在2025年4月第四星期的资安新闻焦点,台湾再传4起资安事故,涵盖医院、资讯服务业、半导体制成设备商、航运业。
其中长慎医院事故已是国内今年第4家遭攻击的医院,突显医疗业持续成锁定对象;上柜公司倍力资讯的事故也令人忧心,因为该业者是资讯软体整合服务商,通常服务众多客户,事件影响是否扩大需持续留意。
值得注意的是,这两起事故的攻击者身分很可能是骇客组织NightSpire所为。该组织4月中宣称的受害者,就包含上述两家台湾企业组织,其他还有日本Nippon Ceramic,加拿大Promenade Village Dental、印尼Pupuk indonesia,以及法国Ardon地方政府单位等,显示近期其攻击行动相当活跃。
●万海航运18日发布重讯,指出资讯网站遭受网路骇客攻击。
●桃园中坜长慎医院事故消息在20日曝光于媒体,后续卫福部证实已接获事故通报,该院21日发布资安事件声明,说明医疗资讯系统异常发生于14日。
●万润科技20日发布重讯,揭露资讯系统与部份主机与电脑,遭受病毒攻击。
●倍力资讯23日发布重讯,说明资讯系统遭受骇客网路攻击。
还有一起攻击活动值得国内留意,Fortinet揭露名为RustoBot的僵尸网路,指出攻击行动锁定Totolink及居易特定型号的路由器,攻击目标遍及台湾、日本、越南、墨西哥。
国际也有重大资安事件,日本知名Web邮件系统Active! Mail遭锁定,影响大量当地企业与教育单位,引发当地多家主机商紧急中止服务,开发商亦公告修补漏洞CVE-2025-42599。这起事件再次突显骇客的零时差漏洞攻击目标,不只国际大厂,本土业者产品同样需要当心。
另一起攻击是锁定韩国软体、能源、金融产业而来,已查出攻击者为北韩骇客,特别的是,其攻击手段是透过6年前引发蓝色当机画面的BlueKeep漏洞。
在威胁态势方面,金融领域要特别留意,有两起重大消息,展现网路攻击者渗透电商与金融诈骗的新手段。一是恶意NPM套件merchant-advcash被揭露,其表面声称支援金流整合,实际上在付款成功时触发反向Shell,渗透电商交易伺服器;另一是SuperCard X安卓恶意软体的揭露,其手段是能利用NFC中继技术,伪造实体信用卡对POS或ATM系统进行诈骗交易,绕过实体卡验证流程,并指出这可能是将NGate恶意软体再包装,功能更强。
这一星期还有多起攻击新手法揭露的新闻,值得资安防御人员留意,我们列出下列4起消息。
●Fortinet调查漏洞攻击事件时发现骇客采用新技术,透过符号连结(Symbolic Link)功能,可产生后门问题,建立可存取FortiGate防火墙根档案的能力。
●Zscaler揭露中国骇客Mustang Panda针对缅甸的攻击行动,发现其后门程式ToneShell,并指出其调整了C2连线的FakeTLS协定与用户端识别编号建立方式。
●出现绕过云端平台MFA验证的Cookie-Bite攻击手段,研究人员指出这是骇客利用自制Chrome浏览器扩充程式及自动化指令,进而窃取用户Cookies。
●攻击者锁定使用node-telegram-bot-api函式库的社群,推出三个伪冒套件诱导误用,在Linux系统中植入SSH后门,并提醒因应上不能只是单纯移除套件。
在漏洞消息方面,有3项需优先重视。首先,深度学习框架PyTorch修补重大漏洞(CVE-2025-32434),由于PyTorch广受产业及学术界采用,需尽速更新修补。
还有两个漏洞被评为CVSS满分,分别是有大学研究人员发现Erlang/OTP SSH函式库漏洞(CVE-2025-32433),以及Commvault修补的备份管理平台漏洞(CVE-2025-34028)。
另一项涉及Windows工作排程服务核心元件的揭露也是本星期焦点新闻之一,有研究人员发现可滥用schtasks.exe的方法,指出其研究突显了一种从CLI模拟任何使用者及其密码的方法,能导致UAC绕过。
继勒索软体骇客组织CrazyHunter攻击马偕和彰基,有骇客组织也加入行列,对台湾中大型医院发动攻击,而引起全台高度关注。
根据国内多家媒体报导,骇客组织NightSpire攻击中坜长慎医院,并声称窃得大量病历资料,由于长慎医院是老年专科医院,专门照顾洗肾、糖尿病等慢性病患者,一旦资料外流,不光是病人隐私曝光,还有可能影响连续就医的记录,干扰医生的诊断。
本周传出CISA将停止采用部分资安工具,当中包含Censys威胁情报服务,以及恶意软体分析平台VirusTotal,后续影响有待观察。
本周资安业者AhnLab揭露该组织最新一波攻击行动Larva-24005,值得留意的是,骇客利用的漏洞已公布6年之久,但他们仍能成功用于实际攻击,突显受害组织可能尚未完全修补这项弱点。