【資安週報】0512~0516，多組中國駭客組織、勒索軟體駭客鎖定SAP NetWeaver漏洞入侵關鍵CI與企業組織

在2025年5月第三星期的資安新聞中，這一星期多家IT大廠發布安全性更新需要我們趕緊因應，涵蓋微軟、SAP、Adobe等，當中並有8項漏洞在修補前已遭利用，顯現攻擊者挖掘零時差漏洞來攻擊的威脅態勢嚴峻持續，我們整理如下：

●微軟有5個，數量最多，這些漏洞分別是：涵蓋涉及Windows指令碼引擎的CVE-2025-30397、桌面視窗管理員（DWM）的CVE-2025-30400，附屬功能驅動程式（AFD）的CVE-2025-32709，以及通用記錄檔系統（CLFS）的CVE-2025-32701及CVE-2025-32706。
●SAP有1個，是NetWeaver漏洞CVE-2025-42999，通報的資安業者Onapsis指出今年1月攻擊者已串連上月修補另一滿分漏洞來攻擊。
●Fortinet有1個，發現攻擊者利用漏洞CVE-2025-32756鎖定FortiVoice攻擊，另要注意其他款產品也針對此漏洞進行修補，涵蓋FortiNDR、FortiMail等。
●Google有1個，是Chromium漏洞CVE-2025-4664，雖CISA對此漏洞的CVSS評分為4.3分並不高，但已遭攻擊者利用。

還有兩個漏洞如今傳出遭到利用狀況，首先是今年初我們曾報導過居易Vigor路由器的漏洞CVE-2024-12987，其次是安全通訊解決方案廠商TeleMessage TM SGNL的漏洞CVE-2025-47729。

在已知漏洞攻擊態勢上，上述提到SAP NetWeaver上月修補的滿分漏洞（CVE-2025-31324）最需留意，原因是不只資安業者Forescout指出中國駭客Chaya_004利用漏洞來攻擊企業組織，近期更是發現有多個中國駭客與勒索軟體組織加入利用行列。

例如，威脅情報業者EclecticIQ確認，有3組與中國國安部有關的駭客組織（CL-STA-0048、UNC5221、UNC5174）利用此漏洞攻擊關鍵基礎設施。資安業者ReliaQuest也發現，使用RansomEXX的駭客組織與俄羅斯勒索團體BianLian同樣積極利用此漏洞。尚未修補者應儘速因應，已修補者也應檢查是否有異常。

在資安威脅與事件方面，有兩起與臺灣相關的重要新聞：（一）遠雄建設發布資安事件重訊，說明發生系統異常、出現郵件發送給外部無關人員的情形；（二）去年揭露中國駭客攻擊臺灣無人機製造商有更多揭露，趨勢科技公布新的調查結果，指出中國駭客組織Earth Ammit於2023年就發起另一波更隱密的攻擊行動，是持續鎖定臺灣與南韓而來。

至於其他威脅焦點，國際間有4則重大消息，涵蓋開源軟體供應鏈攻擊，網路釣魚攻擊、以及假冒IT工作者商業間諜鎖定加密貨幣領域與資料外洩等面向。

●每週下載量達4.5萬次的開源JavaScript函式庫rand-user-agent遭供應鏈攻擊，被植入木馬遠端監控用戶系統。
●北韓駭客APT37鎖定南韓政經目標發動魚叉式網釣，以「Trump 2.0時代南韓對策」等時事誘騙開啟郵件中Dropbox連結、下載壓縮檔，植入RoKRAT間諜程式。
●加密貨幣交易平臺Coinbase向美國SEC提交資安事故報告，發生用戶資料外洩（影響約10萬名用戶），問題出在海外客戶支援的約聘人員是內賊。
●出版托福、雅思等教材的教育內容出版商Pearson公告發生資安事故，傳出有消息人士指出災情不小，疑公司程式原始碼、財務、客戶資料被竊。

在資安防禦焦點方面，歐盟漏洞資料庫（EUVD）計畫正式上線是最大焦點，這項計畫去年6月啟動後、現在正式推出，是一個互連資料庫，主要採用CVE編號，但也會有相對應的EUVD編號，不錯的是，我們在EUVD儀表板可快速檢視三類資訊，包括重大漏洞、已被利用漏洞，另外也可快速查找EU CSIRT協調的漏洞。

【5月12日】中國駭客利用SAP NetWeaver滿分漏洞攻擊製造業

最近兩週危險程度達到滿分的資安漏洞不斷傳出，例如：Commvault備份管理平臺漏洞CVE-2025-3402、PHP程式庫ADOdb漏洞CVE-2025-46337、思科IOS XE無線區域網路控制器漏洞CVE-2025-20188，值得留意的是，SAP在4月24日修補的NetWeaver資安漏洞CVE-2025-31324，於4月底傳出超過1千臺伺服器受害，後續有研究人員公布新的調查結果。

資安業者Forescout指出，他們看到中國駭客組織Chaya_004試圖發起攻擊行動，目的是散布名為SuperShell的後門程式。

【5月13日】華碩修補主機板驅動程式管理工具驗證不當的資安漏洞

上個月華碩針對旗下的4款工作站主機板發布韌體，修補由資安業者Eclypsium揭露的滿分漏洞CVE-2024-54085而受到關注，該公司近日再對主機板用戶發布更新，主要是修補驅動程式管理工具DriverHub的資安弱點。

耐人尋味的是，華碩強調相關漏洞僅影響主機板，不影響筆電、桌上型電腦，以及其他端點裝置，而通報此事的研究人員MrBruh認為，無論是桌機還是筆電，只要有安裝DriverHub就可能曝險。

【5月14日】微軟、SAP修補已出現攻擊行動的多項零時差漏洞

昨天是許多科技業者發布5月例行更新的日子，微軟、Adobe、SAP等業者皆發布相關資安公告，呼籲用戶要儘速採取行動，套用更新程式來緩解漏洞。

其中，最受到關注的資安漏洞，包括了微軟修補的5項零時差漏洞，因為曝險的元件皆有駭客利用相關零時差漏洞的記錄；另一個焦點則是SAP修補的NetWeaver重大漏洞，通報此事的資安業者表示，該漏洞其實是先前公布的10分漏洞CVE-2025-31324形成的主要原因。

【5月15日】去年中國駭客攻擊臺灣無人機製造商事故，有新的重大發現

去年9月資安業者趨勢科技、Acronis揭露鎖定臺灣無人機製造商的中國駭客攻擊行動，其共通點就是受害組織採用特定廠牌的ERP系統，這種巧合讓研究人員初步懷疑是供應鏈攻擊，如今這樣的推測得到證實。

趨勢科技發現，這些駭客在2023年從事另一波攻擊行動Venom，主要的目標就是軟體服務供應商。由於駭客幾乎都使用開源工具作案，而難以察覺其蹤跡，研究人員與ERP業者合作，才讓這起事故公諸於世。

【5月16日】中國駭客、勒索軟體駭客將SAP NetWeaver滿分漏洞用於實際攻擊

SAP於4月下旬緊急修補已被用於實際攻擊的滿分漏洞CVE-2025-31324，自一週前有資安業者指出有中國駭客4月底掃描存在漏洞的NetWeaver伺服器後，如今有更多調查結果出爐，至少有5組人馬加入利用漏洞的行列。

值得留意的是，利用這項漏洞的不光是國家級駭客，以牟取經濟利益為導向的勒索軟體駭客也參與其中，因此這項漏洞的後續情勢仍相當值得留意。