美國內華達州日前發布了一份極少見且高度透明的資安事故調查報告，詳細揭露 2024 年 8 月該州政府遭到勒索軟體入侵的完整攻擊過程、偵測與復原行動。
本次事件影響超過 60 個政府機構，包含網站、電話系統到多項民眾線上服務，一度大範圍中斷。但值得注意的是：內華達州並未支付勒索贖金，而是在 28 天內自行恢復了 90% 的關鍵系統。

此事件案例的透明度極高，是目前少見由政府自願公開的完整攻擊鏈紀錄，對所有公務單位、科技企業與關鍵基礎建設均具重要警示意義。

攻擊是如何開始的？——一則 Google 廣告成了入侵入口

報告指出，攻擊者最初於 5 月 14 日取得內網立足點，來源並非漏洞或釣魚郵件，而是：

一名 IT 人員在 Google 搜尋工具下載時，點到被惡意廣告引導的假網站，下載到被植入後門的系統管理工具。

這類攻擊手法稱為：

Malvertising（惡意廣告感染鏈）

近年威脅者經常偽裝常用的 IT 工具，例如：

• WinSCP
• PuTTY
• KeePass
• AnyDesk
• LogMeIn
  

目標不是一般用戶，而是擁有高權限的系統管理員。
攻擊者藉此直接獲得能橫向移動與提權的絕佳起點。

攻擊者在內網做了什麼？（攻擊鏈分解）

最關鍵的突破點發生在攻擊者成功存取了：

密碼保管庫（Password Vault）系統
取得 26 個高權限帳號憑證

這使他們能：

• 登入核心伺服器
• 清除事件日誌（隱藏痕跡）
• 進一步準備勒索軟體部署

8月24日-08:30（UTC）即台灣時間 16:30勒索軟體被全面觸發

內華達州政府的虛擬機伺服器群組同時被加密，系統全面中斷。

為什麼沒有支付贖金？——「花加班費，也不給駭客一毛錢」

內華達州選擇不談判、不付費，而是：

• 啟動既定資安應變手冊（Incident Response Playbook）
• 由 50 名內部人員加班 4,212 小時
• 以加班費 USD $259,000 成本完成系統修復

若改由外包廠商處理，依市場標準費率 成本將高出約USD $478,000。

同時，事件期間仍確保：

• 公務員薪資正常發放
• 公共安全通訊不中斷
• 民眾服務逐步恢復

本案揭示的三大資安教訓

1. 組織必須強化「假設已遭入侵」的安全思維

即使端點防毒有偵測後門，攻擊者仍能留存持續性存取。
→ 零信任、持續監控、欺敵誘捕必須到位。

2. 密碼保管庫與高權限帳號是攻防核心

攻擊者獲取 Vault 即可繞過所有邊界控制。
→ 密碼庫、AD、身分存取治理（IAM / PAM）是優先防守重點。

3. 備援機制絕不能只看備份本身

備份被刪除後，復原會直接陷入停擺。
→ 備份需離線隔離、Immutable Storage、定期演練還原流程。

結語｜透明，才是最佳資安治理典範

內華達州此份報告的價值在於：

不粉飾、不隱瞞、完整揭露每一步攻擊細節。

這不只是事件復原，而是一份：

• 組織韌性（Cyber Resilience）的成功展示
• 政府與社會建立信任的重要示範
• 所有企業與政府機關都必須參考的資安治理教材

面對日益成熟的勒索生態鏈，我們更需要：

• 更快的偵測能力
• 更好的身分與權限管理
• 更嚴格的備援策略
• 更真實、不避諱的事後檢討文化

近期資安研究揭露，一支與中國有關的駭客組織 Storm-1849（又稱 UAT4356）正大規模鎖定 Cisco Firewall 裝置，特別是全球政府、國防機構與大型企業網路環境中廣泛部署的 Cisco ASA（Adaptive Security Appliance）。
這類設備不只是防火牆，它同時承擔 VPN 存取控管、流量檢查、入侵防護 等多重安全角色，一旦遭到入侵，就等同讓攻擊者突破「安全閘口」，直接接觸到內部敏感系統。

威脅輪廓：從美國政府到全球組織

根據資安媒體 Hackread的報道 ，Palo Alto Networks Unit 42 公布，這波攻擊行動自 2025 年 10 月持續至今，目標遍及：

• 美國聯邦政府
• 美國州與地方政府機關
• 軍事及國防承包商
• 金融業
• 歐洲與亞太多國政府與企業

更有趣的是，研究人員觀察到攻擊行動在 10 月 1–8 日短暫停歇，恰好與中國的「國慶黃金週」假期一致，這也成為外界懷疑背後與中國相關的重要線索之一。

受攻擊國家包括：印度、日本、澳洲、英國、法國、挪威、荷蘭、西班牙、波蘭、阿聯、尼日、阿塞拜然、不丹……範圍相當廣泛。

結論很明確：這不是單一國家事件，而是全球攻擊行動。
邊界設備（Edge Devices）已成為主要戰場。

攻擊手法：串聯兩項已知漏洞，取得長期控制權

駭客利用了 Cisco ASA 中兩個已知弱點，並進行漏洞串聯攻擊：

兩者搭配後，攻擊者能：

• 取得系統層級控制權
• 植入持久化存取（即使重開機或更新也無法移除）
• 修改設定，引導流量或竊取加密內容

也就是說，即使你「更新了系統」或「重開機防火牆」，入侵仍可能不會消失。

官方已發布緊急要求，但攻擊仍在持續

美國網路安全與基礎架構安全局（CISA）已於上月發布 緊急通告，要求所有聯邦機構立即修補 Cisco ASA 裝置。

然而，Unit 42 的研究顯示，許多組織仍未完全修補或仍持續遭到入侵嘗試。

資安專家建議：修補只是起點，不是終點

1. 立即修補（Patch Now）

如果機構仍在使用 Cisco ASA：

• 確認版本是否已修補上述兩個 CVE
• 若未修補，請 優先處理

2. 假設已遭入侵（Assume Compromise）

即使已修補，也應進行：

• 完整設定重置（Factory Reset）
• 重新產生所有密鑰、金鑰、VPN 憑證
• 檢查是否存在不明使用者或 ACL 規則

3. 加強邊界設備防護策略

• 不要只把防火牆當成「門口保全」
• 應以 零信任（Zero Trust） 思維重新檢視邊界控管
• 包含 記錄審查、異常行為偵測、存取行為基線化監控

結語：邊界設備的戰場化，已成既定事實

傳統上，我們常以為攻擊者會直接「攻進內網」或「社交工程到權限帳號」。
但這次事件再次證明：

駭客不再從裡面打，而是直接攻擊看守入口的安全設備本身。

對政府、國防、金融等高價值組織而言，
邊界設備的安全，已經不是「網路設備管理」層級的問題，而是國家級資安策略問題。

美國網路安全暨基礎建設安全局（CISA）於本週一正式將 五項安全漏洞 納入其「已知被利用漏洞（Known Exploited Vulnerabilities, KEV）」目錄中，當中包含近期被揭露、影響 Oracle E-Business Suite (EBS) 的嚴重漏洞，並確認該漏洞已在真實攻擊事件中遭到武器化利用。

CVE-2025-61884：Oracle EBS 關鍵 SSRF 弱點已被武器化利用

此項漏洞編號為 CVE-2025-61884（CVSS 評分：7.5），屬於 Oracle Configurator Runtime 組件中的伺服器端請求偽造（SSRF）漏洞。成功利用後，攻擊者可在未經授權的情況下，遠端存取並竊取關鍵資訊。
CISA 指出：「此漏洞可被遠端未經驗證者直接利用，風險等級高。」

該漏洞是 Oracle EBS 近期第二個確認被攻擊者利用的漏洞。先前的 CVE-2025-61882（CVSS 9.8）更嚴重，允許未經驗證的攻擊者在易受影響的系統上執行任意程式碼。

根據資安媒體《The Hacker News》的報道，Google Threat Intelligence Group (GTIG) 與 Mandiant 的調查，已有數十家企業疑似受害於 CVE-2025-61882 的惡意利用行動。GTIG 資深安全工程師 Zander Work 向《The Hacker News》表示：「目前尚無法將特定攻擊行為歸屬至某個特定威脅行為者，但觀察到的部分攻擊跡象顯示，這些行動可能與 Cl0p 勒索組織 有關。」

Oracle 已於近日緊急發布 安全公告 (Security Alert CVE-2025-61884)，針對 E-Business Suite 12.2.3–12.2.14 版本 推出修補程式。
Oracle 首席安全長 Rob Duhart 表示：「此漏洞若遭成功利用，可能使攻擊者存取敏感資源。建議所有使用者應立即部署更新，以降低資料外洩風險。」

其他新增至 KEV 的四項漏洞

除 Oracle 外，CISA 此次同時將 Microsoft、Kentico、與 Apple 等產品的四項漏洞列入 KEV 目錄：

1. CVE-2025-33073（CVSS 8.8）
   • 影響產品：Microsoft Windows SMB Client
   • 類型：權限提升（Improper Access Control）
   • 狀況：若 SMB 簽章未強制啟用，攻擊者可透過「Reflective Kerberos Relay Attack（又稱 LoopyTicket）」取得網域控制權限。
   • 修補狀態：Microsoft 已於 2025 年 6 月修補。
2. CVE-2025-2746（CVSS 9.8）
   • 影響產品：Kentico Xperience CMS
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理空白 SHA1 使用者名稱的缺陷，可取得管理端控制權限。
   • 修補狀態：2025 年 3 月修補。
3. CVE-2025-2747（CVSS 9.8）
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理「None」型別密碼設定的漏洞，可完全控制系統管理物件。
   • 修補狀態：2025 年 3 月修補。
4. CVE-2022-48503（CVSS 8.8）
   • 影響產品：Apple JavaScriptCore
   • 類型：陣列索引驗證錯誤（Improper Validation of Array Index）
   • 後果：在處理惡意網頁內容時，可導致任意程式碼執行。
   • 修補狀態：Apple 已於 2022 年 7 月修補。

上述三項（CVE-2025-33073、CVE-2025-2746、CVE-2025-2747）分別由 Synacktiv 與 watchTowr Labs 的研究人員揭露，並由 GuidePoint Security、CrowdStrike、SySS GmbH、RedTeam Pentesting、Google Project Zero 等多方共同驗證。

修補時限與安全建議

根據 CISA《作業指令 BOD 22-01：降低已知被利用漏洞的重大風險》，
聯邦民政行政機構 (FCEB) 必須於 2025 年 11 月 10 日前 完成修補，以防範這些漏洞遭持續性威脅行為者利用。

CISA 同時建議 民間企業與金融機構 應參照 KEV 目錄，立即審視自身環境中的受影響系統，並儘速部署修補程式，以防範後續針對 Oracle、Windows、Kentico 或 Apple 產品的針對性攻擊。

專家觀點

此次 KEV 更新顯示出兩項趨勢：企業級應用平台（如 Oracle EBS）正逐漸成為攻擊焦點。 攻擊者偏好能提供大規模數據接取權限的業務核心系統，藉此進行資料竊取或供後續勒索行動使用。 跨供應鏈漏洞利用趨勢升溫。 攻擊者往往透過 CMS、Windows SMB 或 Web 組件等跨平台弱點滲透，再橫向移動至高權限環境。

從資安防禦角度而言，除及時修補外，建議組織採取以下措施：

• 部署 SSRF 防護與 WAF 規則更新；
• 強化 SMB 簽章與 Kerberos 驗證政策；
• 審查 CMS 及第三方外掛 權限設定；
• 建立 威脅情報（Threat Intelligence）監控機制，及追蹤 KEV 新增項目。

全球知名美國資安公司 F5 Networks 於本週三（10 月 15 日）正式披露，一起重大入侵事件導致 BIG-IP 產品的部分原始碼與尚未公開的漏洞資訊外洩。F5 指出，這起攻擊由「高度成熟的國家級駭客組織」所策劃，該組織長期、隱密地滲透其內部網路系統。

F5 在提交給美國證券交易委員會（SEC）的 8-K 文件 中表示，公司於 2025 年 8 月 9 日發現此事件，並依美國司法部（DoJ）要求延後公開，以配合執法單位調查。

「我們已採取全面行動以控制威脅，並在封鎖行動後未再觀察到新的未授權活動，初步認為威脅已被成功遏止。」——F5 官方聲明

■ 入侵範圍與影響

F5 並未透露駭客取得存取權限的時間長度，但強調目前沒有跡象顯示相關漏洞已被利用於實際攻擊。公司也確認，CRM、財務系統、支援案例管理平台與 iHealth 系統未受影響。

然而，部分自知識管理平台遭外洩的檔案中，可能包含少數客戶的組態或實作資訊。F5 表示將在完成審查後，主動通知受影響客戶。

為降低風險，F5 已委託 Google Mandiant 與 CrowdStrike 協助進行事件調查與威脅狩獵，同時：

• 更換所有憑證、簽章金鑰與帳密；
• 強化開發環境與內部網路存取控制；
• 部署更高層級的威脅監控工具；
• 重新設計產品研發環境的安全防護機制。

F5 呼籲所有使用者立即更新 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 與 APM 客戶端 至最新版本，以確保防護完整。

■ 美國政府緊急應對：CISA 發佈指令

隨著事件曝光，美國 網路安全暨基礎設施安全局（CISA） 立即發布 緊急指令 ED 26-01，要求聯邦文職行政機關：

1. 清查所有 F5 BIG-IP 產品；
2. 確認管理介面是否暴露於公網；
3. 於 2025 年 10 月 22 日前 安裝 F5 最新修補程式。

CISA 指出，國家級駭客已竊取 BIG-IP 的專有原始碼與漏洞細節，可能取得足以開發針對性漏洞利用程式的技術優勢，對聯邦機構構成「迫切威脅」。

該機構警告，此入侵可能讓攻擊者進行靜態與動態程式分析，進而找出尚未公開的邏輯缺陷與零時差（Zero-Day）漏洞。CISA 也要求所有單位加強公開服務設備的防護、隔離已終止支援的設備，並修補 BIG-IP Cookie 洩漏漏洞。各機構須於 10 月 29 日晚間 11:59（美東時間） 前回報完整清查與應變結果。

■ 駭客背景：疑似中國關聯團體 UNC5221 操控

根據 Bloomberg 的報導，攻擊者在 F5 內部網路中潛伏至少 12 個月，並使用名為 BRICKSTORM 的惡意程式家族進行滲透。該惡意程式被歸因於一個具中國背景的間諜組織 UNC5221。

Mandiant 與 Google 威脅情報團隊（GTIG）早於 9 月指出，UNC5221 及相關團體近期針對美國法律服務業、SaaS、BPO 與科技公司發動入侵行動，以植入 BRICKSTORM 後門程式。

■ 專家觀點：未公開漏洞被竊將加速攻擊開發

根據 TheHackerNews 的報導，Palo Alto Networks Unit 42 威脅情報主管 Michael Sikorski 指出，駭客若僅竊取原始碼，通常需要時間分析可被利用的弱點；但在本案中，攻擊者同時取得了 尚未修補的漏洞資訊，風險顯著升高。

他補充：「這將使攻擊者得以在公開修補前，快速開發漏洞利用工具。F5 本季公布的漏洞數量高達 45 件，相較上季僅 6 件，顯示公司正全力封補被竊取的弱點，以搶在駭客利用前完成修復。」

■ 專家結語：供應鏈資安風險再度升溫

F5 事件再次凸顯 軟體供應鏈安全的脆弱性。對企業而言，防禦不僅止於端點或網路邊界，更需關注第三方供應商的開發與維運環境。
建議企業：

• 立即更新所有 F5 相關產品；
• 審視內部與外部連線的權限控管；
• 建立供應鏈風險監測機制與零信任架構；
• 主動導入威脅情報與行為分析監控，偵測潛在的長期滲透活動。

F5 的資安事件是全球企業應警惕的一記警鐘——當攻擊者將焦點轉向核心基礎架構供應商，任何環節的鬆懈，都可能成為整個網路防禦體系的破口。

2025 年 10 月，美國司法部(The US Department of Justice)與 FBI 聯手法國網路犯罪中央局（BL2C）及巴黎檢察官辦公室，成功查封與駭客組織 Scattered Lapsus$ Hunters有關的最新 BreachForums 網域。
這場跨國執法行動，不僅代表當局對長期橫行於駭客圈的「資料販售帝國」再度出手，更揭示了網路犯罪從「論壇交易」到「勒索壓迫」的新演化階段。

BreachForums：從駭客論壇到勒索平台的轉型

BreachForums 的歷史可追溯至 2022 年，最初作為知名駭客論壇 RaidForums 的繼任者，由駭客「Pompompurin」（本名 Conor Brian Fitzpatrick）創立，曾是全球最大規模的外洩資料交易平台之一。
然而，隨著 Fitzpatrick 於 2023 年遭到逮捕、2025 年再度被判刑三年，論壇多次易手並被重啟。到了今年七月，ShinyHunters 重新開啟的版本已不再是傳統的駭客論壇，而是一個專門針對 Salesforce 企業客戶進行勒索與資料外洩的「明網（clearnet）勒索平台」。

這次 FBI 查封的正是該平台的明網網域——breachforums.hn。
目前該頁面已被美法兩國政府的查封公告取代，但與之對應的暗網（onion）版本仍在運作，顯示執法單位可能僅掌握部分後端基礎設施。

FBI滲透行動：暗網也不再是避風港

當 BreachForums 明網版本被查封時，駭客在 Telegram 上發出挑釁訊息：

“Seizing a domain does not really affect our operations, FBI… try harder ;)”語氣滿是嘲諷。但不久後，他們的頻道突然被鎖定，成員「失聯」、群組陷入混亂。
顯然，這場「網上叫囂」的背後，FBI 的滲透已經深入。

ShinyHunters 隨後公開一則 PGP 簽章訊息，承認所有 BreachForums 網域與伺服器被奪走、資料庫「遭摧毀」，甚至懷疑 FBI 直接入侵後台、控

制整個基礎架構。這意味著連暗網，也不再是駭客的避風港。然而，他們同時宣稱：「這次查封不影響我們的 Salesforce 攻擊行動。」

駭客更在訊息中表示，若目標企業未在截止期限前付款，將於 美東時間 10 月 10 日晚上 11:59 公開超過 10 億筆 Salesforce 外洩資料。
受害名單疑似包括國際知名企業如 萬豪、谷歌、思科、豐田、Gap、Qantas、Disney、McDonald’s、UPS 等。
Salesforce 已公開表態拒絕支付贖金，意味著這場「資料倒數計時」恐怕只是時間問題。

法網恢恢：執法的勝利與駭客的困獸之鬥

這次的 BreachForums 查封並非孤立事件，而是國際執法部門長期追擊的結果。
事實上，自今年六月法國警方在巴黎逮捕包括 ShinyHunters、Hollow、Noct、Depressed 等主要管理員後，駭客社群內部便開始懷疑 BreachForums 已遭滲透，甚至成為執法單位的「蜜罐（honeypot）」。

Sophos 的資安專家 Aaron Bugal 在評論中指出：

「雖然這次行動暫時擾亂了駭客的節奏，但這只是長期戰中的一小步。執法單位正持續緊逼，他們的藏身之處越來越少。」

專家觀點：從這起事件看網路犯罪的下一步

這起事件對資安專業人士而言，帶來三項深刻啟示：

駭客模式正在轉變

從論壇販售（marketplace model）轉向勒索壓迫（extortion model），駭客不再依賴仲介，而是直接威脅企業、透過「清網＋暗網雙軌」曝光資料，提高心理壓力與公關風險。

執法行動變得更具滲透性

此次查封不僅是「封網域」，更疑似包括滲透後台伺服器與掌握資料庫存取權，顯示執法單位在技術層面的滲透與情報合作能力大幅提升。

企業應強化社交工程防線

ShinyHunters 與 Lapsus$ 長期擅長以社交工程手法滲透企業內部帳號體系，例如誘騙客服、攻擊供應鏈或利用外包人員登入系統。這提醒企業：防線不僅在技術，更在人員教育與權限控管。

結語：暗網的神話，終將崩塌

當駭客組織以為「換個網域、轉進暗網」即可逃過追緝，FBI 與國際執法單位正一步步證明——網路犯罪並非無法可管的灰色地帶。
每一次的查封與逮捕，都是對地下世界的一次滲透與揭露。

對企業而言，真正的防禦不是等待攻擊發生後修補漏洞，而是建立「持續可驗證的安全韌性」。
因為在這場沒有硝煙的戰爭中，攻擊者不會停手，而防禦者也不該再被動。

Reference: https://www.cyberdaily.au/security/12753-fbi-seizes-clear-web-domain-linked-to-scattered-lapsus-hunters

Microsoft Defender 近期的「誤判事件」讓我們再次看到，過度依賴自動化安全系統，可能導致管理者在未經查證下做出錯誤決策。這起事件中，Defender 錯誤將仍在支援期內的 SQL Server 標註為停止支援版本，雖然微軟已迅速修復，但它揭露了一個更深層的議題——當防禦系統變得越「聰明」，我們是否也失去了質疑它的能力？

近期，微軟的旗艦資安平台 Microsoft Defender for Endpoint 再度登上資安圈討論熱點——原因不是新的攻擊手法，而是誤報（False Positive）事件。這次的受害者，是仍在主動支援期內的 SQL Server 2017 與 2019。

根據微軟官方服務通報與 BleepingComputer 的報導，Defender 近期在其 Threat and Vulnerability Management（威脅與弱點管理） 模組中，錯誤地將 SQL Server 標示為「End-of-Life（停止支援）」版本。

但事實上，SQL Server 2019 的支援期至 2030 年 1 月，而 SQL Server 2017 則延續到 2027 年 10 月——距離「退役」還有整整兩年。

問題根源：程式碼變更引發的誤判

微軟在後續公告中指出，問題源自於近期在「終止支援軟體判定邏輯」上的程式碼變更。這段變更意外導致 Defender 錯誤標記了部分 SQL Server 版本，使管理者在主控台上誤以為系統已不受支援。

微軟工程團隊已迅速推送修補更新，並表示將持續部署修正，逐步回溯導致誤報的程式碼異動。

雖然此次事件被列為「Advisory（通告級事件）」——意即影響範圍有限，但這起事件仍再度提醒我們：

在自動化防禦系統日益普及的時代，『誤報』本身已成為一種新的資安風險。

從資安專家的角度來看：「False Positive」不只是小事

許多企業導入 EDR/XDR 時，往往將焦點放在「漏報（False Negative）」，擔心系統沒抓到真正的威脅。然而，「誤報（False Positive）」的風險同樣不容忽視——特別是在 企業營運核心系統（如 SQL Server） 被誤判的情況下，可能導致以下後果：

1. 誤觸安全政策：IT 團隊可能誤以為系統已過期，進行不必要的升級或更動。
2. 威脅分析失準：Defender 的風險分數與優先修補建議可能因此失真，影響 SOC 判斷。
3. 浪費維運時間：安全團隊需額外花時間確認「是假警報還是真問題」，降低整體效率。

微軟近期的誤報事件接連發生

事實上，這已不是 Defender 首次出現誤報：

• 上週，微軟才修正了一起將 Dell 裝置 BIOS 韌體誤判為「過期」 的問題。
• 9 月底，Defender 也曾因蘋果企業安全框架的死鎖問題，導致 macOS 裝置出現黑畫面崩潰。
• 更早前，Microsoft 甚至在其 防垃圾郵件服務 中誤封鎖 Exchange Online 與 Teams 的 URL 開啟功能，造成使用者信任危機。

這些事件共同揭示出一個趨勢：

資安防禦系統越智慧、整合越全面，其背後的複雜度與連鎖效應也在同步上升。

專家建議：如何降低「誤報」帶來的營運風險

1. 建立二次驗證流程：在關鍵資產標示為高風險或停止支援時，應要求人工複核。
2. 整合多重情資來源：不要完全依賴單一資安平台的判定，善用 cross-validation（交叉驗證）。
3. 維護「誤報知識庫」：記錄曾發生過的誤報事件與處理方式，作為後續自動化修正的依據。
4. 主動追蹤供應商公告：像此次 SQL Server 誤報事件，若能及早掌握官方資訊，可避免誤動作或錯誤通報。

結語：自動化 ≠ 絕對可靠

微軟的 Defender 系列確實是企業防禦體系的重要一環，但這次事件再次提醒我們——
「自動化防禦」不是萬靈丹，人工智慧同樣需要人類智慧來監督。

在資安防線日益複雜的今日，保持警覺、建立多層驗證機制，才是讓防禦系統真正「防而不誤」的關鍵。