全部文章分享

        本文擷取自資安人

隨著Amazon Prime Day購物節即將到來，網路犯罪分子正蓄勢待發，準備對購物者發動大規模詐騙攻擊。資安公司Check Point最新研究發現，僅在6月份就記錄到超過1000個與「Amazon」和「Amazon Prime」相似的網域名稱，其中87%被標記為惡意或可疑網站。
詐騙手法多樣化，鎖定購物熱潮
Check Point研究團隊指出，大型線上購物活動總是吸引詐騙集團的目光，他們主要透過兩種方式攻擊消費者：建立仿冒Amazon登入或結帳頁面的釣魚網站，以及發送釣魚電子郵件。

這些假冒網站通常設計用來竊取真實的Amazon用戶資料，可能導致「未經授權的購買、身分盜用或禮品卡濫用」等嚴重後果。

研究人員特別提到，釣魚電子郵件往往利用緊迫感來誘騙收件人，例如聲稱「退款錯誤」或「帳戶問題」需要立即處理。

Check Point Research最近攔截了一項針對Amazon的釣魚攻擊活動，其中一封電子郵件使用「退款待處理 - Amazon系統錯誤」作為主旨，寄件人地址偽裝成Amazon官方，誘騙收件人點擊連結「更新地址」。該連結實際上導向一個偽造的Amazon登入頁面，專門用來竊取使用者的登入憑證。

面對Prime Day期間的網路威脅，Check Point建議消費者採取以下防護措施：


謹慎規劃購物行程：直接造訪Amazon官方網站或應用程式，避免透過第三方連結進入。
提高警覺避免釣魚：不要點擊宣稱來自Amazon的未經請求電子郵件中的連結，特別是那些創造緊迫感的訊息。
驗證網站真實性：仔細檢查URL，只使用具有HTTPS的網站，對於看起來過於優惠的交易保持懷疑。
強化帳戶安全：使用強密碼、啟用雙重驗證，並考慮使用虛擬信用卡或支付應用程式等安全支付選項。
冷靜應對可疑訊息：收到使用經典社交工程技巧催促回應的訊息時，放慢腳步仔細思考。


專家觀點與建議
Check Point軟體技術公司研究與威脅情報部門組長Omer Dembinsky表示：「Prime Day期間的網路威脅都是經過精心計算的大規模攻擊活動，專門設計來利用消費者行為。提高警覺和預防是強大的防禦武器。透過正確的工具和習慣，購物者可以享受優惠而不會上當受騙。」

隨著電子商務持續蓬勃發展，消費者在享受購物便利的同時，也應時刻保持資安意識，避免成為網路犯罪的受害者。建議消費者在重大購物節期間格外謹慎，採取多重防護措施確保個人資訊和財務安全。

本文轉載自infosecurity-magazine。

       本文擷取自資安人

Sophos 宣布擴充 Sophos Managed Risk 服務，推出由 Tenable 技術驅動的內部攻擊面管理 (IASM) 功能。
 
許多組織在資訊安全防護上有嚴重的盲點。根據 Sophos 2025 年勒索軟體現況報告，過去一年中有 40% 受勒索軟體影響的組織表示，他們是因為未察覺的漏洞暴露而成為受害者。Sophos Managed Risk 現已整合內部與外部攻擊面管理，針對這個問題提供解法，能全面揭露內部及外部的弱點，協助防範可能被威脅者利用的風險。 

Sophos 產品管理資深副總裁 Rob Harrison 表示，透過 Sophos Managed Risk，組織能以攻擊者的觀點識別並優先處理風險，防止對手趁虛而入。此解決方案提供統一的內外部暴露點視角，除了依風險等級排序，並附有明確的修復指引。藉此組織能將資源集中於最重要的關鍵處，迅速進行修復。

最新版本的 Sophos Managed Risk 推出無需驗證的內部掃描功能，能從外部攻擊者的角度測試系統，無需使用者憑證或特權存取權限。此功能協助組織識別並緩解高風險的漏洞，例如開放連接埠、暴露的服務及錯誤設定，這些皆可能被攻擊者利用。
 
Sophos Managed Risk 內部攻擊面管理 (IASM) 功能的特色包括： 

全面漏洞管理：定期自動掃描，識別網路內資產的弱點。  
AI 驅動的風險優先排序：智慧地判斷哪些漏洞風險最高且需要立即處理，指引組織優先進行修補和緩解工作。 
領先技術：Sophos 採用 Tenable Nessus 掃描器，可偵測網路內部漏洞並評估其嚴重性。 
Sophos 優勢：不同於將外部攻擊面管理 (EASM) 與內部攻擊面管理 (IASM) 拆分成獨立產品的廠商，Sophos 結合 Tenable 技術，並由 MDR 服務支援的整合式管理服務。

新的內部攻擊面管理 (IASM) 功能可透過 Sophos Managed Risk 使用，該服務是與 Sophos MDR 搭配提供的擴充服務。Sophos Managed Risk 的團隊均通過 Tenable 認證，並與 Sophos MDR 密切合作，會共用有關零時差漏洞、已知漏洞及暴露風險的重要資訊，以評估並調查可能被利用的環境。

Sophos Managed Risk 服務的 IASM 功能即日起開放給所有新舊客戶，且不會改變授權或價格。客戶只要在 Sophos Central 控制台部署 Tenable Nessus 掃描器並排程自動掃描，即可立即享有擴充的防護能力。

      本文擷取自資安人

Sophos 發布第六屆年度《勒索軟體現況》報告。該報告為一項不特定廠商的調查，訪問來自 17 個國家的 IT 與資訊安全領袖，深入探討勒索軟體攻擊對企業的影響。調查結果顯示，近五成的企業選擇支付贖金以取回資料，這是六年來第二高的贖金支付比率。

儘管選擇支付贖金的企業比例偏高，但其中超過半數 (53%) 實際支付的金額低於最初的贖金要求。在這些支付較低金額的案例中，有 71% 是透過談判達成的，無論是由企業自行談判，或是在第三方的協助下完成。事實上，雖然從 2024 年到 2025 年的贖金中位數要求下降了三分之一，但實際支付的贖金中位數則下降了 50%，顯示企業在降低勒索軟體攻擊影響方面的能力有所提升。

整體而言，實際支付的贖金中位數為 100 萬美元，儘管最初的勒索金額會因企業規模與營收而有顯著差異。年營收超過 10 億美元的企業，其贖金要求中位數為 500 萬美元；而營收在 2.5 億美元以下的企業，所面對的贖金要求中位數則低於 35 萬美元。

連續三年來，遭濫用的漏洞仍是最主要的技術性入侵根源。有 40% 遭受勒索攻擊的企業表示，攻擊者利用了他們「未察覺」的安全漏洞，突顯出企業在攻擊面可視性與防護能力上仍需努力。整體來看，有 63% 的企業表示資源不足是導致他們遭到攻擊的原因之一；其中，大型企業 (員工超過 3,000 人) 最常提及的問題是他們缺乏專業人才，而中型企業 (員工數 251 至 500 人) 則普遍指出人力與資源不足為首要營運挑戰。

Sophos 資深現場資訊安全長 (Field CISO) Chester Wisniewski 表示，對許多企業而言，在 2025 年遭遇勒索軟體攻擊幾乎已成為營運過程中的一部分。好消息是，隨著對此威脅的認知日益提升，越來越多企業開始投入資源來減輕損害，包括聘請事件回應專家來協助降低贖金金額、加速復原，甚至在攻擊進行中即加以阻止。當然，若要根本解決勒索軟體威脅，仍須從源頭著手，包括修補被濫用的漏洞、提升對攻擊面的可視性，以及補足人力與資源的缺口。我們觀察到越來越多企業意識到自身需要協助，並開始導入託管式偵測與回應 (MDR) 服務作為防禦主力。MDR 若能搭配多因素驗證、漏洞修補等主動式安全策略，將能有效預防勒索軟體攻擊於未然。

《2025 年勒索軟體現況》報告的其他重點發現：

成功阻止攻擊的企業增加：有 44% 的企業在資料遭加密前即成功阻止勒索軟體攻擊，創下六年來新高。資料遭加密的比例也降至六年新低，僅有一半的企業資料遭到加密。
 
使用備份還原的比例下降：僅有 54% 的企業透過備份還原資料，為六年來最低比例。
 
一線曙光：贖金與復原成本雙雙下降：平均復原成本從 2024 年的 273 萬美元下降至 2025 年的 153 萬美元。儘管贖金金額仍高，但已從 2024 年的 200 萬美元下降 50%，成為 2025 年的 100 萬美元。
 
各產業贖金金額差異大：州政府與地方政府的贖金中位數最高，達 250 萬美元；而醫療保健產業最低，僅為 15 萬美元。
 
企業復原速度加快：有超過半數 (53%) 的企業在一週內完全從勒索軟體攻擊中復原，相較去年 (35%) 大幅提升。僅有 18% 的企業復原時間超過一個月，較 2024 年的 34% 顯著下降。

Sophos 建議企業採取以下最佳實務，以防範勒索軟體與其他網路攻擊：


採取行動，排除常見的技術與營運根本原因，如遭濫用的漏洞等。企業可善用 Sophos Managed Risk 等工具，協助評估自身風險概況並降低暴露面。
確保所有端點 (包括伺服器) 均具備完善防護，部署專門的防勒索軟體防護機制。
建立並測試事件回應計畫，為突發的安全事件做好準備。同時應備妥可靠的備份機制，並定期演練資料還原程序。
企業應具備 24 小時持續監控與威脅偵測能力。若缺乏內部資源，可與值得信賴的託管式偵測與回應 (MDR) 服務供應商合作。

《2025 年勒索軟體現況》的數據來自一項不特定廠商的調查，對象為 3,400 位曾在過去一年內遭受勒索軟體攻擊的企業之 IT 與資訊安全領導者。受訪企業員工人數介於 100 至 5,000 人，橫跨 17 個國家。本次調查於 2025 年 1 月至 3 月間進行，受訪者分享他們在過去 12 個月中面對勒索軟體的經驗。

     本文擷取自資安人

資安研究人員發現一項新的攻擊活動，駭客發布了超過67個聲稱提供Python駭客工具的GitHub程式庫，但實際上散布植入惡意程式的檔案。這個被ReversingLabs命名為「Banana Squad」的活動，被評估為2023年針對Python Package Index套件庫惡意Python活動的延續。當時攻擊者上傳的虛假套件被下載超過75,000次，在Windows系統上竊取資訊。
Banana Squad攻擊活動分析
《SANS網路風暴中心報告（SANS's Internet Storm Center ）》於2024年11月發布，該報告詳細描述了一個託管在GitHub上名為「steam-account-checker」的工具，該工具含有隱蔽功能，能夠下載額外的Python惡意載荷，將惡意程式碼注入Exodus加密貨幣錢包應用程式中，並將敏感資料傳送至外部伺服器「dieserbenni[.]ru」。

攻擊活動針對搜尋特定軟體的用戶，例如帳號清理工具和遊戲作弊程式，包括Discord帳號清理工具、Fortnite外掛程式、TikTok用戶名檢查工具和PayPal批量帳號檢查器等。所有被識別的惡意程式庫已被GitHub下架。

ReversingLabs研究員Robert Simmons表示，在GitHub這類公開程式碼存儲庫中，後門和被植入惡意程式的程式碼越來越普遍，代表軟體供應鏈攻擊管道正在增加。對於依賴這些開源平台的開發人員來說，必須仔細驗證所使用程式庫的內容是否符合預期。

GitHub淪為惡意程式散布平台
「Banana Squad」發展顯示GitHub正越來越頻繁地被用作惡意程式散布管道。

趨勢科技揭露了由駭客「Water Curse」操控的76個惡意GitHub程式庫，這些程式庫被用於傳遞多階段惡意軟體。這些惡意程式旨在竊取憑證、瀏覽器資料和連線權杖，同時為駭客提供對被入侵系統的持續遠端存取能力。

隨後，Check Point揭露了另一個針對Minecraft玩家的Java惡意程式攻擊活動，該活動利用名為「Stargazers Ghost Network」的駭客服務。Stargazers Ghost Network是一個由多個GitHub帳號組成的網路，透過釣魚程式庫傳播惡意程式或惡意連結。

Check Point表示，該網路中的帳號不僅散布惡意連結和惡意程式，還會對惡意程式庫進行標星、複製和訂閱，使這些程式庫看起來合法可信。這些GitHub「幽靈」帳號僅是整體攻擊架構的一部分，其他平台上的「幽靈」帳號也作為更大型「惡意程式分發即服務」生態系統的組成部分。

Stargazers Ghost Network的部分手法於2024年4月被Checkmarx揭露。研究指出，攻擊者使用假星標並頻繁更新程式庫，人為提高這些程式庫的受歡迎度，確保它們在GitHub搜尋結果中置頂。這些程式庫巧妙偽裝成合法專案，通常與熱門遊戲、外掛程式或工具相關，例如加密貨幣價格追蹤器和博彩遊戲乘數預測工具。

針對新手駭客的攻擊浪潮
這些攻擊活動與另一波針對新手駭客的攻擊浪潮不謀而合。後者專門尋找在GitHub上搜尋現成惡意程式和攻擊工具的人，透過後門式程式庫感染他們的系統，植入資訊竊取程式。

在Sophos的一個研究案例中，被植入惡意程式的Sakura-RAT程式庫被發現含有惡意程式碼。當使用者在自己系統上編譯這些惡意軟體時，會遭到資訊竊取工具和其他遠端存取木馬程式入侵。

研究人員發現這些程式庫是四種不同類型後門的傳播管道。這些後門被嵌入在Visual Studio PreBuild事件、Python腳本、螢幕保護程式檔案和JavaScript中，目的是竊取資料、擷取螢幕截圖、透過Telegram進行通訊，以及下載更多惡意程式，包括AsyncRAT、Remcos RAT和Lumma Stealer等。

Sophos表示，在此攻擊活動中至少發現了133個含後門的程式庫，其中111個包含PreBuild後門，其餘則包含Python、螢幕保護程式和JavaScript後門。這些活動很可能與一個自2022年8月起運作的「惡意程式分發即服務」相關，該服務利用數千個GitHub帳號散布嵌入在被特洛伊木馬化的程式庫中的惡意軟體，這些程式庫主題多與遊戲作弊程式、漏洞利用工具和攻擊工具相關。

雖然此攻擊活動的確切散布方式尚不明確，但資安研究人員認為，駭客也利用Discord伺服器和YouTube頻道來散布指向這些被植入惡意程式的程式庫連結。目前尚不清楚此攻擊活動是否與先前報導的部分或全部攻擊活動有直接關聯，但這種手法顯然相當受歡迎且有效，並可能以某種形式持續存在。

與Water Curse組織的關聯
Sophos的資安長Chet Wisniewski表示，此次攻擊活動與「Water Curse」駭客組織有「明顯相似之處」。這些共同特徵包括存儲庫使用極為相似的命名方式、大量使用GitHub帳號、同樣聚焦Electron應用程式、以類似的方式濫用Visual Studio的PreBuild功能，以及引用相同的「ischhfd83」電子郵件地址，用於向GitHub存儲庫提交更新。

Wisniewski補充道，這些攻擊活動是密切相關，還是僅僅屬於使用相同程式碼基礎和攻擊手法的威脅集團，值得進一步調查。

開發人員在使用開源程式庫時，應該採取更嚴格的安全檢查措施，包括詳細檢視程式庫的原始碼、驗證開發者身份、檢查程式庫的下載和星標歷史是否異常，以及使用自動化工具掃描潛在的惡意程式碼。企業組織也應建立完善的軟體供應鏈安全政策，定期審核使用的第三方程式庫。

而開發社群和平台營運商必須共同努力，建立更強大的安全機制來識別和阻止惡意程式庫的散布。同時，開發人員也需要提高警覺，在使用第三方程式庫時採取更謹慎的態度，以保護自身和用戶的安全。

本文轉載自 TheHackerNews。

 
       本文擷取自資安人

隨著網路犯罪集團的不斷演變，資安威脅態勢也在持續變化。近期資安業者ReliaQuest發布的最新研究報告顯示，儘管Black Basta勒索軟體組織在今年二月因內部聊天記錄外洩而遭受重創，但其前成員並未停止犯罪活動，反而轉戰其他勒索軟體集團，持續對全球企業造成威脅。
攻擊手法升級：結合傳統社交工程與新興技術
與Black Basta勒索軟體組織有關聯的前成員被發現仍在使用他們慣用的手法，包括電子郵件轟炸攻擊和Microsoft Teams釣魚，以建立對目標網路的持續性存取。值得關注的是，近期攻擊者在這些技術基礎上開始執行Python腳本，使用cURL請求來獲取和部署惡意程式，顯示威脅行為者正在持續轉型和重組其攻擊策略。

根據ReliaQuest的觀察，在2025年2月至5月期間觀察到的Teams釣魚攻擊中，有一半來自onmicrosoft[.]com域名，而被入侵的域名則佔同期攻擊的42%。後者更為隱蔽，使威脅行為者能在攻擊中冒充合法流量，大幅增加攻擊成功率。

上個月，ReliaQuest的金融保險業和建築業客戶遭到攻擊者利用Teams釣魚手法，攻擊者冒充技術支援人員對使用者進行詐騙，凸顯了此類攻擊手法的實際威脅性。

儘管Black Basta的資料外洩網站已關閉，但其攻擊手法仍被持續使用，這表明前成員可能已轉移至其他勒索即服務集團或組建新集團。根據外洩的聊天記錄顯示，最可能的情況是這些前成員已加入CACTUS RaaS集團，證據來自Black Basta領導人Trump提到向CACTUS支付了50-60萬美元。

值得注意的是，CACTUS自2025年3月以來尚未在其資料外洩網站上公布任何組織名稱，這表明該組織可能已解散或刻意保持低調。另一種可能是這些成員已轉移至BlackLock勒索軟體組織，據信BlackLock已開始與名為DragonForce的勒索軟體集團合作。

攻擊手法的傳承與擴散
研究人員發現，攻擊者利用Teams釣魚技術獲得存取權限後，建立遠端桌面連線，如：Quick Assist和AnyDesk，隨後從遠端伺服器下載並執行惡意Python腳本，以建立命令與控制（C2）通訊。此次攻擊中使用的Python腳本顯示了攻擊戰術的持續演變，預期此類手法將在未來的Teams釣魚活動中更頻繁出現。

值得關注的是，Black Basta式的社交工程策略，結合電子郵件轟炸、Teams釣魚和Quick Assist等工具，已被BlackSuit勒索軟體組織採用，這顯示BlackSuit可能已採納相關攻擊手法，或直接吸收了Black Basta的成員。

惡意程式技術演進


Java RAT的雲端化趨勢：
根據資安業者Rapid7的分析，這種初始存取手法是攻擊者下載並執行升級版Java遠端存取木馬(RAT)的途徑，該木馬先前在Black Basta攻擊中被用作憑證竊取工具。這款Java惡意程式如今濫用Google和Microsoft提供的雲端檔案託管服務，透過這些雲服務供應商(CSP)的伺服器來轉發指令。

隨著時間推移，惡意程式開發者已從直接代理連線演變為使用OneDrive和Google試算表，最近則進一步簡化為僅使用Google Drive，顯示攻擊者在持續優化其技術手段。
 
新增功能威脅分析：
惡意程式的最新版本加入了多項新功能，包括在被感染電腦與遠端伺服器之間進行檔案傳輸、建立SOCKS5代理通道、竊取瀏覽器中儲存的帳密資訊、顯示假冒的Windows登入畫面，以及從特定網址下載Java類別並直接在記憶體中執行。

與Sophos不久前分析的凌晨3點勒索軟體攻擊手法相似，這些駭客行為也運用了與BlackSuit集團有關後門工具QDoor 、疑似用於SSH連線的Rust客製化載入程式，以及名為Anubis的Python遠控木馬。


勒索軟體生態系統的重大發展


Scattered Spider的MSP攻擊策略
Scattered Spider駭客組織已鎖定各大資訊委外服務供應商(MSP)及IT廠商，採取「一次入侵，多重滲透」的策略，透過單一突破口滲透多個組織。某些案例中，攻擊者甚至利用被入侵的塔塔諮詢服務公司(TCS)帳號進行初始存取。

該組織使用Evilginx釣魚工具包建立假冒登入頁面，繞過多因素驗證(MFA)，並與ALPHV(又稱BlackCat)、RansomHub和最近的DragonForce等主要勒索軟體營運商結盟，利用SimpleHelp遠端桌面軟體的漏洞對MSP發動精密攻擊。
 
Qilin的協同入侵活動
Qilin（又稱Agenda及Phantom Mantis）勒索軟體營運商於2025年5月至6月間發起針對多個組織的協同入侵活動，利用Fortinet FortiGate的漏洞（如CVE-2024-21762和CVE-2024-55591）作為初始入侵點，顯示攻擊者對已知漏洞的快速利用能力。
 
Play勒索軟體的大規模攻擊
Play（也被稱為Balloonfly和PlayCrypt）勒索軟體集團自2022年中開始活動以來，截至2025年5月，估計已成功攻擊超過900個組織。部分攻擊手法包括利用SimpleHelp的安全漏洞（CVE-2024-57727），在該漏洞公開後，迅速針對多家美國企業發起攻擊行動。
 
VanHelsing的內部分裂
VanHelsing勒索軟體集團的管理員因內部開發團隊與領導階層的嚴重衝突，已在駭客論壇RAMP上公開整套原始碼。PRODAFT安全團隊指出，這次外洩包含敏感資料如TOR密鑰、勒索程式源碼、後台管理系統、通訊平台、檔案主機，甚至完整網站和資料庫都被公開。
 
Interlock的地區性攻擊
Interlock勒索軟體組織今年第一季專門攻擊英國的地方政府與大專院校，透過社交工程散布新型JavaScript遠端控制木馬NodeSnake。這款透過釣魚郵件傳送的惡意程式能夠長期潛伏於系統中，並具備情報收集與遠端命令執行等進階功能。


RAT威脅的嚴重性
根據報告，遠端遙控木馬(RAT)能讓駭客從遠端完全掌控受感染系統，不僅可檢視檔案內容、監視使用者活動，還能變更系統設定。惡意攻擊者透過RAT可在企業網路中潛伏長期，並植入其他惡意工具或後門程式。更嚴重的是，他們能任意讀取、篡改、刪除或外洩組織重要資料。

面對這些不斷演進的威脅，企業組織應該加強以下防護措施：強化員工資安意識訓練、建立完善的多因素驗證機制、定期更新系統漏洞修補、監控異常網路活動，以及建立完整的事件應變計畫。

隨著勒索軟體集團的持續演變和重組，資安威脅態勢將持續變化，企業必須保持警覺並採取積極的防護措施，以應對這些不斷升級的網路安全挑戰。

本文轉載自TheHackerNews。

           本文擷取自資安人

資安廠商SecurityScorecard最新研究報告揭露，中國相關威脅行為者正運用一個名為「LapDogs」的大規模殭屍網路，透過ORBs（Operational Relay Boxes, ORBs）對美國和亞洲地區發動精密的網路間諜攻擊。這個威脅網路已成功入侵超過1,000台小型辦公室與家用辦公室（SOHO）設備，包括路由器和物聯網終端設備。

與傳統殭屍網路不同，ORB網路通常會與虛擬私人伺服器結合，創建混淆和合理否認的網路架構。這些網路重新利用日常設備如路由器、IP攝影機和舊式智慧科技設備來穿透網路、收集資料或轉接流量，而不會觸發安全警報。
ShortLeash後門程式：偽裝高手
攻擊活動的核心是「ShortLeash」的客製化後門程式，能夠在受感染設備上維持持續存取權限，並將其連接到ORB網路中。ShortLeash會建立偽造的Nginx網路伺服器，並生成偽裝成洛杉磯警察局（LAPD）簽發的自簽TLS憑證，企圖誤導調查人員的追蹤方向。

SecurityScorecard的STRIKE團隊透過這個憑證特徵，成功追蹤全球超過1,000個受感染節點。研究人員發現，攻擊活動採用批次發動的模式，憑證會在短時間內大量生成。在某些日子裡，只有單一國家成為攻擊目標；而在其他時候，多個地區會同時遭受攻擊，但所有受感染的節點都使用相同的連接埠號碼。

根據SecurityScorecard的分析，這個從2023年9月開始的攻擊活動，已逐步擴增設備和受害者數量。攻擊主要鎖定美國、日本、南韓、香港和台灣地區的目標，受害者多集中在房地產、資訊科技、網路通訊和媒體等行業。

研究人員成功識別出162個不同的入侵事件集，突顯了這次攻擊活動背後精心的作業規劃。在某些案例中，設備會在兩個IP位址間共享相同憑證，這可能表示存在多個介面或單一設備被用於多種用途。

受害者可能擁有受損的SOHO設備、透過這些設備成為威脅組織網路間諜活動的目標，或者其本地網路透過受損的SOHO設備遭到入侵，在這種情況下設備被用作初始存取向量。
SOHO設備成攻擊首選目標
LapDogs主要鎖定運行過時或未修補韌體的舊式路由器和設備。根據報告分析，約55%的受損硬體來自Ruckus Wireless設備，Buffalo AirStation路由器也是常見目標，特別是在日本地區。

這些設備的共同特徵是使用輕量級網路伺服器如mini_httpd和嵌入式管理工具，這些工具通常以預設設定出貨。部分設備仍在運行2000年代初期的軟體，其他設備則暴露了OpenSSH或DropBear SSH服務。這些設備經常在安全稽核和修補週期中被忽略，使其成為容易攻擊的目標。
ORB網路：中國威脅行為者新戰術
ORB網路已成為中國威脅行為者日益普及的戰術，包括惡名昭彰的Volt Typhoon等組織都在使用這種技術來隱藏指令與控制通訊、規避偵測並複雜化歸因分析。今年2月，Check Point揭露了一個類似網路，專門針對全球「敏感」領域的製造業供應商。一個月後，Sygnia發現了另一個歸因於中國相關Weaver Ant組織的類似網路，專門攻擊電信服務提供商。

SecurityScorecard指出，與LapDogs類似的另一個ORB網路「PolarEdge」共享部分相同的基礎設施，但在戰術技術和憑證管理方面有所不同。

相關文章：PolarEdge 殭屍網路鎖定台灣：華碩、QNAP 和 Synology 設備面臨嚴重威脅

報告中的鑑識證據，包括啟動腳本中的中文開發者註解、工具、技術和程序，以及受害者特徵，都支持這次攻擊活動可歸因於中國相關的進階持續性威脅組織和類似ORB。思科Talos先前曾識別出一個名為UAT-5918的組織，可能在攻擊台灣關鍵基礎設施時使用了LapDogs基礎設施，但目前尚不清楚UAT-5918是經營LapDogs還是單純使用它。

防護建議與應對策略
SecurityScorecard首席威脅情報官Ryan Sherstobitoff表示，房地產和媒體等行業的資安長應該採取更積極的立場，因為這些行業通常依賴大量第三方管理的邊緣設備，可能產生隱藏的風險。

他建議設備應該配備安全預設值、內建遙測功能和可修補性，像Ruckus和Buffalo AirStation這類在此次攻擊中反覆被入侵的舊式路由器需要逐步淘汰。在採購和供應商管理實務方面，資安長應要求供應商定期掃描過時服務如mini_httpd或DropBearSSH，並支援集中監控。網路分割政策應明確將SOHO級設備與核心系統分離。

考量到LapDogs的隱蔽特性及其對通常不在終端偵測與回應系統覆蓋範圍內的SOHO設備的鎖定，Sherstobitoff建議資安長應要求託管安全服務提供商和安全營運中心實施被動TLS憑證檢查和JARM指紋匹配，特別標記偽裝成LAPD等實體的獨特自簽憑證和匹配JARM。

網路流量和DNS遙測資料也應該接受檢視，以偵測向northumbra[.]com等指令控制網域的異常對外流量，而42532或其他不常見的高連接埠在嵌入式或非託管設備上出現時應觸發警報。安全營運中心應建立邊緣設備行為基線，並主動搜尋偽造的Nginx橫幅或意外的網路服務，這些可能表示ShortLeash植入程式的存在。

Sherstobitoff強調，「LapDogs反映了網路威脅行為者在利用分散式、低可見度設備獲得持續存取權限方面的戰略轉變。這些不是機會主義的快速攻擊，而是經過深思熟慮、地理定向的攻擊活動，削弱了傳統威脅指標的價值。」

          本文擷取自資安人

Check Point Software Technologies Ltd. 近期公布《2025 年雲端安全報告》，針對全球超過 900 名資安長（CISO）和 IT 負責人進行調查並揭示當前系統弱點，包括警報疲勞、工具分散化，以及組織普遍無法偵測橫向移動或防禦 AI 驅動的攻擊，致使企業暴露於危險之中。報告中亦提出一系列可行策略，以消弭雲端創新與網路韌性之間的落差。
 
隨著混合雲、多雲和邊緣架構不斷擴展，許多組織仰賴的安全模式已難以因應現況。報告中指出，65% 的企業在過去一年內曾遭遇雲端安全事件，高於前一年的 61%。令人意外的是，僅有 9% 在第一時間察覺安全事件，更僅有 6% 即時進行補救，使入侵者得以潛伏在雲端環境中未被發現。
 
Check Point Software 雲端安全副總裁 Paul Barbosa 表示，安全團隊正追尋一個不斷變動的目標，隨著雲端環境日益複雜，AI 驅動的威脅亦持續演進，組織已無法再仰賴分散式工具與傳統作法。是時候轉向統一、智慧且自動化的防禦機制，以應對當今去中心化世界的現實挑戰。
 
《2025 年雲端安全報告》的要點包括：

雲端的採用速度超前安全準備程度：62% 的組織已採用雲端邊緣技術，57% 使用混合雲，51% 則運行於多雲環境。傳統以邊界為核心的防禦方式已無法因應這些分散式基礎設施的發展步伐。
 
偵測和修補速度過慢：僅有 9% 的組織在第一時間察覺安全事件，而 62% 的組織需要超過 24 小時才能修補漏洞，這讓攻擊者有充份時間擴大入侵範圍。
 
工具泛濫導致警報疲勞：71% 受訪者仰賴超過 10 種不同的雲端安全工具，甚至有 16% 的受訪者使用多達 50 種以上。超過五成的受訪者每天要面對近 500 個警報，這不但影響回應時間，也使分析人員不堪負荷。
 
應用安全仍落後：61% 的組織仍仰賴過時的、基於特徵比對的網路應用防火牆（WAF），然而這類防護在對抗日益複雜且由 AI 強化的威脅時，效果越來越有限。
 
AI 是優先重點，但防禦者尚未做好準備：儘管 68% 的受訪者將 AI 列為網路防禦的重中之重，僅有 25% 自認已準備好應對 AI 驅動的攻擊，凸顯出關鍵能力的差距。
 
橫向移動仍是盲點：僅有 17% 的組織能全面掌握東西向雲端流量。攻擊者一旦突破邊界，便能在雲端環境中移動而不被察覺。
 
偵測多靠人力，而非工具：僅有 35% 的雲端事件是透過安全監控平台發現，多數則由員工、審計或外部報告識別出來，顯示即時威脅偵測方面有嚴重漏洞。
 
內部挑戰阻礙安全進展：54% 的組織認為技術變革的速度是主要障礙，49% 則面臨資安專才短缺的問題。工具分散化與平台整合度低（40%）則進一步延長回應速度、擴大安全盲點。 

為了彌補這些差距，Check Point 建議採用去中心化、以預防為優先的雲端安全策略。報告中建議組織整合工具組，運用以 AI 驅動的威脅偵測並部署即時遙測技術，以實現跨邊緣、混合和多雲環境的全面可視性。透過利用 Check Point CloudGuard 和 Check Point Infinity Platform，組織可統一其雲端防禦體系，實現事件回應自動化，並確保在不同平台與服務供應商間的安全策略保持一致。
 
Check Point Software 全球資安長 Deryck Mitchelson 在《2025 年雲端安全報告》中提出建議，他強調，雲端轉型的速度正加速超越防禦能力。攻擊者的行動只要幾分鐘，防禦者卻需時數天才能回應，偵測和修補之間的時間差已形成危險區。資安長必須將分散化工具整合到統一平台中，提升橫向移動的可視性，並推動其團隊與技術做好充足準備、迎戰以 AI 驅動的威脅，否則可能將雲端控制權拱手讓給越來越難防範的攻擊者。

        本文擷取自資安人

網路安全研究人員揭露兩項由中國支持的大規模網路攻擊行動，分別為「ShadowPad」和「PurpleHaze」，這些行動從去年7月開始持續8個月，成功入侵全球超過70個高價值目標組織，其中包括知名AI驅動資安廠商SentinelOne。這些相互關聯的攻擊行動突顯了中國駭客組織對全球資安產業的多層次威脅。
雙重攻擊鎖定SentinelOne
根據SentinelOne旗下威脅研究部門SentineLabs今日發布的調查報告，該公司遭受兩次不同性質的攻擊：


第一波攻擊（2024年10月）：屬於PurpleHaze活動群組的一部分，攻擊者針對SentinelOne可透過網際網路存取的伺服器進行「大規模遠端偵察」活動。
 
第二波攻擊（2025年初）：屬於更大規模的ShadowPad行動，與ShadowPad後門惡意軟體相關，駭客鎖定負責管理SentinelOne員工硬體物流的第三方組織，企圖透過供應鏈方式滲透目標。

SentinelLabs研究人員表示：「我們立即通知了IT服務和物流組織相關入侵細節。經過對SentinelOne基礎設施、軟體和硬體資產的全面調查，未發現任何遭入侵的證據。」

調查顯示，這些攻擊活動的幕後黑手為兩個知名的中國支持威脅行為者：


APT15組織（又稱Flea、Nickel、Vixen Panda、KE3CHANG、Royal APT、Playful Dragon）：該組織活躍超過20年，近年來重新活躍，主要攻擊目標包括華裔族群和南北美洲的外交部門。
 
UNC5174組織：被Mandiant識別的承包商組織，可能代表中國政府執行任務，主要鎖定美國、英國和加拿大等西方國家。

在去年7月至今年3月期間，研究人員追蹤到這兩個中國威脅行為者對各種目標發動的大量入侵活動。受害者範圍極為廣泛，包括南亞政府和歐洲的媒體機構，以及分布在製造業、金融業、電信業和研究機構等多個產業領域的超過70個組織。

這些攻擊目標的選擇顯示明確的戰略意圖，政府機構可能是為了獲取政策情報和外交資訊，而媒體組織則可能涉及資訊戰和輿論影響，而各產業部門的攻擊則反映出對商業機密和技術情報的竊取。攻擊者展現出對不同領域目標的深度了解和精準定位能力。

攻擊技術與工具分析
在ShadowPad行動中，攻擊者主要使用ShadowPad後門惡意軟體進行網路間諜活動，目標涵蓋製造、政府、金融、電信和研究等多個領域。值得注意的是，此次攻擊與先前的NailoaLocker勒索軟體攻擊存在關聯性，顯示攻擊者具備多重攻擊能力。

PurpleHaze攻擊手法則更加複雜，攻擊者利用GOREshell惡意軟體叢集中的後門程式作為主要工具。在針對歐洲媒體組織的攻擊中，駭客成功利用兩個Ivanti雲端漏洞（CVE-2024-8963和CVE-2024-8190），更令人擊的是，攻擊者在這些漏洞公開披露前幾天就已開始利用，充分展現其高度的技術能力和情報收集水準。

攻擊者還部署了多項進階攻擊技術，包括ORB（Operational Relay Box）網路基礎設施來建立隱密的指揮控制管道，使用reverse_ssh後門變種進行持續存取，並巧妙利用The Hacker's Choice（THC）資安研究社群的公開工具來降低被偵測的風險。

資安廠商成為重點目標
SentinelOne強調，此次攻擊揭露了威脅環境中一個未受到足夠關注的面向：網路安全廠商正成為駭客的重點攻擊目標。

研究人員指出：「網路安全公司因其保護角色、對客戶環境的深度可見性，以及干擾對手行動的能力，成為威脅行為者的高價值目標。」

Ontinue公司安全營運副總裁Craig Jones評論道：「SentinelOne現在看到的是典型的中國關聯活動，這與我在Sophos領導防禦活動期間追蹤到的Pacific Rim攻擊完全吻合。當時我們看到相同的攻擊手法：高度針對性的行動、邊緣設備上的隱密植入程式，以及對高價值基礎設施長期存取的不懈追求。」

面對持續不斷的中國駭客威脅，SentinelOne呼籲資安產業加強透明度和情報分享，關鍵建議包括：


打破污名化思維：鼓勵網路安全公司主動分享遭攻擊資訊，促進「協調行動勝過聲譽傷害的恐懼」
強化監控能力：組織必須保持警覺，實施強化監控和快速回應能力
情報共享機制：建立更完善的威脅情報分享平台，提升整體防禦能力
供應鏈安全：特別關注第三方服務提供商的安全性


長期威脅趨勢分析
這起大規模攻擊行動反映出幾個重要趨勢。首先，國家級威脅持續升級，中國支持的駭客組織展現出越來越成熟的攻擊技術和持續性，其行動規模和複雜度都達到新的層次。同時，資安產業正成為新的戰場，網路安全廠商不再只是防護者的角色，也成為被重點攻擊的目標，這種角色轉換對整個產業生態構成深遠影響。

此外，供應鏈攻擊策略已成為主要手法，攻擊者透過第三方服務提供商進行橫向攻擊，利用信任關係來突破傳統防線。最令人擔憂的是，攻擊者展現出搶先利用零日漏洞的能力，能在漏洞公開披露前就開始利用，這不僅顯示其強大的技術能力，更暴露出威脅情報收集和漏洞研究的高度成熟性。

面對日益複雜的國家級威脅，資安專家建議：


實施零信任架構：假設任何網路連線都可能遭到入侵
加強端點檢測：部署進階端點檢測和回應（EDR）解決方案
定期威脅狩獵：主動搜尋網路中的威脅指標
建立事件回應計畫：制定完善的資安事件處理流程
第三方風險評估：定期評估供應鏈合作夥伴的安全狀況

SentinelLabs表示：「透過公開分享我們調查的詳細資訊，我們希望能深入了解很少被討論的網路安全廠商目標攻擊問題，協助消除分享這些攻擊活動危害指標的污名，進而加深對中國關聯威脅行為者的戰術、目標和行動模式的理解。」

      本文擷取自資安人

勒索軟體集團 DragonForce 的正是近期針對英國瑪莎百貨 (Marks & Spencer) 及其他美英零售商發動攻擊的幕後主使。 

除了 DragonForce 對包括 RansomHub 在內的競爭對手發動攻擊，以試圖鞏固其地位外，Sophos Managed Detection and Response (MDR) 團隊在近期的調查中也揭露了有關該集團行動方式的更多細節。 

在 Sophos MDR 團隊調查的某起事件中，DragonForce 鎖定了一家 MSP (託管服務供應商)，強行安裝一個針對合法的 SimpleHelp 遠端監控與管理 (RMM) 工具而設計的惡意檔案。當攻擊者成功取得該 MSP 的 SimpleHelp 帳號後，便能發動所謂的「MSP 供應鏈攻擊」，在多個客戶環境中橫向移動並蒐集資訊。 

遠端存取依然是企業資安的弱點，這也使得針對 RMM 工具的攻擊手法成為勒索軟體集團越來越常見的戰術之一。根據《2025 年 Sophos 威脅報告》，合法的商用遠端存取工具已成為最頻繁被濫用的工具類型。

       本文擷取自資安人

Sophos X-Ops 最新研究揭露，多個勒索軟體集團正在進行一項持續性的攻擊行動。攻擊者採用「電子郵件轟炸」，如在短短一小時內寄出數千封電子郵件 與「語音詐騙」 相結合的手法，企圖滲透企業網路並竊取資料。在這起攻擊行動中，攻擊者偽裝成 Microsoft Teams 的技術支援人員，誘騙員工提供電腦的遠端存取權限；一旦取得存取權，攻擊者便可下載並植入勒索軟體。

Sophos X-Ops 最初於今年一月揭露這起攻擊行動，當時已有 15 間公司受害。自此之後，根據 Sophos MDR 與事件回應 (IR) 的案件資料，Sophos X-Ops 已識別出超過 55 起其他的攻擊嘗試。然而，另一個勒索軟體集團 3AM 也採用了類似的攻擊鏈，不過卻在多個關鍵環節調整手法以提高攻擊成功率：  

在受害電腦上部署虛擬機器，藉此躲避端點防護軟體的偵測 
 
根據對目標的深入偵察調整攻擊手法：掌握特定員工的電子郵件地址與電話號碼，並透過網路語音電話假裝電話是來自企業內部的客服專線  
 
在發動勒索攻擊前潛伏並進行長達 9 天的偵察 

Sophos 首席威脅研究員 Sean Gallagher 表示，語音詐騙 (vishing) 與電子郵件轟炸的組合，依然是勒索軟體攻擊者極具威力且有效的手法，而 3AM 勒索軟體集團如今也找到了方法，透過遠端加密來規避傳統安全軟體的偵測。由於這些社交工程手法已被證實有效，我們預期這兩種語音詐騙/電子郵件轟炸攻擊活動仍將持續活躍。

為了維護安全，企業首先應該提升員工的資安意識，並嚴格限制遠端存取的行為。其中包括制定政策，禁止員工在不應安裝此類軟體的電腦上執行虛擬機器或遠端存取工具。此外，也應封鎖所有與遠端控制相關的進出站網路流量，僅允許經授權的遠端存取系統連線。

      本文擷取自資安人

Sophos推出 MSP Elevate 計畫，協助託管服務供應商 (MSP) 加速業務成長。透過此全新計畫，Sophos 能協助 MSP 提供高價值且具差異化的網路安全服務，強化客戶的安全防禦，同時透過投資回饋鼓勵業務擴展，推動長期成功。

隨著現今網路攻擊手法日益複雜且進階，越來越多企業仰賴 MSP 提供全年無休、由專業人員主導的網路安全監控與管理。根據《2024 Sophos MSP 觀點報告》，有高達 81% 的 MSP 已提供託管式偵測與回應 (MDR) 服務，顯示 MDR 已成為 MSP 的核心業務焦點。MSP Elevate 計畫讓 MSP 能以高價值服務提供者的角色與同業區隔，透過專屬的 Sophos MDR 服務方案為客戶帶來實質的業務成長效益。

同時管理多套網路安全平台不僅造成 MSP 業務負擔，也耗費寶貴的工時。MSP 評估若能將管理操作整合至單一平台，則日常管理時間可減少達 48%。MSP Elevate 計畫提供 Network-in-a-Box 套裝組合，讓 MSP 能透過統一的 Sophos Central 平台管理整套網路設備與通訊流程，進一步釋放人力資源以投入業務拓展。此外，MSP 業者最憂心的風險之一是缺乏內部網路安全專業人才。Sophos 的網路解決方案可在客戶環境中自動回應威脅，協助 MSP 提升客戶防禦能力，同時不增加管理負擔。 

Sophos 全球通路、策略聯盟與企業發展資深副總裁 Chris Bell 表示，MSP Elevate 是 Sophos 與 Secureworks 聯手後，首個針對 MSP 推出的業務成長推動計畫。目前協助超過 25 萬家 MSP 客戶抵禦網路攻擊，並持續尋找機會，在合作夥伴與我們共同成長時給予獎勵與投入資源。MSP Elevate 透過提供 MSP 專屬的解決方案存取權限、折扣、回饋金與培訓，協助夥伴長期成長，並為客戶帶來最大價值。

Sophos MSP Elevate 計畫的主要優勢包括：

取得專屬 Sophos MDR 套裝組合：可取得 Sophos MDR Complete 高階服務等級，包含 24/7 全天候事件回應、一年資料保留期、Sophos Network Detection and Response (NDR) 功能，以及所有 Sophos 整合套件，讓防禦人員能全面掌握客戶環境中的各項遙測資料，加速威脅偵測與回應流程。
 
簡化銷售流程：加快部署速度並降低 MSP 的管理負擔。透過全新的 MDR 套裝組合，合作夥伴可為客戶分配單一 SKU，輕鬆因應現有與未來的所有 MDR 需求。
 
優惠的 Network-in-a-Box 硬體套裝組合：可以優惠價格取得 Sophos 進階網路安全解決方案，包括 Sophos Firewall、Switch 與無線存取點。這些產品可協同自動化威脅回應，並透過 Sophos Central 進行集中管理。 
 
依成長表現提供回饋獎勵：致力於與合作夥伴共同成長與投資，此計畫將針對提升 Sophos MSP 月營收的 MSP 夥伴提供獎勵與肯定。
 
提供架構師等級的培訓課程：提供 Sophos 端點與防火牆相關課程，協助 MSP 提升內部服務交付能力。
 
參加限定邀請的 Sophos Summit：獲得專屬的實作訓練與啟用課程、專家問答時段、參加專屬 Sophos 活動，以及與 Sophos 高層面對面交流，以參與產品藍圖與 MSP 策略。 
 
未來新增福利：計畫將持續引進新福利，進一步提升 MSP 的獲利能力、強化客戶防禦力，並提升其作為服務供應商的整體價值。

Sophos 產品長 Raja Patel 表示，MSP Elevate 計畫讓 MSP 能夠迅速部署全方位的 MDR 服務，並藉由整合客戶環境中所有可用的遙測資料來消除防禦盲點。這種可視性能加快威脅偵測與回應速度，同時協助客戶最大化既有技術投資的效益。此外，該服務可隨著技術環境的演進自動調整，為客戶的防禦能力提供不會過時的保障，讓企業在商業與網路安全層面皆能安心無虞。

       本文擷取自資安人

Sophos 發布了《2025 年度威脅報告》，揭示 2024 年中小型企業所面臨的重大安全威脅。根據報告，攻擊者入侵網路的首要途徑是透過防火牆、路由器和 VPN 等網路邊緣設備，這類設備約佔近 30% 的初始入侵案例。

Sophos 首席威脅研究員 Sean Gallagher 表示，過去幾年來，攻擊者積極針對邊緣設備發動攻擊。使問題更加嚴重的是，環境中有越來越多設備已達生命週期終點 (EOL)，Sophos 將這種現象稱為『數位殘餘』。由於這些設備直接暴露在網際網路上，且通常在修補優先順序中排名較後，因此成為滲透網路的有效手段。

報告指出，VPN 是最常見的入侵點，佔所有事件的 25% 以上，並且佔勒索軟體和資料外洩事件的四分之一。

Gallagher 解釋道，攻擊者現在不再需要部署自製惡意軟體，而是會利用企業現有的系統來提升靈活性，並藏身於安全管理人員不易察覺的角落。

Sophos 報告的其他重點發現包括：

勒索軟體仍是最大威脅：勒索軟體佔中型企業事件回應案件的 90% 以上，小型企業則佔 70%。
多因素驗證已經不敷使用：攻擊者會利用中間人攻擊竊取驗證憑證，藉由仿冒驗證流程的釣魚平台繞過多因素驗證。
攻擊者偏好商用遠端存取工具：最常被濫用的合法工具是商用遠端存取工具，佔事件回應與託管式偵測與回應 (MDR) 案件的 34%。
攻擊手法不斷進化：攻擊者開始濫用 QR 碼和語音訊息進行社交工程攻擊，甚至利用電子郵件轟炸，在短短一至兩小時內發送上千封垃圾郵件。