據BleepingComputer的報道，近期Microsoft Defender for Endpoint 被發現存在一項程式邏輯錯誤，導致大量誤報(False Positive)警報，誤將部分 Dell 裝置的 BIOS（基本輸入/輸出系統） 判定為已過期並需要更新。實際上，這些設備上的 BIOS 版本往往已經是最新版本。

此問題已由微軟正式追蹤（事件代號 DZ1163521），並確認原因出在 Defender for Endpoint 的漏洞評估模組。該模組在擷取與判讀 Dell 裝置 BIOS 資料時出現程式錯誤，導致錯誤地將最新韌體版本標示為「存在漏洞」。

對企業與資安團隊的影響

1. 警報疲勞（Alert Fatigue）
   資安分析師需要持續面對大量重複且不正確的 BIOS 警告，可能造成人員對真正的安全威脅逐漸麻木，增加忽略重大資安事件的風險。
2. 營運成本增加
   IT 與 SOC 團隊必須投入額外時間調查、驗證這些錯誤警報，進一步消耗人力與資源，轉移了對實際威脅的防禦與回應。
3. 混淆漏洞管理
   在集中式資安監控架構中，供應商特定的韌體與軟體版本管理本就複雜，這類誤判更凸顯了跨平台漏洞管理與偵測正確性的重要性。

微軟的回應與修復進度

• 微軟已在 2025 年 10 月 2 日 發布更新，確認工程團隊已開發完成修復程式，並正準備在下一次排程更新中進行部署。
• 當前事件狀態仍為 「OPEN」，受影響的組織應持續透過 Microsoft 服務健康看板（Service Health Dashboard） 追蹤 DZ1163521 的後續修復公告。
• 在正式修補程式發布前，系統管理員需 手動驗證 Dell 裝置 BIOS 狀態，以區分真實漏洞與誤判警報。

專家觀點與建議

這起事件並非 Dell BIOS 存在漏洞，而是 微軟防護平台邏輯錯誤 所導致的誤報。從資安專家的角度來看，有以下幾點值得注意：

1. 警報品質與信任度
   偵測引擎若缺乏準確性，將直接影響企業對資安平台的信任度。錯誤率過高不僅消耗資源，更可能使防禦人員錯失真正的威脅跡象。
2. 多層次驗證的重要性
   企業應建立 多重驗證流程，避免僅依賴單一安全平台的自動化結果。例如，透過廠商官方工具或內部稽核程序再次確認 BIOS 或韌體狀態。
3. 事件回顧與風險管理
   每一次平台錯誤事件都是檢討契機。組織需思考如何在 集中式漏洞管理 與 供應商品牌特定管理 之間建立平衡，減少因偵測邏輯差異造成的誤判風險。

總結
本次 Microsoft Defender for Endpoint BIOS 誤判事件，凸顯了集中式資安平台在跨硬體環境中維護偵測準確度的挑戰。雖然微軟已經著手修復，但在修補正式發布前，組織仍需保持警覺，透過人工驗證來避免誤判帶來的營運壓力與安全盲點。

想像一下：公司網路邊界的防火牆，本該是抵禦駭客的第一道防線，但如今卻成了駭客眼中的「入口大門」。這正是 CVE-2024-3400 —— 一個存在於 Palo Alto Networks PAN-OS GlobalProtect 的重大漏洞，正被全球駭客積極掃描與利用。

為什麼這個漏洞這麼危險？

這不是一般的安全弱點。CVE-2024-3400 的 CVSS 風險分數高達 10.0 —— 最高級別。

• 無需帳號、無需驗證：任何人只要透過網路就能嘗試攻擊。
• 任意檔案建立 → 指令注入 → Root 權限：一旦成功，駭客能直接控制防火牆。
• 邊界防禦失守：如果防火牆被攻陷，企業內網幾乎等於完全暴露。

攻擊手法與風險

CVE-2024-3400 涉及 任意檔案建立（Arbitrary File Creation） 的缺陷，攻擊者可藉此進一步進行 OS 指令注入（Command Injection），最終取得防火牆的 root 等級權限。

據Cybersecurity News報道，從 2025 年 9 月下旬開始，全球蜜罐偵測到成千上萬次針對 PAN-OS SSL VPN Portal 的掃描與連線嘗試。

• SANS Technology Institute 公布的一個案例顯示，來源 IP 141.98.82.26 多次向 /ssl-vpn/hipreport.esp 發送惡意 POST 請求，利用 Session ID 驗證不足 的弱點。
• 攻擊流程中，駭客會在 Cookie 標頭 中插入惡意指令，成功寫入檔案後，再以 GET 請求驗證檔案是否存在，並進一步將惡意檔案移動至可執行的目錄，實現系統層級的控制。

這些自動化攻擊行為突顯了該漏洞的嚴重性與被武器化的速度。

誰會受影響？

只要是 啟用了 GlobalProtect Gateway 或 Portal 的以下 PAN-OS 版本，都是攻擊目標：

• PAN-OS 10.2：10.2.9-h1 之前
• PAN-OS 11.0：11.0.4-h1 之前
• PAN-OS 11.1：11.1.2-h3 之前

值得注意的是，Cloud NGFW 與 Prisma Access 不受影響，風險主要鎖定在 內部部署的防火牆設備。

立即行動：企業該怎麼做？

1. 馬上更新修補：升級至最新安全版本（10.2.9-h1、11.0.4-h1、11.1.2-h3）。
2. 啟用威脅防禦簽章：套用 Palo Alto Networks 提供的簽章（95187、95189、95191）。
3. 檢查日誌異常：查看 GPSvc logs，若 Session ID 中出現檔案路徑或 Shell 指令，就代表可能遭到攻擊。
4. 系統檢視：確認 GlobalProtect 設定，並檢查 /var/appweb/sslvpndocs 是否有可疑檔案。

專家提醒

這起漏洞凸顯了幾個關鍵資安教訓：

• 零門檻攻擊，人人都是目標：這不是鎖定高階標的的 APT，而是任何暴露在網路上的設備都可能中招。
• 防火牆 ≠ 絕對安全：邊界設備一旦被奪權，後果比一般伺服器更嚴重。
• 漏洞管理與快速修補是關鍵：面對已被武器化的漏洞，「速度」就是防禦成敗的關鍵。

結語：CVE-2024-3400 已被駭客大規模自動化攻擊利用，若還未修補，等於主動把企業大門打開。現在正是檢查系統、立即更新與強化監控的最好時機。別等到發現防火牆變成「駭客的控制中心」時才後悔。

在全球資安戰場上，電子郵件與通訊系統仍然是最具戰略價值的目標，近期 Palo Alto Networks 旗下 Unit 42 的研究揭露，中國國家支持的駭客組織 Phantom Taurus 已持續三年以上，入侵並控制 Microsoft Exchange 郵件伺服器，長期竊取各國外交部、使館與國防相關單位的敏感資料。

這場長期的間諜行動，不僅展現了 APT（Advanced Persistent Threat，高級持續性威脅）組織的典型特徵，也提醒防禦方必須重新檢視 核心通訊基礎設施的安全性。

Phantom Taurus 的戰略目標與攻擊範圍

Unit 42 觀察到，Phantom Taurus 主要目標包括：

• 外交部門與駐外使館：蒐集外交談判、國際會議、戰略合作等敏感資訊。
• 國防與軍事通訊：追蹤軍事演習、武器交易、區域安全動態。
• 區域戰略要地：特別是 阿富汗、巴基斯坦、中東國家，這些皆屬北京長期關注的地緣政治熱點。

研究指出，許多攻擊事件發生在 國際重大事件或軍事局勢變動之前後，顯示該組織的情報行動與中國國家戰略存在高度一致性。

攻擊鏈解析：從 MS Exchange 到 IIS

Phantom Taurus 並非依賴單一工具，而是建立了一整套長期滲透的技術鏈：

1. 初始滲透

• 利用 Exchange 伺服器漏洞：APT 攻擊常透過已知或 0-day 漏洞，取得對郵件伺服器的存取權限。
• 部署後門程式：植入持久化存取的後門，確保即使系統修補後，仍能繼續存取。

2. 情資蒐集

• 鎖定郵件內容：攻擊者會特別搜尋與外交、軍事活動相關的電子郵件。
• 擴展到資料庫：研究團隊發現攻擊者編寫 自訂 SQL 腳本，能動態查詢資料庫並匯出資料，表示其目標不僅限於郵件，而是擴大至內部業務資料。

3. 維持隱匿性

• NET-STAR 惡意軟體：一個新發現的工具組，專攻 Microsoft IIS 伺服器。
• IIServerCore 後門：採取 無檔案(fileless) 技術，程式直接執行於 IIS 記憶體中，不會留下檔案於磁碟，因此傳統防毒與檔案掃描極難偵測。
• 動態策略切換：一旦發現防禦方開始偵測，Phantom Taurus 會迅速更換工具或基礎設施，增加追蹤難度。

Phantom Taurus 與其他中國 APT 的連結

Unit 42 指出，Phantom Taurus 的基礎設施與戰術技術（TTPs）與 Mustang Panda、Winnti 等中國 APT 組織有重疊跡象。這代表其背後可能存在 共享基礎設施 或 國家級協作。

對防禦者而言，這意味著單一事件不能只視為孤立攻擊，而是必須放在更大範圍的 中國網路作戰生態系 中去理解。

防禦啟示：如何因應長期滲透威脅

Phantom Taurus 的案例對全球資安社群提出幾項重要警示：

1. 郵件與通訊伺服器是戰略要害
   • Exchange、O365、IIS 等服務，往往是組織日常運作的核心，卻同時是 APT 的首要目標。
   • 建議：持續進行漏洞修補，並強化郵件伺服器的行為監控。
2. APT 攻擊並非一次性，而是長期性
   • 攻擊者可能潛伏數月甚至數年，持續擷取資訊。
   • 建議：導入 持續威脅獵捕 (Threat Hunting)，主動尋找異常行為，而非僅依賴警報回應。
3. 無檔案攻擊是新常態
   • 傳統防毒依賴檔案特徵比對，對於記憶體中的惡意程式偵測能力有限。
   • 建議：部署 EDR/XDR 解決方案，針對記憶體層級行為進行監控。
4. 情報導向的防禦必不可少
   • 單靠技術防禦不足，需結合威脅情報（Threat Intelligence），理解攻擊者的戰術、基礎設施與攻擊目標。
   • 建議：建立 情資共享機制，與產業、政府單位合作，以提升整體防禦能力。

Cisco 近日發布緊急安全通告，要求用戶立即修補 Cisco Secure Firewall Adaptive Security Appliance (ASA) 與 Cisco Secure Firewall Threat Defense (FTD) 軟體中兩項重大零日漏洞。根據 Cisco 的說明，這些漏洞已在實際環境中被利用，可能對企業與政府機構的網路邊界設備造成嚴重威脅。

兩大零日漏洞重點

• CVE-2025-20333 (CVSS 9.9)
  漏洞源於 HTTP(S) 請求對使用者輸入驗證不當。攻擊者若擁有合法 VPN 帳號，透過特製 HTTP 請求即可在受影響設備上以 root 權限執行任意程式碼，風險極高。
• CVE-2025-20362 (CVSS 6.5)
  同樣因輸入驗證缺陷，允許未經驗證的遠端攻擊者存取受限 URL 端點，輕易繞過認證控制。

Cisco 表示，目前已觀察到針對這兩個漏洞的 嘗試性利用行為，並懷疑駭客可能將兩漏洞 串連使用，以突破認證機制並執行惡意程式。

國際資安單位協助調查

此次漏洞事件獲得多國政府資安單位支援，包括：

• 澳洲資安局 (ASD / ACSC)
• 加拿大網路安全中心
• 英國 NCSC
• 美國 CISA

美國 CISA 更發布緊急指令 (ED 25-03)，要求聯邦機構 24 小時內檢測與修補，並將兩漏洞納入 已知遭利用漏洞 (KEV) 清單。CISA 警告，APT 攻擊者已展開大規模攻擊，利用零日漏洞對 ASA 設備進行未經授權的遠端程式碼執行，甚至修改 ROM 以在重啟或升級後持續存在，對受害網路構成重大風險。

攻擊活動已被追蹤至代號 ArcaneDoor 的威脅集團，背後行為者為 UAT4356 (又名 Storm-1849)。該集團過去曾針對多家廠商的邊界設備投放惡意程式，例如 Line Runner 與 Line Dancer。

其他相關漏洞與攻擊趨勢

Cisco 同步修補了第三個高危漏洞 CVE-2025-20363，存在於防火牆與 Cisco IOS 軟體中，允許未經驗證的攻擊者遠端執行任意程式碼。

資安公司 GreyNoise 監測到，2025 年 8 月底曾有多達 25,000 個獨立 IP 針對 ASA 登入入口及 Cisco IOS Telnet/SSH 服務進行大規模掃描。過往統計顯示，類似偵察行為在 80% 情況下會伴隨新漏洞公開與攻擊爆發。

此外，Cisco 近期亦釋出針對 Cisco IOS / IOS XE 軟體的高風險零日漏洞修補，並於今年五月提醒使用者，Wireless LAN Controller 存在極高風險漏洞，可被未經授權的攻擊者遠端接管設備。

資安專家觀點與防護建議

這波針對 Cisco ASA/FTD 的攻擊事件凸顯了 邊界防火牆與網路設備的高價值目標特性。APT 攻擊者已掌握零日漏洞與 ROM 持久化技術，使得受影響設備在被攻陷後可持續存在控制程式，對企業及政府網路防護造成重大挑戰。

建議措施：

1. 立即更新：所有 Cisco ASA/FTD 設備應升級至官方修補版本。
2. 檢查異常行為：強化設備日誌與流量監控，特別注意未授權存取、異常重啟或 ROM 修改跡象。
3. 限制暴露面：避免將管理介面直接暴露於公網，並限制可存取來源 IP。
4. 應變演練：將邊界設備納入資安演練，確保遭入侵時能快速隔離與復原。

結語
Cisco ASA/FTD 零日漏洞事件已被證實為大規模、持續性攻擊，涉及高度進階威脅行為者 (APT)。所有使用相關設備的單位應立即採取行動完成修補，防止網路資安遭受重創。

過去這個週末，多個歐洲主要機場的 線上報到與登機系統 遭到勒索軟體攻擊，影響 倫敦希斯洛、布魯塞爾、柏林布蘭登堡 等機場，導致航班大規模延誤或取消。攻擊自週五(9/19)深夜開始，迫使地勤人員轉為 人工報到與登機作業，造成長龍與數千名旅客滯留。

攻擊目標：Collins Aerospace MUSE 系統

此次攻擊鎖定了 Collins Aerospace，美國大型航太與國防科技公司，隸屬於 RTX (前 Raytheon Technologies)。駭客入侵其 MUSE (Multi-User System Environment) 軟體，該系統為多家航空公司提供共用報到與登機平台。

根據BBC的報道，希斯洛機場內部文件指出，超過 1,000 台電腦 可能已遭破壞。Collins Aerospace 被迫 重建與重新上線系統，但仍發現駭客存在。公司建議航空公司人員保持登入狀態，勿關閉系統。

事件影響

• 航班延誤或取消：歐洲超過 100 班航班 受影響。
• 人工作業：機場被迫回到人工報到，顯示人力流程在現代航空規模下的侷限。
• 旅客影響：數千名旅客面臨長時間等待、錯過航班等混亂情況。

ENISA 與英國 NCSC 表示，已介入調查，並與執法單位合作。Collins Aerospace 正積極修復系統，恢復正常運作。

歷史背景：BianLian 勒索集團

這並非 Collins Aerospace 首次遭攻擊。2023 年，BianLian 勒索集團 曾聲稱竊取 Collins Aerospace 20GB 資料，雖然公司未公開確認。這顯示航空供應商持續成為駭客鎖定目標。

專家觀點

1. 第三方依賴即關鍵風險
   Keeper Security 的CEO-Darren Guccione 表示：「單一供應商的技術事件可能迅速波及多個機場。」
2. 共用系統造成連鎖故障
   KnowBe4 安全專家 Javvad Malik 指出：「航空業高度依賴共用系統，一旦故障，會造成錯過連接航班、服務中斷，迫使員工使用人工作業。」
3. 資安投資仍有漏洞
   雖然投入大量資金購置先進工具，但分散管理與重疊控管容易造成漏洞。ThreatSpike CEO Adam Blake 強調，行業在保護關鍵運營上仍不足。
4. 航空業威脅持續升高
   根據 Check Point 的研究，航空業每週面臨超過 1,100 起攻擊，8 月甚至超過 1,250 起。駭客持續鎖定航空供應商，顯示此領域風險高度集中。
5. 營運與人力成本高
   雖然人工作業能暫時因應，但事件凸顯對第三方依賴的即時且高度可見風險。

重要啟示

• 強化第三方資安稽核：嚴格評估供應商資安實務，並強制遵守標準。
• 投資營運韌性：建立可在資安事件下維持運作的備援與復原系統。
• 跨國協作與情報分享：政府、航空公司與科技供應商需共享威脅情報，降低連鎖影響。
• 持續監控與快速回應：導入進階監控、主動威脅偵測與快速事件處理能力。

此次事件不只是暫時中斷，更是 全球航空業的警鐘。隨著航空業數位化加速，資安韌性必須與營運創新同步發展，以保障旅客、基礎設施及信任。

摘要（Executive Summary）

自 2025 年 3 月起，資安研究單位 Counter Threat Unit（CTU）持續追蹤一個高技術的駭客組織，CTU 將其命名為 GOLD SALEM（微軟稱作 Storm-2603）。該組織運用多重漏洞鏈（尤其針對 SharePoint 等對外服務）、自帶漏洞驅動程式（BYOVD）以及合法工具濫用的策略，成功在多個企業環境中建立持久後門並散播其自製的 Warlock 勒索軟體。截至 2025 年 9 月中旬，GOLD SALEM 已在其暗網外洩平台公開約 60 起受害案例，並透過倒數計時與資料販售進行施壓與牟利。

事件概況與地理分布

• 啟動時間：觀察期自 2025 年 3 月起顯著增加活動；2025 年 6 月起於地下論壇出現尋求漏洞與繞過 EDR 的貼文。
• 受害者分布：受害組織涵蓋北美、歐洲與南美地區，範圍從中小企業、政府機構到跨國企業。
• 外洩與變現：GOLD SALEM 在 Tor 平台分批發布外洩名單，並設定 12–14 天倒數期限；截至 9 月 16 日，僅約 32% 的案件公開資料，45% 的案件據稱已轉售私買家，顯示其多元變現路徑。
• 局部例外：該組織先前刻意避開中國與俄羅斯機構，但自 2025 年 9 月 8 日起出現將俄羅斯能源工程服務商列入外洩名單的情形，顯示其目標選擇正演變，不受傳統地域限制。

攻擊手法與技術細節（Technical Deep Dive）

1. 初始入侵 — 漏洞鏈（ToolShell）

GOLD SALEM 以 ToolShell 類型的多漏洞串接攻擊為主，目標鎖定公開暴露的企業應用（例如 Microsoft SharePoint），具體涉及 CVE-2025-49704、CVE-2025-49706、CVE-2025-53770、CVE-2025-53771 等多個漏洞，藉以上傳/植入 ASPX Web Shell。

2. 建立持久化後門

透過已植入的 ASPX Web Shell，下行指令下載以 Golang 編譯的 WebSockets 後門（例如 wsocks.exe.txt），以建立持久且具彈性的 C2 通道，方便長期遠端控制與資料外洩。

3. 繞過防護 — BYOVD（Bring Your Own Vulnerable Driver）

攻擊者透過載入存在已知弱點的驅動程式（CTU 報告範例為百度防毒驅動 CVE-2024-51324），並將其偽裝為系統元件名稱（例如 googleApiUtil64.sys），以終止或干擾防護 agent，達成對 EDR 的繞過或削弱。

4. 憑證竊取與橫向擴散

採用 Mimikatz 從 LSASS 記憶體獲取憑證，並依序使用 PsExec、Impacket、Active Directory Group Policy（GPO）等合法管理機制進行橫向移動與擴散，最終以 GPO 或遠端執行工具大規模部署勒索載具。

5. 合法工具的惡意重用

GOLD SALEM 對合法工具的惡意濫用值得注意：例如濫用開源取證/管理工具 Velociraptor 與 Visual Studio Code 的遠端功能建立隧道，令可疑活動更難以透過傳統特徵辨識法偵測。

已知指標（IoCs） — 建議即刻匯入防護系統

ASPX Web Shell

• MD5: bfbeac96a385b1e5643ec0752b132506
• SHA1: de25be0afd53a1d274eec02e5303622fc8e7dbd5
• SHA256: 996c7bcec3c12c3462220fc2c19d61ccc039005ef

WebSockets 後門（wsocks.exe.txt）

• MD5: b3a099ecca79503a0e4a154bd85d3e6b
• SHA1: 6d0cc6349a9510b52394ad3436d1656ec5fba6a
• SHA256: a204a48496b54bcb7ae171ad435997b92eb746b5

建議：立即將上述雜湊值匯入 EDR/AV 的黑名單與 SIEM 告警規則，並在 Proxy、IDS/IPS、Firewall 與網路端點日誌中檢索相關下載來源（如 filebin 類服務）與可疑 WebSocket 連線紀錄。

偵測與回應（Detection & Response）— 可執行措施

網路偵測（Network）

• 偵測與封鎖非授權的長時間 WebSocket 連線，特別是來源為可疑域名或用非常態 port。
• 監控外發（egress）流量的 TLS SNI 與 HTTP Host 是否一致，檢測可能的資料外洩。
• 在 Proxy/Firewall 設定對常見檔案分享平台（filebin 等）下載的監控與警示。

端點/伺服器偵測（Endpoint / Host）

• 啟用檔案完整性監控（FIM），特別監控 webroot 與 IIS 檔案的新增/變更。
• 監控驅動載入事件，禁止未簽章或未知來源的 kernel driver 載入。
• 啟用 Sysmon 與 Process Access 監控，以偵測針對 LSASS 的記憶體讀取行為。
• 強化 PowerShell 的 ScriptBlockLogging 與模組活動監控，偵測可疑下載命令列（例如指向 filebin 的 wget/curl/powershell 下載）。

日誌與行為分析（SIEM / Hunting）

• 建立針對 SharePoint 非預期 POST/PUT（含大量 base64 或可執行 payload）的告警規則。
• 偵測短時間內對 ADMIN$、C$ 的多重遠端存取，以及 GPO（AD）物件異動（Event ID: 5136 等）。
• 設計行為分析規則（例如合法工具在非授權時間或來源被呼叫）。

事件應變（IR）要點

1. 若發現 Web Shell 或已知 IoC，立即隔離受影響主機網路（保留證據）。
2. 採集記憶體與磁碟映像（含 LSASS dump），蒐證以利根源分析。
3. 檢查 AD 是否有被濫用的管理憑證或 GPO 修改紀錄，封鎖被盜憑證。
4. 確認備份狀態並評估是否有資料外洩（exfiltration），啟動通報與法規義務（如適用）。
5. 在復原前確認根本原因已緊急修補與防護強化完成。

防護建議（Practical Recommendations）

短期（立即採行）

1. 掃描與修補：針對已知 CVE（特別 SharePoint、ESXi、Veeam）執行緊急修補或臨時阻擋設定。
2. 匯入 IoC：將上述雜湊值、可疑域名與 URL 匯入防護設備與 SIEM 的偵測規則。
3. 限制驅動載入：在可行範圍內啟用 kernel driver signing enforcement；審核近期 driver 變更。
4. 啟動監控：在關鍵伺服器啟用 Sysmon、FIM 與 PowerShell 日誌，立即建立高權限帳號異常行為告警。

中期（1–3 個月）

1. 建立或擴大威脅獵捕團隊（Threat Hunting），訂製可疑合法工具濫用的偵測工作流。
2. 導入零信任原則：分段網路、最小權限、Just-In-Time（JIT）管理權限。
3. 加強 AD 與 GPO 的稽核與變更控制，確保所有管理變更有可追溯紀錄。

長期（3 個月以上）

1. 建立 24/7 的 SOC 能力或與可信 MSSP 合作，持續關注新興 IoC 與攻擊技術演化。
2. 導入 immutable / air-gapped 備份策略並定期驗證還原流程。
3. 持續進行 Tabletop 演練與完整 IR runbook 的驗證。

專家觀點（Conclusion）

GOLD SALEM 的作為展示了現代勒索攻擊的一個趨勢：以漏洞串接、驅動程式濫用與合法工具惡用構成一條難以用單一防線阻擋的攻擊鏈。因此，組織必須從「簽章式偵測」轉向「行為式監控 + 持續獵捕 + 風險導向修補」的防護模式。對於高風險對外服務（例如 SharePoint、ESXi 等），應優先納入監控與強化防護策略，避免成為攻擊鏈的入口。

「精品能展現外在的華麗，資安則守護內在的核心。」這樣的對比，恰巧映照出近日震撼時尚圈的資安事件。

2025 年9月16 日英國廣播公司（BBC）報導， 6 月，法國時尚巨頭 Kering開雲集團（旗下擁有 Gucci、Balenciaga、Alexander McQueen、Brioni 等知名品牌）證實遭駭。數百萬名尊貴客戶的個資，包括 姓名、生日、電話、電子郵件與消費金額，恐已外流至暗網。雖然金融交易資料未受影響，但對這群高端客戶而言，風險卻遠不止於此。

ShinyHunters：暗網的「時尚獵人」

這次事件的主角，是臭名昭著的駭客組織 ShinyHunters。

• 早在 2024 年，他們就聲稱成功入侵 Gucci，竊得 4,300 萬筆客戶資料。
• 不久後，Balenciaga、Alexander McQueen 及 Brioni 等品牌共 1,300 萬筆客戶相關紀錄 也被掌握。

更令人驚訝的是，ShinyHunters 公開宣稱他們是透過 滲透 Salesforce CRM 系統得手。這意味著駭客不只是「破門而入」，而是直接鑽進了品牌核心的客戶資料庫。

據資安媒體DataBreaches.Net的報道，談判紀錄顯示，Balenciaga 一度與駭客展開贖金討論，金額高達 75 萬歐元比特幣。然而，隨著法國警方逮捕疑似 BreachForums 與 ShinyHunters 成員，談判陷入膠著，雙方持續拉鋸。

開雲集團則公開表示：「公司並未與駭客談判，外洩範圍有限。」——但對消費者而言，這樣的「有限」仍舊是巨大的隱憂。

奢華品牌客戶 = 駭客的「高價標靶」

這些外洩的資訊雖不包含信用卡號碼，卻對駭客而言仍是金礦：

• 精準詐騙：高消費族群極易成為釣魚攻擊的目標，尤其是假冒「品牌客服」的郵件或簡訊。
• 社交工程：地址與消費紀錄可能被用來「量身訂做」詐騙話術，甚至鎖定特定 VIP 客戶。
• 假冒安全通知：駭客可能冒充 Gucci 或 Balenciaga 的資安團隊，誘使客戶點擊惡意連結。

對駭客來說，這些資料的價值不僅在於「能賣多少錢」，而是能夠 打開進入豪華社群的後門。

專家提醒：守護您的數位奢華人生

即便身處頂級時尚圈，您的個資仍可能成為駭客的目標。資安專家建議：

1. 保持警覺心
   若收到自稱 Gucci 或 Balenciaga 的通知，無論是郵件、簡訊或彈跳通知，都不要輕易點擊連結或下載附件。先確認來源再行操作，避免成為釣魚攻擊的受害者。
2. 小心 SMS 詐騙與假冒來電
   外洩的電話號碼可能引發針對性簡訊詐騙或假冒客服來電，切記不要隨意提供敏感資訊，遇到可疑訊息務必先核實。
3. 主動監控個資流向
   考慮使用暗網監控或資安服務，掌握個資是否在地下市場出現，及早發現風險並採取防護措施。
4. 品牌端加強防禦策略
   對 Kering 等跨國奢華品牌而言，導入 零信任架構 (Zero Trust) 及 欺敵技術 (Deception) 是保護 CRM 與雲端系統的關鍵，能有效降低駭客滲透風險。

結語

這場風暴告訴我們一個殘酷的事實：
駭客並不在乎您穿的是不是 Gucci，真正吸引他們的是「資料」本身。

對消費者來說，提升資安意識是唯一能抵抗詐騙的護身符；
對品牌來說，唯有將資安視為「奢華體驗的一部分」，才能真正守護信任與尊榮。

勒索軟體集團 Akira 再度活躍，正鎖定 CVE-2024-40766 —— 一個早在 2024 年 8 月 就被揭露的 SonicWall 防火牆高風險漏洞（CVSS 9.3）。根據 Rapid7 最新調查，攻擊者極可能同時利用 三種攻擊途徑，結合弱密碼管理與組態錯誤，成功入侵目標環境並展開勒索攻擊。

漏洞背景

CVE-2024-40766 為 存取控制不當 弱點，存在於 SonicOS 管理介面中。雖然 SonicWall 已於 2024 年釋出修補程式，美國 CISA 也在同年將其納入 已知被利用漏洞清單（KEV），但許多組織仍因修補不完整而暴露風險。

2025 年 8 月，隨著 Akira 攻擊激增，鎖定 啟用 SSLVPN 的 Gen 7 防火牆，市場一度懷疑存在零日漏洞。SonicWall 經調查後確認，近期攻擊並非零日，而是利用已知漏洞 CVE-2024-40766，並且與密碼未輪替及預設組態風險高度相關。

三大攻擊途徑

Rapid7 報告指出，Akira 攻擊鏈條涉及下列三個風險組合：

1. 未修補的 SonicWall 設備，持續暴露於 CVE-2024-40766。
2. 密碼未重設 —— 尤其是從 Gen 6 遷移至 Gen 7 防火牆時，若使用者憑證沿用未更換，攻擊者可直接濫用。
3. 不安全的預設組態，包括：
   • SSLVPN Default Users Group 權限過寬，特別在 LDAP 環境下更易被濫用。
   • Virtual Office Portal 對外開放，若帳密外洩，攻擊者可自行設定 MFA 或 TOTP，進一步維持存取權限。

影響情況

SonicWall 目前調查的相關事件不到 40 件，多數與防火牆遷移後未重設密碼有關。然而，Akira 的再次崛起清楚凸顯：漏洞修補不完整，將使風險持續存在，即使漏洞已公開超過一年。

防護建議

SonicWall 與 Rapid7 建議企業應立即採取以下措施：

• 升級至最新韌體（7.3.0 以上）
• 全面重設使用者密碼，特別是在防火牆遷移後
• 啟用多因子驗證（MFA）
• 限制並監控 Virtual Office Portal，僅允許可信任或內網存取
• 檢視並調整 SSLVPN 預設群組權限，避免過度開放

專家觀點

此次事件再次證明，單純打修補並不足以防禦。若缺乏密碼管理、MFA 與組態強化，舊漏洞仍會成為攻擊者的武器。Akira 的案例提醒我們：資安防護必須落實「完整修補」與「安全強化」，否則殘留的弱點將持續成為勒索軟體肆虐的入口。

最近，FortiGuard Labs 的研究人員揭露了一個新的惡意程式 MostereRAT，專門鎖定 Windows 使用者，並被評為「高危險等級」威脅。不同於一般木馬，MostereRAT 會直接幫駭客開啟「全功能遠端控制權」，就像對方坐在你的電腦前一樣。

攻擊怎麼來？

這波攻擊最先出現在日本，駭客會寄送看似正常的商業信件，裡面藏有惡意連結。只要受害者一點擊，惡意檔案就會被下載並誘使開啟，進而觸發 MostereRAT 的感染流程。

從社交工程的角度來看，這是典型的「以假亂真」策略：駭客不需要破解防火牆，只要利用人性的疏忽，就能把惡意程式送進企業內網。

為什麼很難被抓到？

MostereRAT 的一大特點，是使用了 易語言（EPL） 來撰寫。這種程式語言在資安領域不常見，讓惡意程式分析變得更複雜。
更進一步，MostereRAT 還會：

• 關閉防毒軟體、封鎖網路流量
• 停用 Windows 內建安全功能
• 使用 雙向 TLS（mTLS） 加密與 C2 溝通，讓流量像「暗語」一樣難以攔截

這意味著傳統防禦工具很難快速發現它的行蹤。

合法軟體變成惡意武器

一旦成功滲入，MostereRAT 會安裝 AnyDesk 與 TightVNC 這些合法遠端工具。一般人用這些軟體是為了遠距辦公，但駭客卻用來偷偷接管電腦。

這讓他們可以：

• 完全操控受害者系統
• 竊取檔案或投放更多惡意程式
• 創建隱藏管理員帳號，持續保持後門

換句話說，你以為把惡意程式刪掉了，但駭客早已另闢管道繼續潛伏。

專家怎麼看？

FortiGuard Labs 指出，MostereRAT 的前身可追溯至 2020 年的銀行木馬，這次演化成遠端存取木馬（RAT），攻擊手法更完整、威脅更嚴重。

資安專家建議：

• 提高釣魚意識：教育員工別亂點郵件連結，尤其是假冒商業往來的內容。
• 加強瀏覽器防護：禁止自動下載不明檔案，讓使用者必須手動確認。
• 落實最小權限原則：避免帳號權限過高，降低駭客橫向移動的機會。
• 監控合法工具濫用：若公司並不需要 AnyDesk、TightVNC，應該封鎖或限制使用。

結論

MostereRAT 不是單純的木馬，它是一個「偽裝成合法工具的資安幽靈」。結合釣魚攻擊、隱匿語言、強化加密與合法軟體濫用，這波威脅再次提醒我們：駭客不一定靠突破技術防線，有時候，只要利用人性與常見工具，就能完成入侵。