近期Linux惡意程式的攻擊行動不時傳出,但最近有一起資安事故的揭露相當引人關注,原因是駭客運用的手法極為不尋常,無論是防毒軟體、靜態分析工具,抑或是行為分析工具,都難以直接將這種手法視為有害,而有機會繞過大部分的防禦機制。
針對macOS用戶而來的竊資軟體攻擊行動也相當值得留意,有資安業者在最近2個月發現名為Shamos的惡意軟體頻頻發動攻擊,估計至少有超過300家企業組織受到影響;再者,AI瀏覽器的資安議題也持續受到關注,上週資安業者Guardio警告生成式AI整合到瀏覽器可能會帶來的風險,標榜隱私及安全性的瀏覽器業者Brave,也在實作特定功能的過程裡,找到AI業者Perplexity旗下瀏覽器的資安弱點。
【攻擊與威脅】
Linux後門程式出現新手法,以壓縮檔的檔名搭Bash指令碼引爆攻擊
一般而言,大多數的攻擊行動主要針對Windows電腦而來,但最近幾年駭客也將目標延伸到Linux平臺,而且出現一些鮮少在Windows電腦運用的攻擊手法。
例如,最近資安業者Trellix揭露的Linux後門程式VShell攻擊行動,就是這種型態的例子。駭客並非直接透過檔案挾帶惡意程式,而是埋藏在檔案的名稱當中,由於一般的防毒軟體不會對檔案名稱進行檢查,使得攻擊者有機會藉此躲過相關的偵測。
這種手法濫用許多Linux的Shell指令碼相當常見的特性:直接對檔案名稱進行評估或輸出(Echo),由於過往從未出現利用檔名動手腳的攻擊手法,因此,這段程序通常不會先執行防毒等內容過濾的處理。看似良性的命令如:eval "echo $f",或是基本的檔案操作,都有可能引起整個系統遭到挾持。
竊資軟體Shamos鎖定macOS用戶而來,假借排除電腦問題為誘餌,透過ClickFix網釣散布
鎖定蘋果電腦而來的竊資軟體攻擊行動,最近兩到三個月有變多的現象,其中一款被稱做AMOS Stealer或Atomic Stealer的惡意程式,在今年6月底出現變種Odyssey Stealer之後,如今有資安業者看到新的變種惡意程式出沒,並提出警告。
在今年6月至8月,資安業者CrowdStrike偵測並攔截駭客組織Cookie Spider的攻擊行動,這些駭客打造名為Shamos的AMOS Stealer變種,並透過惡意軟體租用服務(Malware-as-a-Service)尋找打手,藉由ClickFix網釣手法入侵超過300個企業組織,試圖挖掘敏感資訊及加密貨幣資產。
附帶一提的是,上述手段能繞過macOS內建的防護機制Gatekeeper,而能將Mach-O執行檔部署到受害電腦,從而讓駭客能竊取瀏覽器、鑰匙圈存取(Keychain)、備忘錄存放的帳密資料,並洗劫加密貨幣錢包。
駭客組織PoisonSeed釣魚攻擊繞過MFA,入侵CRM與大量郵件發送服務
資安公司Nviso發布對駭客組織PoisonSeed使用的網釣套件進行技術分析,發現該工具從2025年4月以來持續活躍,具備繞過多因素驗證(MFA)的能力,透過攔截並轉送受害者輸入的帳號、密碼以及多種2FA驗證資訊,涵蓋Authenticator、簡訊、電子郵件與API金鑰,攻擊者最終能取得驗證Cookie並登入目標帳號。
研究人員特別指出,PoisonSeed與Scattered Spider、CryptoChameleon等群體在攻擊手法上存在一定程度的關聯,鎖定的主要目標包括Google、SendGrid與Mailchimp等大量郵件發送或CRM服務。
攻擊行動從魚叉式電子郵件展開,郵件標題會假裝是受害者日常使用的郵件服務平臺發出的通知,例如寄信功能受限(Sending Privileges Restricted),並內嵌看似正常的行銷或通知連結,受害者點擊後,會被導向架設於特定網域的釣魚套件,該URL中夾帶加密後的受害者電子郵件。
其他攻擊與威脅
◆勒索軟體Qilin聲稱入侵日產汽車子公司,竊得4 TB資料
◆中國駭客UNC6384鎖定東南亞等地的外交官,企圖散布惡意軟體PlugX
◆巴基斯坦駭客APT36濫用Linux系統桌面環境組態檔案,對印度政府、國防單位散布惡意程式
【漏洞與修補】
Brave示警Perplexity Comet瀏覽器AI助理可被隱藏指令操控
瀏覽器業者Brave研究指出,AI業者Perplexity推出的Comet瀏覽器在執行總結此頁等任務時,會將部分網頁內容直接送入語言模型,卻未嚴格區分使用者指令與不受信任的頁面文字,因而可能存在間接提示注入攻擊風險。
攻擊者只要在網站或社群留言隱藏惡意指令,就能在用戶已登入的情況誘使代理執行未經授權的操作。Brave公開技術細節並強調,後續再測仍發現Comet未能完全阻斷這類攻擊手法,相關問題已再次回報Perplexity。
Brave的示範以網路論壇Reddit貼文為例,當用戶開啟含有劇透標籤的留言並點選Comet的總結功能時,人工智慧在處理頁面時讀到隱藏指令,隨即依序存取用戶的Perplexity帳號資料頁,並透過偽裝成不同網域的網址要求一次性密碼(OTP),再到Gmail讀取該密碼,最後將郵件與密碼貼到該留言。整個過程完全不需使用者額外操作,清楚展現人工智慧將不受信任內容誤認為使用者請求的風險。
商業智慧分析軟體Tableau揭露重大資安漏洞,已於7月更新提供修補機制
8月22日Salesforce發布資安公告,指出他們在一個月前推出的商業智慧分析軟體Tableau Server、Tableau Desktop更新2025.1.4、2024.2.13、2023.3.20當中,一共修補5項高風險資安漏洞,這些漏洞涉及類型混淆(Type Confusion)、未限制危險類型檔案上傳、禁用資料夾的路徑名稱進行未妥善設限,以及輸入驗證不當等問題,CVSS風險介於7.7至9.6。
這些漏洞被登記為CVE-2025-26496、CVE-2025-26497、CVE-2025-26498、CVE-2025-26450、CVE-2025-26451,根據風險值,最危險的是重大層級的CVE-2025-26496,同時影響Windows及Linux版本的Tableau Server、Tableau Desktop,攻擊者可利用不相容的類型存取特定資源,觸發這項類型混淆弱點,從而導致本機程式碼包含(Local Code Inclusion)的現象,CVSS風險為9.6分。
其他漏洞與修補
◆Kubernetes Capsule存在近乎滿分的重大漏洞,攻擊者可注入任意標籤
【資安產業動態】
微軟Universal Print Anywhere功能全面上線,M365用戶可在任意印表機安全列印
微軟8月13日宣布Universal Print Anywhere功能正式上線,供Microsoft 365用戶自任何印表機上執行安全列印,同時支援Windows與macOS平臺。
該功能建立於微軟雲端列印服務Universal Print之上。使用者在選擇列印文件後,文件會先傳送至雲端,接著可走到任一支援此功能的印表機旁,以手機掃描QR Code取件,不必事先選定印表機,可避免機密文件被遺留或忘取,提升列印靈活度與隱私性。
近期資安日報
【8月25日】中國駭客Silk Typhoon透過雲端環境發動供應鏈攻擊
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
