过往我们听闻政府利用间谍软体监控异议人士的情况,多半发生在集权国家,但如今传出竟有民主国家政府也加入行列。
一周前WhatsApp透露不寻常的零点击攻击事故(Zero-click),并指出约有90人遭到锁定,攻击者意图在他们的手机植入间谍软体Graphite。现在有知情人士透露,这起事故是义大利政府所为。
【攻击与威胁】
最近两到三年许多勒索软体骇客打造Linux版恶意程式,锁定VMware ESXi虚拟化平台而来,企图瘫痪虚拟机器(VM)的运作并向企业组织勒索,最近有研究人员指出,骇客偏好针对这种环境下手,不光只是想要进行破坏牟利,而是做为能够持续存取受害组织的管道。
资安业者Sygnia指出,由于企业对于VMware虚拟化平台往往缺乏严密监控,骇客为了避免被发现,将其充当为持续存取企业内部网路环境的管道,可说是越来越常发生。骇客会透过寄生攻击(LOL)手法,运用虚拟化平台现成的工具活动,其中一种是借由原生的工具SSH来建立SOCKS通讯协定的隧道(Tunnel),从而与C2伺服器建立连线。
Sygnia事件回应专家Zhongyuan Hau、Ren Jie Yow、Yoav Mazor表示,在他们调查的许多资安事故当中,攻击者通常会利用外流的管理员帐密或是已知漏洞,入侵ESXi系统,一旦得逞,就会借由系统原生的远端加密连线登入存取SSH服务,建立隧道通讯,但这些专家指出,他们也看过攻击者部署其他常见工具来达到目的。
资安业者Morphisec揭露最新一波恶意软体ValleyRAT的攻击行动,指出骇客组织Silver Fox透过多阶段攻击链从事活动,和他们过往使用的战术、技术、流程(TTP)有所不同,不过特别的是,在这次攻击行动里,骇客仍延续过往攻击使用的部分URL。
究竟骇客如何发动攻击?Morphisec资安研究员Shmuel Uzan指出,他们先是引诱目标人士到恶意网站资安厂商Socket研究人员揭露一起针对Go生态系的供应链攻击,攻击者透过套件名称冒充攻击(Typosquatting)手法,冒充广受采用的BoltDB资料库套件,并利用Go模组代理(Module Proxy)的快取机制,使恶意套件长期存在且未被侦测。此事件凸显Go模组快取机制存在风险,即便原始储存库内容已被修改或移除,但恶意版本仍可由快取继续发布。
这起攻击涉及的恶意套件名为github.com/boltdb-go/bolt,其命名方式与合法的BoltDB套件github.com/boltdb/bolt极为相似,容易让开发者因输入错误或疏忽而误用。恶意版本内建远端控制后门,攻击者可透过命令与控制伺服器执行远端指令,取得受感染系统的存取权限。
由于Go模组代理会自动快取其首次撷取的模组版本,并依设计禁止修改已发布的版本,因此即使攻击者在GitHub上重新标记相同版本的标签,使原始程式码看似无害,代理仍会继续提供首次快取的版本。当快取版本包含恶意程式码,则在未来的下载请求中仍可能被开发者取得,导致潜在的安全风险。
其他攻击与威胁
根据CVSS风险评分高低判断,问题最严重的是CVE-2025-20124,此为不安全的Java反序列化弱点,存在ISE的1个API当中,一旦攻击者成功触发,就有机会远端以root使用者的身分执行任意命令,CVSS风险评为9.9(满分10分)。
另一个重大层级的漏洞CVE-2025-20125,则是涉及授权绕过,同样存在特定的API,远端攻击者在通过身分验证并具备读取权限帐密的情况下,有机会存取敏感资讯、窜改节点组态,甚至是将节点重新启动,风险评分为9.1。
其他资安防御措施