EDR系統發展多年,已日趨成熟,市面上的解決方案百家爭鳴,但另一方面,駭客也對這類系統的架構越來越了解,不僅發展出多款妨礙EDR運作或繞過偵測機制的作案工具,他們還進一步濫用廠商提供的公用程式進行破壞,這樣的現象值得相關資安業者、IT人員留意,因為若是規畫不夠周延,有可能成為攻擊者迴避偵測的破口。
已被用於攻擊行動的資安漏洞也相當值得留意,例如,今年3月微軟修補的微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),俄羅斯駭客EncryptHub迄今仍用於攻擊行動;N-able上週修補的遠端監控管理(RMM)平臺N-central重大漏洞CVE-2025-8875、CVE-2025-8876,美國政府發現已被積極利用,但全球仍有近900臺系統尚未修補。
【攻擊與威脅】
勒索軟體Crypto24鎖定大型企業組織而來,透過迴避偵測工具、EDR廠商的公用程式犯案
為了避免防毒軟體、EDR等資安防護系統妨礙勒索軟體執行加密的工作,駭客往往會試圖設法干擾這些防護系統的運作來達到目的,其中一種較常見的手法被稱為自帶驅動程式(BYOVD),但如今有人不僅打造能突破相關防護機制的作案工具,甚至企圖透過廠商提供的公用程式來移除EDR用戶端軟體。
例如,最近資安業者趨勢科技揭露的勒索軟體駭客組織Crypto24攻擊行動,就是這種型態的例子。這些駭客專挑大型企業的高層下手,犯案範圍橫跨亞洲、歐洲、美國,他們鎖定金融服務、製造、娛樂、科技產業而來。其中最特別的部分,就是駭客使用自製的EDR反制工具RealBlindingEDR變種,以及濫用群組原則公用程式gpscript.exe,企圖遠端從網路共享資料夾執行Trend Vision One的移除工具XBCUninstaller.exe。不過,XBCUninstaller.exe有別於一般的系統弱點濫用活動,攻擊者必須在受害電腦將權限提升為管理員後,才能嘗試利用gpscript.exe執行。換句話說,該工具必須取得管理員權限才能運作,而且無法被攻擊者當作初始入侵管道。
趨勢科技認為,Crypto24代表了勒索軟體攻擊活動的轉變,因為他們展現高度的成熟操作能力,巧妙地將PSExec、AnyDesk等合法工具用於寄生攻擊(LOLBins),且與惡意軟體結合,而能夠融入受害企業正常的IT作業,並在離峰時段執行精準攻擊,駭客不光加密檔案,還利用鍵盤側錄工具收集帳密,以及透過雲端檔案共享服務外流內部資料。
俄羅斯駭客EncryptHub濫用MSC EvilTwin漏洞,意圖散布竊資軟體Fickle Stealer
微軟在3月例行更新(Patch Tuesday)修補多達7項零時差漏洞,其中有一項被用於攻擊行動的微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),當時通報此事的資安業者趨勢科技指出,已有外號為EncryptHub的俄羅斯駭客組織(別名Larva-208、Water Gamayun)將其用於實際攻擊行動,並揭露利用的手法。如今有其他資安業者指出,這些駭客持續利用這項漏洞犯案,結合社交工程手法散布惡意程式。
資安業者Trustwave近期發現這些駭客最新一波活動,攻擊者偽裝成IT人員,向目標發出微軟協作平臺Teams的請求,一旦成功建立遠端連線,就會將惡意酬載部署於受害電腦。
在調查過程裡,駭客也試圖調整漏洞利用的相關工具,從原本的PowerShell指令碼改用Go語言打造的惡意程式載入工具SilentCrystal,來部署觸發MSC EvilTwin漏洞的MSC檔案,比較不尋常的是,攻擊者濫用瀏覽器業者Brave的支援平臺,在此寄放內藏惡意MSC檔的ZIP壓縮檔。此外,他們也以Go語言打造後門程式,此後門可與C2伺服器連線,亦能利用SOCKS5代理伺服器隧道模式充當C2基礎設施。
N-able伺服器重大漏洞已遭利用,逾800臺主機仍尚未修補
8月13日N-able發布遠端監控管理(RMM)平臺N-central更新2025.3.1版,修補重大層級的CVE-2025-8875、CVE-2025-8876,這些漏洞涉及不受信任的資料反序列化,以及輸入驗證不當,可被用於本機執行任意程式碼,或是作業系統命令注入,4.0版CVSS風險皆達到9.4分(滿分10分),同日美國網路安全暨基礎設施安全局(CISA)指出他們掌握已有積極利用的證據,將上述漏洞列入已遭利用的漏洞列表(KEV),限期聯邦機構一週內完成修補,後續Shadowserver基金會提出警告有許多IT人員尚未進行修補,迄今全球仍有近900個N-central存在相關漏洞而曝險。
8月17日Shadowserver基金會提出警告,他們在15日發現全球仍有1077個IP位址部署的N-central平臺當中,使用舊版的應用系統而面臨這些資安漏洞的風險,其中最嚴重的國家包含了美國、加拿大、荷蘭、英國,分別有440臺、112臺、110臺、98臺。
這樣的情況到了17日略為趨緩,降至880臺,超過半數(460臺)位於北美、歐洲有284臺居次。
8月15日HR雲端平臺大廠Workday公告,近日公司使用的客戶關係管理(CRM)系統遭駭客存取,導致資料外洩。
Workday說明事件起於員工遭社交工程攻擊。駭客冒充IT或HR部門人員利用文字簡訊或電話聯繫員工,誘使他們提供帳號密碼或是個人資訊。之後該公司發現駭客成功存取Workday的第三方CRM系統。他們很快就終止了駭客活動,也新增防護措施。Workday強調,沒有跡象顯示客戶租戶或是儲存的資料遭駭客取得。
根據資安新聞網站Bleeping Computer取得Workday發送給受影響客戶的信件,這起事件發生在8月6日。
其他攻擊與威脅
◆今年4月修補的CLFS零時差漏洞已遭利用,勒索軟體駭客RansomExx聲稱提供ChatGPT應用程式為誘餌,散布惡意程式PipeMagic
◆安聯人壽美國分公司資料外洩事故出現新的調查結果,110萬人個資曝險
【漏洞與修補】
10年前資安研究室Security Research Labs(SR Labs)於黑帽大會揭露BadUSB攻擊手法,攻擊者藉由改寫USB控制器,就能將USB裝置用於不法,不久後有兩名研究人員DerbyCon展示概念驗證手法,使得這種資安威脅受到外界關注,但過往通常是攻擊者打造特製的裝置來進行,如今有資安業者指出,他們能透過特定型號的USB網路攝影機來進行這類攻擊。
資安業者Eclypsium於資安大型會議DEF CON 33(DEF CON 2025)議程裡,揭露名為BadCam的網路攝影機漏洞,攻擊者一旦利用這個弱點,就能遠端秘密注入鍵盤輸入的內容,並在受害電腦的作業系統之外從事攻擊行動。此漏洞被登記為CVE-2025-4371,影響聯想特定型號的網路攝影機。對此,聯想發布資安公告說明,指出該漏洞影響510 FHD與Performance FHD兩款裝置,攻擊者有機會在實際接觸到裝置的情況下,透過USB連線寫入任意韌體,該公司發布4.8.0版韌體進行修補。
針對上述漏洞發生的原因,Eclypsium指出,這些網路攝影機執行Linux作業系統,但不會驗證韌體,使得攻擊者有機可乘,將其變成BadUSB裝置,這是首度出現將正常USB裝置用於惡意行為的案例。
其他漏洞與修補
◆Elastic旗下EDR系統存在零時差漏洞,攻擊者可用來迴避偵測、執行惡意程式,觸發BSOD畫面
◆Zoom修補Windows用戶端應用程式重大漏洞,攻擊者可用於提升權限
【資安產業動態】
防詐更進一步,數發部與Line聯手推出政府機關官方Line帳號認證計畫
為防範詐騙集團假冒政府機關或公務人員名義,透過Line向民眾行騙,數發部今天(8月19日)與Line臺灣公司聯手,推動政府機關Line官方帳號認證機制,
數發部數位政府司長王誠明指出,不少詐騙手法冒用名人大頭照假冒名人,或是利用偽冒的帳號以政府機關的名義向民眾進行詐騙,例如過去曾有不少報導,為歹徒假冒市長、區長或里長,開設群組向民眾進行詐騙的案例。從某一縣市通報假冒政府Line帳號的案例共310件,其中有71件為疑似偽冒案件,比例約有23%,偽冒的服務類型包括衛生醫療、警政、社會福利等和民眾生活相關。
為防範偽冒Line帳號詐騙的手法,Line@帳號目前推動的官方帳號識別,對於企業或大型政府機關的官方帳號旁顯示綠盾,而針對個人申請的官方帳號,例如政府機關的公務人員如社工的官方帳號,經過身分認證後給予其官方帳號藍盾識別。
近期資安日報
【8月18日】臺灣網站主機代管業者傳出遭駭客組織UAT-7237入侵
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
