【资安周报】0630~0704,调查局破获消防局行动派遣系统资讯遭窃,殡葬业者委托骇客攻击,目的是抢生意

回顾2025年7月初的资安新闻,台湾有两起重大新闻事件受瞩目,包括消防救护领域有即时资讯遭窃,以及金融支付领域有全支付UAT测试环境帐密外泄情形。

(一)调查局侦破消防局救护资讯遭窃案,全台21县市的行动派遣等紧急救护系统受影响,发现每年非法连线超过三千万次。调查发现,丧葬业者委托潘姓男子入侵系统,非法取得派遣与出勤资讯,行为已持续逾四年。经检察官复讯后,业者与工程师均涉犯刑法妨害电脑使用罪。
(二)全支付Pxpay Plus测试环境的管理帐密被发现兜售于深网(Deep Web),该公司表示已掌握此事,确实有测试环境帐密外泄情资,经深入分析非内部系统遭骇,而是少数合作商户遭骇客入侵,从其商户的个人电脑取得登入资讯所导致。

还有3起威胁与风险揭露,同样值得台湾留意,涵盖网钓攻击、锁定Exchange伺服器的攻击,以及国安局依据《行动应用APP基本资安检测基准v4.0》抽查5款中国App的结果公开。
●资安业者Seqrite揭露国家级APT攻击活动Swan Vector正锁定台湾、日本,借由假的履历表、财务文件名义网钓,锁定教育与机械工程产业。
●资安业者Positive Technologies揭露有骇客锁定Exchange伺服器注入键盘内容侧录工具(Keylogger),越南、俄罗斯与台湾是前3大攻击目标。
●国安局针对5款中国App进行抽查,依据15项指标检测,发现小红书每一项都违规,微博、抖音则有13项违规、微信为10项、百度云盘为9项。

在威胁态势方面,国际间有一连串重大消息是:多家航空业运输业发布资安事故公告,包括夏威夷航空、西捷航空与澳洲航空。

更引发关注的是,这些事件可能都与骇客团体Scattered Spider有关,该组织擅长网钓、凭证窃取、语音网钓、SIM swapping、简讯网钓,美国FBI已于6月30日于社群平台X示警,指出该组织正将攻击目标转向航空与运输业,手法是经常假冒员工或承包商诱骗企业IT支援服务台(IT Help Desk),骗取内部系统存取权限。

其他重要资安威胁态势与事件,其中多款IDE延伸套件检验机制的问题最值得留意,需要开发人员重视。

●资安业者OX发现常用IDE工具的IDE延伸套件检验机制存在瑕疵,影响范围涵盖Visual Studio Code、Visual Studio、IntelliJ IDEA、Cursor,导致攻击者可让恶意套件显示「已通过验证」徽章,欺骗开发人员。
●法国网路安全局(ANSSI)发布调查报告,指出中国骇客UNC5174自去年9月初开始,对当地的政府、电信、媒体、金融、交通产业发起攻击行动Houken,主要利用Ivanti漏洞入侵。
●瑞士政府揭露资料外泄事件,起因是受非营利组织Radix遭勒索软体攻击波及。

此外,还有3篇我们针对OTP盗刷网钓的报导,其最新态势显示同步窃取OTP的手法已经泛滥,且盗刷领域的网钓即服务(PhaaS)数量大增,因此支付与电商产业需采强式身分验证机制,强化装置指纹识别技术,持续发展AI/ML诈欺侦测模型。

在漏洞消息方面,有一个零时差漏洞攻击的事件,Google针对Chrome修补V8 JavaScript引擎的类型混淆CVE-2025-6554,已获报有锁定利用情形。还有两个已知漏洞新遭锁定,今年5月安全通讯解决方案厂商TeleMessage TM SGNL的漏洞CVE-2025-48927、CVE-2025-48928证实已遭利用。

至于资安防御与合规方面,有两则重要新闻,在国际间,AT&T为了防堵SIM卡置换攻击,推出可让用户启用Wireless Account Lock的新机制,促使未来电信门号进行重要变更的程序时,需强制采取额外的步骤进行验证;在国内,脸书广告服务管理系统出包,又有23件广告未即时揭露托播者讯息,遭数发部开罚1,500万元。

 

6月下旬Citrix先后修补CitrixBleed 2(CVE-2025-5777)、CVE-2025-6543,并表明CVE-2025-6543已出现实际利用的情况,然而CitrixBleed 2也相当危险,轻忽不得!Shadowserver基金会指出,有超过1,200台NetScaler设备尚未修补这项漏洞,值得留意的是,这样的数字并不包含企业设置于内部网路环境、未与网际网路连线的NetScaler设备,因此实际曝险范围可能远大于此。

在其他资安事故方面,有两起网钓攻击值得留意,其中,锁定台湾、日本的APT攻击Swan Vector,骇客利用履历表与财务文件当作诱饵引人上当;另一起则是针对使用简体中文的用户而来,中国骇客组织Silver Fox假借提供DeepSeek、WPS Office、搜狗输入法等安装程式,来散布恶意软体。

本日国内最受到关注的资安新闻,应该就属电子支付平台全支付(Pxpay Plus)传出测试平台的后台管理员(Admin)帐号密码遭外泄,察觉此事的资安专家指出,由于测试与正式环境共用商业逻辑与金流验证机制,有可能会波及正式环境。

在上述的资安事故之余,中国应用程式过度收集用户个资并传送到中国的情况,也相当值得留意,本周国安局认证5款热门中国App存在严重资安风险,呼吁民众挑选应用程式要特别小心;而在今天发生的国际资安事故当中,我们整理了澳洲航空Qantas传出遭到Scattered Spider攻击,再者,法国揭露去年中国骇客UNC5174利用Ivanti CSA设备零时差漏洞入侵当地企业组织的情形。