台灣之駭客組織活動概況近期，台灣成為多個駭客組織的攻擊目標，這些組織利用勒索軟體對企業發動攻擊，造成重大的資訊安全的影響，其中駭客組織Crazyhunter、Nightspire及UAT-5918針對各行各業進行網路攻擊，並要求高額贖金。這些攻擊不僅對企業構成威脅，也引發各界對資安防護與風險管理的廣泛關注。。Crazyhunter 此勒索軟體集團近期針對台灣醫療機構頻繁發動攻擊，導致系統癱瘓與個資外洩。其攻擊模式結合「極速滲透與防禦突破」(Ultra-fast attack approach)與「三維資料殲滅系統」(Three-dimensional Data Annihilation System)，並運用 AI 及深度偽造技術強化攻擊與製造虛假證據。近期發現攻擊者透過破解帳號的弱密碼，並利用 Active Directory(AD)設定錯誤的漏洞，成功入侵內部系統，接著使用「自帶驅動程式攻擊(Bring Your Own Vulnerable Driver, BYOVD)」的手法，包括植入修改過的 Zemana 驅動程式，來繞過資安防護機制、取得更高權限。隨後，攻擊者透過群組原則(GPO)在內部網路橫向移動，將惡意程式散布到重要的系統中，對內部資料進行加密，並且向受害單位進行勒索。自 2025 年 3 月初以來，已對台灣三個不同產業發動攻擊，嚴重衝擊醫療服務與資料安全。Nightspire Nightspire為新興駭客組織，擅長透過暗網入口網站結合心理恐嚇手法實施雙重勒索。攻擊手法包括入侵系統、竊取敏感資料並加密，再以公開洩漏資料為威脅向受害者索取贖金。其資料洩漏網站(Data Leak Site, DLS)會列出受害者清單，並顯示資料公開倒數計時器。近期已公布多起香港與台灣企業的攻擊事件，造成敏感資訊外洩，對業務運作與客戶資料安全造成嚴重威脅。UAT-5918 針對台灣關鍵基礎設施攻擊的 APT 組織，自 2023 年起針對台灣關鍵基礎設施展開滲透行動，目標產業包括電信、醫療保健及資訊科技等。其主要手法為利用 N-day 漏洞取得初始存取權限，進一步透過開源工具(如 FRPC、FScan、Earthworm)與 Web Shell 技術竊取使用者憑證並建立後門，以進行長期監控與資料竊取。隨著勒索軟體攻擊日益複雜且具針對性，政府與企業必須加強資安防禦措施，尤其是關鍵基礎設施與高風險行業。建議重點如下：強化漏洞管理與修補機制，避免成為攻擊跳板。 提升事件應變能力，確保一旦發生攻擊能快速復原。 深化威脅情報分析與即時監控機制，提前掌握潛在威脅。透過持續監測、主動防禦與全面資安策略，以降低勒索軟體所帶來的營運風險與損失。

近期美國聯邦調查局(Federal Bureau of Investigation, FBI)發布警告，提醒民眾注意一項日益嚴重的攻擊手法。網路犯罪分子利用免費線上轉檔工具散佈惡意軟體，這些工具表面提供文件、圖片或影音格式的轉換服務，實際上可能將惡意程式隱藏在下載的檔案中，導致使用者的個人資料與設備安全構成威脅。攻擊者利用設計精巧、看似正常的網站或應用程式，這些網站或應用程式通常提供免費的文件轉換及編輯工具，像是將Word檔案轉換為PDF、將多張圖片合併成PDF，甚至提供影音檔案下載等服務。網站服務或程式多宣稱能簡化日常工作流程或免費提供服務，吸引大量使用者上網搜尋使用。然而，當使用者下載並開啟這些已轉檔的檔案時，該檔案可能隱藏惡意程式或勒索病毒，一旦使用者開啟檔案即感染設備。除了已轉檔的文件可能含有惡意程式外，攻擊者也可能擷取檔案中的資料，如個資、銀行資料、加密貨幣帳戶訊息、電子郵件地址、帳號密碼等敏感資料，對受害者的隱私和財務等造成危害。雖然免費線上轉檔工具十分方便，若無法確保其網站的安全性，這些工具也可能成為攻擊者的陷阱。FBI表示此類攻擊的受害者直到遭遇勒索病毒攻擊或是財務詐騙後，才發現設備已被惡意軟體感染，FBI也鼓勵此類騙局的受害者向美國聯邦調查局網路犯罪投訴中心(www[.]ic3[.]gov)舉報，通報不僅能幫助追蹤亦可協助其他使用者受害。為了減少成為受害者的風險，以下是幾項建議措施：1. 避免使用不明來源的免費工具，尤其是未經過驗證的網站。選擇官方或知名平台提供的軟體服務，並儘可能使用本地端的專業軟體處理敏感文件。2. 保持防毒軟體的最新狀態，並確保定期進行掃描，避免惡意程式進入系統。尤其開啟任何檔案前，務必執行病毒掃描。3. 如發現設備異常或有中毒跡象，應立刻斷開網路並採取相應行動。例如使用可信任的乾淨設備更改所有密碼，並啟用雙因子認證(2FA)增加帳號安全性。4. 若已成為受害者，可向相關單位回報和尋求專業協助。隨著網路攻擊手法的日益精細，網路使用者必須保持高度警覺，尤其是在使用免費工具或下載文件。具備基本的安全意識與防範措施，才能最大程度減少遭受攻擊的風險，保障自己的隱私安全與個人資產。

Hugging Face成立於2016年，是全球AI領域最重要的開源平台，以豐富AI模型和資料庫聞名。近期ReversingLabs（RL）的威脅研究團隊發現Hugging Face平台上存在惡意機器學習模型，這些模型利用Python的Pickle檔案序列化漏洞執行惡意程式碼，並將其隱藏在模型中。然而Hugging Face的安全掃描機制並未將其標記為「不安全」，研究人員將這種傳播技術命名為「nullifAI」，引發了對AI模型安全性的廣泛注意。Pickle是python的一個標準函式庫，主要用於序列化和反序列化Python物件結構，特別在機器學習模型的資料儲存和傳輸中方便使用。雖然Pickle易於使用，但它常見的序列化漏洞風險使得攻擊者可透過Pickle將惡意程式碼隱藏在模型中。Hugging Face官方特別提醒使用Pickle時，應格外注意資安風險，並將Pickle序列化的問題稱為「Pickling」。Hugging Face平台提供名為「picklescan」的掃描工具，專門用於檢測惡意的Pickle檔案。不過該工具僅能掃描完整、未損壞的Pickle檔案，因此駭客利用「損壞」Pickle檔案的技術規避安全檢測，這些損壞的檔案在反序列化時會出現錯誤，但不影響執行惡意程式碼。圖1和圖2是ReversingLabs威脅研究團隊發現的惡意AI模型，目前已被Hugging Face平台關閉。圖1: 在Hugging Face上的惡意AI模型。圖2: 在Hugging Face上的惡意AI模型。駭客建構的AI模型使用壓縮格式的Pickle檔案，檔案的前半段包含惡意程式碼，後半段則是無效或損壞的資料。在解序列化的過程中，由於檔案逐步被處理，因此位於前半段的惡意程式碼會先被成功執行，由於後半段的資料損毀，反序列化過程中出現錯誤並終止執行。由於picklescan僅能掃描完整、未損壞的Pickle檔案，因此無法識別此AI模型是惡意的Pickle檔案。2025年1月20日，ReversingLabs向Hugging Face通報該平台上發現惡意AI模型與工具漏洞。Hugging Face團隊於24小時內移除惡意模型，並將picklescan進行更新，以加強「損壞」的Pickle檔案的偵測能力。針對使用開源AI模型的防禦建議如下：1.      開發團隊在使用 Hugging Face 等平台上的機器學習模型時，應格外小心 Pickle檔案。2.      建議避免使用Pickle檔案格式，改用其他較安全的序列化檔案格式。3.      確保任何載入AI模型所需的自訂操作與序列化的模型資料分開。惡意AI模型的IoC：l 1733506c584dd6801accf7f58dc92a4a1285db1fl 79601f536b1b351c695507bf37236139f42201b0l 0dcc38fc90eca38810805bb03b9f6bb44945bbc0l 85c898c5db096635a21a9e8b5be0a58648205b47 l 107.173.7.141

TWCERT/CC近期接獲外部情資，駭客社交工程手法更為精細，為取信於收件者，將依據收件者輸入公司域名，動態產生相應的登入頁面，進一步提高網站的可信度。建議企業與使用者加強社交工程防護措施。情資顯示，攻擊者寄送包含釣魚連結於附檔之惡意電子郵件，當收件人開啟附件並點擊連結後，會被引導至釣魚網站。為了規避自動化沙箱檢測，攻擊者利用Captcha進行驗證，經人工確認後才會顯示頁面內容。此時，攻擊者採用將網頁背景模糊化的頁面，誘導收件人輸入個人資料，再根據收件人所輸入的公司域名，動態生成相應的登入頁面，包含公司商標和相關背景圖，以增加網頁真實性，欺騙收件人是合法的系統登入介面。圖1為此攻擊手法之流程圖。圖1：利用Captcha進行驗證，偽造登入系統頁面。資料來源：TWCERT/CC整理TWCERT/CC與國家資通安全研究院近期亦觀察到駭客通過模仿公務機關名義發送社交工程郵件，試圖竊取企業與個人的敏感資訊，如近期駭客偽冒財政部或稅務機關發送涉及稅務事宜的電子郵件、偽冒勞動部發送勞工退休相關事宜的電子郵件等。圖2：駭客偽冒財政部發送稅務事宜之釣魚郵件辨識來自公務機關的電子郵件變得至關重要，防範此類攻擊，可採取以下幾點：1.域名驗證：檢查郵件的發送者域名是否為官方的政府域名，如「.gov」或「.gov.tw」。即使域名看似合法，也要注意細節，駭客可能使用相似的字符進行欺騙，如「.g0v」、「.gov.tw1」等類似域名誘導使用者。2.郵件內容分析：官方郵件通常會提供明確的指示和聯絡方式，若要求執行重要操作，可直接聯繫相關政府門進行確認，勿隨便點擊郵件中的連結。此外，若是正式文件通常會使用實體公文書信掛號，並非以電子郵件形式通知。3.防護措施：安裝並定期更新防毒軟體，確保病毒碼隨時保持更新，攔截並過濾可疑郵件。4.加強宣導：企業需定期對員工進行資安教育，提高對社交工程攻擊的認識和防範能力。TWCERT/CC提醒民眾在接獲相關電子郵件時，應特別注意寄件者來源是否正常，以防範潛在的網路攻擊。此外，駭客經常變造惡意網址，如org.tw則改成0rg.tw，提高攻擊成功率，在點擊信件連結時，應再確認網址正確性。民眾應提高警覺，避免隨意點擊不明連結，以確保個人與企業資訊安全。

DeepSeek-R1 模型是由中國新創公司 DeepSeek 開發的大型語言模型，以低成本和高效能引起業界的關注討論。然而，近期多家資安廠商對DeepSeek提出安全性疑慮，其中Qualys對DeepSeek-R1 LLaMA 8B變體進行安全分析，結果顯示該模型存在明顯的資安風險。Qualys的分析平台TotalAI對DeepSeek-R1進行知識庫（Knowledge Base，KB）和越獄攻擊測試。知識庫測試旨在評估模型在倫理、法律和運營風險方面的表現，此測試涵蓋16種類別，包括爭議性話題、過度代理、事實不一致、騷擾、仇恨言論、非法活動、法律資訊等。DeepSeek-R1在891項知識庫評估中未通過541項，失敗率接近61%，其中以「錯位」（Misalignment）類別表現最差。越獄攻擊旨在繞過模型的安全機制，導致其產生有害的輸出，例如非法活動的指示、錯誤資訊、隱私侵犯和不道德的內容等。Qualys TotalAI使用 18 種不同的越獄攻擊類型對DeepSeek-R1進行885次測試，共513次未通過測試，失敗率近58%。結果顯示此模型容易產生仇恨言論、散播陰謀論和提供不正確醫療資訊描述，具有高度的脆弱性。此外，DeepSeek-R1的隱私政策聲明「所有使用者資料都儲存在中國的伺服器上」，引發政府資料存取、與GDPR和CCPA等國際資料保護法規的衝突。近期發生的網路安全事件也暴露DeepSeek AI在資料保護措施的缺陷，例如超過一百萬個日誌記錄，其中含有使用者的軟體互動、身分驗證金鑰等高機密性敏感資料，均遭受洩漏。總體而言，DeepSeek-R1雖然在人工智慧效率有所突破，但其安全漏洞和合規性的挑戰，未企業帶來顯著的風險。為了確保AI模型部署的可靠性，企業組織必須採取全面的安全策略，包括漏洞評估、風險管理和遵守資料保護法規。以下是使用建議：1.          企業在考慮使用DeepSeek-R1時，應進行全面的安全風險評估，並制定相應的緩解策略。2.          考慮到資料隱私和合規性問題，應謹慎評估是否使用DeepSeek的託管模型，並優先考慮在本地或使用者控制的雲環境中部署模型。3.          應實施強大的防護措施，以檢測和阻止越獄攻擊。 4.          企業應密切關注相關法規和法律的變化，以確保與國內法令規範相符。

TWCERT/CC掌握外部情資，近期 Hunter Ransom Group 針對醫療機構發動勒索攻擊。根據情資顯示，該組織的主要攻擊手法包括滲透企業內網，利用 SharpGPOAbuse 和 BYOVD（Bring-Your-Own-Vulnerable-Driver）技術提升帳號權限，繞過傳統防毒軟體的偵測與防護，進一步在內部橫向移動並加密其他主機的系統檔案。目前遭攻擊之醫療機構，已知是先滲透內部網路後，進而攻擊AD主機，取得權限後再派送惡意程式至其它主機，已發現的惡意程式名稱如下：檔案名稱SHA256av-1m.exeEE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CFav.exe3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D bb.exe2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA crazyhunter.exeF72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146Bcrazyhunter.sys5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BAgo.exe754D5C0C494099B72C050E745DDE45EE4F6195C1F559A0F3A0FDDBA353004DB6go2.exe983F5346756D61FEC35DF3E6E773FF43973EB96AABAA8094DCBFB5CA17821C81go3.exeF72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146Bru.bat15160416EC919E0B1A9F2C0DC8D8DC044F696B5B4F94A73EC2AC9D61DBC98D32ru.bat731906E699ADDC79E674AB5713C44B917B35CB1EABF11B94C0E9AD954CB1C666zam64.sys2BBC6B9DD5E6D0327250B32305BE20C89B19B56D33A096522EE33F22D8C82FF1zam64.sysBDF05106F456EE56F97D3EE08E9548C575FC3188AC15C5CE00492E4378045825ta.bat527ED180062E2D92B17FF72EA546BB5F8A85AD8B495E5B0C08B6637B9998ACF2CrazeHunter.zipD202B3E3E55DF4E424F497BA864AB772BAAF2B8FE10B578C640477F8A8A8610C以下為勒索軟體攻擊的防護措施建議：1. 比對檔案雜湊值，並檢視系統是否存在可疑檔案。2. 嚴格控管共享資料夾權限。3. 採用網路入侵防護機制，切割不同網段進行隔離，縮小受影響範圍。4. 透過防毒軟體進行防護，確保系統安全防護措施正常開啟與運行，並及時更新系統及病毒碼。5. 提高安全意識，不隨意開啟可疑連結、來源不明電子郵件、檔案，並於開啟與運行前進行安全掃描，盡可能從可信的來源下載和安裝軟體。6.核心系統主機可安裝 EDR(Endpoint Detection and Response) 端點偵測與回應，即時偵測主機異常活動並進行回應。7. 定期進行檔案備份，並遵守備份 321原則 :7.1 資料至少備份 3份7.2 使用 2 種以上不同的備份媒介7.3 其中 1 份備份要存放異地

德國資安研究員Benjamin Flesch發現OpenAI的ChatGPT爬蟲存在一個嚴重安全漏洞，此漏洞可被利用發起分散式阻斷服務(DDoS)攻擊，對全球網站的運作造成威脅。目前研究員已向OpenAI回報此問題，但尚未收到回覆。此漏洞存在於ChatGPT的返回聊天機器人輸出，引用網路來源資訊的API端點，攻擊者可以提交多個不同的URL指向同一網站，使爬蟲訪問所有URL，造成DDoS攻擊。攻擊者只需發送單個HTTP請求至ChatGPT API，即可利用ChatGPT爬蟲向目標網站發起大量請求，將單個請求放大為每秒20至5000次或更多請求。由於這些請求是透過OpenAI發起，受害網站難以追蹤攻擊來源。存在漏洞的API 連結為 hxxps[:]//chatgpt[.]com/backend-api/attributions，此API需提供連線目標網站給予參數urls，OpenAI不會檢查連結是否對同一個網站多次出現，亦未限制參數urls儲存的超連結數量，因此可以在單一HTTP請求中，傳輸數千個超連結進行阻斷服務攻擊。圖1是德國資安研究員 Benjamin Flesch 提供的概念性驗證程式碼 (PoC)，目標 URL為 my-website.localhost；圖2是ChatGPT爬蟲在一秒內對目標網站進行多次連線嘗試Log紀錄。 圖1：ChatGPT爬蟲漏洞的PoC。參考來源：Benjamin Flesch。 圖2：ChatGPT爬蟲漏洞對目標網站連線的Log紀錄。參考來源：Benjamin Flesch。  ChatGPT API的安全漏洞暴露了當前API安全管理存在的一些重大技術挑戰。根據目前資料，OpenAI尚未針對此漏洞作出回應。因此，在整合第三方 API 時，開發者或企業應更加注重嚴格的存取控制、定期進行漏洞掃描及滲透測試，並完善API端點的身份驗證和授權機制，以防止未經授權的存取和資料洩漏；同時亦應警惕通過聊天機器人啟動的ChatGPT爬蟲所構成風險，並積極採取措施加強安全性，以保護自身的系統免受潛在威脅。

國家資通安全研究院(NICS)近期發現攻擊者偽冒財政部名義，透過電子郵件發動社交工程攻擊。這些郵件以“稅務調查”為由，誘使收件者開啟並下載帶有惡意程式碼的附件。此類攻擊手段可能對企業與個人造成嚴重的資料外洩與系統入侵風險。根據國家資通安全研究院的分析，攻擊者透過偽裝成財政部或地方稅務機關的身份，發送涉及稅務事宜的電子郵件。若收件者下載並執行郵件中的附件，則可能會觸發木馬程式，可能導致企業機密資料外洩或系統遭駭侵。已知攻擊郵件特徵如下：1. 駭客寄送之主旨：「稅稽徵機關調查通知」、「稅務抽查涉稅企業名單」2. 惡意附檔名稱：「稅務涉稅企業.pdf」、「查閱1140120.zip」、「稅務抽查涉稅企業名單.pdf」、「涉稅企業名單.zip」3. 相關惡意中繼站: 206[.]238[.]221[.]240、9010[.]360sdgg[.]com、rgghrt1140120-1336065333[.]cos[.]ap-guangzhou[.]myqcloud[.]com、fuued5-1329400280[.]cos[.]ap-guangzhou[.]myqcloud[.]com、6-1321729461[.]cos[.]ap-guangzhou[.]myqcloud[.]com、00-1321729461[.]cos[.]ap-guangzhou[.]myqcloud[.]com註：相關網域名稱為避免誤點觸發連線，故以「[.]」區隔。此外，TWCERT/CC近期亦接獲相關資安情資，並將與國家資通安全研究院一同密切追蹤此類攻擊活動。TWCERT/CC提醒企業與民眾保持高度警覺，特別是在收到疑似來自官方電子郵件時，應格外謹慎，以避免成為攻擊目標。。防護措施建議：1.網路管理人員請參考受駭偵測指標，確實更新防火牆，阻擋惡意中繼站。2.建議留意可疑電子郵件，注意郵件來源正確性，勿開啟不明來源之郵件與相關附檔。3.安裝防毒軟體並更新至最新病毒碼，開啟檔案前使用防毒軟體掃描郵件附檔，並確認附檔檔案類型，若發現檔案名稱中存在異常字元(如lnk, rcs, exe, moc等可執行檔案附檔名的逆排序)，請提高警覺。 4.加強內部宣導，提升人員資安意識，以防範駭客利用電子郵件進行社交工程攻擊。

Socket威脅研究團隊發現名為「ethereumvulncontracthandler」的npm惡意套件，該套件偽裝成檢測以太坊智能合約漏洞的工具，實際上卻在開發人員的設備部署Quasar RAT (遠端存取木馬)。這款木馬不僅具有多功能的遠端存取，還提供鍵盤側錄、螢幕截圖、憑證蒐集和文件竊取等惡意操作。攻擊者利用Base64和XOR編碼等技術，確保惡意套件在傳播中保持隱蔽性和抗檢測性，旨在增加分析難度並避免被發現。此外，該惡意程式還檢查系統的RAM，以判斷其是否在一個受限制的環境中運行，避免在自動化分析沙箱中執行。圖1為片段的惡意程式利用各種技術進行混淆。圖1：ethereumvulncontracthandler利用各種技術進行混淆。參考來源：Socket。當受害者安裝此npm惡意套件後，將從遠端伺服器(“jujuju[.]lat”)下載第二階段有效負載，該腳本執行PowerShell 命令並啟動安裝於受害者設備的Quasar RAT。當該木馬成功嵌入後，將自身重新命名為client.exe，以確保系統重啟後仍能運作。隨著Quasar RAT的運作，攻擊者透過位於captchacdn[.]com:7000的C2伺服器進行資料竊取，同時對受感染電腦進行分類與管理，監視多台受感染主機。 駭客組織正利用開發者作為攻擊媒介，在下載和使用開源工具時需格外謹慎，特別來自未經驗證來源的概念驗證程式碼，時刻監視網路流量異常和文件修改也可以提早檢測受感染的環境。

資安業者Akamai近期揭露新型殭屍網路Hail Cock攻擊行動，攻擊者針對臺廠永恒數位通訊科技（Digiever）旗下網路視訊監視設備DS-2105 Pro進行攻擊，積極利用該設備尚未分配CVE編號的遠端程式碼執行(Remote Code Execution, RCE)漏洞散播惡意軟體。Hail Cock Botnet 是基於Mirai的惡意軟體變體，採用ChaCha20和XOR加密演算法且能在多種架構中散布，包括x86、ARM及MIPS等。Digiever DVR漏洞最早由資安業者TXOne Networks研究人員於滲透測試期間發現，研究暴露IP位址範圍時，發現此遠端程式碼執行漏洞，並提及此漏洞影響DS-2105 Pro及多款DVR設備。攻擊者可將命令作為參數注入到ntp參數中(如圖1)，注入curl和chmod等命令，將「**IP位址**:80/cfg_system_time.htm」作為 HTTP Referer 標頭，以HTTPPOST請求的形式，即可連接到遠端惡意軟體託管伺服器下載基於Mirai的惡意軟體。圖1：針對 DigiEver RCE 漏洞的有效負載（URL 解碼）。圖片來源：Akamai 除了DigiEver DVR外，Akamai研究人員發現Hail Cock也鎖定其他物聯網裝置的遠端命令注入漏洞，如TPLink(CVE-2023-1389)、Teltonika(CVE-2018-17532)及Tenda HG6 v3.3.0(CVE-2022-30425)。 透過沙箱觀察，攻擊者建立cron來排定惡意程式執行的時間，從網域「hailcocks[.]ru」下載並執行shell腳本，以便持續在受害裝置活動(如圖2)。執行後，惡意軟體連線到更多不同的主機，與典型的 Mirai Telnet 及 SSH brute-forcing 行為一致。圖2：透過 crontab 持久化。圖片來源：Akamai 日本一位獨立安全研究員在觀察Hail Cock內函數FUN_00404960時，使用 XOR 運算來解密加密字串，解密出字串「expand 32-byte k」，是Salsa20 和 ChaCha20 等加密演算法中的已知常數，表示標記為「FUN_00404960」的函數負責解密(如圖3)。圖3：使用 Salsa20或ChaCha20 解密。圖片來源：Akamai 雖然加入複雜的解密方法並不新奇，但顯示出基於Mirai的殭屍網路經營者正在戰術與技術上不斷進化、發展。 針對老舊連網設備的攻擊行為日益猖獗，廠商對於已進入生命週期結束(EOL)的產品不再提供軟體更新或漏洞修補，使得這些設備成為攻擊者的首要目標。為有效降低風險，用戶應儘速將易受攻擊的設備升級為更新型號。