今天的资安新闻当中,针对高阶财务主管的攻击行动相当值得留意,过往骇客通常是透过电子邮件诈骗(BEC)手法,佯称是公司的CEO来行骗,但如今有歹徒以猎人头的名义来对这些主管下手,目的是在他们的电脑植入恶意软体并进行控制。
此外,骇客针对DevOps环境配置不当、滥用Windows内建的OpenSSH元件也值得留意。在国内消息的部分,昨天傍晚联嘉光电发布资安重讯,指出总部与海外子公司同时遭受攻击。
【攻击与威胁】
骇客以征才的名义从事网钓攻击的情况不时传出,其中最常见的是针对开发人员而来(例如:北韩骇客发动的的攻击行动Contagious Interview,也被称做Dev#Popper),如今有人专门针对全球高阶财务主管下手,直到一年后才被研究人员发现。
资安业者Trellix于5月中旬侦测到专门锁定财务长(CFO)及金融高层的网路钓鱼攻击,骇客的攻击范围相当广泛,涵盖欧洲、非洲、加拿大、中东、南亚等全球5个地区。受影响的产业包括银行、能源公司、保险业及投资机构。攻击者利用合法的远端存取工具NetBird,在受害者的电脑上建立隐藏的本机帐号,并启用远端桌面存取。
研究人员发现,类似的恶意连结已经活跃近一年,显示这场行动可能已经持续了一段时间。目前,攻击者的基础设施尚未被完全识别,暂且尚未归因于特定的威胁组织。
结合软体开发及IT维运的DevOps环境,近年来也成为骇客偏好下手的目标,将其中特定系统的运算资源用来挖矿,但如今有人同时针对多套系统发动攻击。
云端安全公司Wiz揭露骇客组织JINX-0132的攻击行动,这些骇客针对Docker、Gitea、HashiCorp Consul,以及HashiCorp Nomad等DevOps应用程式伺服器而来,利用配置不当的情况或资安弱点来植入挖矿程式XMRig。研究人员指出,这是首度有人滥用HashiCorp Nomad来进行挖矿的活动。
究竟这波攻击行动的曝险范围有多大?Wiz研究人员未公布明确的数字,但他们提及全球约有8成云端环境采用Docker、逾20%采用Consul;四分之一采用上述提及的Consul、Gitea,或是Nomad。而采用这些DevOps工具的环境,约有5%直接曝露于网际网路,其中有三成存在组态配置不当而曝险。
其他攻击与威胁
◆◆资安业者Karma(In)Security于5月23日揭露两个位于vBulletin的资安漏洞,同时释出概念验证攻击(PoC)程式,另一资安研究人员Ryan Dewhurst在5月26日便发现骇客已开始尝试攻击诱捕系统(Honeypot),企图植入后门。
Karma(In)Security发现的两个资安漏洞分别是CVE-2025-48827与CVE-2025-48828,其中,CVE-2025-48827是在系统于PHP 8.1或更新的环境执行时,允许未经授权的使用者可呼叫受保护的API控制器,换句话说,它让骇客得以绕过身分验证,直接存取各种API端点,CVSS风险评分达到满分(10分)。至于CVE-2025-48828,允许骇客滥用模板条件(Template Conditionals),绕过系统安全检查并执行任意PHP程式码,风险值为9.0。
值得留意的是,其实Internet Brands早在去年4月就修补了这两个漏洞,只是直到今年才被揭露、分配CVE漏洞编号。
其他漏洞与修补
【法规遵循】
今年台北国际电脑展(Computex 2025)举行,展现台湾资通讯(ICT)产业在全球科技供应链的影响力之余,现场亦有不少资安相关展示受到关注,当中有部分来自台湾资安大会展览上大家所熟悉的厂商,有部分则没有那么熟悉,但也展现广泛资安技术。
以上个月在台湾资安大会展出,5月又现身Computex展览的业者而言,资安大厂趋势科技就是一例,他们特别展示用Digital Twin来搭建企业红蓝队攻防演练的解决方案,目前已在开发阶段。
还有近年陆续在多场活动展出零信任相关资安解决方案的众至资讯,在这次Computex也不缺席,主要展示其防火墙与交换器协同防御的解决方案,以及OT安全防护设备;主打内网流量管理与DDoS安全防护的UGuard Networks崴远科技,他们也在Computex也展示一项今年新推的Defense Trust威胁情资解决方案,其他还有像是TeamT5杜浦数位安全、中华资安国际等业者,也同样现身于Computex活动现场。