回顾2025年7月第三星期资安新闻,社交工程攻击成为主要焦点,有多起新闻与之有关,涵盖传统网路钓鱼,骇客滥用浏览器上传的ClickFix、FileFix新手法,还有语音网钓与AI语音伪冒,我们整理如下:
(一)台湾半导体产业与相关机构的人资部门注意!资安业者Proofpoint揭露中国骇客狂发假冒研究生求职的钓鱼信,时间发生在今年3到6月,并且是盗用台湾大专院校电子邮件信箱发送,引诱收信人开启附件的履历并点选恶意URL,目前研判这起行动与TA415有交集,还有国内投资分析师也遭锁定。
(二)勒索软体骇客组织Interlock新一波攻击曝光,自5月开始滥用浏览器的档案上传机制,利用FileFix网钓手法(ClickFix衍生版本),以散布木马程式Interlock RAT,这是FileFix首度被发现用于实际攻击活动。
(三)近来语音网钓、AI伪冒的新闻事件不断,我们近期发布的封面故事介绍最新攻击实例,尤其日本山形地区遭遇的Vishing攻击相当特殊,攻击者不只寄送网钓邮件,更从自动语音开场、真人伪冒客服来诱导,目标是让员工被骗交出企业网路银行的存取权限;而在AI伪冒通话方面,新加坡与马来西亚的企业财务主管,也接连传出遭遇Deepfake视讯会议的诈骗攻击,还有义大利与美国官员声音遭伪冒并遭假冒联系他人。
本星期还有一起网路防护乌龙事件,引发国人热议,微软Azurewebsites.net根网域在台湾网路遭到封锁,影响时间将近2小时,起因是刑事局提供涉毒网站给TWNIC进行DNS RPZ屏蔽封锁,但由于转档作业发生疏失,造成原网址清单的子网域被误删。虽然政府打诈打毒看重处理的时效,但这类误封事故并非第一次发生,如何改善事前审核,以及事中发生误封该如何尽快修正,都需要相关单位尽快协商出相关办法。
在资安事件方面,知名精品业者LV系统遭骇事件备受瞩目,因为不只台湾分公司证实这项消息,LV的韩国、英国、土耳其分公司也陆续有通知客户的消息,目前已知该厂商通知客户有未经授权第三方人士短暂存取该公司系统,部分个资遭窃。
在威胁态势方面,有两起锁定WordPress网站与外挂的攻击,突显攻击新手法与软体供应链攻击依然严峻
●骇客针对WordPress网站攻击有新手法,将恶意程式码埋入ZIP压缩档,再透过zip://通讯协定呼叫、解除混淆、载入并执行,将使用者重新导向至特定网域。
●WordPress表单外挂Gravity Forms遭供应链攻击,骇客于特定版本外挂程式植入后门,目的是收集网站系统资讯并部署其他作案工具。
●有骇客针对Cursor AI打造模仿正牌工具Solidity的恶意延伸套件,两个月被下载5.4万次,有区块链开发人员发现加密货币遭窃寻求资安业者帮助才让此事曝光。
在漏洞消息方面,首先Chrome修补已遭利用的零时差漏洞CVE-2025-6558,其次是有两个上星期才修补的漏洞,已经出现锁定利用情形必需重视,一是Fortinet WAF产品的漏洞CVE-2025-25257,一是Wing FTP Server的漏洞CVE-2025-47812。还有6月下旬Citrix修补的漏洞CVE-2025-5777(CitrixBleed 2),同样被证实已出现锁定利用状况。
另外,研究人员揭露美国麦当劳的征才对话机器人McHire(以Paradox.ai的Olivia机器人打造)有两个弱点,一是其系统的管理后台竟采用帐号与密码皆为123456的预设帐号,另一是Paradox.ai存在IDOR漏洞。
至于资安防御动态方面,国际AI资安合规出现重要突破:欧盟执委会(EC)发布通用AI实践准则,以协助制造商及供应商符合AI Act的规定,外界预料将对AI产业治理模式带来深刻影响。
针对开发人员的恶意套件攻击,从NPM、PyPI套件,到IDE开发工具Visual Studio Code(VSCode)的延伸套件市集,如今也有针对Cursor AI用户的攻击行动,骇客锁定的目标,是名为Open VSX的套件库,且有开发人员因不慎安装恶意套件损失50万美元(约新台币1,465万元)。
在恶意套件攻击事故之外,最近出现的新型态攻击手法相当值得留意,例如:FileFix网钓手法、搭配ZIP档的网站攻击活动、滥用Inno Setup内建指令码功能载入恶意软体的手段,都更难以察觉及防范。
接连传出资安事故,最新一起事故是发生在Louis Vuitton(LV),由于陆续传出多个国家的分公司资料外泄的情况,使得这起事故格外受到关注。
除此之外,近期公布的资安弱点也相当值得留意,其中又以Google修补Chrome今年第5个零时差漏洞影响相当广泛,再者,资安业者Binarly找到的技嘉主机版漏洞,用户也要尽速套用相关韧体更新因应。