最近，國際知名資安廠商 Zscaler 也被捲入了一起供應鏈攻擊事件。這起事件的源頭來自 Salesloft Drift —— 一款和 Salesforce 整合的行銷工具。駭客藉由竊取 OAuth 憑證，成功繞過安全檢查，進而存取多家 Salesforce 客戶的資料，其中就包含了 Zscaler。

發生了什麼事？

Zscaler 在公告中強調：

• 攻擊者透過 Drift 的憑證，取得對 Zscaler Salesforce 資料的有限存取權限。
• 受影響的資料包含 姓名、公司電子郵件、職稱、電話、地區資訊、產品授權，以及 部分技術支援案例內容。
• 值得注意的是，Zscaler 表示其 產品、服務與核心系統均未遭入侵或受影響。

目前 Zscaler 沒有發現駭客濫用資料的跡象，但仍已全面撤銷 Drift 存取權限、重置 API token，並與 Salesforce 聯合調查。

影響不只 Zscaler

Google 威脅情報團隊（GTIG）與 Mandiant 的調查發現，這次的 Salesloft Drift 憑證外洩範圍比預期更大。

• 不僅 Salesforce，用戶與 Drift 相關的其他整合也都可能受害。
• 8 月 9 日，駭客甚至利用被竊的 Drift 憑證，讀取了少量 Google Workspace 郵件。
• Google 已經通知受影響帳號，並緊急撤銷 Drift OAuth token。

背後的攻擊團隊 UNC6395，在 8 月 8 日到 18 日期間，系統性地從 Salesforce 客戶匯出大量資料，包括 AWS 金鑰、Snowflake token 等雲端敏感憑證。駭客甚至會刪除查詢紀錄，讓異常更難被發現。

Salesforce 與 Salesloft 的反應

• Salesloft 已經在 8 月 20 日撤銷所有 Drift–Salesforce 整合，並通知受影響的客戶。
• Salesforce 則強調，受影響的只是少數客戶，並已下架 Drift 應用並撤銷 token。

為什麼這件事值得關注？

這起事件再次提醒我們：

1. 第三方整合的風險不可忽視 —— 企業即使本身防護做得再好，也可能因合作夥伴的漏洞而被波及。
2. OAuth 憑證是一把「萬能鑰匙」 —— 一旦被竊，駭客可以完全跳過密碼驗證。
3. 外洩的聯絡資訊可能成為釣魚武器 —— 攻擊者很可能會設計更逼真的釣魚郵件，引誘員工上鉤。

我們的建議

• 立即檢查 Drift 整合：若企業曾經使用 Drift，請確認是否仍連接到 Salesforce 或 Google Workspace，並撤銷或更新憑證。
• 最小化權限：確保 API 或 SaaS 整合僅能存取必要的功能。
• 加強監控與日誌檢查：留意是否有異常的 API 或 OAuth token 使用。
• 教育員工：提醒同仁警惕任何釣魚郵件或社交工程攻擊。

這起 Zscaler 事件不是單一個案，而是整個產業面臨的警訊：在 SaaS 時代，供應鏈整合既帶來便利，也放大了風險。企業若要真正提升資安韌性，就必須把第三方 SaaS 安全納入防禦策略之中。

在資安領域，我們常提醒：「沒有維護的系統，等同於敞開的大門。」
這並不是誇張的比喻，最近一起針對台灣的間諜攻擊，就活生生展現了這個風險。

遺棄的「搜狗注音」伺服器，成為駭客的武器

根據Trend Micro的研究，輸入法軟體 搜狗注音 (Sogou Zhuyin) 在 2019 年就停止更新，但它的更新伺服器與域名卻被遺棄在網路上。2024 年 10 月，駭客註冊並接管了這個域名，隨後利用自動更新機制，將惡意程式透過「官方更新」的名義植入使用者電腦。

到 2025 年，這起行動被命名為 「TAOTH」，受害者涵蓋異議人士、記者、研究人員與商界領袖，其中 台灣占了近一半（49%），成為最主要目標。

更嚴重的是，駭客甚至動手腳，把「維基百科繁體中文」條目的下載連結，改成導向惡意網站。這意味著，連一般民眾在查詢常見工具時，都可能誤入陷阱。

攻擊鏈是怎麼展開的？

1. 使用者安裝正常版本的搜狗注音，看似毫無異狀。
2. 幾個小時後，自動更新程式 ZhuyinUp.exe 被觸發，從已被駭客接管的伺服器下載惡意設定。
3. 惡意軟體（如 C6DOOR、GTELAM、DESFY、TOSHIS）隨即植入，開始執行資訊蒐集與後門控制。

這些惡意程式有的專門蒐集檔案名稱，有的會把 PDF、Word、Excel 文件清單上傳到 Google Drive，甚至還能建立遠端後門，截圖、操控電腦、注入 shellcode。

換句話說，受害者可能完全沒有意識到自己電腦正在默默「回報資料」給攻擊者。

釣魚攻擊同步進行

除了劫持更新伺服器，TAOTH 還透過 魚叉式釣魚郵件 散布惡意載入器 TOSHIS。

• 有些釣魚頁面假裝成 免費優惠券或 PDF 閱讀器，引導受害者授權惡意的 OAuth App。
• 另一類則是假冒 騰訊雲的下載頁面，讓人下載包含木馬的壓縮檔。

這些攻擊都利用「看似正常的雲端服務」來隱藏行蹤，使偵測更加困難。

為什麼台灣要特別小心？

這起行動凸顯一個現實：

• 台灣使用者常下載、安裝中國來源的輸入法、影音或免費工具。
• 如果這些服務停用卻沒有被妥善下架，就可能成為駭客「接管再利用」的絕佳跳板。

對台灣而言，這不只是單純的惡意軟體案例，而是 高度針對性的間諜行動，目的是長期監控與情報蒐集。

我們能學到什麼？

1. 停用軟體≠安全
   如果某個應用程式不再更新，最好卸載或替換，避免被當作隱藏的入口。
2. 檢查雲端授權
   當遇到 Google、Microsoft、Dropbox 等第三方 App 授權要求時，務必仔細檢視其權限。
3. 可信來源安裝
   軟體下載請以 官方網站 為唯一來源，避免透過論壇、百科頁面或不明連結下載。
4. 進階防禦
   企業可考慮導入 欺敵技術 (Deception)，以便在駭客試圖濫用更新或雲端時，第一時間誘捕並偵測可疑行為。

結語
TAOTH 行動提醒我們：駭客最厲害的地方，不是設計出多複雜的惡意程式，而是懂得「利用人們信任的習慣」——不管是自動更新，還是雲端服務。

還記得去年的 Citrix Bleed 2 嗎？現在，Citrix 的 NetScaler 平台再度成為攻擊者的焦點。Citrix 最新公告指出，三個高風險漏洞已經修補，其中最危險的 CVE-2025-7775 已確認被駭客在野外積極利用。

為什麼這次漏洞特別危險？

• CVE-2025-7775（CVSS 9.2）：記憶體溢位，可能讓駭客直接「遠端執行程式碼」或癱瘓服務。
• CVE-2025-7776（CVSS 8.8）：同樣是記憶體溢位，會導致服務不穩甚至中斷。
• CVE-2025-8424（CVSS 8.7）：存取控制有缺陷，可能讓駭客繞過限制直接操作管理介面。

重點在於，這些漏洞不是隨便點一下就能攻擊成功，駭客需要特定條件才能觸發。但一旦滿足條件，攻擊後果非常嚴重——從 VPN、遠端桌面代理，到管理介面本身，都可能被完全控制。

誰會是最大受害者？

任何使用 NetScaler Gateway 作為 VPN 或遠端存取的企業，都是高風險族群。想像一下：員工正透過 VPN 存取公司內網，而駭客卻能透過這些漏洞直接接管閘道，接下來就可能進行橫向移動、竊取資料，甚至植入惡意程式。

沒有 Workaround，只能升級！

這次 Citrix 特別強調：沒有任何臨時防護措施，唯一的方法就是立即升級到官方釋出的安全版本，包括：

• 14.1-47.48 以上
• 13.1-59.22 以上
• 13.1-FIPS/NDcPP 13.1-37.241 以上
• 12.1-FIPS/NDcPP 12.1-55.330 以上

專家提醒：別再「僥倖」！

短短幾個月內，NetScaler 已經連續出現 CVE-2025-5777 (Citrix Bleed 2)、CVE-2025-6543，再加上這次的 CVE-2025-7775。這是一個明確訊號：
駭客正在持續掃描、武器化這些漏洞。只要環境一沒修補，就等於「開門迎客」。

企業該怎麼做？

1. 立即更新 Citrix 官方修補版本。
2. 封鎖外部存取：不要讓管理介面直接暴露在網路上，並強制啟用多因素驗證（MFA）。
3. 監控異常行為：留意 VPN 登入異常、服務異常重啟，可能是入侵徵兆。
4. 主動防禦：導入欺敵（Deception）技術與威脅獵捕，縮短攻擊偵測時間。

重點提醒：CVE-2025-7775 已遭「實戰攻擊」，此刻再觀望等於將核心遠端存取服務暴露於駭客槍口下。

想像一下，你在公司電腦上安裝了一個「ChatGPT Desktop」應用程式，期待能用 AI 提升工作效率。卻沒想到，隨著滑鼠的一次點擊，你打開的並不是 AI 工具，而是一扇 讓駭客直接入侵企業內網的大門。

這不是假設情境，而是正在全球多個產業上演的現實。

攻擊場景：從 AI 偽裝到系統淪陷

今年，微軟與卡巴斯基相繼揭露，Storm-2460正透過一款名為 PipeMagic 的模組化後門，入侵金融、IT、房地產甚至製造業。

整個攻擊鏈條令人不寒而慄：

1. 社交工程引誘：駭客偽裝 ChatGPT Desktop 或 Google Chrome 更新檔，讓受害者誤以為是正常程式。
2. 隱匿投放：惡意程式直接在記憶體中載入 PipeMagic，不留痕跡。
3. 漏洞提權：利用 Windows CLFS 驅動程式漏洞（CVE-2025-29824） 取得系統最高權限。
4. 勒索軟體佈署(如 RansomExx 或 Play)：當權限到手，勒索程式隨即釋放，整個環境瞬間癱瘓。

這意味著，從「點擊安裝」到「整間公司被鎖死」，可能只需要幾分鐘。

PipeMagic：一個不只是後門的「惡意框架」

PipeMagic 並不是單純的木馬，而是一個 高度模組化的惡意程式框架。它有點像一個「駭客的瑞士刀」，能根據需要自由插入功能模組。

• 命名管道溝通：透過 \\.\pipe\1.<隨機代碼> 與 C2 伺服器交換加密資料。
• 模組化插件：可以進行檔案操作、載入新惡意程式、程式注入等。
• 完全記憶體運作：所有惡意模組存在記憶體中，透過雙向鏈結串列管理，不落地、不易被查覺。
• 持續進化：最新版本甚至能透過偽裝系統工具（如將 ProcDump 偽裝成 dllhost.exe）竊取憑證，進一步橫向移動。

這也就是為什麼研究人員稱 PipeMagic 不是單純的惡意程式，而是一整個「持續性威脅平台」。

全球受害案例

PipeMagic 的蹤跡遍布全球：

• 2022 年：首次出現在東南亞工業受害事件。
• 2024 年 10 月：利用假 ChatGPT 客戶端攻擊沙烏地阿拉伯。
• 2025 年 4 月：Storm-2460 利用 CVE-2025-29824 攻擊美國 IT 與房地產業、委內瑞拉金融業、沙烏地零售業、西班牙軟體公司。
• 2025 年近期：進一步擴張至 沙烏地與巴西製造業。

顯示攻擊者的策略已從「特定產業」走向「多國多產業滲透」。

如何自保？

對抗這種「假應用 + 零日漏洞 + 勒索軟體」的組合拳，企業必須升級思維：

1. 立即修補 CVE-2025-29824：確保 Windows 更新完整，堵上提權漏洞。
2. 端點防護落實：不論使用哪家防毒／EDR，都要確保功能完整開啟（惡意行為阻斷、憑證存取監控、記憶體攻擊防護）最小權限原則：減少駭客橫向移動的可能性。
3. 自動化回應：啟用 EDR/XDR 自動調查與處理事件，降低人力延誤風險。
4. 警覺假應用：任何來路不明的「ChatGPT 客戶端」或「更新檔」，都可能是陷阱。

結語：每一次更新，都可能是陷阱

PipeMagic 的再現，提醒我們一個殘酷事實：
在駭客眼裡，熱門的 AI 工具、日常的系統更新，甚至是企業最基本的漏洞，都能成為武器。

如果企業仍抱持「等事件發生再處理」的心態，那麼下一個遭遇勒索的，很可能就是你。

PipeMagic後門的部分入侵指標(Indicator of compromise -IOCs):

dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6a    

4843429e2e8871847bc1e97a0f12fa1f4166baa4735dff585cb3b4736e3fe49e     

297ea881aa2b39461997baf75d83b390f2c36a9a0a4815c81b5cf8be42840fd1

近期資安研究社群觀察到，兩個國際高知名度的網路犯罪組織 ShinyHunters 與 Scattered Spider 正在聯手鎖定大型企業目標。這種合作模式融合了雙方不同的專長與作案手法，使得攻擊更具隱蔽性與破壞力。

從獨立行動到戰術融合

根據ReliaQuest研究報告的分析，過去數月間，Google、Louis Vuitton、Allianz 等多家跨國企業遭到攻擊，其時間節點、基礎設施、目標產業皆呈現高度重疊。這顯示 ShinyHunters 的 大規模資料竊取能力 與 Scattered Spider 的 高壓社交工程技巧 已經在戰術層面相互融合。

ReliaQuest 威脅研究總監 Brandon Tirado 指出：

「當兩個威脅組織合流，防禦方的挑戰會急遽上升。原本屬於單一組織的攻擊特徵（IoC）可能會出現在另一組織的行動中，導致溯源與歸屬分析更加困難。」

這意味著，單純依賴 IoC 來判斷威脅來源的傳統防禦策略將逐漸失效，必須改為關注 行為模式（TTPs） 並部署主動偵測，例如監控釣魚域名、加固 SaaS 應用安全、以及員工防語音釣魚（Vishing）訓練。

雙方背景與攻擊特色

ShinyHunters（活躍自 2020 年）以財務利益為主要動機，擅長利用外洩或竊取的帳號密碼入侵大型企業環境，再在地下論壇變現。曾攻擊 AT&T、Santander、Ticketmaster、Google、Adidas、Air France 等國際品牌，並在 RaidForums 與 BreachForums 擔任關鍵參與者與管理者。

Scattered Spider（2022 年出現）則由多為 19 至 22 歲、以英語為母語的成員組成，極度擅長釣魚、語音釣魚與其他社交工程手法。著名案例包括 2023 年對 Caesars Palace 與 MGM Resorts 的攻擊，造成賭場數百萬美元損失。

戰術趨同的最新跡象

最新攻擊行動顯示，ShinyHunters 已採用與 Scattered Spider 相似的技巧，包括：

• 高度定向 Vishing：假冒 IT 或客服人員，引導員工洩露登入資訊。
• 惡意應用與釣魚頁面：利用 Okta 風格的登入頁誘騙輸入憑證。
• VPN 混淆：在外洩資料時隱匿來源。
• SaaS 平台滲透：針對 Salesforce 客戶進行憑證竊取與資料勒索。

ReliaQuest 也發現超過 700 個符合 Scattered Spider 模式的釣魚網域於 2025 年註冊，其中針對金融業的網域數量自 7 月起增加 12%，顯示銀行、保險與金融服務業恐成下一波主要受害者。

潛在聯盟與長期合作

研究人員發現名為「Sp1d3rHunters」的 BreachForums 帳號曾與 ShinyHunters 過往攻擊事件相關，並與 Scattered Spider 的網域註冊模式重疊，顯示雙方可能自 2024 年起就已展開協作。

更引人注意的是，8 月初曾短暫出現一個名為「scattered lapsu$ hunters」的 Telegram 頻道，聲稱正在開發名為 ShinySp1d3r 的勒索軟體即服務（RaaS），企圖與 LockBit、DragonForce 競爭。雖然該頻道三天後即消失，但這顯示其攻擊模式可能持續擴張至勒索軟體領域。

資安專家觀點與防禦建議

這種跨組織的戰術融合與協作，將使防禦端面臨三大挑戰：

1. 攻擊特徵混淆：IoC 重疊導致歸屬困難。
2. 多戰術並用：從社交工程到 SaaS 滲透，增加防禦面。
3. 針對產業精準打擊：金融、零售、保險、航空等高價值目標更易中招。

防禦建議：

• 將威脅偵測重點轉向 TTPs 與行為分析，而非僅依賴 IoC。
• 部署品牌網域監控與釣魚頁自動攔截機制。
• 強化員工防社交工程演練，特別是語音釣魚防護。
• 為 SaaS 平台（如 Salesforce、Okta）加上異常登入與大量資料匯出警示。

結論
ShinyHunters 與 Scattered Spider 的聯手，意味著網路犯罪組織間的邊界正在模糊化，未來的攻擊將更具組織化、靈活性與持續性。企業若仍依賴舊有防禦思維，將很難抵擋這種跨組織的複合型威脅。

在勒索軟體的黑市世界裡，攻擊者總在尋找能讓防禦「瞬間失明」的武器。如今，一款由 RansomHub 打造、被視為 「EDRKillShifter」進化版 的全新 EDR 殺手工具，已被至少八個勒索軟體集團採用，掀起新一波滲透狂潮。

這款工具的目標很單純——先讓你的資安系統「閉嘴」，再讓勒索軟體肆虐。

誰在用？黑名單一次看

根據Sophos威脅情報揭露，這款尚未命名的工具已在以下知名勒索組織的攻擊中現身：

• RansomHub
• Blacksuit
• Medusa
• Qilin
• Dragonforce
• Crytox
• Lynx
• INC

特別之處是，這並不是單一惡意程式外洩後被「人手一份」，而是疑似透過共用開發框架打造——每個集團都有自己的版本、不同的驅動名稱與設定，但底層結構如出一轍。

攻擊核心：讓防禦瞬間停擺

這款 EDR 殺手以高度混淆的二進位檔存在，啟動後會自我解碼並注入到合法程式中，接著鎖定一個被竊或已過期簽章的驅動檔（隨機五字元檔名），然後發動 BYOVD（Bring Your Own Vulnerable Driver）攻擊，直達系統核心層權限。

一旦進入核心層，工具便可偽裝成CrowdStrike Falcon Sensor Driver 等合法檔案，並終結所有 EDR/防毒相關行程與服務。

受害的資安產品包括：

• Sophos、Microsoft Defender、Kaspersky、Symantec、Trend Micro
• SentinelOne、Cylance、McAfee、F-Secure、HitmanPro、Webroot

換句話說，這是一把專門設計來「清空你的防線」的數位武器。

黑市合作的真相

在勒索圈，共享與交易 EDR 殺手早已成為常態。

• 除了 EDRKillShifter，Sophos 還發現 AuKill 工具被 Medusa Locker 與 LockBit 使用。
• SentinelOne 去年也揭露，FIN7 把其 AvNeutralizer 賣給 BlackBasta、AvosLocker、MedusaLocker、BlackCat、Trigona、LockBit 等多個集團。

這種跨集團的技術流通，讓勒索軟體攻擊的進化速度大幅提升，防禦方面臨的挑戰也更為嚴峻。

對企業的啟示

這類工具的出現意味著：單一資安產品的防護已不再足夠。
企業應採取多層次防禦策略，例如：

1. 檢測驅動程式完整性，防堵 BYOVD 攻擊。
2. 部署行為監測與異常分析，捕捉異常終止安全服務的行為。
3. 最小化權限原則，限制核心層與系統管理員存取。
4. 持續更新威脅情報，並與外部資安社群協作聯防。