为了在受害电脑成功执行恶意软体,骇客利用恶意软体载入工具(Loader)、下载工具(Downloader)的情况,越来越常出现。最近有一款前身为僵尸网路病毒的恶意软体下载工具Phorpiex,引起研究人员的高度关注,因为,骇客拿来散布恶名昭彰的勒索软体LockBit 3.0。
值得留意的是,关于勒索软体LockBit 3.0的攻击流程,骇客多半以手动方式操作,透过Phorpiex下载、部署,能让整个流程高度自动化,而鲜少需要人工介入,使得攻击者能同时对更多目标下手。
【攻击与威胁】
近年来锁定Magento、WooCommerce等电子商城平台的攻击行动不时传出,其中最常见的入侵手法之一,就是利用零时差漏洞或已知漏洞而能得逞,但也有骇客反其道而行,佯称电商网站有资安弱点为由,从事网钓攻击。
例如,资安业者Patchstack提出警告,他们发现专门针对WooCommerce网站管理员的大规模钓鱼攻击,骇客声称经过他们的扫描,网站有重大层级的资安漏洞,这项漏洞能被用于未经授权的状态下,以管理者身分入侵网站,若是不处理,攻击者就能窃取网站敏感的使用者资料,包含客户资讯、订单细节,以及付款方式的内容。骇客甚至恐吓管理者,该漏洞可能会导致未经授权的付款,甚至让网站失去控制。
骇客建议网站管理者要尽速依照指示操作,从他们的网站下载修补程式,并以WordPress外挂程式的形式上传、安装,然后启用,网站才会得到保护。然而,上述的一切,都是与骇客声称、却不实际存在的假漏洞有关,一旦网站管理者照做,骇客就会透过后门与新建立的管理员帐号,来入侵受害网站。
其他攻击与威胁
◆PHP开源专案ADOdb上周释出5.22.9版,以修补CVSS风险评分等级高达10分的安全漏洞CVE-2025-46337,该漏洞恐危及全球280万已安装ADOdb的系统。
ADOdb是个热门的PHP资料库抽象层,它提供统一的API介面,让开发人员得以利用相同的语法来操作不同类型的资料库,相容于MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2及Sybase等资料库,而这次所发现的CVE-2025-46337为SQL注入漏洞,出现在ADOdb程式库的PostgreSQL驱动程式,允许骇客执行任意SQL指令。
这是由安全研究人员Marco Nappi意外发现的漏洞,起因是最近想要强化对白盒的了解,于是他开始探索静态分析安全测试(SAST),并决定利用静态程式码分析工具SonarQube来分析用来建置大学网站的开源专案Moodle,以及客户关系管理专案VtigerCRM。没想到,Marco Nappi在Moodle或VtigerCRM都找到相同的SQL注入漏洞,进一步检查才确认,该漏洞其实隐藏在ADOdb元件。
资安厂商Armo研究人员公布针对Linux的Rootkit,利用Linux提高效能的专属机制io_uring,来绕过包括Microsoft Defender在内的端点安全工具侦测。
io_uring是Linux 5.1引进的高效非同步I/O核心API,透过支援非同步、批量提交I/O,解决传统处理方法的同步阻塞,或是大量系统呼叫(syscall)的问题。它使用可两个共享的ring buffer完成用户空间(user space)和核心空间(kernel space)的沟通,借由共享缓冲区来大幅减低因复制产生的系统额外的资源消耗(overhead),加速I/O执行。
但Armo研究人员发现,io_uring对某些安全工具反而有害,因为它的机制可让应用程式执行多种行为,而不需使用系统呼叫。因此仰赖系统呼叫侦测的安全产品,就无法侦测到使用io_uring的rootkit。基于io_uring的安全疑虑,Google已经在ChromeOS、Google伺服器及Android关闭io_uring的支援,Docker也预设不支援io_uring;Linux基金会也提供全系统关闭的方法。
其他漏洞与修补