回顾2025年3月第三星期的资安新闻,勒索软体CrazyHunter持续锁定台湾的状况最引发关注,不只是先前马偕、彰基医院受害,如今也有上市公司「科定」被列为其受害者,这起事故也意味著该组织的攻击目标,可能从医疗院所扩展至上市柜公司。而且我们还发现,在该公司发布重大讯息揭露之前,其公司网站首页遭到恶意置换,对方声称加密受害者所有系统并留下勒索讯息。
近来还有假冒我国财政部的网钓攻击,需要政府机关及企业的财务人员注意,今年已有财政部、资安业者、数位发展部相继提出警告,指出有骇客假冒其名义,以税务抽查涉税企业名单、税务通知、赋税稽查通知书为幌子从事网钓攻击。
另一台湾企业要特别注意的风险是弱点管理,去年台湾资安研究人员揭露与通报的PHP-CGI重大漏洞(CVE-2024-4577),今年1月有攻击者锁定日本的未修补企业组织攻击,如今另一资安业者示警,指出最近一个月台湾是攻击者的主要目标。
在漏洞消息方面,这一星期3个漏洞利用消息,涵盖Windows、Tomcat与ChatGPT,虽然美CISA尚未纳入已知漏洞利用清单,但值得优先重视。另有Paragon间谍软体利用零点击WhatsApp零时差漏洞被揭露,Meta已修补但不会分配CVE编号。
●ZDI去年9月发现利用ZDI-CAN-25373漏洞的攻击行动,锁定的是Windows尚无修补的零时差漏洞,已有11个国家级骇客用以散布恶意LNK档案发动攻击。
●Apache基金会新修补Tomcat的漏洞CVE-2025-24813,有资安业者发现30小时后已有PoC公布,并且侦测到第一波攻击。
●去年ChatGPT commit f9f4bbc被揭露存在SSRF漏洞CVE-2024-27564,如今有资安业者警告已被用于实际攻击。
还有5个漏洞被CISA列入已知被利用漏洞清单,其中两项我们在2月中与上星期就已经报导,包括Fortinet的漏洞(CVE-2025-24472),以及讯舟科技老旧网路摄影机的漏洞(CVE-2025-1316 ),CISA强调,当漏洞缓解措施无法发挥作用时,应停止使用产品。其他3项我们整理如下:
●GitHub Action的tj-actions/changed-files出现与供应链攻击相关的漏洞CVE-2025-30066,将导致日志列出的敏感的CI/CD凭证与机密资讯发生泄漏状况。
●Nakivo备份软体去年11月修补(今年2月揭露)的漏洞CVE-2024-48248
●SAP NetWeaver应用伺服器平台2017年修补的漏洞CVE-2017-12637
其他重要漏洞修补的消息,还包括:Python程式库Python JSON Logger、SAML程式库ruby-saml,以及思科、IBM、Veeam、群晖等。
而在威胁态势方面,有3起消息与网钓与恶意套件散布有关,突显这类社交工程手法持续受到骇客青睐。
●骇客组织Storm-1865发动ClickFix网钓活动被揭露,骇客假借Booking.com名义,对其合作的旅馆业者的旅馆及相关人士发送钓鱼邮件、散布恶意程式。
●新一起骇客锁定微软开源IDE编辑器Visual Studio Code(VS Code)的状况,有攻击者锁定开发人员散布恶意套件ahban.shiba等,意图植入勒索软体。
●中国骇客MirrorFace散布恶意程式ANEL、AsyncRAT的新网钓活动被揭露,不仅入侵后会滥用VS Code内建功能隐匿行踪,锁定目标已从日本扩展至欧洲。
●锁定WordPress网站的恶意软体攻击行动DollyWay被揭露,主机代管业者GoDaddy的资安研究团队指出骇客已入侵超过2万个网站。
在资安业者动向与防御方面,有一件重大消息,Google宣布将以320亿美元买下资安新创Wiz,还有下列消息也值得留意,包括:Google释出开源软体漏洞扫描工具OSV-Scanner的2.0版,Chrome改用Rust重写字型处理程式库Skrifa以提升安全性,以及苹果预告iOS将支援RCS 3.0所新增的E2EE功能,提升与安卓讯息互通安全性。