近期中國APT駭客的活動頻頻出現在資安新聞版面,但有個較為特別的現象,就是有資安業者確認原本長期追蹤的駭客組織,竟是中國政府在背後撐腰的APT駭客。繼上週資安業者Recorded Future揭露名為RedNovember的駭客組織,本週資安業者Palo Alto Networks也公布另一組APT駭客Phantom Taurus,並指出他們追蹤兩年多以來,今年手法出現大幅變化。
另一個與中國駭客有關的消息,是VMware修補Aria Operations、VMware Tools權限提升漏洞CVE-2025-41244,通報此事的資安業者Nviso透露,中國駭客UNC5174從一年前就將其用於攻擊行動。
【攻擊與威脅】
中國駭客Phantom Taurus鎖定外交官、大使館而來,入侵SQL Server收集情報
上個月底資安業者Recorded Future指出,他們自去年以代號TAG-100(現稱為RedNovember)追蹤的駭客組織,根據他們進一步分析的結果,這些駭客極可能有中國政府在背後撐腰,如今有其他資安業者也表示,他們長期追蹤的駭客組織,確認是與中國政府有關的國家級駭客。
資安業者Palo Alto Networks指出,他們從兩年前先後以代號CL-STA-0043、TGR-STA-0043追蹤的駭客組織,現在該公司確認這組人馬是中國資助的APT駭客,並將其命名為Phantom Taurus。這些駭客過往曾鎖定亞洲、中東、非洲的政府機關及電信組織,主要目標是網路間諜活動,攻擊者關注的領域,涵蓋外交部、大使館、地緣政治事件,以及軍事行動,收集與中國軍事利益相關的情報,而且,他們活動的時間與範圍,經常與重大全球事件或地區安全事件符合。
而對於Phantom Taurus與其他中國APT駭客組織之間的關連,目前已知他們與多個駭客組織,如APT27、Winnti、Mustang Panda,共用部分基礎設施,但這些駭客採用了其他駭客沒有的基礎設施元件,因此Palo Alto Networks認為這是一個新的駭客組織。
VMware修補Aria Operations、VMware Tools權限提升漏洞,中國駭客從一年前用於零時差攻擊
9月29日VMware針對旗下的Aria Operations與VMware Tools發布更新,修補資安漏洞CVE-2025-41244、CVE-2025-41245、CVE-2025-41246,其中,通報CVE-2025-41244的資安業者指出,中國駭客UNC5174將其用於實際攻擊,最早可追溯到去年10月中旬。
CVE-2025-41244是本機權限提升漏洞,攻擊者若是能在沒有管理員權限的情況入侵虛擬機器(VM),就有機會以此漏洞將自己的權限提升為root,CVSS風險值為7.8。不過,攻擊者要利用上述漏洞存在必要條件:VM本身已部署VMware Tools,並受到Aria Operations管理,而且,Aria Operations也要啟用服務探索管理套件(Service Discovery Management Pack,SDMP)的功能。該公司指出,這項漏洞不光影響Aria Operations、VMware Tools,也影響VMware Cloud Foundation、VMware Telco Cloud Platform,以及VMware Telco Cloud Infrastructure。
這項漏洞由資安顧問公司Nviso發現及通報,他們在今年5月下旬調查UNC5174事故時,察覺異常指標,進一步確認是零時差漏洞,於是5月底向Broadcom通報此事。Nviso發布部落格說明,他們確認UNC5174確實將其用來進行本機權限提升,但無法確定駭客是無意間觸發漏洞,還是已將其納為武器庫的一部分。
今年6月Sudo團隊發布1.9.17p1版,修補本機權限提升漏洞CVE-2025-32462、CVE-2025-32463,其中風險程度達到重大層級的CVE-2025-32463(4.0版CVSS風險值為9.3),美國政府警告已被用於攻擊行動,近期再度引起資安界關注。
9月29日美國網路安全暨基礎設施安全局(CISA)提出警告,他們掌握有5個資安漏洞遭到利用的跡象,列入已遭利用的漏洞名單(KEV),要求聯邦機構必須在10月20日完成修補,其中一個就是CVE-2025-32463。
雖然CISA並未透露漏洞如何遭到利用,但在通報此事的資安業者Stratascale於6月底公布細節後,不到一週的時間就有研究人員製作概念驗證(PoC)程式碼。而在CISA將其列入KEV的同一天,有資安部落格公布更為詳細的資訊。
美國聯邦機構未及時修補遭GeoServer已知漏洞攻擊,駭客試圖上傳中國菜刀及各式作案工具
去年6月下旬OSGeo發布2.25.2版地理位置資訊伺服器GeoServer,修補重大層級的漏洞CVE-2024-36401(CVSS風險值9.8),隔月美國網路安全暨基礎設施安全局(CISA)表明已被用於攻擊行動,列入已遭利用的漏洞名冊(KEV),一年後CISA指出,有聯邦機構在漏洞公布不久後就遭遇相關攻擊,並公布事故的細節。
針對這起漏洞攻擊事故,CISA指出突顯了受害組織存在3項問題而釀禍,包含漏洞未及時修復、事故應變計畫(Incident Response Plan,IRP)未測試或執行,以及並未持續檢視EDR系統的警示訊息。
對此,他們呼籲企業組織應優先修補曝露在網際網路的應用系統,緩解已遭利用的漏洞,以及重大層級的漏洞,來減少被入侵的攻擊面。企業組織要藉由維護、演練、改善事故應變計畫,為因應資安事件做好準備。此外,也要集中化實作全面且詳細的事件記錄,並進行彙總。
Akira勒索軟體攻擊行動突破SonicWall防火牆MFA防護
7月份SonicWall防火牆遭Akira勒索軟體攻擊,安全研究人員近日發現,駭客能突破SonicWall的多因素驗證(MFA)成功感染勒索軟體。
兩個月前安全廠商Arctic Wolf Labs偵測到一波針對SonicWall SSL VPN裝置的勒索軟體攻擊。駭客先是掃描傳輸埠、以滲透測試工具Impacket利用SMB協定在受害者網路執行指令,在幾分鐘內就在受害者網路上部署勒索軟體。
在最新研究中,Arctic Wolf發現攻擊者用以攻擊SonicWall SSL VPN的基礎架構更加強化。證據顯示多個VPN帳號可被快速成功登入,且有同一VPN用戶端IP位址用於重覆成功登入,甚至有定期登入活動,這顯示並非典型合法利用帳號,駭客們可能增加了新的基礎架構,使其得以執行指令碼自動化驗證過程。
其他攻擊與威脅
◆Palo Alto Networks防火牆滿分漏洞傳出有人進行大規模掃描
◆駭客聲稱掌握Veeam備份軟體的RCE漏洞,在暗網開價7千美元兜售
◆針對WhatsApp日前修補的零點擊漏洞,攻擊者可透過惡意DNG檔觸發
【資安產業動態】
微軟、Palo Alto Networks、SentinelOne宣布退出MITRE資安評測,引發外界質疑測試機制失焦
針對EDR偵測能力評比的年度評估計畫MITRE ATT&CK Evaluations,自2019年開始每年舉行,然而今年有3家主要資安廠商宣布退出,引發業界對這項計畫的公信力出現疑慮。
根據資安新聞網站Infosecurity Magazine的報導,6月微軟宣布不參加今年MITRE Engenuity ATT&CK Evaluations: Enterprise的評測,9月12日SentinelOne與Palo Alto Networks也確認會退出今年的測試。由於微軟去年底利用評測結果推廣Microsoft Defender XDR,今年該公司卻帶頭宣布不參與MITRE評測,相當讓人意外。而對於不參加評測的原因,3家公司不約而同表示,他們希望能專注在產品的研發及創新。
對此,我們也透過代理商及公關公司進行了解。SentinelOne與Palo Alto Networks皆重申,以12日發布的聲明為主,SentinelOne強調,他們仍是MITRE堅定的支持者與倡導者,但他們根據內部的決定,打算將資源轉向以客戶為中心的計畫,以及產品發展藍圖。
物理AI發展潛力無窮,「具身AI」資安強化將成為IT重大議題
臺北市政府引進機器狗引發的討論,不僅揭示了資安風險,也將大眾目光引向機器人技術的深層變革。在過去,各界對機器人的印象,多半停留在工業生產線上的傳統機器手臂,或依循預設路徑巡邏的自動化載具。這些傳統機器人本質上是一種「自動化工具」。VicOne LAB R7實驗室負責人張裕敏表示,傳統機器人能夠精確地重複執行預設動作,例如搬運物品、跳舞,但一旦環境發生變化或遇到未知情境,便會顯得笨拙且無能為力,因為它們缺乏真正的「理解」和「推理」能力。
隨著人工智慧,特別是大型語言模型(LLM)的飛速發展,機器人正經歷一場智慧心靈的覺醒,轉型為具備學習、理解與應變能力的「具身AI機器人」。張裕敏強調,目前大眾對機器人資安的認識仍顯不足,臺北市政府引進機器狗所引發的爭議,恰好是一個絕佳的警醒:若不加以重視,三年後,當機器人已經更廣泛應用時,我們恐將面臨一場「大災難」。
近期資安日報
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
