6月下旬Citrix先后修补CitrixBleed 2(CVE-2025-5777)、CVE-2025-6543,并表明CVE-2025-6543已出现实际利用的情况,然而CitrixBleed 2也相当危险,轻忽不得!Shadowserver基金会指出,有超过1,200台NetScaler设备尚未修补这项漏洞,值得留意的是,这样的数字并不包含企业设置于内部网路环境、未与网际网路连线的NetScaler设备,因此实际曝险范围可能远大于此。
在其他资安事故方面,有两起网钓攻击值得留意,其中,锁定台湾、日本的APT攻击Swan Vector,骇客利用履历表与财务文件当作诱饵引人上当;另一起则是针对使用简体中文的用户而来,中国骇客组织Silver Fox假借提供DeepSeek、WPS Office、搜狗输入法等安装程式,来散布恶意软体。
【攻击与威胁】
6月下旬Citrix修补NetScaler设备重大风险漏洞CitrixBleed 2(CVE-2025-5777),且。
根据非营利网路资安机构Shadowserver基金会的监控,超过1,200台NetScaler装置还是执行有CVE-2025-5777漏洞的软体。
最近有人同时针对台湾与日本发动攻击而引起关注,例如,今年5月资安业者趋势科技揭露隶属于APT10旗下、代号为MirrorFace、Earth Kasha的中国骇客组织,原本长期锁定日本企业组织而来,从今年3月也攻击台湾,现在又有类似的事故传出。
上周末台湾电脑网路危机处理暨协调中心(TWCERT/CC)提出警告,资安业者Seqrite揭露同时针对台湾与日本等中国东部海域国家的APT攻击行动Swan Vector,骇客锁定教育领域和机械工程产业而来,借由假的履历表、财务文件作为诱饵来接触受害者。Seqrite进一步调查此事,发现骇客最早从去年12月就进行活动,当时就锁定台湾与日本的人员招募单位。
针对恶意软体的感染流程,研究人员指出大致可分成4个阶段,最初是恶意Windows捷径档案(LNK),接下来是透过捷径档进行寄生攻击(LOLBin),执行名为Pterois的DLL档案,目的是从Google Drive下载第三阶段的作案工具并执行。
资安业者Netskope旗下威胁实验室警告,中国骇客组织Silver Fox正利用钓鱼网站攻击说中文的使用者,伪装成AI模型DeepSeek、金山软件所开发的办公室套装软体WPS Office,以及搜狗输入法的安装程式,并于安装过程中侧载Sainbox RAT远端存取木马,同时植入Rootkit以隐藏恶意行为。
骇客使用了以假乱真,甚至是比官网还要像真的的网址来误导使用者,例如DeepSeek AI的官网是deepseekcoder.com或GitHub的开源页面,但骇客使用的是deepseek[.]org;又或者WPS Office的官网是wps.com或wps.cn,但骇客使用了wpsice[.]com;搜狗输入法的官网为sogou.com,骇客使用的是sogoucom[.]org。
一旦使用者依照指示执行有问题的安装程式,骇客于使用者系统上植入远端木马程式Sainbox RAT,这是Gh0stRAT的变种,将允许骇客取得系统的完整控制权,以下载并执行其他有效载酬,或是撷取萤幕画面、记录键盘或窃取档案。
其他攻击与威胁
CVE-2025-6218漏洞由资安研究人员whs3-detonator通报,官方公告指出,此漏洞主要影响WinRAR、RAR、UnRAR、UnRAR.dll及其Windows版可携原始码。攻击者可透过特制压缩档案,操控档案于解压缩时的储存路径,进而将档案写入目标系统中的敏感目录,像是Windows启动资料夹。当使用者在未察觉情况下开启并解压缩这类特制档案时,恶意程式可能被写入Windows启动资料夹,导致于下次开机时自动执行。
其他漏洞与修补
【法规遵循】
为了防堵诈骗集团假冒政府机关的名义寄送简讯从事诈骗,2023年数位发展部推出政府专用的111短码简讯发送平台,借由发送来源号码是111的简讯供民众识别,如今数发部针对这项简讯防诈机制进行升级。
数发部表示自6月起他们强化111平台的防诈识别机制,作法是在讯息开头加入接收者手机号码末三码、政府机关名称,借由「来源号码」、「手机末三码」与「机关具名」等3种识别机制,来增加政府简讯的辨识度,以提升社会对政府的信任。
针对要增加这些识别项目的原因,数发部指出与诈骗集团会使用非法2G基地台盖台手法有关,歹徒会借此伪冒政府的名义发送111简讯,因此他们决定整合111政府简讯平台服务内容,推动「政府简讯安心辨识三步骤」来因应。