全球教育科技平台再度爆發重大資安危機。知名學習管理系統平台 Instructure 旗下 Canvas，近日遭勒索與資料外洩組織 ShinyHunters 二度入侵，攻擊者不僅竊取大量教育資料，更進一步大規模竄改全球數百所大學與教育機構的 Canvas 登入頁面，公開張貼勒索訊息，試圖向 Instructure 與受害學校施壓支付贖金。

這起事件已不只是單純的資料外洩，而是演變成結合 SaaS 平台入侵、XSS 攻擊、Session 劫持、公開羞辱式勒索（Public Extortion）與教育供應鏈攻擊的複合型資安事件，也再次凸顯全球教育科技（EdTech）平台正快速成為高價值攻擊目標。

根據外媒與研究人員掌握資訊，攻擊者於 5 月初再度利用 Instructure 系統中的漏洞，成功入侵 Canvas 平台，並對約 330 所大學、學院與教育機構的 Canvas 登入入口進行大規模 Defacement。遭竄改的登入頁面與 Canvas App 中，皆被植入 ShinyHunters 的勒索警告訊息。

駭客在訊息中直接宣稱：

「ShinyHunters has breached Instructure (again).」

並警告 Instructure 與受影響學校，必須在 2026 年 5 月 12 日前主動聯繫談判，否則將公開所有遭竊學生資料。

攻擊者甚至要求學校「尋求資安顧問協助後私下與其聯繫」，顯示這已不再只是單純的技術入侵，而是高度組織化的數位勒索行動。

根據目前揭露資訊，此次頁面竄改事件僅持續約 30 分鐘便被緊急下架，但影響範圍已涵蓋大量教育機構，包括美國多所知名大學。事件發生後，Instructure 一度緊急將 Canvas 平台離線，以防止攻擊持續擴散並進行調查。

事實上，這並非 Instructure 首次遭駭。

早在 4 月底，Instructure 即已公開承認遭遇資安事件，當時 ShinyHunters 聲稱已從 Canvas 平台相關環境中竊取超過 2.8 億筆學生與教職員資料，影響高達 8,809 所學校、大學與線上教育平台。

而後續駭客更向媒體透露，遭竊資料不僅包含：

• 使用者帳號資料
• 電子郵件地址
• 修課與註冊資訊
• 課程名稱
• 私人訊息內容
• 學生與教師互動資料
• Canvas 匯出資料
• API 存取內容

甚至可能涉及大量校務與教育平台後端資料。

從攻擊技術分析來看，這起事件最值得關注的，是攻擊者利用了 Canvas 平台中與使用者產生內容（User-Generated Content）相關的多個 XSS（Cross-Site Scripting）漏洞。

駭客透過植入惡意 JavaScript 程式碼，成功竊取已登入管理員與高權限使用者的 Session Token，進而劫持已驗證 Session，取得管理權限並執行高權限操作。

這代表攻擊者無需破解密碼，即可繞過傳統 MFA 與帳密驗證機制，直接接管後台管理權限。

對 SaaS 與雲端平台而言，這類 Session Hijacking 攻擊風險極高，因為一旦管理者 Session 遭竊，攻擊者便能合法存取大量企業與組織資料，甚至橫向移動至更多整合系統。

而 Canvas 本身作為全球最廣泛使用的 LMS 平台之一，長期被大量高等教育機構與 K-12 學校用於：

• 課程管理
• 作業提交
• 成績系統
• 師生溝通
• 教學平台整合

因此，一旦平台遭入侵，其影響已不只是單一企業事件，而可能演變成大規模教育供應鏈風險。

更值得警惕的是，ShinyHunters 近年已逐漸從傳統資料外洩組織，演變成專門針對 SaaS 與雲端身分驗證環境的高階勒索集團。

資安研究人員指出，ShinyHunters 近年頻繁鎖定：

• Salesforce
• Microsoft 365
• Google Workspace
• Okta
• Slack
• SAP
• Atlassian
• Zendesk
• Dropbox
• Adobe

等大型 SaaS 與企業雲端平台。

其常見攻擊手法包括：

• OAuth Token 竊取
• 第三方整合供應商入侵
• API Token 濫用
• 單一登入（SSO）帳號劫持
• Voice Phishing（Vishing）
• MFA 疲勞攻擊
• Device Code Phishing
• Microsoft Entra Token 劫持

其中最危險的，是攻擊者開始大量利用「身分驗證信任機制」進行橫向滲透。

駭客通常假冒 IT 支援人員，透過電話釣魚（Vishing）誘騙員工輸入 MFA 驗證碼或登入企業 SSO 頁面，之後再竊取 OAuth 或 Entra 驗證 Token，直接接管企業 SaaS 環境。

這代表即使企業已導入 MFA，若缺乏身分異常偵測與條件式存取（Conditional Access），仍可能遭繞過。

此外，ShinyHunters 近年也逐漸發展出類似「勒索即服務（Extortion-as-a-Service）」模式，協助其他威脅組織進行資料勒索並抽取分潤，因此即便部分成員遭逮捕，仍持續有大量攻擊活動以「We are ShinyHunters」名義進行。

此次 Canvas 事件也再次反映，教育產業長期被低估的資安風險正快速升高。

由於教育平台通常集中大量未成年學生資料、身分資訊、學習紀錄與校務系統，一旦遭入侵，後續不僅可能造成個資外洩，更可能衍生：

• 身分冒用
• 社交工程攻擊
• 供應鏈滲透
• 帳號接管
• AI 訓練資料濫用
• 長期情報蒐集

等更深層風險。

從防禦角度來看，此事件也再次提醒所有 SaaS 與教育平台業者：

• 必須加強 Web Application Security 測試
• 建立更嚴格的 XSS Sanitization 機制
• 導入 CSP（Content Security Policy）
• 強化 Session 與 Token 保護
• 監控異常 OAuth 與 API 存取行為
• 導入身分威脅偵測（ITDR）
• 建立 SaaS Security Posture Management（SSPM）
• 強化第三方整合供應鏈管理

當攻擊者開始結合 SaaS 入侵、身分劫持與公開式勒索，未來這類針對教育、醫療與雲端平台的複合型攻擊，只會越來越頻繁且更具破壞力。

資安圈近期高度關注的 CVE-2026-0300 漏洞，正讓全球大量使用 Palo Alto Networks PAN-OS 的企業面臨嚴峻風險。這項存在於 User-ID Authentication Portal（Captive Portal）中的緩衝區溢位漏洞，允許攻擊者在「無需驗證身分」的情況下，直接對暴露於網際網路的防火牆執行遠端程式碼（RCE），甚至取得 root 權限，等同於完全接管整台設備。

更值得警惕的是，Palo Alto Unit 42 已確認，自 2026 年 4 月起，就有疑似國家級背景的威脅組織持續利用此漏洞進行實際攻擊行動，並將其追蹤為 CL-STA-1132。攻擊者在成功入侵後，不僅快速植入 shellcode，更第一時間刪除 nginx crash logs、kernel 訊息與 core dump 等關鍵紀錄，顯示其具備高度成熟的反鑑識能力與長期潛伏意圖。

從目前揭露的攻擊鏈可發現，這已不是單純的「漏洞利用」，而是一場完整的內網滲透作戰。駭客利用防火牆中取得的服務帳號憑證，進一步對 Active Directory 執行枚舉，鎖定 Domain Root 與 DomainDnsZones 等核心資產，並透過 Earthworm、ReverseSocks5 等公開滲透工具建立 SOCKS5 通道與多層跳板，將防火牆直接轉變為進入企業內網的隱蔽入口。

特別值得注意的是，攻擊者幾乎完全使用公開開源工具，而非客製化惡意程式。這種手法近年在 APT 攻擊中越來越常見，因為公開工具更容易避開傳統簽章式偵測機制，同時也讓事件更難與特定組織直接關聯。過去 Earthworm 就曾出現在 Volt Typhoon、APT41 等中國背景威脅行動中，如今再次現身，也讓外界更加關注此次事件背後的國家級攻擊可能性。

美國 CISA 也已緊急將 CVE-2026-0300 納入 Known Exploited Vulnerabilities（KEV）目錄，並要求聯邦機構必須於 2026 年 5 月 9 日前完成風險緩解。由於目前正式修補程式尚未全面釋出，企業若仍將 Authentication Portal 對外開放，等同於持續暴露在高風險狀態之下。

從防禦角度來看，這起事件再次凸顯「邊界設備」早已成為現代攻擊者最優先的滲透目標。防火牆不再只是防禦設備，而是掌握整個企業網路流量、帳號驗證與內網通道的關鍵節點。一旦遭到接管，攻擊者甚至能繞過既有資安政策，直接從最核心的位置向內部環境橫向移動。

對企業而言，目前最重要的應變措施包括：
立即限制 User-ID Authentication Portal 僅允許內部可信區域存取、停用不必要的 Captive Portal 功能、關閉對外 Response Pages、全面檢查防火牆是否存在異常 shellcode 行為、未知 SOCKS 通道、異常 SAML 流量，以及可疑 AD 枚舉活動。同時也應密切關注 Palo Alto 官方更新，並在修補程式發布後第一時間完成更新。

這起事件再次提醒所有企業：當攻擊者開始瞄準防火牆與邊界設備時，代表真正的目標早已不只是單一設備，而是整個企業內網的控制權。

資安研究人員近日警告，新興勒索軟體 VECT 2.0 雖以勒索軟體之名對外招募合作夥伴，但實際運作卻更接近一款資料抹除工具（Wiper）。原因在於其 Windows、Linux 與 ESXi 版本皆存在重大加密設計缺陷，導致大量檔案在遭攻擊後被永久破壞，甚至連攻擊者自己也無法還原資料。

換句話說，受害企業即使支付贖金，也可能完全拿不回檔案。

超過 131KB 的檔案，幾乎注定無法恢復

根據 Check Point Research 分析，VECT 2.0 對超過 131KB（131,072 bytes） 的檔案進行加密時，會將檔案切成四個區塊處理，並分別產生四組隨機 Nonce（一次性隨機值）。

問題在於，惡意程式最終只保存最後一組 Nonce，其餘前三組在加密後直接丟棄，沒有寫入磁碟、註冊表，也未回傳給攻擊者。

由於 ChaCha20 演算法解密時，必須同時具備正確金鑰與對應 Nonce，這代表：

• 前 75% 的檔案內容永久無法還原
• 攻擊者也無法製作有效解密工具
• 支付贖金不等於能復原資料

研究人員直言，這類攻擊已不是傳統勒索，而是披著勒索外衣的不可逆資料摧毀行為。

對企業而言，這比勒索更危險

傳統勒索軟體至少仍保留「付款後可能解密」的談判空間，但 VECT 2.0 的設計缺陷，使企業在遭攻擊後失去這條路。

尤其企業最重要的資料，例如：

• 虛擬機映像檔
• 資料庫備份檔
• 財務報表
• 設計圖檔
• ERP 與營運系統資料

多半都遠超過 131KB，代表實際受害時，核心營運資料恐直接報銷。

採 RaaS 模式營運，積極招募駭客加盟

VECT 最早於 2025 年底推出，近期重新包裝為 VECT 2.0，並以 Ransomware-as-a-Service（RaaS） 模式經營，在地下論壇招募加盟者。

其暗網頁面主打三重勒索模式：

• 資料竊取（Exfiltration）
• 檔案加密（Encryption）
• 勒索施壓（Extortion）

據外部研究指出，新加盟者需支付約 250 美元等值 Monero（XMR） 作為入場費，部分特定地區則可免收，顯示其正在快速擴張攻擊生態系。

Windows、Linux、ESXi 全平台攻擊能力

研究顯示，VECT 2.0 已具備跨平台攻擊能力：

Windows 版本

• 加密本機、外接與網路共享磁碟
• 針對 44 種安全工具與除錯工具進行對抗
• 可強制進入 Safe Mode 後持續執行
• 具備橫向移動腳本模板

ESXi 版本

• 鎖定虛擬化環境
• 可透過 SSH 橫向擴散
• 具備地理圍欄（Geofencing）機制

Linux 版本

• 與 ESXi 共用主要程式碼架構
• 具備部分相同行為能力

鎖定 CIS 地區豁免，加拿大？台灣？仍需警戒

VECT 2.0 在執行前會檢查系統是否位於獨立國協（CIS）國家，若判定符合條件，將自動停止加密流程。

這種「不攻擊特定地區」的邏輯，常見於東歐背景勒索集團。不過研究人員指出，VECT 甚至仍將烏克蘭列入排除名單，行為相當罕見，推測可能使用舊版程式碼，或部分程式由 AI 協助生成。

專家觀點：技術粗糙，但威脅仍不可低估

Check Point 認為，VECT 2.0 背後操作者較像是經驗不足的新手集團，而非成熟勒索組織。雖然技術實作粗糙，但其具備：

• 多平台攻擊能力
• 招募加盟制度
• 與地下論壇合作散播
• 結合供應鏈外洩資料進行攻擊

這代表即使技術不成熟，仍可能對企業造成高度破壞。

台灣企業應立即採取的防禦重點

面對這類「無法談判」的新型勒索威脅，企業防線應從事後應變轉向事前韌性：

建議措施：

1. 建立離線備份與異地備援
2. 定期演練災難復原流程（DR Drill）
3. 強化 AD、VPN、遠端登入存取控管
4. 監控異常加密、橫向移動與 SSH 活動
5. 部署 EDR / MDR 即時偵測攻擊行為
6. 定期修補 Windows、Linux、VMware 漏洞

結語

VECT 2.0 再次提醒企業：不是所有勒索軟體都還有談判空間。

當攻擊者連自己的解密能力都沒有時，支付贖金只會讓損失更大。面對新世代勒索攻擊，真正能保住企業營運的，不是談判技巧，而是備份能力、應變速度與資安韌性。

日本奈良市於4月22日證實，市立奈良病院遭受網路攻擊，院內系統因異常通訊觸發防護機制，導致多項關鍵服務中斷。院方在第一時間緊急切斷相關伺服器與外部網路連線，以防止攻擊擴散，但也因此造成電子病歷系統（EMR）無法存取，迫使院方全面暫停急診收治與多數門診服務。

根據官方說明，異常活動最早於21日晚間由網路監控系統偵測到，隨後部分伺服器出現停擺，影響範圍迅速擴大至核心醫療系統。由於電子病歷全面無法調閱，醫療決策基礎受阻，院方基於病患安全考量，於22日凌晨起停止急診服務，並取消非緊急門診與部分手術。雖然備份系統尚未受損，但整體復原時程仍未明朗。

從奈良到台灣：醫療資安事件的共通風險輪廓

這起事件的發展，與台灣過去馬偕紀念醫院 遭「Crazy Hunter」攻擊事件呈現出相似的攻擊輪廓。

在馬偕事件中，攻擊者同樣透過入侵醫療資訊系統，影響內部作業流程，造成服務中斷與營運壓力。兩起事件雖然細節不同，但反映出幾個醫療產業共通的資安弱點：

首先，是醫療系統高度依賴即時可用性（availability）。一旦電子病歷或核心系統中斷，不僅是IT問題，而是直接影響臨床判斷與病患安全。

其次，是攻擊面廣且防護難度高。醫院內部同時存在舊系統（legacy systems）、醫療設備（OT）、以及對外連線服務，使得防禦邊界複雜且難以完全封閉。

第三，是事件處理往往需在「營運不中斷」與「資安隔離」之間取捨。奈良醫院選擇立即斷網，雖有效阻止擴散，但同時也造成服務全面停擺，這正是醫療資安最困難的決策點。

不只是攻擊本身，而是「韌性（Resilience）」的考驗

從資安治理角度來看，這類事件的關鍵已不只是「是否被入侵」，而是：

在被攻擊的情況下，是否仍能維持基本醫療服務能力。

奈良醫院此次雖有備份資料，但仍無法即時恢復服務，顯示在營運持續計畫（BCP）與災難復原（DR）機制上，仍存在落差。這一點，也正是全球醫療機構近年持續面臨的挑戰。

趨勢觀察：醫療機構已成高價值攻擊目標

無論是日本奈良，還是台灣馬偕案例，都顯示出同一趨勢：

醫療機構正成為勒索攻擊與進階威脅行動的優先目標。

原因在於：

• 資料敏感度高（如個資與醫療紀錄），涉及高度隱私保護需求
• 系統容錯率低（對可用性要求極高，通常無法容忍長時間中斷）
• 在營運壓力下，組織通常會優先考量快速恢復服務的可行性與資源投入

這使得攻擊者更傾向將醫療產業視為「高報酬目標」。

結語：醫療資安已從IT議題升級為公共安全議題

奈良市立醫院事件再次提醒，醫療資安早已不只是資訊部門的責任，而是涉及公共安全與社會韌性的核心議題。

當電子病歷無法開啟、急診被迫關閉時，影響的不只是系統，而是整個醫療體系的運作能力。對台灣而言，如何從既有案例中強化防禦與應變能力，將是未來醫療資安治理的關鍵。

Microsoft Defender 再次站上資安輿論的風口浪尖。

在微軟於 Patch Tuesday 修補 CVE-2026-33825（BlueHammer） 之後不久，研究員 Chaotic Eclipse 又公開了第二個零時差漏洞 RedSun。這一連串事件不僅讓 Windows Defender 的提權風險浮上檯面，也同時引爆了另一個更敏感的議題：漏洞回報流程與研究者信任之間的裂縫。

從資安的角度來看，這已不再只是技術漏洞事件，而是一場「漏洞披露治理」與「供應商回應機制」的現實壓力測試。

BlueHammer（CVE-2026-33825）：Defender 提權漏洞的起點

事件最初源自研究員 Chaotic Eclipse 公布的概念驗證漏洞 BlueHammer。

該漏洞後續被多方資安專家與廠商確認，問題核心與 Microsoft Defender 的更新與檔案處理機制相關。當攻擊者成功利用時，可將一般使用者權限提升至 SYSTEM 等級，取得系統最高控制權。

微軟最終將此漏洞納入 CVE-2026-33825，並於本月 Patch Tuesday 正式修補。

從技術層面來看，這類漏洞的本質並不複雜，但其危險性在於：

• 利用條件低（低權限即可）
• 不需要使用者互動
• 可直接進入後滲透階段（Post-Exploitation）
• SYSTEM 權限意味完整主機控制

也因此，BlueHammer 被視為典型的端點提權風險。

RedSun 登場：第二個 Defender 零時差漏洞

就在 BlueHammer 修補後短時間內，Chaotic Eclipse 再度公開另一個 Defender 相關漏洞，並命名為 RedSun。

根據研究內容，RedSun 利用的是 Windows Cloud Files API 與 Defender 檔案處理邏輯之間的互動問題。攻擊者可透過特定帶有標籤屬性的檔案觸發流程，進一步竄改系統檔案並取得 SYSTEM 權限。

資安研究社群指出，該漏洞可能影響包含 Windows 10、Windows 11 與 Windows Server 2019 等系統，只要系統中存在 cldapi.dll，且 Microsoft Defender 啟用，即可能暴露於風險之中。

技術細節：從 Cloud Files API 到 SYSTEM 權限的路徑

根據公開分析（包含資安專家 Will Dormann 的觀察），RedSun 的利用鏈涉及多個 Windows 元件之間的競態條件（race condition）與檔案重導機制：

攻擊流程大致如下：

• 利用 Cloud Files API 寫入具特定標籤的檔案（例如 EICAR 測試字串）
• 透過 opportunistic locking（oplock）與系統服務產生競態條件
• 利用 junction / reparse point 進行檔案路徑重導
• 覆寫系統關鍵檔案（例如 C:\Windows\System32\TieringEngineService.exe）
• 觸發 Defender / Cloud Infrastructure 以 SYSTEM 權限執行該檔案

最終結果是：攻擊者植入的程式以 SYSTEM 身分執行

這類攻擊的關鍵不在於單一漏洞，而在於 Windows 檔案系統、雲端同步機制與安全防護之間的交互設計。

爭議核心：研究者與微軟之間的信任裂縫

與技術漏洞同樣受到關注的，是 Chaotic Eclipse 公開 RedSun 的動機。

根據其部落格與 GitHub 說明，他對 Microsoft 處理 BlueHammer（CVE-2026-33825）的方式感到不滿，認為官方回應過於制式，並未正面回應研究者的核心訴求。

他指出：

• BlueHammer 在被媒體報導後才獲得重視
• 微軟雖然立案，但後續處理趨向駁回
• MSRC 溝通過程缺乏實質回饋

在情緒性聲明中，他甚至表示：

Microsoft 已經清楚知道漏洞存在，但選擇以制式回應處理研究者。

他同時暗示，未來可能釋出更具破壞性的遠端執行（RCE）漏洞。

雖然這些說法仍屬單方觀點，但已在資安社群引發廣泛討論。

微軟回應：標準化，但資訊有限

針對 RedSun 事件，微軟透過公開管道表示，公司遵循既定流程處理所有回報的安全問題，並會透過更新機制保護用戶。

然而，目前對於 RedSun 是否已內部確認、或是否納入修補排程，外界仍無法得知。

這種「標準但有限資訊」的回應方式，在過往漏洞事件中並不罕見，但在高關注度事件中，往往會加劇社群的不確定性。

資安社群的分歧：技術確認 vs 披露方式

值得注意的是，部分資安專家已在社群平台指出：

• RedSun 在特定條件下確實可被重現
• SYSTEM 提權在技術上成立
• 漏洞與 Cloud Files API 行為密切相關

但同時，也有觀點認為：

• 公開 PoC 可能加速攻擊武器化
• 情緒化披露增加企業防禦壓力
• 缺乏完整協調披露（Coordinated Disclosure）

這使得 RedSun 不僅是技術問題，也變成「漏洞治理模式」的爭議案例。

從 BlueHammer 到 RedSun：正在改變的攻擊現實

如果將這一系列事件放在更大的攻擊模型中觀察，可以看到一個清晰趨勢：

• 初始入侵仍然依賴傳統手法（釣魚、惡意程式）
• 提權漏洞（如 Defender 類漏洞）成為標準模組
• PoC 公開使攻擊門檻進一步下降
• 攻擊鏈完成時間顯著縮短

換句話說，企業面對的已不只是「漏洞數量」，而是漏洞從披露到武器化的速度正在縮短。

結語：漏洞之外，更關鍵的是信任機制

Microsoft Defender 這一連串事件，表面上是技術漏洞，實際上反映的是三個更深層問題：

• 安全產品本身已成為攻擊面的一部分
• 漏洞披露流程正在承受信任壓力
• 攻擊者與防禦者之間的時間差正在消失

當 RedSun 與 BlueHammer 連續出現時，真正值得關注的已不只是 CVE 編號，而是整個資安生態系如何處理「發現 → 回應 → 修補 → 武器化」這段極短但關鍵的時間窗口。

在這個節奏持續加快的環境裡，企業真正需要回答的問題是：

當漏洞被公開的那一刻，你的防禦體系，是已經準備好，還是剛開始反應？

近期資安圈再度出現一起具高度針對性的攻擊行動。思科（Cisco）旗下威脅情報團隊 Talos 揭露，一個代號為 UAT-10362 的駭客組織，正持續對台灣非政府組織（NGO）與學術機構發動魚叉式釣魚攻擊，並透過一款新型 Lua 架構惡意程式 LucidRook，建立後續滲透與控制能力。從整體攻擊設計來看，這並非隨機散播的惡意活動，而是具備明確目標與策略的長期行動。

這波攻擊最早可追溯至 2025 年 10 月。攻擊者透過疑似已取得授權或遭濫用的郵件基礎設施發送釣魚信，內容設計相當精細，包含短網址與加密壓縮檔，甚至直接在信中提供解壓縮密碼，刻意降低收件者的戒心。一旦使用者點擊並解壓檔案，真正的攻擊才開始展開。

在技術層面，UAT-10362 展現出相當成熟的攻擊鏈設計。無論是偽裝成 PDF 的 LNK 檔，或是冒充防毒工具的 EXE 程式，本質上都圍繞著同一核心技術——DLL Side-loading。攻擊者巧妙利用合法系統工具與正常執行檔作為掩護，載入惡意元件 LucidPawn，再進一步啟動最關鍵的載入器 LucidRook。整個過程中，使用者往往只看到文件被開啟或「掃毒完成」的提示，卻難以察覺系統已被植入後門。

真正值得關注的是 LucidRook 本身的設計思維。它並非傳統單一功能的惡意程式，而是一個高度模組化的「階段式載入平台」。透過內嵌 Lua 5.4.8 解譯器，並結合 Rust 編譯元件，攻擊者可以在受害主機上動態下載、解密並執行後續的 Lua Bytecode。換言之，LucidRook 更像是一個可擴展的攻擊框架，而非固定功能的惡意程式，這也使其在行為上更加隱匿且難以被傳統防毒機制偵測。

此外，該攻擊行動展現出明確的地緣針對性。負責投遞的 LucidPawn 在執行前，會檢查系統語系是否為「zh-TW」，僅在符合台灣使用環境時才會繼續運作。這種地理圍欄（geofencing）機制，一方面確保攻擊精準命中目標，另一方面也有效降低在國際沙箱或資安研究環境中被提前偵測的風險。從攻擊者的角度來看，這代表其已具備成熟的反分析能力與行動紀律。

在基礎設施運用上，UAT-10362 同樣採取低調且分散的策略。Talos 指出，攻擊者濫用 OAST（Out-of-band Application Security Testing）服務，以及已遭入侵的 FTP 伺服器作為指揮控制（C2）節點，刻意隱身於看似正常的網路流量之中。同時，研究人員也發現另一工具 LucidKnight，能透過 Gmail 暫存信箱外傳系統資訊，顯示攻擊者可能先進行目標偵察與篩選，再決定是否進一步部署 LucidRook，形成一套分階段的滲透流程。

從資安專業角度來看，這起事件反映出當前攻擊趨勢的幾個重要轉變。首先，攻擊已從過去的大規模掃描，轉向高精準、低噪音的滲透模式，特別鎖定 NGO 與學術單位，背後可能涉及更複雜的情報蒐集或地緣政治目的。其次，攻擊者大量濫用合法工具與系統元件，使得防禦方難以僅依賴傳統特徵碼或防毒機制進行攔截。最後，模組化與腳本化的惡意程式設計，讓攻擊行為可以隨目標環境即時調整，大幅提升持續潛伏與橫向移動的能力。

對台灣而言，這類針對 NGO 與學界的攻擊，已不只是單純的資安事件，而更可能是長期資訊蒐集與認知作戰的一環。如何從單點防禦提升至整體治理，包括端點行為監控、異常流量偵測，以及人員資安意識的強化，將成為未來防禦此類進階威脅的關鍵。

近期資安情資顯示，與伊朗政府相關的駭客組織，正針對美國關鍵基礎設施中的營運技術（OT）環境發動新一波攻擊行動，鎖定直接暴露於網際網路的可程式邏輯控制器（PLC），顯示攻擊重心已從傳統 IT 系統，進一步深入至實體營運層。

根據美國聯邦調查局（FBI）與多個資安與情報機構聯合警示，這些攻擊已在多個關鍵產業造成實質影響，包括設備功能異常、HMI（人機介面）顯示資料遭竄改，甚至引發營運中斷與財務損失，對基礎設施穩定性構成直接威脅。

攻擊手法解析：從「合法連線」滲透 PLC 控制鏈

此次攻擊最值得關注的，是駭客並非透過傳統漏洞利用，而是濫用工業控制系統（ICS）的合法管理機制，建立「看似正常」的連線通道。

攻擊者利用第三方租用基礎設施，搭配如 Rockwell Automation Studio 5000 Logix Designer 等官方設定工具，模擬合法工程師操作，成功與目標 PLC 建立信任連線，進而進行後續滲透與操控。

受影響設備主要集中於：

• Allen-Bradley 系列 PLC
• CompactLogix
• Micro850

涵蓋場域包括政府設施、水資源處理系統（WWS）以及能源產業。

入侵後行為：控制權建立與視覺層操控

一旦成功取得初始存取權，攻擊者隨即展開後續行動：

• 部署輕量化 SSH 工具（Dropbear），開啟遠端存取（Port 22）
• 建立持續性 C2（指揮控制）通道
• 竊取 PLC 專案檔（Project File）
• 操控 SCADA 與 HMI 顯示數據（製造誤判或混淆）

這類攻擊的關鍵不僅在於「控制設備」，更在於「操控人員判斷」。透過竄改畫面數據，駭客可在不立即觸發警報的情況下，逐步干擾決策流程，屬於典型的 OT 心理層攻擊（Perception Manipulation）。

背後戰略意圖：從破壞走向「混合戰」模式

本次行動被認為與伊朗在地緣政治衝突升溫背景下的網路戰升級有關。資安研究機構指出，伊朗駭客已逐步形成一套成熟的攻擊模式：

• 同步攻擊 IT 與 OT 環境
• 結合 DDoS、資料外洩與破壞性攻擊
• 利用假名駭客組織（如 Homeland Justice、Handala Hack）進行認知戰與輿論操作

更值得注意的是，這些組織並非完全獨立，而是共享基礎設施與攻擊技術的「協同作戰體系」，其背後被認為與伊朗情報機構 MOIS 有高度關聯。

技術演進觀察：國家級攻擊結合犯罪工具鏈

另一項關鍵趨勢，是國家級駭客開始導入商業化或地下市場的攻擊工具（MaaS, Malware-as-a-Service），以提升行動效率並降低可追蹤性。

例如：

• 使用 CastleRAT 作為遠端控制工具
• 透過 PowerShell Loader（reset.ps1）部署新型惡意程式 ChainShell
• 利用 Ethereum 區塊鏈智能合約動態取得 C2 位址（高度隱匿）
• 搭配 Tsundere（Dindoor）殭屍網路模組擴大控制規模

這種「國家級戰略 + 犯罪工具鏈」的混合模式，正快速模糊 APT 與網路犯罪之間的界線，也讓防禦與歸因難度顯著提升。

專家觀點：這不是新威脅，而是「加速中的既有風險」

從過去 Unitronics PLC 攻擊事件，到近期針對美國與以色列的行動，可以清楚觀察到：

OT 攻擊並非新興威脅，而是正在快速規模化與武器化。

對企業而言，真正的風險不在於「是否會被攻擊」，而在於：

• 是否仍將 PLC 暴露於公網
• 是否缺乏 OT 專屬的存取控管與監控機制
• 是否低估 HMI / SCADA 層被操控所帶來的營運風險

防禦建議：回歸 OT 資安基本盤

針對此類攻擊，建議企業優先落實以下幾項關鍵措施：

• 禁止 PLC 直接暴露於網際網路（No Internet Exposure）
• 導入網路分段（IT/OT Segmentation）與零信任架構
• 啟用多重驗證（MFA）與存取白名單機制
• 部署工業防火牆或 Proxy 控制 OT 存取流量
• 定期更新 PLC 韌體與關閉未使用功能
• 監控異常 OT 通訊與行為（特別是 SSH / Port 22）

結語

本次事件再次凸顯，關鍵基礎設施的資安防護，已不再只是 IT 問題，而是攸關國家安全與營運穩定的核心議題。

當攻擊者開始能「合法地」操控工業設備時，真正需要被重新檢視的，是企業對 OT 資安的整體認知與治理成熟度。

未修補系統恐被遠端接管，數千台設備仍暴露網際網路

企業端點管理平台再傳重大資安警訊。Fortinet 旗下 FortiClient EMS 被揭露存在一項高風險漏洞（CVE-2026-21643），CVSS 評分高達 9.1，且最新跡象顯示，攻擊者已開始在實務環境中利用該漏洞發動攻擊。

資安研究單位 Defused 指出，該漏洞屬於 SQL Injection 類型，可進一步導致遠端程式碼執行（RCE），對企業內部網路構成嚴重威脅。

未列入 KEV 清單，攻擊已搶先發生

儘管目前尚未被 CISA 納入「已知遭利用漏洞」（KEV）清單，但 Defused 觀測到，相關攻擊行為至少在數日前就已出現，顯示威脅正在快速擴散。

研究人員指出，攻擊手法並不複雜：

攻擊者可透過 HTTP 請求中的「Site」標頭注入惡意 SQL 語句，進而對 FortiClient EMS Web 管理介面發動攻擊。

由於漏洞允許「未經驗證（unauthenticated）」利用，代表攻擊者無需帳密，即可：

• 執行任意系統指令
• 控制後端伺服器
• 作為企業網路入侵的初始據點（initial foothold）

一旦成功入侵，後續可能進一步進行：

• 橫向移動（lateral movement）
• 惡意程式部署（malware deployment）

漏洞根因：典型 SQL Injection 設計缺陷

根據 Fortinet 在 2 月發布的安全公告，該漏洞源於：

未正確處理 SQL 指令中的特殊字元（CWE-89）

這類問題雖屬經典漏洞類型，但在高權限管理平台中出現，風險被大幅放大。

漏洞由 Fortinet 產品資安團隊成員
Gwendal Guégniaud 發現並回報。

影響範圍與修補建議

目前確認影響版本如下：

• FortiClient EMS 7.4.4（受影響）
• FortiClient EMS 7.4.5（已修補）
• 7.2 與 8.0 版本不受影響

企業應立即採取行動：

• 升級至 7.4.5 或以上版本
• 檢查是否已有異常存取紀錄
• 限制 EMS 管理介面對外開放

暴露面風險升高：數千台設備直接對外

除了漏洞本身，外部曝險情況同樣嚴峻。

資安監測機構 Shadowserver Foundation 指出，目前全球約有 2,000 台 FortiClient EMS 實例仍暴露在網際網路上，其中：

• 美國：約 756 台
• 歐洲：約 683 台

此外，搜尋平台 Shodan 顯示，仍有接近 1,000 台設備可被公開識別與掃描。

這類直接對外開放管理介面的環境，極易成為自動化攻擊工具的首要目標。

Fortinet 漏洞持續成為攻擊熱點

Fortinet 產品長期以來都是攻擊者高度關注的目標。

過去案例顯示：

• 多起勒索軟體攻擊透過 Fortinet 漏洞入侵
• 零時差漏洞常在修補前即遭利用
• 關鍵基礎設施與電信產業亦曾受害

例如在 March 2024，CISA 即將另一個 FortiClient EMS SQL Injection 漏洞（CVE-2023-48788）納入 KEV 清單，確認其已遭實際攻擊利用。

資安觀點：兩個不容忽視的趨勢

從本次事件可觀察到兩個關鍵現象：

1. 攻擊速度已超越官方揭露節奏

漏洞尚未被正式列為「已遭利用」，攻擊已經發生，企業不能再依賴公告作為唯一防禦依據。

2. 暴露面管理成為關鍵防線

真正風險不只來自漏洞，而是：

「高權限系統直接暴露在網際網路上」

防禦建議

企業應立即進行以下措施：

• 緊急套用修補（7.4.5+）
• 關閉或限制 EMS Web 管理介面外部存取
• 部署 WAF 或 Zero Trust 存取控制
• 盤點外部曝露資產（EASM / ASM）
• 監控異常 HTTP Header 與 SQL Injection 行為

一句話總結

當漏洞結合「未修補」與「對外暴露」，就不再是風險，而是即將發生的事件。

在攻擊自動化與大規模掃描時代，企業需要的不只是修補漏洞，而是全面掌握自身的暴露面與攻擊入口。