勒索软体横向多年,从一开始骇客采取双重勒索的手段,到后来将勒索软体开发与作案进行工成为常态,如今有新兴骇客组织采取不同的作法,其中最引起研究人员注意的部分,就是使用了抹除资料的手段,使得受害组织无法借由窃密金钥复原内容。
其他的资安事故也值得留意,包含:骇客GrayAlpha意图散布NetSupport RAT、逾三分之一资料图形视觉化系统Grafana尚未修补CVE-2025-4123,以及华盛顿邮报部分记者邮件系统帐号遭骇。
【攻击与威胁】
勒索软体的活动泛滥多年,如今骇客的营运模式也出现变化,从招募打手提供作案工具的租用服务模式(Ransomware-as-a-Service),开始出现新的模式,例如:骇客组织DragonForce改以横向联盟(cartel)的模式经营,合作的附属团体能以自己的名义从事活动。而到了最近,有新的经营模式出现,使得相关攻击的危害更加严重。
例如,今年2月资安业者Kela揭露的勒索软体骇客组织Anubis,就是这样的例子,他们使用俄文沟通,于地下论坛RAMP与XSS招兵买马,寻找3种型态的附属团体,分别负责勒索软体攻击、向受害组织勒索,以及挖掘企业组织初始入侵管道,并以利润拆分的方式进行合作,如今有其他研究人员也观察到相关情形,并指出骇客还发展出更具破坏性的手法,对受害组织造成更大的危害。
资安业者趋势科技发现,Anubis最近在勒索软体加入了资料破坏工具(Wiper)的功能,使得受害组织无法透过解密恢复档案与资料,此举将对受害组织形成更大的压力,意图迫使他们不得不付钱,以便从骇客手上拿回遭到破坏的资料。针对这项发现,研究人员认为代表勒索软体攻击出现重大变化,因为这么一来,就算受害组织愿意付钱购买解密金钥,有可能因为骇客已将资料破坏而无法复原。
以经济利益为动机的俄罗斯骇客组织FIN7去年攻击事故频传,这些骇客偏好使用SAP应用系统的资安漏洞、也曾使用裸照生成器DeepNude为诱饵散布恶意程式,甚至进一步对其他网路罪犯提供EDR回避侦测工具,如今他们也甚至与其他骇客共用基础设施。
资安业者Recorded Future旗下的研究团队Insikt Group揭露名为GrayAlpha的骇客组织,这些骇客与FIN7有所交集,共用散布恶意酬载的网域名称及基础设施架构,借此于受害电脑植入远端存取木马NetSupport RAT并执行。
针对骇客散布NetSupport RAT的管道,大致可分成3种,包含使用伪造的浏览器更新网页、冒牌7-Zip下载网站,以及使用名为TAG-124的多层次恶意流量导向系统(TDS),过程中使用自制的恶意程式载入工具,其中一种是以PowerShell打造而成的PowerNet,另一种是与FakeBat相当类似的MaskBat。
研究人员发现,资料图形视觉化软体Grafana于5月间修补的跨网站指令码(XSS)资安漏洞CVE-2025-4123,仍然有超过4.6万台系统未更新版本而处于曝险状态。
5月21日Grafana接获外部研究人员通报CVE-2025-4123。该漏洞是结合终端路径穿越和开放重导向,可让攻击者将用户导向一个代管前端外挂的网站并执行任意JavaScript。攻击者还可能用它来执行开放重导向,导致可完整读取受害机器的伺服器请求伪造(SSRF)。CVE-2025-4123 CVSS 3.1风险值为7.6。研发本软体的Grafana Labs已在5月释出更新版修补。
本周应用程式安全厂商OX Security发现,直到最近还有超过4万台系统仍未修补漏洞。研究人员利用Shodan搜寻,发现128,864台面向网际网路,其中46,572台为未更新的Grafana执行个体。以所在地国家来看,以美国1.1万最大宗,其次为德国(,276)及巴西(3,400)。
【漏洞与修补】
本次漏洞源自Wireshark处理封包栏位资讯时,栏位工具(Column Utility)模组存在记忆体操作缺陷。官方透过自动化模糊测试(Fuzz Testing)发现,当系统遇到特定格式的封包或封包档案,可能导致记忆体写入越界,进而引发程式崩溃。此问题属于典型的缓冲区溢位(Buffer Overflow)问题,滥用该漏洞不需复杂攻击流程,只要将特制资料注入网路,或让Wireshark开启恶意封包档案,都可能触发崩溃。
其他漏洞与修补