麒麟勒索軟體集團為加盟者提供法律諮詢服務,重新定義 RaaS 模式

隨著 LockBit、RansomHub、Everest 以及 BlackLock 等老牌勒索軟體集團因執法打擊與內部資料外洩而瓦解,勒索生態系出現權力真空。就在此時, 麒麟勒索軟體勢力正迅速崛起,成為勒索服務平台(Ransomware-as-a-Service, RaaS)領域的關鍵玩家。

麒麟:2025 勒索攻擊舞台上的黑馬

自 2022 年 10 月起,Qilin 逐步透過攻擊醫療、製造、教育與關鍵基礎設施等領域建立聲勢。根據 Cybereason 的研究報告,截至 2025 年中,麒麟 已公開聲稱攻擊了 291 個受害者,據統計中僅次於 Akira(348)與 Cl0p(404),位居第三。不過 麒麟的特別之處不只是攻擊數量,而是其 創新型經營模式。麒麟的攻擊目標遍及全球,以下為過往知名受害者(部分):

*英國病理學暨診斷服務供應商Synnovis

*澳洲醫療集團 Regis Healthcare:患者資料與照護紀錄外洩。

*南韓SK集團

*日本一家知名的癌症治療中心

*帛琉衛生部

*美國報業集團Lee Enterprises

史上首見:勒索軟體集團提供法律支援服務

麒麟是目前首個引入「Call Lawyer(叫律師)」功能的勒索集團,為其加盟者提供法律顧問服務,目的在於於談判過程中加入法律風險的壓力,藉此提升受害者付款意願。

Photo Credit: Cybereason

麒麟在暗網論壇上的公告指出:

「只要點擊目標頁面上的『叫律師』按鈕,我們的法律團隊將會與您聯繫,提供合格的法律建議。」

「律師出現在聊天室中,本身就能對公司造成間接壓力,有助於提高贖金金額,因為企業通常不願陷入法律訴訟。」

該功能提供:

  • 資料內容的法律評估
  • 依不同司法區進行違規事項分類
  • 訴訟、名譽風險與潛在損失評估
  • 支援律師與企業進行直接談判
  • 若公司拒付,提供最大經濟損害建議與預防策略

這些設計顯示,麒麟正將法律壓力納入勒索策略的一環,進一步複雜化受害者的決策空間。

技術成熟,專為加盟者打造的攻擊平台

麒麟使用 Rust 與 C 語言 開發跨平台的加密工具,可攻擊 Windows、Linux 與 ESXi 系統。其加盟制度設計成熟,提供完整操作面板與技術支援,並從贖金中抽成 15% 至 20%。

主要功能包含:

  • Safe Mode 模式下執行勒索程式
  • 具防偵測能力的進階載入器
  • 採用 ChaCha20、AES、RSA-4096 加密演算法
  • 四種加密模式(完整、跳段、快速、百分比模式)
  • 關鍵服務終止、機器重啟與網路橫向移動能力
  • 自動化談判系統與對話管理工具
  • 痕跡清理與反取證技術

此外,麒麟明確規定禁止攻擊俄羅斯、白俄羅斯等獨聯體(CIS)國家的系統,與其他東歐勒索集團的「區域默契」一致。

不只勒索,更是「網路犯罪全方位平台」

麒麟不僅提供勒索工具,還將整體服務向 網路犯罪即服務(Cybercrime-as-a-Service 擴展,包括:

  • PB 級資料儲存空間
  • 全年無休的 DDoS 與簡訊/電話轟炸服務
  • 專屬談判支援與法律協助功能

這些功能反映出 Qilin 不再只是單純的勒索服務供應者,而是將自身打造為「網路犯罪加盟平台」,大幅降低加盟者的技術門檻與風險。

麒麟的戰略定位與資安啟示

隨著許多傳統勒索集團因壓力、背叛或重組而解體,麒麟正逐步填補市場空缺,並重新定義新一代 RaaS 的運作方式。其結合法律諮詢、跨平台攻擊、橫向移動與社交工程談判的手法,展現出極強的整合性與創新性。

資安防禦者必須認知:勒索攻擊早已不限於加密與贖金。 隨著攻擊者持續引進法律、心理與企業級策略工具,企業的防禦思維也應從被動應對,轉向主動式、威脅情資驅動的防禦架構。

【資安威脅】台灣某私立大學遭 Nova 勒索軟體攻擊,幕後現蹤中國 APT?

今天6月 18日,一則突兀的勒索聲明出現在 Nova 勒索集團的洩密網站上,聲稱成功入侵台灣的某大學,並竊取資料。更引人注目的是,Nova 表示此次入侵由其中國 APT 背景的 affiliate(加盟者)所執行。

這類表述如果屬實,等同指出有國家級背景的攻擊者,正透過 RaaS(Ransomware-as-a-Service)平台執行針對台灣學術界的滲透行動。


Nova 是誰?從 RALord 到 RaaS 平台的重生

Nova 勒索軟體最初源自 2024 年出現的 Rust 語言家族成員 RALord,後經重品牌與平台化設計,正式轉型為 Ransomware-as-a-Service(RaaS 模式運作。其團隊公開提供勒索工具與操作平台,開放「加盟者(affiliates)」使用:

入門費 800元、抽成 10%,即可獲得完整勒索基礎設施。

這種結構性平台不僅放大攻擊規模,還顯著降低技術門檻,使得具備不同背景的行動者 —— 包含犯罪集團、個人駭客,甚至國家行動者 —— 都能輕鬆發起攻擊。


Nova 的技術能力:從桌機到雲端的全面破壞力

Nova 並非只是單純的勒索病毒,其具備跨平台的攻擊模組,並結合「雙重勒索」策略,讓受害者既面臨資料加密風險,也承受資料外洩威脅:

  • Windows 系統: 支援 user/admin 權限差異處理,可終止防毒、刪除備份、修改桌布與投放勒索信。
  • Linux 專攻網站、應用伺服器與資料庫,在 2025 年更新版中更強化滲透能力。
  • VMware ESXi 針對虛擬化主機直接加密,使多台 VM 一併癱瘓。

這讓 Nova 成為企業與教育單位架構中極具破壞性的潛在威脅。


為什麼是大學?

學術機構近年已成為勒索軟體集團的新目標。原因不外乎:

  • 資安防禦薄弱:大學內網開放,帳號眾多,資安政策可能鬆散,便於橫向移動與持久滲透。
  • 資料價值高:包含研究機密、合作計畫、政府與產業機構資料庫,極具情報與勒索價值。
  • 媒體關注度高:攻擊學術單位更容易製造話題與壓力,迫使受害者支付贖金。

針對台灣的攻擊,也許不是單純的經濟勒索,而可能隱含更深層的情報滲透動機。


中國 APT 的「加盟式滲透」:灰色作戰的新模式?

更令人警惕的是,Nova 不只提供攻擊工具,還可能成為 APT 行動者的掩護平台:

  • 滲透即目標: 勒索只是煙霧彈,真正目的是持續存取與情報蒐集。
  • 混淆溯源: 利用 RaaS 平台進行攻擊,可有效隱蔽源頭,規避國際追責。
  • 假旗操作可能性: 也不排除 Nova 刻意引導外界認知,轉移地緣政治壓力。

這種「以民為殼」的作戰方式,使得安全研究人員與執法單位難以辨識攻擊者背後真正意圖與身分。


混合型威脅的時代已然到來

此次事件再次揭示現代資安風險的本質已不再是單一攻擊行為,而是由犯罪、商業與國家行動混合構成的複合型威脅生態。具體來說:

  • RaaS 平台使傳統 APT 能以商業外衣進行攻擊,降低暴露風險。
  • 犯罪集團則將滲透存取權販售給願付費的實體,包括國家力量。
  • 安全防線面對的,早已不是單一惡意程式,而是整套灰色供應鏈。

給教育機構的警訊:你們已是高價值標的

大學不只是知識的搖籃,更是高價值數據、科研成果與國際合作的匯聚地。在威脅者眼中,它們本質上已屬於基礎設施級的高價值目標

學術單位應即刻採取行動:

*建立強化版的身份驗證與權限分層架構
*定期進行紅隊演練與勒索情境測試
*建立跨部門的資訊安全治理制度與通報流程
*與資安業界建立快速協同聯防機制

否則,未來不只會重演類似事件,受創的將不只是單一校園,而是整個科研與社會信任體系。


結語:Nova 所暴露的,是一場正在發生的資安結構轉變

Nova 不只是新興勒索集團,它的存在本身就是證據 —— 證明資安威脅正從技術層面,走向戰略層級的滲透與操弄。 當中國 APT 都能透過付費平台執行攻擊,世界已進入「國家級威脅民間化」的混合戰時代。

面對這樣的現實,企業與機構不能再自外於資安防線,否則下個成為國家對抗棋局犧牲品的,可能就是你。

【資安觀察】前 Black Basta 成員捲土重來:利用微軟Teams 網釣與Python 腳本滲透企業內網

儘管 Black Basta 勒索軟體集團因 2025 年初內部聊天紀錄外洩而聲勢大跌,但近期跡象顯示,部分前成員仍未退場,甚至以全新策略重回攻擊舞台。他們延續過往慣用的攻擊模式,如電子郵件轟炸與微軟Teams 網釣,並進一步加入 Python 腳本與 cURL 下載惡意載荷的技術,持續對企業網路進行滲透與長期滯留。

根據 ReliaQuest分享的研究報告指出,從 2025 年 2 月至 5 月期間,觀察到的微軟Teams 網釣攻擊中,有近一半是透過 onmicrosoft[.]com 網域發起,另有 42% 利用已遭入侵的合法網域作為跳板,藉此提高隱蔽性並模擬合法流量。

模仿內部人員身分攻擊金融與建築業

攻擊者不僅技術上持續演化,也在社交工程上下足功夫。例如,在針對金融與保險、建築等產業的攻擊中,攻擊者偽裝成 IT 支援人員發送 Teams 訊息,誘騙受害者點擊連結並下載遠端桌面協助工具(如 Quick Assist 或 AnyDesk),取得遠端控制權限。

緊接著,攻擊者會從遠端伺服器下載惡意 Python 腳本,建立與 C2(Command and Control)伺服器的持續連線。ReliaQuest 強調:「Python 腳本的導入,代表這類針對 Teams 平台的社交工程攻擊正持續進化,預期未來將變得更加普遍。」

從 Black Basta 走向 CACTUS、BlackSuit 與 DragonForce

雖然 Black Basta 資料外洩站點已關閉,但其技術與策略卻未隨之消失。ReliaQuest 推測,部分成員可能已轉投其他 RaaS(勒索軟體即服務)集團,最有可能的是 CACTUS。根據洩漏的對話內容,Black Basta 領導人 “Trump” 曾提及向 CACTUS 轉帳 50 至 60 萬美元。

然而 CACTUS 自 2025 年 3 月以來未再公開新一輪資料洩露事件,引發外界猜測其是否已解散,或是轉為低調運作。另一可能性是部分成員已併入新興勒索軟體集團 BlackLock,該集團據信正與 DragonForce 勒索聯盟合作。

Java RAT、雲端代理與多樣化工具鏈

根據 Rapid7 分析,這些攻擊通常會下載並執行 Java 為基礎的 RAT(遠端存取木馬),過去在 Black Basta 攻擊中便已出現。新版 RAT 利用 Google Drive、OneDrive 與 Google Sheets 等雲端平台,作為指令的代理通道,繞過傳統網路監控機制。

RAT 功能強大,可實現:

  • 在受害端與遠端之間傳輸檔案
  • 建立 SOCKS5 proxy 通道
  • 窺取瀏覽器內儲存的帳密
  • 偽造 Windows 登入畫面誘騙輸入憑證
  • 動態下載與執行 Java 類別檔,避免落地痕跡

類似的攻擊還伴隨 QDoor(後門型隧道程式)、Rust 撰寫的自訂 SSH 載入器,以及 Python 開發的 RAT「Anubis」,在 Sophos 近期對 3AM 勒索軟體的研究中亦有出現。

勒索軟體攻擊全景:2025 年上半年趨勢

除了上述攻擊鏈演化,2025 年勒索威脅格局也持續快速變動:

  • Scattered Spider:鎖定託管服務提供商(MSP)與 IT 業者,並利用 Evilginx 工具建立假冒登入頁面,繞過 MFA,再與 ALPHV、RansomHub、DragonForce 等大型勒索集團結盟,共同攻擊軟體漏洞,如 SimpleHelp 遠端桌面工具。
  • Qilin(又名 Agenda、Phantom Mantis:從 5 月至 6 月間針對多家企業發動攻擊,利用 Fortinet FortiGate 漏洞(如 CVE-2024-21762CVE-2024-55591)取得初始存取權限。
  • Play(又名 Balloonfly、PlayCrypt:自 2022 年中以來已攻陷約 900 個目標,近期亦透過 CVE-2024-57727 影響大量美國機構。
  • VanHelsing 勒索集團:因內部爭執,完整原始碼被管理員釋出,包括 TOR 金鑰、管理面板、聊天系統與資料庫。
  • Interlock 勒索集團:針對英國地方政府與高等教育機構部署名為 NodeSnake 的 JavaScript 遠端木馬,具備持久性、系統探索與遠端指令執行能力。

結語:RAT 與社交工程的合流將成常態

正如 Quorum Cyber 所指出:「RAT 為攻擊者提供持久控制權,能夠導入其他惡意工具,進行數據竊取、系統操作,甚至銷毀資料。」

從 Black Basta 到 CACTUS、再到 BlackSuit 和 DragonForce,這些變種集團正在以更精密的手法重新組織與擴張,而微軟Teams、雲端服務與跨語言惡意程式(如 Java、Python、Rust)正成為攻擊鏈中不可或缺的一環。面對這樣的威脅組合,企業需在身分驗證、端點防護與員工資安意識培訓上同步升級,方能築起真正有效的防線。

為何 Yes24、Victoria’s Secret成為駭客勒索對象?從平台癱瘓事件,看勒索攻擊如何重創企業營運

上圖是Yes24主頁上發布的訪問失敗通知,內容為「我們正在檢查,以改善服務」。下圖是Yes24重新發布的通知,內容更改為「由於勒索軟體攻擊導致訪問失敗」。 (上圖:韓聯社;下圖:Yes24首頁截圖)

對許多追星族而言,韓國知名的線上書店與票務平台 YES24 絕對是熟悉不過的名字。無論是搶購演唱會門票、參加偶像見面會,或是預約簽售活動,它幾乎是粉絲圈中不可或缺的存在。不過,Yes24 平台從6 月 9 日凌晨 起網站與 APP 陸續無法使用,狀況持續整整2天。期間公司未對外說明具體原因,僅以「系統維護中」敷衍帶過,引發大量用戶疑問與批評。

直到 11 ,Yes24 才正式對外承認,這起癱瘓事件是遭到 勒索軟體攻擊,導致平台全面當機。此次事故對營運造成嚴重衝擊,包括:

  • ENHYPEN 粉絲簽名會活動取消
  • 歌手 B.I朴寶劍ATEEZ 的活動預售延後
  • 多部音樂劇的售票平台異動

根據韓國互聯網振興院(KISA)資料,Yes24 已於 9 日下午通報資安事件,公司也發布聲明道歉,表示事件發生於當日凌晨 4 點,並強調已通報主管機關並加強防護措施。未來將根據損失情況進行後續補償。

Photo Credit: Yes24

這起事件並非個案。近期另一個遭遇類似攻擊的是美國知名內衣品牌 Victoria’s Secret,其網站同樣在促銷檔期出現異常,官網於2025年5月26日至29日中斷,讓用戶無法下單,引發大量負評,後於2025年5月30日星期五恢復上線。

Photo Credit: Victoria’s Secret

為什麼這類品牌企業成為勒索攻擊目標?

1. 數位依賴高,一攻即癱瘓

像 Yes24、Victoria’s Secret 這類企業,營運極度依賴線上平台與 IT 系統。一旦平台被攻擊,網站、APP、售票、購物、客服等功能會全面中斷,直接衝擊營收。這種「一斷就傷」的特性,讓他們成為駭客眼中的高價值目標。

2. 用戶資料多,攻擊誘因高

大型品牌擁有大量用戶個資與交易紀錄,即使事件中沒有個資外洩,只要駭客能加密、挾持這些資訊,就能提出勒索要求。這類資料對攻擊者來說是極具價值的籌碼。

3. 知名度高,壓力也大

像 Yes24、Victoria’s Secret 一旦出事,就會上新聞、登上社群熱搜。企業承受的壓力越大,就越可能考慮快速「花錢了事」解決問題,這也讓駭客更有動機鎖定這類企業下手。

4. 資訊透明度不足,延誤應變

Yes24 初期僅公告「系統維護」,未如實說明遭駭狀況,引發使用者不滿;Victoria’s Secret 至今也未對外說明攻擊細節。這種「不說清楚」的作法不僅損害顧客信任,也會拖慢整體應變流程。


勒索攻擊對企業營運的實際衝擊

  • 服務中斷、損失慘重:Yes24 的平台停擺連帶影響多場大型售票活動;Victoria’s Secret 的電商系統無法接單、客服也失聯,導致訂單延遲與活動取消,直接影響營收。
  • 品牌信任流失、負評暴增:大量用戶在社群抱怨查不到訂單、無法聯繫客服,品牌聲譽受損,顧客流失風險升高。
  • 修復時間長、成本高昂:即使緊急找來資安團隊支援,全面恢復通常需時數日甚至數週,還牽涉客訴處理、合約糾紛與金錢賠償等額外負擔。

專家建議:企業應從「防守」轉向「韌性思維」

現代勒索攻擊手法越來越複雜,企業不僅要強化傳統資安防線,更需要導入「韌性思維」,從快速偵測、主動應變、降低損害等面向建立全面防護。以下是幾項資安專家建議的關鍵策略:

1. 落實零信任架構與網路分區設計

拒絕預設信任,所有內外部連線與存取都必須驗證授權;關鍵系統與資料必須區隔,降低單點入侵造成全面擴散的風險。

2. 建立強健備份策略與資安演練機制

備份系統必須不可被修改或刪除,並需離線儲存。定期模擬勒索攻擊情境,透過演練驗證恢復流程是否可在短時間內還原業務營運。

3. 導入 Deception 技術,主動誤導駭客行動

透過誘敵欺敵技術(Deception Technology),在系統中部署偽裝資源與假資訊,吸引駭客誤入陷阱區域。此舉不僅能延緩攻擊行動,爭取防禦時間,更可即時觸發警示,有效協助企業及早識別異常行為,從而將防禦策略從「被動應對」升級為「主動攔截」。

4. 建立透明、快速的資安通報與應變機制

資安事件一發生,應立即通報主管機關與使用者,避免訊息不明引發恐慌與負評。建立標準化危機溝通流程,是維護品牌信任的關鍵。

5. 加強供應鏈與第三方服務的資安風險控管

駭客常從合作廠商或服務供應商找破口,企業應將票務、金流、物流、CDN 等關鍵外包服務納入資安審查與控管範圍,避免成為後門入口。

結語:知名品牌不是防駭鐵牆,反而是肥羊

Yes24 與 Victoria’s Secret 的遭駭案例再次提醒企業:有名氣、大規模用戶與完整系統,並不代表安全。駭客更容易看準這些「高壓力、高回報」的目標下手。

企業應從傳統的防守策略,進一步轉型為強調營運韌性、即時回應與風險管理的策略。否則,一場勒索攻擊不只讓平台停擺,更可能讓顧客流失、信任破產,甚至影響企業未來的生存。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

【資安熱點剖析】勒索攻擊再起,麒麟盯上 Fortinet 漏洞全力滲透

在勒索軟體攻擊越來越精密的現在,Fortinet 裝置的安全再度成為焦點。最近觀察到活躍的麒麟(Qilin) 勒索集團開始利用 Fortinet 的兩個高風險漏洞,發動針對企業網路設備的遠端攻擊,初步跡象顯示攻擊具備自動化特徵,且已波及多個國家與產業。

麒麟是誰?從「Agenda」到 Phantom Mantis 的進化

麒麟(也被稱為 Phantom Mantis)其實早在 2022 年就以「Agenda」名義出道,是一個典型的勒索軟體即服務(RaaS)集團。根據目前掌握的情資,他們至今已經對超過 310 間機構下手,並在暗網上公開受害者資料。

這些受害目標可不只是中小企業,像是國際汽車零件大廠延鋒(Yanfeng)、出版商 Lee Enterprises、南韓SK集團、澳洲的法院服務處 Court Services Victoria,甚至英國 NHS 醫院系統的病理服務商 Synnovis 都曾遭殃。其中 Synnovis 事件更造成倫敦數家醫院停擺、手術與門診大規模取消,可見其破壞力驚人。

兩個 Fortinet 漏洞成為入侵跳板

這次 Qilin 鎖定的漏洞分別是:

  • CVE-2024-21762:是一個影響 Fortinet FortiOS 的 SSL VPN 元件的遠端程式碼執行(RCE)漏洞。該漏洞源自 SSL VPN Web 介面的輸入驗證機制缺失,攻擊者可在無需認證的情況下,傳送特製的 HTTP 請求來執行任意程式碼或系統指令。

此漏洞具備以下高風險特性:

-免登入即可攻擊,不需任何驗證機制

-SSL VPN 廣泛公開於網路,成為攻擊入口首選

-攻擊成功即可直接進入內部系統

-目前已有多個 APT 攻擊行動及勒索軟體攻擊將此漏洞武器化並積極利用

  • CVE-2024-55591:是一項影響 FortiGate 裝置的中高風險設定繞過漏洞,其成因是 FortiOS 某些版本在安全政策處理邏輯上存在缺陷。經過認證的管理者帳號可以利用此漏洞繞過安全策略或竄改設定內容。

此漏洞雖不直接導致遠端程式碼執行,但具備以下威脅:

-可用於權限提升或持久化控制

-在攻擊者已入侵內網後,有利於橫向移動

-若與其他漏洞(如 CVE-2024-21762)結合,將大幅提升攻擊效果

資安業者PRODAFT 指出,這兩個漏洞目前正被麒麟結合使用,作為入侵 FortiGate 防火牆的首波跳板。更棘手的是,他們疑似導入部分自動化滲透流程,代表攻擊規模可能會更快速擴散。

而這波攻擊最初的熱區落在西語系國家,不過麒麟向來是採「見縫插針」策略,並不會特別限制地區或產業,也就是說——只要你環境裡有沒補的 Fortinet 漏洞,他們就有可能找上門。

麒麟並不是唯一的攻擊者

值得一提的是,這些漏洞並不只被麒麟利用。像是 CVE-2024-55591,就曾被名為 Mora_001 的勒索集團用來部署一種叫「SuperBlack」的勒索變種,而這款惡意程式據說與臭名昭著的 LockBit 團體有技術關聯。

此外,過去幾個月 Fortinet 也多次被點名是國家級駭客的入侵對象,例如中國的 Volt Typhoon 曾利用 FortiOS 的 SSL VPN 漏洞(CVE-2022-42475、CVE-2023-27997)來佈署 Coathanger 後門,成功入侵荷蘭國防部軍用網路。

我們該注意什麼?

對企業資安團隊來說,這波 Qilin 行動有幾個關鍵提醒:

  1. Fortinet 裝置全面盤點與更新:尤其是 FortiOS 與 FortiProxy,用戶必須確認是否已修補至最新版本,並評估是否有異常連線行為。
  2. 加強邊界偵測機制:針對來自已知威脅 IP、非預期地區的遠端管理行為應即刻攔截。
  3. 引入 Deception 技術(誘捕式防禦):透過佈署誘餌帳號、假資源或蜜罐系統,誘使攻擊者誤入陷阱,不僅能拖延攻擊進程,更能及早偵測對方動態與工具特徵,對應 APT 與勒索行為尤其有效。
  4. 防範自動化攻擊模式:攻擊者越來越依賴腳本與模組化工具進行快速橫向移動與勒索佈建,防禦策略應包含異常行為識別與行為基線比對。
  5. 不只「補漏洞」,還要「監偵漏洞是否被利用」:部署像是 NDR(Network Detection and Response)或 XDR 平台,掌握潛藏於合法通訊背後的惡意行為。

結語

這波 Qilin 的動作再次證明:駭客不會等待你修補漏洞,也不會挑選特定產業出手,他們只要找到一個入口,就會毫不留情地發動攻擊。Fortinet 雖然是企業常用的邊界設備,但同時也經常成為攻擊目標。資安團隊除了要落實漏洞修補、控管暴露面,更要具備快速偵測與應變能力。如果你還不知道你的 FortiGate 是不是有這些漏洞,現在就是時候檢查了。

【資安觀點】Play 勒索集團橫掃全球:FBI 最新揭露攻擊數突破 900 起,全球防線拉警報

根據美國聯邦調查局(FBI)與美國網路安全暨基礎設施安全局(CISA)、澳洲網安機構聯合發布的最新資安公告,截至 2025 年 5 月,Play 勒索軟體集團已對全球超過 900 家組織發動攻擊,成為當今最具威脅性的勒索勢力之一。

Play 自 2022 年中首次現身以來,不僅攻擊規模快速擴大,手法也日趨複雜。FBI 在 2023 年曾指出該集團首年攻擊約 300 起,而最新統計顯示,僅在 2023 年之後一年半內,新增攻擊事件即超過 600 ,其中涵蓋關鍵基礎設施、政府單位與高科技企業,攻擊足跡橫跨北美、南美及歐洲地區。

勒索戰術升級:客製化惡意程式、電話恐嚇、社交工程並用

FBI 指出,Play 集團對每起攻擊個別重編勒索程式,使得傳統防毒軟體與惡意程式偵測機制難以即時攔截。此外,每位受害者均收到專屬的 @gmx.de 或 @web[.]de 聯絡電子郵件,部分甚至會遭到電話威脅,施壓受害組織支付贖金以防止資料外洩。

有鑑於 Play 過往經常透過社交工程方式鎖定客服人員或 Helpdesk 作為攻擊對象,此一策略不僅提高勒索成功率,也讓事件更具破壞性。

利用漏洞與初始存取商進行攻擊鏈滲透

FBI 警告,Play 勒索集團持續與「初始存取經紀人(Initial Access Brokers, IABs」合作,透過軟體漏洞取得入侵起點。其中,近期被廣泛利用的漏洞為 CVE-2024-57727,該漏洞存在於遠端監控管理工具 SimpleHelp 中,而該工具在美國中小企業與服務商中廣泛使用。

根據研究人員 2025 年初揭露,超過 3,400 台公開曝露的 SimpleHelp 系統面臨該漏洞風險,使 Play 集團能夠藉此迅速滲透網路邊界,執行後續橫向移動與資料加密。

攻擊案例遍及全球:從美國地方政府到瑞士 IT 業者

Play 過去兩年曾造成多起引發公眾關注的重大事件,包括:

  • 美國奧克蘭市、達拉斯郡、麻州洛厄爾市政府系統遭加密,公共服務中斷數日
  • 攻擊瑞士一間 IT 外包商,導致政府資料外洩
  • 鎖定美國半導體製造商 Microchip Technology 與印第安納州政府單位

初期該集團曾主要攻擊拉丁美洲的政府機構,惟後續迅速轉向鎖定美國與歐洲目標,展現高度適應與攻擊轉型能力。

北韓駭客疑似合作跡象浮現

值得關注的是,根據 Palo Alto Networks Unit 42 於 2024 年 10 月的報告,有跡象顯示 Play 勒索集團與北韓 Reconnaissance General Bureau(偵察總局)所屬駭客存在合作可能。研究人員發現,部分受害系統最初由北韓駭客取得存取權限,隨後同一帳號即被用於部署 Play 勒索軟體,顯示可能存在階段性合作或資源共享情況。

專家觀點:組織應強化「持續監控 + 零信任 + 韌性防禦」

Play 的案例再次證實,勒索攻擊不再只是單一惡意程式的問題,而是由多方協作、漏洞利用、社交工程、後門部署所構成的「完整攻擊鏈」。組織若僅依賴傳統端點防毒與定期修補,已無法有效應對。

建議企業採取以下措施,以強化資安韌性:

  • 導入零信任架構(Zero Trust:不預設任何內部流量為可信,確保每一次存取皆經驗證。
  • 部署端點偵測與回應(EDR/XDR:強化對異常活動的即時偵測與應變能力。
  • 強化多因子驗證(MFA)與帳密安全管理:降低憑證填充攻擊成功率。
  • 落實資產可視性與漏洞管理:特別是第三方工具如 SimpleHelp 等 RMM 工具的弱點控管。
  • 導入持續威脅獵捕與 SOC-as-a-Service:建構持續監控與資安事件快速回應機制。

結語:從合規到韌性,資安戰線已進入深水區

Play 勒索軟體的快速擴張與跨國攻擊證實,現代資安威脅已超越傳統合規思維所能涵蓋的範疇。企業若無從策略層面重新檢視整體防禦能力,未來面對如 Play 般高度動態、戰術多變的攻擊者,只會更加被動。

在資安戰線中,「偵測、延遲、應對、復原」將是企業能否倖存的關鍵。而從 Play 的軌跡來看,對手從不等你準備好。

【重大漏洞通報】HPE StoreOnce 遭揭八項新漏洞,CVE-2025-37093 為最高危級別,建議立即升級修補

惠普企業(Hewlett Packard Enterprise, HPE)近日發佈資安公告,揭露其備份與重複資料刪除平台 StoreOnce 存在 八項新資安漏洞,其中最具威脅的是被編號為 CVE-2025-37093 的身份驗證繞過漏洞,CVSS 評分高達 9.8 分(Critical,屬於極高風險級別。

CVE-2025-37093:攻擊門檻極低,具備完全繞過身份驗證的能力

該漏洞影響所有 StoreOnce Virtual Storage Appliance(VSA)4.3.11 以前的版本,允許遠端、未授權的攻擊者繞過身份驗證機制,直接存取備份系統與管理介面,等同於讓攻擊者取得內部資料與備份核心的主控權。漏洞是在 2024 年 10 月 31 日由匿名研究員通報,並由趨勢科技的 Zero Day Initiative(ZDI)協助揭露與驗證,ZDI 編號為 ZDI-CAN-24985

根據 CVSS v3.1 的向量(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),該漏洞具備:

  • 網路層級可利用(AV:N
  • 低攻擊複雜度(AC:L
  • 無需權限或使用者互動(PR:N, UI:N
  • 機密性、完整性與可用性全面高影響(C:H/I:H/A:H

換言之,攻擊門檻極低,後果卻極為嚴重。

涉及的其餘七項漏洞一覽

除了 CVE-2025-37093 外,本次資安公告(編號 HPESBST04847 Rev.1)還揭露以下漏洞,影響涵蓋遠端程式碼執行、目錄穿越、資訊洩露與伺服器端請求偽造等:

這些漏洞雖然評分略低於 CVE-2025-37093,但仍然具備中高等風險,特別是在系統無權限控管或網路缺乏隔離的環境中,更可能被鏈結利用以進行後續滲透與橫向移動。

受影響範圍與應對建議

  • 受影響版本:所有 HPE StoreOnce VSA 4.3.11 以前版本
  • 修補方案:HPE 已釋出版本 4.3.11,修復所有八項漏洞,建議立即升級
  • 更新來源:HPE 支援中心(HPE Support Center)

此外,建議企業在套用此類第三方更新時,務必遵循既有的 漏洞修補與變更管理流程,避免操作失誤導致備份中斷或資料遺失。

資安專家觀點:備份系統已成為攻擊目標新熱點

在近年攻擊趨勢中,我們觀察到越來越多攻擊者鎖定企業的備份與恢復基礎設施,不僅為了竊取機敏資訊,更意圖破壞企業在遭遇勒索軟體時的災難復原能力。

StoreOnce 作為高度普及的備份平台,若部署環境未及時修補,極可能成為內部網路攻擊的第一跳板。

此漏洞通報提醒我們:備份系統不再是「被動」資產,反而是需要積極保護的「關鍵防線」之一。


專家建議摘要

  • 儘速盤點內部 StoreOnce VSA 使用狀況,確認版本與修補進度
  • 對外開放的管理介面應部署多層防護(如 VPN、MFA、IP 白名單)
  • 加強對備份系統的異常行為監控(如異常登入、未授權操作)
  • 將備份設備納入常規漏洞掃描與滲透測試範圍
  • 建立事前、事中、事後的備份安全策略與演練機制

【資安分析】麒麟(Qilin)勒索軟體再度來襲:一週內兩起攻擊台灣,手法與過往案例一次看懂

在勒索軟體攻擊愈趨產業化、模組化的今天,麒麟(Qilin)這個名字已不再陌生。這支自2022年底開始活躍的勒索軟體集團,近期又在台灣與海外同時出手,顯示其攻擊手法日益成熟,且明顯將台灣地區企業列入其重點關注清單。

最新事件回顧:跨國酒店與台灣汽材大廠接連受害

在2025年5月的最後一週內,麒麟連續公布兩起成功入侵案例:

  • 2025/5/29:麒麟於其暗網洩密網站公布,一家台灣跨國大型企業集團旗下的加拿大飯店遭其入侵,並同步列出16張截圖佐證。截圖中不僅有該飯店的內部系統畫面、合約文件,甚至還包括位於台灣嘉義的關係企業帳務系統帳密、往來銀行資訊、內部資料等,顯示駭客對整體集團內部系統具有高度橫向滲透能力。
  • 2025/5/30:麒麟再度公布對總部位於台北市的某汽車零件製造大廠之攻擊成果。該公司於雲林、台中與中國上海設有工廠,為全球車用供應鏈之一環,麒麟也提供17張截圖作為入侵證明。

這類攻擊模式顯示麒麟不僅針對IT系統發動攻擊,更擅長深入營運層、針對資料價值進行挑選與勒索,屬於極具策略性的行動勒索團體(Strategic Ransomware Actor


麒麟勒索軟體背景剖析:從初期出現到成熟組織化

麒麟(Qilin)勒索軟體於2022年底首次在地下論壇現蹤,屬於典型的勒索即服務(RaaS, Ransomware-as-a-Service 模式,主程式由核心團隊維護與提供,並透過附屬攻擊者(affiliates)實際執行入侵與部署。Qilin 的 RaaS 結構類似於Conti、BlackCat等前輩,但其特色在於:

  • 支援 Windows 與 Linux 雙平台版本:能對伺服器、虛擬化環境(如 ESXi)進行橫向加密。
  • 可自訂勒索訊息與加密延遲時間:提供駭客針對不同行業調整策略。
  • 整合加密與資料竊取雙重勒索流程,並導入 Telegram 機器人協助洩密與討論談判。

麒麟常用的攻擊手法與流程分析

從過去公開案例與我們團隊追蹤的威脅情報顯示,麒麟主要透過以下幾種典型流程實施攻擊:

初始入侵

  • 利用 釣魚郵件或社交工程 投遞內含遠端控制木馬(如 AgentTesla、Remcos)或合法工具(如 AnyDesk、TeamViewer)進行初期部署。
  • 掃描企業網段內的 公開遠端桌面(RDP)與 VPN 裝置,進行弱密碼爆破,或利用未修補的漏洞(如 FortiOS、Citrix、Zimbra、Exchange CVE)直接入侵。

權限提升與橫向移動

  • 利用 Mimikatz、Cobalt Strike Beacon、SharpHound 等工具收集憑證與橫向移動路徑。
  • 頻繁使用 PowerShell、PsExec 及 WMI 進行無檔攻擊(fileless attack),降低被偵測風險。

機密資料竊取與外傳

  • 使用 Rclone、MegaCMD 或 curl 將壓縮後的敏感資料外傳至境外伺服器。
  • 優先外傳包含財務報表、人資資料、契約、客戶名單等高價值資料作為勒索籌碼。

資料加密與談判

  • 執行全域加密後,留下自訂勒索訊息,並透過暗網、Telegram 與受害者直接談判,要求以加密貨幣(如Monero)支付贖金。

過往知名受害者(部分)

麒麟的攻擊目標遍及全球,以下為歷來曾被列入其洩密名單的機構(根據公開資料):

  • 澳洲醫療集團 Regis Healthcare:患者資料與照護紀錄外洩。
  • 南韓SK集團
  • 日本一家知名的癌症治療中心
  • 帛琉衛生部
  • 日本某家化學材料製造商:被勒索數百萬美元
  • 美國報業集團Lee Enterprises
  • 英國病理學暨診斷服務供應商Synnovis

這些案例顯示麒麟對於跨國企業、醫療產業、製造業與高資料敏感度機構特別感興趣,並擅長針對其資訊分散、IT治理落差進行滲透與勒索。


資安建議:企業應如何應對麒麟類型的勒索團體?

  1. 強化初始入侵防線:包含郵件過濾、端點防護(EDR/XDR)、封鎖可疑IP等,降低社交工程與惡意程式入侵風險。
  2. 定期進行弱密碼檢測與 VPN/RDP 存取控管:減少因弱認證或遠端暴露導致的入侵途徑。
  3. 全面導入多因素驗證(MFA):無論內部或外部帳號皆須強制執行,防止帳密洩漏即造成橫向移動。
  4. 落實帳號權限最小化原則與 Active Directory 架構健檢:避免駭客一旦取得一組帳號就能快速橫向掃掠整個網段。
  5. 建立完整異地備份機制:定期演練資料還原流程,確保勒索攻擊發生時能迅速回復,降低營運衝擊。
  6. 導入誘捕技術(Deception Technology):部署誘餌帳號、假資產與蜜罐系統,主動誤導攻擊者行動、延緩攻擊進程,並提升早期偵測與回應能力。
  7. 定期關注勒索團體動態與 IOC 指標:可參考如 CISA、CERT 或威脅情資分享平台,掌握最新攻擊趨勢並即時調整防禦策略。

麒麟再次提醒我們,現代勒索攻擊已非僅為加密而加密,更是一場針對企業營運資訊完整性與聲譽的精準打擊。企業若仍以傳統思維看待資安,終將難逃其害。建議企業應主動導入威脅情報與攻防模擬紅隊演練,將資安視為營運風險的一環,才能在黑暗網絡的攻擊浪潮中站穩腳步。

麒麟勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

6914b1f5b6843341fafdfaa9d57818b9
d1c43f8db230bdf18c61d672440eba12
f28978b22c08f9cf0b9358af3af09b2ed7e737bc
bba5cfbcd7ea5635e2aaa93019febec6637cfae77e520808de73e6b0b6b9def4

【資安快訊】殭屍網路潛伏 ASUS 路由器,逾 9,000 台設備遭部署 SSH 後門!

2025 年 3 月中GreyNoise 資安研究團隊率先偵測到一場針對 ASUS 路由器的大規模入侵行動,並將其命名為「AyySSHush」——這是一場高度隱匿、持續性強的後門植入行動,至今已確認影響超過 9,000 台 ASUS 路由器,且受害數量仍在持續上升。

此行動的特徵與高階持續性攻擊(APT)手法相符,儘管尚無明確歸屬,但 GreyNoise 指出攻擊手法成熟,疑似具備國家級背景。


攻擊概況

AyySSHush 鎖定多款 ASUS 路由器,包括 RT-AC3100、RT-AC3200 與 RT-AX55 等,手法涵蓋:

  • 暴力破解登入憑證
  • 利用尚未取得 CVE 編號的認證繞過手法
  • 濫用已知漏洞 CVE-2023-39780(指令注入) 植入後門

攻擊者透過這些手法成功繞過驗證機制,並啟用路由器上的 SSH 服務,將自訂的公開金鑰寫入設備中,使其得以遠端存取。更關鍵的是,他們利用 ASUS 原生設定功能,使後門設定存放於 非揮發性記憶體(NVRAM,即使韌體升級或設備重開機仍可持續控制。


行動手法與隱匿技術

此攻擊具備以下幾項顯著特徵:

  • 不植入任何惡意程式,透過系統合法功能達成後門控制
  • 關閉路由器日誌功能與 趨勢科技的AiProtection 安全防護
  • 使用非標準 SSH 連接埠 TCP/53282
  • 幾乎不留下明顯痕跡,三個月內僅觀察到 30 次異常請求
針對華碩路由器的惡意請求 PhotoCredit:GreyNoise

完整入侵鏈分析

  1. 初始存取
    • 暴力破解密碼
    • 兩種未列 CVE 的認證繞過手法
  2. 指令執行
    • 利用 CVE-2023-39780 注入指令
  3. 持久化
    • 啟用 SSH 並插入攻擊者的公開金鑰
    • 設定寫入 NVRAM,重開機與升級後仍保留
  4. 隱匿行為
    • 關閉日誌、AiProtection
    • 不部署惡意程式

影響範圍與擴散情況

根據 Censys 掃描結果,截至 2025 年 5 月 27 日,已有 近 9,000 ASUS 路由器確認遭植入後門。雖然請求量極少(僅 30 筆),但實際感染設備眾多,顯示攻擊者以極高的隱蔽性建立一個潛伏中的殭屍網路。

值得注意的是,法國資安公司 Sekoia 也將此行動與他們所追蹤的「ViciousTrap」行動相互關聯,後者同樣針對 ASUS、Cisco、D-Link、Linksys 等 SOHO 路由器,並利用 CVE-2021-32030 發動攻擊,最終目的可能是轉發流量或架設跳板節點(Relay Node)。

目前尚無跡象顯示這波攻擊已被用於 DDoS 或代理惡意流量,但其部署方式明顯是為未來的大規模行動作準備。


已知攻擊指標(IoCs

  • 可疑 SSH 埠號: TCP/53282
  • 公開 SSH 金鑰:

“pubKeyHuntResults”: [

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZJ8L5mzhhaxfGzpHR8Geay/xDlVDSJ8MJwA4RJ7o21KVfRXqFblQH4L6fWIYd1ClQbZ6Kk1uA1r7qx1qEQ2PqdVMhnNdHACvCVz/MPHTVebtkKhEl98MZiMOvUNPtAC9ppzOSi7xz3cSV0n1pG/dj+37pzuZUpm4oGJ3XQR2tUPz5MddupjJq9/gmKH6SJjTrHKSECe5yEDs6c3v6uN4dnFNYA5MPZ52FGbkhzQ5fy4dPNf0peszR28XGkZk9ctORNCGXZZ4bEkGHYut5uvwVK1KZOYJRmmj63drEgdIioFv/x6IcCcKgi2w== rsa 2048  ]

攻擊來源 IP(應封鎖):

  • 101.99.91.151
  • 101.99.94.173
  • 79.141.163.179
  • 111.90.146.237

防護建議

  1. 立即升級韌體:ASUS 已針對 CVE-2023-39780 推出修補程式,但需留意:若設備先前已遭攻擊,韌體升級無法移除後門!
  2. 檢查 SSH 設定
    • 確認是否啟用了非預設 SSH 埠(TCP/53282)
    • 檢視 /home/root/.ssh/authorized_keys 是否存在未知金鑰
  3. 封鎖已知惡意 IP
  4. 若懷疑遭入侵,建議執行完整 「回復原廠設定(Factory Reset)」,並重新手動設定密碼及安全性配置。

若您使用 ASUS 路由器做為主要網路出入口設備(尤其為企業/分公司/遠端工作場景),建議立即執行檢查。此類高度隱匿的長期滲透攻擊,正逐步成為下一波 APT 行動的基礎建設。

【資安觀點】DragonForce 勒索軟體濫用 SimpleHelp,發動針對 MSP 的供應鏈攻擊

Photo Credit: Sophos

2025 年初,勒索軟體集團 DragonForce 發動一起具有高度戰略性的攻擊行動,成功入侵一家受託管理服務供應商(MSP),並濫用其遠端管理工具 SimpleHelp,針對多家下游客戶展開雙重勒索攻擊。這起事件不僅再度暴露 MSP 在供應鏈安全中的高風險地位,也凸顯遠端監控與管理平台成為攻擊者的熱門武器。


01|攻擊概覽:從 MSP 入手、層層滲透

根據 Sophos 的資安調查報告,DragonForce 疑似利用 SimpleHelp 未修補的三個漏洞(CVE-2024-57727、57728、57726)作為攻擊入口。攻擊者在取得 MSP 系統控制權後,直接操作 SimpleHelp 進行下列行動:

  • 偵察與側錄: 針對 MSP 客戶系統進行橫向偵察,蒐集裝置資訊、用戶帳號、系統組態與網路連線資料。
  • 資料竊取與部署加密器: 將勒索軟體推送至多個客戶環境,有部分成功加密與資料外洩。
  • 雙重勒索策略: 除了加密資料,更威脅公開外洩資料以提高贖金壓力。

02|SimpleHelp:MSP 的利器,也可能是攻擊者的捷徑

SimpleHelp 是許多 MSP 廣泛部署的遠端支援工具,用來存取、維運與部署軟體。正因其高度系統權限與跨客戶的控管能力,一旦遭到濫用,便成為攻擊者可以“一次入侵,多點打擊”的絕佳利器。

值得注意的是,DragonForce 並非首例濫用 MSP 工具的勒索集團。過去,REvil 曾利用 Kaseya 發動大規模供應鏈攻擊,影響逾千家企業;而 ConnectWise ScreenConnect 亦屢次成為攻擊渠道。


03|攻擊者輪廓:DragonForce 正在擴張其「勒索聯盟」

DragonForce 此前已在英國知名零售商 Marks & SpencerCo-op 的攻擊中現身,成功竊取大量顧客資料,並部署勒索程式。根據 BleepingComputer 的觀察,該集團正推動一種 白標式勒索軟體即服務(White-label RaaS)模式,允許 affiliate 使用自訂品牌部署 DragonForce 的加密工具,試圖建立類似「勒索聯盟」的網路勢力。

這種 affiliate-friendly 模型降低了技術門檻,讓更多駭客團體能輕易使用強大的勒索工具,加速勒索產業的「商品化」。


04|專家觀點:MSP 是新戰場的核心破口

MSP 因具備橫跨多家企業的系統存取權限,正逐漸成為勒索集團的主要攻擊目標。資安團隊若忽視 MSP 工具的風險評估與存取控管,將讓供應鏈變成最薄弱的一環。

建議重點如下:

  • 立即盤點與修補: 確認是否仍使用受影響版本的 SimpleHelp 並盡快更新至最新版本。
  • 強化帳號保護: 為 MSP 工具啟用多因素驗證(MFA)、限制系統權限,並落實最小授權原則。
  • 監控異常活動: 部署端點與網路層級的偵測機制,持續監控 RMM 工具的異常使用行為。
  • 與 MSP 合作建立資安SLA 要求 MSP 提供漏洞修補時間表與異常存取通報機制。

結語|面對供應鏈威脅,防禦不能只守城門

本次 DragonForce 濫用 SimpleHelp 的案例,再次提醒我們:「敵人早已不再從正面突破,而是從你信任的供應商後門潛入。」

無論您是企業、MSP 或資安廠商,都應將供應鏈風險納入核心資安治理範疇。透過持續風險監控、漏洞修補與零信任架構的實踐,才能真正提升整體抵禦勒索攻擊的能力。