在2025年3月最后一周的资安新闻中,主要焦点是有3家台湾上市公司遭遇资安事故,并且都在3月25日同一天发布重大讯息。其中,乔山遭CrazyHunter组织攻击的事件尤为引人注目,目前该组织列出的8个受害者皆为台湾的医学中心与上市公司,这种情况极为罕见;网通厂居易科技说明网站遭DDoS也引发外界关注,因为日前该公司的产品疑似也遭锁定攻击,导致其用户受影响,该公司脸书粉丝专页则表明:「机器一直重开,受到攻击,请更新。」后续居易向我们表示,目前预估是有策略性的攻击,攻击了该公司注册的主机及官网及路由器。
●乔山健康科技揭露网路资安事件,说明总部与部分海外子公司内网有被企图登入,资讯系统遭受骇客。
●国扬建设公布遭遇网路资安事件,指出遭受加密攻击。
●居易科技说明疑似发现遭遇DDoS攻击,初步调查显示,公司官方网站、MyVigor网站皆遭受攻击。
还有一项消息值得国内重视,思科Talos揭露了骇客组织UAT-5918的攻击行动,显示该骇客组织自2023年开始锁定台湾关键基础设施(CI)攻击,针对包含电信、医疗保健、资讯科技等垂直产业,另也指出该组织攻击手法与多个中国骇客组织有所交集。
在资安威胁态势方面,电信业被锁定攻击的情形再成焦点,资安业者Sygina揭露新一起攻击活动,指出使用变种中国菜刀(China Chopper)Web Shell的中国骇客客Weaver Ant,针对东南亚一家大型电信业者下手,暗中持续从事网路间谍活动长达4年之久。
还有资料外泄事故,国际间有一起重大新闻,有骇客声称握有600万笔Oracle云端服务资料,虽然Oracle否认遭入侵,但有消息指出骇客入侵管道与身分验证的环节有关,有可能利用CVE-2021-35587而得逞,后续资安业者CloudSEK亦确认这批资料来自Oracle Cloud网域。
另要留意的供应链攻击的威胁与风险,特别是有两则消息均与GitHub有关。
一是有资安研究人员发现供应链攻击新手法Rules File Backdoor,该手法主要针对Cursor与GitHub Copilot两款AI程式码编辑器而来,并指出其特殊之处在于,攻击者可将AI程式助手的规则档案变攻击媒介。
另一是实际发生的威胁,上星期GitHub Action出现供应链攻击的漏洞CVE-2025-30066遭利用,如今发现可能是另一个reviewdog/action-setup@v1的漏洞CVE-2025-30154泄露所导致。
在其他漏洞利用消息方面,涵盖Chromium、思科与Sitecore的产品。
●Google修补Chromium已遭利用零时差漏洞CVE-2025-2783,通报的卡巴斯基研究人员表示,此攻击还同时利用另一RCE漏洞。(Firefox也因此事故发现IPC有类似弱点而修补另一漏洞)
●思科去年9月修补授权管理工具的漏洞CVE-2024-20439、CVE-2024-20440,近期发现已有骇客锁定未修补用户攻击的迹象。
●Sitecore CMS平台在2019年修补的漏洞CVE-2019-9875、CVE-2019-9874,近日发现遭锁定利用,国内亦有金融业应用此产品,需留意是否早已修补。
另外,还有一个零时差漏洞揭露的消息值得留意,资安业者0patch揭露Windows存在NTLM杂凑泄露新漏洞,他们表示免费提供微修补程式暂时因应,也提醒用户需注意后续微软修补动向。
3月初彰基医院证实连假期间遭遇网路攻击,经卫福部介入协助之后,确认是勒索软体骇客CrazyHunter所为,研判在马偕和彰基之后,骇客会寻找下一间医院发动攻击。但如今,传出这些骇客针对台湾其他产业下手的情况。
昨天上市公司科定发布资安重讯,表示他们遭遇网路攻击。而对于攻击者的身分,CrazyHunter表明是他们所为,并窜改科定的网站向该公司施压。
锁定开发人员的攻击行动的日益频繁,其中最常见的是利用NPM、PyPI套件,引诱开发人员下载,进而在受害者电脑部署恶意程式,然而最近有资安业者警告,他们发现一种针对AI工具GitHub Copilot的攻击手法,能让开发人员在不知情的情况下,产生有问题的程式码。
这个问题的核心,在于攻击者有机会操弄GitHub Copilot的规则档案(Rules File),从而左右AI产出的程式码。研究人员指出,这种手法开发人员难以察觉,因此他们呼吁必须采取相关措施来因应这类感胁。