回顾2025年4月第一星期的资安新闻,台湾多起网路攻击事件引发资安圈高度关注,CrazyHunter勒索软体攻击再成焦点,因为国内振曜集团旗下有3家公司同时被锁定,显示攻击规模更扩大。
特别的是,攻击者在这次行动中,还在恐吓讯息当中,点名嘲讽台湾资安业者TeamT5,声称入侵其客户,TeamT5当日即驳斥这项消息,强调受害企业非他们的客户。此状况可能与TeamT5先前揭露CrazyHunter攻击手法的举动有关,因此骇客故意用诋毁方式来干扰国内情资联防。
后续该攻击者的真实身分浮上台面,台湾刑事警察局宣布,自2月马偕医院报案、成立专案调查小组以来,已查明锁定台湾医院与上市柜公司攻击的CrazyHunter,其真实身分为一名20岁的中国浙江籍罗姓男子,地检署已发布通缉。警方并提醒国内企业组织当心攻击再度发生,目前调查案例多是从已知漏洞入侵。
另一起国内知名SI大厂精诚资讯的资安事件,同样受到国内关注,因为很多政府单位与金融业是其客户,不过目前尚未有进一步消息揭露。
●再传CrazyHunter勒索软体攻击消息,振曜科技、沛亨半导体、东荃科技这3家业者同时遇害,前两家为上柜公司均发布资安重讯揭露受害。
●精诚资讯发布资安重讯,表示接获获匿名网路勒赎信件,已向法务部调查局报案。是否有资料遭窃取情形,目前尚无从得知,有待后续更多消息揭露。
●钢铁厂盛余发布资安重讯,表示资讯系统遭受骇客网路攻击,部份主机与电脑遭受病毒攻击,已启动防御机制及备援作业。
在资安威胁态势方面,有2起消息值得我们关切,包括有恶意程式载入工具CoffeeLoader会冒充华硕软体、利用GPU执行程式码,以及安卓恶意软体PJobRAT再度出没,近期正锁定台湾使用者而来。还有新型网钓工具包具备进阶能力,以及老旧未维护NPM被骇客锁定的情形,同样需要留意。
●新款恶意程式载入工具CoffeeLoader被揭露,攻击过程会冒充华硕电脑整合设定软体,以利用GPU来执行程式码,进而规避资安侦测。
●之前曾锁定印度的安卓恶意软体PJobRAT,最近台湾有多个使用者受害的情形,攻击者主要是假借提供交友或即时通讯App来散布。
●发现骇客用PhaaS服务出现新的网钓工具包Morphing Meerkat,能力更为先进,可滥用MX Record、重开放导向漏洞,进而动态伪造登录网页。
●多个NPM老套件久未维护,成骇客攻击破口,研究人员推测可能与NPM帐号遭重用密码攻击,或网域过期遭他人接管有关。
在资料外泄事件方面,国际间接连有重大消息传出,例如,社群网站X惊传28亿用户资料外泄的消息,远超实际用户数,可能是多组档案整并而成;多家美国医院收到甲骨文Oracle Health通知其电子病历系统Cerner遭骇,而该公司的处理方式也引发争议;三星德国分公司客服工单系统资料外流,有骇客公开27万笔该公司客服的资料。
在漏洞利用方面,主要焦点是Ivanti修补已遭利用零时差漏洞CVE-2025-22457,影响其Connect Secure、Policy Secure与ZTA Gateway产品。还有其他重要漏洞修补消息,例如,Dell揭露与修补Unity系列储存阵列漏洞,公告中不只列出Unity OS本身的16个漏洞,还包含第三方软体或工具的741个漏洞,涵盖列出涵盖Linux Kernel、Apache HTTP Server、Docker等131种元件。
至于资安防御方面,台湾后量子密码学PQC迁移将有新进展,除了工研院已经设计后量子晶片公版平台,希望协助缩短产品开发周期,在PQC迁移指引方面,随著美国与欧洲已有行动,资策会也预计将于今年4月中旬举行的台湾资安大会发表台湾的PQC迁移指引。