本週最受到關注的資安事故,莫過於SharePoint零時差漏洞CVE-2025-53770(ToolShell)的消息,最新的調查結果顯示,至少有3組中國駭客加入漏洞利用的行列,其中兩個組織是政府資助的APT駭客。
除此之外,思科網路存取控制平臺Identity Services Engine(ISE)滿分資安漏洞也有新消息,那就是已遭到駭客用於實際攻擊,此外,Citrix為NetScaler設備修補的重大漏洞CVE-2025-5777(CitrixBleed 2),上週研究人員也證實遭到實際利用的情形。
【攻擊與威脅】
SharePoint零時差漏洞攻擊事故傳出是多組中國駭客所為
上週末資安業者Eye Security偵測到零時差漏洞CVE-2025-53770(ToolShell)攻擊行動,初步確認至少有85臺伺服器、29個企業組織受害,其中部分是跨國企業組織及政府機關,後續資安業者Censys認為,犯案的駭客身分是國家資助的APT組織,這樣的推測,現在也得到微軟的證實。
微軟威脅情報團隊指出,他們觀察到中國資助的駭客組織Linen Typhoon、Violet Typhoon從事漏洞利用攻擊,另有一組來自中國的駭客組織Storm-2603,也加入行列,而且,相關的攻擊行動迄今仍持續當中。微軟提及,這些駭客不光利用ToolShell,還使用其他漏洞,其中包括漏洞挖掘競賽Pwn2Own Berlin 2025找到的CVE-2025-49704、CVE-2025-49706。附帶一提的是,美國網路安全暨基礎設施安全局(CISA)也在7月22日,將CVE-2025-49704、CVE-2025-49706列為已被利用的漏洞(KEV),並要求聯邦機構必須在一天內完成修補。
針對這波攻擊行動發生的時間,可追溯到7月7日,較Eye Security在18日偵測到相關活動早了11天,當時這些中國駭客利用CVE-2025-49704、CVE-2025-49706,試圖取得受害組織的初始入侵管道。
思科近月接連修補網路存取控制平臺Identity Services Engine(ISE),以及ISE被動身分識別連接器(ISE Passive Identity Connector,ISE-PIC)三項風險值10分的重大漏洞,本周進一步警告,這些漏洞正發生濫用活動。這些漏洞分別是:6月份公告的CVE-2025-20281、CVE-2025-20282,以及上周公告的CVE-2025-20337。
他們在7月21日更新公告內容,表示PSIRT團隊掌握有人實際利用部分漏洞的跡象,這些活動在7月出現,呼籲用戶儘速套用軟體更新,來緩解上述資安漏洞。
CitrixBleed 2已出現大規模攻擊,超過100家企業組織遭駭
.png)
6月中旬Citrix針對NetScaler ADC、NetScaler Gateway修補重大層級的資安漏洞CVE-2025-5777,此漏洞4.0版CVSS風險達到9.3分,後續資安研究人員Kevin Beaumont提出警告,該漏洞本質上與2年前造成大規模災情的Citrix Bleed(CVE-2023–4966)雷同,非常危險,並命名為「CitrixBleed 2」,6月底資安業者ReliaQuest首度發現疑似遭到利用的跡象,但究竟受害範圍有多廣?最近有資安業者、研究人員相繼公布調查結果。
最早揭露威脅態勢的是資安業者Imperva,他們在7月11日指出,在Citrix公布CitrixBleed 2之後,相關攻擊活動便不斷增加,他們看到超過1,150萬次試圖攻擊的跡象,約有4成鎖定金融產業,但也有針對娛樂、醫療保健、IT、旅遊業等領域的情況。Kevin Beaumont於14日發布部落格文章表示,他懷疑至少有一組中國駭客從事漏洞利用活動,根據駭客使用的方法與存取時間,在11日已有128個受害企業及組織,涵蓋科技、法律、教育、金融服務、政府、電信等領域。
威脅情報業者GreyNoise也公布調查結果,指出他們在6月23日首度觀察到漏洞利用活動,截至7月16日,有24個IP位址從事相關攻擊。
5月21日微軟與多國執法機關、資安業者聯手,宣布在取得法院的授權後協助破壞竊資軟體Lumma Stealer(LummaC2)的基礎設施,其中包含約2,300個惡意網域,該公司將其停用或是封鎖,讓逾39萬臺受害電腦不再受到控制,但兩個月後相關活動並未因此消失,而是以更為隱密的方式進行,並持續擴大其攻擊規模。
趨勢科技指出,他們發現在上述執法活動不久,Lumma Stealer就捲土重來,在今年6月、7月,駭客鎖定的帳號數量出現大幅攀升,惡意軟體散布的管道更加謹慎,迴避手法也變得更加隱密。趨勢科技在駭客的基礎設施遭到破壞後,觀察到他們業務復甦的明顯跡象,根據網路遙測的資料,執法機關拆除Lumma Stealer基礎設施的數週後,就開始出現顯著的增加。此竊資軟體的活動僅在5月出現短暫下降,6月到7月就恢復到執法之前的規模。
另一個這些駭客捲土重來的跡象,是他們透遇4種管道積極散布竊資軟體,這些管道分別是:假借提供破解軟體或序號產生器、ClickFix網釣、濫用GitHub儲存庫,以及YouTube與臉書社群網站。
【Deepfake偽冒實例】美國白宮幕僚長遭語音偽冒,意圖以此欺騙其他官員進行索資
一旦國家政府高層的聲音遭偽冒,親自致電要求執行特定指令,接聽者幾乎難以分辨真偽,其潛在衝擊將不容小覷,這樣的事件並非電影與科幻情節,美國FBI從2020年就開始針對相關偽冒示警,2025年5月更是出現有人偽冒美國白宮幕僚長的狀況。
關於這起攻擊活動,美國聯邦調查局(FBI)先是在5月15日警告,有駭客從4月開始假冒美國高層官員,發動詐騙簡訊與語音釣魚的攻擊行動,提醒外界要特別注意相關事件。
FBI強調,這波攻擊的手法主要結合了「簡訊釣魚」(Smishing),以及「語音釣魚」(Vishing),也就是分別透過文字簡訊與AI合成語音訊息的方式,假裝成美國高級官員來騙取信任,目的可能包含誘導受害者點擊惡意連結,或是前往其他通訊平臺聯繫,進一步騙取帳密等相關資訊,另也指出其攻擊目標,多為現任或曾擔任聯邦與州政府的高階官員,以及他們的聯絡人。
其他攻擊與威脅
◆駭客組織EncryptHub鎖定Web3開發者而來,藉由冒牌AI牌散布竊資軟體Fickle Stealer
◆竊資軟體Amadey、Lumma、Redline透過GitHub散布,鎖定烏克蘭而來
◆網釣攻擊以備份軟體Veeam為誘餌,透過武器化的WAV音檔散布惡意程式
◆協作平臺Zoho的雲端檔案共用機制WorkDrive遭濫用,成惡意軟體PureRAT散布的管道
◆針對一年前的CrowdStrike EDR大當機事故,美國估計有超過750家醫院營運中斷
【漏洞與修補】
藍牙框架存在資安漏洞PerfektBlue,影響賓士、VW、Skoda車載系統
隨著車載資訊系統(In-Vehicle Infotainment,IVI)的功能越來越豐富,不僅能用於導航、多媒體娛樂、免持手機通話、車輛資訊檢視、提供倒車影像、盲點偵測,甚至能調整車輛的部分配置,因此與這類平臺有關的資安弱點,有越來越多資安人員投入研究,例如,厄瓜多安全研究人員Danilo Erazo針對韓國車廠Kia的車載資訊系統進行調查,結果找到一系列的資安弱點,攻擊者有機會干擾或操控車輛部分電子系統,如今又有資安業者公布相關調查成果,但不同的是,他們找到的漏洞存在於特定元件,影響多個廠牌的車輛。
專門關注汽車資安的滲透測試業者PCA Cyber Security指出,他們在去年5月發現OpenSynergy藍牙堆疊平臺BlueSDK一系列資安漏洞,攻擊者有機會藉此遠端執行任意程式碼,甚至存取車輛的重要元件,影響賓士(Mercedes-Benz)、福斯(Volkswagen)、Skoda等廠牌的汽車。這些漏洞OpenSynergy於去年6月確認,並於9月發布修補程式,不過,PCA Cyber Security提及並非所有的汽車製造商都取得相關通報及漏洞修補程式,因此仍有部分OEM車款存在相關弱點。
【法規遵循】
英國內政部本周公布新法案草案,將禁止公部門及國家基礎架構營運業者付贖金給勒索軟體駭客。英國政府也提醒,民間機構付贖金給俄羅斯駭客組織,也可能觸法。
此草案為打擊網路犯罪措施的一環。The Independent報導,英國加速推動該法案,原因在於當地零售巨擘Marks and Spencer遭到勒索軟體攻擊後,拒絕透露是否支付贖金給歹徒,促使英政府決定提升管制力道。
近期資安日報
【7月22日】Dell傳出遭World Leaks勒索,測試環境資料外洩
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-04
2025-12-01
2025-11-30