近期锁定微软Exchange伺服器的攻击行动再度出现,值得留意的是,揭露此事的资安业者Positive Technologies表示,台湾是骇客攻击的主要目标,受害规模仅次于越南、俄罗斯。
锁定MFT档案传输系统MOVEit、Citrix NetScaler已知漏洞的攻击行动,以及恶名昭彰的Scattered Spider针对航空产业而来,都相当值得留意,在法规遵循方面的消息,国内数发部对Meta二度开罚、德国要求苹果与Google下架DeepSeek行动装置App的情况,后续发展值得留意。
【攻击与威胁】
资安业者Positive Technologies揭露横跨全球26个国家、锁定65个企业组织而来的攻击行动,这起攻击高度针对政府机关而来,因为有三分之一(22台)Exchange伺服器受害,但除此之外,也有针对IT、工业、物流业者的情况。骇客在这些邮件伺服器的Outlook Web Access(OWA)登入网页植入恶意程式码,目的是进行键盘内容侧录。值得留意的是,从受害规模来看,台湾是最严重的国家之一,仅次于越南和俄罗斯。
这波攻击行动最早可追溯至去年5月,当时研究人员察觉有人在Exchange伺服器的特定网页当中,注入键盘内容侧录工具(Keylogger),后续研究人员发现多起相关攻击事故,共通点就是使用完全相同的键盘内容侧录工具。他们进行深度分析,指出攻击者使用的恶意程式大致分成两种类型,其中一种是将窃得资料储存于受害主机,但能从外界存取,另一种则是直接将窃得资料传送到外部主机。
究竟这些键盘内容侧录工具如何运作?一旦使用者存取OWA网页并输入帐密资料,恶意程式码就会从网页表单读取并处理这些资料,向受害Exchange伺服器的特定网页发送XHR请求。最终该网页便会读取请求内容,并将资料写入伺服器上的某个档案,供骇客存取。附带一提,为了掩人耳目,这些恶意程式码通常会嵌入于合法身份验证功能clkLgn里。
6月17日Citrix发布资安公告,修补NetScaler ADC与NetScaler Gateway重大漏洞CVE-2025-5777(4.0版CVSS风险评为9.3),后续资安研究员Kevin Beaumont警告此漏洞相当严重,相当于另一个「Citrix Bleed(CVE-2023-4966)」,因而命名为CitrixBleed 2,并认为很可能接下来会引发相关的漏洞利用攻击,呼吁企业的IT人员要尽速采取行动因应,果不其然,很快就有疑似漏洞利用的情况发生。
资安业者ReliaQuest指出,他们发现一系列不寻常的活动,怀疑是有人利用CVE-2025-5777,试图取得初期的存取管道。
ReliaQuest提及,CVE-2025-5777与CVE-2023–4966两个漏洞的本质大致相同,都能让攻击者从记忆体截取身分验证资料,从而挟持连线阶段并绕过多因素验证,但相较于前一代Citrix Bleed漏洞可被用于挟持Cookie,CVE-2025-5777能让攻击者挟持凭证(Token)而产生新的风险,原因是Token通常运用的范围涵盖身分验证框架,如API呼叫或是应用程式的连线阶段。
【法规遵循】
德国资料保护专员Meike Kamp上周五(6月27日)表示,由于中国AI聊天机器人DeepSeek违法将使用者资料传送至中国,已要求当地的Google Play与App Store将该程式下架。
这并非Kamp第一次采取行动。他说,在意识到DeepSeek违反GDPR之后,他在5月6日便要求DeepSeek自行自德国应用程式商店下架,而且不再将用户资料传送至中国,但DeepSeek并未遵守,使得他在6月27日才转向苹果与Google投诉。
其他漏洞与修补