Microsoft Defender 再次站上資安輿論的風口浪尖。

在微軟於 Patch Tuesday 修補 CVE-2026-33825（BlueHammer） 之後不久，研究員 Chaotic Eclipse 又公開了第二個零時差漏洞 RedSun。這一連串事件不僅讓 Windows Defender 的提權風險浮上檯面，也同時引爆了另一個更敏感的議題：漏洞回報流程與研究者信任之間的裂縫。

從資安的角度來看，這已不再只是技術漏洞事件，而是一場「漏洞披露治理」與「供應商回應機制」的現實壓力測試。

BlueHammer（CVE-2026-33825）：Defender 提權漏洞的起點

事件最初源自研究員 Chaotic Eclipse 公布的概念驗證漏洞 BlueHammer。

該漏洞後續被多方資安專家與廠商確認，問題核心與 Microsoft Defender 的更新與檔案處理機制相關。當攻擊者成功利用時，可將一般使用者權限提升至 SYSTEM 等級，取得系統最高控制權。

微軟最終將此漏洞納入 CVE-2026-33825，並於本月 Patch Tuesday 正式修補。

從技術層面來看，這類漏洞的本質並不複雜，但其危險性在於：

• 利用條件低（低權限即可）
• 不需要使用者互動
• 可直接進入後滲透階段（Post-Exploitation）
• SYSTEM 權限意味完整主機控制

也因此，BlueHammer 被視為典型的端點提權風險。

RedSun 登場：第二個 Defender 零時差漏洞

就在 BlueHammer 修補後短時間內，Chaotic Eclipse 再度公開另一個 Defender 相關漏洞，並命名為 RedSun。

根據研究內容，RedSun 利用的是 Windows Cloud Files API 與 Defender 檔案處理邏輯之間的互動問題。攻擊者可透過特定帶有標籤屬性的檔案觸發流程，進一步竄改系統檔案並取得 SYSTEM 權限。

資安研究社群指出，該漏洞可能影響包含 Windows 10、Windows 11 與 Windows Server 2019 等系統，只要系統中存在 cldapi.dll，且 Microsoft Defender 啟用，即可能暴露於風險之中。

技術細節：從 Cloud Files API 到 SYSTEM 權限的路徑

根據公開分析（包含資安專家 Will Dormann 的觀察），RedSun 的利用鏈涉及多個 Windows 元件之間的競態條件（race condition）與檔案重導機制：

攻擊流程大致如下：

• 利用 Cloud Files API 寫入具特定標籤的檔案（例如 EICAR 測試字串）
• 透過 opportunistic locking（oplock）與系統服務產生競態條件
• 利用 junction / reparse point 進行檔案路徑重導
• 覆寫系統關鍵檔案（例如 C:\Windows\System32\TieringEngineService.exe）
• 觸發 Defender / Cloud Infrastructure 以 SYSTEM 權限執行該檔案

最終結果是：攻擊者植入的程式以 SYSTEM 身分執行

這類攻擊的關鍵不在於單一漏洞，而在於 Windows 檔案系統、雲端同步機制與安全防護之間的交互設計。

爭議核心：研究者與微軟之間的信任裂縫

與技術漏洞同樣受到關注的，是 Chaotic Eclipse 公開 RedSun 的動機。

根據其部落格與 GitHub 說明，他對 Microsoft 處理 BlueHammer（CVE-2026-33825）的方式感到不滿，認為官方回應過於制式，並未正面回應研究者的核心訴求。

他指出：

• BlueHammer 在被媒體報導後才獲得重視
• 微軟雖然立案，但後續處理趨向駁回
• MSRC 溝通過程缺乏實質回饋

在情緒性聲明中，他甚至表示：

Microsoft 已經清楚知道漏洞存在，但選擇以制式回應處理研究者。

他同時暗示，未來可能釋出更具破壞性的遠端執行（RCE）漏洞。

雖然這些說法仍屬單方觀點，但已在資安社群引發廣泛討論。

微軟回應：標準化，但資訊有限

針對 RedSun 事件，微軟透過公開管道表示，公司遵循既定流程處理所有回報的安全問題，並會透過更新機制保護用戶。

然而，目前對於 RedSun 是否已內部確認、或是否納入修補排程，外界仍無法得知。

這種「標準但有限資訊」的回應方式，在過往漏洞事件中並不罕見，但在高關注度事件中，往往會加劇社群的不確定性。

資安社群的分歧：技術確認 vs 披露方式

值得注意的是，部分資安專家已在社群平台指出：

• RedSun 在特定條件下確實可被重現
• SYSTEM 提權在技術上成立
• 漏洞與 Cloud Files API 行為密切相關

但同時，也有觀點認為：

• 公開 PoC 可能加速攻擊武器化
• 情緒化披露增加企業防禦壓力
• 缺乏完整協調披露（Coordinated Disclosure）

這使得 RedSun 不僅是技術問題，也變成「漏洞治理模式」的爭議案例。

從 BlueHammer 到 RedSun：正在改變的攻擊現實

如果將這一系列事件放在更大的攻擊模型中觀察，可以看到一個清晰趨勢：

• 初始入侵仍然依賴傳統手法（釣魚、惡意程式）
• 提權漏洞（如 Defender 類漏洞）成為標準模組
• PoC 公開使攻擊門檻進一步下降
• 攻擊鏈完成時間顯著縮短

換句話說，企業面對的已不只是「漏洞數量」，而是漏洞從披露到武器化的速度正在縮短。

結語：漏洞之外，更關鍵的是信任機制

Microsoft Defender 這一連串事件，表面上是技術漏洞，實際上反映的是三個更深層問題：

• 安全產品本身已成為攻擊面的一部分
• 漏洞披露流程正在承受信任壓力
• 攻擊者與防禦者之間的時間差正在消失

當 RedSun 與 BlueHammer 連續出現時，真正值得關注的已不只是 CVE 編號，而是整個資安生態系如何處理「發現 → 回應 → 修補 → 武器化」這段極短但關鍵的時間窗口。

在這個節奏持續加快的環境裡，企業真正需要回答的問題是：

當漏洞被公開的那一刻，你的防禦體系，是已經準備好，還是剛開始反應？

近期資安圈再度出現一起具高度針對性的攻擊行動。思科（Cisco）旗下威脅情報團隊 Talos 揭露，一個代號為 UAT-10362 的駭客組織，正持續對台灣非政府組織（NGO）與學術機構發動魚叉式釣魚攻擊，並透過一款新型 Lua 架構惡意程式 LucidRook，建立後續滲透與控制能力。從整體攻擊設計來看，這並非隨機散播的惡意活動，而是具備明確目標與策略的長期行動。

這波攻擊最早可追溯至 2025 年 10 月。攻擊者透過疑似已取得授權或遭濫用的郵件基礎設施發送釣魚信，內容設計相當精細，包含短網址與加密壓縮檔，甚至直接在信中提供解壓縮密碼，刻意降低收件者的戒心。一旦使用者點擊並解壓檔案，真正的攻擊才開始展開。

在技術層面，UAT-10362 展現出相當成熟的攻擊鏈設計。無論是偽裝成 PDF 的 LNK 檔，或是冒充防毒工具的 EXE 程式，本質上都圍繞著同一核心技術——DLL Side-loading。攻擊者巧妙利用合法系統工具與正常執行檔作為掩護，載入惡意元件 LucidPawn，再進一步啟動最關鍵的載入器 LucidRook。整個過程中，使用者往往只看到文件被開啟或「掃毒完成」的提示，卻難以察覺系統已被植入後門。

真正值得關注的是 LucidRook 本身的設計思維。它並非傳統單一功能的惡意程式，而是一個高度模組化的「階段式載入平台」。透過內嵌 Lua 5.4.8 解譯器，並結合 Rust 編譯元件，攻擊者可以在受害主機上動態下載、解密並執行後續的 Lua Bytecode。換言之，LucidRook 更像是一個可擴展的攻擊框架，而非固定功能的惡意程式，這也使其在行為上更加隱匿且難以被傳統防毒機制偵測。

此外，該攻擊行動展現出明確的地緣針對性。負責投遞的 LucidPawn 在執行前，會檢查系統語系是否為「zh-TW」，僅在符合台灣使用環境時才會繼續運作。這種地理圍欄（geofencing）機制，一方面確保攻擊精準命中目標，另一方面也有效降低在國際沙箱或資安研究環境中被提前偵測的風險。從攻擊者的角度來看，這代表其已具備成熟的反分析能力與行動紀律。

在基礎設施運用上，UAT-10362 同樣採取低調且分散的策略。Talos 指出，攻擊者濫用 OAST（Out-of-band Application Security Testing）服務，以及已遭入侵的 FTP 伺服器作為指揮控制（C2）節點，刻意隱身於看似正常的網路流量之中。同時，研究人員也發現另一工具 LucidKnight，能透過 Gmail 暫存信箱外傳系統資訊，顯示攻擊者可能先進行目標偵察與篩選，再決定是否進一步部署 LucidRook，形成一套分階段的滲透流程。

從資安專業角度來看，這起事件反映出當前攻擊趨勢的幾個重要轉變。首先，攻擊已從過去的大規模掃描，轉向高精準、低噪音的滲透模式，特別鎖定 NGO 與學術單位，背後可能涉及更複雜的情報蒐集或地緣政治目的。其次，攻擊者大量濫用合法工具與系統元件，使得防禦方難以僅依賴傳統特徵碼或防毒機制進行攔截。最後，模組化與腳本化的惡意程式設計，讓攻擊行為可以隨目標環境即時調整，大幅提升持續潛伏與橫向移動的能力。

對台灣而言，這類針對 NGO 與學界的攻擊，已不只是單純的資安事件，而更可能是長期資訊蒐集與認知作戰的一環。如何從單點防禦提升至整體治理，包括端點行為監控、異常流量偵測，以及人員資安意識的強化，將成為未來防禦此類進階威脅的關鍵。

近期資安情資顯示，與伊朗政府相關的駭客組織，正針對美國關鍵基礎設施中的營運技術（OT）環境發動新一波攻擊行動，鎖定直接暴露於網際網路的可程式邏輯控制器（PLC），顯示攻擊重心已從傳統 IT 系統，進一步深入至實體營運層。

根據美國聯邦調查局（FBI）與多個資安與情報機構聯合警示，這些攻擊已在多個關鍵產業造成實質影響，包括設備功能異常、HMI（人機介面）顯示資料遭竄改，甚至引發營運中斷與財務損失，對基礎設施穩定性構成直接威脅。

攻擊手法解析：從「合法連線」滲透 PLC 控制鏈

此次攻擊最值得關注的，是駭客並非透過傳統漏洞利用，而是濫用工業控制系統（ICS）的合法管理機制，建立「看似正常」的連線通道。

攻擊者利用第三方租用基礎設施，搭配如 Rockwell Automation Studio 5000 Logix Designer 等官方設定工具，模擬合法工程師操作，成功與目標 PLC 建立信任連線，進而進行後續滲透與操控。

受影響設備主要集中於：

• Allen-Bradley 系列 PLC
• CompactLogix
• Micro850

涵蓋場域包括政府設施、水資源處理系統（WWS）以及能源產業。

入侵後行為：控制權建立與視覺層操控

一旦成功取得初始存取權，攻擊者隨即展開後續行動：

• 部署輕量化 SSH 工具（Dropbear），開啟遠端存取（Port 22）
• 建立持續性 C2（指揮控制）通道
• 竊取 PLC 專案檔（Project File）
• 操控 SCADA 與 HMI 顯示數據（製造誤判或混淆）

這類攻擊的關鍵不僅在於「控制設備」，更在於「操控人員判斷」。透過竄改畫面數據，駭客可在不立即觸發警報的情況下，逐步干擾決策流程，屬於典型的 OT 心理層攻擊（Perception Manipulation）。

背後戰略意圖：從破壞走向「混合戰」模式

本次行動被認為與伊朗在地緣政治衝突升溫背景下的網路戰升級有關。資安研究機構指出，伊朗駭客已逐步形成一套成熟的攻擊模式：

• 同步攻擊 IT 與 OT 環境
• 結合 DDoS、資料外洩與破壞性攻擊
• 利用假名駭客組織（如 Homeland Justice、Handala Hack）進行認知戰與輿論操作

更值得注意的是，這些組織並非完全獨立，而是共享基礎設施與攻擊技術的「協同作戰體系」，其背後被認為與伊朗情報機構 MOIS 有高度關聯。

技術演進觀察：國家級攻擊結合犯罪工具鏈

另一項關鍵趨勢，是國家級駭客開始導入商業化或地下市場的攻擊工具（MaaS, Malware-as-a-Service），以提升行動效率並降低可追蹤性。

例如：

• 使用 CastleRAT 作為遠端控制工具
• 透過 PowerShell Loader（reset.ps1）部署新型惡意程式 ChainShell
• 利用 Ethereum 區塊鏈智能合約動態取得 C2 位址（高度隱匿）
• 搭配 Tsundere（Dindoor）殭屍網路模組擴大控制規模

這種「國家級戰略 + 犯罪工具鏈」的混合模式，正快速模糊 APT 與網路犯罪之間的界線，也讓防禦與歸因難度顯著提升。

專家觀點：這不是新威脅，而是「加速中的既有風險」

從過去 Unitronics PLC 攻擊事件，到近期針對美國與以色列的行動，可以清楚觀察到：

OT 攻擊並非新興威脅，而是正在快速規模化與武器化。

對企業而言，真正的風險不在於「是否會被攻擊」，而在於：

• 是否仍將 PLC 暴露於公網
• 是否缺乏 OT 專屬的存取控管與監控機制
• 是否低估 HMI / SCADA 層被操控所帶來的營運風險

防禦建議：回歸 OT 資安基本盤

針對此類攻擊，建議企業優先落實以下幾項關鍵措施：

• 禁止 PLC 直接暴露於網際網路（No Internet Exposure）
• 導入網路分段（IT/OT Segmentation）與零信任架構
• 啟用多重驗證（MFA）與存取白名單機制
• 部署工業防火牆或 Proxy 控制 OT 存取流量
• 定期更新 PLC 韌體與關閉未使用功能
• 監控異常 OT 通訊與行為（特別是 SSH / Port 22）

結語

本次事件再次凸顯，關鍵基礎設施的資安防護，已不再只是 IT 問題，而是攸關國家安全與營運穩定的核心議題。

當攻擊者開始能「合法地」操控工業設備時，真正需要被重新檢視的，是企業對 OT 資安的整體認知與治理成熟度。

未修補系統恐被遠端接管，數千台設備仍暴露網際網路

企業端點管理平台再傳重大資安警訊。Fortinet 旗下 FortiClient EMS 被揭露存在一項高風險漏洞（CVE-2026-21643），CVSS 評分高達 9.1，且最新跡象顯示，攻擊者已開始在實務環境中利用該漏洞發動攻擊。

資安研究單位 Defused 指出，該漏洞屬於 SQL Injection 類型，可進一步導致遠端程式碼執行（RCE），對企業內部網路構成嚴重威脅。

未列入 KEV 清單，攻擊已搶先發生

儘管目前尚未被 CISA 納入「已知遭利用漏洞」（KEV）清單，但 Defused 觀測到，相關攻擊行為至少在數日前就已出現，顯示威脅正在快速擴散。

研究人員指出，攻擊手法並不複雜：

攻擊者可透過 HTTP 請求中的「Site」標頭注入惡意 SQL 語句，進而對 FortiClient EMS Web 管理介面發動攻擊。

由於漏洞允許「未經驗證（unauthenticated）」利用，代表攻擊者無需帳密，即可：

• 執行任意系統指令
• 控制後端伺服器
• 作為企業網路入侵的初始據點（initial foothold）

一旦成功入侵，後續可能進一步進行：

• 橫向移動（lateral movement）
• 惡意程式部署（malware deployment）

漏洞根因：典型 SQL Injection 設計缺陷

根據 Fortinet 在 2 月發布的安全公告，該漏洞源於：

未正確處理 SQL 指令中的特殊字元（CWE-89）

這類問題雖屬經典漏洞類型，但在高權限管理平台中出現，風險被大幅放大。

漏洞由 Fortinet 產品資安團隊成員
Gwendal Guégniaud 發現並回報。

影響範圍與修補建議

目前確認影響版本如下：

• FortiClient EMS 7.4.4（受影響）
• FortiClient EMS 7.4.5（已修補）
• 7.2 與 8.0 版本不受影響

企業應立即採取行動：

• 升級至 7.4.5 或以上版本
• 檢查是否已有異常存取紀錄
• 限制 EMS 管理介面對外開放

暴露面風險升高：數千台設備直接對外

除了漏洞本身，外部曝險情況同樣嚴峻。

資安監測機構 Shadowserver Foundation 指出，目前全球約有 2,000 台 FortiClient EMS 實例仍暴露在網際網路上，其中：

• 美國：約 756 台
• 歐洲：約 683 台

此外，搜尋平台 Shodan 顯示，仍有接近 1,000 台設備可被公開識別與掃描。

這類直接對外開放管理介面的環境，極易成為自動化攻擊工具的首要目標。

Fortinet 漏洞持續成為攻擊熱點

Fortinet 產品長期以來都是攻擊者高度關注的目標。

過去案例顯示：

• 多起勒索軟體攻擊透過 Fortinet 漏洞入侵
• 零時差漏洞常在修補前即遭利用
• 關鍵基礎設施與電信產業亦曾受害

例如在 March 2024，CISA 即將另一個 FortiClient EMS SQL Injection 漏洞（CVE-2023-48788）納入 KEV 清單，確認其已遭實際攻擊利用。

資安觀點：兩個不容忽視的趨勢

從本次事件可觀察到兩個關鍵現象：

1. 攻擊速度已超越官方揭露節奏

漏洞尚未被正式列為「已遭利用」，攻擊已經發生，企業不能再依賴公告作為唯一防禦依據。

2. 暴露面管理成為關鍵防線

真正風險不只來自漏洞，而是：

「高權限系統直接暴露在網際網路上」

防禦建議

企業應立即進行以下措施：

• 緊急套用修補（7.4.5+）
• 關閉或限制 EMS Web 管理介面外部存取
• 部署 WAF 或 Zero Trust 存取控制
• 盤點外部曝露資產（EASM / ASM）
• 監控異常 HTTP Header 與 SQL Injection 行為

一句話總結

當漏洞結合「未修補」與「對外暴露」，就不再是風險，而是即將發生的事件。

在攻擊自動化與大規模掃描時代，企業需要的不只是修補漏洞，而是全面掌握自身的暴露面與攻擊入口。

在攻擊手法日益自動化、橫向移動速度持續壓縮的今天，傳統依賴行為分析與日誌關聯的防禦機制，正面臨一個根本問題：發現太晚、誤報太多。

以「先發制人防禦（Preemptive Security）」為核心理念的 Acalvio ShadowPlex，正試圖改寫這個現況。這套以欺敵誘捕(Deception)為核心的資安平台，不再被動等待異常發生，而是主動在攻擊路徑中「佈局陷阱」，讓攻擊者在最早期就暴露行蹤。

本篇從實務導向出發，解析 ShadowPlex 在企業 SOC 環境中的實際價值、部署挑戰，以及它是否真的能成為下一代資安架構的關鍵拼圖。

從「偵測異常」走向「驗證攻擊意圖」

ShadowPlex 最大的差異，在於它改變了資安偵測的邏輯。

傳統工具（如 SIEM、EDR）多半依賴：

• 行為異常（anomaly）
• 威脅特徵（signature）
• 統計關聯（correlation）

但這些方法的共同問題是：不確定性高，導致誤報頻繁。

ShadowPlex 則反其道而行——
它創造一個前提：「正常使用者不會碰到這些資源」。

透過在環境中部署：

• 偽裝伺服器（decoys）
• 誘導線索（breadcrumbs）
• 假帳號與憑證（honeytokens）

只要有任何存取行為，就幾乎可直接判定為惡意活動。

換句話說，這不是「猜測攻擊」，而是「驗證攻擊」。

為什麼欺敵誘捕能在攻擊早期就發揮作用？

在現代攻擊鏈中，從初始入侵到資料外洩之間，攻擊者通常會經歷：

1. 偵察（Reconnaissance）
2. 憑證蒐集（Credential Access）
3. 橫向移動（Lateral Movement）

ShadowPlex 的設計重點，就是在這三個階段設下誘捕點。

例如：

• 在 Active Directory 中植入假帳號
• 在記憶體或檔案中放置假憑證
• 在網段中部署看似真實的伺服器

當攻擊者進行常見行為（如 Kerberoasting、DCSync、RDP 橫移）時，極容易誤觸這些陷阱。

結果是：攻擊尚未造成影響，就已被精準攔截。

這也呼應 Verizon DBIR 長期觀察：
「憑證濫用與漏洞利用，始終是最主要的入侵途徑。」

Agentless 架構：降低導入阻力的關鍵

在實務導入上，ShadowPlex 採用 agentless 設計，是其一大優勢。

透過所謂的「Projection Sensors」，系統可在不同網段投射誘捕資源，而無需在端點安裝代理程式。

這帶來幾個實際效益：

• 減少與既有 EDR 衝突
• 避開嚴格的變更管理流程
• 快速覆蓋多個網段與環境

對於金融、政府等高合規產業而言，這種設計顯著降低 PoC 與正式上線的門檻。

身分（Identity）防禦：ShadowPlex 的最大價值場景

若要選一個最具 ROI 的應用場景，答案幾乎是「身分安全」。

在混合環境（Active Directory + Entra ID）中，攻擊者幾乎一定會：

• 嘗試竊取帳密
• 探測權限
• 建立持久存取

ShadowPlex 在此部署：

• honey accounts（假帳號）
• service principals（假服務帳號）
• Kerberos/SPN 誘捕物件

這些機制具備一個關鍵特性：
零誤報（near-zero false positive）

一旦被使用，即可直接觸發：

• 帳號停用
• Token 撤銷
• 強制重設密碼
• Endpoint 隔離

相較於傳統 ITDR 解決方案需長時間調校，deception 在 identity 層的效果往往是「即插即用」。

與 SIEM、EDR、ITDR 的角色分工

ShadowPlex 並非取代既有工具，而是補上「關鍵缺口」。

實務上的最佳策略是：

用 欺敵誘捕 提供「確定性訊號」，再由 EDR / ITDR 執行封鎖與鑑識。

這種組合能顯著降低 SOC 的判讀壓力與回應時間。

實測觀點：價值不在「多抓」，而在「更早抓」

在 PoC 測試中，ShadowPlex 的評估指標不應只是告警數量，而是：

• 平均偵測時間（MTTD）
• 誤報率（False Positive）
• 分析時間（Triage Time）

理想狀態應該是：

• 從攻擊行為到告警：分鐘級
• Tier-1 分析即可判斷：無需複雜關聯
• 自動化劇本可立即執行

這代表 SOC 從「分析中心」轉變為「決策中心」。

優勢與限制：導入前必須理解的現實

優勢

• 高精準度偵測，顯著降低誤報
• 無代理架構，導入快速
• 與主流 SOC 工具整合成熟
• 可取得完整攻擊行為鑑識資料

挑戰

• 誘捕資源需持續輪替（hygiene）
• 需要明確的營運責任歸屬（SOC / Identity team）
• OT 與合規環境仍需額外設計

特別值得注意的是：
欺敵誘捕並非「部署即完成」，而是一個需要持續營運的能力。

先發制人防禦（Preemptive Security）：下一個主流趨勢？

根據 Gartner 預測，至 2030 年，超過 50% 的資安支出將轉向「預先防禦技術」。

這代表企業開始從：

• 被動偵測（Detect）
  轉向
• 主動干擾（Disrupt）
• 提前攔截（Preempt）

而欺敵誘捕正是這個轉型中的核心技術之一。

結論：ShadowPlex 適合哪些企業？

ShadowPlex 特別適合以下場景：

• 混合 AD / 雲端身分架構
• 高度依賴帳密與權限控管的環境
• 過去曾發生橫向移動或憑證濫用事件
• 需要降低 SOC 告警疲勞的組織

但若企業尚未建立：

• SIEM / SOAR
• EDR / ITDR

則其價值將難以完全發揮。

最關鍵的一句話

ShadowPlex 的真正價值，不在於「看到更多攻擊」，而在於：

讓攻擊者在還沒造成影響之前，就無所遁形。

***本篇 Acalvio ShadowPlex 深度評測，原始內容與測試觀點整理自資安媒體 Hackread，並經過專業觀點重構與在地化詮釋，從企業 SOC 實務導入角度進行延伸分析。

相較於一般產品介紹，Hackread 的評測更偏向實務操作與攻防驗證，涵蓋 PoC 測試流程、偵測準確性，以及與現有資安架構（如 SIEM、EDR、ITDR）的整合效果。本文則進一步從台灣企業常見的混合雲與身分治理場景出發，補充其在實際導入時的策略意涵與營運挑戰。

駭客組織 LAPSUS$ 再度傳出新一波攻擊行動，這次目標指向全球製藥龍頭阿斯特捷利康（AstraZeneca ，簡稱AZ）。攻擊者已在其暗網平台與社群管道公開聲稱，成功竊取該公司的原始碼、雲端基礎設施憑證，以及員工相關資料。若內容屬實，此事件不僅是單純資料外洩，更可能演變為影響企業核心營運的重大資安風險。

核心重點

外洩範圍涵蓋：

• 原始碼（Source Code）
• 雲端存取金鑰（AWS Keys / Service Accounts）
• 員工與開發人員資訊
• GitHub 內部專案結構
• 風險本質：
  • 不只是資料外洩，而是存取控制（Access Control）失效
  • 攻擊者可能已具備「合法存取能力」

根據外流資訊，駭客宣稱取得的資料涵蓋範圍廣泛，包括完整原始碼、內部資料庫、GitHub Enterprise 使用者資訊，以及多項關鍵存取憑證，例如 API 金鑰、AWS 金鑰與服務帳號，同時亦包含 MongoDB 與 MySQL 等資料庫存取憑證。這類資訊一旦被濫用，將可能使攻擊者直接進入企業內部系統。

資安研究人員進一步分析駭客釋出的樣本資料，發現其中部分內容具備真實性。例如，樣本中包含 AZ內部開發人員的 GitHub 使用資訊，涵蓋工作群組名稱、員工角色、個人帳號連結，以及對應的公司信箱。此外，另一批資料則涉及臨床研究相關公司的員工資訊，包括姓名、識別碼與所屬單位，顯示此次事件已觸及企業營運與研發體系。

外洩的資料樣本Photo Credit: TheCyberNews

值得注意的是，駭客亦公開疑似內部原始碼的目錄結構。從資安角度來看，原始碼外洩將大幅提升攻擊者對系統的掌握程度，使其能進行靜態分析以尋找潛在漏洞，甚至發掘未移除的敏感資訊，例如硬編碼憑證或內部 API 呼叫邏輯，進一步發動更精準的滲透攻擊。

另一方面，若 AWS 金鑰與服務帳號確實外流，風險層級將進一步升高。攻擊者可藉此存取雲端資源、建立持久性存取權限，甚至進行橫向移動，擴大入侵範圍。這類情境意味著企業的防禦邊界已從「網路層」轉移至「身分與憑證」，一旦控管失效，攻擊行為將難以與正常操作區分。

此外，員工資料的曝光亦為另一項關鍵風險。攻擊者可利用這些資訊發動高度客製化的社交工程攻擊，特別是針對具備高權限的內部人員，例如開發人員或系統管理員。由於 LAPSUS$ 過去曾與多個以社交工程見長的駭客團體合作，此類攻擊手法的成功率不容低估。

回顧 LAPSUS$ 過往行動，該組織曾攻擊多家大型企業，其特點並非依賴複雜漏洞利用，而是透過帳密竊取、內部滲透與人為弱點快速取得高權限存取，再透過資料外洩進行施壓。這也顯示，現今威脅型態已從傳統「漏洞導向」逐步轉向「身分與存取控制導向」。

整體而言，若本次事件最終獲得證實，AZ 將面臨的不僅是資料外洩問題，還包括研發機密外流、系統持續性風險，以及供應鏈安全擴散等多重衝擊。對高度依賴長期研發與智慧財產的製藥產業而言，其影響層面將更加深遠。

資安建議，企業應立即檢視憑證管理機制，全面輪替 API 與雲端金鑰，並針對原始碼進行敏感資訊掃描，同時強化身分驗證與存取控管措施。此外，亦應提升員工對社交工程攻擊的警覺性，避免成為攻擊鏈中的關鍵突破點。

2026 年 3 月 4 日，Cisco 發布資安公告，揭露其防火牆管理平台 Secure Firewall Management Center（Secure FMC）存在兩項重大漏洞：CVE-2026-20079 與 CVE-2026-20131。兩者皆存在於 Web 管理介面，且 CVSS 評分高達 10 分，屬於最高等級風險。

然而，真正的問題不在於漏洞本身，而在於——當漏洞被揭露時，攻擊其實早已發生。

漏洞尚未公開，攻擊已經開始

根據資安媒體 The Hacker News 報導，Amazon 威脅情報團隊指出，勒索軟體組織 Interlock 早於 2026 年 1 月 26 日即已開始利用 CVE-2026-20131 發動實際攻擊，較該漏洞的官方揭露時間提前整整 36 天，顯示攻擊者已具備零時差漏洞的實戰運用能力。

這代表什麼？

這不是單純的漏洞利用，而是典型的零時差（Zero-Day）攻擊場景——

• 防禦方無法修補
• 無既有偵測特徵
• 攻擊行為幾乎無法預警

更值得關注的是，Amazon 在調查過程中，因攻擊者基礎設施設定失誤，意外取得 Interlock 的完整工具鏈，進一步還原其攻擊流程、RAT 惡意程式、偵查腳本與躲避偵測的技術細節。

這讓整起攻擊從「事件」升級為「可完整解析的攻擊模型」。

核心漏洞解析：直接取得 Root 的入口

CVE-2026-20131 本質為一個遠端程式碼執行（RCE）漏洞，源自 Java 反序列化機制的不安全設計。

攻擊者可透過 Web 管理介面傳送特製的 Java 序列化物件，一旦觸發漏洞，即可：

• 無需驗證（Unauthenticated）
• 遠端執行任意程式碼
• 直接取得系統 root 權限

這意味著，攻擊者可以在沒有任何帳密的情況下，完全接管 FMC 系統，進而影響整個網路安全架構。

攻擊如何發生：從一個請求開始的入侵鏈

Interlock 的攻擊並非單點 exploit，而是一條設計精密的多階段攻擊鏈。

攻擊始於對 Secure FMC 特定路徑發送的 HTTP 請求。這個請求中包含惡意 Java 程式碼，以及兩個關鍵的嵌入網址：

• 第一個網址：傳送漏洞利用所需的組態資料
• 第二個網址：引導受害系統發送 HTTP PUT 請求，上傳特定檔案，用於回報 exploit 是否成功

這個「回傳機制」讓攻擊者能即時確認哪些系統已成功被攻陷，進而自動化後續攻擊流程。

成功入侵後：真正的攻擊才開始

一旦漏洞成功觸發，受害系統將從遠端伺服器下載 ELF 二進位檔並執行，正式進入第二階段。

接著，Interlock 會部署其完整攻擊工具包，並展開一系列行動：

• 環境偵查（Reconnaissance）
  使用 PowerShell 腳本蒐集系統資訊、帳號資料、瀏覽器憑證與網路狀態
• 持久控制（Persistence & C2）
  部署客製化 RAT，支援遠端指令執行、檔案傳輸與代理通道
• 橫向移動（Lateral Movement）
  建立 SOCKS5 proxy，讓攻擊者可在內網自由移動
• 隱匿與反鑑識（Defense Evasion）
  清除系統 log、關閉操作紀錄，甚至使用記憶體型 Web Shell 避免落地檔案

在部分案例中，攻擊者甚至濫用合法工具，例如 ConnectWise ScreenConnect，作為持久存取手段，進一步提高隱蔽性。

這起事件真正的警訊

這起攻擊揭露了一個關鍵現實：

企業防禦的最大盲點，不是漏洞，而是「漏洞被利用的時間差」。

即使企業具備完善的修補機制，也無法防禦尚未公開的漏洞。當攻擊發生在揭露之前，傳統以 Patch 為核心的防禦策略將完全失效。

這也是為什麼「縱深防禦（Defense-in-Depth）」已成為必要條件：

• 單一防線（如防火牆或修補）不再足夠
• 必須結合行為偵測、端點防護與網路監控
• 強化可見性與即時應變能力

趨勢觀察：勒索軟體正轉向邊界設備

值得注意的是，這並非單一事件。根據 Google 的觀察，勒索軟體攻擊正逐漸轉向：

• VPN / Firewall 等邊界設備漏洞
• 減少對外部工具依賴，改用系統內建功能（LOLBins）
• 強化資料外洩與雙重勒索模式

當傳統勒索收益下降，攻擊者的策略正變得更加精準且高效。

結語

Interlock 利用 CVE-2026-20131 的行動，不僅是一場成功的入侵案例，更是一個明確的警訊：

在零時差攻擊成為常態的今天，安全的關鍵不再只是「是否修補」，而是「是否具備在未知威脅下持續防禦的能力」。

當攻擊已經發生，你是否看得見？
當防線被突破，你是否還有下一層防護？

這，才是現代資安真正的戰場。