今年3月微軟針對中國駭客組織Silk Typhoon(別名Hafnium、Murky Panda)的手法提出警告,指出這些駭客從去年開始鎖定雲端環境而來,最近資安業者CrowdStrike也公布相關調查結果,指出駭客主要的目標,是北美的政府機關和企業組織。
8月上旬法國電信業者Orange、英國電信業者Colt傳出資料外洩事故,到了上週末兩家業者都公布新的消息;而在國內的資安事故,傳出勒索軟體Qilin從外籍移工仲介業者統振竊取個資的情況,此外,不織布康那香發布重訊指出,有資訊系統遭到攻擊。
【攻擊與威脅】
中國駭客Silk Typhoon意圖藉由雲端環境的信賴關係發動供應鏈攻擊,存取下游客戶網路環境
美國司法部(DOJ)7月上半在義大利米蘭逮捕中國駭客,引發全球關注,當局的理由在於,此人參與駭客組織Silk Typhoon(別名Hafnium、Murky Panda),於2020至2021年接收中國政府命令,從事竊取COVID-19相關研究的成果,過程中利用Exchange零時差漏洞ProxyLogon(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065),而能從超過1萬家美國企業組織竊得敏感資訊。雖然成員遭到執法單位逮捕,但資安業者最近發出警告,提醒大家注意這群攻擊者仍持續鎖定北美發動攻擊。
資安業者CrowdStrike指出,他們從去年下旬觀察到這些駭客的攻擊行動,針對北美的政府機關、科技、學術、法律,以及專業服務的企業組織而來,這些駭客不僅將已知漏洞和未知漏洞當作武器(其中一個是Citrix NetScaler重大漏洞CVE-2023-3519),往往藉由曝露在網際網路的應用系統取得受害組織的初始入侵管道,還會透過雲端信任關係,試圖存取下游客戶環境。
在其中兩起資安事故當中,Silk Typhoon利用零時差漏洞來入侵SaaS供應商的雲端環境,一旦成功取得初始存取管道,他們就會決定攻擊雲端環境的邏輯,並進一步向下游客戶移動。
英國電信商Colt通報資料遭竊,暗網外流檔案可能涉及客戶資訊
英國電信商Colt公告,其業務支援系統遭遇資安事件,攻擊者已在暗網張貼部分檔名清單,並聲稱取得資料,為此Colt正持續調查與復原,承諾隨時公布進展。
Colt強調,本次事故影響的範圍僅限於業務支援系統,與客戶基礎設施相互獨立,且兩者的認證系統並不共用。Colt表示,他們在8月12日上午發現異常後,立即在11時左右啟動重大事件應變程序,並引入外部資安專家進行鑑識調查,同時已通報英國NCSC及其他監管與執法單位。
雖然Colt公告未直接指稱攻擊者身分,但根據資安公司KELA的調查,認定該事件為勒索軟體組織Warlock所為,偷走的部分檔案清單已在RAMP網路犯罪論壇曝光,顯示被竊取的資料涵蓋Colt內部多個核心營運領域,包括網路基礎設施、財務會計、人力資源、法務合規、專案管理及安全等。
Orange Belgium通報資料外洩,85萬客戶資料遭未授權存取
法國Orange Group旗下比利時電信商Orange Belgium表示,該公司在7月底偵測到一起針對內部資訊系統的網路攻擊事件,導致85萬名客戶的部分資料遭未授權存取。該公司強調,事件並未涉及密碼、電子郵件或金融資訊,但仍提醒用戶保持警覺,以防遭遇假冒客服或釣魚詐騙等後續風險。
Orange Belgium指出,遭入侵的系統存放的資料包括客戶姓名、電話號碼、SIM卡號、PUK碼以及資費方案。雖然這些資料不足以直接影響帳號登入或財務安全,但若與其他外部來源的資訊組合,可能被不法人士利用,進行社交工程攻擊或針對性詐騙。公司特別強調,密碼、電子郵件帳號、銀行與金融資料皆未受影響。
該公司說明,事件一經偵測,安全團隊隨即封鎖受影響的系統,並同步加強資安管控,以防止攻擊擴大。Orange Belgium已依規定通報主管機關,目前調查仍在進行中,基於調查完整性與客戶隱私保護,官方暫不公布更多技術細節。
外籍移工仲介業者統振傳出遭駭,勒索軟體Qilin聲稱竊得逾70萬筆個資,恐有上千筆資料仍外流
8月22日經營外籍移工仲介、匯款、電信預付卡的臺灣上櫃公司統振晚間發布資安重訊,指出他們外部網站的部分資訊系統,在8月20日遭到網路攻擊,在偵測到攻擊的當下,資訊部門已全面啟動因應,進行相關的防禦機制與復原作業,並對所有網域及相關檔案做全面徹底的掃描檢測。而對於這起事故造成的影響,該公司強調,遭到攻擊的為外部網站,對公司營運並無影響。
當天晚間發布重訊後,國內媒體自由時報報導指出,勒索軟體駭客Qilin聲稱竊得逾70萬筆移工個資,這些移工恐成為人頭帳戶,事隔兩天,統振發布新的重訊說明影響範圍。該公司指出,遭到攻擊的伺服器所存放的資料,主要是用於壓力測試與情境測試的模擬資料,但為了確認資料的正確性,他們還是在測試資料庫存放千餘筆真實資料,因此這才是實際受影響的個資數量,該公司將依法通知受影響的移工。
在統振22日發布資安重大訊息之前,網路上已有傳言,我們上週在追蹤與臺灣有關的資安事故時,在社群網站看到勒索軟體駭客Qilin聲稱對統振(welldone[.]com[.]tw)下手的消息,對此,我們向統振進行了解,該公司22日透露是外部伺服器遭到攻擊,並表示後續將發布重訊進行說明。而綜合22日的報導及重大訊息,遭到勒索軟體攻擊的可能性極大。
8月24日不織布大廠康那香於股市公開觀測站發布資安重訊,指出該公司與海外子公司的部分資訊系統遭到駭客攻擊,他們在偵測到相關跡象後,資安部門立即啟動相關防禦機制,並進行系統復原,目前資訊系統陸續恢復正常運作。
針對這起事故可能會造成的損失或是影響,康那香表示根據他們的初步評估,無重大影響,他們未來將持續提升網路與資訊基礎架構之安全控管。
其他攻擊與威脅
◆竊資軟體Shamos鎖定macOS用戶而來,透過ClickFix網釣散布
◆惡意Go模組被用於暴力破解,將SSH帳密傳送給Telegram機器人
◆GeoServer的軟體開發套件重大漏洞遭到利用,駭客企圖轉售頻寬牟利
【漏洞與修補】
Commvault揭露備份軟體遠端執行程式碼重大漏洞,須盡速修補
老牌備份與資料保護軟體廠商Commvault,於8月19日揭露影響備份軟體平臺的4項漏洞,並釋出修補。
這4項漏洞是由watchTowr安全研究人員於今年4月發現與通報,存在於11.32.0到11.32.101版,與11.36.0到11.36.59版以前的Commvault軟體平臺中。但Commvault官方的安全建議通報只提供這4個漏洞的內部編號,而未提供CVE漏洞編號資訊,不過The Hacker News等資安新聞網站確認了這4個漏洞的CVE編號。
其中最嚴重的漏洞,是編號為CVE-2025-57790的漏洞(Commvault安全建議編號CV_2025_08_2),為CVSS嚴重性等級評分8.7的重大漏洞,會導致遠端攻擊者透過軟體中的路徑遍歷問題,在未授權下存取檔案系統,進而從遠端執行程式碼。
Windows版Docker應用程式存在SSRF漏洞,恐讓駭客完全掌控電腦
資安研究員Felix Boulet發現Windows版Docker應用程式存在伺服器請求偽造(SSRF)漏洞,能讓攻擊者從Docker容器未經授權存取網站、建立高權限容器,甚至取得整臺Windows主機的存取權。
這項漏洞編號為CVE-2025-9074,出現在Docker Desktop應用程式,4.0版CVSS風險為9.3分,Docker發布4.44.3版修補。針對Felix Boulet找到這項漏洞的原因,他只是掃描私人IP位址劃分的子網路,就發現本漏洞。這項漏洞出人意外地簡單:Docker Engine API(通常使用2375埠)在內部網路上暴露給所有容器,這意味本應被隔離的工作負載,反而能直接操控Docker的主控臺。在修補前,攻擊者可濫用CVE-2025-9074進行SSRF攻擊,無需任何驗證存取http://192.168.65.7:2375/,建立高權限容器,或是在建立容器時指定將Windows主機的C:\掛載到容器中,並且取得Windows主機的完整存取權。
Felix Boulet後續向Philippe Dugre討論相關發現,在進一步驗證後,確認macOS版本應用程式也存在相關弱點,Linux版則不受影響。
其他資安產業動態
◆麥當勞的數位基礎設施存在嚴重漏洞,恐曝露客戶資料、允許未經授權存取
近期資安日報
【8月22日】惡意軟體Noodlophile Stealer鎖定企業而來,以更細緻的版權爭議誘餌散布
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04