【资安日报】5月9日,台湾未来4年国家资通安全发展方案正式出炉,将从4大层面著手

在一个月前隶属于APT10旗下、匿称为MirrorFace、Earth Kasha的中国骇客组织,长期锁定日本企业组织发动攻击,但传出在去年8月针对中欧外交单位下手后,这些骇客近期也将目标转向台湾。

资安业者趋势科技指出,他们看到这些骇客从今年3月开始从事新的攻击行动,借由网路钓鱼攻击散布后门程式Anel,针对台湾及日本的政府机关、公共机构而来,主要目的可能是窃取机密资料。

针对骇客接触受害者的过程,他们假借要求应征,或是提供出国考察报告的名义寄送钓鱼邮件,而这些邮件都来自遭到入侵的帐号,内容都嵌入OneDrive连结,一旦收信人点选,电脑就会下载带有恶意Excel档案的ZIP档,研究人员将这批Excel档称为RoamingMouse。若是收信人依照指示启用巨集,这些恶意Excel档案会透过巨集,于受害电脑载入Anel的元件。

僵尸网路绑架老旧连网设备的情况层出不穷,原因是这些产品的供应商已经终止支援(EOL),即使研究人员发现漏洞,厂商往往不会修补,而成为攻击者能持续利用的标的。

例如,近期资安业者Akamai发现的Mirai僵尸网路变种LZRD攻击行动,就是典型的例子。研究人员在今年4月,透过蜜罐陷阱察觉LZRD锁定奇偶科技(GeoVision)物联网装置而来,积极利用命令注入漏洞CVE-2024-6047、CVE-2024-11120。由于这两项已知的资安漏洞,存在于已终止支援的视讯主机、车牌辨识系统、IP摄影机、DVR设备,因此,奇偶并未对这些产品提供安全性修补,而是呼吁用户更换设备,但看在攻击者眼里,上述状况却是可乘之机。

不过,研究人员强调,奇偶设备并非唯一被锁定的产品,还包括台厂永恒数位通讯科技(Digiever)网路视讯监视设备(NVR)DS-2105 Pro、中国中兴(ZTE)路由器ZXV10 H108L、韩国Dasan Networks旗下的GPON路由器,以及Hadoop YARN,攻击者都利用这些设备的已知漏洞下手。

资安公司Wordfence揭露恶意软体WP-antymalwary-bot.php,骇客将其伪装成防恶意程式外挂,但实际上内含后门程式码,可远端执行指令并维持持久控制,并透过REST API与C2伺服器通讯,使攻击者能操控受感染的网站。

该恶意软体不仅具备多种功能,也刻意模仿正常外挂的结构,企图降低开发者警觉。程式码维持WordPress外挂常见的格式与风格,包括完整的说明注解、标准的语法缩排,甚至出现多语言内容,从表面上看起来就像是一般的合法外挂。

研究人员进一步分析发现,攻击者借由注入PHP程式码至所有布景主题中的header.php,植入广告脚本或建立重新导向逻辑,借此引导网站访客观看第三方广告、前往指定网站,或进一步接触恶意内容。 此外,该外挂会将自己储存在外挂目录中,并窜改wp-cron.php,于访客造访网站时自动重建与启用恶意外挂,形成难以移除的持久性机制。

Interlock勒索软体集团近期被发现运用名为ClickFix的社交工程技术,伪装成常见IT与资安工具,引诱使用者手动执行恶意PowerShell指令,以在系统中植入后门程式。根据资安公司Sekoia的研究,虽然该技术尚未大规模使用,但其具备高度针对性与实验性,对企业环境仍构成实质威胁。

研究指出,Interlock透过建立仿冒的合法网站页面,例如Advanced IP Scanner、Microsoft Teams、Cisco VPN等工具的下载介面,诱使用户开启执行视窗,再执行剪贴簿中自动复制的PowerShell命令。这些命令会下载并执行以PyInstaller封装的恶意程式,或是双重Base64编码的PowerShell后门,在系统内建立持久性存取点。

尽管Interlock目前的活跃程度不如Clop或Akira等勒索软体集团,但研究人员警告,其攻击手法精细、模组化程度高,可能刻意压低能见度以延长攻击存续时间,未来不排除扩大规模或强化资料勒索策略的可能性。

其他攻击与威胁

4月29日、30日加拿大网路安全中心、香港网路安全事故协调中心先后提出警告,提醒大家留意网页伺服器系统Tomcat版本更新公告,因为Apache基金会于4月8日推出11.0.6、10.1.40、9.0.104版,当中修补两项高风险漏洞CVE-2025-31651、CVE-2025-31650,CVSS风险分别为9.8、7.5(满分10分),由于这些漏洞可能导致安全功能绕过及服务中断,呼吁IT人员应尽速阅读Apache的公告内容,并套用必要的更新。由于3月下旬该基金会公布另一项漏洞CVE-2025-24813之后,很快就有概念验证程式码(PoC),并被用于攻击,因此Tomcat的相关漏洞揭露,特别值得留意。

这次Apache基金会修补的漏洞当中,被列为重大层级的是CVE-2025-31651,此为重新写入规则的绕过漏洞,攻击者有机会透过特制请求触发,从而绕过部分重新写入规则。值得留意的是,虽然Apache基金会初步认定这项漏洞危险性不高,但5月5日美国国家漏洞资料库(NVD)、网路安全暨基础设施安全局(CISA)皆认定这项漏洞相当危险,将其CVSS风险评为9.8分。

其他漏洞与修补

 

【资安防御措施】

5月8日行政院召开院会会议,数发部报告第七期国家资通安全发展方案(2025年到2028年),未来4年政府将以4大策略,包括全社会资安防御、提升关键基础设施资安韧性、壮大我国资安产业、AI新兴资安科技应用与合作,来强化国家资通安全。

行政院长卓荣泰表示,资安即国安,为因应新型态的资安威胁,以及AI等新兴科技带来的挑战,政府各部会将依照方案订定计划,强化我国资安防护网。他也请数发部依照今年「国家资通安全战略2025」愿景,依第七期国家资通安全发展方案推动策略,打造民众信赖的全社会资安防御体系。

数发部资安署长蔡福隆表示,最新一期国家资通安全发展方案为我国资安发展的重要里程碑,预期未来4年的成果,包括培育政府约1,500位储备资安人才;强化我国的关键基础设施资安防御纵深,推动CI深度的资安检测至少达到6个领域,包括能源、水资源、交通、通传、卫福、金融。另外,扩大国内资安产业发展,未来期望产值能达到1,200亿元。

 

近期资安日报