资安业者Ivanti于5月上旬发布更新,修补已遭利用的Endpoint Manager Mobile(EPMM)漏洞CVE-2025-4427、漏洞CVE-2025-4428,后续资安业者Wiz指出他们从16日看到多起资安事故,骇客将此漏洞用于4种攻击,现在有其他研究人员公布新的调查结果,指出中国骇客UNC5221在此之前,已用于广泛的攻击行动。
威胁情报业者EclecticIQ指出,UNC5221利用这些漏洞,攻击可透过网际网路存取的EPMM系统,范围横跨欧洲、北美、亚太地区,锁定的目标涵盖医疗照护、电信、航空、政府机关、金融、国防产业,目的疑似对高价值目标从事网路间谍活动,并窃取与中国利益有关的机密资讯。而这些骇客的攻击行动,最早可追溯至5月15日。
值得留意的是,UNC5221锁定Ivanti漏洞下手的情况并非首例,两个月前骇客试图利用同厂牌SSL VPN系统Ivanti Connect Secure(ICS)的资安漏洞CVE-2025-22457,于受害组织部署恶意程式载入工具TrailBlaze、后门程式BrushFire。
今年2月软体开发商Trimble修补旗下资产管理系统Cityworks零时差漏洞CVE-2025-0994,此为反序列化漏洞,能让通过授权的攻击者远端在IIS伺服器执行任意程式码,CVSS风险4.0版为8.6分、3.1版为8.8分,当时Trimble表示,正著手调查骇客利用这项漏洞、未经授权存取受害组织网路的情形,但并未说明其他细节,如今有研究人员公布相关调查结果。
思科旗下的威胁情报团队Talos指出,中国骇客组织UAT-6382从今年1月,利用这项漏洞入侵美国地方政府的网路环境,得逞后进行侦察,并迅速部署一系列的Web Shell,以及自行制作的恶意程式载入工具TetraLoader,以便进行长期活动。
这些Web Shell包括:AntSword、chinatso(Chopper),以及档案上传工具,而它们的共通点在于,内含简体中文讯息;另一方面,研究人员也发现骇客使用简体中文工具MaLoader产生TetraLoader,而这些迹象,也是Talos判断UAT-6382来自中国的依据。
资安业者Check Point发现,由中国短影音业者快手所开发的影片生成模型Kling AI(可灵AI)遭到骇客冒用,当骇客把使用者诱导到伪造的Kling AI平台之后,生成的竟是可执行档,点选后就会于受害者系统上安装恶意程式。
然而,研究人员于今年初发现,骇客建立了一个网址及介面都类似Kling AI的网站,接著于脸书(Facebook)刊登广告,诱导使用者造访假冒的Kling AI,并让使用者生成及下载图像或影片,然而,系统上所生成的.jpg或.mp4,其实是透过双重副档名(Double Extension)或韩文填充字元(Hangul Filler)等伎俩伪装的,实际上是执行档。
迄今研究人员至少发现70个付费推广、同时伪装成Kling AI的广告内容,它们的文案或许有些不同,但都会将使用者导向冒牌Kling AI网站。
随著近年生成式AI、大型语言模型(LLM)演进,资安界持续关注新兴科技引发的风险,主要有两大类包括:一是生成式AI本身的风险,这涵盖攻击者针对AI应用服务的攻击;另一是攻击者运用AI技术提升网路攻击的风险,在2025台湾资安大会期间,恰巧有Google Cloud Security专家解析此议题,当中说明他们实际看到的攻击者AI运用态势,更指出现阶段的最大危害,在于社交工程与语音伪冒的风险已变得更加严峻。
Google Cloud国际资安合作负责人的Christopher B. Porter指出,生成式AI已打破语言的障碍,这也让攻击者在网路钓鱼攻击方面更有破坏力,例如活跃于东欧、中东或拉丁美洲的网路犯罪集团,现在也有能力入侵台湾的组织。除了滥用文字生成进行网钓,另一个攻击者用AI提升网路攻击的严重威胁,是语音与影音伪造。
其他攻击与威胁
为了强化AD服务帐号的安全,微软在Windows Server 2025导入新型态的「委派控管服务帐号(dMSA)」,然而这种新的机制存在弱点,使得攻击者有机可乘,能借此渗透AD的部分使用者帐号。
资安业者Akamai揭露Windows Server 2025的权限提升漏洞BadSuccessor,这项弱点存在于dMSA,攻击者有机会入侵AD的任何使用者帐号,相当危险。值得留意的是,Akamai于4月1日向微软通报此事,微软虽然对于他们提供的资料及概念验证进行验证后,承认有这项弱点,但由于微软评估仅有中度风险,不符合立即处理的条件,目前尚未进行修补。对此,Akamai认为IT人员必须采取其他积极的措施,以减少遭受相关攻击的资安风险。
值得留意的是,研究人员强调,这种弱点存在于预设组态的Windows Server 2025,而且相当容易利用。更可怕的是,企业的网域当中,只要有其中1台网域伺服器是采用这款作业系统架设,就会曝险,即使企业并未使用dMSA也无法幸免。
其他漏洞与修补