全部文章分享

             本文擷取自資安人

根據Zivver發布最新的電子郵件安全調查報告顯示，電子郵件安全面臨著嚴峻的挑戰。這份調查訪問美國、英國、荷蘭、法國、德國和比利時等國家的400名IT決策者和2,000名員工，高達93%的員工認為電子郵件對其日常工作「重要」或「非常重要」，其中絕大多數認為是「非常重要」。這凸顯了電子郵件作為現代企業通訊骨幹的關鍵地位。然而，這個不可或缺的工具可能同時也是組織最大的安全弱點。

調查發現，IT領導者在電子郵件安全投資上存在明顯的失衡。近半數的IT領導者將釣魚等入站(inbound emails) 威脅列為首要關注，但僅有不到四成將防止人為錯誤和數據外洩列為投資重點。更值得注意的是，超過三分之二的IT領導者承認出站(outbound emails)安全威脅未獲得應有的重視，且員工的無心之失造成的數據外洩，實際上比惡意社交工程攻擊導致更大的損失。

在出站安全事故方面，調查顯示最常見的問題包括發送錯誤附件、寄錯收件者，以及CC或BCC欄位使用錯誤。這些錯誤往往發生在員工時間緊迫、壓力大或被大量郵件壓得喘不過氣的時候。這反映出現代工作環境中，員工面臨的壓力可能直接影響到資訊安全。

在政策執行與培訓方面，情況同樣不容樂觀。雖然接近四分之三的員工表示了解公司的電子郵件安全政策，但僅約一半的人確實遵守。培訓效果也不盡理想，超過三分之一的大型組織員工認為現有培訓無效或對培訓方式不滿意。調查顯示，員工更偏好實際情境培訓和互動式工作坊，而非傳統的例行公事式培訓。
三大關鍵建議方向
首先，企業應該投資先進的電子郵件安全解決方案。具體來說，實施AI驅動的安全平台，能夠自動識別和防範複雜的釣魚攻擊、魚叉式釣魚，以及零時差威脅。同時，部署即時錯誤預防工具，在郵件發送前就能識別潛在的錯誤，如地址錯誤或附件不當，從源頭預防數據外洩。

其次，加強認證和加密機制至關重要。企業需要升級到如DMARC和DANE等進階安全標準，確保郵件能安全地傳送到正確的伺服器。同時實施零信任加密策略，讓員工能輕鬆地對敏感郵件進行加密，防止資料被截獲或未經授權訪問，確保即使是供應商也無法接觸到敏感信息。

DMARC是一種電子郵件驗證協議，它能幫助組織保護其網域免受未經授權的使用，特別是防止電子郵件詐騙和網域偽冒。而DANE則是一種基於DNS的實體認證機制，通過確保郵件被傳送到正確的伺服器來提升傳輸安全性。

第三，建立全面的數據洩露防護體系。這包括實施自動化的敏感資料分類系統，持續監控出站郵件是否存在潛在的數據外洩風險，必要時可以隔離或阻止有風險的通訊。同時，需要清晰定義並嚴格執行電郵安全政策，確保員工充分理解合規的重要性和處理敏感信息的程序。

值得注意的是，超過三分之二的IT領導者認為，安全供應商的創新速度趕不上新興風險的發展，這為市場留下了重要的發展空間。隨著各種法規如NIS2、GDPR、CCPA等的實施，以及行業特定規範如HIPAA的要求，企業必須重新審視其電子郵件安全策略。

展望未來，企業需要採取更全面的安全方案，將自動化工具、智慧控制和完善的監管機制相結合，確保電子郵件在保持其重要通訊功能的同時，不會成為企業安全的致命弱點。

      本文擷取自資安人

Sophos 宣布其 Sophos Managed Detection and Response (MDR) 服務已達成重要里程碑，目前全球保護超過 26,000 家組織，且 2024 年客戶數量成長高達 37%。這項成就突顯了市場對 Sophos 主動且由專家引領的安全解決方案需求日益成長，該解決方案能協助所有規模的組織全天候防禦日益複雜的網路威脅，包括最先進的勒索軟體攻擊、商業電子郵件詐騙 (BEC) 和網路釣魚攻擊。

Sophos MDR 提供一套全面的功能，不僅具有標準的威脅遏制，還涵蓋全方位的事件回應服務，包括根本原因分析、移除攻擊者使用的惡意工具或檔案，以及在客戶環境中進行深入調查，以確保完全驅逐攻擊者並防止再次攻擊。Sophos 的另一個顯著優點在於，這些事件回應服務皆包含於 Sophos MDR 中且無使用次數限制，客戶無需支付額外費用，事件回應工時也沒有上限。此外，Sophos MDR Complete 還提供一項高達 100 萬美元的資料外洩保障，可用於涵蓋事件回應相關費用。Sophos 還為客戶提供與 MDR 分析師合作的彈性選項，包括允許客戶預先授權分析師遏阻作用中的威脅。
Sophos 對 MDR 的投資與全新功能
Sophos 在其 MDR 服務上進行了大量投資，包括強化分析師陣容、引入 AI 輔助工作流程、新增功能以及擴展整合等，以便透過改進的威脅防護、偵測和調查，提供最佳的安全效果。Sophos 新增了以下全新功能：


價值證明：
全新的 Sophos MDR 服務見解，說明 MDR 團隊的行動，包括摘要出投入於威脅捕獵及建立與調整偵測功能的人力時數。非常有價值的儀表板強化功能，包括 Sophos MDR 團隊主動威脅捕獵中揭露的 MITRE ATT&CK 策略細節、MDR 分析師監控的範圍、案例調查摘要，以及一個帳戶健康檢查狀態。
 
針對 Microsoft 客戶的強化安全性：
全新 Sophos 專屬偵測功能適用於 Microsoft Office 365，能識別包括商業電子郵件詐騙和中間人帳戶接管攻擊等威脅，且不受限於客戶的 Microsoft 授權等級。
 
擴展與第三方的相容性：
擴大的即時整合生態系統，涵蓋與第https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11552三方網路安全和 IT 工具的整合，且新增「備份與復原」整合類別。
 
主動漏洞緩解：
Sophos Managed Risk 搭載 Tenable 技術，為 Sophos MDR 客戶提供全新的託管式服務選項，進行受攻擊面漏洞管理。
 
效率與自動化：
Sophos MDR 新增了以 AI 驅動的工作流程，簡化營運流程並提升安全效果。此創新透過更高效的優先排序降低了平均回應時間 (MTTR)，同時確保能快速調查所有真正的威脅。這讓分析師能專注於其他任務，例如威脅捕獵、帳戶健康監控以及偵測工程。

Sophos 產品管理資深副總裁 Rob Harrison 表示，攻擊者不斷改進攻擊策略，以避開傳統的安全防禦機制，我們的客戶依賴 Sophos MDR 來全天候協助它們應對當前的威脅，以及提供全方位的事件回應服務。Sophos MDR 不僅能移除作用中的攻擊者，還能進行根本原因分析，找出導致事件發生的潛在問題。我們持續透過全新的功能與整合來進化解決方案，就如攻擊者不斷改進其策略一樣，以確保客戶能在威脅升級為破壞性攻擊之前成功阻止它們。

更佳的整合：Sophos MDR 的整合功能 
Sophos 大幅投資第三方整合功能，讓 MDR 客戶能從更廣泛的工具和產品中接收並分析事件與警示，同時擴展針對 Microsoft 環境中可疑行為所識別的專屬偵測功能。這些整合包括：


全新備份與復原整合套件，包含與 Acronis、Rubrik 和 Veeam 的整合，以強化對勒索軟體的防禦能力。
 
Microsoft Office 365 管理活動整合，支援在 Microsoft 生態系統中接收稽核日誌與安全警示。目前已有超過 9,000 位客戶在 Sophos MDR 解決方案中使用此整合功能。


Sophos MDR 對當前威脅的分析
在過去 12 個月內，Sophos 分析了以下 MDR 案例並與客戶分享了調查結果：


2024 年 12 月，Sophos 發布了《內部威脅：Sophos 主動攻擊者報告》，深入剖析了攻擊者在 2024 年上半年使用的行為變化與攻擊技術。該數據來自近 200 起事件回應 (IR) 和 MDR 案例，顯示攻擊者正尋找利用受信任應用程式或「藉助現有二進位檔案」(LOLbins) 隱身的方法。Sophos 發現濫用這些應用程式的情況增加了 51%。
 
Sophos X-Ops 公布資訊，指出 Akira 勒索軟體案例在其 MDR 和事件回應 (IR) 客戶中呈現上升趨勢。自 2024 年 11 月以來，Sophos 已處理了 8 起相關案例，這些案例來自 Akira 在過去六個月內披露的 127 位受害者。
 
2024 年 6 月，Sophos MDR 公布了一項持續近兩年的網路間諜活動的詳細資料，該活動針對東南亞某高層政府機構。Sophos 將此行動命名為「紅宮行動 (Crimson Palace)」，其中涉及三個相互交疊的威脅活動集團，而這些活動與幾個知名的中國國家級攻擊團體有關。

      本文擷取自資安人

來自 Sophos MDR 的遙測數據顯示，營運 PaaS 平台 Rockstar2FA 的集團的基礎架構已有部分停擺，其中一些頁面已無法瀏覽。

這個狀況似乎並非因外部力量 (如執法機構) 干預，而是由於服務後端的某些技術故障所致。不久後，一個名為「FlowerStorm」的新平台出現，模仿了 Rockstar 的工具、策略和程序 (TTPs)。研究還發現：

透過 Rockstar2FA，潛在的網路犯罪分子可透過 Telegram 購買並管理網路釣魚活動，並獲得一個專屬的網路釣魚頁面和 URL 供其活動使用。
 
瀏覽該 URL 的使用者會被引導至一個假的 Microsoft 登入頁面。該頁面會攔截憑證和多因素驗證 (MFA) 代碼，並透過 HTTP POST 訊息將這些資訊傳送到由攻擊者控制的「後端伺服器」頁面。
 
大多數網路釣魚頁面註冊於 .com、.de、.ru 和 .moscow 等頂級網域名稱下。

     本文擷取自資安人

國際刑警組織呼籲停止使用「殺豬盤」（pig butchering）一詞，建議改以「戀愛詐騙」（romance baiting）來描述這類藉由虛假戀愛關係，誘使受害者投資假加密貨幣計畫的網路詐欺。該組織強調，「殺豬盤」這個用語不僅貶低受害者尊嚴，更使許多人因感到羞恥而不願尋求協助或報案。

此類加密貨幣詐騙手法起源於2016年的中國，「殺豬盤」一詞形象地描述了詐騙集團如何耐心「養肥」受害者，讓其逐步投入更多資金，最後再如宰殺豬隻般騙取全部財產。

近年來，這類詐騙已在全球蔓延。詐騙者透過社群媒體和交友軟體接觸目標，耐心建立信任關係，再誘騙對方投資虛假的投資商品，最終捲款潛逃。這類詐騙集團多與東南亞跨國犯罪組織有關，他們除了詐騙一般民眾外，還以高薪工作為誘餌，將被害人販運至詐騙工廠，強制沒收護照並迫使其從事網路詐騙。

資安公司 Sophos 在 2023 年 8 月分析「CryptoRom」詐騙活動時指出，這類詐騙由多層組織精心策劃，其中包含專業的資訊技術團隊，專門開發假冒的交易平台 APP 和網站來欺騙受害者。

今年稍早，Google 針對兩名涉及此類詐騙的中國應用程式開發者提起訴訟。該公司同時表明不贊同使用「殺豬盤」一詞，改以「國際網路投資詐騙」來稱呼這類行為。

國際刑警組織強調，「戀愛詐騙」這個用語不僅能更清楚地突顯詐騙集團如何利用受害者的心理弱點，也將焦點適當地轉移到犯罪者身上，而非受害者。

國際刑警組織警務執行主任 Cyril Gout 表示，用詞很重要，這點在處理性暴力犯罪、家暴和兒童網路性剝削等案件時已經得到證實。我們必須認知到，在處理詐欺案件時，用詞對受害者的影響同樣重大。他強調，現在是改變用語的時候了，我們應該以更具同理心和尊重的方式對待受害者，同時讓詐騙者為其罪行負起責任。

​本文轉載自 TheHackerNews。

      本文擷取自資安人

Sophos 宣布其在 2024 年 MITRE ATT&CK 評估：企業級 (2024 MITRE ATT&CK Evaluations: Enterprise) 中取得卓越成績。Sophos XDR 偵測出針對 Windows 和 Linux 平台的攻擊場景中所有的攻擊者行為。這些場景模擬了毫不留情的勒索軟體即服務 (RaaS) 集團 LockBit 和 CL0P 的惡意程式樣本。此外，Sophos 對這些勒索軟體攻擊場景的所有因應措施均被評為最高評等的「技術級」(Technique)，表示能詳細揭示攻擊的「誰、什麼、何時、何地、為何以及如何」。

Sophos XDR 獲得以下成就：

在三個全面的攻擊場景中，99% 的子步驟 (80 個中的 79 個) 被評比為「分析覆蓋級」(Analytic Coverage)
98% 的子步驟 (80 個中的 78 個) 獲得最高評等「技術級」
在 Windows 和 Linux 的勒索軟體攻擊場景中，100% 的子步驟均獲得最高評等「技術級

​Sophos 研究與科學總監 Simon Reed 表示，攻擊者不斷創新技術，試圖繞過受信任的安全防禦，而 MITRE 的這項評估能幫助安全買家評估其對當前威脅的防禦效果。Sophos 致力於透明化並接受第三方評測，協助安全買家做出明智的決策以強化他們的安全狀態。我們為 Sophos XDR 在業界測試及實際第一線防禦中的持續卓越表現感到自豪。攻擊者不斷改進戰術，我們的解決方案亦將持續進化，確保我們的客戶能在已知和未知威脅升級為破壞性攻擊之前就加以阻止。

MITRE ATT&CK 評估是全球受肯定的獨立安全測試之一。本輪 MITRE ATT&CK 評估：企業級測試了 19 家廠商在偵測和分析真實攻擊者團體使用的攻擊策略、技術和程序 (TTP) 的能力。在此輪評估中，MITRE 還將 ATT&CK 評估擴展至包括模擬朝鮮民主主義人民共和國 (DPRK) 使用的 macOS 攻擊，其中 Sophos XDR 的 21 項偵測中有 19 項被評比為「技術級」，即最高評等。

Sophos XDR 結合了主動攻擊者減緩措施，包括業界首創的自適應攻擊防護功能，當偵測到實際攻擊時，即能立即加強防禦，阻擋攻擊並為防禦人員爭取寶貴的額外應對時間，此外還具備反勒索軟體技術、深度學習人工智慧，以及漏洞利用防禦等功能以預防和停止攻擊。它是由 Sophos X-Ops 威脅情報所支援，其為由 SophosLabs、Sophos SecOps 和 SophosAI 內的 500 多名安全專家組成的跨部門團隊。

        本文擷取自資安人

Sophos 發布了《內部攻擊：Sophos 主動攻擊者報告》，深入剖析了 2024 年上半年威脅者行為模式與攻擊技術的變化。報告中的數據來自近 200 起事件回應 (IR) 案例，涵蓋了 Sophos X-Ops 事件回應團隊與 Sophos X-Ops 託管式偵測與回應 (MDR) 團隊。結果顯示，攻擊者正在濫用 Windows 系統中的可信任應用程式與工具，這些二進位檔通常被稱為「就地取材的工具」(LOLbin)，可用於偵測系統並維持立足點。與 2023 年相比，Sophos 發現 LOLbin 的濫用增加了 51%；自 2021 年以來，該數字成長了 83%。

在 2024 年上半年被偵測的 187 個獨特的 Microsoft LOLbin 中，最常被濫用的可信任應用程式是遠端桌面通訊協定 (RDP)。在 Sophos 分析的近 200 起事件回應案例中，有 89% 的攻擊者濫用了 RDP。這一趨勢延續了 2023 年《主動攻擊者報告》中首次觀察到的模式，當時 RDP 濫用在所有調查的事件回應案例中佔比高達 90%。

Sophos 現場技術長 John Shier 表示，就地取材 (Living off the Land) 不僅能讓攻擊者的行為更具隱蔽性，甚至被默許可以執行。濫用某些合法工具可能會引起部分防禦人員的警覺，甚至是觸發警報，但濫用 Microsoft 二進位檔案卻不會有這些問題。許多被濫用的 Microsoft 工具是 Windows 系統的重要組成且有其合法用途。因此，系統管理員必須了解這些工具在環境中的使用方式，以及如何區分合法使用與濫用。若缺乏對環境的精細和情境化的認識，包括持續對網路中不斷發生的新事件保持警覺性，目前已經疲於奔命的 IT 團隊可能會錯過一些重要的威脅活動，而它們往往會導致勒索軟體攻擊。

此外，報告發現，儘管政府機構在今年 2 月破獲了 LockBit 的主要洩密網站和基礎架構，但 LockBit 仍是最常見的勒索軟體集團，佔 2024 年上半年勒索案例約 21%。
最新《主動攻擊者報告》的其他關鍵發現：

攻擊的根本原因：
延續在《給科技領袖的主動攻擊者報告》中首次提出的看法，被竊憑證仍然是攻擊的首要根本原因，佔 39% 的案例。不過，這一數字相較於 2023 年的 56% 有所下降。
 
網路入侵佔 MDR 案例的多數：
在單獨分析 Sophos MDR 團隊的案例時，網路入侵是該團隊最常遇到的主要事件類型。
 
MDR 案例的潛伏時間更短：
對於 Sophos 事件回應團隊的案例來說，潛伏時間 (從攻擊開始到被偵測到的時間) 大約維持在 8 天。然而，在 MDR 的案例中，各類事件的中位潛伏時間僅為 1 天，勒索軟體攻擊的中位潛伏時間也僅為 3 天。
 
​最常被攻擊的 Active Directory 伺服器版本已經接近停止支援 (EOL)：
攻擊者最常攻擊的 Active Directory (AD) 伺服器版本為 2019、2016 和 2012，而這三個版本已經不列入 Microsoft 主流支援——這是終止支援 (EOL) 前的最後階段，除非付費購買支援服務，否則將無法獲得修補程式。此外，遭受攻擊的 AD 伺服器版本中，有高達 21% 已經處於終止支援狀態 (EOL)。

    本文擷取自資安人

美國財政部外國資產控制辦公室（OFAC）日前宣布，將對中國四川無聲信息技術有限公司及其員工關天峰實施制裁，原因是涉及2020年4月全球數萬台防火牆遭入侵事件。同時，美國司法部也針對關天峰就同一事件提出起訴。

資安公司Sophos資安長Ross McKerchar對此表示，該公司今年10月發布的《環太平洋》（Pacific Rim）研究報告中，已揭露了與多個中國國家級攻擊者長達5年的對抗歷程。這些攻擊者直接透過邊緣裝置，包括Sophos防火牆，對目標組織進行攻擊。研究發現，大部分攻擊者的漏洞研究與開發活動均可追溯到中國四川，特別是四川無聲信息技術公司的「雙螺旋研究院」。

McKerchar進一步指出，在成功阻擋了「Asnarok」的一波攻擊後，他們發現這些攻擊與一名化名「GBigMao」的人有關，該人即為此次被起訴的關天峰。他表示，美國政府的這些行動是阻止攻擊者運作的積極作為。

根據Sophos的調查報告，中國國家級攻擊者的規模與持續性對關鍵基礎架構以及缺乏防備的日常企業構成重大威脅。這些攻擊者的頑強侵略性已重新定義了「進階型持續威脅」的概念。

報告強調，要有效遏制這種威脅，需要整個產業共同行動，包括與執法部門合作、及早公開系統漏洞，並致力於開發更安全可靠的軟體。若不投入足夠資源超越這些攻擊者，這類威脅將難以停止。

             本文擷取自資安人

Sophos近期發布2025年網路安全趨勢預測報告，指出人工智慧（AI）安全隱憂逐漸浮現，同時供應鏈攻擊、國家級威脅與勒索軟體攻擊將持續加劇。

據報告指出，AI技術的發展正進入關鍵轉折點。過去一年，Microsoft已多次針對其AI產品發布安全修補，顯示大型語言模型（LLM）相關的漏洞與惡意軟體正逐漸浮現。此外，生成式AI的普及也讓網路犯罪更加平民化，讓缺乏技術能力的攻擊者也能輕易取得各類惡意工具。

在國家級攻擊方面，Sophos觀察到攻擊組織已將目標轉向邊緣設備，藉此建立破壞性的代理網路。由於許多企業仍在使用已停止支援（EOL）的設備，加上這些邊緣設備經常未進行修補且存在漏洞，使得各種規模的企業都可能成為攻擊目標。

報告也揭露了攻擊者正採用更多元的策略。其中，「干擾策略」成為新趨勢，攻擊者透過製造小規模攻擊或假事件等「噪音」，分散安全團隊注意力，使更大的威脅得以隱密進行。這種策略不僅消耗資源，還會使即使是裝備精良的安全團隊也疲於奔命。

Sophos預測，醫療與教育機構將持續是勒索軟體攻擊的主要目標。這些機構不僅存在預算有限、系統老舊等問題，還需處理大量敏感個資。特別是針對醫療機構的攻擊可能導致重要業務中斷，形成「完美風暴」，迫使受害者更快支付贖金。

報告特別提到，供應鏈攻擊將成為新的關注焦點。2024年發生的Blue Yonder和CDK事件已經顯示出此類攻擊的嚴重性，其中CDK事件導致美國數千家汽車經銷商業務中斷超過一週。Sophos預期2025年將出現更多類似攻擊。

另一個值得注意的趨勢是，攻擊者正逐漸將目標轉向雲端環境。隨著企業加強端點安全防護並實施多重驗證（MFA），攻擊者開始將重心轉向較少採用MFA的雲端存取憑證，並以竊取雲端資產與身分驗證憑證為主要目標。

針對這些威脅，Sophos建議組織應做好多項準備工作。首先是優先進行系統修補與實施MFA，特別是針對對外網路設備。其次，企業需要主動規劃應對供應商營運中斷的方案，包括徹底評估供應商的安全措施。

最後，報告也特別提醒，網路安全人員的疲勞與倦怠問題已從潛在風險演變為明顯威脅。建議組織應積極識別員工倦怠情況，並考慮引進託管式偵測與回應（MDR）服務，協助緩解人力不足的問題。

    本文擷取自資安人

Check Point Software Technologies Ltd. 宣佈推出全新 Check Point Quantum 防火牆軟體 R82 （R82）及其他 Infinity 平台創新成果。隨著全球組織遭網路攻擊激增 75%，R82 新增全新 AI 引擎，以防範網路釣魚、惡意軟體和網域名稱系統（DNS）漏洞利用等零時差威脅。此外，R82 涵蓋新的結構變更及多項創新技術，有助於提升資料中心維運的 DevOps 敏捷性，同時實現簡化和擴展。
 
Check Point 產品總監 Nataly Kremer 表示，全球威脅以指數級速度增長，組織亟需智慧解決方案來保持領先優勢。現今網路安全防護的重要性日益提升，Check Point Quantum 防火牆軟體 R82 和 GenAI Protect 等 AI 威脅防禦工具套件不僅帶來世界級的創新技術，更能不斷簡化維運並提升彈性。
 
Check Point Quantum 防火牆軟體 R82 為企業客戶提供了 50 多項新功能，包括： 

AI 威脅防禦技術：
可攔截 99.8% 零時差威脅。R82 新增了四個全新 AI 引擎來搜尋隱藏關聯和模式，每月可攔截超過 50 萬次攻擊，並防範複雜的零時差網路釣魚和惡意軟體攻擊活動。
 
資料中心維運敏捷性：
透過自動整合安全防護策略，加快應用開發。藉由大幅簡化的防火牆虛擬化，組織可將虛擬系統的配置速度提高 3 倍，以更好地支援 DevOps 所需的多租戶和敏捷應用開發。   
 
維運簡單性：
支援各種規模的網路無縫擴充性，自動適應業務增長和流量激增。R82 有助於組織利用內建負載共用和叢集技術（ElasticXL）實現出色的韌性，同時將防火牆管理配置和維運速度加快 3 倍。
 
後量子加密技術（PQC）：
採用 NIST 核准的最新技術 Kyber（ML-KEM）進行量子安全加密，可保護資料免遭攻擊者竊取。 

IDC 集團安全與信任副總裁 Frank Dickson 表示，要維持有效的網路安全防護，AI、自動化技術以及快速應對最新威脅的能力不可或缺。安全防護不僅要強大，也需確保業務創新與 DevOps 保持同步。Check Point 透過全新的 AI 驅動協作式解決方案和 Quantum 防火牆軟體，提供高效能的 AI 威脅防禦，同時助力組織快速創新。
 
上述新功能均基於 Check Point 近期發佈的 AI 威脅防禦創新套件：  


Check Point Infinity AI Copilot 是一款迅速回應的 AI 助手，可自動實施並加速安全管理和威脅防禦。  
Check Point GenAI Protect 是一款開創性解決方案，支援企業安全地採用生成式 AI。  
Check Point Infinity 外部風險管理（ERM）輔以專家託管服務，可提供持續監控和即時威脅防禦，保護客戶免受憑證威脅、漏洞利用、網路釣魚攻擊和詐騙等各種外部風險。

       本文擷取自資安人

趨勢科技在追蹤全球重要基礎建設和政府機構的攻擊活動時，發現中國政府支援的駭客組織「鹽颱風」（Salt Typhoon）正利用全新的 GhostSpider 惡意程式，大規模攻擊電信服務業者。

趨勢科技的調查進一步揭露，「鹽颱風」組織除了使用 GhostSpider 外，還部署了多項駭客工具，包括針對 Linux 系統的惡意程式「Masol RAT」、用於隱藏惡意行為的 rootkit 工具「Demodex」，以及在中國進階持續性威脅（APT）組織間常見的後門程式「SnappyBee」。
鹽颱風的全球攻擊活動
鹽颱風（又稱「Earth Estries」、「GhostEmperor」或「UNC2286」）自 2019 年以來一直活躍，是一個專門針對政府機構和電信公司發動網路攻擊的進階駭客組織。根據趨勢科技的報告，鹽颱風已在美國、亞太地區、中東、南非等地區攻擊電信、政府機構、科技、顧問諮詢、化工和運輸等產業。

報告中特別指出兩項重要攻擊行動：「Alpha行動」運用Demodex與SnappyBee惡意程式攻擊台灣政府及化工製造商，而「Beta行動」則使用GhostSpider和Demodex惡意程式，對東南亞電信與政府網路進行長期間諜活動。

駭客組織主要透過以下資安漏洞入侵對外服務的網路端點：


CVE-2023-46805、CVE-2024-21887（Ivanti Connect Secure VPN）
CVE-2023-48788（Fortinet FortiClient EMS）
CVE-2022-3236（Sophos防火牆）
CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065（Microsoft Exchange – ProxyLogon）

成功入侵系統後，鹽颱風會利用系統內建的合法工具（Living off the Land，LOLBin）執行情報收集和橫向移動。

GhostSpider 後門程式的技術細節
GhostSpider 是一款模組化的後門程式，透過加密技術並僅存在於記憶體中，以達到高度隱匿性。該惡意程式透過 DLL 劫持方式載入目標系統，並利用合法的「regsvr32.exe」工具註冊為系統服務。其次要模組（信標載入器）負責將加密的惡意程式直接載入記憶體。

GhostSpider 接收來自指揮控制（C2）伺服器的指令，這些指令被隱藏在 HTTP 標頭或 Cookie 中，藉此混入正常網路流量。該後門程式支援以下指令：


上傳（Upload）：將惡意模組載入記憶體，執行駭客指定的特定任務。
建立（Create）：啟動已載入的模組，並初始化其運作所需資源。
執行（Normal）：執行已載入模組的主要功能，如資料外洩或系統操控。
關閉（Close）：從記憶體中移除作用中的模組，減少痕跡並釋放系統資源。
更新（Update）：調整惡意程式的行為，如通訊間隔，以維持隱密性。
心跳（Heartbeat）：與 C2 伺服器保持定期通訊，確認系統仍可被存取。

這些指令結構賦予後門程式高度靈活性，使鹽颱風能依據受害者的網路環境和防禦機制調整攻擊策略。

鹽颱風使用的其他駭客工具
除了 GhostSpider 外，鹽颱風還運用一系列自有工具和其他中國駭客組織共用的工具，使其能在邊緣設備到雲端環境間執行複雜的多階段間諜活動。


SNAPPYBEE：模組化後門程式（又稱 Deed RAT），用於長期存取和間諜活動，具備資料外洩、系統監控和執行駭客指令功能。
MASOL RAT：跨平台後門程式，最初針對東南亞政府，專注於 Linux 伺服器，提供遠端存取和指令執行功能。
DEMODEX：用於在被入侵系統中維持潛伏的 rootkit，採用反分析技術，確保駭客能長期隱匿。
SparrowDoor：提供遠端存取功能的後門程式，用於橫向移動和建立 C2 通訊。
CrowDoor：專門針對政府和電信實體的間諜後門程式，注重隱密性和資料外洩。
ShadowPad：中國駭客組織共用的惡意程式，用於間諜活動和系統控制，作為部署各種惡意外掛的模組化平台。
NeoReGeorg：用於建立隱密通訊通道的隧道工具，讓駭客能繞過網路防禦並控制被入侵系統。
frpc：開源反向代理工具，用於建立與 C2 伺服器的安全連線，實現資料外洩和遠端指令執行。
Cobalt Strike：原為商業滲透測試工具，遭駭客濫用來建立信標，進行橫向移動、提權和遠端控制。

整體而言，鹽颱風擁有龐大的攻擊工具庫，包含諸多廣泛使用的工具，這使得研究人員在能見度有限時，難以準確判定攻擊來源。

趨勢科技總結指出，鹽颱風是最具攻擊性的中國 APT 組織之一，呼籲各組織保持警戒，並採用多層次的資安防禦措施。

本文轉載自 BleepingComputer。

     本文擷取自資安人

資安公司 Trellix 最近揭露了一起新型惡意攻擊活動，駭客透過濫用 Avast 舊版且具漏洞的防 Rootkit 驅動程式，成功突破系統偵測並關閉目標系統的安全防護。

根據 Trellix 研究員分析，這款惡意程式是一個 AV Killer 變種，內建了 142 個來自不同資安廠商的安全程式名單。由於該驅動程式具有核心層級的存取權限，使得惡意程式能夠存取作業系統的關鍵部分並終止特定程序。

攻擊者採用了「自帶漏洞驅動程式」（BYOVD）的手法，具體步驟如下：

惡意程式（kill-floor.exe）會在 Windows 使用者資料夾中放置具有漏洞的驅動程式（ntfs.bin）
透過服務控制（sc.exe）創建名為 'aswArPot.sys' 的服務並註冊驅動程式
利用內建的程序清單比對系統中的活動程序
一旦發現相符的程序，就會建立 Avast 驅動程式的存取控制代碼
使用 'DeviceIoControl' API 發送 IOCTL 指令來終止目標程序 

受影響的安全解決方案包括 McAfee、Symantec（Broadcom）、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET 和 BlackBerry 等知名廠商的產品。一旦這些防護機制被停用，惡意程式就能在不觸發警報或遭到阻擋的情況下執行惡意活動。
 
值得注意的是，這類攻擊手法並非首次出現。2022 年初，Trend Micro 的研究人員在調查 AvosLocker 勒索軟體攻擊時就曾觀察到類似的驅動程式濫用情況。2021 年 12 月，Cuba 勒索軟體也曾利用 Avast 防 Rootkit 核心驅動程式的功能來癱瘓受害者系統的安全解決方案。
 
同期，SentinelLabs 發現了兩個自 2016 年就存在的高風險漏洞（CVE-2022-26522 和 CVE-2022-26523），這些漏洞可被利用來提升權限並停用安全產品。Avast 已在接獲通報後透過安全更新修補這些漏洞。
 
為防範此類攻擊，組織可採用基於簽章或雜湊值的規則來識別和阻擋可疑元件。Microsoft 也提供了易受攻擊驅動程式封鎖清單政策檔案作為防護措施，該清單會隨每次 Windows 主要更新而更新，並自 Windows 11 2022 版本起預設在所有裝置上啟用。使用者可透過 App Control for Business 取得最新版本的清單。
 
此事件再次提醒企業和使用者，即使是來自知名安全廠商的合法元件，若未及時更新也可能被攻擊者利用作為入侵系統的工具。定期更新和妥善的安全配置管理變得更加重要。

本文轉載自bleepingcomputer。

     本文擷取自資安人

Check Point Software Technologies Ltd. 的威脅情報部門 Check Point Research 數據顯示，今年第三季度全球平均每周網路攻擊次數為 1,876 次，相較去年同期增加 75%。其中，台灣的網路攻擊情況尤為嚴重，平均每週遭受 4,129 次攻擊，位居亞太地區之首。
 
根據 Check Point Research 統計，2024 年 5 至 10 月台灣受攻擊次數最多的前三大產業依序為硬體供應商（平均每周 7,046 次攻擊）、政府與軍事機構（平均每周 5,357 次）和製造業（平均每周 4,175 次）。
 
此外，全球第三季最常被用於網路釣魚攻擊的前五大品牌分別為微軟（Microsoft）、蘋果（Apple）、谷歌（Google）、臉書（Facebook）和 WhatsApp。
Check Point Software 2024 年第三季全球網路攻擊數據統計
報告重點摘要如下：


攻擊紀錄創新高：2024 年第三季，全球各組織平均每週遭受 1,876 次攻擊，較去年同期增加了 75%，與上一季相比上升了 15%。
 
全球各產業遭受攻擊情形：「教育與研究機構」成為最易遭攻擊的產業，每週平均遭到 3,828 次攻擊，接著分別為「政府與軍事機構（2,553 次）」和「醫療保健機構（2,434 次）」。
 
全球各地區亮點：非洲是全球遭受最多網路攻擊的地區，每週平均遭受 3,370 次攻擊（年增 90%），歐洲和拉丁美洲亦有顯著增加。至於亞太地區，每週平均 2,863 次（年增 55%），其中台灣尤為嚴重，每週平均 4,129 次（年增 44%），位居亞太第一。
 
勒索病毒肆虐：共有超過 1,230 起勒索病毒事件，尤以北美最為嚴重，占 57%，其次為歐洲，占 24%。 

2024 年第三季，全球數位環境經歷了前所未有的網路攻擊劇增，不僅突顯組織面臨的網路威脅在數量和強度上都顯著升級，也揭示了網路犯罪戰術的演變，進一步顯示出加強網路防禦的迫切性。Check Point Software 建議透過採取積極主動的網路安全方針，賦能組織在不斷變化的威脅環境中保護其資產，確保營運持續性。

威脅情資報告

2024 年 5 至 10 月，台灣受攻擊次數最多的前三大產業依序為硬體供應商（平均每週遭受 7,046 次攻擊）、政府與軍事機構（5,357 次）和製造業（4,175 次）。

威脅情資摘要如下：


台灣最猖獗的惡意軟體為 Formbook。
台灣常見惡意軟體包含 RAT（遠端存取木馬）、Tofsee（木馬惡意軟體）、Botnet（殭屍網路）與 Formbook（資訊竊取惡意軟體）。
2024 年 10 月 6 日至 2024 年 11 月 6 日期間，台灣有 65% 的惡意檔案夾帶在電子郵件中。 


2024 年第三季品牌網路釣魚報告
2024年第三季最常被用於釣魚攻擊的品牌排名如下：

科技業仍是最常被冒充的產業，其次是社群網路和銀行業，這突顯主要線上服務供應商仍持續面臨漏洞問題。