勒索軟體Qilin對韓國金融業者發起供應鏈攻擊Korean Leaks,背後疑似北韓駭客所為
資安業者Bitdefender揭露針對韓國金融業的供應鏈攻擊Korean Leaks,攻擊者疑為北韓國家級駭客Moonstone Sleet,他們借助大型勒索軟體租用服務(Ransomware-as-a-Service)Qilin的力量,將代管服務供應商(MSP)作為入侵受害組織的主要管道。
Bitdefender之所以察覺這起事故,是因為他們近期調查勒索軟體威脅態勢的過程中,發現不尋常的現象:有別於過往勒索軟體的攻擊目標幾乎集中在歐洲和北美,9月韓國竟然占了25家,僅次於美國;而且,除了一家是建築公司,其餘都是金融服務業者,這種集中在特定國家與特定領域的情況,顯然是高度針對性的活動。而該國事故增加的原因,就是Qilin的攻擊。
這波活動發生的過程大致可以分成3個階段,Bitdefender確認總共有33家公司受害,駭客目前公布了28家,Qilin的攻擊目標完全聚焦在金融業者,尤其是資產管理公司。令人不解的地方在於,駭客陸續從網站上移除4家公司的資料,Bitdefender推測可能基於駭客的內部政策,或是已經和受害企業談判完成的結果。為了證明是他們所為,駭客公布了近300張外洩資料的照片,光是已確認的部分,估計有超過100萬個檔案遭竊、檔案大小合計2 TB。不過,由於多數受害企業被公開的內容,缺乏相關的中繼資料等重要資訊而難以統計,因此這起事故的影響規模,應該遠大於此。
駭客組織ShadyPanda透過瀏覽器延伸套件市集,散布間諜軟體與後門程式
資安業者Koi Security揭露駭客組織ShadyPanda的活動,該組織的活動最早可追溯到2018年,迄今感染430萬名Chrome與Edge用戶。值得留意的是,仍有部分活動現在仍持續進行。
這些活動大致分成兩種型態,一種是規模較大的間諜軟體活動,駭客利用WeTab等5款惡意套件,收集使用者瀏覽的URL、搜尋記錄,以及滑鼠點選的內容,並傳送到位於中國的伺服器。上述的惡意套件總共被下載400萬次,其中WeTab有300萬次。
另一種型態是部署後門程式,讓攻擊者能遠端執行任何程式碼(RCE)的活動。駭客經營Clean Master等5款套件,這些套件經過市集驗證,並被評為精選套件,直到2024年中才被武器化,一旦使用者安裝,這些套件每個小時下載JavaScript指令碼並執行,而且,也同樣會監控使用者瀏覽過的網站,並洩露經加密處理的瀏覽記錄,以及收集完整的上網特徵。這些套件總共被下載了30萬次。
惡意AI工具WormGPT 4與KawaiiGPT在地下論壇與Telegram頻道出現,被用於自動化網路犯罪
資安業者Palo Alto Networks揭露兩款專供網路犯罪使用的AI模型,它們是WormGPT 4與KawaiiGPT,其中,WormGPT 4開發者透過租用的模式經營,自9月底開始營運,並透過Telegram頻道與地下論壇進行宣傳。此AI模型以2023年出現的WormGPT為基礎打造而成,能用於網釣、商業郵件詐騙(BEC),以及產生惡意軟體程式碼片段。
特別的是,WormGPT 4不僅能產生令人信服的文字,模仿執行長或是受到信賴的供應商,還能避免常見的語法錯誤及不適當的語詞,目前已有超過500個用戶訂閱及使用。
另一個惡意模型是KawaiiGPT,開發者採取完全不同的策略,他們在GitHub發布,免費提供給所有人使用,採用輕量級架構,建置自己的模型相當容易,Palo Alto Networks實際測試,發現部署到大部分Linux作業系統時,不到5分鐘就能完成。開發者宣稱,已有超過500名用戶註冊,其中每週約有250至270名用戶在使用。
SonicWall近日發布安全更新,修補導致防火牆崩潰的漏洞,以及可在郵件安全閘道執行惡意程式碼、存取資訊的漏洞。
影響SonicWall防火牆的安全瑕疵為CVE-2025-40601,它是存在SonicOS SSL VPN服務的堆疊緩衝溢位漏洞,CVSS風險評為7.5,可讓未經驗證的遠端攻擊者在發送呼叫後發生阻斷服務(DoS),導致防火牆當機。SonicWall表示,本漏洞只影響啟用SonicOS SSL VPN的管理介面,或啟動SSL VPN服務的防火牆。
此外,SonicWall也發布另一安全更新,修補郵件安全閘道的2項漏洞,包括CVE-2025-40604及CVE-2025-40605。
根據12月1日路透社及The Indian Express報導,在印度政府的一項命令下,印度電信部已私下要求智慧型手機製造商要在所有的新手機上,預裝由印度政府所開發的安全程式Sanchar Saathi,包括蘋果、小米、三星、Oppo,以及Vivo等於當地銷售的各種品牌,此舉恐導致手機製造商的反彈。
路透社所看到的命令是在11月28日頒布,要求智慧型手機製造商要在90天內預裝Sanchar Saathi於新手機,之後也必須透過軟體更新將Sanchar Saathi推送至舊裝置,而且不允許消費者刪除。
The Indian Express引用一名印度政府官員表示,此一命令是「強化網路安全及反垃圾郵件措施」的一環,上周印度電信部也規定WhatsApp、Signal, 以及Telegram等應用程式,必須要求使用者以註冊時所綁定的SIM卡才能登入及使用,不允許跨裝置或無SIM卡使用。
瑞士資料保護委員會議Privatim上周發布決議,為國安考量,瑞士政府機關應儘可能避免使用微軟、Google,以及AWS等業者提供的美國雲端服務,尤其是Microsoft 365。
Privatim認為,將高度敏感的個資及具有保密義務的資料委外給大型國際供應商的SaaS方案(尤其是Microsoft 365),在大多數情況下是不符合要求的。 原因之一是大多數SaaS尚未提供真正的全程加密。其次,這些平臺技術運作(例如安全更新發布或軟體變更)或員工、其下包商的管理不夠透明,無法滿足該國對資料保護及資安的確保要求,造成瑞士無法控管SaaS。
另外,美國2018年生效的《雲端法案(CLOUD Act)》規定,美國政府可強制美國雲端供應商提供其用戶資料,而無需遵循國際司法互助程序,且該義務也適用於儲存在瑞士資料中心的資料。
在AI浪潮席捲全球的今日,城市治理的邊界不再僅限於實體空間,更拓展至虛擬的數位網路,當AI賦予了駭客前所未有的攻擊能力,也為城市資通安全帶來前所未有的挑戰,此刻的城市資安防禦戰略版圖也必須全面革新。
臺北市作為臺灣的首善之都,一直走在資安防禦的最前線,身為臺北市政府資訊局局長趙式隆日前揭露相關對策,面對AI帶來致命的資安威脅與風險的此刻,他說明臺北市如何從頂層的戰略藍圖(Blueprint),一步步落實到基層的戰術執行(Tactics),如何藉由這樣的前瞻性資安戰略,建立一座具有高度數位韌性的智慧城市。
趙式隆進一步指出,臺北市將「零信任」精神落實的同時,也運用AI技術進行相關的威脅偵測,更建立跨部門的資安聯防機制,以確保城市運作的數位韌性。
其他資安事故
◆蠕蟲程式Glassworm三度現身,鎖定熱門工具與開發框架而來
◆駭客組織ShinyHunters傳出轉換領域,打造專屬的勒索軟體
近期資安日報
【12月1日】韓國大型電商平臺酷澎資料外洩,3,370萬名用戶個資流出
熱門新聞
2025-12-23
2025-12-22
2025-12-19
2025-12-24
2025-12-23
2025-12-22
2025-12-23