全部文章分享

        本文擷取自資安人

Check Point Software Technologies Ltd.的威脅情報部門Check Point Research最新數據顯示，2025年第二季全球各組織每週遭受網路攻擊的次數平均為1,984次，相較2024年同期增加21%，與兩年前相比更增長58%。

台灣情況格外嚴峻：平均每週遭受4,055次攻擊，位居亞太地區之首，攻擊頻率是全球平均值的兩倍以上。
2025年Q2全球網路攻擊統計分析
教育與研究機構成為最大攻擊目標，每週平均遭受4,388次攻擊，年增率達31%。資安防護資源相對不足，加上學生與教職員身份資料的高利用價值，成為駭客鎖定的主因。

政府與軍事機構以每週平均2,632次攻擊位居第二，年增26%。這些機構因掌握敏感資料與具備潛在地緣政治影響力而成為攻擊目標。通訊業則以每週平均2,612次攻擊緊追在後，年增38%。作為國家關鍵基礎設施，通訊業掌握大量使用者資訊，同樣面臨高度威脅。

非洲成為當季平均遭受最多網路攻擊的地區，每週平均3,365次攻擊，年增14%。亞太地區以每週平均2,874次攻擊位居第二，年增15%。在亞太區域中，台灣的攻擊頻率明顯高於區域平均值。

勒索軟體威脅持續升溫，2025年第二季總計通報達1,600起事件。北美地區佔所有通報案件的53%，歐洲則佔25%，顯示這兩個地區仍是勒索軟體攻擊的主要目標。

台灣威脅情資深度分析（2025年1-7月）
2025年1月至7月初的統計顯示，台灣受攻擊次數最多的產業為硬體供應商，平均每週遭受8,139次攻擊。政府與軍事機構以5,042次攻擊位居第二，製造業則以4,983次攻擊排名第三。

硬體供應商成為首要目標，反映出駭客對供應鏈攻擊的重視，透過攻擊上游廠商來影響更多下游企業。製造業的高攻擊頻率則與台灣作為全球製造重鎮的地位密切相關。


主要威脅類型分析
台灣最猖獗的惡意軟體為Remcos，這是一種功能強大的遠端存取木馬程式。常見威脅還包括另一種遠端存取木馬Agent Tesla，以及竊密軟體Androxgh0st與AZORult。值得注意的是，Androxgh0st同時具備殭屍網路功能，能夠進行大規模協調攻擊。

資訊外洩成為最常見的漏洞利用類型，影響78%的台灣組織。這個比例遠高於全球平均值，顯示台灣企業在資料保護方面仍有改善空間。
 
科技巨頭持續成為冒用對象
科技業仍是2025年第二季釣魚攻擊中最常被冒用的產業。Microsoft、Google和Apple等產業巨頭因其服務廣泛運用於帳號認證及日常工作流程，成為駭客冒用的高風險目標。攻擊者利用使用者對這些品牌的信任，製作高仿真的釣魚頁面來竊取帳號資訊。
 
娛樂與旅遊業成新興目標
Spotify自2019年第四季以來首次重新進入前十名，顯現娛樂服務平台如今也成為資安攻擊的重點對象。這反映出駭客攻擊策略的演進，開始針對使用者日常生活中更常接觸的服務進行攻擊。

零售與旅遊產業如Amazon、Booking.com則因季節性購物與旅遊高峰，被冒用頻率顯著上升。特別值得關注的是，Booking.com被用於網路釣魚域名攻擊的次數與今年初相比劇增1,000%，顯示攻擊者正積極因應使用者行為與季節性趨勢調整攻擊策略。


Check Point資安防護建議
面對網路攻擊規模與影響範圍持續擴大，組織需採取主動策略，而非僅被動回應。以預防為優先的策略結合分層防禦（Layered Defense）和持續可視性，仍然是關鍵防護原則。


技術防護層面
在威脅預防能力方面，組織應導入入侵防禦系統（IPS）、防勒索軟體工具與威脅情資等先進資安技術，建立第一道防線阻擋潛在威脅。同時需要強化端點與網路防護，部署功能完善的防火牆、電子郵件安全機制與端點保護平台（EPP），有效降低整體攻擊面。
 
人員與流程管理
使用者資安意識的提升同樣重要，組織應定期進行資安訓練與釣魚模擬演練，協助員工識別並通報可疑行為。建立完善的備份與復原機制也不可忽視，包括建立更新且分隔的備份資料，並定期測試復原流程，以減少勒索攻擊或其他中斷事件造成的影響。
 
架構與情資整合
導入零信任架構能夠透過持續的使用者權限驗證與網路資源分段，有效降低橫向移動風險。持續掌握威脅情資與警示資訊，有助於組織預先掌握潛在風險，做好防護準備。

Check Point強調，單一解決方案並無法完全隔絕資安風險。然而，藉由多層、協作的防護措施，組織可大幅提升韌性，降低資安攻擊風險與影響。現今的資安防護需要整合技術、人員與流程三個面向，才能建構有效的整體防禦體系。

       本文擷取自資安人

雖然大型語言模型 (LLM) 在 AI 領域引發廣泛討論，但其高昂的成本也讓許多企業望而卻步。Sophos 即將發表的研究指出了一條嶄新的方向，讓資安公司在預算內同樣能發揮 AI 的強大效益：導入小型 AI 模型。

透過間歇性地使用 LLM 來更有效地訓練小型模型，Sophos 成功打造了一系列速度快、效率高，而且可以實際用於商業應用的小型 AI 模型，這些模型在分類惡意網站等任務上，準確度幾乎可媲美 LLM，甚至在某些情境中表現更佳。

此方法的關鍵在於三大技術：知識蒸餾 (Knowledge Distillation)、半監督式學習 (Semi-Supervised Learning) 以及合成資料生成 (Synthetic Data Generation)：

知識蒸餾：透過大型模型將已學會的知識傳授給小型模型，提升其效能，同時避免大規模部署所帶來的龐大負擔。這在標籤雜訊不容忽視、無法完全手動重新標註的情境下，這種方法特別實用。
 
半監督式學習：利用大型模型為未標記資料自動加註標籤，進而擴充訓練小型模型所需的資料集深度。
 
合成資料生成：由大型模型產出新的合成樣本，進一步強化小型模型的訓練與韌性。

        本文擷取自資安人

隨著Amazon Prime Day購物節即將到來，網路犯罪分子正蓄勢待發，準備對購物者發動大規模詐騙攻擊。資安公司Check Point最新研究發現，僅在6月份就記錄到超過1000個與「Amazon」和「Amazon Prime」相似的網域名稱，其中87%被標記為惡意或可疑網站。
詐騙手法多樣化，鎖定購物熱潮
Check Point研究團隊指出，大型線上購物活動總是吸引詐騙集團的目光，他們主要透過兩種方式攻擊消費者：建立仿冒Amazon登入或結帳頁面的釣魚網站，以及發送釣魚電子郵件。

這些假冒網站通常設計用來竊取真實的Amazon用戶資料，可能導致「未經授權的購買、身分盜用或禮品卡濫用」等嚴重後果。

研究人員特別提到，釣魚電子郵件往往利用緊迫感來誘騙收件人，例如聲稱「退款錯誤」或「帳戶問題」需要立即處理。

Check Point Research最近攔截了一項針對Amazon的釣魚攻擊活動，其中一封電子郵件使用「退款待處理 - Amazon系統錯誤」作為主旨，寄件人地址偽裝成Amazon官方，誘騙收件人點擊連結「更新地址」。該連結實際上導向一個偽造的Amazon登入頁面，專門用來竊取使用者的登入憑證。

面對Prime Day期間的網路威脅，Check Point建議消費者採取以下防護措施：


謹慎規劃購物行程：直接造訪Amazon官方網站或應用程式，避免透過第三方連結進入。
提高警覺避免釣魚：不要點擊宣稱來自Amazon的未經請求電子郵件中的連結，特別是那些創造緊迫感的訊息。
驗證網站真實性：仔細檢查URL，只使用具有HTTPS的網站，對於看起來過於優惠的交易保持懷疑。
強化帳戶安全：使用強密碼、啟用雙重驗證，並考慮使用虛擬信用卡或支付應用程式等安全支付選項。
冷靜應對可疑訊息：收到使用經典社交工程技巧催促回應的訊息時，放慢腳步仔細思考。


專家觀點與建議
Check Point軟體技術公司研究與威脅情報部門組長Omer Dembinsky表示：「Prime Day期間的網路威脅都是經過精心計算的大規模攻擊活動，專門設計來利用消費者行為。提高警覺和預防是強大的防禦武器。透過正確的工具和習慣，購物者可以享受優惠而不會上當受騙。」

隨著電子商務持續蓬勃發展，消費者在享受購物便利的同時，也應時刻保持資安意識，避免成為網路犯罪的受害者。建議消費者在重大購物節期間格外謹慎，採取多重防護措施確保個人資訊和財務安全。

本文轉載自infosecurity-magazine。

       本文擷取自資安人

Sophos 宣布擴充 Sophos Managed Risk 服務，推出由 Tenable 技術驅動的內部攻擊面管理 (IASM) 功能。
 
許多組織在資訊安全防護上有嚴重的盲點。根據 Sophos 2025 年勒索軟體現況報告，過去一年中有 40% 受勒索軟體影響的組織表示，他們是因為未察覺的漏洞暴露而成為受害者。Sophos Managed Risk 現已整合內部與外部攻擊面管理，針對這個問題提供解法，能全面揭露內部及外部的弱點，協助防範可能被威脅者利用的風險。 

Sophos 產品管理資深副總裁 Rob Harrison 表示，透過 Sophos Managed Risk，組織能以攻擊者的觀點識別並優先處理風險，防止對手趁虛而入。此解決方案提供統一的內外部暴露點視角，除了依風險等級排序，並附有明確的修復指引。藉此組織能將資源集中於最重要的關鍵處，迅速進行修復。

最新版本的 Sophos Managed Risk 推出無需驗證的內部掃描功能，能從外部攻擊者的角度測試系統，無需使用者憑證或特權存取權限。此功能協助組織識別並緩解高風險的漏洞，例如開放連接埠、暴露的服務及錯誤設定，這些皆可能被攻擊者利用。
 
Sophos Managed Risk 內部攻擊面管理 (IASM) 功能的特色包括： 

全面漏洞管理：定期自動掃描，識別網路內資產的弱點。  
AI 驅動的風險優先排序：智慧地判斷哪些漏洞風險最高且需要立即處理，指引組織優先進行修補和緩解工作。 
領先技術：Sophos 採用 Tenable Nessus 掃描器，可偵測網路內部漏洞並評估其嚴重性。 
Sophos 優勢：不同於將外部攻擊面管理 (EASM) 與內部攻擊面管理 (IASM) 拆分成獨立產品的廠商，Sophos 結合 Tenable 技術，並由 MDR 服務支援的整合式管理服務。

新的內部攻擊面管理 (IASM) 功能可透過 Sophos Managed Risk 使用，該服務是與 Sophos MDR 搭配提供的擴充服務。Sophos Managed Risk 的團隊均通過 Tenable 認證，並與 Sophos MDR 密切合作，會共用有關零時差漏洞、已知漏洞及暴露風險的重要資訊，以評估並調查可能被利用的環境。

Sophos Managed Risk 服務的 IASM 功能即日起開放給所有新舊客戶，且不會改變授權或價格。客戶只要在 Sophos Central 控制台部署 Tenable Nessus 掃描器並排程自動掃描，即可立即享有擴充的防護能力。

      本文擷取自資安人

Sophos 發布第六屆年度《勒索軟體現況》報告。該報告為一項不特定廠商的調查，訪問來自 17 個國家的 IT 與資訊安全領袖，深入探討勒索軟體攻擊對企業的影響。調查結果顯示，近五成的企業選擇支付贖金以取回資料，這是六年來第二高的贖金支付比率。

儘管選擇支付贖金的企業比例偏高，但其中超過半數 (53%) 實際支付的金額低於最初的贖金要求。在這些支付較低金額的案例中，有 71% 是透過談判達成的，無論是由企業自行談判，或是在第三方的協助下完成。事實上，雖然從 2024 年到 2025 年的贖金中位數要求下降了三分之一，但實際支付的贖金中位數則下降了 50%，顯示企業在降低勒索軟體攻擊影響方面的能力有所提升。

整體而言，實際支付的贖金中位數為 100 萬美元，儘管最初的勒索金額會因企業規模與營收而有顯著差異。年營收超過 10 億美元的企業，其贖金要求中位數為 500 萬美元；而營收在 2.5 億美元以下的企業，所面對的贖金要求中位數則低於 35 萬美元。

連續三年來，遭濫用的漏洞仍是最主要的技術性入侵根源。有 40% 遭受勒索攻擊的企業表示，攻擊者利用了他們「未察覺」的安全漏洞，突顯出企業在攻擊面可視性與防護能力上仍需努力。整體來看，有 63% 的企業表示資源不足是導致他們遭到攻擊的原因之一；其中，大型企業 (員工超過 3,000 人) 最常提及的問題是他們缺乏專業人才，而中型企業 (員工數 251 至 500 人) 則普遍指出人力與資源不足為首要營運挑戰。

Sophos 資深現場資訊安全長 (Field CISO) Chester Wisniewski 表示，對許多企業而言，在 2025 年遭遇勒索軟體攻擊幾乎已成為營運過程中的一部分。好消息是，隨著對此威脅的認知日益提升，越來越多企業開始投入資源來減輕損害，包括聘請事件回應專家來協助降低贖金金額、加速復原，甚至在攻擊進行中即加以阻止。當然，若要根本解決勒索軟體威脅，仍須從源頭著手，包括修補被濫用的漏洞、提升對攻擊面的可視性，以及補足人力與資源的缺口。我們觀察到越來越多企業意識到自身需要協助，並開始導入託管式偵測與回應 (MDR) 服務作為防禦主力。MDR 若能搭配多因素驗證、漏洞修補等主動式安全策略，將能有效預防勒索軟體攻擊於未然。

《2025 年勒索軟體現況》報告的其他重點發現：

成功阻止攻擊的企業增加：有 44% 的企業在資料遭加密前即成功阻止勒索軟體攻擊，創下六年來新高。資料遭加密的比例也降至六年新低，僅有一半的企業資料遭到加密。
 
使用備份還原的比例下降：僅有 54% 的企業透過備份還原資料，為六年來最低比例。
 
一線曙光：贖金與復原成本雙雙下降：平均復原成本從 2024 年的 273 萬美元下降至 2025 年的 153 萬美元。儘管贖金金額仍高，但已從 2024 年的 200 萬美元下降 50%，成為 2025 年的 100 萬美元。
 
各產業贖金金額差異大：州政府與地方政府的贖金中位數最高，達 250 萬美元；而醫療保健產業最低，僅為 15 萬美元。
 
企業復原速度加快：有超過半數 (53%) 的企業在一週內完全從勒索軟體攻擊中復原，相較去年 (35%) 大幅提升。僅有 18% 的企業復原時間超過一個月，較 2024 年的 34% 顯著下降。

Sophos 建議企業採取以下最佳實務，以防範勒索軟體與其他網路攻擊：


採取行動，排除常見的技術與營運根本原因，如遭濫用的漏洞等。企業可善用 Sophos Managed Risk 等工具，協助評估自身風險概況並降低暴露面。
確保所有端點 (包括伺服器) 均具備完善防護，部署專門的防勒索軟體防護機制。
建立並測試事件回應計畫，為突發的安全事件做好準備。同時應備妥可靠的備份機制，並定期演練資料還原程序。
企業應具備 24 小時持續監控與威脅偵測能力。若缺乏內部資源，可與值得信賴的託管式偵測與回應 (MDR) 服務供應商合作。

《2025 年勒索軟體現況》的數據來自一項不特定廠商的調查，對象為 3,400 位曾在過去一年內遭受勒索軟體攻擊的企業之 IT 與資訊安全領導者。受訪企業員工人數介於 100 至 5,000 人，橫跨 17 個國家。本次調查於 2025 年 1 月至 3 月間進行，受訪者分享他們在過去 12 個月中面對勒索軟體的經驗。

     本文擷取自資安人

資安研究人員發現一項新的攻擊活動，駭客發布了超過67個聲稱提供Python駭客工具的GitHub程式庫，但實際上散布植入惡意程式的檔案。這個被ReversingLabs命名為「Banana Squad」的活動，被評估為2023年針對Python Package Index套件庫惡意Python活動的延續。當時攻擊者上傳的虛假套件被下載超過75,000次，在Windows系統上竊取資訊。
Banana Squad攻擊活動分析
《SANS網路風暴中心報告（SANS's Internet Storm Center ）》於2024年11月發布，該報告詳細描述了一個託管在GitHub上名為「steam-account-checker」的工具，該工具含有隱蔽功能，能夠下載額外的Python惡意載荷，將惡意程式碼注入Exodus加密貨幣錢包應用程式中，並將敏感資料傳送至外部伺服器「dieserbenni[.]ru」。

攻擊活動針對搜尋特定軟體的用戶，例如帳號清理工具和遊戲作弊程式，包括Discord帳號清理工具、Fortnite外掛程式、TikTok用戶名檢查工具和PayPal批量帳號檢查器等。所有被識別的惡意程式庫已被GitHub下架。

ReversingLabs研究員Robert Simmons表示，在GitHub這類公開程式碼存儲庫中，後門和被植入惡意程式的程式碼越來越普遍，代表軟體供應鏈攻擊管道正在增加。對於依賴這些開源平台的開發人員來說，必須仔細驗證所使用程式庫的內容是否符合預期。

GitHub淪為惡意程式散布平台
「Banana Squad」發展顯示GitHub正越來越頻繁地被用作惡意程式散布管道。

趨勢科技揭露了由駭客「Water Curse」操控的76個惡意GitHub程式庫，這些程式庫被用於傳遞多階段惡意軟體。這些惡意程式旨在竊取憑證、瀏覽器資料和連線權杖，同時為駭客提供對被入侵系統的持續遠端存取能力。

隨後，Check Point揭露了另一個針對Minecraft玩家的Java惡意程式攻擊活動，該活動利用名為「Stargazers Ghost Network」的駭客服務。Stargazers Ghost Network是一個由多個GitHub帳號組成的網路，透過釣魚程式庫傳播惡意程式或惡意連結。

Check Point表示，該網路中的帳號不僅散布惡意連結和惡意程式，還會對惡意程式庫進行標星、複製和訂閱，使這些程式庫看起來合法可信。這些GitHub「幽靈」帳號僅是整體攻擊架構的一部分，其他平台上的「幽靈」帳號也作為更大型「惡意程式分發即服務」生態系統的組成部分。

Stargazers Ghost Network的部分手法於2024年4月被Checkmarx揭露。研究指出，攻擊者使用假星標並頻繁更新程式庫，人為提高這些程式庫的受歡迎度，確保它們在GitHub搜尋結果中置頂。這些程式庫巧妙偽裝成合法專案，通常與熱門遊戲、外掛程式或工具相關，例如加密貨幣價格追蹤器和博彩遊戲乘數預測工具。

針對新手駭客的攻擊浪潮
這些攻擊活動與另一波針對新手駭客的攻擊浪潮不謀而合。後者專門尋找在GitHub上搜尋現成惡意程式和攻擊工具的人，透過後門式程式庫感染他們的系統，植入資訊竊取程式。

在Sophos的一個研究案例中，被植入惡意程式的Sakura-RAT程式庫被發現含有惡意程式碼。當使用者在自己系統上編譯這些惡意軟體時，會遭到資訊竊取工具和其他遠端存取木馬程式入侵。

研究人員發現這些程式庫是四種不同類型後門的傳播管道。這些後門被嵌入在Visual Studio PreBuild事件、Python腳本、螢幕保護程式檔案和JavaScript中，目的是竊取資料、擷取螢幕截圖、透過Telegram進行通訊，以及下載更多惡意程式，包括AsyncRAT、Remcos RAT和Lumma Stealer等。

Sophos表示，在此攻擊活動中至少發現了133個含後門的程式庫，其中111個包含PreBuild後門，其餘則包含Python、螢幕保護程式和JavaScript後門。這些活動很可能與一個自2022年8月起運作的「惡意程式分發即服務」相關，該服務利用數千個GitHub帳號散布嵌入在被特洛伊木馬化的程式庫中的惡意軟體，這些程式庫主題多與遊戲作弊程式、漏洞利用工具和攻擊工具相關。

雖然此攻擊活動的確切散布方式尚不明確，但資安研究人員認為，駭客也利用Discord伺服器和YouTube頻道來散布指向這些被植入惡意程式的程式庫連結。目前尚不清楚此攻擊活動是否與先前報導的部分或全部攻擊活動有直接關聯，但這種手法顯然相當受歡迎且有效，並可能以某種形式持續存在。

與Water Curse組織的關聯
Sophos的資安長Chet Wisniewski表示，此次攻擊活動與「Water Curse」駭客組織有「明顯相似之處」。這些共同特徵包括存儲庫使用極為相似的命名方式、大量使用GitHub帳號、同樣聚焦Electron應用程式、以類似的方式濫用Visual Studio的PreBuild功能，以及引用相同的「ischhfd83」電子郵件地址，用於向GitHub存儲庫提交更新。

Wisniewski補充道，這些攻擊活動是密切相關，還是僅僅屬於使用相同程式碼基礎和攻擊手法的威脅集團，值得進一步調查。

開發人員在使用開源程式庫時，應該採取更嚴格的安全檢查措施，包括詳細檢視程式庫的原始碼、驗證開發者身份、檢查程式庫的下載和星標歷史是否異常，以及使用自動化工具掃描潛在的惡意程式碼。企業組織也應建立完善的軟體供應鏈安全政策，定期審核使用的第三方程式庫。

而開發社群和平台營運商必須共同努力，建立更強大的安全機制來識別和阻止惡意程式庫的散布。同時，開發人員也需要提高警覺，在使用第三方程式庫時採取更謹慎的態度，以保護自身和用戶的安全。

本文轉載自 TheHackerNews。

 
       本文擷取自資安人

隨著網路犯罪集團的不斷演變，資安威脅態勢也在持續變化。近期資安業者ReliaQuest發布的最新研究報告顯示，儘管Black Basta勒索軟體組織在今年二月因內部聊天記錄外洩而遭受重創，但其前成員並未停止犯罪活動，反而轉戰其他勒索軟體集團，持續對全球企業造成威脅。
攻擊手法升級：結合傳統社交工程與新興技術
與Black Basta勒索軟體組織有關聯的前成員被發現仍在使用他們慣用的手法，包括電子郵件轟炸攻擊和Microsoft Teams釣魚，以建立對目標網路的持續性存取。值得關注的是，近期攻擊者在這些技術基礎上開始執行Python腳本，使用cURL請求來獲取和部署惡意程式，顯示威脅行為者正在持續轉型和重組其攻擊策略。

根據ReliaQuest的觀察，在2025年2月至5月期間觀察到的Teams釣魚攻擊中，有一半來自onmicrosoft[.]com域名，而被入侵的域名則佔同期攻擊的42%。後者更為隱蔽，使威脅行為者能在攻擊中冒充合法流量，大幅增加攻擊成功率。

上個月，ReliaQuest的金融保險業和建築業客戶遭到攻擊者利用Teams釣魚手法，攻擊者冒充技術支援人員對使用者進行詐騙，凸顯了此類攻擊手法的實際威脅性。

儘管Black Basta的資料外洩網站已關閉，但其攻擊手法仍被持續使用，這表明前成員可能已轉移至其他勒索即服務集團或組建新集團。根據外洩的聊天記錄顯示，最可能的情況是這些前成員已加入CACTUS RaaS集團，證據來自Black Basta領導人Trump提到向CACTUS支付了50-60萬美元。

值得注意的是，CACTUS自2025年3月以來尚未在其資料外洩網站上公布任何組織名稱，這表明該組織可能已解散或刻意保持低調。另一種可能是這些成員已轉移至BlackLock勒索軟體組織，據信BlackLock已開始與名為DragonForce的勒索軟體集團合作。

攻擊手法的傳承與擴散
研究人員發現，攻擊者利用Teams釣魚技術獲得存取權限後，建立遠端桌面連線，如：Quick Assist和AnyDesk，隨後從遠端伺服器下載並執行惡意Python腳本，以建立命令與控制（C2）通訊。此次攻擊中使用的Python腳本顯示了攻擊戰術的持續演變，預期此類手法將在未來的Teams釣魚活動中更頻繁出現。

值得關注的是，Black Basta式的社交工程策略，結合電子郵件轟炸、Teams釣魚和Quick Assist等工具，已被BlackSuit勒索軟體組織採用，這顯示BlackSuit可能已採納相關攻擊手法，或直接吸收了Black Basta的成員。

惡意程式技術演進


Java RAT的雲端化趨勢：
根據資安業者Rapid7的分析，這種初始存取手法是攻擊者下載並執行升級版Java遠端存取木馬(RAT)的途徑，該木馬先前在Black Basta攻擊中被用作憑證竊取工具。這款Java惡意程式如今濫用Google和Microsoft提供的雲端檔案託管服務，透過這些雲服務供應商(CSP)的伺服器來轉發指令。

隨著時間推移，惡意程式開發者已從直接代理連線演變為使用OneDrive和Google試算表，最近則進一步簡化為僅使用Google Drive，顯示攻擊者在持續優化其技術手段。
 
新增功能威脅分析：
惡意程式的最新版本加入了多項新功能，包括在被感染電腦與遠端伺服器之間進行檔案傳輸、建立SOCKS5代理通道、竊取瀏覽器中儲存的帳密資訊、顯示假冒的Windows登入畫面，以及從特定網址下載Java類別並直接在記憶體中執行。

與Sophos不久前分析的凌晨3點勒索軟體攻擊手法相似，這些駭客行為也運用了與BlackSuit集團有關後門工具QDoor 、疑似用於SSH連線的Rust客製化載入程式，以及名為Anubis的Python遠控木馬。


勒索軟體生態系統的重大發展


Scattered Spider的MSP攻擊策略
Scattered Spider駭客組織已鎖定各大資訊委外服務供應商(MSP)及IT廠商，採取「一次入侵，多重滲透」的策略，透過單一突破口滲透多個組織。某些案例中，攻擊者甚至利用被入侵的塔塔諮詢服務公司(TCS)帳號進行初始存取。

該組織使用Evilginx釣魚工具包建立假冒登入頁面，繞過多因素驗證(MFA)，並與ALPHV(又稱BlackCat)、RansomHub和最近的DragonForce等主要勒索軟體營運商結盟，利用SimpleHelp遠端桌面軟體的漏洞對MSP發動精密攻擊。
 
Qilin的協同入侵活動
Qilin（又稱Agenda及Phantom Mantis）勒索軟體營運商於2025年5月至6月間發起針對多個組織的協同入侵活動，利用Fortinet FortiGate的漏洞（如CVE-2024-21762和CVE-2024-55591）作為初始入侵點，顯示攻擊者對已知漏洞的快速利用能力。
 
Play勒索軟體的大規模攻擊
Play（也被稱為Balloonfly和PlayCrypt）勒索軟體集團自2022年中開始活動以來，截至2025年5月，估計已成功攻擊超過900個組織。部分攻擊手法包括利用SimpleHelp的安全漏洞（CVE-2024-57727），在該漏洞公開後，迅速針對多家美國企業發起攻擊行動。
 
VanHelsing的內部分裂
VanHelsing勒索軟體集團的管理員因內部開發團隊與領導階層的嚴重衝突，已在駭客論壇RAMP上公開整套原始碼。PRODAFT安全團隊指出，這次外洩包含敏感資料如TOR密鑰、勒索程式源碼、後台管理系統、通訊平台、檔案主機，甚至完整網站和資料庫都被公開。
 
Interlock的地區性攻擊
Interlock勒索軟體組織今年第一季專門攻擊英國的地方政府與大專院校，透過社交工程散布新型JavaScript遠端控制木馬NodeSnake。這款透過釣魚郵件傳送的惡意程式能夠長期潛伏於系統中，並具備情報收集與遠端命令執行等進階功能。


RAT威脅的嚴重性
根據報告，遠端遙控木馬(RAT)能讓駭客從遠端完全掌控受感染系統，不僅可檢視檔案內容、監視使用者活動，還能變更系統設定。惡意攻擊者透過RAT可在企業網路中潛伏長期，並植入其他惡意工具或後門程式。更嚴重的是，他們能任意讀取、篡改、刪除或外洩組織重要資料。

面對這些不斷演進的威脅，企業組織應該加強以下防護措施：強化員工資安意識訓練、建立完善的多因素驗證機制、定期更新系統漏洞修補、監控異常網路活動，以及建立完整的事件應變計畫。

隨著勒索軟體集團的持續演變和重組，資安威脅態勢將持續變化，企業必須保持警覺並採取積極的防護措施，以應對這些不斷升級的網路安全挑戰。

本文轉載自TheHackerNews。

           本文擷取自資安人

資安廠商SecurityScorecard最新研究報告揭露，中國相關威脅行為者正運用一個名為「LapDogs」的大規模殭屍網路，透過ORBs（Operational Relay Boxes, ORBs）對美國和亞洲地區發動精密的網路間諜攻擊。這個威脅網路已成功入侵超過1,000台小型辦公室與家用辦公室（SOHO）設備，包括路由器和物聯網終端設備。

與傳統殭屍網路不同，ORB網路通常會與虛擬私人伺服器結合，創建混淆和合理否認的網路架構。這些網路重新利用日常設備如路由器、IP攝影機和舊式智慧科技設備來穿透網路、收集資料或轉接流量，而不會觸發安全警報。
ShortLeash後門程式：偽裝高手
攻擊活動的核心是「ShortLeash」的客製化後門程式，能夠在受感染設備上維持持續存取權限，並將其連接到ORB網路中。ShortLeash會建立偽造的Nginx網路伺服器，並生成偽裝成洛杉磯警察局（LAPD）簽發的自簽TLS憑證，企圖誤導調查人員的追蹤方向。

SecurityScorecard的STRIKE團隊透過這個憑證特徵，成功追蹤全球超過1,000個受感染節點。研究人員發現，攻擊活動採用批次發動的模式，憑證會在短時間內大量生成。在某些日子裡，只有單一國家成為攻擊目標；而在其他時候，多個地區會同時遭受攻擊，但所有受感染的節點都使用相同的連接埠號碼。

根據SecurityScorecard的分析，這個從2023年9月開始的攻擊活動，已逐步擴增設備和受害者數量。攻擊主要鎖定美國、日本、南韓、香港和台灣地區的目標，受害者多集中在房地產、資訊科技、網路通訊和媒體等行業。

研究人員成功識別出162個不同的入侵事件集，突顯了這次攻擊活動背後精心的作業規劃。在某些案例中，設備會在兩個IP位址間共享相同憑證，這可能表示存在多個介面或單一設備被用於多種用途。

受害者可能擁有受損的SOHO設備、透過這些設備成為威脅組織網路間諜活動的目標，或者其本地網路透過受損的SOHO設備遭到入侵，在這種情況下設備被用作初始存取向量。
SOHO設備成攻擊首選目標
LapDogs主要鎖定運行過時或未修補韌體的舊式路由器和設備。根據報告分析，約55%的受損硬體來自Ruckus Wireless設備，Buffalo AirStation路由器也是常見目標，特別是在日本地區。

這些設備的共同特徵是使用輕量級網路伺服器如mini_httpd和嵌入式管理工具，這些工具通常以預設設定出貨。部分設備仍在運行2000年代初期的軟體，其他設備則暴露了OpenSSH或DropBear SSH服務。這些設備經常在安全稽核和修補週期中被忽略，使其成為容易攻擊的目標。
ORB網路：中國威脅行為者新戰術
ORB網路已成為中國威脅行為者日益普及的戰術，包括惡名昭彰的Volt Typhoon等組織都在使用這種技術來隱藏指令與控制通訊、規避偵測並複雜化歸因分析。今年2月，Check Point揭露了一個類似網路，專門針對全球「敏感」領域的製造業供應商。一個月後，Sygnia發現了另一個歸因於中國相關Weaver Ant組織的類似網路，專門攻擊電信服務提供商。

SecurityScorecard指出，與LapDogs類似的另一個ORB網路「PolarEdge」共享部分相同的基礎設施，但在戰術技術和憑證管理方面有所不同。

相關文章：PolarEdge 殭屍網路鎖定台灣：華碩、QNAP 和 Synology 設備面臨嚴重威脅

報告中的鑑識證據，包括啟動腳本中的中文開發者註解、工具、技術和程序，以及受害者特徵，都支持這次攻擊活動可歸因於中國相關的進階持續性威脅組織和類似ORB。思科Talos先前曾識別出一個名為UAT-5918的組織，可能在攻擊台灣關鍵基礎設施時使用了LapDogs基礎設施，但目前尚不清楚UAT-5918是經營LapDogs還是單純使用它。

防護建議與應對策略
SecurityScorecard首席威脅情報官Ryan Sherstobitoff表示，房地產和媒體等行業的資安長應該採取更積極的立場，因為這些行業通常依賴大量第三方管理的邊緣設備，可能產生隱藏的風險。

他建議設備應該配備安全預設值、內建遙測功能和可修補性，像Ruckus和Buffalo AirStation這類在此次攻擊中反覆被入侵的舊式路由器需要逐步淘汰。在採購和供應商管理實務方面，資安長應要求供應商定期掃描過時服務如mini_httpd或DropBearSSH，並支援集中監控。網路分割政策應明確將SOHO級設備與核心系統分離。

考量到LapDogs的隱蔽特性及其對通常不在終端偵測與回應系統覆蓋範圍內的SOHO設備的鎖定，Sherstobitoff建議資安長應要求託管安全服務提供商和安全營運中心實施被動TLS憑證檢查和JARM指紋匹配，特別標記偽裝成LAPD等實體的獨特自簽憑證和匹配JARM。

網路流量和DNS遙測資料也應該接受檢視，以偵測向northumbra[.]com等指令控制網域的異常對外流量，而42532或其他不常見的高連接埠在嵌入式或非託管設備上出現時應觸發警報。安全營運中心應建立邊緣設備行為基線，並主動搜尋偽造的Nginx橫幅或意外的網路服務，這些可能表示ShortLeash植入程式的存在。

Sherstobitoff強調，「LapDogs反映了網路威脅行為者在利用分散式、低可見度設備獲得持續存取權限方面的戰略轉變。這些不是機會主義的快速攻擊，而是經過深思熟慮、地理定向的攻擊活動，削弱了傳統威脅指標的價值。」

          本文擷取自資安人

Check Point Software Technologies Ltd. 近期公布《2025 年雲端安全報告》，針對全球超過 900 名資安長（CISO）和 IT 負責人進行調查並揭示當前系統弱點，包括警報疲勞、工具分散化，以及組織普遍無法偵測橫向移動或防禦 AI 驅動的攻擊，致使企業暴露於危險之中。報告中亦提出一系列可行策略，以消弭雲端創新與網路韌性之間的落差。
 
隨著混合雲、多雲和邊緣架構不斷擴展，許多組織仰賴的安全模式已難以因應現況。報告中指出，65% 的企業在過去一年內曾遭遇雲端安全事件，高於前一年的 61%。令人意外的是，僅有 9% 在第一時間察覺安全事件，更僅有 6% 即時進行補救，使入侵者得以潛伏在雲端環境中未被發現。
 
Check Point Software 雲端安全副總裁 Paul Barbosa 表示，安全團隊正追尋一個不斷變動的目標，隨著雲端環境日益複雜，AI 驅動的威脅亦持續演進，組織已無法再仰賴分散式工具與傳統作法。是時候轉向統一、智慧且自動化的防禦機制，以應對當今去中心化世界的現實挑戰。
 
《2025 年雲端安全報告》的要點包括：

雲端的採用速度超前安全準備程度：62% 的組織已採用雲端邊緣技術，57% 使用混合雲，51% 則運行於多雲環境。傳統以邊界為核心的防禦方式已無法因應這些分散式基礎設施的發展步伐。
 
偵測和修補速度過慢：僅有 9% 的組織在第一時間察覺安全事件，而 62% 的組織需要超過 24 小時才能修補漏洞，這讓攻擊者有充份時間擴大入侵範圍。
 
工具泛濫導致警報疲勞：71% 受訪者仰賴超過 10 種不同的雲端安全工具，甚至有 16% 的受訪者使用多達 50 種以上。超過五成的受訪者每天要面對近 500 個警報，這不但影響回應時間，也使分析人員不堪負荷。
 
應用安全仍落後：61% 的組織仍仰賴過時的、基於特徵比對的網路應用防火牆（WAF），然而這類防護在對抗日益複雜且由 AI 強化的威脅時，效果越來越有限。
 
AI 是優先重點，但防禦者尚未做好準備：儘管 68% 的受訪者將 AI 列為網路防禦的重中之重，僅有 25% 自認已準備好應對 AI 驅動的攻擊，凸顯出關鍵能力的差距。
 
橫向移動仍是盲點：僅有 17% 的組織能全面掌握東西向雲端流量。攻擊者一旦突破邊界，便能在雲端環境中移動而不被察覺。
 
偵測多靠人力，而非工具：僅有 35% 的雲端事件是透過安全監控平台發現，多數則由員工、審計或外部報告識別出來，顯示即時威脅偵測方面有嚴重漏洞。
 
內部挑戰阻礙安全進展：54% 的組織認為技術變革的速度是主要障礙，49% 則面臨資安專才短缺的問題。工具分散化與平台整合度低（40%）則進一步延長回應速度、擴大安全盲點。 

為了彌補這些差距，Check Point 建議採用去中心化、以預防為優先的雲端安全策略。報告中建議組織整合工具組，運用以 AI 驅動的威脅偵測並部署即時遙測技術，以實現跨邊緣、混合和多雲環境的全面可視性。透過利用 Check Point CloudGuard 和 Check Point Infinity Platform，組織可統一其雲端防禦體系，實現事件回應自動化，並確保在不同平台與服務供應商間的安全策略保持一致。
 
Check Point Software 全球資安長 Deryck Mitchelson 在《2025 年雲端安全報告》中提出建議，他強調，雲端轉型的速度正加速超越防禦能力。攻擊者的行動只要幾分鐘，防禦者卻需時數天才能回應，偵測和修補之間的時間差已形成危險區。資安長必須將分散化工具整合到統一平台中，提升橫向移動的可視性，並推動其團隊與技術做好充足準備、迎戰以 AI 驅動的威脅，否則可能將雲端控制權拱手讓給越來越難防範的攻擊者。

        本文擷取自資安人

網路安全研究人員揭露兩項由中國支持的大規模網路攻擊行動，分別為「ShadowPad」和「PurpleHaze」，這些行動從去年7月開始持續8個月，成功入侵全球超過70個高價值目標組織，其中包括知名AI驅動資安廠商SentinelOne。這些相互關聯的攻擊行動突顯了中國駭客組織對全球資安產業的多層次威脅。
雙重攻擊鎖定SentinelOne
根據SentinelOne旗下威脅研究部門SentineLabs今日發布的調查報告，該公司遭受兩次不同性質的攻擊：


第一波攻擊（2024年10月）：屬於PurpleHaze活動群組的一部分，攻擊者針對SentinelOne可透過網際網路存取的伺服器進行「大規模遠端偵察」活動。
 
第二波攻擊（2025年初）：屬於更大規模的ShadowPad行動，與ShadowPad後門惡意軟體相關，駭客鎖定負責管理SentinelOne員工硬體物流的第三方組織，企圖透過供應鏈方式滲透目標。

SentinelLabs研究人員表示：「我們立即通知了IT服務和物流組織相關入侵細節。經過對SentinelOne基礎設施、軟體和硬體資產的全面調查，未發現任何遭入侵的證據。」

調查顯示，這些攻擊活動的幕後黑手為兩個知名的中國支持威脅行為者：


APT15組織（又稱Flea、Nickel、Vixen Panda、KE3CHANG、Royal APT、Playful Dragon）：該組織活躍超過20年，近年來重新活躍，主要攻擊目標包括華裔族群和南北美洲的外交部門。
 
UNC5174組織：被Mandiant識別的承包商組織，可能代表中國政府執行任務，主要鎖定美國、英國和加拿大等西方國家。

在去年7月至今年3月期間，研究人員追蹤到這兩個中國威脅行為者對各種目標發動的大量入侵活動。受害者範圍極為廣泛，包括南亞政府和歐洲的媒體機構，以及分布在製造業、金融業、電信業和研究機構等多個產業領域的超過70個組織。

這些攻擊目標的選擇顯示明確的戰略意圖，政府機構可能是為了獲取政策情報和外交資訊，而媒體組織則可能涉及資訊戰和輿論影響，而各產業部門的攻擊則反映出對商業機密和技術情報的竊取。攻擊者展現出對不同領域目標的深度了解和精準定位能力。

攻擊技術與工具分析
在ShadowPad行動中，攻擊者主要使用ShadowPad後門惡意軟體進行網路間諜活動，目標涵蓋製造、政府、金融、電信和研究等多個領域。值得注意的是，此次攻擊與先前的NailoaLocker勒索軟體攻擊存在關聯性，顯示攻擊者具備多重攻擊能力。

PurpleHaze攻擊手法則更加複雜，攻擊者利用GOREshell惡意軟體叢集中的後門程式作為主要工具。在針對歐洲媒體組織的攻擊中，駭客成功利用兩個Ivanti雲端漏洞（CVE-2024-8963和CVE-2024-8190），更令人擊的是，攻擊者在這些漏洞公開披露前幾天就已開始利用，充分展現其高度的技術能力和情報收集水準。

攻擊者還部署了多項進階攻擊技術，包括ORB（Operational Relay Box）網路基礎設施來建立隱密的指揮控制管道，使用reverse_ssh後門變種進行持續存取，並巧妙利用The Hacker's Choice（THC）資安研究社群的公開工具來降低被偵測的風險。

資安廠商成為重點目標
SentinelOne強調，此次攻擊揭露了威脅環境中一個未受到足夠關注的面向：網路安全廠商正成為駭客的重點攻擊目標。

研究人員指出：「網路安全公司因其保護角色、對客戶環境的深度可見性，以及干擾對手行動的能力，成為威脅行為者的高價值目標。」

Ontinue公司安全營運副總裁Craig Jones評論道：「SentinelOne現在看到的是典型的中國關聯活動，這與我在Sophos領導防禦活動期間追蹤到的Pacific Rim攻擊完全吻合。當時我們看到相同的攻擊手法：高度針對性的行動、邊緣設備上的隱密植入程式，以及對高價值基礎設施長期存取的不懈追求。」

面對持續不斷的中國駭客威脅，SentinelOne呼籲資安產業加強透明度和情報分享，關鍵建議包括：


打破污名化思維：鼓勵網路安全公司主動分享遭攻擊資訊，促進「協調行動勝過聲譽傷害的恐懼」
強化監控能力：組織必須保持警覺，實施強化監控和快速回應能力
情報共享機制：建立更完善的威脅情報分享平台，提升整體防禦能力
供應鏈安全：特別關注第三方服務提供商的安全性


長期威脅趨勢分析
這起大規模攻擊行動反映出幾個重要趨勢。首先，國家級威脅持續升級，中國支持的駭客組織展現出越來越成熟的攻擊技術和持續性，其行動規模和複雜度都達到新的層次。同時，資安產業正成為新的戰場，網路安全廠商不再只是防護者的角色，也成為被重點攻擊的目標，這種角色轉換對整個產業生態構成深遠影響。

此外，供應鏈攻擊策略已成為主要手法，攻擊者透過第三方服務提供商進行橫向攻擊，利用信任關係來突破傳統防線。最令人擔憂的是，攻擊者展現出搶先利用零日漏洞的能力，能在漏洞公開披露前就開始利用，這不僅顯示其強大的技術能力，更暴露出威脅情報收集和漏洞研究的高度成熟性。

面對日益複雜的國家級威脅，資安專家建議：


實施零信任架構：假設任何網路連線都可能遭到入侵
加強端點檢測：部署進階端點檢測和回應（EDR）解決方案
定期威脅狩獵：主動搜尋網路中的威脅指標
建立事件回應計畫：制定完善的資安事件處理流程
第三方風險評估：定期評估供應鏈合作夥伴的安全狀況

SentinelLabs表示：「透過公開分享我們調查的詳細資訊，我們希望能深入了解很少被討論的網路安全廠商目標攻擊問題，協助消除分享這些攻擊活動危害指標的污名，進而加深對中國關聯威脅行為者的戰術、目標和行動模式的理解。」

      本文擷取自資安人

勒索軟體集團 DragonForce 的正是近期針對英國瑪莎百貨 (Marks & Spencer) 及其他美英零售商發動攻擊的幕後主使。 

除了 DragonForce 對包括 RansomHub 在內的競爭對手發動攻擊，以試圖鞏固其地位外，Sophos Managed Detection and Response (MDR) 團隊在近期的調查中也揭露了有關該集團行動方式的更多細節。 

在 Sophos MDR 團隊調查的某起事件中，DragonForce 鎖定了一家 MSP (託管服務供應商)，強行安裝一個針對合法的 SimpleHelp 遠端監控與管理 (RMM) 工具而設計的惡意檔案。當攻擊者成功取得該 MSP 的 SimpleHelp 帳號後，便能發動所謂的「MSP 供應鏈攻擊」，在多個客戶環境中橫向移動並蒐集資訊。 

遠端存取依然是企業資安的弱點，這也使得針對 RMM 工具的攻擊手法成為勒索軟體集團越來越常見的戰術之一。根據《2025 年 Sophos 威脅報告》，合法的商用遠端存取工具已成為最頻繁被濫用的工具類型。

       本文擷取自資安人

Sophos X-Ops 最新研究揭露，多個勒索軟體集團正在進行一項持續性的攻擊行動。攻擊者採用「電子郵件轟炸」，如在短短一小時內寄出數千封電子郵件 與「語音詐騙」 相結合的手法，企圖滲透企業網路並竊取資料。在這起攻擊行動中，攻擊者偽裝成 Microsoft Teams 的技術支援人員，誘騙員工提供電腦的遠端存取權限；一旦取得存取權，攻擊者便可下載並植入勒索軟體。

Sophos X-Ops 最初於今年一月揭露這起攻擊行動，當時已有 15 間公司受害。自此之後，根據 Sophos MDR 與事件回應 (IR) 的案件資料，Sophos X-Ops 已識別出超過 55 起其他的攻擊嘗試。然而，另一個勒索軟體集團 3AM 也採用了類似的攻擊鏈，不過卻在多個關鍵環節調整手法以提高攻擊成功率：  

在受害電腦上部署虛擬機器，藉此躲避端點防護軟體的偵測 
 
根據對目標的深入偵察調整攻擊手法：掌握特定員工的電子郵件地址與電話號碼，並透過網路語音電話假裝電話是來自企業內部的客服專線  
 
在發動勒索攻擊前潛伏並進行長達 9 天的偵察 

Sophos 首席威脅研究員 Sean Gallagher 表示，語音詐騙 (vishing) 與電子郵件轟炸的組合，依然是勒索軟體攻擊者極具威力且有效的手法，而 3AM 勒索軟體集團如今也找到了方法，透過遠端加密來規避傳統安全軟體的偵測。由於這些社交工程手法已被證實有效，我們預期這兩種語音詐騙/電子郵件轟炸攻擊活動仍將持續活躍。

為了維護安全，企業首先應該提升員工的資安意識，並嚴格限制遠端存取的行為。其中包括制定政策，禁止員工在不應安裝此類軟體的電腦上執行虛擬機器或遠端存取工具。此外，也應封鎖所有與遠端控制相關的進出站網路流量，僅允許經授權的遠端存取系統連線。