【資安警示】BianLian 與 RansomExx 利用 SAP NetWeaver 漏洞部署 PipeMagic 木馬程式

Photo Credit: SAP

近期,兩個知名的勒索軟體集團——BianLianRansomExx,被發現正在濫用 SAP NetWeaver 平台的一項重大漏洞(CVE-2025-31324),並藉此部署新型木馬程式 PipeMagic。這項發現再次證明了高價值企業應用系統(如 SAP)對進階持續性威脅(APT)組織具有高度吸引力,並且正被多方惡意勢力同時針對。


漏洞概況:CVE-2025-31324 與 PipeMagic 的關聯

根據資安公司 ReliaQuest 5月14日發布了研究報告的更新,他們發現了來自 BianLian 勒索集團RansomExx 勒索家族(微軟稱其為 Storm-2460 的攻擊證據。研究團隊追蹤到與過往 BianLian 架構有關聯的 IP 位址,進一步證實該組織參與了至少一起事件。

報告指出,一台 IP 為 184[.]174[.]96[.]74 的伺服器正在運行由 rs64.exe 啟動的反向代理服務,該伺服器所使用的 SSL 憑證與埠號與先前 BianLian 的 C2 基礎設施相同,另一個 IP 184[.]174[.]96[.]70 也被確認由同一託管服務商管理,強化了 BianLian 涉案的可信度。


PipeMagic 木馬及零時差漏洞的攻擊鏈

值得警惕的是,ReliaQuest 發現此波攻擊不僅針對 SAP,還搭配部署了一個名為 PipeMagic 的模組化木馬程式。該木馬近期曾被用於攻擊 Windows CLFS 系統的一項權限提升漏洞(CVE-2025-29824),並已影響到美國、委內瑞拉、西班牙與沙烏地阿拉伯等國的機構。

駭客在利用 SAP NetWeaver 漏洞成功植入 web shell 後,透過這些後門傳送 PipeMagic。雖然首次嘗試部署未遂,但後續攻擊則透過 MSBuild 的 inline 任務執行功能 部署 Brute Ratel C2 管理框架,並伴隨觸發 dllhost.exe 的異常行為,明確顯示了攻擊者正在重複利用 CVE-2025-29824 的 CLFS 漏洞進行滲透。


中國駭客組織亦介入漏洞利用

就在 ReliaQuest 公布調查結果前一天,EclecticIQ指出,數個中國背景的 APT 組織,包括 UNC5221、UNC5174 與 CL-STA-0048,皆已針對 CVE-2025-31324 展開大規模攻擊行動,散播各式惡意程式載荷。

此外,資安業者Onapsis 證實,自 2025 年 3 月起,攻擊者已同時利用 CVE-2025-31324 及一個與其相關的物件反序列化漏洞(CVE-2025-42999)進行入侵行動。幸好,SAP 最新發布的修補程式已修正這兩項漏洞的根本原因。


專家建議:務必盡速更新修補,防止持續滲透

ReliaQuest 表示:「雖然 CVE-2025-42999 在技術上需要較高權限才能利用,但 CVE-2025-31324 卻能讓攻擊者在無驗證的狀態下獲得完整系統控制權,兩者幾乎沒有實質差異,防禦措施應相同處理。」

針對此波威脅,我們建議:

  • 立即檢查並更新 SAP NetWeaver 系統至最新版本
  • 監控是否有異常的 MSBuild 執行行為或 DLL 裝載情況
  • 加強對反向代理與 C2 通訊的偵測規則
  • 封鎖已知涉案 IP、憑證與特徵碼

結語

此次事件顯示,即使是高度專業、企業等級的應用平台如 SAP,也難以避免成為攻擊目標。尤其當多個攻擊組織同時盯上同一漏洞時,更顯示出該漏洞的高風險性質。企業與政府單位務必強化補丁管理流程,提升威脅獵捕與端點偵測反應(EDR)能力,避免成為下一個 PipeMagic 的受害者。

Fortinet 修補 CVE-2025-32756 零時差 RCE 漏洞,FortiVoice 系統已遭攻擊,其他多項產品亦受波及

Photo Credit: Fortinet

Fortinet 近日發布資安通告,修補一項遭到零時差攻擊利用的重大遠端程式碼執行(Remote Code Execution, RCE)漏洞,該漏洞編號為 CVE-2025-32756,影響範圍涵蓋 FortiVoice、FortiMail、FortiNDR、FortiRecorder 及 FortiCamera 等多項產品,CVSS 風險評分高達 9.6(極高)

漏洞技術細節與攻擊行為分析

CVE-2025-32756 為一個 堆疊溢位漏洞(CWE-121),攻擊者可透過特製的 HTTP 請求,在無需身份驗證的情況下,遠端執行任意程式碼或系統命令,取得設備控制權限。

Fortinet 表示,此漏洞是由內部產品安全團隊在分析實際攻擊行為時發現。攻擊者入侵後會:

  • 發動內部網路掃描
  • 刪除系統崩潰紀錄(crash logs)以掩蓋入侵痕跡
  • 啟用非預設的 fcgi debugging 功能,用以記錄系統或 SSH 登入嘗試時的帳號密碼
  • 部署惡意軟體、設定 cron job 蒐集認證資訊
  • 投放指令碼掃描整體網路結構與其他潛在攻擊目標

其中 fcgi debugging 為一項異常指標(Indicator of Compromise, IOC),若在系統上啟用,執行以下指令可進行檢查:

nginx

diag debug application fcgi

若回傳包含「general to-file ENABLED」,即表示該功能已被啟用,系統可能已遭入侵。

已知攻擊來源 IP(建議封鎖)

  • 198.105.127[.]124
  • 43.228.217[.]173
  • 43.228.217[.]82
  • 156.236.76[.]90
  • 218.187.69[.]244
  • 218.187.69[.]59

受影響產品與修補建議版本如下:

FortiVoice

  • 6.4.x → 升級至 6.4.11 或以上
  • 7.0.x → 升級至 7.0.7 或以上
  • 7.2.x → 升級至 7.2.1 或以上

FortiMail

  • 7.0.x → 升級至 7.0.9 或以上
  • 7.2.x → 升級至 7.2.8 或以上
  • 7.4.x → 升級至 7.4.5 或以上
  • 7.6.x → 升級至 7.6.3 或以上

FortiNDR

  • 1.1–1.5, 7.1 → 建議升級至最新修補版本
  • 7.0.x → 升級至 7.0.7 或以上
  • 7.2.x → 升級至 7.2.5 或以上
  • 7.4.x → 升級至 7.4.8 或以上
  • 7.6.x → 升級至 7.6.1 或以上

FortiRecorder

  • 6.4.x → 升級至 6.4.6 或以上
  • 7.0.x → 升級至 7.0.6 或以上
  • 7.2.x → 升級至 7.2.4 或以上

FortiCamera

  • 1.1, 2.0 → 建議遷移至已修補版本
  • 2.1.x → 升級至 2.1.4 或以上

緊急緩解措施(若暫時無法修補)

對於無法即時更新修補的設備,Fortinet 建議暫時 關閉 HTTP/HTTPS 管理介面,以降低攻擊面。

關聯背景資訊

在此事件發生之前,Fortinet 曾於上月被 Shadowserver Foundation 發現,已有 超過 16,000 台暴露於網際網路的 Fortinet 設備 遭到入侵,且設置了一種新型的 symlink 後門,雖已修補但仍允許威脅者存取敏感檔案。

此外,Fortinet 亦在今年 4 月初通報另一個與 FortiSwitch 相關的重大漏洞,顯示威脅者正持續鎖定 Fortinet 各類產品作為入侵企業網路的跳板。


資安專家建議行動項目:

  1. 立即修補漏洞:優先升級受影響產品至安全版本。
  2. 封鎖惡意 IP:將上述攻擊來源納入防火牆黑名單。
  3. 檢查入侵跡象:確認是否啟用了 fcgi debugging,並檢視系統帳號登入紀錄與可疑排程任務。
  4. 強化防護策略:落實多因素驗證(MFA)、限制管理介面存取來源 IP、強化日誌監控與異常行為偵測。
  5. 進行網路流量分析:觀察是否有與已知惡意 IP 通聯的異常連線。

此事件再次警示企業應強化資安態勢感知與設備防護措施,尤其針對邊界設備與管理介面之防禦應更為嚴謹。建議企業導入持續威脅偵測(EDR/NDR)、漏洞管理平台(VMS)與資安事件應變流程,以提升整體防護韌性。

Interlock 勒索軟體攻擊事件曝露全球國防供應鏈的脆弱性

資安業界持續警告,勒索軟體已不再只是金錢勒索的工具,而是被用作地緣政治博弈中的數位武器。近期 Interlock 勒索軟體針對某國防承包商的攻擊事件,再次揭示了這類攻擊對於國防產業供應鏈、機敏資料外洩與戰略安全風險的巨大衝擊。

根據資安公司Resecurity 的調查,這次事件中遭到入侵的系統揭露了多家全球國防產業領頭企業的供應鏈與作業資訊。這不僅對該受害公司造成影響,也可能對全球其他承包商與軍方單位產生連鎖性的風險擴散效應。


攻擊揭露的國際國防企業名單包括:

  • Hanwha(韓華)
  • German Aerospace(德國航太)
  • Leonardo(李奧納多)
  • PW Defence
  • Raytheon(雷神)
  • Simmel Difesa
  • SpaceX(太空探索技術公司)
  • SE Corporation
  • Thales(泰雷茲)
  • Talley Defense
  • QinetiQ(英國凱尼提克)

這些企業在全球防衛網絡中扮演關鍵角色,任一點被入侵,整體鏈條都有風險失守的可能。


勒索軟體背後的真正意圖:滲透、間諜與破壞

雖然表面上看來是為勒贖而來,但根據 Resecurity 的分析,有些勒索集團與國家支持的進階持續性威脅(APT)組織有直接或間接關聯。這些組織利用勒索軟體當作掩護行動的工具,進行以下目的:

  • 暗中蒐集軍工業情報與關鍵技術
  • 操控軍事供應鏈時程,延緩生產與部署
  • 作為戰略性破壞或心理戰手段
  • 利用資訊外洩影響外交或軍事決策

隨著全球地緣衝突升溫,類似手法可能會持續成為國家級敵對行動的一環。


攻擊的供應鏈效應:從單點滲透到全面擴散

在國防產業中,供應鏈環環相扣。當主要承包商的系統被入侵時,相關下游供應商、製造商、甚至政府單位也可能遭受次級攻擊。常見的風險包括:

  • 憑證竊取後的橫向滲透
  • 假冒信件造成的標靶式釣魚攻擊
  • 對老舊裝置與合作平台的漏洞利用
  • 未受保護的 API、FTP 或存取端口被掃描與滲透

這些風險在未實作資安縱深防禦(Defense in Depth)架構的環境中尤其明顯。


引入「欺敵技術」作為防禦新思維

在面對像 Interlock 這類高風險威脅時,傳統的被動防禦(如防火牆、AV、EDR)已顯不足。主動式防禦技術──尤其是「欺敵技術(Deception Technology」,正成為企業與國防單位的新防線。

欺敵技術的核心目的是: 在真實環境中佈建出一套虛假但可信的資產與資源,引誘攻擊者進入陷阱,以便及早偵測並回應攻擊行為。

欺敵技術常見的部署元件包括:

  • Decoys 誘餌主機:模擬伺服器、工作站、資料庫、印表機、網路裝置等資源
  • Lures 誘導資訊:如弱密碼帳號、預設設定、虛構的權限或 AD 元件
  • Breadcrumbs 麵包屑:部署在真實生產環境中的誘導資料,例如記憶體憑證、瀏覽器紀錄、資料夾捷徑、網路磁碟代號
  • Baits 勾餌內容:引誘點擊或存取的敏感文件、Beacon 檔案、虛構 DNS 紀錄、程式程序等

一旦攻擊者接觸這些資源,即可觸發偵測與封鎖機制,有效縮短「潛伏時間(dwell time)」,並提升攻擊溯源能力。


國防產業需全面提升資安等級

針對此次事件,資安專家提出以下因應建議:

  • 落實 CMMC(Cybersecurity Maturity Model Certification)驗證與追蹤
  • 強化網路區隔與關鍵系統隔離
  • 部署零信任架構(Zero Trust Architecture)與用戶行為監控
  • 建立欺敵防禦環境以即時發現潛藏攻擊者
  • 公私部門合作,建立共享的威脅情報平台
  • 規劃橫跨內部與供應鏈的危機應變機制

結語:國防產業的資安已是國安等級任務

Interlock 事件再次提醒我們,在數位戰爭時代,任何承包商、技術供應商甚至中小製造商,都是國家防禦的一環。資安不只是技術問題,更是組織風險、信任機制與國安防線的延伸。

唯有透過持續的監控、創新的防禦架構(如欺敵技術)、合規驗證與跨部門協作,我們才能真正守護國家級基礎關鍵資產。

【威脅分析】MirrorFace 再出手:針對日本與台灣的 APT 行動揭露升級版 ANEL 與 ROAMINGMOUSE 工具鏈

Photo Credit: TrendMicro

2025 年 3 月,資安業者TrendMicro偵測到中國關聯的國家級駭客組織 MirrorFace(又名 Earth Kasha) 發動新一波網路間諜攻擊,明確鎖定日本與台灣的政府機關與公部門單位。此次攻擊採用一系列升級的惡意程式,包括新的ROAMINGMOUSE dropper與功能強化的ANEL 後門程式,顯示該組織具備持續研發與行動能力,且正在強化針對亞太地區的滲透行動。


攻擊關鍵概覽

  • 攻擊者組織:MirrorFace(Earth Kasha / 疑似 APT10 子集)
  • 主要目標:台灣與日本的政府機構、公營單位
  • 攻擊時間點:2025 年第一季
  • 核心工具
    • ROAMINGMOUSE(含 Base64 解碼與側載能力的 dropper)
    • ANEL(升級版後門,支援 BOF in-memory execution)
    • NOOPDOOR(隱蔽型次階段後門,支援 DNS over HTTPS)

攻擊流程解析

MirrorFace 延續一貫手法,自魚叉式釣魚攻擊(Spear Phishing)展開滲透行動。初始信件多來自被入侵的合法帳號,信中嵌入的 OneDrive 連結會下載 ZIP 檔案,內含惡意 Excel 文件,並觸發巨集執行載具程式 ROAMINGMOUSE

ROAMINGMOUSE 的行為特徵包括:

  1. 解碼內嵌的 ZIP 檔(Base64 格式)並釋出到本地磁碟。
  2. 拆出以下元件:
    • 合法執行檔(如 JSLNTOOL.exe)
    • 惡意 DLL:JSFC.dll(ANELLDR,負責側載執行)
    • 加密後的 ANEL payload
    • 合法 DLL 依賴檔(如 MSVCR100.dll)
  3. 利用 Windows 合法程式(explorer.exe)觸發側載程序,使惡意 DLL(ANELLDR)得以解密並啟動 ANEL 後門模組。

ANEL 功能強化概述

此次行動中使用的 ANEL 為升級版本,具備以下新功能:

  • 支援 BOF(Beacon Object File)記憶體內執行
    BOF 是可擴充 Cobalt Strike agent 功能的輕量 C 語言模組,此支援顯示 MirrorFace 正結合紅隊工具進行後滲透行動。
  • 資訊收集命令集擴充
    包含螢幕截圖、程序清單、網域與使用者資訊等,供攻擊者遠端分析與橫向移動判斷。

此外,趨勢科技觀察到 MirrorFace 在某些案例中搭配使用開源工具 SharpHide,部署新版本的 NOOPDOOR 後門(又稱 HiddenFace),其最大特點是採用 DNS over HTTPS(DoH) 技術進行 C2 溝通,以規避傳統 DNS 安控機制的偵測。


對台灣與日本的資安啟示

MirrorFace 此次針對台灣與日本的行動,再次印證該組織長期關注亞太區高價值機構,並具備持續武器升級與投放能力。

此類攻擊帶給資安防禦團隊的幾項重要啟示:

1. 情資導入為首要防線

企業與政府單位應優先整合各界 APT 威脅情資,透過 IOC 匹配提升偵測力,並加速威脅反應機制。

2. 端點行為監控為關鍵

導入具備行為分析、記憶體側載偵測能力的 EDR/XDR 解決方案,才能有效攔截類似 ROAMINGMOUSE 與 ANEL 的無檔案攻擊鏈。

3. 加強內部教育與滲透測試

高階駭客利用信任機制(如已知聯絡人信箱)發動釣魚攻擊,強化內部資安教育與定期模擬演練,已成為防線中不可或缺的一環。


結語:APT 威脅將常態化,資安策略需持續演進

MirrorFace 展示出的行動規劃與技術能力,已不再是「間歇性行動」,而是持續滲透與情報收集的長期部署。面對此類國家級駭客組織,傳統以「事件回應」為主的策略已難以應對,企業與政府單位應朝向「情資驅動防禦(Threat Intelligence-Driven Defense)」進行全面升級。

在未來的資安策略中,情資整合、攻防模擬、行為監控與跨部門協作將是核心要素。台灣作為地緣政治敏感地區之一,更應提前佈建防禦縱深,以因應下一波更具針對性的威脅行動。

【資安通報】Apache Parquet Java 漏洞(CVE-2025-46762)可被利用進行遠端程式碼執行攻擊

Photo Credit: gbhackers.

近期發現 Apache Parquet Java 存在一項高風險安全漏洞(CVE-2025-46762),可被攻擊者利用來進行遠端程式碼執行(Remote Code Execution, RCE),影響層面廣泛。該漏洞由 Apache Parquet 開發貢獻者吳剛(Gang Wu)於 parquet-avro 模組中發現,並於 2025 年 5 月 2 日正式公開。

漏洞概述

此漏洞影響 Apache Parquet Java 1.15.1 及其以前的所有版本。攻擊者可將惡意程式碼嵌入 Parquet 檔案中的 Avro schema 中,當應用程式解析該檔案時,便可能觸發程式碼執行。該行為不需任何使用者互動,且一旦成功執行,將導致系統完全淪陷,具高度危險性。

技術分析:CVE-2025-46762

本次漏洞核心問題出在 parquet-avro 模組的結構(schema)解析流程不安全。具體而言,Avro schema 欄位可被植入惡意程式碼,而當 Java 系統載入該檔案時,若採用了 specific 或 reflect 資料模型(為預設常用設定),將可能自動執行這段程式碼,導致 RCE。

雖然使用 generic 資料模型的系統不受此漏洞影響,但值得注意的是,Java 預設信任的套件(如 java.util)仍可能成為攻擊入口,使漏洞有機可乘。

影響範圍

  • 所有 Apache Parquet Java 1.15.1 以下版本
  • 使用 parquet-avro 的 大數據平台,例如:
    • Apache Spark
    • Apache Hadoop
    • Apache Flink
  • 依賴 Avro schema 處理的 資料處理流程與 ETL 管線

任何從外部來源讀取 Parquet 檔案的系統若未進行版本修補,皆有可能在反序列化階段被植入惡意程式碼並觸發 RCE。

緩解建議(Mitigation)

為降低風險並阻止攻擊路徑,建議採取以下資安行動:

方案一:立即升級至 Apache Parquet Java 1.15.2

此版本已修復信任套件範圍管理不當問題,可有效阻止攻擊者透過 Avro schema 注入程式碼。

方案二:暫時修補(適用於尚無法升級者)

請將 JVM 啟動參數設為:

bash

複製編輯

-Dorg.apache.parquet.avro.SERIALIZABLE_PACKAGES=””

此設定將清空可被序列化執行的 Java 套件清單,防止惡意程式碼載入執行。

加強策略建議

  • 優先採用 generic Avro model:此模型不受漏洞影響,應列為資料處理預設選項。
  • 封鎖外部不明來源的 Parquet 檔案,並進行嚴格的驗證流程。
  • 實作 Schema 驗證與 Sandboxing,避免在生產環境直接執行未驗證的 Avro 結構。

資安風險與威脅評估

未修補的系統將暴露於以下風險:

  • 遠端程式碼執行(RCE:攻擊者可植入具後門能力的 Parquet 檔進行惡意操作。
  • 供應鏈攻擊:惡意檔案可能透過數據流程進入後端系統,引發連鎖性失控。
  • 資料外洩與存取權限提升:攻擊成功後,可能導致敏感資料暴露或被竊取。
  • 業務營運中斷:一旦後端伺服器遭控制,將可能導致資料處理中斷或毀損。

資安專家總結

CVE-2025-46762 是一起極具危害性的漏洞,特別是對於使用 Apache Parquet 處理大量資料的企業與金融單位而言。建議所有企業資訊團隊即刻審查是否使用受影響版本,並採取修補或風險控制措施,以確保資料處理流程的完整性與安全性。

Phorpiex 殭屍網路自動投遞 LockBit 勒索軟體:資安防線正面臨自動化攻擊新威脅

簡介

在全球勒索軟體持續進化的威脅態勢下,資安研究人員觀察到一項令人警覺的新發展——LockBit 勒索軟體現已結合 Phorpiex(又稱 Trik)殭屍網路,實現自動化部署並全面繞過傳統人工操作流程。此一新型攻擊手法顯示威脅行為者正加速朝自動化、大規模、難以追蹤的模式發展,進一步模糊「商品級惡意程式」與「進階持續性威脅(APT)」的界線。

自動化攻擊鏈簡析:從釣魚信到勒索執行

根據 資安業者Cybereason 的研究報告,此波攻擊透過傳統的釣魚電子郵件作為感染初始點,夾帶 ZIP 附件發送至受害者。這些附件中可能包含:

  • SCR 執行檔:作為 LockBit 下載器。
  • LNK 快捷方式:觸發 Phorpiex TWIZT 變種,進一步下載並部署 LockBit 勒索程式。

一旦檔案被開啟,惡意程式即會在受感染機器上直接部署 LockBit,無需橫向移動或人工操控。即便觀察期間未偵測到成功連線至 C2(指揮控制)伺服器,但其行為與 LockBit 一致,顯示攻擊流程設計完整且具備備援機制。

Photo Credit: Cybereason

Phorpiex 殭屍網路變種行為分析

自 Phorpiex 原始碼於 2021 年外洩出售後,該殭屍網路家族持續演化,常見變種包含:

  • TWIZT 變種
    • 具 JPEG 標記檔掃描功能,避免重複感染。
    • 建立 mutex(互斥鎖)維持單一感染執行實體。
    • 自動刪除 Zone.Identifier 等元資料以隱匿活動。
    • 修改登錄機碼(registry key)達成開機自啟與持久性。
  • GandCrab 下載器變種
    • 具備反沙箱與反分析能力,偵測分析環境即自動終止。
    • 可停用 Windows Defender 以繞過防毒偵測。

這些模組化設計反映專業級惡意程式開發邏輯,並明確朝「惡意程式即服務(MaaS)」模式邁進。

勒索軟體集團策略轉型:從 Cronos 打擊到自動化反撲

儘管全球執法單位於 2024 年初針對 LockBit 展開代號 Operation Cronos 的大規模打擊,短期內瓦解其基礎設施,但 LockBit 迅速以更分散與自動化的架構回歸:

  • 降低人為操作需求:減少駭客進行橫向移動、權限提升等行為,降低曝險風險。
  • 提升散布效率:透過殭屍網路與釣魚信,實現近乎零接觸的大規模攻擊。
  • 加強規避機制:TWIZT 與 GandCrab 變種可有效逃避沙箱、EDR 與防毒軟體的攔截。

這代表 LockBit 不再只是高度目標式攻擊組織,其技術已商品化、標準化,具備自動部署與攻擊能力的即插即用工具包。

對企業與資安防護的挑戰

這類自動化攻擊模式對現有資安架構帶來重大挑戰:

  1. 偵測困難:傳統防毒無法準確區分標準作業與自動化惡意行為。
  2. 行為模糊化:LockBit 自動部署方式與商品級殭屍網路重疊,使得 APT 變得平民化。
  3. 資安誤判風險升高:舊型殭屍網路工具(如 Phorpiex)被視為過時而忽略,實則威脅重啟。

專家建議:重新構建防禦觀念與技術策略

資安團隊需因應新威脅格局,全面升級偵測、分析與應變機制:

  • 電子郵件安全強化:加強閘道防護與內容掃描,阻斷 ZIP 附件初始攻擊向量。
  • 行為式偵測技術部署:導入 EDR/XDR,監控登錄機碼、mutex、Zone.Identifier 等異常行為。
  • 反分析對策應用:利用自動分析沙箱進行動態樣本行為解析。
  • 員工資安意識訓練:強化釣魚識別教育,減少終端用戶成為感染入口。
  • 建立勒索事件模擬與應變計畫:模擬殭屍網路觸發自動勒索的場景,預先定義清除與封鎖流程。

結語:自動化勒索浪潮來襲,資安思維需全面升級

此次 Phorpiex 自動投遞 LockBit 的攻擊行動,不僅代表一波單一事件,而是反映未來勒索軟體運作的新常態。威脅行為者正積極部署「無人化」、「大規模」、「模糊化」的攻擊流程,意圖在最大化影響力的同時,降低自身被追蹤與阻斷的風險。

資安防線必須超前佈署,從工具導入、流程建置到人員意識全方位強化,否則在未來的自動化攻擊浪潮中,將陷入被動挨打的局面。

美國 CISA 將 SAP NetWeaver 漏洞列入「已知遭利用漏洞」清單:零時差攻擊現蹤,全面修補迫在眉睫

美國網路安全暨基礎設施安全局(CISA)日前正式將 SAP NetWeaver 的一項高風險漏洞(CVE-2025-31324)納入其「已知遭利用漏洞(Known Exploited Vulnerabilities, KEV)」目錄中。

此漏洞於上週被研究人員揭露為一項零時差(Zero-day)漏洞,CVSS 評分達到最高的 10 分(滿分 10 分),並已確認遭到實際攻擊者利用。全球數以千計直接暴露於網際網路的 SAP 應用系統正面臨重大潛在風險。

這個漏洞存在於 SAP NetWeaver 的 Visual Composer Metadata Uploader 元件,主要是因為缺乏適當的授權檢查,導致未經驗證的攻擊者(即未持有有效憑證者)可以直接上傳惡意可執行檔至目標系統。

一旦這些檔案成功上傳並執行,攻擊者將有機會完全接管 SAP 系統環境。SAP 已於 2025 年 4 月的 Security Patch Day 中發布修補程式以修正此問題。

資安業者ReliaQuest 的研究人員在調查多起攻擊事件時發現此漏洞,其中部分案例即便系統已套用最新修補程式仍遭入侵。

「我們於 2025 年 4 月 22 日發表了針對 SAP NetWeaver 系統遭攻擊的調查報告,進而發現這個關鍵漏洞,後來被 SAP 確認為 CVE-2025-31324,嚴重性評為 10 分。」ReliaQuest 的報告指出。「原先以為是遠端檔案包含(RFI)問題,經確認後實為無限制檔案上傳(Unrestricted File Upload)漏洞,SAP 隨即發佈修補程式,我們強烈建議立即套用。」

研究人員指出,SAP 系統由於被全球政府機關與大型企業廣泛採用,因此始終是攻擊者高度鎖定的目標。ReliaQuest 在漏洞公開前,已通報 SAP 並同步部署偵測機制以強化對客戶的防護。

在實際攻擊案例中,威脅行為者透過特製的 POST 請求,利用 Metadata Uploader 上傳惡意的 JSP webshell,並使用 GET 請求進行遠端執行,藉此全面掌控目標系統。這些 webshell 多部署於同一個根目錄,具備類似功能,並重複使用來自公開 GitHub 上的遠端程式碼執行(RCE)專案代碼。

「此漏洞位於 /developmentserver/metadatauploader 端點,原設計是為 SAP NetWeaver 環境中的應用開發與配置流程處理 metadata 檔案。」報告中寫道,「但在我們調查的事件中,攻擊者藉由精心構造的 POST 請求,上傳 JSP webshell 至 j2ee/cluster/apps/sap.com/irj/servletjsp/irj/root/ 資料夾中,並透過簡單的 GET 請求執行,徹底控制系統,將此端點變成攻擊跳板。」

攻擊者所植入的 webshell(如 helper.jsp 或 cache.jsp)允許執行系統指令、上傳檔案與建立持久存取權限。有一個變種甚至結合 Brute Ratel 與 Heaven’s Gate 技術,以增強隱蔽性與操控能力,顯示這是一場針對系統全面滲透與資料竊取的高階威脅行動。

有趣的是,有些攻擊案例中,從初始入侵到後續行動之間存在數日間隔,研判攻擊者極可能是「初始存取仲介商」(Initial Access Broker),透過 VPN、RDP 或漏洞攻擊等方式獲取入侵點後,再轉售給其他威脅行為者。

「我們觀察到某次攻擊中,從取得初始存取權到進行後續操作花了數天時間,因此我們推測該攻擊者應為初始存取仲介,並透過地下論壇販售對受害組織的存取權限。」報告指出。

儘管有些受害系統已打上最新修補,攻擊行為仍成功,專家高度懷疑目前存在尚未公開的 RFI 弱點,正在被鎖定於 SAP NetWeaver 公開伺服器的攻擊中加以利用。

「根據現有證據,我們有高度信心認為此次攻擊涉及一個尚未揭露的遠端檔案包含(RFI)漏洞,目前尚無法確認是否只影響特定版本,但在多起案例中,受害伺服器都已套用最新修補。」報告補充。

根據 CISA 所發佈的《作業指令 22-01:降低已知遭利用漏洞之重大風險》(Binding Operational Directive, BOD 22-01),所有 FCEB(聯邦民營與行政單位)機構必須在指定期限前修補此類漏洞,以防遭受相關攻擊。

資安專家也強烈建議私部門機構定期檢視 KEV 清單,評估並修補企業內部基礎設施中可能存在的相關漏洞。

CISA 要求聯邦機構最遲須於 2025 年 5 月 20 前完成修補作業。

DslogdRAT:針對 Ivanti Connect Secure VPN 所發動進階攻擊行動的技術分析

DslogdRAT的執行流程 Photo Credit: JPCERT/CC

近期針對 Ivanti Connect Secure VPN 裝置的攻擊揭露一款具備高度隱蔽性與持久性的惡意程式 DslogdRAT。該程式與一支簡化但功能完整的 Perl Web Shell 並行部署,顯示攻擊者具備高度組織化與長期滲透的企圖心。

本次事件由日本資安應變中心 JPCERT/CC 在調查 2024 年 12 月針對當地企業所發動的 CVE-2025-0282 零時差攻擊時發現。該行動突顯國家級威脅行為者正積極利用邊界設備漏洞作為進入企業內部網路的跳板。


初始攻擊向量:Perl Web Shell 提供後續惡意載入管道

攻擊者最初透過一支 Perl CGI 腳本建立對 Ivanti 裝置的遠端控制通道。該 Web Shell 透過驗證特定 Cookie 值與硬編碼 Token 的匹配來執行任意指令,達成命令執行功能。雖屬輕量型後門,卻為部署 DslogdRAT 提供有效的初始滲透通道。

此手法反映攻擊者精準掌握裝置管理機制,並採用低干擾、高穩定性的攻擊手段,以提高隱蔽性並降低被即時偵測的風險。


惡意程式架構與持久化機制:多程序與多執行緒設計

DslogdRAT 一旦部署,會透過以下方式建立持久存在並維持與指揮控制伺服器(C2)的連線:

  • 主程序(main process)會啟動第一子程序後即終止,增加其在系統中的存活隱蔽性。
  • 第一子程序進入監控迴圈並啟動第二子程序,專責處理 C2 通訊。
  • 第二子程序採用 pthread 函式庫 實作多執行緒架構,以提升處理效率與穩定性。
  • 與 C2 之間的資料傳輸透過 XOR(7 位元組區塊)編碼加密,金鑰範圍為 0x01 至 0x07,明顯為規避流量檢測所設計。

此外,惡意程式在程序名稱與執行緒管理上,模擬 Linux 系統內建背景程序(如:kworker/0:02),增加攻擊存續性與防禦系統誤判機率。


設定檔分析:作業時段與網路通訊參數具明顯躲避設計

DslogdRAT 的二進位程式內含一組以 XOR 編碼儲存的設定資料,內容揭露攻擊者針對企業環境所設計的操作模式,包括:

  • C2 位址:3.112.192[.]119
  • 通訊埠:443(偽裝為 HTTPS)
  • 預設 Shell:/bin/sh
  • Proxy 設定:127.0.0.1,帳號:admin,密碼:admin
  • 作業時段:每日 08:00 至 14:00,以融入正常營運流量,減少異常行為觸發警示的機會。

此類時間視窗限制的設計,已成為 APT 威脅常見的逃避偵測技術,特別適用於躲避基於行為基準(behavioral baseline)或流量異常偵測的防禦系統。


功能模組與操作命令:支援完整控制與橫向滲透

DslogdRAT 具備高度模組化的遠端操作能力,其支援的指令範圍涵蓋:

此外,惡意程式在首次與 C2 建立連線時,會發送含主機指紋(host fingerprint)之封包,資訊經編碼處理以利後端工具自動解析並針對性控制。


關聯性觀察:與 UNC5221 使用的 SPAWNSNARE 並存

研究人員也在受害系統中觀察到與 中國威脅行為者 UNC5221 有關的 SPAWNSNARE 後門程式。該惡意程式曾於 2025 年 4 月由 Google 與美國 CISA 公布。雖然目前無法直接證明 DslogdRAT 與該行為者有明確關聯,但兩種惡意工具的同時出現顯示:

  • 攻擊者可能共用相同工具組(toolkit)或基礎架構。
  • 該行動可能屬於更大規模、協同運作的滲透行動一環。

安全建議:防護對策與威脅獵捕優先事項

鑑於 DslogdRAT 攻擊手法高度隱蔽且具模組彈性,建議企業資安團隊立即採取下列行動:

  1. 立即更新系統:套用 Ivanti 官方對 CVE-2025-0282 與 CVE-2025-22457 所發布的修補程式。
  2. 檢測與鑑識:針對 VPN 裝置執行全面記憶體與檔案系統檢查。
  3. 監控指標(IoC
    • 惡意程式 SHA-256:1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8
    • Web Shell 路徑:/home/webserver/htdocs/dana-na/cc/ccupdate.cgi
    • C2 位址:3.112.192[.]119
  4. 網路分段與通訊限制:針對 VPN 裝置與關鍵資源間的橫向通訊設限。
  5. 導入威脅獵捕機制:主動搜尋偽裝程序、異常執行緒與潛伏連線行為。
  6. 重新評估邊界設備安全策略:將邊界設備納入端點監控架構並強化紀錄保存與異常警示。

結語:持續滲透技術的演進挑戰企業資安防線

DslogdRAT 的部署手法與架構展示出當代威脅行為者在攻擊規劃、隱匿執行與後門操控上的高度成熟度。面對此類針對 VPN 與邊界裝置的複合型攻擊,企業應優先強化邊界安全治理、威脅偵測能量與事件回應準備,方能有效降低入侵風險與損害影響。

【資安快訊】NightSpire 勒索攻擊再升溫!台灣上櫃資服大廠成新目標——掌握駭客戰術與企業防線新思維

NightSpire最新受害者為台灣上櫃資服業者

2025 年第一季,一個名為 NightSpire 的新興勒索軟體集團在亞太地區迅速崛起,並將火力集中在台灣企業身上。

日系電子製造商、保險業者醫療院所「長慎醫院」,到今天公開的上櫃資訊整合服務商,已有四家台灣企業成為受害者。NightSpire 宣稱已於 4 月 18 日成功入侵上櫃資訊整合服務商,竊取 300GB 資料,並威脅將於 4 月 26 日公開外洩。

根據竣盟科技B-Lab 的情資研究,已曝光的樣本包含內部員工與客戶的個資、專案資料目錄,還有受害電腦畫面等,突顯企業在邊界防禦與內網監控方面的破口。

攻擊手法剖析:三階段滲透鏈,展現隱匿性與持久性

NightSpire 的攻擊可分為三個階段:初始入侵、橫向移動、資料外洩,並善於繞過傳統防禦機制,達到長期滲透與資訊竊取。

1. 邊界設備漏洞為跳板

NightSpire 鎖定企業外部設備如 VPN、防火牆的漏洞。例如近期攻擊即利用 Fortinet 的零日漏洞 CVE-2024-55591,取得 FortiGate 防火牆的超級管理員權限。攻擊者可透過此漏洞修改設定、植入後門、建立持久存取權限,輕易潛入內網。

2. 橫向滲透與權限擴張:善用合法工具規避偵測

NightSpire 擅長利用系統內建或常見工具進行滲透與資料外傳,降低被偵測風險:

• WinSCP / MEGACmd:用於傳輸資料,偽裝成正常流量

• PowerShell 腳本:執行進階操作,避開傳統防毒偵測

• 內建 FTP 工具:低調傳送機敏資料

• 網路掃描器:識別內網潛在攻擊目標

這種手法讓攻擊從「進入」到「外洩」都能在駭客監控下進行,企業若僅依賴傳統防線,恐無法即時察覺異常。

為何台灣是目標?企業應該擔心什麼?

NightSpire 並未選擇攻擊歐美大型企業,而是精準瞄準台灣中小企業與醫療、科技產業:

• 高價值資料但資安資源有限:特別是醫療與系統整合商,成為「高獲利低風險」的理想目標。

• 邊界設備未即時修補漏洞:許多企業仍依賴傳統防火牆,但未落實漏洞管理與補丁更新。

• 供應鏈連動效應:攻擊其中一家供應商,就有可能滲透到整個產業鏈。

對攻擊者而言,這是一場高報酬、低風險的「資安套利」。

欺敵誘捕技術:扭轉被動防禦的戰局

NightSpire 所代表的威脅,讓資安防禦從「事後補救」轉向「主動攔截」成為必要。

這時,欺敵誘捕技術(Deception Technology)展現強大優勢:透過設置誘餌帳號、假檔案、偽造資料庫,引誘攻擊者上鉤,一旦接觸誘捕資源,即可即時通報、啟動反制。

結語:從被動防守,邁向智慧防禦的新時代

NightSpire 所代表的威脅,讓資安防禦從「事後補救」轉向「主動攔截」成為必要。

現在,企業該思考:

• 我的邊界設備漏洞是否已修補完畢?

• 我的內網是否有足夠的異常行為偵測機制?

• 面對攻擊者,我能主動誘導並辨識其行動軌跡嗎?

從零信任架構、行為分析,到欺敵誘捕,資安不再只是防禦,而是主動設局。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech ”

[資安專家觀點]NightSpire勒索攻擊台灣醫院 掛號系統癱瘓、800GB病患資料外洩

2025 年 4 月,又一起重大醫療資安事件發生,勒索軟體集團 NightSpire 聲稱於 4 月 13 日 成功入侵台灣中壢地區某大型醫院系統,竊取 800GB 敏感資料,並預告將於 4 月 26日 起公開販售。該醫院於 4 月 16 日 在官網公告系統異常,改由人工叫號與手寫處方因應,與駭客的說法時間點吻合,間接驗證系統遭攻擊的可能性。

駭客聲稱竊得資料範圍廣泛:

• 130,000 張醫療影像(含病徵與個資)

• 100,000 份電子病歷文件(含姓名、性別、血型、醫師姓名、診斷內容)

• 數百萬筆實驗室、檢查、X光、CT/MRI 等歷史紀錄

這些資料不僅高度敏感,且極具市場價值,一旦外流,可能成為身分竊取、詐騙、假帳號建立、甚至針對性勒索的溫床。

攻擊分析:醫療體系的資安脆弱點

醫療機構儲存大量個資與醫療資訊,卻常因預算、人力與資訊系統老化問題,資安防護相對薄弱。從本案的資訊推測,NightSpire 可能運用以下方式滲透:

1. 釣魚信件與社交工程:醫護人員每日處理大量郵件,若未受良好資安訓練,易成為破口。

2. 未修補的漏洞利用:若端點或伺服器未定期更新,駭客可藉此取得初始存取權限。

3. 橫向移動與資料蒐集:進入內部網路後,駭客利用掃描與憑證竊取橫向擴張,最終鎖定病歷伺服器與檔案儲存裝置。

醫療機構資安建議:不只防禦,更要「誘敵深入」

面對針對性日益強烈的勒索攻擊,傳統資安機制(防火牆、防毒、端點防護)已不敷使用。筆者建議醫療機構在既有基礎上,加入以下主動防禦與偵測技術:

1. 部署欺敵誘捕技術(Deception Technology)

• 建立誘捕資產與誘餌帳號、假病歷檔案,在駭客進入網路後引導其誤判目標。

• 一旦駭客觸碰誘餌,即可即時通報資安團隊並鎖定行為軌跡,大幅縮短偵測時間並防止進一步擴散。

• 欺敵技術具低誤報特性,非常適合醫療系統中分層偵測與最終防線部署。

2. 推動零信任架構(Zero Trust)

• 所有使用者與設備皆需經驗證與授權,強化橫向滲透的防線。

3. 加密與分散敏感資料儲存

• 機敏病歷與影像檔案應進行加密,並採用分區與異地備援策略。

4. 資安演練與事件回應計畫

• 制定並定期演練勒索攻擊情境,包括資料備援啟動、系統恢復與對外溝通機制。

結語:資安是醫療品質的一部分

NightSpire 的行動再次提醒我們,醫療服務的可用性與病患的隱私權保障,已不只是IT的責任,而是整個醫療體系信賴度的關鍵指標。

面對日益複雜的勒索與駭侵威脅,醫療機構應從被動防禦轉向主動偵測與快速應變,並勇於導入新型態技術,例如欺敵誘捕,才有機會在數位戰場中保住核心資產與民眾信任。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9

f749efde8f9de6a643a57a5b605bd4e7

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech ”