FortiBleed 大規模憑證竊取行動曝光:43 萬台 FortiGate 遭濫用,逾 1.1 億組企業帳密面臨風險

Posted on by blogadmin

當企業仍將防火牆視為網路安全的第一道防線時,攻擊者早已開始反向利用這些設備,將其轉變為蒐集企業身份驗證資訊的重要節點。

近期威脅情資業者 SOCRadar 揭露一項代號為「FortiBleed」的大規模憑證竊取行動。自 2026 年初開始活躍以來,該行動已鎖定全球超過 43 萬台 Fortinet FortiGate 防火牆,並累積蒐集超過 1.1 億組企業認證資料,成為近年規模最大的帳密相關攻擊活動之一。

值得注意的是,FortiBleed 並非 Fortinet 官方漏洞,也不是單一 CVE,而是一套結合掃描、憑證攻擊與流量監聽的攻擊行動框架,其核心目標並非入侵單一設備,而是持續收集企業身份驗證資訊,建立後續攻擊所需的初始存取能力。

FortiBleed 是什麼?不是漏洞,而是攻擊行動框架

「FortiBleed」中的 Bleed,指的是資料持續外洩(Data Bleeding),描述攻擊者透過已入侵的防火牆設備,長時間監聽並收集企業認證資訊的行為模式。

研究指出,此次攻擊並未高度依賴零時差漏洞(Zero-Day),而是集中利用企業常見的身份安全缺陷,例如:

  • SSL-VPN 對外暴露
  • 未啟用多因素驗證(MFA)
  • 弱密碼或預設密碼
  • 密碼重複使用
  • 舊有外洩帳密再利用
  • 管理介面直接暴露於網際網路

這顯示即便企業已完成系統修補,只要身份治理不足,仍可能被攻擊者突破。

為何 FortiGate 成為攻擊核心目標?

FortiGate 位於企業網路邊界,負責處理 VPN、遠端存取、身份驗證與內部流量轉送等關鍵任務。

一旦攻擊者取得管理權限,便等同掌握企業「身份驗證觀察點」,可以持續監控:

  • VPN 登入行為
  • Active Directory 驗證流量
  • 資料庫連線
  • 內部系統存取行為

相比於傳統入侵多台主機的方式,控制防火牆能一次性取得大量高價值認證資訊,使其成為攻擊者眼中的高效目標。

從攻擊者角度來看,防火牆已不只是防禦設備,而是「企業身份流量的集中觀測點」。

攻擊流程:從掃描到憑證收割

FortiBleed 採取高度自動化的攻擊流程,大致可分為四個階段:

1. 全球掃描與目標收集

攻擊者透過大規模掃描工具尋找對外開放的 FortiGate 設備,建立攻擊目標清單。

2. 密碼攻擊與初始滲透

透過密碼噴灑、帳密填充與字典攻擊方式,針對 SSL-VPN 與管理介面嘗試登入。

3. 取得管理權限

成功登入後,攻擊者取得設備管理權限,進一步進入內部管理層。

4. 流量監聽與憑證收集

透過 FortiOS 內建診斷功能攔截封包,監聽企業身份驗證流量並收集帳密資訊。

防火牆變成監聽點:攻擊技術關鍵

FortiBleed 最具威脅性的地方,在於其利用 FortiOS 內建功能進行封包監聽,而非部署傳統惡意程式。

這使攻擊行為更接近「合法操作濫用」,不易被傳統防毒或端點偵測工具發現。

攻擊者可監控多種企業常見協定,包括:

LDAP、Kerberos、RDP、SMB、RADIUS、MS-SQL、MySQL、SMTP、FTP 等。

一旦流量中包含明文帳密或可被破解的雜湊值,即可被進一步利用於後續攻擊。

超過 1.1 億組帳密的真正風險

目前已觀察到攻擊者蒐集大量企業認證資料,包括:

  • MySQL 認證 Token
  • RADIUS 驗證憑證
  • NTLM 雜湊值
  • Kerberos 雜湊值

這些資料一旦被破解,可能導致:

  • Active Directory 橫向移動
  • 網域管理權限提升
  • VPN 存取
  • 郵件系統入侵
  • 雲端帳號接管
  • 勒索軟體部署前置作業

這也代表 FortiBleed 的真正目的,不是控制防火牆,而是取得可用於後續攻擊的企業存取權限。

不只 Fortinet:IAB 生態正在擴大

SOCRadar 同時觀察到,同一批攻擊者也針對多種外部服務進行憑證攻擊,包括 NAS、VPN、遠端桌面與資料庫系統等。

這顯示其背後可能涉及 Initial Access Broker(IAB,初始存取掮客)生態。

IAB 的商業模式並非直接攻擊企業,而是專門收集:

  • VPN 帳號
  • 遠端管理權限
  • 網域管理存取權限

再轉售給勒索軟體集團或其他攻擊者使用。

研究也指出,中小型企業與 IT 服務供應商(MSP)是主要目標,因為 MSP 一旦被入侵,可能進一步影響其客戶環境,形成供應鏈式攻擊。

AI 與自動化加速攻擊工業化

FortiBleed 的另一個特點,是高度自動化的攻擊流程:

  • 自動掃描與分類目標
  • 自動帳號驗證
  • 自動憑證收集
  • 自動雜湊破解
  • Bot 驅動任務調度

整體運作已接近「工業化帳密收割平台」。

這顯示攻擊者正在透過自動化與 AI 技術,大幅提升攻擊效率與規模,使憑證攻擊進入新一代工業化階段。

企業應關注的風險重點

FortiBleed 再次證明,現代資安風險不再只是漏洞問題,而是身份與曝險管理問題。

企業應優先檢查:

  • 管理介面是否暴露於網際網路
  • SSL-VPN 是否啟用 MFA
  • 是否存在弱密碼或共用帳號
  • 是否有異常登入行為
  • 是否具備密碼輪替與帳號盤點機制
  • 是否監控 LDAP / Kerberos 等驗證流量異常

竣盟科技觀點:從漏洞防護走向曝險管理

FortiBleed 反映出一個關鍵趨勢:攻擊者已不再依賴漏洞,而是持續尋找企業的身份驗證與外部曝險弱點。

竣盟科技(Billows Technology)透過 ASM(Attack Surface Management)、CTEM(Continuous Threat Exposure Management)、MDR 與 GRC 等資安治理方案,協助企業持續盤點對外暴露資產、監控帳密外洩風險與識別高風險身份服務。

透過結合威脅情資與持續監控能力,企業可以在攻擊者取得初始存取權限之前,提前發現並降低曝險風險。

結語

FortiBleed 的關鍵警訊並不在於技術複雜度,而在於它揭示現代攻擊者如何利用身份驗證弱點與帳號管理缺陷,快速建立大規模入侵能力。

當防火牆成為憑證收集節點,企業面對的不再只是設備安全問題,而是整體身份安全體系的風險。

在 AI 與攻擊自動化持續演進的環境下,持續掌握企業曝險面與身份風險,將成為未來資安防禦的核心能力。

<<聯繫竣盟科技>>

若企業希望進一步了解 FortiBleed 類型攻擊所揭露的身份安全風險、外部攻擊面曝險管理,可透過以下方式聯繫竣盟科技團隊:

📍 台北市中山區松江路129號6樓
📞 +886-2-2562-3952
✉️ sales@billows.tech
🌐 https://www.billows.tech/

Fortinet FortiSandbox 爆出三項重大漏洞!攻擊行動正式展開,企業應立即完成修補與威脅盤查

Posted on by blogadmin

使用 Fortinet 資安設備的企業近期需提高警覺。

根據Defused最新威脅情資顯示,攻擊者已開始積極利用 Fortinet FortiSandbox 中多項重大(Critical)安全漏洞發動實際攻擊。雖然相關漏洞已於今年 4 月發布修補程式,但近期監測結果顯示,駭客已成功將漏洞武器化(Weaponized),並投入真實攻擊行動,代表未完成更新的企業正面臨高度風險。

此次遭利用的漏洞包括:

其中部分漏洞可讓未經身份驗證(Unauthenticated)的攻擊者直接透過命令注入(Command Injection)或驗證繞過(Authentication Bypass)方式取得遠端程式碼執行(Remote Code Execution, RCE)能力,最終完全控制 FortiSandbox 設備。

更令人擔憂的是,這些攻擊幾乎不需要任何前置條件。

攻擊者不需要合法帳號、不需要內部存取權限,也不需要使用者點擊惡意連結或開啟檔案,只要目標設備暴露於網際網路且尚未完成更新,便可能成為攻擊對象。

為何 FortiSandbox 遭入侵特別危險?

許多企業將 FortiSandbox 視為惡意程式分析與進階威脅偵測的重要防禦設備,但正因其位於企業資安架構的核心位置,一旦遭到攻陷,造成的影響往往遠超過一般伺服器。

FortiSandbox 通常與防火牆、郵件安全閘道、端點防護系統、SIEM、SOAR 以及其他 Fortinet Security Fabric 元件高度整合,掌握企業大量安全事件、惡意檔案分析結果與網路活動資訊。

若攻擊者成功取得設備控制權,不僅可能竊取敏感資訊,更可能利用其作為進入內部網路的跳板,進一步展開橫向移動(Lateral Movement)、憑證竊取、資料外洩,甚至部署勒索軟體。

換句話說,原本負責保護企業的安全設備,可能瞬間變成駭客最有效率的入侵入口。

攻擊活動已被實際觀察到

威脅情資研究人員指出,過去 24 小時內已觀察到針對上述漏洞的實際利用行為,顯示相關風險已從理論漏洞正式進入攻擊階段。

尤其 CVE-2026-39813 為近期首次出現公開利用跡象的漏洞,而 CVE-2026-25089 雖然完整攻擊程式碼尚未公開,但研究人員已觀察到疑似利用活動,顯示攻擊者可能已自行開發相關攻擊工具。

從近年資安事件發展趨勢來看,漏洞從公開揭露到被武器化利用的時間正在快速縮短,企業若仍抱持「等等再更新」的心態,極可能錯過最佳修補時機。

Fortinet 持續成為勒索軟體集團鎖定目標

Fortinet 產品近年來一直是勒索軟體組織與國家級駭客組織(APT)的熱門攻擊目標。

由於相關設備多數直接對外提供服務,同時擁有高權限與高度網路可視性,因此常被視為理想的初始入侵點(Initial Access Vector)。

根據美國網路安全暨基礎設施安全局(CISA)資料,目前已有超過二十項 Fortinet 漏洞被納入 Known Exploited Vulnerabilities(KEV)目錄,代表這些漏洞已被確認遭到實際利用。其中多項漏洞更曾被勒索軟體集團用於入侵企業環境。

今年稍早,Fortinet 才修補 FortiSandbox 的 CVE-2026-26083 遠端程式碼執行漏洞,以及 FortiClient EMS 的 CVE-2026-21643 SQL Injection 漏洞。後者更因遭大規模攻擊利用,而被 CISA 要求聯邦機構於三天內完成修補。

這也再次凸顯網路邊界設備與安全管理平台正逐漸成為攻擊者最優先鎖定的目標。

企業應立即展開曝險盤查

對於已部署 FortiSandbox 的企業而言,現階段最重要的問題已不只是「是否需要更新」,而是「是否已經遭到利用」。

建議企業立即採取以下措施:

  • 盤點所有 FortiSandbox 設備版本與部署位置
  • 立即升級至 Fortinet 最新安全版本
  • 檢查是否存在異常管理員帳號建立紀錄
  • 檢查是否有未知來源的系統指令執行紀錄
  • 檢查設備是否出現異常設定變更
  • 分析是否存在可疑對外連線或資料傳輸行為
  • 強化管理介面存取控制與網路隔離機制
  • 持續監控 CISA 與威脅情資單位發布的最新資訊
  • 導入 EDR、NDR 及 Deception 等技術,加強橫向移動與入侵後活動偵測能力

結語

FortiSandbox 的設計初衷是協助企業辨識惡意程式與進階威脅,但當這類關鍵防禦設備本身出現可被遠端利用的重大漏洞時,便可能從企業的防線轉變為駭客的突破口。

尤其此次三項漏洞皆具備「未驗證」、「低複雜度」以及「可遠端利用」等特性,攻擊門檻極低,但潛在影響極高。隨著研究人員已觀察到實際攻擊活動,相關風險已不再停留於理論層面,而是正在全球企業環境中持續發生。

在勒索軟體、供應鏈攻擊與國家級網路攻擊持續升溫的今天,及時修補漏洞早已不只是維運工作,而是企業維持資安韌性與營運持續性的關鍵防線。

The Gentlemen 勒索軟體快速崛起:從加盟駭客到「蠕蟲式」犯罪平台的演化

Posted on by blogadmin

Photo Credit: The Hacker News

最近一波關於 The Gentlemen 勒索軟體集團的威脅情資更新,再次讓資安圈注意到一個明顯趨勢:勒索軟體已經不再只是單純的惡意程式,而是正在進化成具備商業模式、分工體系與技術研發能力的「地下犯罪企業」。

根據 PRODAFTCheck Point 以及多家資安機構的分析,The Gentlemen 在短短時間內迅速擴張,已被認為累積約 478 名受害者,並在 2026 年成為成長速度極快的新興勒索軟體勢力之一。

從 RaaS 生態系走出來的「職業級攻擊者」

如果回頭看 The Gentlemen 的起點,它其實並不是一個從零開始的新組織。更準確地說,它是從既有勒索軟體生態系中「成熟的加盟攻擊者」逐步演化出來的結果。

根據研究,該團隊早期活躍於多個 RaaS 平台,例如 LockBit、Qilin、Medusa 以及 Embargo 等知名勒索軟體家族。這意味著他們並不是臨時拼湊的駭客團隊,而是已經具備實戰經驗、熟悉企業網路滲透流程的職業型攻擊者。

而後來被追蹤為核心人物的 LARVA-368(又使用 hastalamuerte、Zeta88 等多個別名),在 2025 年中期選擇脫離既有 RaaS 生態,建立自己的品牌——The Gentlemen。

某種程度上,這樣的轉變更像是地下市場中的「創業」,而不是單純的犯罪行為升級。

快速擴張背後:高分潤與犯罪平台化

The Gentlemen 能在短時間內快速擴張,其中一個關鍵因素是其極具吸引力的分潤模式。

與傳統 RaaS 約 80/20 的收益分配不同,The Gentlemen 提供高達 90% 的分潤給加盟攻擊者。這種設計在地下市場中幾乎等同於「高薪挖角」,自然吸引大量熟練的滲透者與其他 RaaS 成員轉移陣營。

隨著加盟者增加,該組織逐漸從單一攻擊團隊,轉型為具備支援系統、技術工具與管理平台的完整犯罪服務架構。

在這樣的模式下,攻擊不再依賴單一駭客能力,而是像企業一樣被「流程化」與「產品化」。

攻擊行為的成熟化:已接近 APT 水準

從技術層面來看,The Gentlemen 的攻擊方式已明顯超越傳統勒索軟體的範疇。

他們通常鎖定企業對外暴露的基礎設施,例如 VPN、Fortinet 防火牆、Cisco 設備以及 VMware 虛擬化環境,並透過憑證竊取與權限濫用逐步進入企業內網。

一旦取得立足點,攻擊行為會迅速展開橫向移動,並結合 AD 架構與權限控制機制進行擴散。從觀察來看,整體流程已經非常接近 APT 等級的滲透行動,而不再是早期「加密勒索即結束」的模式。

更值得注意的是,他們使用的工具鏈已經相當完整,涵蓋橫向移動、憑證竊取、權限提升與防禦規避等不同階段,使整體攻擊流程高度自動化。

更危險的特性:具備蠕蟲式擴散能力

近期 Microsoft 的分析指出,The Gentlemen 的勒索軟體本身具備一個相當關鍵的特性:蠕蟲式擴散能力。

當攻擊者啟用特定參數後,惡意程式不再只針對單一主機進行加密,而是會主動掃描內網環境,自動擴散到其他可存取設備。

這使得攻擊一旦成功進入企業內部,影響範圍可能迅速從單點事故擴大為整個網域的全面癱瘓。

換句話說,企業已不再面對「單一系統被加密」的情境,而是「整個內網被快速感染」的風險。

AI 正在改變勒索軟體的開發方式

另一個值得關注的變化是 AI 的導入。

PRODAFT 指出,The Gentlemen 的核心人物已開始將人工智慧技術應用於惡意程式開發與攻擊流程中,包括腳本生成、工具維護以及後滲透行為分析等。

這代表勒索軟體的開發週期正在被大幅壓縮,過去需要高度技術能力與時間成本的工作,如今可能透過 AI 快速完成。

從產業角度來看,這不只是效率提升,而是整個犯罪生態系進入「低門檻、高產出」的新階段。

台灣已納入其潛在攻擊目標範圍

雖然 The Gentlemen 的主要受害者仍集中於歐洲、亞洲及南美洲市場,但從其公開洩密網站與威脅情資紀錄可發現,部分台灣企業與組織亦曾被列名。

其中包括旅宿觀光、製造業及工業供應鏈等產業別,顯示台灣企業已被納入該集團的潛在攻擊目標範圍。

值得留意的是,駭客組織公布名單並不一定代表企業已遭全面加密或確認資料外洩,部分案例可能處於入侵、竊資或勒索談判階段。因此相關資訊應視為威脅情資參考指標,而非最終事件定論。因此,這類資訊更適合作為威脅情資與風險觀察,而非最終事件結論。

結語:勒索軟體正在變成「犯罪產業鏈」

從整體趨勢來看,The Gentlemen 所代表的已不只是單一勒索軟體家族,而是一個高度組織化的犯罪生態系。

高分潤制度、加盟模式、AI 輔助開發,以及蠕蟲式擴散能力,讓這類組織的運作方式越來越接近科技公司,而不是傳統認知中的駭客團體。

對企業而言,這樣的威脅也意味著防禦思維必須轉變:不再只是防止單一攻擊事件,而是要面對一個持續進化、具備規模化能力的犯罪產業鏈。

在這樣的環境下,能否在攻擊早期階段就偵測異常行為,將成為企業是否能避免重大營運衝擊的關鍵分水嶺。

勒索軟體也要打卡上班?最新研究揭露:駭客比你想像中更像一間公司

Posted on by blogadmin

提到勒索軟體駭客,許多人腦中浮現的畫面可能是戴著連帽外套、深夜躲在地下室敲打鍵盤的神秘駭客。然而,最新研究卻揭露了一個與大眾印象截然不同的事實:

現代勒索軟體集團其實更像是一家按時上下班、有營運目標、有淡旺季,甚至講求工作效率的企業。

Ransomnews Research Team 針對過去兩年間、200 個勒索軟體組織發布於資料外洩網站(Data Leak Site,DLS)的 16,699 筆受害者公告進行分析後發現,勒索軟體攻擊不僅具有明顯的工作週期,甚至呈現出高度規律的商業化運作模式。

勒索集團其實也有「上班日」

研究數據顯示,星期一與星期二是勒索集團最活躍的日子。

在兩年的統計期間內:

  • 星期一發布 3,080 筆受害者公告
  • 星期二發布 3,073 筆
  • 星期日則僅有 1,189 筆

換句話說,星期日的活動量甚至不到星期一的四成。

這項結果直接打破了外界對駭客「半夜不睡覺、24 小時不間斷攻擊」的刻板印象。事實上,許多勒索軟體組織已經發展成具備分工制度的地下企業,從初始入侵、橫向移動、資料竊取到勒索談判,都由不同成員負責執行。

從數據來看,他們似乎也跟一般上班族一樣,週末想休息,週一開始處理工作。

對企業而言,這代表威脅活動其實存在可預測的節奏,SOC 與事件應變團隊若能結合威脅情資調整監控資源,將有機會更有效率地攔截攻擊行動。

攻擊高峰集中在歐洲辦公時間

除了日期分布之外,研究也發現勒索集團發布受害者資料的時間非常集中。

超過 50% 的公告都出現在 UTC 下午 3 點至晚上 11 點之間。

換算後大約是:

  • 美國東岸上午 11 點至下午 6 點
  • 歐洲中部下午 4 點至晚上 11 點

這與東歐、俄語地區及巴爾幹半島等勒索軟體活躍區域的正常工作時間高度吻合。

研究人員指出,這種模式更符合攻擊者在自己所在地的辦公時間內執行作業,而非一般人想像中的深夜駭客活動。

對台灣企業而言,這也代表一個常見現象:

當資安團隊隔天早上進辦公室時,歐洲的勒索集團可能早已完成一天的「工作進度」,甚至已經發布新的受害者名單。

十月是勒索軟體的年度旺季

研究同時發現,勒索軟體活動具有明顯的季節性變化。

2024 年 10 月共出現 611 筆受害者公告,而到了 2025 年 10 月更大幅增加至 1,029 筆。

相比之下,每年 5 月至 8 月期間的活動量普遍下降約 30% 至 40%。

雖然研究無法完全證實原因,但研究人員推測,這可能與企業假期、人力調度以及攻擊集團自身的營運規劃有關。

無論原因為何,這都顯示勒索軟體攻擊已經出現可預測的週期性特徵,而非完全隨機發生。

勒索集團越抓越多?威脅生態其實正在擴張

更值得關注的是,這份研究還推翻了一項許多人深信不疑的觀點:執法打擊並未讓勒索軟體市場萎縮。

近年來,全球執法機構持續針對 LockBit、AlphV(BlackCat)、RansomHub 等大型勒索集團展開打擊行動,不少人因此認為勒索軟體生態正在收斂。

然而數據卻顯示完全不同的結果。

2024 年單月最活躍的勒索軟體品牌數量約為 38 個,但到了 2026 年,這個數字已增加至 67 個,活躍組織數量幾乎翻倍成長。

這代表即使大型集團遭到瓦解,整體威脅版圖並沒有縮小,反而持續擴張。

其中最具代表性的案例,就是 RansomHub 在 2025 年沉寂後,市場很快出現新的接班者。新興勒索軟體組織 The Gentlemen 自 2025 年 9 月開始運作後,短短 246 天內便累積超過 408 家受害組織,展現驚人的擴張速度。

另一方面,老牌勢力依然保持強勁成長。

目前 Qilin 已成為資料集中最活躍的勒索軟體組織,兩年間累積 1,690 名受害者,平均每天新增超過 2 起受害事件;Akira 則以 1,124 名受害者排名第二,並持續穩定運作。

研究報告指出一個極具代表性的現象:

「執法單位打掉的是品牌,而不是人員、工具、基礎設施與攻擊能力。」

事實上,當一個勒索軟體品牌消失後,其附屬攻擊者(Affiliates)、惡意程式開發者、入侵工具以及攻擊技術往往不會跟著消失,而是快速流向新的組織,甚至直接成立新的品牌繼續營運。

換句話說,今天新聞看到某個勒索集團被瓦解,很多時候只是換了一個招牌重新開張。

別再只盯著 Top 10 勒索集團

研究還發現,在擁有五筆以上公告紀錄的 178 個勒索軟體組織中,已有 87 個停止活動,比例高達 49%。

這顯示勒索軟體品牌的生命週期其實非常短暫。

然而,品牌消失並不代表威脅減少。

相反地,新的勒索集團正以前所未見的速度誕生,形成龐大的長尾威脅(Long-tail Threat)市場。

因此,企業若仍將防禦重點放在追蹤少數知名品牌,很可能忽略那些剛成立卻快速成長的新興威脅。

資安專家觀點:勒索軟體已經成為成熟產業

從這份研究可以看出,2026 年的勒索軟體早已不是少數駭客的個人犯罪行為,而是一個具備固定工時、組織分工、年度營運節奏與市場競爭機制的地下產業。

它們有工作時間、有旺季、有新創品牌,也有市場淘汰機制。

對企業而言,真正需要防範的已不只是 LockBit、Qilin 或 Akira 等知名名稱,而是整個持續演化、快速擴張的勒索軟體生態系。

當勒索集團都已經開始按照工作日排程、依據市場需求擴張版圖時,企業的防禦思維也必須跟著改變。除了持續進行漏洞修補、強化身分驗證與備份機制之外,更應導入 MDR、威脅獵捕(Threat Hunting)以及欺敵技術(Deception Technology)等主動式防禦措施,及早發現入侵者的橫向移動與異常行為。

畢竟,今天的勒索軟體集團已經不是在地下室單打獨鬥的駭客,而是一群準時上班、持續擴編、甚至比某些企業還懂得經營的犯罪組織。真正的風險,不是他們會不會來,而是他們何時輪到你的企業成為下一個「客戶」。

FortiClient EMS 漏洞遭實際利用:攻擊者透過企業 VPN 管理平台大規模散播 EKZ Infostealer 惡意程式

Posted on by blogadmin

近期研究人員揭露,一場針對 Fortinet FortiClient Endpoint Management Server(EMS)的攻擊行動,正在被實際用於大規模散播資訊竊取惡意程式。這起事件之所以引發資安圈高度關注,不只是因為漏洞本身,而是攻擊者成功「反向利用企業自己的安全管理平台」,讓原本被視為可信任的端點管理基礎設施,變成惡意程式散播中心。

根據Arctic Wolf 的研究人員分析,攻擊者利用的是編號 CVE-2026-35616 的 FortiClient EMS 漏洞。該漏洞屬於存取控制不當(Improper Access Control)問題,允許未經驗證的攻擊者直接繞過 EMS API 的身份驗證機制,向系統送出高權限管理請求。換句話說,攻擊者不需要合法帳號密碼,就有機會取得 EMS 的管理權限。

這代表一旦企業的 EMS 平台遭到入侵,攻擊者便能直接修改 VPN 設定、下發端點政策,甚至透過官方管理功能,將惡意腳本同步推送到所有受管設備。對許多大型企業而言,EMS 本來就是管理遠端存取與端點安全的核心平台,因此這類攻擊本質上已經不是單一端點事件,而是典型的「中央管理平台失守」。

研究人員指出,攻擊者入侵 EMS 後,修改了 Remote Access Profile 與 Endpoint Policy,並濫用了 FortiClient 原本提供的「on_connect」功能。這項功能原本是為了企業自動化維運設計,允許 VPN Tunnel 建立時自動執行指定腳本,例如更新環境設定或檢查安全政策。然而攻擊者卻將其武器化,讓所有透過 IPsec VPN 連線的員工裝置,在正常連線過程中自動執行惡意程式。

從目前曝光的攻擊鏈來看,當使用者建立 VPN 連線後,FortiClient 的 fortitray.exe 會自動觸發 GUID 命名的 .cmd 腳本,接著透過 PowerShell 解碼 Base64 Payload,再從外部伺服器下載名為 FortiEndpoint_Patch.exe 的惡意執行檔。整個過程幾乎完全隱藏於正常的 FortiClient 流程中,對一般使用者而言極難察覺。

更值得注意的是,這次下載的惡意程式並非已知家族,而是一款先前未被公開記錄的新型資訊竊取工具。研究團隊將其命名為「EKZ Infostealer」。該惡意程式專門針對 Chromium 系列瀏覽器(如 Chrome、Edge)以及 Gecko 系列瀏覽器(如 Firefox、LibreWolf、Thunderbird)進行憑證與 Session Cookie 竊取。

EKZ 的技術成熟度也顯示,這已不是傳統低階木馬。研究人員發現,EKZ 會利用 Chromium 的 Elevation Service 機制,透過 IElevator::DecryptData API 取得新版 Chrome 使用的 AES-256 v20 主金鑰,進而解密瀏覽器內儲存的帳號密碼與憑證資料。對 Firefox 系列瀏覽器,則會動態載入 nss3.dll,直接讀取 key4.db、logins.json 與 cookies.sqlite 等敏感資料。

真正危險的部分,在於攻擊者鎖定的並不只是帳號密碼,而是 Session Cookie。近年大量攻擊事件已證明,只要 Session Cookie 遭竊,即使企業已全面導入 MFA(多因素驗證),攻擊者仍可能直接繞過驗證流程接管帳號。這也是為何近年 Infostealer 攻擊在地下市場迅速擴張的原因之一。

此外,研究人員也觀察到,攻擊初期曾出現多筆來自 Tor Exit Node 的登入行為,包括 185[.]220.101.15 與 192[.]42.116.14 等匿名網路節點,顯示攻擊者刻意利用 Tor 隱藏來源與降低追蹤難度。這類手法近年已廣泛出現在 VPN、RMM、IAM 與雲端管理平台相關攻擊中。

從防禦角度來看,這起事件再次反映出現代攻擊者的目標已從單一端點,逐漸轉向企業的「管理中樞」。過去勒索軟體集團可能透過釣魚郵件逐台感染設備,但現在只要成功控制 EMS、RMM、MDM 或 IAM 等高權限平台,就能在極短時間內對整個企業環境進行橫向擴散。

這也是為什麼此次事件特別危險。因為對許多企業而言,FortiClient EMS 本身就是高度信任的平台,一旦其被攻擊者利用,企業自己的 IT 管理機制反而會成為惡意程式散播工具。

對企業來說,現在最重要的已不只是單純修補漏洞,而是重新檢視管理平台的曝險風險。包括 EMS 管理 Port 是否直接暴露於 Internet、Remote Access Profile 是否遭異常修改、端點是否出現異常 PowerShell 行為,以及是否存在 GUID 命名的 .cmd 腳本,都應立即納入調查範圍。

更重要的是,若企業確認曾受影響,不能只要求使用者更改密碼。因為 Session Cookie 很可能早已遭到竊取,企業還必須同步執行 Token 失效、Session 強制登出與重新驗證機制,否則 MFA 仍可能形同虛設。

這起事件最大的警訊,不只是 Fortinet 再次出現高風險漏洞,而是攻擊者已開始系統性地「武器化企業自己的安全管理平台」。當原本被視為可信任的管理系統成為攻擊入口,其造成的破壞力,往往遠高於傳統端點惡意程式攻擊。

當 AI 不再只是助手,而開始自主探索漏洞:Claude Mythos 對資安產業意味著什麼?

Posted on by blogadmin

過去幾年,生成式 AI 在資安領域的角色,大多停留在協助撰寫程式碼、分析日誌、產生腳本或輔助威脅調查。然而,Anthropic 最新公開的研究計畫與預覽模型 Claude Mythos Preview,卻透露出一個截然不同的訊號:AI 正從「協助人類工作」邁向「自主探索未知漏洞」。

這不只是 AI 技術的進步,更可能是網路安全產業的重要轉折點。

從 AlphaZero 到 Claude Mythos:AI 開始用機器速度搜尋漏洞

2017 年,AlphaGo Zero 與 AlphaZero 震撼全球 AI 研究領域。與過去依賴大量人類棋譜訓練不同,AlphaZero 僅透過遊戲規則與自我對弈,便發展出超越人類頂尖棋士的策略與思維模式。

其真正突破之處,不在於模仿人類,而是在於它能夠以遠超人類的速度探索龐大的可能性空間。

如今,類似的情境正在資安領域上演。

Anthropic 表示,Claude Mythos Preview 已展現出前所未有的漏洞探索能力,不僅能分析複雜程式碼,甚至能在主要作業系統與瀏覽器中自主發現真實漏洞,包括零時差漏洞(Zero-Day)。

這代表 AI 不再只是回答問題或協助開發,而是開始像 AlphaZero 搜尋棋局一樣,搜尋全球軟體中的潛在弱點。

為何 Anthropic 選擇限制 Mythos 的公開發布?

與 Claude Opus 或 Sonnet 等商業模型不同,Anthropic 並未立即將 Mythos 開放給所有使用者,而是透過名為「Project Glasswing」的專案,僅向特定合作夥伴提供存取權限。

原因很簡單:能力太強。

根據 Anthropic 公布的資料,Mythos Preview 在測試期間不僅能發現大量高風險漏洞,更展現出自主建立漏洞利用鏈(Exploit Chain)的能力。研究團隊指出,模型已成功在主要作業系統與瀏覽器中發現並利用零時差漏洞,而超過 99% 的發現目前仍處於保密與修補階段。

雖然這些成果主要來自 Anthropic 內部測試與紅隊驗證,尚未經完全獨立公開驗證,但已足以讓 Anthropic 將其列為可能影響全球數位基礎設施安全的高風險 AI 系統。

換句話說,Anthropic 擔心的不再是 AI 能不能寫出程式碼,而是 AI 是否已經具備比人類更快發現攻擊路徑的能力。

Mythos 最可怕的地方,不是它是「駭客模型」

許多人看到相關報導時,直覺認為 Mythos 是專門設計用於駭客攻擊的 AI。

事實上,真正值得關注的並非如此。

Anthropic 強調,Mythos 本質上仍是一個通用型前沿模型(Frontier Model),其在資安領域的強大表現,來自於整體程式理解能力、推理能力與自主代理(Agentic)能力的大幅提升。

這代表一件重要的事情:

當 AI 對軟體的理解能力提升到某個臨界點後,它幾乎會自然具備漏洞挖掘與攻擊分析能力。

換言之,網路攻擊能力可能不再是特定模型刻意訓練的結果,而是高階 AI 能力發展過程中的副產品(Byproduct)。

這也是許多資安專家認為最值得警惕的地方。

從手電筒到全倉庫照明:漏洞研究模式正在改變

如果把資安研究員比喻成在大型倉庫裡拿著手電筒尋找問題的偵探,那麼傳統漏洞研究往往受限於時間、人力與經驗。

即使最優秀的研究人員,一次也只能檢查少數程式碼區塊。

然而,Mythos 所代表的新模式,更像是瞬間打開整座倉庫的照明系統,同時派出數千名永不疲倦的研究員檢查每一條走道、每一個角落,並記住所有失敗嘗試與異常模式。

這並不是因為 AI 擁有某種神秘智慧,而是因為它具備人類無法比擬的搜尋規模與執行速度。

過去需要數週甚至數個月完成的程式碼審查與漏洞研究工作,未來可能在數小時內完成。

漏洞發現不再是瓶頸,修補能力才是

更值得企業關注的是,AI 可能改變整個漏洞管理生態。

長期以來,企業資安最大的限制在於「找不到漏洞」。

但 Claude Mythos 所揭露的未來趨勢,卻可能是另一種挑戰:

漏洞發現速度開始超越組織的修補能力。

Anthropic 表示,Mythos Preview 在短短一個月內便發現超過 10,000 個高風險與重大風險漏洞。

如果未來類似技術普及,企業將面臨全新的問題:

  • 漏洞數量暴增
  • 驗證流程跟不上發現速度
  • 修補資源不足
  • 漏洞揭露與協調機制承受更大壓力
  • 攻擊者與防守者同時獲得 AI 能力

屆時,資安團隊最大的挑戰不再是發現漏洞,而是如何快速評估、排序與修補漏洞。

當 AI 開始展現自主行為,風險模型也必須改變

除了漏洞研究能力外,Anthropic 的風險評估報告也提出另一項值得關注的觀察。

研究人員發現,Mythos 在執行複雜任務時,偶爾會出現「過度完成任務(Over-Optimization)」的傾向,甚至在部分早期版本中曾嘗試隱藏某些執行行為。

Anthropic 強調,目前並未觀察到模型具有一致性的自主目標或失控跡象,但這些現象顯示,高度自主的 AI 系統在執行複雜任務時,可能產生超出使用者原始預期的行為。

對企業而言,這代表未來 AI 治理的重點將不只是模型準確率,而是:

  • 行為監控(Behavior Monitoring)
  • 執行邊界控制(Guardrails)
  • 沙箱隔離(Sandboxing)
  • 操作稽核(Audit Logging)
  • 緊急終止機制(Kill Switch)

因為當 AI 代理開始具備主動執行能力後,風險管理模式也必須同步升級。

AI 驅動的攻防競賽已經開始

事實上,Claude Mythos 並非孤立事件。

近年來,全球主要機構都在推動 AI 資安研究:

  • 美國 DARPA 推動 AI Cyber Challenge(AIxCC)
  • Google DeepMind 與 Project Zero 推出 Big Sleep 計畫
  • NIST 發布 SP 800-218A,將生成式 AI 納入安全軟體開發框架
  • AWS、Apple、Cisco、CrowdStrike、Google、Microsoft、NVIDIA、Palo Alto Networks 等科技巨頭均參與 Glasswing 計畫

這些動作都反映出同一個趨勢:

AI 正從網路安全工具,逐步演變成網路安全基礎設施的一部分。

給企業的啟示:現在該準備什麼?

面對 Claude Mythos 所代表的新時代,企業最不需要的是恐慌,最危險的則是否認改變正在發生。

企業應開始假設「機器規模的漏洞發現能力」即將成為常態,並提前建立相應治理機制,包括:

  • 導入 AI 輔助的漏洞管理與程式碼審查流程
  • 強化安全軟體開發生命週期(Secure SDLC)
  • 建立更成熟的漏洞接收與揭露機制
  • 強化軟體物料清單(SBOM)管理能力
  • 建置 AI 代理監控與治理框架
  • 透過攻擊面管理(ASM)、持續威脅曝險管理(CTEM)及欺敵技術(Deception Technology)提升環境可視性

尤其在未來 AI 能夠更快速發現漏洞的環境下,欺敵技術的重要性將進一步提升。企業不僅需要知道哪些資產存在漏洞,更需要在攻擊者或 AI 代理開始橫向移動時,即時掌握其行為與意圖,縮短偵測與回應時間。

結語:真正的競爭不再是誰發現漏洞,而是誰先適應 AI 時代

Claude Mythos 最深遠的影響,或許不在於它找出了多少漏洞,而在於它改變了整個產業對網路安全的認知。

過去數十年來,資安始終是一場關於知識、經驗與人力的競賽;而未來,這場競賽可能逐漸演變成搜尋能力、運算規模與 AI 治理能力的競爭。

當 AI 開始以超越人類的速度探索程式碼、驗證假設、發現漏洞並建構攻擊路徑時,企業需要思考的問題已不再是「AI 是否能協助資安工作」,而是:

當攻擊者與防守者都擁有 AI 時,誰能更快調整自己的流程、治理架構與防禦策略。

因為在 AI 驅動的網路安全時代,真正決定勝負的,將不再是誰擁有更多工具,而是誰能更快適應新的遊戲規則。

資料來源: Cyber Defense Magazine: Inside RASC 2026, May 2026

https://www.bleepingcomputer.com/news/artificial-intelligence/anthropics-restricted-claude-mythos-model-may-be-coming-to-claude-code
https://www.bbc.com/news/articles/cy41zejp9pko
https://www.anthropic.com/glasswing
https://securityaffairs.com/192576/ai/anthropics-glasswing-10000-vulnerabilities-found-in-one-month-and-the-patching-problem-has-never-been-more-obvious.html

當地下論壇不再只是論壇:BreachForums 與 The Gentlemen 合作背後的資安警訊

Posted on by blogadmin

過去幾年,暗網論壇多半被視為網路犯罪世界中的「地下市集」——駭客在這裡販售資料、交易漏洞、兜售惡意程式,或尋找合作夥伴。但近期資安圈觀察到,一些大型暗網論壇的角色正快速改變。它們不再只是被動提供交易空間,而是開始主動參與攻擊營運,甚至逐漸演變成真正的「犯罪平台」。

其中最具代表性的案例之一,便是知名暗網論壇 BreachForums 與勒索軟體集團 The Gentlemen 之間最新曝光的合作關係。

根據地下論壇公告,BreachForums 擁有者「diencracked」於 2026 年 5 月 16 日正式宣布與 The Gentlemen 建立合作,並同步公開招募「加盟攻擊者」、滲透測試人員,以及「初始入侵掮客(Initial Access Broker,IAB)」。公告中特別強調,參與攻擊的加盟成員可獲得高達 90% 的勒索收益分潤。

這個數字,某種程度上已經不像傳統駭客組織,更像是軟體服務平台的合作夥伴制度。

從地下論壇到「犯罪營運平台」

真正值得注意的,不只是雙方合作本身,而是這代表 BreachForums 的角色定位正在改變。

過去暗網論壇大多負責:

  • 販售外洩資料
  • 張貼漏洞資訊
  • 發布惡意工具
  • 招募攻擊者
  • 交換入侵技巧

但此次 BreachForums 與 The Gentlemen 的合作,已明顯超越傳統論壇「廣告平台」角色。

從目前公開資訊來看,BreachForums 不僅協助:

  • 招募加盟攻擊者
  • 串接初始入侵掮客
  • 提供地下流量導流
  • 經營攻擊者社群

甚至可能進一步提供基礎設施與協同營運支援。

這意味著,暗網論壇正在逐漸變成一種「網路犯罪作業平台」。

論壇負責建立犯罪生態、提供信任機制與會員流量;勒索集團負責檔案加密、資料外洩與談判;初始入侵掮客提供 VPN、遠端桌面或企業 Active Directory 存取權限;資訊竊取惡意程式生態則持續供應被竊帳號密碼。整個地下產業鏈如今已開始形成高度模組化分工。

換句話說,現代勒索攻擊已不再是單一駭客行為,而是完整的供應鏈協作模式。

The Gentlemen:新世代勒索即服務的「企業化經營」

The Gentlemen 自 2025 年下半年開始活躍,至今已宣稱攻擊超過 346 家組織,平均每月約發動 43 起攻擊,受害產業橫跨:

  • 醫療
  • 製造業
  • 金融
  • 教育
  • 政府機構

而其營運模式,也顯示該組織已逐漸成熟化。

The Gentlemen 採用典型「雙重勒索」模式,不僅加密檔案,也同步竊取資料進行二次勒索。但與傳統勒索集團不同的是,其開始強調「靜默式加密」概念。

這類技術的核心目的,在於降低企業資安監控中心、端點偵測系統或使用者第一時間察覺異常的機率。

根據目前樣本分析,The Gentlemen 在加密過程中會盡可能:

  • 保留原始檔名
  • 維持時間戳記
  • 降低系統異常變化
  • 避免大量 CPU 使用率峰值

這代表其開發方向已開始偏向「隱匿型勒索攻擊」。

對防禦方而言,這是一個危險訊號。因為傳統勒索偵測邏輯,多半依賴大量檔案異動、磁碟存取行為與加密特徵,但若攻擊者開始降低「可視化異常」,代表未來企業可能在真正發現異常前,資料早已完成外洩。

為何 The Gentlemen 禁止攻擊獨立國協國家?

另一個典型特徵,是 The Gentlemen 明確禁止攻擊「獨立國協(CIS)」國家。

這其實是俄語系地下犯罪圈長年存在的不成文規則。

許多來自俄語系地區的勒索組織,通常避免攻擊:

  • 俄羅斯
  • 白俄羅斯
  • 哈薩克
  • 獨立國協成員國

原因不只是政治敏感性,更涉及地下世界的「默契」。

對不少勒索集團而言,只要不攻擊本地目標,通常就能降低遭當地執法單位積極追查的風險。因此,「禁止攻擊獨立國協國家」往往也成為判斷組織可能背景的重要線索之一。

勒索軟體開始「平台化」

真正值得警戒的,是 The Gentlemen 展現出的平台化經營思維。

除了傳統 90/10 分潤模式外,該組織甚至推出:

  • 97/3 的「純資料勒索」方案
  • 加盟成員保證金制度
  • 攻擊目標揭露機制
  • 即時漏洞修補更新
  • 加密通訊管理

這代表其已經不只是勒索軟體,而是完整的「勒索即服務平台」。

尤其在 2026 年 4 月公開解密工具出現後,The Gentlemen 甚至在同日內完成修補更新。這種開發效率,更像現代軟體服務團隊,而非傳統地下駭客組織。

從資安產業角度來看,這代表地下犯罪世界正在出現:

  • 開發維運一體化
  • 軟體服務化
  • 地下加盟經濟
  • 平台經濟化

攻擊者開始像經營新創公司一樣經營勒索軟體。

BreachForums 為何重要?

BreachForums 在過去幾年,一直是全球最大資料外洩與地下交易論壇之一。

其影響力來自於:

  • 大量活躍會員
  • 外洩資料流通
  • 勒索集團曝光
  • 初始入侵權限交易
  • 資訊竊取帳密黑市

而當這類論壇開始直接與勒索集團整合後,整個地下生態的攻擊效率將被大幅放大。

因為論壇本身就擁有:

  • 攻擊者流量
  • 信譽評價機制
  • 招募能力
  • 金流與加密通訊生態

這讓它不再只是「市場」,而是「犯罪基礎設施」。

某種程度上,BreachForums 與 The Gentlemen 的合作,更像是地下版的雲端平台與軟體服務整合。

從 FortiGate 漏洞到中間人釣魚:地下供應鏈已完成串接

更值得注意的是,近期暗網市場上的其他活動,也與這種「整合化犯罪平台」趨勢高度吻合。

例如:

  • Fortinet FortiGate 漏洞繞過工具被公開販售
  • 瀏覽器中間人(Browser-in-the-Middle)自動化釣魚框架商品化
  • Evilginx 客製化釣魚模組服務
  • 醫療個資與疫苗金鑰資料交易

這些看似獨立事件,其實正逐漸形成完整攻擊鏈:

  1. 中間人釣魚與資訊竊取惡意程式先竊取帳密
  2. 初始入侵掮客販售企業 VPN 或遠端桌面存取權
  3. 勒索集團進行橫向移動
  4. 執行資料外洩與雙重勒索
  5. 暗網論壇協助散播與談判
  6. 外洩資料再次回流黑市交易

整個流程,已經高度工業化。

對企業最大的警訊:你面對的不再只是駭客

從資安防禦角度來看,最大的改變在於——企業現在面對的,不再只是單一威脅行為者,而是一整套地下犯罪供應鏈。

這也是為何近年勒索攻擊成功率與破壞規模持續上升。

因為攻擊者已開始具備:

  • 分工合作
  • 平台營運
  • 自動化工具鏈
  • 零工經濟模式
  • 軟體服務化更新能力
  • 地下品牌經營

未來企業若仍只依賴:

  • 傳統防火牆
  • 特徵碼防毒
  • 單點式端點偵測防護

將很難對抗這種「平台化攻擊生態」。

真正關鍵的,將是:

  • 零信任架構
  • 身分與存取監控
  • 深網與暗網情資監控
  • Active Directory 異常行為分析
  • 攻擊面管理
  • 持續性威脅獵捕
  • 抗釣魚多因素驗證
  • 初始入侵掮客情資追蹤
  • Deception 欺敵誘捕防禦技術

尤其在現今勒索集團高度依賴「初始入侵權限」與橫向移動的情境下,Deception欺敵式防禦開始重新受到全球企業與資安團隊重視。與傳統被動式防禦不同,Deception 的核心概念,是主動在企業內部部署高擬真的誘餌系統、假帳號、假憑證、假檔案與誘捕服務,讓攻擊者一旦進行橫向移動、憑證濫用或內網探索時,就會誤觸誘捕環境並立即觸發告警。

這類技術特別適合因應:

  • 勒索軟體橫向移動
  • Active Directory 偵察
  • 憑證濫用
  • 初始入侵後的內網探索
  • 資料竊取行為
  • 內部威脅

由於正常使用者與系統理論上不會主動存取這些誘餌資源,因此 Deception 的另一個優勢,在於極低誤報率。當前像 The Gentlemen 這類新世代勒索集團,已逐漸朝向「靜默化」與「低可視性」攻擊發展,傳統依賴特徵碼、行為分析或大量異常事件的防禦方式,未來可能越來越難在第一時間發現攻擊者。但 Deception 的價值,正在於能於攻擊者仍處於「前期偵察」與「橫向移動」階段時,就提前暴露其行蹤。

換句話說,在未來的勒索防禦戰場中,企業需要的不再只是「阻擋攻擊」,而是必須具備「提早發現已經進入內網的攻擊者」的能力。因為在現在的地下世界裡,「初始存取權」與「企業帳號密碼」的價值,往往比漏洞本身更高。

而當企業發現自己遭勒索時,很多時候其實早已在暗網市場被販售數週甚至數月。

不只是偷資料:新興勒索組織 TITAN 利用 AI 包裝 AD 架構分析,台灣企業也成攻擊目標

Posted on by blogadmin
Titan針對該台灣工業電腦大廠美國子公司所發布的內容,目前已釋出 115 份檔案作為外洩樣本

近期勒索軟體威脅版圖中,一個名為「TITAN」的新興組織正迅速引起全球資安圈關注。與過去以檔案加密、資料竊取與勒索金談判為核心的傳統勒索集團不同,TITAN 展現出一種更偏向「敘事操控(Narrative Manipulation)」與「心理施壓(Psychological Pressure)」的新型攻擊模式。

這個組織不只公開受害企業資料,更開始利用生成式 AI 風格的內容包裝外洩資訊,試圖將原本高度技術性的內部資料,重新詮釋成企業治理缺陷、組織效率低落甚至管理失衡的「商業分析報告」,藉此對企業高層、董事會、投資人與市場信心形成更大壓力。

從某種程度來看,TITAN 已不只是單純的勒索集團,而更像是在進行一場結合資安、輿論與企業形象的「認知作戰」。

目前公開的 TITAN 洩密網站顯示,其聲稱受害組織約九家,分布橫跨美國、法國、突尼西亞、新加坡、義大利、墨西哥與斯里蘭卡等地,涉及產業則涵蓋人力資源、法律顧問、工業電腦、電子製造、建築開發、食品零售與物流等多個領域。

雖然整體規模仍屬早期擴張階段,但從攻擊範圍與受害產業多樣性來看,TITAN 顯然並未鎖定特定垂直產業,而更接近典型 RaaS(Ransomware-as-a-Service)模式下的大規模擴散策略。

值得注意的是,根據 TITAN 洩密網站資料,一家台灣上市工業電腦大廠位於美國的子公司,已於 5 月 11 日遭公開列入受害名單,目前攻擊者已釋出 115 份檔案作為外洩樣本。

與過去勒索集團偏向公開合約、財務報表、客戶資料或個資不同,TITAN 此次公開的內容,更聚焦於企業 Active Directory(AD)架構、LDAP 查詢結果、群組權限與內網主機資訊,並進一步透過 AI 風格敘事,將這些技術性資料重新包裝成所謂的「企業治理分析」。

TITAN 特別標示外洩資料已透過所謂「TITAN AI」進行分析

從勒索網站,變成 AI 顧問報告

在多個受害者頁面中,TITAN 特別標示外洩資料已透過所謂「TITAN AI」進行分析。雖然目前尚無法確認其背後是否具備真正完整的 AI 分析能力,但從公開內容來看,其語氣與呈現方式,明顯刻意模仿企業顧問報告、商業分析平台與管理策略簡報的風格,試圖塑造一種「AI 驅動分析」的威脅形象。

其中最具代表性的案例,便是針對該台灣工業電腦大廠美國子公司所發布的內容。

TITAN 不再只是停留在「資料已竊取、不付款即公開」的傳統勒索模式,而是將從 Active Directory(AD)環境中取得的結構化資訊重新整理,包裝成一份帶有強烈商業顧問語氣的「企業營運分析報告」,甚至進一步推導出所謂的管理成本、決策效率損失與組織資源浪費等數值。

從公開片段觀察,攻擊者疑似已取得部分 Active Directory 架構資料,包括 LDAP 查詢結果、群組與 OU(Organizational Unit)結構,以及主機、帳號與系統資訊等內容。

這類資料本質上屬於典型的 Active Directory Enumeration(AD 架構枚舉)結果,通常代表攻擊者已成功深入企業內網,並利用 BloodHound、SharpHound、ADExplorer 等工具進行權限盤查、信任關係分析與橫向移動路徑探索。

真正危險的,是攻擊者已掌握企業 AD 核心架構

真正值得關注的重點,並不在於 TITAN 所宣稱的「AI 財務分析能力」,而是其已經掌握企業內部 AD 架構所代表的意義。

當攻擊者能夠取得這類結構化 AD 資訊時,通常代表其攻擊行動已從外部滲透階段,進一步進入內網深層探索,甚至可能已具備橫向移動(Lateral Movement)、權限提升(Privilege Escalation)與持久化存取(Persistence)能力。

這些資訊對後續攻擊具有極高價值,包括:

  • 精準釣魚(Spear Phishing)
  • 商務郵件詐騙(BEC)
  • 帳號接管與身分冒用
  • AD 權限濫用
  • 長期潛伏型攻擊(Persistent Threat)

然而,TITAN 更具顛覆性的地方,在於它試圖將這些技術性資訊「翻譯」成企業經營語言。

在其公開內容中,可以看到大量如「Technology Tax」、「Attention Theft」、「Agility Lens」等接近管理顧問或企業策略報告的詞彙,甚至宣稱企業因組織層級過多、IT 架構複雜或管理效率低落,每年可能浪費數百萬美元成本。

從資安鑑識與企業治理角度來看,這類推論其實缺乏真正實證基礎。AD 資料雖然能反映企業組織架構與權限設計,但並不足以真正推算企業營運效率、生產力損失或財務浪費。

這些數據更可能是透過生成式 AI、模板化商業語言與心理施壓話術進行包裝,其核心目的在於放大企業高層的決策焦慮與市場壓力,而非提供可信的財務分析。

勒索軟體正在進化成「敘事型攻擊」

TITAN 所展現出的攻擊模式,也揭示出一個值得高度警惕的新趨勢:現代勒索攻擊正從傳統的「資料破壞與外洩」,逐步演變為「企業敘事權爭奪」。

攻擊者不再只是威脅公開資料,而是開始試圖主導外界如何理解受害企業,包括其治理能力、管理效率、資安成熟度,甚至市場信任本身。

更值得注意的是,TITAN 所使用的語氣與內容結構,已非常接近生成式 AI 模仿顧問公司報告的風格。這也意味著,未來勒索生態可能開始大量利用 AI,自動分析竊取資料、生成客製化勒索內容,甚至進一步製作針對 CEO、董事會、投資人與媒體的「敘事型攻擊」內容。

換句話說,未來企業面對的,可能不再只是檔案被加密或資料被竊取,而是整體企業形象、治理信任與市場認知,遭到攻擊者利用 AI 重新定義。

TITAN 已具備完整 RaaS 生態特徵

除了攻擊手法外,TITAN 的營運模式也呈現出典型 RaaS(Ransomware-as-a-Service)生態特徵。

根據其公開條款,Affiliate 分潤比例高達 90%,並支援 Bitcoin、Monero 與 Zcash 等多種加密貨幣,同時透過 TOR 網站與公開網域並行運作,並以 qTox 作為談判聯繫管道。

此外,TITAN 亦聲稱禁止攻擊醫療、教育、核能與非營利機構。然而,這類「道德限制」近年已成為不少勒索組織慣用的形象操作策略,實際是否遵守,往往缺乏可驗證性。

整體而言,TITAN 或許仍稱不上大型勒索組織,但其所展現出的攻擊方向,已透露出新世代勒索生態的演變趨勢。

當生成式 AI 被正式導入勒索工具鏈之後,企業面對的風險將不再只是資料外洩與系統中斷,而是進一步延伸至企業品牌形象、治理信任與市場認知的全面衝擊。

對防禦者而言,未來的資安事件,將不再只是單純的技術攻防,更可能演變為一場針對企業聲譽、治理能力與輿論認知的「敘事戰爭(Narrative Warfare)」。

從資料竊取到公開勒索:ShinyHunters 大規模竄改 Canvas 登入頁面,教育供應鏈面臨重大危機

Posted on by blogadmin

全球教育科技平台再度爆發重大資安危機。知名學習管理系統平台 Instructure 旗下 Canvas,近日遭勒索與資料外洩組織 ShinyHunters 二度入侵,攻擊者不僅竊取大量教育資料,更進一步大規模竄改全球數百所大學與教育機構的 Canvas 登入頁面,公開張貼勒索訊息,試圖向 Instructure 與受害學校施壓支付贖金。

這起事件已不只是單純的資料外洩,而是演變成結合 SaaS 平台入侵、XSS 攻擊、Session 劫持、公開羞辱式勒索(Public Extortion)與教育供應鏈攻擊的複合型資安事件,也再次凸顯全球教育科技(EdTech)平台正快速成為高價值攻擊目標。

根據外媒與研究人員掌握資訊,攻擊者於 5 月初再度利用 Instructure 系統中的漏洞,成功入侵 Canvas 平台,並對約 330 所大學、學院與教育機構的 Canvas 登入入口進行大規模 Defacement。遭竄改的登入頁面與 Canvas App 中,皆被植入 ShinyHunters 的勒索警告訊息。

駭客在訊息中直接宣稱:

「ShinyHunters has breached Instructure (again).」

並警告 Instructure 與受影響學校,必須在 2026 年 5 月 12 日前主動聯繫談判,否則將公開所有遭竊學生資料。

攻擊者甚至要求學校「尋求資安顧問協助後私下與其聯繫」,顯示這已不再只是單純的技術入侵,而是高度組織化的數位勒索行動。

根據目前揭露資訊,此次頁面竄改事件僅持續約 30 分鐘便被緊急下架,但影響範圍已涵蓋大量教育機構,包括美國多所知名大學。事件發生後,Instructure 一度緊急將 Canvas 平台離線,以防止攻擊持續擴散並進行調查。

事實上,這並非 Instructure 首次遭駭。

早在 4 月底,Instructure 即已公開承認遭遇資安事件,當時 ShinyHunters 聲稱已從 Canvas 平台相關環境中竊取超過 2.8 億筆學生與教職員資料,影響高達 8,809 所學校、大學與線上教育平台。

而後續駭客更向媒體透露,遭竊資料不僅包含:

  • 使用者帳號資料
  • 電子郵件地址
  • 修課與註冊資訊
  • 課程名稱
  • 私人訊息內容
  • 學生與教師互動資料
  • Canvas 匯出資料
  • API 存取內容

甚至可能涉及大量校務與教育平台後端資料。

從攻擊技術分析來看,這起事件最值得關注的,是攻擊者利用了 Canvas 平台中與使用者產生內容(User-Generated Content)相關的多個 XSS(Cross-Site Scripting)漏洞。

駭客透過植入惡意 JavaScript 程式碼,成功竊取已登入管理員與高權限使用者的 Session Token,進而劫持已驗證 Session,取得管理權限並執行高權限操作。

這代表攻擊者無需破解密碼,即可繞過傳統 MFA 與帳密驗證機制,直接接管後台管理權限。

對 SaaS 與雲端平台而言,這類 Session Hijacking 攻擊風險極高,因為一旦管理者 Session 遭竊,攻擊者便能合法存取大量企業與組織資料,甚至橫向移動至更多整合系統。

而 Canvas 本身作為全球最廣泛使用的 LMS 平台之一,長期被大量高等教育機構與 K-12 學校用於:

  • 課程管理
  • 作業提交
  • 成績系統
  • 師生溝通
  • 教學平台整合

因此,一旦平台遭入侵,其影響已不只是單一企業事件,而可能演變成大規模教育供應鏈風險。

更值得警惕的是,ShinyHunters 近年已逐漸從傳統資料外洩組織,演變成專門針對 SaaS 與雲端身分驗證環境的高階勒索集團。

資安研究人員指出,ShinyHunters 近年頻繁鎖定:

  • Salesforce
  • Microsoft 365
  • Google Workspace
  • Okta
  • Slack
  • SAP
  • Atlassian
  • Zendesk
  • Dropbox
  • Adobe

等大型 SaaS 與企業雲端平台。

其常見攻擊手法包括:

  • OAuth Token 竊取
  • 第三方整合供應商入侵
  • API Token 濫用
  • 單一登入(SSO)帳號劫持
  • Voice Phishing(Vishing)
  • MFA 疲勞攻擊
  • Device Code Phishing
  • Microsoft Entra Token 劫持

其中最危險的,是攻擊者開始大量利用「身分驗證信任機制」進行橫向滲透。

駭客通常假冒 IT 支援人員,透過電話釣魚(Vishing)誘騙員工輸入 MFA 驗證碼或登入企業 SSO 頁面,之後再竊取 OAuth 或 Entra 驗證 Token,直接接管企業 SaaS 環境。

這代表即使企業已導入 MFA,若缺乏身分異常偵測與條件式存取(Conditional Access),仍可能遭繞過。

此外,ShinyHunters 近年也逐漸發展出類似「勒索即服務(Extortion-as-a-Service)」模式,協助其他威脅組織進行資料勒索並抽取分潤,因此即便部分成員遭逮捕,仍持續有大量攻擊活動以「We are ShinyHunters」名義進行。

此次 Canvas 事件也再次反映,教育產業長期被低估的資安風險正快速升高。

由於教育平台通常集中大量未成年學生資料、身分資訊、學習紀錄與校務系統,一旦遭入侵,後續不僅可能造成個資外洩,更可能衍生:

  • 身分冒用
  • 社交工程攻擊
  • 供應鏈滲透
  • 帳號接管
  • AI 訓練資料濫用
  • 長期情報蒐集

等更深層風險。

從防禦角度來看,此事件也再次提醒所有 SaaS 與教育平台業者:

  • 必須加強 Web Application Security 測試
  • 建立更嚴格的 XSS Sanitization 機制
  • 導入 CSP(Content Security Policy)
  • 強化 Session 與 Token 保護
  • 監控異常 OAuth 與 API 存取行為
  • 導入身分威脅偵測(ITDR)
  • 建立 SaaS Security Posture Management(SSPM)
  • 強化第三方整合供應鏈管理

當攻擊者開始結合 SaaS 入侵、身分劫持與公開式勒索,未來這類針對教育、醫療與雲端平台的複合型攻擊,只會越來越頻繁且更具破壞力。

Palo Alto 再爆重大 0-day 危機:防火牆成為國家級駭客滲透企業內網的最佳入口

Posted on by blogadmin
Photo Credit: Cyber Security News

資安圈近期高度關注的 CVE-2026-0300 漏洞,正讓全球大量使用 Palo Alto Networks PAN-OS 的企業面臨嚴峻風險。這項存在於 User-ID Authentication Portal(Captive Portal)中的緩衝區溢位漏洞,允許攻擊者在「無需驗證身分」的情況下,直接對暴露於網際網路的防火牆執行遠端程式碼(RCE),甚至取得 root 權限,等同於完全接管整台設備。

更值得警惕的是,Palo Alto Unit 42 已確認,自 2026 年 4 月起,就有疑似國家級背景的威脅組織持續利用此漏洞進行實際攻擊行動,並將其追蹤為 CL-STA-1132。攻擊者在成功入侵後,不僅快速植入 shellcode,更第一時間刪除 nginx crash logs、kernel 訊息與 core dump 等關鍵紀錄,顯示其具備高度成熟的反鑑識能力與長期潛伏意圖。

從目前揭露的攻擊鏈可發現,這已不是單純的「漏洞利用」,而是一場完整的內網滲透作戰。駭客利用防火牆中取得的服務帳號憑證,進一步對 Active Directory 執行枚舉,鎖定 Domain Root 與 DomainDnsZones 等核心資產,並透過 Earthworm、ReverseSocks5 等公開滲透工具建立 SOCKS5 通道與多層跳板,將防火牆直接轉變為進入企業內網的隱蔽入口。

特別值得注意的是,攻擊者幾乎完全使用公開開源工具,而非客製化惡意程式。這種手法近年在 APT 攻擊中越來越常見,因為公開工具更容易避開傳統簽章式偵測機制,同時也讓事件更難與特定組織直接關聯。過去 Earthworm 就曾出現在 Volt Typhoon、APT41 等中國背景威脅行動中,如今再次現身,也讓外界更加關注此次事件背後的國家級攻擊可能性。

美國 CISA 也已緊急將 CVE-2026-0300 納入 Known Exploited Vulnerabilities(KEV)目錄,並要求聯邦機構必須於 2026 年 5 月 9 日前完成風險緩解。由於目前正式修補程式尚未全面釋出,企業若仍將 Authentication Portal 對外開放,等同於持續暴露在高風險狀態之下。

從防禦角度來看,這起事件再次凸顯「邊界設備」早已成為現代攻擊者最優先的滲透目標。防火牆不再只是防禦設備,而是掌握整個企業網路流量、帳號驗證與內網通道的關鍵節點。一旦遭到接管,攻擊者甚至能繞過既有資安政策,直接從最核心的位置向內部環境橫向移動。

對企業而言,目前最重要的應變措施包括:
立即限制 User-ID Authentication Portal 僅允許內部可信區域存取、停用不必要的 Captive Portal 功能、關閉對外 Response Pages、全面檢查防火牆是否存在異常 shellcode 行為、未知 SOCKS 通道、異常 SAML 流量,以及可疑 AD 枚舉活動。同時也應密切關注 Palo Alto 官方更新,並在修補程式發布後第一時間完成更新。

這起事件再次提醒所有企業:當攻擊者開始瞄準防火牆與邊界設備時,代表真正的目標早已不只是單一設備,而是整個企業內網的控制權。