这两天最受到关注的国际资安新闻,就是以色列骇客组织Predatory Sparrow(Gonjeshke Darande)发动的破坏性网路攻击,他们先后声称对伊朗国营银行Bank Sepah、大型加密货币交易所Nobitex下手,后续效应有待进一少观察。
此外,僵尸网路锁定LLM开发工具Langflow重大漏洞而来的情况相当值得留意,开发人员应特别提高警觉并尽速修补;这几天还有两份先前资安事故的报告出炉,一份是关于3月公布的Chrome零时差漏洞攻击事故,另一份是中国骇客Salt Typhoon对美国电信业者发动大规模攻击。
【攻击与威胁】
上周末以色列与伊朗再度爆发军事冲突,本周以色列骇客组织Predatory Sparrow(Gonjeshke Darande)声称对伊朗国营银行Bank Sepah发动网路攻击,摧毁所有资料,导致有几间分行被迫暂停营业、客户无法存取银行帐户、金融卡无法使用,ATM显示尚未连线的错误讯息,引起全球高度关注。事隔一天,这些骇客传出再度犯案,这次是针对加密货币交易所而来。
根据CNN、卫报、Wired等各家媒体报导,这些骇客于6月18日透过社群网站X声称,他们也对伊朗大型加密货币交易所Nobitex下手,并预告将在1天之内公布该公司的原始码,以及内部网路窃得的资料。同日Nobitex也在社群网站X发文,证实他们的网路环境出现基础施未经授权存取的情形,影响该公司的内部通讯系统,以及部分热钱包。Nobitex察觉后将所有受到影响的系统隔离,并透过内部事件回应团队展开全面调查。
专精加密货币相关网路犯罪的资安业者Elliptic公布相关调查结果,证实了Nobitex的说法,他们确认有超过9千万美元加密货币遭窃,骇客将窃取的资金转移至「虚荣地址(Vanity Addresses)」,这些地址包含反伊朗政权的讯息,例如针对伊斯兰革命护卫队(IRGC)的侮辱字句。
僵尸网路绑架的目标,通常是缺乏定期修补、存在已知漏洞的家用路由器、网路摄影机、NAS、防火墙等小型连网设备,但近期这样的态势出现了变化,6月上旬资安业者Akamai揭露有两个僵尸网路锁定开源资安监控平台Wazuh而来,利用重大漏洞CVE-2025-24016(CVSS风险9.9分)攻陷及控制Wazuh伺服器,有其他骇客组织跟进,锁定开源AI开发平台的重大漏洞来绑架主机。
资安业者趋势科技揭露名为Flodrix的僵尸网路,骇客锁定的目标,骇客的目标是大型语言模型(LLM)应用程式开发平台Langflow,他们透过网路扫描、寻找存在重大漏洞CVE-2025-3248的伺服器下手,并运用公开的概念验证程式码(PoC)而夺取远端Shell的存取权限,得逞后攻击者于受害主机下达bash命令进行侦察,然后将结果回传C2伺服器。
接著,骇客于受害主机下载、执行僵尸网路病毒Flodrix,一旦此恶意软体成功完成部署,并与C2伺服器建立连线,攻击者就能透过TCP连线下达命令并发起各种分散式阻断服务(DDoS)攻击。
今年3月Google修补Chrome零时差漏洞CVE-2025-2783,当时通报此事的资安厂商卡巴斯基透露,骇客发出邀请函,以世界经济和国际关系论坛「普里马科夫读书会(Primakov Readings)」报告为诱饵,诱使用户存取钓鱼网站。不过,当时研究人员并未辨识出行动是由谁策动。本周有研究人员公布进一步的调查结果。
资安厂商Positive Technologies指出,攻击者是名为TaxOff的骇客组织,一旦收信人点选报告连结,就会触发CVE-2025-2783,让骇客能将后门程式Trinper植入电脑。他们进行比对,发现另一组人马Team46于去年10月从事的网钓攻击手法相当类似,当时这些骇客以现代世界独立国协安全(Security of the Union State in the modern world)」国际会议为诱饵来散布Trinper,主要的差别是骇客当时锁定Yandex浏览器而来,利用另一个漏洞CVE-2024-6473来达到目的。对此,研究人员认为,TaxOff与Team46可能是同一个骇客组织。
其他攻击与威胁
【漏洞与修补】
漏洞管理解决方案Tenable上周发布Windows版Nessus代理程式更新,修补3项资安漏洞CVE-2025-36631、CVE-2025-36632、CVE-2025-36633,这些漏洞可被非管理员身分的使用者利用,攻击者能以SYSTEM权限覆写本机任意系统档案、执行程式码,或是删除档案以便提升权限,CVSS风险介于7.8至8.8分,影响10.8.4以下版本的Nessus代理程式,使用者应尽速升级至10.8.5版因应。
其他漏洞与修补