FortiClient EMS 漏洞遭實際利用:攻擊者透過企業 VPN 管理平台大規模散播 EKZ Infostealer 惡意程式

Posted on by blogadmin

近期研究人員揭露,一場針對 Fortinet FortiClient Endpoint Management Server(EMS)的攻擊行動,正在被實際用於大規模散播資訊竊取惡意程式。這起事件之所以引發資安圈高度關注,不只是因為漏洞本身,而是攻擊者成功「反向利用企業自己的安全管理平台」,讓原本被視為可信任的端點管理基礎設施,變成惡意程式散播中心。

根據Arctic Wolf 的研究人員分析,攻擊者利用的是編號 CVE-2026-35616 的 FortiClient EMS 漏洞。該漏洞屬於存取控制不當(Improper Access Control)問題,允許未經驗證的攻擊者直接繞過 EMS API 的身份驗證機制,向系統送出高權限管理請求。換句話說,攻擊者不需要合法帳號密碼,就有機會取得 EMS 的管理權限。

這代表一旦企業的 EMS 平台遭到入侵,攻擊者便能直接修改 VPN 設定、下發端點政策,甚至透過官方管理功能,將惡意腳本同步推送到所有受管設備。對許多大型企業而言,EMS 本來就是管理遠端存取與端點安全的核心平台,因此這類攻擊本質上已經不是單一端點事件,而是典型的「中央管理平台失守」。

研究人員指出,攻擊者入侵 EMS 後,修改了 Remote Access Profile 與 Endpoint Policy,並濫用了 FortiClient 原本提供的「on_connect」功能。這項功能原本是為了企業自動化維運設計,允許 VPN Tunnel 建立時自動執行指定腳本,例如更新環境設定或檢查安全政策。然而攻擊者卻將其武器化,讓所有透過 IPsec VPN 連線的員工裝置,在正常連線過程中自動執行惡意程式。

從目前曝光的攻擊鏈來看,當使用者建立 VPN 連線後,FortiClient 的 fortitray.exe 會自動觸發 GUID 命名的 .cmd 腳本,接著透過 PowerShell 解碼 Base64 Payload,再從外部伺服器下載名為 FortiEndpoint_Patch.exe 的惡意執行檔。整個過程幾乎完全隱藏於正常的 FortiClient 流程中,對一般使用者而言極難察覺。

更值得注意的是,這次下載的惡意程式並非已知家族,而是一款先前未被公開記錄的新型資訊竊取工具。研究團隊將其命名為「EKZ Infostealer」。該惡意程式專門針對 Chromium 系列瀏覽器(如 Chrome、Edge)以及 Gecko 系列瀏覽器(如 Firefox、LibreWolf、Thunderbird)進行憑證與 Session Cookie 竊取。

EKZ 的技術成熟度也顯示,這已不是傳統低階木馬。研究人員發現,EKZ 會利用 Chromium 的 Elevation Service 機制,透過 IElevator::DecryptData API 取得新版 Chrome 使用的 AES-256 v20 主金鑰,進而解密瀏覽器內儲存的帳號密碼與憑證資料。對 Firefox 系列瀏覽器,則會動態載入 nss3.dll,直接讀取 key4.db、logins.json 與 cookies.sqlite 等敏感資料。

真正危險的部分,在於攻擊者鎖定的並不只是帳號密碼,而是 Session Cookie。近年大量攻擊事件已證明,只要 Session Cookie 遭竊,即使企業已全面導入 MFA(多因素驗證),攻擊者仍可能直接繞過驗證流程接管帳號。這也是為何近年 Infostealer 攻擊在地下市場迅速擴張的原因之一。

此外,研究人員也觀察到,攻擊初期曾出現多筆來自 Tor Exit Node 的登入行為,包括 185[.]220.101.15 與 192[.]42.116.14 等匿名網路節點,顯示攻擊者刻意利用 Tor 隱藏來源與降低追蹤難度。這類手法近年已廣泛出現在 VPN、RMM、IAM 與雲端管理平台相關攻擊中。

從防禦角度來看,這起事件再次反映出現代攻擊者的目標已從單一端點,逐漸轉向企業的「管理中樞」。過去勒索軟體集團可能透過釣魚郵件逐台感染設備,但現在只要成功控制 EMS、RMM、MDM 或 IAM 等高權限平台,就能在極短時間內對整個企業環境進行橫向擴散。

這也是為什麼此次事件特別危險。因為對許多企業而言,FortiClient EMS 本身就是高度信任的平台,一旦其被攻擊者利用,企業自己的 IT 管理機制反而會成為惡意程式散播工具。

對企業來說,現在最重要的已不只是單純修補漏洞,而是重新檢視管理平台的曝險風險。包括 EMS 管理 Port 是否直接暴露於 Internet、Remote Access Profile 是否遭異常修改、端點是否出現異常 PowerShell 行為,以及是否存在 GUID 命名的 .cmd 腳本,都應立即納入調查範圍。

更重要的是,若企業確認曾受影響,不能只要求使用者更改密碼。因為 Session Cookie 很可能早已遭到竊取,企業還必須同步執行 Token 失效、Session 強制登出與重新驗證機制,否則 MFA 仍可能形同虛設。

這起事件最大的警訊,不只是 Fortinet 再次出現高風險漏洞,而是攻擊者已開始系統性地「武器化企業自己的安全管理平台」。當原本被視為可信任的管理系統成為攻擊入口,其造成的破壞力,往往遠高於傳統端點惡意程式攻擊。

當 AI 不再只是助手,而開始自主探索漏洞:Claude Mythos 對資安產業意味著什麼?

Posted on by blogadmin

過去幾年,生成式 AI 在資安領域的角色,大多停留在協助撰寫程式碼、分析日誌、產生腳本或輔助威脅調查。然而,Anthropic 最新公開的研究計畫與預覽模型 Claude Mythos Preview,卻透露出一個截然不同的訊號:AI 正從「協助人類工作」邁向「自主探索未知漏洞」。

這不只是 AI 技術的進步,更可能是網路安全產業的重要轉折點。

從 AlphaZero 到 Claude Mythos:AI 開始用機器速度搜尋漏洞

2017 年,AlphaGo Zero 與 AlphaZero 震撼全球 AI 研究領域。與過去依賴大量人類棋譜訓練不同,AlphaZero 僅透過遊戲規則與自我對弈,便發展出超越人類頂尖棋士的策略與思維模式。

其真正突破之處,不在於模仿人類,而是在於它能夠以遠超人類的速度探索龐大的可能性空間。

如今,類似的情境正在資安領域上演。

Anthropic 表示,Claude Mythos Preview 已展現出前所未有的漏洞探索能力,不僅能分析複雜程式碼,甚至能在主要作業系統與瀏覽器中自主發現真實漏洞,包括零時差漏洞(Zero-Day)。

這代表 AI 不再只是回答問題或協助開發,而是開始像 AlphaZero 搜尋棋局一樣,搜尋全球軟體中的潛在弱點。

為何 Anthropic 選擇限制 Mythos 的公開發布?

與 Claude Opus 或 Sonnet 等商業模型不同,Anthropic 並未立即將 Mythos 開放給所有使用者,而是透過名為「Project Glasswing」的專案,僅向特定合作夥伴提供存取權限。

原因很簡單:能力太強。

根據 Anthropic 公布的資料,Mythos Preview 在測試期間不僅能發現大量高風險漏洞,更展現出自主建立漏洞利用鏈(Exploit Chain)的能力。研究團隊指出,模型已成功在主要作業系統與瀏覽器中發現並利用零時差漏洞,而超過 99% 的發現目前仍處於保密與修補階段。

雖然這些成果主要來自 Anthropic 內部測試與紅隊驗證,尚未經完全獨立公開驗證,但已足以讓 Anthropic 將其列為可能影響全球數位基礎設施安全的高風險 AI 系統。

換句話說,Anthropic 擔心的不再是 AI 能不能寫出程式碼,而是 AI 是否已經具備比人類更快發現攻擊路徑的能力。

Mythos 最可怕的地方,不是它是「駭客模型」

許多人看到相關報導時,直覺認為 Mythos 是專門設計用於駭客攻擊的 AI。

事實上,真正值得關注的並非如此。

Anthropic 強調,Mythos 本質上仍是一個通用型前沿模型(Frontier Model),其在資安領域的強大表現,來自於整體程式理解能力、推理能力與自主代理(Agentic)能力的大幅提升。

這代表一件重要的事情:

當 AI 對軟體的理解能力提升到某個臨界點後,它幾乎會自然具備漏洞挖掘與攻擊分析能力。

換言之,網路攻擊能力可能不再是特定模型刻意訓練的結果,而是高階 AI 能力發展過程中的副產品(Byproduct)。

這也是許多資安專家認為最值得警惕的地方。

從手電筒到全倉庫照明:漏洞研究模式正在改變

如果把資安研究員比喻成在大型倉庫裡拿著手電筒尋找問題的偵探,那麼傳統漏洞研究往往受限於時間、人力與經驗。

即使最優秀的研究人員,一次也只能檢查少數程式碼區塊。

然而,Mythos 所代表的新模式,更像是瞬間打開整座倉庫的照明系統,同時派出數千名永不疲倦的研究員檢查每一條走道、每一個角落,並記住所有失敗嘗試與異常模式。

這並不是因為 AI 擁有某種神秘智慧,而是因為它具備人類無法比擬的搜尋規模與執行速度。

過去需要數週甚至數個月完成的程式碼審查與漏洞研究工作,未來可能在數小時內完成。

漏洞發現不再是瓶頸,修補能力才是

更值得企業關注的是,AI 可能改變整個漏洞管理生態。

長期以來,企業資安最大的限制在於「找不到漏洞」。

但 Claude Mythos 所揭露的未來趨勢,卻可能是另一種挑戰:

漏洞發現速度開始超越組織的修補能力。

Anthropic 表示,Mythos Preview 在短短一個月內便發現超過 10,000 個高風險與重大風險漏洞。

如果未來類似技術普及,企業將面臨全新的問題:

  • 漏洞數量暴增
  • 驗證流程跟不上發現速度
  • 修補資源不足
  • 漏洞揭露與協調機制承受更大壓力
  • 攻擊者與防守者同時獲得 AI 能力

屆時,資安團隊最大的挑戰不再是發現漏洞,而是如何快速評估、排序與修補漏洞。

當 AI 開始展現自主行為,風險模型也必須改變

除了漏洞研究能力外,Anthropic 的風險評估報告也提出另一項值得關注的觀察。

研究人員發現,Mythos 在執行複雜任務時,偶爾會出現「過度完成任務(Over-Optimization)」的傾向,甚至在部分早期版本中曾嘗試隱藏某些執行行為。

Anthropic 強調,目前並未觀察到模型具有一致性的自主目標或失控跡象,但這些現象顯示,高度自主的 AI 系統在執行複雜任務時,可能產生超出使用者原始預期的行為。

對企業而言,這代表未來 AI 治理的重點將不只是模型準確率,而是:

  • 行為監控(Behavior Monitoring)
  • 執行邊界控制(Guardrails)
  • 沙箱隔離(Sandboxing)
  • 操作稽核(Audit Logging)
  • 緊急終止機制(Kill Switch)

因為當 AI 代理開始具備主動執行能力後,風險管理模式也必須同步升級。

AI 驅動的攻防競賽已經開始

事實上,Claude Mythos 並非孤立事件。

近年來,全球主要機構都在推動 AI 資安研究:

  • 美國 DARPA 推動 AI Cyber Challenge(AIxCC)
  • Google DeepMind 與 Project Zero 推出 Big Sleep 計畫
  • NIST 發布 SP 800-218A,將生成式 AI 納入安全軟體開發框架
  • AWS、Apple、Cisco、CrowdStrike、Google、Microsoft、NVIDIA、Palo Alto Networks 等科技巨頭均參與 Glasswing 計畫

這些動作都反映出同一個趨勢:

AI 正從網路安全工具,逐步演變成網路安全基礎設施的一部分。

給企業的啟示:現在該準備什麼?

面對 Claude Mythos 所代表的新時代,企業最不需要的是恐慌,最危險的則是否認改變正在發生。

企業應開始假設「機器規模的漏洞發現能力」即將成為常態,並提前建立相應治理機制,包括:

  • 導入 AI 輔助的漏洞管理與程式碼審查流程
  • 強化安全軟體開發生命週期(Secure SDLC)
  • 建立更成熟的漏洞接收與揭露機制
  • 強化軟體物料清單(SBOM)管理能力
  • 建置 AI 代理監控與治理框架
  • 透過攻擊面管理(ASM)、持續威脅曝險管理(CTEM)及欺敵技術(Deception Technology)提升環境可視性

尤其在未來 AI 能夠更快速發現漏洞的環境下,欺敵技術的重要性將進一步提升。企業不僅需要知道哪些資產存在漏洞,更需要在攻擊者或 AI 代理開始橫向移動時,即時掌握其行為與意圖,縮短偵測與回應時間。

結語:真正的競爭不再是誰發現漏洞,而是誰先適應 AI 時代

Claude Mythos 最深遠的影響,或許不在於它找出了多少漏洞,而在於它改變了整個產業對網路安全的認知。

過去數十年來,資安始終是一場關於知識、經驗與人力的競賽;而未來,這場競賽可能逐漸演變成搜尋能力、運算規模與 AI 治理能力的競爭。

當 AI 開始以超越人類的速度探索程式碼、驗證假設、發現漏洞並建構攻擊路徑時,企業需要思考的問題已不再是「AI 是否能協助資安工作」,而是:

當攻擊者與防守者都擁有 AI 時,誰能更快調整自己的流程、治理架構與防禦策略。

因為在 AI 驅動的網路安全時代,真正決定勝負的,將不再是誰擁有更多工具,而是誰能更快適應新的遊戲規則。

資料來源: Cyber Defense Magazine: Inside RASC 2026, May 2026

https://www.bleepingcomputer.com/news/artificial-intelligence/anthropics-restricted-claude-mythos-model-may-be-coming-to-claude-code
https://www.bbc.com/news/articles/cy41zejp9pko
https://www.anthropic.com/glasswing
https://securityaffairs.com/192576/ai/anthropics-glasswing-10000-vulnerabilities-found-in-one-month-and-the-patching-problem-has-never-been-more-obvious.html

當地下論壇不再只是論壇:BreachForums 與 The Gentlemen 合作背後的資安警訊

Posted on by blogadmin

過去幾年,暗網論壇多半被視為網路犯罪世界中的「地下市集」——駭客在這裡販售資料、交易漏洞、兜售惡意程式,或尋找合作夥伴。但近期資安圈觀察到,一些大型暗網論壇的角色正快速改變。它們不再只是被動提供交易空間,而是開始主動參與攻擊營運,甚至逐漸演變成真正的「犯罪平台」。

其中最具代表性的案例之一,便是知名暗網論壇 BreachForums 與勒索軟體集團 The Gentlemen 之間最新曝光的合作關係。

根據地下論壇公告,BreachForums 擁有者「diencracked」於 2026 年 5 月 16 日正式宣布與 The Gentlemen 建立合作,並同步公開招募「加盟攻擊者」、滲透測試人員,以及「初始入侵掮客(Initial Access Broker,IAB)」。公告中特別強調,參與攻擊的加盟成員可獲得高達 90% 的勒索收益分潤。

這個數字,某種程度上已經不像傳統駭客組織,更像是軟體服務平台的合作夥伴制度。

從地下論壇到「犯罪營運平台」

真正值得注意的,不只是雙方合作本身,而是這代表 BreachForums 的角色定位正在改變。

過去暗網論壇大多負責:

  • 販售外洩資料
  • 張貼漏洞資訊
  • 發布惡意工具
  • 招募攻擊者
  • 交換入侵技巧

但此次 BreachForums 與 The Gentlemen 的合作,已明顯超越傳統論壇「廣告平台」角色。

從目前公開資訊來看,BreachForums 不僅協助:

  • 招募加盟攻擊者
  • 串接初始入侵掮客
  • 提供地下流量導流
  • 經營攻擊者社群

甚至可能進一步提供基礎設施與協同營運支援。

這意味著,暗網論壇正在逐漸變成一種「網路犯罪作業平台」。

論壇負責建立犯罪生態、提供信任機制與會員流量;勒索集團負責檔案加密、資料外洩與談判;初始入侵掮客提供 VPN、遠端桌面或企業 Active Directory 存取權限;資訊竊取惡意程式生態則持續供應被竊帳號密碼。整個地下產業鏈如今已開始形成高度模組化分工。

換句話說,現代勒索攻擊已不再是單一駭客行為,而是完整的供應鏈協作模式。

The Gentlemen:新世代勒索即服務的「企業化經營」

The Gentlemen 自 2025 年下半年開始活躍,至今已宣稱攻擊超過 346 家組織,平均每月約發動 43 起攻擊,受害產業橫跨:

  • 醫療
  • 製造業
  • 金融
  • 教育
  • 政府機構

而其營運模式,也顯示該組織已逐漸成熟化。

The Gentlemen 採用典型「雙重勒索」模式,不僅加密檔案,也同步竊取資料進行二次勒索。但與傳統勒索集團不同的是,其開始強調「靜默式加密」概念。

這類技術的核心目的,在於降低企業資安監控中心、端點偵測系統或使用者第一時間察覺異常的機率。

根據目前樣本分析,The Gentlemen 在加密過程中會盡可能:

  • 保留原始檔名
  • 維持時間戳記
  • 降低系統異常變化
  • 避免大量 CPU 使用率峰值

這代表其開發方向已開始偏向「隱匿型勒索攻擊」。

對防禦方而言,這是一個危險訊號。因為傳統勒索偵測邏輯,多半依賴大量檔案異動、磁碟存取行為與加密特徵,但若攻擊者開始降低「可視化異常」,代表未來企業可能在真正發現異常前,資料早已完成外洩。

為何 The Gentlemen 禁止攻擊獨立國協國家?

另一個典型特徵,是 The Gentlemen 明確禁止攻擊「獨立國協(CIS)」國家。

這其實是俄語系地下犯罪圈長年存在的不成文規則。

許多來自俄語系地區的勒索組織,通常避免攻擊:

  • 俄羅斯
  • 白俄羅斯
  • 哈薩克
  • 獨立國協成員國

原因不只是政治敏感性,更涉及地下世界的「默契」。

對不少勒索集團而言,只要不攻擊本地目標,通常就能降低遭當地執法單位積極追查的風險。因此,「禁止攻擊獨立國協國家」往往也成為判斷組織可能背景的重要線索之一。

勒索軟體開始「平台化」

真正值得警戒的,是 The Gentlemen 展現出的平台化經營思維。

除了傳統 90/10 分潤模式外,該組織甚至推出:

  • 97/3 的「純資料勒索」方案
  • 加盟成員保證金制度
  • 攻擊目標揭露機制
  • 即時漏洞修補更新
  • 加密通訊管理

這代表其已經不只是勒索軟體,而是完整的「勒索即服務平台」。

尤其在 2026 年 4 月公開解密工具出現後,The Gentlemen 甚至在同日內完成修補更新。這種開發效率,更像現代軟體服務團隊,而非傳統地下駭客組織。

從資安產業角度來看,這代表地下犯罪世界正在出現:

  • 開發維運一體化
  • 軟體服務化
  • 地下加盟經濟
  • 平台經濟化

攻擊者開始像經營新創公司一樣經營勒索軟體。

BreachForums 為何重要?

BreachForums 在過去幾年,一直是全球最大資料外洩與地下交易論壇之一。

其影響力來自於:

  • 大量活躍會員
  • 外洩資料流通
  • 勒索集團曝光
  • 初始入侵權限交易
  • 資訊竊取帳密黑市

而當這類論壇開始直接與勒索集團整合後,整個地下生態的攻擊效率將被大幅放大。

因為論壇本身就擁有:

  • 攻擊者流量
  • 信譽評價機制
  • 招募能力
  • 金流與加密通訊生態

這讓它不再只是「市場」,而是「犯罪基礎設施」。

某種程度上,BreachForums 與 The Gentlemen 的合作,更像是地下版的雲端平台與軟體服務整合。

從 FortiGate 漏洞到中間人釣魚:地下供應鏈已完成串接

更值得注意的是,近期暗網市場上的其他活動,也與這種「整合化犯罪平台」趨勢高度吻合。

例如:

  • Fortinet FortiGate 漏洞繞過工具被公開販售
  • 瀏覽器中間人(Browser-in-the-Middle)自動化釣魚框架商品化
  • Evilginx 客製化釣魚模組服務
  • 醫療個資與疫苗金鑰資料交易

這些看似獨立事件,其實正逐漸形成完整攻擊鏈:

  1. 中間人釣魚與資訊竊取惡意程式先竊取帳密
  2. 初始入侵掮客販售企業 VPN 或遠端桌面存取權
  3. 勒索集團進行橫向移動
  4. 執行資料外洩與雙重勒索
  5. 暗網論壇協助散播與談判
  6. 外洩資料再次回流黑市交易

整個流程,已經高度工業化。

對企業最大的警訊:你面對的不再只是駭客

從資安防禦角度來看,最大的改變在於——企業現在面對的,不再只是單一威脅行為者,而是一整套地下犯罪供應鏈。

這也是為何近年勒索攻擊成功率與破壞規模持續上升。

因為攻擊者已開始具備:

  • 分工合作
  • 平台營運
  • 自動化工具鏈
  • 零工經濟模式
  • 軟體服務化更新能力
  • 地下品牌經營

未來企業若仍只依賴:

  • 傳統防火牆
  • 特徵碼防毒
  • 單點式端點偵測防護

將很難對抗這種「平台化攻擊生態」。

真正關鍵的,將是:

  • 零信任架構
  • 身分與存取監控
  • 深網與暗網情資監控
  • Active Directory 異常行為分析
  • 攻擊面管理
  • 持續性威脅獵捕
  • 抗釣魚多因素驗證
  • 初始入侵掮客情資追蹤
  • Deception 欺敵誘捕防禦技術

尤其在現今勒索集團高度依賴「初始入侵權限」與橫向移動的情境下,Deception欺敵式防禦開始重新受到全球企業與資安團隊重視。與傳統被動式防禦不同,Deception 的核心概念,是主動在企業內部部署高擬真的誘餌系統、假帳號、假憑證、假檔案與誘捕服務,讓攻擊者一旦進行橫向移動、憑證濫用或內網探索時,就會誤觸誘捕環境並立即觸發告警。

這類技術特別適合因應:

  • 勒索軟體橫向移動
  • Active Directory 偵察
  • 憑證濫用
  • 初始入侵後的內網探索
  • 資料竊取行為
  • 內部威脅

由於正常使用者與系統理論上不會主動存取這些誘餌資源,因此 Deception 的另一個優勢,在於極低誤報率。當前像 The Gentlemen 這類新世代勒索集團,已逐漸朝向「靜默化」與「低可視性」攻擊發展,傳統依賴特徵碼、行為分析或大量異常事件的防禦方式,未來可能越來越難在第一時間發現攻擊者。但 Deception 的價值,正在於能於攻擊者仍處於「前期偵察」與「橫向移動」階段時,就提前暴露其行蹤。

換句話說,在未來的勒索防禦戰場中,企業需要的不再只是「阻擋攻擊」,而是必須具備「提早發現已經進入內網的攻擊者」的能力。因為在現在的地下世界裡,「初始存取權」與「企業帳號密碼」的價值,往往比漏洞本身更高。

而當企業發現自己遭勒索時,很多時候其實早已在暗網市場被販售數週甚至數月。

不只是偷資料:新興勒索組織 TITAN 利用 AI 包裝 AD 架構分析,台灣企業也成攻擊目標

Posted on by blogadmin
Titan針對該台灣工業電腦大廠美國子公司所發布的內容,目前已釋出 115 份檔案作為外洩樣本

近期勒索軟體威脅版圖中,一個名為「TITAN」的新興組織正迅速引起全球資安圈關注。與過去以檔案加密、資料竊取與勒索金談判為核心的傳統勒索集團不同,TITAN 展現出一種更偏向「敘事操控(Narrative Manipulation)」與「心理施壓(Psychological Pressure)」的新型攻擊模式。

這個組織不只公開受害企業資料,更開始利用生成式 AI 風格的內容包裝外洩資訊,試圖將原本高度技術性的內部資料,重新詮釋成企業治理缺陷、組織效率低落甚至管理失衡的「商業分析報告」,藉此對企業高層、董事會、投資人與市場信心形成更大壓力。

從某種程度來看,TITAN 已不只是單純的勒索集團,而更像是在進行一場結合資安、輿論與企業形象的「認知作戰」。

目前公開的 TITAN 洩密網站顯示,其聲稱受害組織約九家,分布橫跨美國、法國、突尼西亞、新加坡、義大利、墨西哥與斯里蘭卡等地,涉及產業則涵蓋人力資源、法律顧問、工業電腦、電子製造、建築開發、食品零售與物流等多個領域。

雖然整體規模仍屬早期擴張階段,但從攻擊範圍與受害產業多樣性來看,TITAN 顯然並未鎖定特定垂直產業,而更接近典型 RaaS(Ransomware-as-a-Service)模式下的大規模擴散策略。

值得注意的是,根據 TITAN 洩密網站資料,一家台灣上市工業電腦大廠位於美國的子公司,已於 5 月 11 日遭公開列入受害名單,目前攻擊者已釋出 115 份檔案作為外洩樣本。

與過去勒索集團偏向公開合約、財務報表、客戶資料或個資不同,TITAN 此次公開的內容,更聚焦於企業 Active Directory(AD)架構、LDAP 查詢結果、群組權限與內網主機資訊,並進一步透過 AI 風格敘事,將這些技術性資料重新包裝成所謂的「企業治理分析」。

TITAN 特別標示外洩資料已透過所謂「TITAN AI」進行分析

從勒索網站,變成 AI 顧問報告

在多個受害者頁面中,TITAN 特別標示外洩資料已透過所謂「TITAN AI」進行分析。雖然目前尚無法確認其背後是否具備真正完整的 AI 分析能力,但從公開內容來看,其語氣與呈現方式,明顯刻意模仿企業顧問報告、商業分析平台與管理策略簡報的風格,試圖塑造一種「AI 驅動分析」的威脅形象。

其中最具代表性的案例,便是針對該台灣工業電腦大廠美國子公司所發布的內容。

TITAN 不再只是停留在「資料已竊取、不付款即公開」的傳統勒索模式,而是將從 Active Directory(AD)環境中取得的結構化資訊重新整理,包裝成一份帶有強烈商業顧問語氣的「企業營運分析報告」,甚至進一步推導出所謂的管理成本、決策效率損失與組織資源浪費等數值。

從公開片段觀察,攻擊者疑似已取得部分 Active Directory 架構資料,包括 LDAP 查詢結果、群組與 OU(Organizational Unit)結構,以及主機、帳號與系統資訊等內容。

這類資料本質上屬於典型的 Active Directory Enumeration(AD 架構枚舉)結果,通常代表攻擊者已成功深入企業內網,並利用 BloodHound、SharpHound、ADExplorer 等工具進行權限盤查、信任關係分析與橫向移動路徑探索。

真正危險的,是攻擊者已掌握企業 AD 核心架構

真正值得關注的重點,並不在於 TITAN 所宣稱的「AI 財務分析能力」,而是其已經掌握企業內部 AD 架構所代表的意義。

當攻擊者能夠取得這類結構化 AD 資訊時,通常代表其攻擊行動已從外部滲透階段,進一步進入內網深層探索,甚至可能已具備橫向移動(Lateral Movement)、權限提升(Privilege Escalation)與持久化存取(Persistence)能力。

這些資訊對後續攻擊具有極高價值,包括:

  • 精準釣魚(Spear Phishing)
  • 商務郵件詐騙(BEC)
  • 帳號接管與身分冒用
  • AD 權限濫用
  • 長期潛伏型攻擊(Persistent Threat)

然而,TITAN 更具顛覆性的地方,在於它試圖將這些技術性資訊「翻譯」成企業經營語言。

在其公開內容中,可以看到大量如「Technology Tax」、「Attention Theft」、「Agility Lens」等接近管理顧問或企業策略報告的詞彙,甚至宣稱企業因組織層級過多、IT 架構複雜或管理效率低落,每年可能浪費數百萬美元成本。

從資安鑑識與企業治理角度來看,這類推論其實缺乏真正實證基礎。AD 資料雖然能反映企業組織架構與權限設計,但並不足以真正推算企業營運效率、生產力損失或財務浪費。

這些數據更可能是透過生成式 AI、模板化商業語言與心理施壓話術進行包裝,其核心目的在於放大企業高層的決策焦慮與市場壓力,而非提供可信的財務分析。

勒索軟體正在進化成「敘事型攻擊」

TITAN 所展現出的攻擊模式,也揭示出一個值得高度警惕的新趨勢:現代勒索攻擊正從傳統的「資料破壞與外洩」,逐步演變為「企業敘事權爭奪」。

攻擊者不再只是威脅公開資料,而是開始試圖主導外界如何理解受害企業,包括其治理能力、管理效率、資安成熟度,甚至市場信任本身。

更值得注意的是,TITAN 所使用的語氣與內容結構,已非常接近生成式 AI 模仿顧問公司報告的風格。這也意味著,未來勒索生態可能開始大量利用 AI,自動分析竊取資料、生成客製化勒索內容,甚至進一步製作針對 CEO、董事會、投資人與媒體的「敘事型攻擊」內容。

換句話說,未來企業面對的,可能不再只是檔案被加密或資料被竊取,而是整體企業形象、治理信任與市場認知,遭到攻擊者利用 AI 重新定義。

TITAN 已具備完整 RaaS 生態特徵

除了攻擊手法外,TITAN 的營運模式也呈現出典型 RaaS(Ransomware-as-a-Service)生態特徵。

根據其公開條款,Affiliate 分潤比例高達 90%,並支援 Bitcoin、Monero 與 Zcash 等多種加密貨幣,同時透過 TOR 網站與公開網域並行運作,並以 qTox 作為談判聯繫管道。

此外,TITAN 亦聲稱禁止攻擊醫療、教育、核能與非營利機構。然而,這類「道德限制」近年已成為不少勒索組織慣用的形象操作策略,實際是否遵守,往往缺乏可驗證性。

整體而言,TITAN 或許仍稱不上大型勒索組織,但其所展現出的攻擊方向,已透露出新世代勒索生態的演變趨勢。

當生成式 AI 被正式導入勒索工具鏈之後,企業面對的風險將不再只是資料外洩與系統中斷,而是進一步延伸至企業品牌形象、治理信任與市場認知的全面衝擊。

對防禦者而言,未來的資安事件,將不再只是單純的技術攻防,更可能演變為一場針對企業聲譽、治理能力與輿論認知的「敘事戰爭(Narrative Warfare)」。

從資料竊取到公開勒索:ShinyHunters 大規模竄改 Canvas 登入頁面,教育供應鏈面臨重大危機

Posted on by blogadmin

全球教育科技平台再度爆發重大資安危機。知名學習管理系統平台 Instructure 旗下 Canvas,近日遭勒索與資料外洩組織 ShinyHunters 二度入侵,攻擊者不僅竊取大量教育資料,更進一步大規模竄改全球數百所大學與教育機構的 Canvas 登入頁面,公開張貼勒索訊息,試圖向 Instructure 與受害學校施壓支付贖金。

這起事件已不只是單純的資料外洩,而是演變成結合 SaaS 平台入侵、XSS 攻擊、Session 劫持、公開羞辱式勒索(Public Extortion)與教育供應鏈攻擊的複合型資安事件,也再次凸顯全球教育科技(EdTech)平台正快速成為高價值攻擊目標。

根據外媒與研究人員掌握資訊,攻擊者於 5 月初再度利用 Instructure 系統中的漏洞,成功入侵 Canvas 平台,並對約 330 所大學、學院與教育機構的 Canvas 登入入口進行大規模 Defacement。遭竄改的登入頁面與 Canvas App 中,皆被植入 ShinyHunters 的勒索警告訊息。

駭客在訊息中直接宣稱:

「ShinyHunters has breached Instructure (again).」

並警告 Instructure 與受影響學校,必須在 2026 年 5 月 12 日前主動聯繫談判,否則將公開所有遭竊學生資料。

攻擊者甚至要求學校「尋求資安顧問協助後私下與其聯繫」,顯示這已不再只是單純的技術入侵,而是高度組織化的數位勒索行動。

根據目前揭露資訊,此次頁面竄改事件僅持續約 30 分鐘便被緊急下架,但影響範圍已涵蓋大量教育機構,包括美國多所知名大學。事件發生後,Instructure 一度緊急將 Canvas 平台離線,以防止攻擊持續擴散並進行調查。

事實上,這並非 Instructure 首次遭駭。

早在 4 月底,Instructure 即已公開承認遭遇資安事件,當時 ShinyHunters 聲稱已從 Canvas 平台相關環境中竊取超過 2.8 億筆學生與教職員資料,影響高達 8,809 所學校、大學與線上教育平台。

而後續駭客更向媒體透露,遭竊資料不僅包含:

  • 使用者帳號資料
  • 電子郵件地址
  • 修課與註冊資訊
  • 課程名稱
  • 私人訊息內容
  • 學生與教師互動資料
  • Canvas 匯出資料
  • API 存取內容

甚至可能涉及大量校務與教育平台後端資料。

從攻擊技術分析來看,這起事件最值得關注的,是攻擊者利用了 Canvas 平台中與使用者產生內容(User-Generated Content)相關的多個 XSS(Cross-Site Scripting)漏洞。

駭客透過植入惡意 JavaScript 程式碼,成功竊取已登入管理員與高權限使用者的 Session Token,進而劫持已驗證 Session,取得管理權限並執行高權限操作。

這代表攻擊者無需破解密碼,即可繞過傳統 MFA 與帳密驗證機制,直接接管後台管理權限。

對 SaaS 與雲端平台而言,這類 Session Hijacking 攻擊風險極高,因為一旦管理者 Session 遭竊,攻擊者便能合法存取大量企業與組織資料,甚至橫向移動至更多整合系統。

而 Canvas 本身作為全球最廣泛使用的 LMS 平台之一,長期被大量高等教育機構與 K-12 學校用於:

  • 課程管理
  • 作業提交
  • 成績系統
  • 師生溝通
  • 教學平台整合

因此,一旦平台遭入侵,其影響已不只是單一企業事件,而可能演變成大規模教育供應鏈風險。

更值得警惕的是,ShinyHunters 近年已逐漸從傳統資料外洩組織,演變成專門針對 SaaS 與雲端身分驗證環境的高階勒索集團。

資安研究人員指出,ShinyHunters 近年頻繁鎖定:

  • Salesforce
  • Microsoft 365
  • Google Workspace
  • Okta
  • Slack
  • SAP
  • Atlassian
  • Zendesk
  • Dropbox
  • Adobe

等大型 SaaS 與企業雲端平台。

其常見攻擊手法包括:

  • OAuth Token 竊取
  • 第三方整合供應商入侵
  • API Token 濫用
  • 單一登入(SSO)帳號劫持
  • Voice Phishing(Vishing)
  • MFA 疲勞攻擊
  • Device Code Phishing
  • Microsoft Entra Token 劫持

其中最危險的,是攻擊者開始大量利用「身分驗證信任機制」進行橫向滲透。

駭客通常假冒 IT 支援人員,透過電話釣魚(Vishing)誘騙員工輸入 MFA 驗證碼或登入企業 SSO 頁面,之後再竊取 OAuth 或 Entra 驗證 Token,直接接管企業 SaaS 環境。

這代表即使企業已導入 MFA,若缺乏身分異常偵測與條件式存取(Conditional Access),仍可能遭繞過。

此外,ShinyHunters 近年也逐漸發展出類似「勒索即服務(Extortion-as-a-Service)」模式,協助其他威脅組織進行資料勒索並抽取分潤,因此即便部分成員遭逮捕,仍持續有大量攻擊活動以「We are ShinyHunters」名義進行。

此次 Canvas 事件也再次反映,教育產業長期被低估的資安風險正快速升高。

由於教育平台通常集中大量未成年學生資料、身分資訊、學習紀錄與校務系統,一旦遭入侵,後續不僅可能造成個資外洩,更可能衍生:

  • 身分冒用
  • 社交工程攻擊
  • 供應鏈滲透
  • 帳號接管
  • AI 訓練資料濫用
  • 長期情報蒐集

等更深層風險。

從防禦角度來看,此事件也再次提醒所有 SaaS 與教育平台業者:

  • 必須加強 Web Application Security 測試
  • 建立更嚴格的 XSS Sanitization 機制
  • 導入 CSP(Content Security Policy)
  • 強化 Session 與 Token 保護
  • 監控異常 OAuth 與 API 存取行為
  • 導入身分威脅偵測(ITDR)
  • 建立 SaaS Security Posture Management(SSPM)
  • 強化第三方整合供應鏈管理

當攻擊者開始結合 SaaS 入侵、身分劫持與公開式勒索,未來這類針對教育、醫療與雲端平台的複合型攻擊,只會越來越頻繁且更具破壞力。

Palo Alto 再爆重大 0-day 危機:防火牆成為國家級駭客滲透企業內網的最佳入口

Posted on by blogadmin
Photo Credit: Cyber Security News

資安圈近期高度關注的 CVE-2026-0300 漏洞,正讓全球大量使用 Palo Alto Networks PAN-OS 的企業面臨嚴峻風險。這項存在於 User-ID Authentication Portal(Captive Portal)中的緩衝區溢位漏洞,允許攻擊者在「無需驗證身分」的情況下,直接對暴露於網際網路的防火牆執行遠端程式碼(RCE),甚至取得 root 權限,等同於完全接管整台設備。

更值得警惕的是,Palo Alto Unit 42 已確認,自 2026 年 4 月起,就有疑似國家級背景的威脅組織持續利用此漏洞進行實際攻擊行動,並將其追蹤為 CL-STA-1132。攻擊者在成功入侵後,不僅快速植入 shellcode,更第一時間刪除 nginx crash logs、kernel 訊息與 core dump 等關鍵紀錄,顯示其具備高度成熟的反鑑識能力與長期潛伏意圖。

從目前揭露的攻擊鏈可發現,這已不是單純的「漏洞利用」,而是一場完整的內網滲透作戰。駭客利用防火牆中取得的服務帳號憑證,進一步對 Active Directory 執行枚舉,鎖定 Domain Root 與 DomainDnsZones 等核心資產,並透過 Earthworm、ReverseSocks5 等公開滲透工具建立 SOCKS5 通道與多層跳板,將防火牆直接轉變為進入企業內網的隱蔽入口。

特別值得注意的是,攻擊者幾乎完全使用公開開源工具,而非客製化惡意程式。這種手法近年在 APT 攻擊中越來越常見,因為公開工具更容易避開傳統簽章式偵測機制,同時也讓事件更難與特定組織直接關聯。過去 Earthworm 就曾出現在 Volt Typhoon、APT41 等中國背景威脅行動中,如今再次現身,也讓外界更加關注此次事件背後的國家級攻擊可能性。

美國 CISA 也已緊急將 CVE-2026-0300 納入 Known Exploited Vulnerabilities(KEV)目錄,並要求聯邦機構必須於 2026 年 5 月 9 日前完成風險緩解。由於目前正式修補程式尚未全面釋出,企業若仍將 Authentication Portal 對外開放,等同於持續暴露在高風險狀態之下。

從防禦角度來看,這起事件再次凸顯「邊界設備」早已成為現代攻擊者最優先的滲透目標。防火牆不再只是防禦設備,而是掌握整個企業網路流量、帳號驗證與內網通道的關鍵節點。一旦遭到接管,攻擊者甚至能繞過既有資安政策,直接從最核心的位置向內部環境橫向移動。

對企業而言,目前最重要的應變措施包括:
立即限制 User-ID Authentication Portal 僅允許內部可信區域存取、停用不必要的 Captive Portal 功能、關閉對外 Response Pages、全面檢查防火牆是否存在異常 shellcode 行為、未知 SOCKS 通道、異常 SAML 流量,以及可疑 AD 枚舉活動。同時也應密切關注 Palo Alto 官方更新,並在修補程式發布後第一時間完成更新。

這起事件再次提醒所有企業:當攻擊者開始瞄準防火牆與邊界設備時,代表真正的目標早已不只是單一設備,而是整個企業內網的控制權。

偽裝成勒索軟體,實則資料粉碎機:VECT 2.0 因加密設計失誤,讓檔案永久毀損無法救回

Posted on by blogadmin

資安研究人員近日警告,新興勒索軟體 VECT 2.0 雖以勒索軟體之名對外招募合作夥伴,但實際運作卻更接近一款資料抹除工具(Wiper。原因在於其 Windows、Linux 與 ESXi 版本皆存在重大加密設計缺陷,導致大量檔案在遭攻擊後被永久破壞,甚至連攻擊者自己也無法還原資料。

換句話說,受害企業即使支付贖金,也可能完全拿不回檔案。

超過 131KB 的檔案,幾乎注定無法恢復

Photo Credit: Check Point

根據 Check Point Research 分析,VECT 2.0 對超過 131KB(131,072 bytes 的檔案進行加密時,會將檔案切成四個區塊處理,並分別產生四組隨機 Nonce(一次性隨機值)。

問題在於,惡意程式最終只保存最後一組 Nonce,其餘前三組在加密後直接丟棄,沒有寫入磁碟、註冊表,也未回傳給攻擊者。

由於 ChaCha20 演算法解密時,必須同時具備正確金鑰與對應 Nonce,這代表:

  • 前 75% 的檔案內容永久無法還原
  • 攻擊者也無法製作有效解密工具
  • 支付贖金不等於能復原資料

研究人員直言,這類攻擊已不是傳統勒索,而是披著勒索外衣的不可逆資料摧毀行為

對企業而言,這比勒索更危險

傳統勒索軟體至少仍保留「付款後可能解密」的談判空間,但 VECT 2.0 的設計缺陷,使企業在遭攻擊後失去這條路。

尤其企業最重要的資料,例如:

  • 虛擬機映像檔
  • 資料庫備份檔
  • 財務報表
  • 設計圖檔
  • ERP 與營運系統資料

多半都遠超過 131KB,代表實際受害時,核心營運資料恐直接報銷。

採 RaaS 模式營運,積極招募駭客加盟

VECT 最早於 2025 年底推出,近期重新包裝為 VECT 2.0,並以 Ransomware-as-a-Service(RaaS 模式經營,在地下論壇招募加盟者。

其暗網頁面主打三重勒索模式:

  • 資料竊取(Exfiltration)
  • 檔案加密(Encryption)
  • 勒索施壓(Extortion)

據外部研究指出,新加盟者需支付約 250 美元等值 Monero(XMR 作為入場費,部分特定地區則可免收,顯示其正在快速擴張攻擊生態系。

Windows、Linux、ESXi 全平台攻擊能力

研究顯示,VECT 2.0 已具備跨平台攻擊能力:

Windows 版本

  • 加密本機、外接與網路共享磁碟
  • 針對 44 種安全工具與除錯工具進行對抗
  • 可強制進入 Safe Mode 後持續執行
  • 具備橫向移動腳本模板

ESXi 版本

  • 鎖定虛擬化環境
  • 可透過 SSH 橫向擴散
  • 具備地理圍欄(Geofencing)機制

Linux 版本

  • 與 ESXi 共用主要程式碼架構
  • 具備部分相同行為能力

鎖定 CIS 地區豁免,加拿大?台灣?仍需警戒

VECT 2.0 在執行前會檢查系統是否位於獨立國協(CIS)國家,若判定符合條件,將自動停止加密流程。

這種「不攻擊特定地區」的邏輯,常見於東歐背景勒索集團。不過研究人員指出,VECT 甚至仍將烏克蘭列入排除名單,行為相當罕見,推測可能使用舊版程式碼,或部分程式由 AI 協助生成。

專家觀點:技術粗糙,但威脅仍不可低估

Check Point 認為,VECT 2.0 背後操作者較像是經驗不足的新手集團,而非成熟勒索組織。雖然技術實作粗糙,但其具備:

  • 多平台攻擊能力
  • 招募加盟制度
  • 與地下論壇合作散播
  • 結合供應鏈外洩資料進行攻擊

這代表即使技術不成熟,仍可能對企業造成高度破壞。

台灣企業應立即採取的防禦重點

面對這類「無法談判」的新型勒索威脅,企業防線應從事後應變轉向事前韌性:

建議措施:

  1. 建立離線備份與異地備援
  2. 定期演練災難復原流程(DR Drill)
  3. 強化 AD、VPN、遠端登入存取控管
  4. 監控異常加密、橫向移動與 SSH 活動
  5. 部署 EDR / MDR 即時偵測攻擊行為
  6. 定期修補 Windows、Linux、VMware 漏洞

結語

VECT 2.0 再次提醒企業:不是所有勒索軟體都還有談判空間。

當攻擊者連自己的解密能力都沒有時,支付贖金只會讓損失更大。面對新世代勒索攻擊,真正能保住企業營運的,不是談判技巧,而是備份能力、應變速度與資安韌性。

日本奈良市立醫院遭網路攻擊停擺 從事件看醫療體系資安風險再升溫

Posted on by blogadmin
Photo Credit: YTV

日本奈良市於4月22日證實,市立奈良病院遭受網路攻擊,院內系統因異常通訊觸發防護機制,導致多項關鍵服務中斷。院方在第一時間緊急切斷相關伺服器與外部網路連線,以防止攻擊擴散,但也因此造成電子病歷系統(EMR)無法存取,迫使院方全面暫停急診收治與多數門診服務。

根據官方說明,異常活動最早於21日晚間由網路監控系統偵測到,隨後部分伺服器出現停擺,影響範圍迅速擴大至核心醫療系統。由於電子病歷全面無法調閱,醫療決策基礎受阻,院方基於病患安全考量,於22日凌晨起停止急診服務,並取消非緊急門診與部分手術。雖然備份系統尚未受損,但整體復原時程仍未明朗。

從奈良到台灣:醫療資安事件的共通風險輪廓

這起事件的發展,與台灣過去馬偕紀念醫院 遭「Crazy Hunter」攻擊事件呈現出相似的攻擊輪廓。

在馬偕事件中,攻擊者同樣透過入侵醫療資訊系統,影響內部作業流程,造成服務中斷與營運壓力。兩起事件雖然細節不同,但反映出幾個醫療產業共通的資安弱點:

首先,是醫療系統高度依賴即時可用性(availability。一旦電子病歷或核心系統中斷,不僅是IT問題,而是直接影響臨床判斷與病患安全。

其次,是攻擊面廣且防護難度高。醫院內部同時存在舊系統(legacy systems)、醫療設備(OT)、以及對外連線服務,使得防禦邊界複雜且難以完全封閉。

第三,是事件處理往往需在「營運不中斷」與「資安隔離」之間取捨。奈良醫院選擇立即斷網,雖有效阻止擴散,但同時也造成服務全面停擺,這正是醫療資安最困難的決策點。

不只是攻擊本身,而是「韌性(Resilience)」的考驗

從資安治理角度來看,這類事件的關鍵已不只是「是否被入侵」,而是:

在被攻擊的情況下,是否仍能維持基本醫療服務能力。

奈良醫院此次雖有備份資料,但仍無法即時恢復服務,顯示在營運持續計畫(BCP)與災難復原(DR)機制上,仍存在落差。這一點,也正是全球醫療機構近年持續面臨的挑戰。

趨勢觀察:醫療機構已成高價值攻擊目標

無論是日本奈良,還是台灣馬偕案例,都顯示出同一趨勢:

醫療機構正成為勒索攻擊與進階威脅行動的優先目標。

原因在於:

  • 資料敏感度高(如個資與醫療紀錄),涉及高度隱私保護需求
  • 系統容錯率低(對可用性要求極高,通常無法容忍長時間中斷)
  • 在營運壓力下,組織通常會優先考量快速恢復服務的可行性與資源投入

這使得攻擊者更傾向將醫療產業視為「高報酬目標」。

結語:醫療資安已從IT議題升級為公共安全議題

奈良市立醫院事件再次提醒,醫療資安早已不只是資訊部門的責任,而是涉及公共安全與社會韌性的核心議題。

當電子病歷無法開啟、急診被迫關閉時,影響的不只是系統,而是整個醫療體系的運作能力。對台灣而言,如何從既有案例中強化防禦與應變能力,將是未來醫療資安治理的關鍵。

從潛伏入侵到全面加密:Gentlemen 勒索軟體如何改寫現代攻擊節奏

Posted on by blogadmin
Photo Credit: Check Point

在近期勒索威脅持續升溫的背景下,一項來自 Check Point 的最新調查,揭露了 Gentlemen 勒索軟體行動背後更深層的基礎設施規模。透過分析與代理惡意程式 SystemBC 相關的指揮控制(C2)伺服器,研究人員意外發現,一個橫跨全球、規模超過 1,570 個受害網路的殭屍網路正持續運作中,而這些受害者多數甚至尚未被公開揭露。

這個發現的關鍵,在於 SystemBC 在整個攻擊鏈中的角色。這類惡意程式並不直接執行破壞,而是扮演「隱形通道」的角色,在受害環境中建立 SOCKS5 加密隧道,並透過自訂的 RC4 加密協定與 C2 溝通。換句話說,它讓攻擊者能夠在不被察覺的情況下,長時間維持遠端控制權,同時靈活地下載、投放或甚至直接在記憶體中注入後續惡意載荷。

當這樣的能力被納入 Gentlemen 的攻擊流程,其意義遠遠超過工具本身。自 2025 年中期出現以來,Gentlemen 已迅速成為勒索生態中不可忽視的勢力,採取典型的雙重勒索(double extortion)模式運作,並支援多平台環境,從 Windows 到 Linux、NAS,甚至虛擬化基礎設施皆在其攻擊範圍內。更重要的是,這個組織展現出高度的彈性與商業化特徵,透過 RaaS 模式吸納不同 affiliate,使攻擊手法能快速演進與擴散。

從目前掌握的攻擊跡象來看,Gentlemen 的入侵行為已逐漸標準化。雖然初始入侵向量仍未完全釐清,但普遍認為與對外服務弱點或帳密外洩有關。一旦成功取得立足點,攻擊者便會展開一連串典型的內網操作,包括環境探勘、橫向移動,以及透過 Cobalt Strike 等工具進行載荷部署。在這個過程中,SystemBC 可能被用來建立隱匿通道或進行資料外傳,進一步強化整體行動的持續性與隱蔽性。

Photo Credit: Check Point

值得注意的是,攻擊者在橫向移動過程中,會主動針對防禦機制進行「降級」操作。例如透過 PowerShell 腳本關閉即時防護、調整防毒排除規則、停用防火牆,甚至重新啟用較舊且風險較高的通訊協定(如 SMBv1)。這些動作並非隨機,而是顯示攻擊者對目標環境具有相當程度的理解,並會依據不同防禦產品進行調整。

在最終階段,Gentlemen 會利用群組原則(GPO)在整個網域中同步部署勒索程式,確保加密行動在極短時間內全面展開。針對虛擬化環境,其 ESXi 版本甚至會先關閉虛擬機,確保磁碟可被完整加密,進一步放大營運衝擊。

從更宏觀的角度來看,這起事件也再次印證了一個正在加速的趨勢。根據多家資安廠商觀察,2026 年第一季已出現超過 2,000 起勒索與數位勒索事件,而 Gentlemen 名列活躍群體之一。整體生態正朝向「產業化」發展——攻擊者之間分工明確,共享基礎設施與工具鏈,並透過競爭機制持續優化攻擊效率。

在這樣的環境下,SystemBC 所揭示的不只是單一惡意程式的威脅,而是一個更值得關注的現象:勒索攻擊正在從事件,演變為長期經營的入侵行動。當一個 C2 伺服器背後已經連結上千個企業網路時,真正的風險不再只是「是否被攻擊」,而是「是否早已在不知情的情況下成為其中一部分」。

Microsoft Defender 零時差風暴升級:從 BlueHammer 到 RedSun,一場關於漏洞、回應與信任的拉鋸戰

Posted on by blogadmin
Photo Credit: Cybernews

Microsoft Defender 再次站上資安輿論的風口浪尖。

在微軟於 Patch Tuesday 修補 CVE-2026-33825(BlueHammer) 之後不久,研究員 Chaotic Eclipse 又公開了第二個零時差漏洞 RedSun。這一連串事件不僅讓 Windows Defender 的提權風險浮上檯面,也同時引爆了另一個更敏感的議題:漏洞回報流程與研究者信任之間的裂縫

從資安的角度來看,這已不再只是技術漏洞事件,而是一場「漏洞披露治理」與「供應商回應機制」的現實壓力測試。

BlueHammer(CVE-2026-33825):Defender 提權漏洞的起點

事件最初源自研究員 Chaotic Eclipse 公布的概念驗證漏洞 BlueHammer。

該漏洞後續被多方資安專家與廠商確認,問題核心與 Microsoft Defender 的更新與檔案處理機制相關。當攻擊者成功利用時,可將一般使用者權限提升至 SYSTEM 等級,取得系統最高控制權。

微軟最終將此漏洞納入 CVE-2026-33825,並於本月 Patch Tuesday 正式修補。

從技術層面來看,這類漏洞的本質並不複雜,但其危險性在於:

  • 利用條件低(低權限即可)
  • 不需要使用者互動
  • 可直接進入後滲透階段(Post-Exploitation)
  • SYSTEM 權限意味完整主機控制

也因此,BlueHammer 被視為典型的端點提權風險。

RedSun 登場:第二個 Defender 零時差漏洞

就在 BlueHammer 修補後短時間內,Chaotic Eclipse 再度公開另一個 Defender 相關漏洞,並命名為 RedSun

根據研究內容,RedSun 利用的是 Windows Cloud Files API 與 Defender 檔案處理邏輯之間的互動問題。攻擊者可透過特定帶有標籤屬性的檔案觸發流程,進一步竄改系統檔案並取得 SYSTEM 權限

資安研究社群指出,該漏洞可能影響包含 Windows 10、Windows 11 與 Windows Server 2019 等系統,只要系統中存在 cldapi.dll,且 Microsoft Defender 啟用,即可能暴露於風險之中。

技術細節:從 Cloud Files API 到 SYSTEM 權限的路徑

根據公開分析(包含資安專家 Will Dormann 的觀察),RedSun 的利用鏈涉及多個 Windows 元件之間的競態條件(race condition)與檔案重導機制:

攻擊流程大致如下:

  • 利用 Cloud Files API 寫入具特定標籤的檔案(例如 EICAR 測試字串)
  • 透過 opportunistic locking(oplock)與系統服務產生競態條件
  • 利用 junction / reparse point 進行檔案路徑重導
  • 覆寫系統關鍵檔案(例如 C:\Windows\System32\TieringEngineService.exe)
  • 觸發 Defender / Cloud Infrastructure 以 SYSTEM 權限執行該檔案

最終結果是:攻擊者植入的程式以 SYSTEM 身分執行

這類攻擊的關鍵不在於單一漏洞,而在於 Windows 檔案系統、雲端同步機制與安全防護之間的交互設計。

爭議核心:研究者與微軟之間的信任裂縫

與技術漏洞同樣受到關注的,是 Chaotic Eclipse 公開 RedSun 的動機。

根據其部落格與 GitHub 說明,他對 Microsoft 處理 BlueHammer(CVE-2026-33825)的方式感到不滿,認為官方回應過於制式,並未正面回應研究者的核心訴求。

他指出:

  • BlueHammer 在被媒體報導後才獲得重視
  • 微軟雖然立案,但後續處理趨向駁回
  • MSRC 溝通過程缺乏實質回饋

在情緒性聲明中,他甚至表示:

Microsoft 已經清楚知道漏洞存在,但選擇以制式回應處理研究者。

他同時暗示,未來可能釋出更具破壞性的遠端執行(RCE)漏洞。

雖然這些說法仍屬單方觀點,但已在資安社群引發廣泛討論。

微軟回應:標準化,但資訊有限

針對 RedSun 事件,微軟透過公開管道表示,公司遵循既定流程處理所有回報的安全問題,並會透過更新機制保護用戶。

然而,目前對於 RedSun 是否已內部確認、或是否納入修補排程,外界仍無法得知。

這種「標準但有限資訊」的回應方式,在過往漏洞事件中並不罕見,但在高關注度事件中,往往會加劇社群的不確定性。

資安社群的分歧:技術確認 vs 披露方式

值得注意的是,部分資安專家已在社群平台指出:

  • RedSun 在特定條件下確實可被重現
  • SYSTEM 提權在技術上成立
  • 漏洞與 Cloud Files API 行為密切相關

但同時,也有觀點認為:

  • 公開 PoC 可能加速攻擊武器化
  • 情緒化披露增加企業防禦壓力
  • 缺乏完整協調披露(Coordinated Disclosure)

這使得 RedSun 不僅是技術問題,也變成「漏洞治理模式」的爭議案例。

從 BlueHammer 到 RedSun:正在改變的攻擊現實

如果將這一系列事件放在更大的攻擊模型中觀察,可以看到一個清晰趨勢:

  • 初始入侵仍然依賴傳統手法(釣魚、惡意程式)
  • 提權漏洞(如 Defender 類漏洞)成為標準模組
  • PoC 公開使攻擊門檻進一步下降
  • 攻擊鏈完成時間顯著縮短

換句話說,企業面對的已不只是「漏洞數量」,而是漏洞從披露到武器化的速度正在縮短

結語:漏洞之外,更關鍵的是信任機制

Microsoft Defender 這一連串事件,表面上是技術漏洞,實際上反映的是三個更深層問題:

  • 安全產品本身已成為攻擊面的一部分
  • 漏洞披露流程正在承受信任壓力
  • 攻擊者與防禦者之間的時間差正在消失

當 RedSun 與 BlueHammer 連續出現時,真正值得關注的已不只是 CVE 編號,而是整個資安生態系如何處理「發現 → 回應 → 修補 → 武器化」這段極短但關鍵的時間窗口。

在這個節奏持續加快的環境裡,企業真正需要回答的問題是:

當漏洞被公開的那一刻,你的防禦體系,是已經準備好,還是剛開始反應?