本日资安新闻环绕两大主题:中国与勒索软体;在中国的部分,汇整当地民众的40亿笔记录大型资料库曝光最受到瞩目,其次,中国骇客使用iMessage零点击漏洞攻击政要,以及锁定SQL Server、NetWeaver等应用系统入侵企业组织的情况,也相当值得留意。
而在勒索软体的部分,骇客组织Qilin的活动再度浮上台面,在此同时,攻击者假借提供AI工具之名的线上平台,成为散布勒索软体的另类管道。
【攻击与威胁】
中国政府借由收集民众各式资料进行监控的情况,不时有相关消息传出,然而这些资料保护不周的现象也时有所闻,最近有一起大规模资料外泄事故,引起全球高度关注。
资安新闻网站Cybernews的研究团队与资安业者Security Discovery联手,于5月19日发现未受密码保护的大型资料库,内有超过40亿笔用户记录,档案大小为631 GB,内含金融财务资料、微信及支付宝(Alipay)的详细资料,而且,大部分资料来自中国的使用者。研究人员认为,这应该是中国史上规模最大的资料外泄事故。
这批资料里面有什么?Cybernews提及持有者疑似将内容依据类型分成16种资料集存放,根据笔数多寡,最多的是名为wechatid_db的资料集,内有8.05亿笔微信帐号资料;其次是名为address_db的资料集,内有7.8亿笔住宅的地理识别资讯,第三大的资料集名称为bank,内有6.3亿笔涉及信用卡号、存款、消费习惯的金融财务资料。研究人员指出,相关资料是透过精心收集与维护,目的很有可能是汇整所有中国民众的行为、经济能力,以及社会状态。
5月上旬威胁情报业者EclecticIQ指出,与中国国家安全部(MSS)有关的骇客团体CL-STA-0048、UNC5221,以及UNC5174,利用SAP修补的NetWeaver满分漏洞CVE-2025-31324,广泛于英国、美国、沙乌地阿拉伯发动攻击,现在有研究人员公布长期调查的结果,指出这些骇客长期针对网页应用系统的资安漏洞来入侵受害组织,得逞后透过多种手法从事网路间谍活动,窃取内部资料。
资安业者趋势科技指出,他们从2023年追踪与上述团体有关的中国骇客组织Earth Lamia,这些骇客主要针对巴西、印度、东南亚的企业组织从事攻击行动,他们利用的管道,是透过网页应用程式的SQL注入漏洞存取受害组织的SQL Server,这些骇客也擅于使用已知漏洞对能够从网际网路存取的伺服器下手。
这些骇客经常透过扫描找出目标网站的SQL注入漏洞,一旦找到漏洞,他们就会试图开启系统的Shell,从而得到SQL Server的远端存取管道。但除了试图利用SQL注入手法,骇客也使用已知漏洞来攻击其他应用程式伺服器。
资安业者Cisco Talos警告,随著AI工具的盛行,骇客开始假冒各种合法的AI工具以散布CyberLock与Lucky_Gh0$t等勒索软体,以及全新的恶意软体Numero。
其中,CyberLock假冒为Novaleads,这是个协助企业将潜在客户变现的线上平台,主要提供行销与客户关系管理服务,其官网为Novaleads.app,其实跟AI并无关系,但骇客建立了一个Novaleads AI品牌,并申请Novaleadsai[.]com网址,同样宣传可推动销售,企图混淆视听,提供产品下载,还说前12个月可免费使用,结果于执行程式中暗藏了CyberLock勒索软体,向受害者要求价值5万美元的门罗币作为赎金。
而Lucky_Gh0$t则伪装成ChatGPT 4.0完整版安装程式ChatGPT 4.0 full version – Premium.exe,它只加密小于1.2GB的档案,包括文字、程式码与配置档,或是Office与Adobe文件,以及安装程式或凭证档等,较大的档案则是直接破坏。
其他攻击与威胁
◆思科本周发布安全更新,修补身分服务引擎(Identity Service Engine,ISE)上高度风险的漏洞。
编号CVE-2025-20286的漏洞一旦被成功滥用,骇客就可存取在AWS、Azure或OCI等云端平台的Cisco ISE执行个体,进而取得敏感资料、执行部份管理员运作、修改系统配置或扰乱受害系统内的服务,CVSS风险值高达9.9(满分10分),属重大层级。
思科说明,这项漏洞起于思科ISE部署在云端平台时凭证产出不当,导致多个不同ISE执行个体可共用同一组凭证,只要这些环境的ISE软体版本和云端平台一样。攻击者可以从云端上的Cisco ISE执行个体撷取出用户凭证,再以不安全的传输埠存取另一云端平台上的ISE执行个体,进而执行恶意存取行为。