为了透过合法掩盖非法行为,骇客不是滥用合法的云端服务,就是入侵网站植入恶意程式码,将其做为散布恶意软体或从事其他恶意行为的管道,如今有一起大规模网站攻击行动引起研究人员关注,因为骇客使用了罕见手法隐藏意图。
此外,锁定微软Entra ID的密码泼洒(Password spraying)攻击、iOS零点击漏洞的间谍软体攻击事故、骇客兜售Roundcube重大漏洞的利用方法,后续都值得观察。而在国内的资安事故,联钧光电周末发布重大讯息,揭露深度调查的新发现。
【攻击与威胁】
资安业者Palo Alto Networks揭露针对近30万个网站而来攻击活动,攻击者运用经过JSFuck(研究人员称为JSFireTruck)的混淆手法处理JavaScript恶意程式码,并将它们植入受害网站。这种程式码的组成内容主要是符号,例如:[、]、+、$、{、}等。
这些被植入的程式码,将会检查网站的引用来源(Website Referrer),一旦发现来源是搜寻引擎,恶意程式码就会将使用者导向恶意网站,而有可能导致恶意软体下载、恶意广告,或是其他滥用流量获利的行为。但骇客为何要进行上述过滤流程,研究人员并未说明。
研究人员根据遥测的资料进行分析,结果发现,从3月26日至4月25日一个月的时间里,总计有269,552个网页被植入JSFireTruck程式码,这波活动在4月12日达到高峰。
资安业者Proofpoint近日警告,有一起恶意活动UNK_SneakyStrike自去年12月以来,便开始针对微软云端身分验证服务Entra ID发动密码泼洒(Password spraying)攻击,影响了数百个组织、逾8万个使用者帐户,并有多起成功接管帐户的案例。
根据Proofpoint的分析,骇客所使用的工具是威胁研究人员于2021年所打造的红队演练工具TeamFiltration,该工具具备帐户枚举、密码泼洒、资料汲取,以及透过OneDrive植入后门等能力,原本是要用来进行渗透测试及风险评估,模拟对Azure用户的攻击,却直接被骇客应用于恶意活动。
骇客透过AWS云端伺服器从不同的地理区域轮番发动攻击,主要为美国(42%)、爱尔兰(11%)及英国(8%),以增加追踪难度。这起攻击行动在2025年1月达到高峰,当时1天内有16,500个帐户遭到攻击。
苹果针对部分iOS用户发出罕见威胁通知,指称其装置遭遇高阶间谍软体攻击,提醒受影响用户提高警觉。根据资安研究团队Citizen Lab最新调查,经技术鉴识后,首次有法证证据确认,至少两名欧洲记者的iPhone遭滥用iOS零点击漏洞入侵,悄悄植入以色列Paragon Solutions开发的Graphite间谍软体。Apple目前已针对该漏洞CVE-2025-43200发布安全更新并加强防护。
根据Citizen Lab公布的调查结果,收到苹果通知的受害者包括一名欧洲知名记者及义大利媒体Fanpage.it主编。团队对两台受害iPhone进行系统日志及网路流量鉴识,发现这两台装置于2025年1月至2月间执行iOS 18.2.1版本的作业系统,连线至一个与Graphite间谍软体基础设施有关的C2伺服器,并留下攻击者特征帐号ATTACKER1的iMessage讯息纪录。研究团队比对伺服器指纹及既有行为模式,高度确信攻击来自Paragon Solutions的Graphite产品,且属于零点击攻击,也就是无须用户互动即可远端入侵。
6月初电子邮件伺服器系统Roundcube发布资安更新,修补风险值达到9.9分的后身分验证漏洞CVE-2025-49113,通报此事的资安业者Fears Off指出,这项漏洞不仅危险,影响范围还相当广泛,攻击者很快就会将其用于实际攻击,如今研究人员的推测成真,因为马上就有骇客在地下市集兜售利用漏洞的方法。
CVE-2025-49113是在6月1日揭露,3天后,Fears Off执行长Kirill Firsov在社群网站X提出警告,指出暗网有人在兜售CVE-2025-49113的利用方法,骇客号称这种手法可用于对全球353.6万台邮件伺服器下手,虽然骇客并未公布售价,但Kirill Firsov认为,漏洞掮客可能会以5万美元的价格买下。
事隔数日(6月9日),威胁监控平台Shadowserver基金会公布此漏洞曝险的情形,他们在6月8日侦测到有84,925台邮件伺服器尚未修补,其中以美国、印度、德国最多,分别约有19,500、15,500、13,600台。
对于遭窃的资料内容为何,联钧并未进一步说明,但特别的是,他们呼吁可能利害关系人切勿向骇客购买这些资料,由此看来,外流的档案内容可能涉及内部机密,或是与其他厂商往来的重要资料。
其他攻击与威胁