骇客利用深伪(Deepfake)冒充公司高管,借由线上会议从事网路钓鱼攻击的情况近期再度出现,近期由北韩骇客BlueNoroff(TA444、Sapphire Sleet)锁定一家加密货币组织发起的攻击行动引起关注,骇客假借该公司高管的名义,引诱员工安装恶意Zoom延伸套件。
在其他资安事故的部分,另一组北韩骇客Kimsuky的攻击行动、木马程式借由大型语言模型DeepSeek-R1散布,也相当值得留意;此外,本周Citrix为NetScaler设备修补两项重大漏洞,IT人员也要尽速处理。
【攻击与威胁】
骇客使用深伪(Deepfake)技术行骗的情况,最近几年不时有事故传出,从多年前假冒加密货币交易所币安(Binance)高层、马斯克等名人诈骗加密货币,到去年发生有跨国企业遭到Deepfake视讯会议诈骗损失2亿港币、资安业者LastPass员工遭到冒牌执行长视讯会议险些上当、北韩骇客利用相关技术在资安业者KnowBe4求职得逞,最近又有骇客试图透过深伪从事相关攻击,直到受害组织察觉异状才东窗事发。
资安业者Huntress揭露一起北韩骇客的攻击行动,攻击者的身分是匿称为BlueNoroff、TA444、Sapphire Sleet、Copernicium、Stardust Chollima的骇客组织,他们锁定Web3领域下手,针对Mac电脑用户展开攻击。
接触到诱饵的使用者是加密货币机构的员工,当时他从Telegram频道收到骇客的讯息,对方引诱点选伪装成Google Meet活动的连结,而该连结是透过线上会议排程工具Calendly建立,但这名员工依照指示点选后,就被重新导向到攻击者控制的冒牌Zoom网域。数周后,这名员工参加了Zoom群组会议,视讯画面出现多个深伪人物,模仿其公司高层与外部合作伙伴,试图与这名员工建立信任。过程里要求员工下载特定的Zoom延伸套件,但实际上这是有问题的AppleScript指令码,执行后就会下载第二阶段的恶意酬载。
与北韩关联的Kimsuky骇客组织被揭露利用脸书、电子邮件与Telegram等三重社交通道,对韩国本地涉北韩议题的异议人士、人权工作者及志工团体发动高度客制化的钓鱼攻击。根据韩国资安厂商Genians的调查,Kimsuky骇客组织近期攻击范围已从政府及国防单位,扩大至脱北者支援团体、NGO与公民运动参与者,导致相关人士面临资讯外泄与个资遭监控的风险。
骇客通常先在脸书上建立与目标背景相似的假帐号,例如冒用宗教组织志工、脱北者志工或具学术背景的人士,主动向涉北韩议题的个人或团体发出好友邀请,并在取得对方信任后,展开讯息互动。
在进一步于取得受害者信任后,骇客会要求提供电子邮件,透过邮件寄送第二波攻击档案或恶意连结,当电子邮件及手机号码同时掌握时,则可能进一步透过Telegram或其他即时通讯软体接触受害者,进行多管道且持续的攻击。
卡巴斯基GReAT团队发现骇客锁定热门生成式人工智慧应用热潮,透过假冒DeepSeek-R1语言模型安装程式的Google广告,散布名为BrowserVenom的新型恶意木马,专门劫持受害者浏览器流量,并窃取个人资料。
根据研究人员的调查,攻击者利用Google搜寻广告,将针对DeepSeek R1关键字所建立的钓鱼网站推至搜寻结果页面顶端。该网站外观与DeepSeek官方网站极为相似,并会依据访客作业系统显示相对应的介面,进一步提升诱骗成功率。
以Windows用户为例,进入钓鱼网站后会仅出现Try now按钮,点击后则会出现CAPTCHA防机器人验证页面,实际上相关验证机制均以JavaScript混淆程式码实作,目的是过滤自动化工具,提高钓鱼精准度。
其他攻击与威胁
【漏洞与修补】
高风险漏洞编号CVE-2025-20672,为一堆积缓冲溢位(Heap overflow)漏洞。本漏洞起于蓝牙驱动程式边界检查(bounds check)不正确,导致攻击者提高本地User执行权限以进行恶意活动,而本漏洞不需使用者互动即可达成滥用。
这波更新还修补了多项中度风险漏洞,涵括了一项提权(EoP)漏洞CVE-2025-20674(影响蓝牙驱动程式)及5项阻断服务(DoS)攻击漏洞,包括CVE-2025-20673、CVE-2025-20675、CVE-2025-20676、CVE-2025-20677和CVE-2025-20678,其中除了CVE-2025-20678为电信模组IMS Service,其余皆影响WLAN驱动程式。
其他漏洞与修补
◆微软强化Microsoft 365(M365)租户的安全控管,将从7月起预设封锁用户以旧版身分验证机制来存取档案。
微软本周透过M365管理员中心讯息公布此事,M365预设封锁以旧验证协定如RPS(Relying Party Suite)及FPRPC(FrontPage Remote Procedure Call)登入SharePoint、OneDrive和Office档案,微软将从7月起逐步部署,预定8月完成。微软说,这次更新是因应微软安全未来倡议(Secure Future Initiative,SFI)及其预设安全(Secure by Default)原则,目的在所有企业打造更稳固的基础安全态势。
微软所指的旧式验证协定是指比OAuth 2.0或SAML更古早的用户验证技术,对M365而言,受影响的协定有RPS和FPRPC二种。RPS多半为旧式浏览器或用户端App存取云端资源之用,而FRPRC则是以前用于远端网页开发和操作Office档案的方法。