文/羅正漢|2025-09-02發表

回顧2025年8月資安新聞,國際間有多家精品業者與科技大廠的資安事故,攻擊者的目標都鎖定企業使用的Salesforce資料而來,成為本月頭號焦點,還有多國網路安全機構針對中國政府資助的駭客攻擊行動示警,以及其他3個威脅層面的議題同樣深受我們關注,包括AI Agent風險實際浮現、零時差漏洞威脅、國內外重大資安事件,同時,我們也看到黑帽大會研究發表,以及國際資安防禦上的重要進展。在此我們將為大家回顧本月重要的資安新聞。

 

(一)駭客竊取Salesforce資料的攻擊不斷

近期駭客鎖定Salesforce資料竊取的消息持續傳出,有兩大威脅引發各界矚目。

首先,自今年6月以來,Google揭露的駭客組織UNC6040(又稱 ShinyHunters)不僅擅長發動語音網釣攻擊,其騙取帳密的目標更是鎖定企業使用的Salesforce系統。這類攻擊屬於典型的社交工程手法,駭客透過誘騙取得 Salesforce帳號密碼,進而非法存取企業資料。後續,多家精品業者資安事故曝光,共同點也都指向Salesforce系統遭入侵,8月受害者在增加香奈兒、Pandora,甚至科技大廠思科、Google也揭露相關遭遇。後續有資安業者揭露,ShinyHunters、Scattered Spider這兩個擅長社交工程的駭客組織,已展開合作,共同鎖定受害者並分享攻擊工具與手法。

其次,8月另一針對Salesforce的攻擊事件,是與第三方應用程式有關。Salesloft於20日發布公告說明,其對話式行銷與客戶互動工具Drift與Salesforce整合出現資安事件,Google威脅情報團隊與Mandiant進一步揭露,UNC6395駭客組織利用Salesloft Drift應用的OAuth token,進而入侵多家企業Salesforce租戶並竊取資料。這起攻擊事件影響同樣廣泛,因此Google建議,只要有使用Drift與Salesforce整合的企業,應將儲存在Salesforce的資料視為可能已外洩,也警告與Drift相連的所有整合服務,同樣都可能遭入侵與濫用,因此建議企業應全面檢查所有與Drift連接的第三方服務。值得注意的是,因Drift而受害的企業在9月初浮上檯面,包括資安業者ZscalerPalo Alto NetworksCloudflare,這樣的供應鏈攻擊情形,後續受害規模恐再擴大。

這些事件突顯出幾項問題:客戶關係管理系統(CRM)早已是駭客鎖定的目標,因為客戶資料對攻擊者而言具有高價值,但為何近期頻繁被針對?此外,Google提及該公司使用的一個Salesforce系統也受UNC6040活動的影響,攻擊者曾短暫存取部分中小型企業的聯絡資訊與相關記錄,並在存取被切斷前一小段時間取走了資料,但僅限於基本的、大部分公開可用的商業訊息,例如企業名稱和聯絡資訊,並已通知受影響用戶,這是否意味零信任架構的確有效,能夠及早發現存取異常而避免損害擴大,但較可惜的是,Google並未揭露外洩規模,以及遭存取的一小段時間是多久,又或是其零信任架構是否有需要強化之處。

至於Drift與Salesforce整合的問題,究竟是有哪些漏洞或弱點讓攻擊者有了可乘之機?為何OAuth token被竊取?是否設計或實作上的弱點或安全配置上的疏失,同樣值得追蹤與探討。

另外一提的是,還有其他相關消息。例如,在我們整理Salesforce相關資訊時,還發現有媒體報導「駭客集團ShinyHunters成功入侵Google,據傳可能導致高達25億Gmail用戶的個資外洩」,但先前各資安業者揭露的資訊中並未提及這些資訊,引起我們好奇,查詢這些報導主要引用《Daily Mail》或《Forbes》等媒體資訊,究竟Gmail相關帳號外洩狀況如何?消息可能尚待釐清,不過Google於9月1日有公告發布,他們指出近期關於Gmail重大資安警告的說法是不實的。

 

(二)多國網路安全機構針對中國政府資助的駭客攻擊示警

全球多國電信關鍵基礎頻遭國家級駭客攻擊,今年8月底多國網路安全機構發布聯合資安公告,警告中國國家支持的駭客已經滲透全球的關鍵基礎設施,尤其是電信服務業,公告中有3大焦點值得關注:
●發布這份聯合安全公告的網路安全機構多達13國的23個安全情報機構,數量之多相當罕見,包括美國、英國、日本、德國、義大利、捷克、荷蘭、芬蘭、波蘭、西班牙、澳洲、紐西蘭、加拿大等。
●點名3家中國企業協助中國情報部門並涉入攻擊全球的駭客行動,包括今年1月被指控參與Salt Typhoon的攻擊行動的四川聚信和,還有另外兩家企業是北京寰宇天穹、四川智信銳捷
●建議各國強化網路設備安全時,應注意優先修補4個已知漏洞(CVE-2024-21887、CVE-2024-3400、CVE-2023-20273、CVE-2023-20198、CVE-2018-0171),並加強對日誌的監控,若採用思科設備,最好停用Smart Install與Guest Shell。

 

(三)AI Agent發展持續帶來挑戰需要因應

在AI Agent能力發展之下,特別是7月Perplexity推出AI瀏覽器Comet後,近期有2則新聞顯現出實際可見的威脅示警。
●瀏覽器業者Brave示警,AI助理可被隱藏指令操控。Brave安全團隊指出Comet在執行總結此頁等任務時,有未妥善隔離指令與頁面的風險,研究中並實際以概念驗證,首先在Reddit發了一則暗藏惡意指令的貼文,一旦使用者利用Comet瀏覽器來總結頁面,可被隱藏指令誘使AI代理自動讀取Gmail內容,並竊取信中OTP驗證碼再張貼至Reddit論壇,這些動作都在背景執行,用戶完全不會察覺。
●資安業者Guardio警告,AI 瀏覽器在自動執行任務(如購物、處理郵件)時,容易被詐騙網站或惡意指令操控。該研究中以Comet瀏覽器進行3種測試,首先是先建立冒牌Walmart電子商城,要求Comet的AI購買產品,結果代理AI直接在假商城下單,填入瀏覽器儲存的信用卡資料及地址完成購買,其次是假冒富國銀行投資經理寄送釣魚郵件,Comet收到電子郵件後直接標記為代辦事項並點選連結,要求使用者輸入相關帳密,第三種是涉及提示注入的網釣手法PromptFix,以前駭客會用假CAPTCHA頁面騙人點擊,這項手法則是騙AI助理去執行,而該網頁中其實隱藏惡意指令,AI助理會解讀為新的行動指令去執行。

 

(四)零時差漏洞威脅持續延燒

本月多起零時差漏洞攻擊消息,顯示駭客積極找出難以防禦的未知漏洞,直到攻擊出現後才讓業者發現有漏洞要修補,其中影響較大的幾個漏洞包括:Citrix NetScaler的漏洞CVE-2025-7775、開源PBX軟體FreePBX的漏洞CVE-2025-57819、蘋果的漏洞CVE-2025-43300、趨勢科技Apex One的漏洞CVE-2025-54948、CVE-2025-54987,以及WinRAR的漏洞CVE-2025-8088。其中鎖定WinRAR漏洞的攻擊者已被揭露,是俄羅斯駭客組織RomCom,其他攻擊的幕後兇手尚未有所發現或公布。

還有些駭客也很取巧,直接鎖定已知漏洞來發動攻擊,主要針對還沒修補的企業。其中最值得注意的是,美國FBI警告,仍有俄羅斯駭客正濫用思科7年前老舊漏洞(CVE-2018-0171),還有今年4月Erlang/OTP SSH函式庫修補一項滿分漏洞,不僅6月開始發現有攻擊者鎖定此漏洞來攻擊,Palo Alto Networks更警告攻擊者主要保護OT環境的防火牆而來。

 

(五)臺灣重大資安事件

根據公開資訊觀測站刊登的重大訊息公告,本月有3家上市櫃公司發布資安重訊,同時還有一些消息顯示有更多未浮上檯面的受害者
●第三週2起,樂意指出陸續接獲合作廠商通報疑似遭遇資料外洩的情況;統振傳出遭勒索軟體組織Qilin攻擊,當日我們詢問,該公司回覆確實有資安事件調查中,隔日該公司發布資安重訊,指出外部網站部份資訊系統遭受駭客網路攻擊。
●第四週1起,康那香揭露該公司與海外子公司的部分資訊系統遭到駭客攻擊。

值得注意的是,還有一些重要情資值得留意,例如,思科警告有一家臺灣網站主機代管業者,遭中國駭客組織UAT-7237入侵,該報告解析了攻擊手法,同時指出該組織可能是另一中國駭客UAT-5918的分支。目前尚未有國內業者坦承遇害。
另有勒索軟體駭客DevMan在暗網宣布有4家臺灣企業受害,聲稱已掌握這些公司200 GB至960 GB不等的資料,並勒索3千萬至1.8億元,但未公布受害企業的全名。另外還有Direwolf勒索軟體集團聲稱台灣東洋國際儀表遭其攻擊。

 

(六)黑帽大會揭露最新資安研究

今年8月適逢美國黑帽大會舉行,今年有不少值得資安圈關注的研究發表,在本月資安日報中也有報導。例如:
●微軟安全測試與防禦研究團隊(STORM)研究人員,公開名為BitUnlocker的4個弱點(簡報),揭露透過WinRE截取BitLocker的機敏資訊。
資安業者Cyata執行長發表《Vaulted Severance: Your Secrets Are Now Outies》,揭露從兩款身分驗證資料管理平臺找到一系列邏輯缺陷的漏洞細節。
期間還有多項研究同樣受關注,以下也舉出幾例:
●PortSwigger研究總監James Kettle發表《HTTP/1.1 Must Die: What This Means for Bug Bounty Hunters》(簡報),並提出重新思考HTTP request smuggling的防禦方法。
●Wiz研究人員發表《Breaking Out of the AI Cage: Pwning AI Providers with NVIDIA Vulnerabilities》(簡報),揭露在NVIDIA Container Toolkit發現嚴重漏洞的細節,指出影響雲端AI服務商的弱點如何被串起。

臺灣資安研究人員也不缺席,在今年美國黑帽大會上,例如,趨勢科技紅隊童舒晧發表《From Spoofing to Tunneling: New Red Team's Networking Techniques for Initial Access and Evasion》(簡報),揭露利用tunnel(如GREVxLAN)建立內網存取通道的新型內網滲透技術,並指出企業內網若缺乏來源IP位址過濾,攻擊者可隱匿行動,另也指出Linux Kernel與RouterOS預設啟用VxLAN,以及RouterOS用戶無法停用的狀況。

而在黑帽大會之後的Def CON大會上,還有更多國內專家登上舞臺,例如:趨勢科技紅隊資安威脅研究員游照臨發表《Gateways to Chaos - How We Proved Modems Are a Ticking Time Bomb》、《Unveiling IoT Vulnerabilities: From Backdoors to Bureaucracy》,以及在TALK Schedule談《Smart Bus Smart Hacking: From Free WiFi to Total Control》;TXOne Networks產品資安事件應變暨威脅研究團隊資深經理鄭仲倫與網路威脅與產品防禦中心威脅研究員黃智威發表 Let AI Auto-Generate Neural-ASR Rules for OT-specific Attacks via the NLP Approach

另外,今年8月臺灣也有一場重要的資安盛事——HITCON 2025(臺灣駭客年會),本屆國際講師比例高達一半,不僅展現了臺灣資安社群與國際的緊密連結,也讓國內與會者有機會接觸到更多元、更前沿的全球資安趨勢與技術,其中AI挖掘漏洞是最大焦點,後續我們也將持續報導這方面消息。而接下來9月還有SEMICON Taiwan 2025國際半導體展舉行,屆時半導體資安也會是一項重點,值得大家留意。

 

(七)產業安全重要進展

除了掌握威脅,我們也看到國際間資安防禦上有許多新進展,例如,美國NIST發布全新的輕量級加密標準SP 800-232。之所以推動這個規範,目的是促進系統資源有限的物聯網(IoT)裝置,像是RFID標籤、車載收費系統,甚至是醫療植入設備,都能夠使用加密技術來保護資料,共規範4項規格:Ascon-AEAD128、Ascon-Hash256、Ascon-XOF128、Ascon-CXOF128。還有一些資安工具發展與釋出消息可留意,例如,趨勢科技在美國黑帽大會的AI Summit公開最新AI資安創新應用:虛擬紅藍隊演練,這項技術是以Digital Twin概念結合10種類型資料與3種AI代理來打造,其他還包括:CISA開源可用於惡意程式和鑑識分析的自動化檔案分析平臺Thorium;Anthropic宣布旗下Claude Code整合自動安全審查功能,可提升開發流程安全性;以及微軟釋出專為AI代理打造安全執行環境的Wassette程式原始碼。

此外,在整理本期資安月報時,我們還收集到一些國際間發布的重要資安防護指引,在此一併提供給大家參考。
●面對新興技術帶來的風險,美國NIST發布一份NIST SP 1331》草案文件,目的是讓各組織能應用CSF 2.0來因應新興風險所衍生的挑戰的入門指南。
●為了幫助OT系統的擁有者與營運者建立最基本的資產管理,全球多個網路安全機構共同發布了《工控資安的基礎:資產清單建立指引》,參與發布的機構包括澳洲ACSC、德國BSI、荷蘭NCSC-NL、紐西蘭NCSC-NZ,以及美國NSA、CISA、FBI與EPA。
●隨著網路空間成為繼陸、海、空、太空之後的第五作戰領域,北約合作網路防禦卓越中心(NATO CCDCoE)發布解析俄羅斯網路戰術與烏克蘭韌性的報告《Ukraine as the Frontline of European Cyber Defence: Building Resilience in the Face of Russian Cyber Aggression》,目的是從俄羅斯網路侵略中汲取經驗,為其他歐洲國家提供強化集體網路防禦的建議。

 

【資安週報】0804~0808,勒索軟體DevMan在同一日宣布勒索4家臺灣企業,贖金最高開價1.8億元

在2025年8月第一個星期的資安新聞中,勒索軟體DevMan聲稱攻擊4家臺灣企業的消息最受關注,還有攻擊者濫用合法服務的全新態勢,包括濫用惡意網址檢測服務來隱藏有效酬載,以及濫用身分驗證模組PAM匿蹤

 

【資安週報】0811~0815,俄羅斯駭客正利用WinRAR零時差漏洞發動網釣攻擊,主要鎖定金融、製造、國防與物流產業

回顧2025年8月第二星期的資安新聞,俄羅斯駭客挖出WinRAR新的零時差漏洞,大舉發動網釣攻擊以植入惡意程式的狀況最受關注,還有多個先前資安事故的後續消息,特別是ShinyHunters、Scattered Spider、Lapsus$等多個駭客組織可能聯手的狀況,已有資安業者提醒金融服務及科技服務供應商可能是下一目標

 

【資安週報】0818~0822,臺灣有網站主機代管業者遭UAT-7237入侵,挪威水壩系統確認遭到俄羅斯攻擊

在2025年8月第三星期的資安新聞,有兩起資安事件揭露備受國際關注,一是思科揭露有臺灣網站主機代管業者遭中國駭客組織UAT-7237入侵的情況,另一是挪威警察安全局公布先前4月水壩閘門控制系統遭入侵是俄羅斯駭客所為;國際間還有兩個重要警告:荷蘭NCSC指出,當地多個重要機構遭遇攻擊者鎖定Citrix NetScaler漏洞的攻擊,美國FBI則警告俄羅斯駭客正濫用思科7年前老舊已知漏洞攻擊全球基礎架構

 

【資安週報】0825~0829,全球13國的23個網路安全機構聯合示警,指出中國政府支持的駭客行動已滲透全球關鍵基礎設施

在2025年8月最後一星期的資安新聞中,中國駭客威脅持續成全球關注焦點,最近美、日、德、澳等13國共23個情報與安全機構罕見地發布聯合資安公告,揭露中國政府支持的駭客已滲透全球關鍵基礎設施,因此解析其攻擊手法並提供防禦建議,當中亦點名三家中國企業協助中國情報部門並涉入相關駭客行動,包括四川聚信和、北京寰宇天穹與四川智信銳捷

 

【2025年7月資安月報,語音網釣與ClickFIX網釣日益嚴峻】
 

【2025年6月資安月報,中華電信憑證失去瀏覽器信任,以伊戰事引發網路攻擊】
 

【2025年5月資安月報,AI資安技術發展動能強勁,從Agentic SOC、資安LLM到紅藍隊攻防演練都有進展】
 

【2025年4月資安月報,臺灣資安產業蓬勃發展,PQC、零信任、產品資安受矚目,LLM安全風險因應成最新主軸】
 

【2025年3月資安月報,出現專門鎖定臺灣攻擊的勒索軟體,CrazyHunter攻擊目標從醫院擴大至上市櫃公司】
 

【2025年2月資安月報,臺灣海纜遭人為破壞、醫院遭勒索軟體攻擊,關鍵CI防護受考驗】
 

 

iThome Security

熱門新聞

Advertisement