駭客濫用滲透測試工具的情況,現在已從商業軟體轉向開源專案,但最近有一種滲透測試框架接連被用於攻擊行動的情況相當不同,有資安業者根據他們掌握的線索進行調查後發現,開發者的身分並不尋常,他曾積極在駭客論壇活躍,而且特別鎖定俄羅斯駭客進行宣傳,換言之,這並非原本用於合法的工具遭到濫用,而是駭客以開源專案掩護打造犯罪工具的事實。
國家級駭客的攻擊行動同樣大幅占據今天的新聞版面,其中,俄羅斯駭客Sandworm旗下團體以寄生攻擊手法,針對烏克蘭企業組織從事網路間諜活動,以及北韓駭客BlueNoroff專門針對Web3和區塊鏈領域,散布惡意軟體的攻擊活動,還有加拿大指出當地的關鍵基礎設施的工控設備,也遭到國家級駭客入侵而影響運作。
【攻擊與威脅】
駭客聲稱提供開源滲透測試框架AdaptixC2,實際上是發展犯罪工具
合法的滲透測試工具遭到駭客濫用的情況不時傳出,近期駭客又特別偏好功能強大的開源工具,例如:中國駭客Storm-2603將資安鑑識工具Velociraptor用於勒索軟體活動,但如今卻出現有歹徒反向操作,假借打造開源滲透測試框架的名義,明目張膽地發展犯罪工具。
資安業者Silent Push指出,最近幾個月傳出遭到濫用的滲透測試工具AdaptixC2,背後實際上的主要開發者是駭客。該公司根據上個月揭露的惡意軟體載入工具CountLoader的攻擊行動裡,犯案的俄羅斯勒索軟體駭客會一併運用AdaptixC2進行通訊,其中不尋常的跡象是,AdaptixC2的有效酬載竟透過CountLoader的基礎設施提供,於是他們進一步根據C2的IP位址等資料循線追查,發現AdaptixC2開發者的身分並不單純。
而且,在GitHub儲存庫提交的AdaptixC2程式碼,幾乎都來自名為RalfHacker的人士,雖然他自稱是滲透測試員及紅隊操作人士,但實際上是惡意軟體的開發者。
俄羅斯駭客Sandworm透過寄生攻擊隱匿行蹤,對烏克蘭大型商業服務及地方政府機關下手
隨著軍事行動持續進行,俄羅斯對烏克蘭企業組織的網路攻擊接連傳出,最近又有資安業者揭露相關事故,並指出駭客廣泛運用寄生攻擊(LoL)與常見合法工具,真正自己打造的惡意軟體並不多,這樣的情況使得企業組織更難察覺異狀。
資安業者賽門鐵克指出,他們近期發現疑似與Sandworm有關的俄羅斯駭客組織,攻擊一家大型商業服務公司,以及地方政府部門,分別入侵長達兩個月及一週,目的是收集情報。對於接觸受害組織的管道,駭客很可能鎖定能從網際網路存取的伺服器,藉由尚未修補的已知漏洞而得逞,隨後就在伺服器部署LocalOlive等Web Shell,而這正是他們判斷與Sandworm有關的依據。
鎖定商業服務公司的攻擊,最早可追溯到6月27日,當時駭客嘗試在伺服器部署Web Shell,得逞後進行偵察並收集受害主機的系統資訊,並執行PowerShell命令竄改防毒軟體Microsoft Defender設定,將下載資料夾加入白名單,這麼做應該是為了避免相關下載檔案遭到攔截。
北韓駭客BlueNoroff從事GhostCall與GhostHire攻擊行動,鎖定Web3及區塊鏈領域而來
北韓駭客鎖定加密貨幣及區塊鏈產業發動攻擊的情況,不時有相關事故傳出,過往他們多半針對Windows用戶下手,現在這樣的策略出現變化。
例如,被稱為BlueNoroff、Sapphire Sleet,以及APT38的北韓駭客組織,資安業者卡巴斯基揭露這些駭客的最新攻擊手段,他們持續針對區塊鏈開發人員、高階主管,以及Web3與區塊鏈業界的經理下手,從事GhostCall與GhostHire兩種型態的攻擊活動,過程中使用相同的惡意程式,攻擊流程的結構也有相似之處,但與過往不同的是,駭客鎖定的平臺出現變化,並透過AI強化攻擊的效果,使得受害者更難察覺異狀。
這兩種型態的攻擊行動當中,其中又以假視訊會議來欺騙使用者的GhostCall最受到關注,卡巴斯基提到這種活動的最大轉變,就是駭客原本鎖定Windows電腦用戶,現在全面轉向攻擊macOS作業系統。
加拿大網路安全中心發布警訊AL25-016,提醒駭客正利用可直接從網路連線的工業控制系統發動干擾。近幾星期已出現多起個案,包括水利設施的水壓數值遭竄改,而導致供水服務品質下降,石油天然氣公司自動油槽量測系統ATG被操控引發誤報。還有一處農場的穀物乾燥筒溫濕度被修改,要是未及時發現,可能導致不安全狀態。
事件顯示只要工控設備暴露在網際網路上,就可能被有意博取聲量的駭客行動主義者(Hacktivist)濫用,進而影響公共服務的正常運作。
警訊內容指出,受影響面向涵蓋可程式化邏輯控制器PLC、遠端終端單元RTU、人機介面HMI、監控與資料採集系統SCADA、安全儀表系統SIS、建築管理系統BMS與工業物聯網裝置。
數位發展部資通安全署日前召開記者會,針對當前日益嚴峻的社交工程威脅發出最嚴正的警告。數位發展部資安署署長蔡福隆更表示,面對目前各種層出不窮的資安攻擊,提升全民資安意識,是守護國家安全體系中最關鍵的一環。
目前臺灣整體資安情勢嚴峻,遭受各種層面的攻擊非常多,這些攻擊除了針對政府機關的網站或是相關的重要個資,蔡福隆指出,社交工程是其中一項主要的威脅。根據《資通安全署資安月報》統計,目前威脅來源中,屬於社交工程或資訊收集類別的比例,已超過三成以上。
他更進一步提醒,駭客往往透過社交工程郵件,將後門程式植入機關內部,這是資安署看到最容易、也是最常看到的入侵途徑。在未來,由於深偽(Deepfake)AI技術的發展,駭客更容易產製相關的圖像或影片,以錯誤的內容來詐騙民眾。
其他攻擊與威脅
◆跨國電信業者Ribbon證實網路環境遭到國家級駭客入侵,相關活動可追溯至去年12月
◆勒索軟體Akira聲稱對開源辦公室套件專案Apache OpenOffice下手,竊得23 GB內部資料
◆AI瀏覽器底層模型可被操縱,資安業者揭露能讓AI爬蟲引用錯誤訊息的攻擊手法
◆滿分漏洞RediShell迄今仍有超過8,500臺Redis主機尚未修補
其他漏洞與修補
◆研究人員揭露鎖定排版引擎Blink的攻擊手法,只需單一惡意URL就能讓瀏覽器當機
【資安產業動態】
OpenAI發表資安研究AI代理Aardvark,可自動找漏洞及寫修補程式
OpenAI於10月30日發表了基於GPT-5的AI資安工具Aardvark,它能像人類資安專家一樣分析程式碼、找出漏洞並自動提出修補方案。
Aardvark的核心設計是以LLM推理為基礎,而非傳統工具如fuzzing或軟體組件分析。它能讀懂整個程式庫的架構、建立威脅模型,並以逐行理解的方式發現邏輯錯誤、未完整修補的歷史問題與隱私相關漏洞。當儲存庫被連結後,Aardvark會先全面掃描歷史,之後持續監控每一次提交,並在程式碼變動時即時偵測新漏洞。
整個漏洞處理流程包含四大階段:首先進行程式碼庫的分析,建立威脅模型;其次,對每次提交進行比對與掃描;第三步在沙盒(Sandbox)環境中嘗試實際觸發漏洞,確認可利用性並降低誤報;最後,Aardvark會透過Codex生成修補程式碼,並附上一鍵提交Pull Request的選項。OpenAI表示,這能讓工程團隊在不打斷開發速度的情況下,快速採用高品質修補。
守住多元與包容原則,Python基金會退出美國NSF提供的150萬美元補助案
Python軟體基金會(PSF)本周宣布,該基金會原本已通過美國政府國家科學基金會(National Science Foundation,NSF)針對開源系統所提供150萬美元安全補助專案,卻因該專案要求他們在獲得補助的期間,不得推動任何歧視性的平等意識型態(Discriminatory Equity Ideology,DEI)計畫,而決定退出。
PSF在今年1月提出了申請,期望取得補助以解決Python與PyPI的結構性漏洞,這是PSF首次申請政府補助,且他們認為該提案非常適合Safe-OSE專案,儘管PSF專案首次申請就成功的機率只有36%,但PSF很順利地獲得了推薦。
然而,當PSF仔細檢查補助條款與條件時,赫然發現相關條款要求確認受款人不得在補助期間內,推動任何DEI(Discriminatory Equity Ideology)計畫。而且該規定不僅適用於所申請的安全任務,還適用於整個PSF的所有活動;NSF還擁有收回先前已批准或已轉移資金的權利,這代表NSF可能追討已被花掉的錢,是個開放且巨大的財務風險。
發展AI自動發現與修補漏洞有成,Shellphish在臺揭露實戰經驗
台灣駭客年會HITCON 2025在8月舉行,今年有多場來自美國AI Cyber Challenge(AIxCC)競賽隊伍成員的演說,闡釋了用AI發現並修補漏洞的最新研究經歷,讓臺灣資安社群能近距離掌握第一手資訊。
獲得AIxCC競賽第5名的隊伍Shellphish,他們在決賽中開發的CRS系統,其準確率在7支決賽隊伍中表現最佳,共同領隊Wil Gibbs與Lukas Dresel皆是CTF競賽的常客,兩位專家應台灣駭客年會HITCON 2025邀請來臺,說明用AI發現並修補漏洞的最新研究經歷,讓臺灣資安社群能近距離掌握第一手資訊。
近期資安日報
【10月30日】NPM套件攻擊行動出現新型態攻擊手法,駭客濫用罕見功能迴避偵測
熱門新聞
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31
2025-12-31
2026-01-02