【资安周报】0616~0620,伊朗国有银行与加密货币交易所双双遇袭引发全球关注

回顾2025年6月第三周的资安新闻中,全球爆发多起重大网路攻击事件,不仅有以色列与伊朗军事冲突衍生的网路攻击战,以色列骇客攻击伊朗国有银行与加密货币交易所,还有来自中国骇客组织的持续威胁,将目标锁定在媒体机构与卫星领域,发动高度隐蔽的网路间谍活动。

● 伊朗国有银行Bank Sepah遭骇,多间分行被迫暂停营业,客户无法存取银行帐户,后续,与以色列有关的骇客组织Predatory Sparrow宣称是他们所为。
● 伊朗加密货币交易所Nobitex同样遭遇以色列骇客Predatory Sparrow攻击,该交易所证实部分热钱包受影响,估计有逾9千万美元加密货币遭窃并被销毁。
● 美国华盛顿邮报发现自家电子邮件系统遭骇,调查显示是6月12日遭遇目标式攻击,已知有负责报导国安、经济政策、中国等领域的记者帐号被入侵。
● 卫星网路公司Viasat近期证实,去年中国骇客组织Salt Typhoon大规模攻击,他们也是受害者之一,同时说明虽遭遇未经授权的存取,但无客户资料遭外泄。

台湾有两起先前资安事件出现后续进展,一是台湾加密货币交易所币托(BitoPro)曾在6月初揭露公司于5月8日遭到网路攻击,最近调查结果公布,指出骇客先是锁定负责云端业务的员工发动社交工程攻击,植入恶意程式后逐步渗透,最终挟持AWS连线阶段的Session Token绕过MFA,并将恶意指令码转移至热钱包主机。另一是联钧光电在6月9日发布资安重讯,说明今年1月遭遇勒索软体攻击后,5月16日又遭另一勒索病毒入侵;6月13日该公司再次发布重讯补充说明,表示部分档案遭窃取,并呼吁可能的利害关系人勿向骇客购买这些资料。

在威胁态势方面,在国内,有骇客假冒台湾政府机关散布恶意软体HoldingHands RAT、Gh0stCringe的攻击活动,需要我们特别留意。今年1月Fortinet曾揭露有骇客假借国税局的名义寄送钓鱼信,如今该骇客攻击活动仍然持续与扩大,对方还会佯装海关总署、财政部等名义,使用税收、养老金、发票、营业税电子申报等名目为诱饵,引诱台湾民众误信而遭植入恶意软体。

国际间还有其他重要威胁态势,有一起借由AI深度伪造发起的网路攻击活动,最值得关注,这起事件是北韩骇客诱骗金融业员工参加视讯会议,且会议中包含公司内部知名高层领导的Deepfake影像,借此诱骗受害者不慎下载macOS恶意软体。

●北韩骇客BlueNoroff散布macOS恶意软体的攻击活动被资安业者Huntress揭露,指出有加密货币机构的员工被诱骗参加一场精心伪冒的Zoom群组会议,当中要求员工下载包含恶意的特定Zoom延伸套件。
●骇客在3月、4月间锁定近27万个网站植入JavaScript恶意程式码,将浏览这些网站的使用者导向恶意网站,Palo Alto Networks指出此攻击是植入以JSFireTruck(JSFuck)手法处理的恶意JavaScript程式码来达到目的。
●攻击者滥用热门红队演练工具TeamFiltration,针对微软Entra ID帐户发动密码泼洒攻击,Proofpoint警告年初这波攻击影响了数百个组织、逾8万个使用者帐户,并有多起成功接管帐户的案例

至于零时差漏洞攻击方面,Apple在6月10紧急修补一项已遭利用的零时差漏洞CVE-2025-43200,两日后,加拿大Citizen Lab揭露这起攻击事件已有2名欧洲记者中招,因为存在这个漏洞而被入侵,被植入以色列Paragon Solutions开发的Graphite间谍软体。此外,还有两个老旧漏洞持续遭攻击者锁定,引发美国CISA示警,包括TP-Link的漏洞CVE-2023-33538,以及Linux Kernel的漏洞CVE-2023-0386 。

其他值得注意的漏洞消息,6月初电子邮件伺服器Roundcube修补重大漏洞 CVE-2025-49113(CVSS 9.9),10日后Shadowserver基金会警告,仍有近8.5万台伺服器未修补;5月资料图形视觉化软体Grafana修补漏洞CVE-2025-4123,一个月后应用程式安全业者指出,在Shodan连网装置搜寻引擎上,可查到12.8万台系统,其中仍有逾4.6万台尚未更新,处于曝险状态。

 

勒索软体横行多年,从一开始骇客采取双重勒索的手段,到后来将勒索软体开发与作案进行工成为常态,如今有新兴骇客组织采取不同的作法,其中最引起研究人员注意的部分,就是纳入抹除资料的手段,使得受害组织无法借由窃密金钥复原内容。

其他的资安事故也值得留意,包含:骇客GrayAlpha意图散布NetSupport RAT、逾三分之一资料图形视觉化系统Grafana尚未修补CVE-2025-4123,以及华盛顿邮报部分记者邮件系统帐号遭骇。

这两天最受到关注的国际资安新闻,就是以色列骇客组织Predatory Sparrow(Gonjeshke Darande)发动的破坏性网路攻击,他们先后声称对伊朗国营银行Bank Sepah、大型加密货币交易所Nobitex下手,后续效应有待进一少观察。

此外,僵尸网路锁定LLM开发工具Langflow重大漏洞而来的情况相当值得留意,开发人员应特别提高警觉并尽速修补;这几天还有两份先前资安事故的报告出炉,一份是关于3月公布的Chrome零时差漏洞攻击事故,另一份是中国骇客Salt Typhoon对美国电信业者发动大规模攻击。