在2025年第一星期资安新闻的主要焦点是,台湾国家安全局于1月5日发布中共网骇手法分析报告,指出2024年国安情报团队掌握我国政府及民间网骇案中,最严峻是以电信业者为主的资通讯领域,遭受攻击是前一年度的6.5倍,其次是交通与国防供应链,遭受攻击也比前一年度增长,显示这些领域已是中共新兴网骇重点。
此外,日本警方于1月8日发布中国骇客MirrorFace(Earth Kasha)入侵警报,揭露该组织5年间对日本发动逾200起攻击。事实上,趋势科技两个月前已警告该组织利用多家品牌SSL VPN设备漏洞入侵。不仅日本企业受害,台湾与印度也遭波及。因此日本警方此次公布的攻击手法与侦测措施,也可供我国企业组织参考。
在资安事件方面,这一星期国内多家上市柜公司发布资安事件重讯,其遭遇事故类型涵盖供应链攻击、勒索软体攻击,以及DDoS攻击事件。
●易飞网在1月7日说明遭遇供应链攻击及资料窃取,致有个资外泄。
●新海瓦斯1月9日揭露伺服器内部档案遭受勒索软体加密。
●悠泰科技、华航在1月7日与8日分别公布官网遭受网路DDoS攻击。
●针对中华电信海底电缆遭货轮破坏的事故,数位发展部表示中华电信当日已通报并启动其他海缆备援,之后将配合海巡署、法务部、NCC与司法机关加强执法。
●资安业者Tenable传出外挂程式更新出错的意外事故,造成端点代理程式停摆。
在资安威胁的攻击技术态势上,有1则重要消息,是关于双点击劫持(DoubleClickjacking)手法的揭露,研究人员提醒,多数网站已能透过「X-Frame-Options header」、「SameSite: Lax/Strict」来防范点击劫持攻击手法,但无法因应这种新的变种手法,研究人员阐释攻击原理,同时建议可借由用户端保护方式来缓解。
还有不同资安业者公布其发现的最新攻击手法,有3则同样值得我们留意,包括:出现新型态的恶意JavaScript、Python、Ruby套件,显示攻击者正滥用oastify.com、oast.fun等新兴应用程式安全测试OAST检测服务;发现针对苹果电脑用户的新型窃资软体Banshee,会冒用内建防毒XProtect的字串加密演算法来回避侦测;俄罗斯网路犯罪论坛正兜售名为PhishWP的恶意WordPress外挂程式,可用于建立几可乱真的付款网页。
在漏洞利用消息方面,以Ivanti的零时差漏洞利用情形最受关注,Google旗下资安公司Mandiant在漏洞公布隔日的1月10日,发布相关研究报告,研判中国骇客组织利用此漏洞进行网路间谍活动,并揭露其攻击手法的特殊之处是假装系统升级成功,包括:插入恶意程式码拦截升级执行流程,制作假的升级进度条来迷惑管理员,并绕过系统完整性检查,假装成为升级后的版本。
●Ivanti针对Ivanti Connect Secure等设备修补已遭利用零时差漏洞CVE-2025-0282,隔日Mandiant公布研究报告,指出该漏洞2024年12月中旬已遭利用。
●加拿大电信业者Mitel在前几个月陆续修补MiCollab整合通讯平台的漏洞CVE-2024-41713、CVE-2024-55550,如今被发现遭骇客锁定利用于攻击活动。
●Oracle于5年前修补WebLogic Server的漏洞CVE-2020-2883,当时已有资安业者指出遭骇客锁定利用,最近美CISA将其列入限期修补的已知被利用漏洞清单。
至于资安防御动向上,有两则重要新闻,一是历经18个月讨论的美国物联网装置网路安全标章U.S. Cyber Trust Mark正式发布;通讯软体Telegram宣布将推出业界首创的第三方验证机制,采更主动式防护来打击假消息与诈骗行为。
1月2日、3日有5家上市柜公司证实遭遇DDoS攻击,NoName057宣称就是他们所为,并表明一共攻击超过30个网站。
本日的资安新闻当中,有两则提及骇客攻击出现新的手法,其中,与一般社会大众较为相关的电商网站交易资料侧录攻击,特别值得我们关注。
有研究人员发现,骇客制作了WordPress外挂程式,并在网路犯罪论坛兜售,标榜攻击者能即时取得受害者输入的付款内容,甚至能借此窃取线上刷卡流程所需的动态密码(OTP)。
去年锁定苹果电脑的攻击行动有显著增加的现象,过往这些针对macOS作业系统而来的攻击事故,骇客大多会试图绕过内建的Gatekeeper、XProtect等防护机制,但如今出现更为隐密的手法,使得防毒软体更难察觉有异。
资安业者Check Point揭露窃资软体Banshee的攻击行动,就是这样的例子。这次引起研究人员注意的地方,就是此恶意软体盗用来自XProtect的演算法,而能左右防毒软体的分析结果。
有研究人员发现,骇客制作了WordPress外挂程式,并在网路犯罪论坛兜售,标榜攻击者能即时取得受害者输入的付款内容,甚至能借此窃取线上刷卡流程所需的动态密码(OTP)。