【資安週報】0519~0523，韓國電信SKT揭露已遭滲透將近3年，發現25種類型惡意軟體、23臺伺服器受害

回顧2025年5月第四星期的資安新聞中，有兩起資安事故的後續消息是大家關切的焦點，分別是上個月19日韓國電信傳出2千萬用戶USIM資料外洩，以及上個月20日臺灣高科技設備製造商發布資安事件重訊。

韓國電信業者SK Telecom在資安事故發生後，一個月後他們揭露清查完3萬臺Linux伺服器，發現最早Web Shell被植入是3年前，共找出BPFDoor等25種類型惡意軟體與23臺受害伺服器。

臺灣CoWoS設備製造商萬潤科技遭攻擊，後續有更多情資浮上檯面，有勒索軟體駭客組織Bert聲稱是他們犯下惡行，並揚言握有5 TB內部資料以勒索，萬潤科技5月18日以澄清媒體報導方式在重訊中申明駭客竊取資料未涉機密。

在最新威脅態勢上，有兩大焦點，一是攻擊者劫持企業雲端資源被遺忘的DNS記錄，濫用企業子網域來偽冒，一是假冒生成式AI服務提供圖片與影片檔下載，實際是雙重副檔名等伎倆偽裝的執行檔。
●資安業者Infoblox揭露，駭客組織Hazy Hawk藉由DNS錯誤配置來挾持知名企業組織的網域，並透過惡意流量導向系統TDS，將受害者導向惡意網站。
●資安業者Check Point發現，駭客建立Kling AI（可靈AI）影片生成工具假冒網站，生成後提供下載的是偽冒.jpg或.mp4的執行檔，可啟動惡意程式載入器。
●資安業者Aikido、Veracode揭露新惡意NPM套件攻擊，是利用Unicode字元來藏匿惡意程式碼，並濫用Google行事曆event邀請的短網址來達到目的。

在漏洞攻擊態勢上，Ivanti漏洞被鎖定的狀況最受關注，上星期他們修補旗下端點管理平臺EPMM兩個零時差漏洞（CVE-2025-4427、CVE-2025-4428），通報的CERT-EU表示漏洞已遭利用，後續再有更多攻擊事故消息傳出。

例如，威脅情報業者EclecticIQ指出，在漏洞修補消息公開後，發現中國駭客組織UNC5221鎖定這兩項漏洞發動攻擊，攻擊目標涵蓋歐洲、北美、亞太地區，意圖竊取與中國政府利益有關的機敏資料；接著資安業者Wiz也揭露有攻擊者串連上述漏洞，用於竊取MySQL資料庫內容、散布滲透測試工具Sliver，以及上傳Web Shell或是反向Shell。

還有2個同樣是新獲知的漏洞攻擊情形，攸關數位看板內容管理系統（CMR）與電子郵件伺服器，目前攻擊者身分仍然未知。
●Samsung修補MagicINFO零時差漏洞CVE-2025-4632，資安業者Arctic Wolf指出修補前已遭利用，臺灣連鎖餐飲業如麥當勞等亦使用此CMR，需注意更新。
●MDaemon Email Server在2024年修補的漏洞CVE-2024-11182，ESET最新揭露俄羅斯駭客APT28攻擊行動，指出該漏洞2023年就被用於零時差漏洞攻擊。

此外，先前一項已知遭利用的漏洞，有後續消息，今年2月揭露Trimble資產管理系統Cityworks存在零時差漏洞（CVE-2025-0994）已遭利用，思科最新研究報告揭露攻擊者身分，指出當時是中國駭客組織UAT-6382所為，美國地方政府網路環境被入侵，攻擊者使用TetraLoader、VShell等惡意工具。

在資安防禦動向上，有兩大重要消息，首先是Pwn2Own Berlin 2025在德國首都柏林舉行，目的是為了及早發現未知潛在漏洞，有多家科技大廠提供產品項目與漏洞挖掘獎金，讓資安研究人員展現其研究與發現，本次共找出28個零時差漏洞，涵蓋虛擬化的VMware ESXi、Oracle VirtualBox等8大類型產品。

其次是Docker宣布推出以預設安全（Secure by default）為核心的容器映像檔，稱之為DHI安全映像檔，強調大幅減少攻擊面，僅保留應用執行所需的最小相依元件，且具有自動化持續修補更新機制。

【5月19日】惡意NPM套件為藏匿攻擊意圖，濫用Unicode字元、Google行事曆

駭客針對使用NPM套件的開發人員發動攻擊的情況，每個禮拜幾乎都有數起攻擊行動傳出，但最近有一起攻擊行動相當特別，引起兩家資安業者不約而同調查此事。

資安業者Aikido、Veracode揭露從3月出現的惡意套件os-info-checker-es6，而駭客真正的意圖，直到5月上旬的改版，才加入相關的惡意程式碼，使得開發人員的電腦，透過特定的Google行事曆活動邀請連結，下載惡意酬載。

【5月20日】Pwn2Own競賽首度成功找出VMware ESXi零時差漏洞

由趨勢科技旗下漏洞懸賞專案Zero Day Initiative（ZDI）舉行的漏洞挖掘競賽Pwn2Own，上週末於德國柏林舉辦，從賽事的組別而言，本次新增了AI項目，參賽者找到的零時差漏洞，有四分之一為此類，足見這項領域的重要性。

但除此之外，這次參賽者的重點得分項目，不少來自VMware ESXi的資安漏洞，其中一個漏洞為參賽隊伍提供多達15個積分、15萬美元獎金。

【5月21日】韓國電信業者SK Telecom事故最新調查出爐，駭客在網路環境活動近3年

上個月韓國電信龍頭SK Telecom（SKT）證實遭駭的情況引起外界高度關切，該公司後續更進一步提供用戶免費更換SIM卡，突顯這起事故帶來的影響，可能在不斷擴大。最近他們公布新的調查結果，引起外界高度關注。

SKT透露有近2,700萬個門號受到影響，並指出這起攻擊行動，最早可追溯到3年前，但究竟駭客何時將資料偷走，仍有待後續釐清。

【5月22日】VMware修補旗下多款平臺的資安漏洞

VMware近期發布兩則資安公告，針對虛擬化平臺、混合雲平臺發布修補程式，這次總共修補7項漏洞，有4項是較為危險的高風險漏洞，而引起注意。

比較值得留意的是，其中3項高風險漏洞皆與VMware Cloud Foundation有關，而且有部分漏洞只要能透過特定的連結埠存取就能觸發，因此IT人員要儘速採取行動。

【5月23日】新版Windows伺服器作業系統dMSA服務帳號的遷移流程可被濫用而惹議

為了防堵Kerberoasting攻擊，微軟在去年底推出的Windows Server 2025當中，導入新型態的「委派控管服務帳號（Delegated Managed Service Account，dMSA）」，標榜能提升原有的服務帳號安全。但資安業者Akamai指出，dMSA遷移過程可被利用，攻擊者有機會藉此提升權限。

值得留意的是，目前微軟尚未修補這項弱點，因此Akamai呼籲IT人員，必須採取積極的防禦措施來防範相關風險。