【資安週報】1110~1114，零時差漏洞攻擊再升溫，2個多月前揭露的Citrix與思科漏洞在公布前即遭國家級駭客利用

在2025年11月第二星期資安新聞中，這一星期多家IT大廠發布安全性更新需要我們趕緊因應，還有10月下旬舉辦的漏洞挖掘競賽Pwn2Own Ireland 2025，當時找到73個全新的零時差漏洞，投入此項漏洞懸賞計畫的廠商，例如臺灣NAS業者威聯通、群暉，如今也陸續釋出更新修補。另外還有多個漏洞利用狀況需要特別關注。

這一星期3家廠商的零時差漏洞攻擊事件揭露，涵蓋微軟、Gladinet、三星的產品，不只顯現攻擊者持續對不同類型企業產品發動攻勢，還有先前事件的新消息也突顯出，有些漏洞其實早已遭到利用卻沒被發現，直到後來才被揭露。

●微軟本月修補63個漏洞，當中顯示一起零時差漏洞攻擊狀況，CVE-2025-62215是已遭利用的零時差漏洞，目前尚未知曉攻擊者身分。
●Gladinet的Triofox文件共享平臺有一起零時差漏洞攻擊事件，目標是CVE-2025-12480，Google旗下Mandiant已調查出是駭客組織UNC6485所為。
●WatchGuard在今年9月修補的漏洞CVE-2025-9242，該公司在10月21日更新資安公告，表示已漏洞已有遭到利用的跡象，本週CISA將此漏洞列入KEV清單。
●三星於今年4月修補自家智慧型手機的漏洞CVE-2025-21042，近日被美國CISA列入KEV清單，Palo Alto Networks則指出這是零時差漏洞攻擊，去年就有人利用於散布間諜軟體LANDFALL，將惡意程式暗藏於DNG圖像檔。

此外，我們於9月報導過攻擊者鎖定Cisco防火牆的零時差漏洞攻擊事件，如今Palo Alto Networks旗下Unit 42揭露，該行動是中國駭客組織Storm-1849所為，並指出駭客在10月持續對美國金融業、國防承包商、軍事單位與全球企業發動攻擊，僅有10月1日至8日期間未有活動，而這段時間正逢中國國慶連假。

還有今年6月至7月Citrix與思科先後修補兩個重大層級漏洞（CVE-2025-5777、CVE-2025-20337），最近Amazon威脅情報團隊指出，其MadPot密罐更早就偵測到漏洞利用，因此兩者都是零時差漏洞攻擊事件，並強調是國家級駭客所為。

在最新威脅態勢方面，我們挑選5則值得關注的新聞，其中最特別是勒索軟體鎖定新虛擬化平臺，以及國家級駭客濫用AI發起8成自動化攻擊等。

●勒索軟體Akira有新威脅態勢，美國CISA更新其警告內容，指出這些駭客已開始加密Nutanix虛擬化平臺AHV的虛擬機器，顯示攻擊範圍延伸至新的虛擬化平臺。
●Anthropic示警指出中國駭客組織GTG-1002濫用Claude Code完成8成以上的攻擊任務，並提醒當濫用AI的網路攻擊不可避免地發生時，防禦方也要將AI投入SOC自動化運作、威脅偵測、漏洞評估、IR等領域。
●微軟揭露LLM串流的旁路攻擊「Whisper Leak」，攻擊者只需觀察TLS封包大小與時序即可推測對話內容，如今OpenAI、Mistral、xAI已透過在串流回應加入混淆字段掩蓋Token長度的方式，以降低攻擊效果。
●北韓駭客濫用手機功能「尋找我的裝置」的攻擊行動，被韓國資安業者Genians揭露，指出攻擊者主要濫用Google的Find Hub服務，藉由遠端恢復原廠設定的功能，抹除受害者的安卓手機資料。
●美國非營利組織今年4月遭中國駭客入侵，賽門鐵克揭露其手法，指出駭客會使用防毒軟體Vipre AV的元件vetysafe.exe側載惡意DLL檔案sbamres.dll，而這類手法過去常被Salt Typhoon等多個中國駭客組織使用。

在資安防禦動向方面，針對網路犯罪與詐騙的威脅，本月有3起重要新聞，我們整理如下：

（一）2025社群冒名詐騙報告書出爐，不只解析臺灣社群冒名貼文的三大情境與七種類型，也透露全球今年最新打詐立法態勢：
●泰國數位詐騙防治新法上路，要求金融機構、電信與社群平臺需對未能盡力阻詐負責，最高可罰50萬泰銖（約新臺幣48萬元）。
●澳洲實施SPF防詐框架，要求銀行、數位平臺與電信業建立從預防到通報的流程機制，違者最高可罰5,000萬澳幣（約新臺幣9.75億元）
（二）面對層出不窮的社群冒名行徑，企業過往仰賴人工檢舉與客訴通報太慢，Gogolook提出新做法，期望以服務模式協助企業強化外部偵測與下架通報流程，提升與外部平臺協作打詐的效率。
（三）假冒物流「包裹卡住」或「未繳路費」的簡訊氾濫，Google最近針對一個提供簡訊釣魚的PhaaS平臺Lighthouse的背後組織提起訴訟，試圖從政策與立法層面發力，以更好打擊詐騙工具鏈。

【11月10日】蠕蟲GlassWorm再度出現於IDE延伸套件平臺Open VSX

能自我感染及散布的蠕蟲程式Glassworm，近日橫行Open VSX與Visual Studio Code Marketplace，後續傳出攻擊者一度將目標轉向GitHub。儘管Open VSX營運單位Eclipse基金會透露10月21日已完成清理，該平臺並未再出現與此蠕蟲程式有關的惡意套件，然而事隔數週，攻擊者再度於Open VSX上架新的惡意套件，開發人員應提高警覺。

除了鎖定軟體開發人員的惡意套件攻擊，如今也有針對工業控制系統而來的惡意套件活動而引起資安業者注意。資安業者Socket揭露不尋常的NuGet套件攻擊，中國駭客自前年至去年上架一系列套件，其中一個專門針對西門子S7可程式化邏輯控制器（PLC）而來。

【11月11日】尋找手機與行動裝置的功能遭濫用，北韓駭客Konni用於抹除受害者裝置

隨著烏克蘭戰爭的進行，有些駭客會透過資料破壞軟體（Wiper）從事破壞性的活動，這類活動所使用的惡意程式，主要都是針對電腦而來，如今出現針對行動裝置的資料破壞事故，但不同的是，攻擊者並非自行打造惡意程式，而是透過Google提供用戶尋找手機、平板等行動裝置的服務Find Hub，遠端將受害者的裝置恢復原廠設定來達到目的。

鎖定檔案共享平臺的漏洞從事攻擊，也是今天相當受到關注的焦點。Google揭露針對檔案共享平臺Triofox已知漏洞的攻擊行動，這起事故的特別之處在於，攻擊者利用廠商已發布修補程式、用戶卻未及時套用的資安空窗來達到目的，而非自行挖掘零時差漏洞；再者，他們濫用檔案掃描整合防毒引擎的功能，以此取得系統層級權限執行惡意指令碼。

【11月12日】微軟修補已遭利用的Windows核心零時差漏洞

本週二是許多軟體業者發布11月例行更新的時間，其中又以微軟這次發布內容相當引起關注，原因是這次修補的漏洞當中，有一個出現實際的攻擊行動，該漏洞被登記為CVE-2025-62215，特別的是，微軟提及成功利用的先決條件，就是在特定的條件競爭（Race Condition）當中勝出，這樣的公告內容，也讓人好奇攻擊者如何成功利用這項弱點。

SAP發布的本月例行更新也相當值得關注，原因是該公司這次修補兩項極為危險的近滿分漏洞CVE-2025-42890與CVE-2025-42887，影響範圍涵蓋SQL Anywhere Monitor與Solution Manager。值得留意的是，兩個月前修補的SAP NetWeaver AS Java滿分漏洞CVE-2025-42944，該公司二度祭出防護強化措施。

【11月13日】Citrix NetScaler與思科ISE重大漏洞在公布前即遭國家級駭客利用

今年上半開始，針對Citrix與思科應用系統與設備的攻擊行動頻傳，因此一旦這些廠商公布非常嚴重的資安漏洞，即使他們並未透露是否掌握遭到利用的跡象，外界還是不禁會懷疑漏洞已被用於實際攻擊。最近Amazon威脅情報團隊發布的調查報告，引起資安圈高度關注，因為他們掌握有國家級駭客在Citrix與思科修補特定漏洞之前，就將其用於實際攻擊行動，並對受害裝置部署後門。

勒索軟體攻擊濫用遠端管理工具（RMM）的情況，也越來越頻繁，最近有英國資安業者針對兩大勒索軟體Medusa、DragonForce攻擊行動提出警告，利用這些勒索軟體犯案的駭客，入侵受害組織的管道存在共通點，那就是尚未修補特定已知漏洞的SimpleHelp伺服器。

【11月14日】勒索軟體駭客Akira將目標擴張到Nutanix虛擬化平臺

一般而言，勒索軟體駭客從主要針對Windows電腦下手，這兩年已經普遍將加密檔案的範圍擴及VMware虛擬化平臺，亦有少數攻擊Hyper-V的情況，但隨著之前VMware授權模式變動惹議，Nutanix虛擬化平臺AHV是許多企業替代方案的主要選項，如今有歹徒也看上這樣的趨勢，針對此虛擬化平臺下手，而引起全球矚目。最近美國網路安全暨基礎設施安全局（CISA）透露，勒索軟體Akira在今年6月，就在一家受害組織加密AHV平臺的虛擬機器，這是首度有駭客針對該平臺下手的情況。

蠕蟲程式再度出現於開源套件市集！有三家資安業者接連對名為IndonesianFoods的惡意程式提出警告，但有別於先前攻擊行動Shai-Hulud出現的蠕蟲，以及對Open VSX與Visual Studio Code（VS Code）而來的GlassWorm，會對於安裝套件的開發人員發動攻擊，IndonesianFoods並非如此，但它在NPM儲存庫大量自我複製、增長，恐重創供應鏈安全。