回顾2025年1月资安新闻,国家级骇客发动的网路间谍行动是主要焦点,在多起攻击事件被资安界揭露之际,我们年初也特别以封面故事报导这方面的最新威胁态势与重要变化。
还有其他重要网路安全议题与事件同样值得重视,包括海缆安全与通讯服务韧性,台湾9家上市柜发布资安重大讯息,DDoS攻击冲击台湾、日本与全球等,在此我们整理出5大重要威胁态势,帮助大家快速回顾。
(一)国家级骇客网路间谍攻击加剧
受政府资助骇客组织发动的网路间谍行动,危害持续升级,本月封面故事我们报导了这类组织近年的重要变化,例如,从受国家指挥的军事单位,政府资助的半独立团体,现也涵盖到国家支持的民间企业与承包商,而其攻击手法上,也变得更常以供应链攻击、边缘装置漏洞来入侵渗透。
同时,我们还整理出多项国家级骇客攻击的现况与最新态势,包括:
●微软2024年度数位防御报告中,揭露了国家级骇客锁定攻击的前7大目标,依序是:美国、以色列、乌克兰、阿拉伯联合大公国,以及英国、台湾。
●国家级骇客锁定电信业的情况已持续多年,在2024年呈现爆发的态势,不只美国、东南亚的电信业有重大事故揭露,多国网路安全机构也特别真对中国骇客组织对电信业攻击的威胁示警。
●台湾国家安全局揭露过去一年中共网骇手法分析报告,指出我国遭受攻击成长最多的产业,是电信业为主的通讯传播领域,遭受攻击比之前增长6.5倍,其次为交通、国防供应链,分别增长70%与57%。
此外,后续还有一起新闻事件也呈现这方面威胁的严重性。日本警方也在1月上旬发布中国骇客MirrorFace(Earth Kasha)入侵警报,指出该组织在近5年对日本发动逾200起攻击,目的是窃取日本的国家安全及先进技术的资料,并公开3波攻击样态与防范措施,希望促进企业组织更积极因应。
(二)海缆安全与国家网路数位韧性受挑战
本月台湾多起海底电缆事故的新闻,持续引发国人对于通讯网路及服务韧性的关注,从1月3日中华电信海底电缆遭货轮破坏,到1月22日发生台马二号海缆疑似芯线老化导致服务中断,数位发展部在当日也紧急召开记者会说明。
当中提到不少国人关心的重点,例如:我国目前有14条国际海缆、10条国内海缆,国际海缆方面由国际业者筹组联盟共同投资,因此修复也是共同分担,在国内海缆方面,虽然主要由中华电信包办,但如今全都已经列为国家关键基础设施,因此政府会监督与协助关键CI民间业者强化这方面的防护。
对于近期国内海底电缆事故的状况,数位部指出,2025年1月已经发生4次,超过2024全年的3次,的确呈现今年密集暴增的情形。而在海缆断裂的事故原因,除了人为破坏,也有天然因素,像是最新一次的「台马二号海缆」是芯线老化造成。
至于因应上,由于先前政府推动关键CI防护计划,已请中华电信在2024年完成微波通讯备援,因此能在一小时内通知中华电信,启动微波备援方案,确保民生相关的服务不致出现中断的现象。另外也通知受补助单位电信技术中心,启用非同步卫星站点,作为微波之备援。另外,在微波通讯、非同步卫星的网路备援机制之外,数位部也补助中华电信建置台马四号海缆,预计在2026年6月完工。
此外,关于年初货轮海缆安全事故的新闻中,还有国内学者呼吁政府重视中国对台资讯封锁的风险,曾担任NCC电信普及服务基金委员的成大电机系教授李忠宪指出,国内欠缺对大规模网路中断的应变演练,需提高对紧急状态下的网路韧性演习。
(三)台湾重大资安事件
根据公开资讯观测站的重大讯息公告,本月9家上市柜公司发布资安重讯。
●第一周有4起,包含:易飞网遭遇供应链攻击及资料窃取,新海瓦斯伺服器档案遭受勒索软体加密,悠泰科技、华航公布官网遭DDoS攻击。
●第二周有2起,泰艺电子表示有部分资讯系统遭到网路攻击;远东新表示重要资通讯合作厂商遭网路攻击,导致自家资料外泄疑虑。
●第三周有3起,联钧表示资讯系统遭受勒索病毒攻击;所罗门与集团旗下新门科技在同日表示资讯系统遭受骇客攻击。
还有1起与台湾有关的威胁揭露,同样值得留意,资安业者Recorded Future针对中国骇客组织RedDelta(Earth Preta、Mustang Panda、TA416)的攻击行动提出警告,这些骇客两年前因中国政府声援俄罗斯,主要攻击锁定欧洲各国,但自2023年下半其攻击目标有了明显调整,开始转向蒙古、其他东南亚国家,还有台湾。
(四)DDoS攻击威胁再度侵袭各国
DDoS攻击威胁依然持续,有3则新闻成为主要焦点。
首先,2025年一开始亲俄骇客NoName057的DDoS攻击再成焦点,台湾已遭遇第三波攻击,包括上市公司台塑、大众电脑等公司发布资安重讯,根据骇客宣称的攻击目标,还包括主计总处、柜买中心与20多个交通运输、地方政府的网站。
特别的是,遭受NoName057攻击的国家也增加,除了之前攻击过英国、瑞士、乌克兰,1月还扩及印尼、加拿大、德国、义大利。这些国家均有数十个政府机关、关键CI与企业网站被攻击。
其次,日本也面临一波未知攻击者的DDoS攻击,自12月底至1月上旬期间,先是传出日本航空(JAL)因此造成航班延误,接著三菱UFJ、瑞穗等银行也遭攻击,趋势科技向当地媒体表示这期间共46起DDoS事件,都是来自同一个僵尸网路的攻击。
第三件新闻,则是关于巨量DDoS攻击的揭露。Cloudflare公布最新一季DDoS攻击态势,指出一家东亚ISP客户在3个月前遭遇的UDP DDoS攻击达到5.6 Tbps,再次突破先前的记录,并也说明攻击是来自1.3万台IoT装置。另要注意的,超过1Tbps的攻击数量,也比前一季大增18倍。
(五)攻击者持续挖掘新漏洞与发展新攻击手法
关于重要网路攻击与威胁的揭露方面,以零时差漏洞利用攻击而言,本月新闻涵盖Ivanti(CVE-2025-0282),微软(CVE-2025-21333、CVE-2025-21334、CVE-2025-21335),以及Fortinet(CVE-2024-55591)。值得注意的是,在Ivanti漏洞攻击调查的新闻中,研究人员指出发现攻击者还会利用假装系统升级成功的手法,包括拦截升级流程、制作假的升级进度条,并绕过系统完整性检查,这点相当特别。
在勒索软体威胁上,除了注意12月新出现的勒索软体FunkSec的消息,还有另一勒索攻击手法揭露的新闻值得留意,是针对云端环境而来,攻击者先利用外流或曝险的AWS金钥,进而滥用AWS提供的用户端资料保护措施SSE-C,将客户资料加密并勒索。
在2025年第二星期的资安新闻,适逢多家IT大厂每月例行安全更新发布,其中微软与Fortinet的修补是重要焦点。微软本月修补159个漏洞中,包含了8个零时差漏洞,其中5个已经公开揭露,另外3个更为严重,因为已出现实际利用状况;资安业者Arctic Wolf在1月10日揭露一起Console Chaos攻击行动,指出有攻击者从去年11月针对Fortinet FortiGate防火墙设备发动零时差漏洞利用攻击,4天后Fortinet发布相关修补资安公告。
●微软修补8个零时差漏洞,其中3个已遭利用,分别是:CVE-2025-21333、CVE-2025-21334、CVE-2025-21335,皆涉及Hyper-NT核心整合VSP的漏洞。
●Fortinet修补FortiOS零时差漏洞CVE-2024-55591,并表示该漏洞已遭广泛利用。虽然Fortinet未提及漏洞是由Arctic Wolf通报,但Fortinet资安公告列出的IoC指标与Arctic Wolf的报告吻合。
●互动式BI系统Qlik Sense在2023年修补的漏洞CVE-2023-48365,最近美CISA将其列入限期修补的已知被利用漏洞清单。
另还传出有骇客公布1.5万台Fortinet防火墙的详细组态配置资料、VPN帐密,研究人员推测可能是骇客透过2年前的零时差漏洞取得,虽然许多防火墙可能早已修补,但因这批资料包含防火墙规则的完整资料,因此研究人员提醒不要忽略这些能够防范的风险。
在威胁态势上,使用PlugX恶意程式的中国骇客威胁,是资安界与国家网路安全机构关注的重点,不仅有资安业者揭露攻击态势,后续我们还发现,有国家执法单位正设法积极移除这类威胁的消息。
首先,资安业者Recorded Future揭露中国骇客RedDelta(也叫做Earth Preta、Mustang Panda、TA416)自2023年中旬将网路攻击目标转向蒙古、台湾与东南亚,主要是配合中国外交政策,而且近半年更是扩大攻击范围,锁定马来西亚、日本、美国、衣索比亚、巴西、澳洲、印度。
其次,美国FBI在1月14日宣布,在与法国执法单位及资安公司Sekoia合作下,经美国法院授权,远端删除美国境内4,200电脑上被感染的中国骇客散布的PlugX恶意软体,并通知受影响使用者。
在其他重要威胁态势与事件上,有两起是锁定开发人员与资安研究人员的揭露,包括攻击者假借提供漏洞侦测工具,或是漏洞验证工具,但实则暗藏恶意程式;有两起是勒索软体威胁的最新动向,其中专门针对AWS S3储存桶的勒索软体攻击值得留意,因为攻击者滥用了AWS本身提供的资料保护措施。
●有攻击者提供伪装成以太坊智慧合约漏洞侦测工具的NPM套件,宣称能找出潜在漏洞,实际上该套件暗藏远端存取木马Quasar RAT。
●有骇客假借提供去年12月LDAPNightmare漏洞的概念验证程式码,意图对资安研究人员散布窃资软体。资安专家提醒,若要研究PoC应从原始揭露来源取得。
●新兴勒索软体FunkSec出现值得留意,资安业者Check Point指出这是去年12月,不仅会发动双重勒索,并研判该组织运用了AI辅助开发相关工具。
●新发现有勒索软体骇客的攻击手法,是利用外流或是不慎曝光的AWS金钥,接著滥用了AWS提供的资料保护措施SSE-C将客户资料加密,再向使用者勒索。
此外,还有两起关于台湾上市柜公司的资安事件,专注于石英频率控制元件的泰艺电子在1月12日发布重讯,说明有部分资讯系统遭到网路攻击;国内老牌纺织纤维业者远东新世纪〈原远东纺织〉在1月16日发布重讯,说明他们接获重要资通讯合作厂商通报,与自家公司合作的相关系统有资料外泄疑虑。
●Fortinet修补FortiOS零时差漏洞CVE-2024-55591,并表示该漏洞已遭广泛利用。虽然Fortinet未提及漏洞是由Arctic Wolf通报,但Fortinet资安公告列出的IoC指标与Arctic Wolf的报告吻合。
●互动式BI系统Qlik Sense在2023年修补的漏洞CVE-2023-48365,最近美CISA将其列入限期修补的已知被利用漏洞清单。
●有攻击者提供伪装成以太坊智慧合约漏洞侦测工具的NPM套件,宣称能找出潜在漏洞,实际上该套件暗藏远端存取木马Quasar RAT。
●有骇客假借提供去年12月LDAPNightmare漏洞的概念验证程式码,意图对资安研究人员散布窃资软体。资安专家提醒,若要研究PoC应从原始揭露来源取得。
●新兴勒索软体FunkSec出现值得留意,资安业者Check Point指出这是去年12月,不仅会发动双重勒索,并研判该组织运用了AI辅助开发相关工具。
●新发现有勒索软体骇客的攻击手法,是利用外流或是不慎曝光的AWS金钥,接著滥用了AWS提供的资料保护措施SSE-C将客户资料加密,再向使用者勒索。