【資安解析】從 Chanel 到 Pandora:ShinyHunters 鎖定 Salesforce 用戶展開精準社交工程攻擊

Posted on by blogadmin

近期,國際知名精品品牌 Chanel 與珠寶巨頭 Pandora 相繼通報遭遇資料外洩事件,並確認攻擊來源為其第三方供應商所使用的 Salesforce 雲端平台。這兩起事件並非孤立個案,而是一起持續延燒中的 Salesforce 資料外洩攻擊浪潮的一部分,幕後主使為惡名昭彰的勒索集團 ShinyHunters。

事件概覽:Chanel、Pandora 接連中鏢

根據 Chanel 對外說明,他們於 7 月 25 日偵測到異常,發現美國客戶資料庫遭未經授權的第三方存取,暴露內容包括姓名、電子郵件、地址與電話等聯絡資訊。雖然未波及付款或帳號資訊,但已正式通知受影響的用戶。

幾乎同一時間,Pandora 也發布通知指出,其顧客聯絡資訊遭未授權方透過第三方平台取得,雖未涉及密碼與財務資料,但姓名、生日與電郵皆被洩漏。根據資安媒體 BleepingComputer 追查,兩家公司資料均來自其 Salesforce 實例(instance),顯示攻擊者是透過特定社交工程技術滲透進入雲端環境,再進行資料外洩與勒索。

擊手法解析:精準社交工程 + OAuth 欺騙授權

這一系列攻擊手法背後的關鍵,不在於 Salesforce 平台本身出現漏洞,而是駭客透過「Vishing」(語音網路釣魚)與社交工程手段,鎖定企業客服中心、IT 支援人員或其他內部員工,以語音或電子郵件誘使其提供 Salesforce 登入憑證,或授權惡意的 OAuth 應用程式。

一旦駭客成功獲取授權,他們即可進入該公司的 Salesforce 環境下載客戶資料,再進行勒索。ShinyHunters 向媒體表示,他們正採取「私下勒索」手法與企業交涉,若對方不配合,將仿效先前 Snowflake 資料外洩事件,公開銷售或一次性洩漏多家企業的資料。

目前已知受害企業除 Chanel 與 Pandora 外,還包括 Adidas、Qantas、Allianz Life,以及 LVMH 集團旗下的 Louis Vuitton、Dior 與 Tiffany & Co 等國際品牌。

Salesforce 澄清與防禦建議

Salesforce 對此事件已做出多次聲明,強調平台本身並未遭駭,攻擊手法主要來自客戶端的帳號憑證管理與社交工程風險。Salesforce 呼籲所有用戶應落實以下資安最佳實務:

*全面啟用多因子驗證(MFA)

*執行最小權限原則(Least Privilege)

*嚴格控管連接的 OAuth 應用程式

*定期檢查與訓練客服中心與 IT 員工對社交工程的辨識能力

詳細資安建議可參考 Salesforce 官方部落格說明:https://www.salesforce.com/blog/protect-against-social-engineering/

專家觀點:雲端時代的資安責任邊界,企業不可掉以輕心

從本次事件可以看出,雖然 SaaS 平台如 Salesforce 提供了企業級資安架構,但客戶端若未妥善控管帳號、授權流程與員工安全意識,仍是駭客得以鑽漏洞的關鍵。

這也反映出資安責任的共享模型(Shared Responsibility Model)在實務上的挑戰。企業不能完全仰賴供應商,而應視 SaaS 平台為「可配置但非自動安全」的工具,需主動部署額外防禦機制與監控手段,才能真正保障雲端環境中的敏感資料安全。

【駭客這樣騙】你點的連結真的安全嗎?資安專家揭露多層轉址釣魚手法,鎖定 Microsoft 365 帳密!

Posted on by blogadmin
Photo Credit: The Hacker News

你是否曾收過像這樣的郵件:

「您有一則語音留言,請點擊這裡收聽」
「您的 Microsoft Teams 有新文件,點此立即查看」
「尚有未讀訊息,點擊 ‘在 Teams 回覆’」

這些看似平凡的通知,其實正是新型網路釣魚的陷阱──Cloudflare資安研究人員近期發現,駭客正在利用看起來 超安全 的連結,悄悄把你帶到假冒的 Microsoft 365 登入頁,騙走你的帳號密碼!

他們怎麼做到的?破解駭客多層包裝的釣魚技術

這次的攻擊關鍵在於兩個字:「包裝」。

駭客懂得利用企業常見的「連結防護服務(Link Wrapping)」,例如:

  • Proofpoint 的 urldefense.proofpoint.com
  • Intermedia 或其他 Email 安全平台

這些服務原本是用來保護使用者的,當你點擊信中的連結,它們會自動掃描並阻擋已知惡意網站。

但問題來了:如果這個惡意連結在當下還沒被標記為「惡意」,那麼就會直接通過掃描,並帶你進入陷阱頁面

更高明的是,駭客還會先把惡意網址縮短(如 Bit.ly),再經由受信任的內部帳號寄出,讓連結最終看起來像這樣:

http(s)://urldefense.proofpoint.com/v2/url?u=https%3A%2F%2Fbit.ly%2Fxxxxx

你以為很安全?其實這是雙重混淆的釣魚陷阱。

揭開三種常見釣魚變形術

這些釣魚頁常仿真度極高,不注意看幾乎無法察覺異常,一旦輸入帳密,資料就會立刻被傳送到駭客手中。

為什麼這手法特別危險?

因為它不靠假帳號、不靠假網站,而是濫用原本保護你的資安工具,讓你誤以為一切正常!

Cloudflare 指出,這類攻擊大量利用「多層轉址技術(multi-tier redirect abuse)」,讓惡意網址包裹在信任來源中,欺騙人眼與系統防線。

而根據美國新澤西資安中心(NJCCIC)報告,攻擊者甚至開始利用 SVG 向量圖(可以包含 JavaScript 程式碼與超連結)進行更多階段式攻擊──你看到的是圖片,背後藏的是惡意指令碼!

教你五招防釣魚不被騙

  1. 不要只看網址前面長得像點擊前先看清楚真正的主網域,別只看開頭或尾巴。
  2. 務必啟用 Microsoft 365 的多因素驗證(MFA,即使帳密外洩也不怕。
  3. 看清 Email 內容邏輯──你真的會收到語音留言?從未加入的 Teams 團隊怎麼會發文件來?
  4. 針對內部帳號異常行為設監控機制,避免被橫向移動濫用。
  5. 教育訓練不能少,提高全體員工對「太像真的」的釣魚郵件警覺心!

專家小結

這波攻擊正提醒我們:資安不是防住駭客就好,更要防止合法工具被用來做壞事。
無論你的系統多安全,只要信任機制被誤用,駭客就有機會鑽漏洞。

資安意識,是企業最強大的防火牆。

【CISA 警示】Scattered Spider 駭客集團攻勢升級:社交工程更進化,攻擊對象轉向第三方 IT 供應商!

Posted on by blogadmin

美國網路安全與基礎建設安全局(CISA)聯合 FBI、英國、加拿大與澳洲資安單位,在2025年7月29日再次針對惡名昭彰的 Scattered Spider(又稱 UNC3944 / Scatter Swine / Octo Tempest)駭客集團發布第三份聯合警示,揭露其不斷演進的社交工程攻擊手法與新型勒索軟體變種,對企業與關鍵基礎設施構成嚴峻威脅。

攻擊模式「再進化」:不再假冒 IT,轉向假冒「你自己人」

Scattered Spider 早期知名的招式,是假冒企業內部 IT 支援人員,用電話或簡訊騙取員工帳密及 MFA 驗證碼,如今他們已將目標轉向企業「外包 IT 服務商」,並冒充企業內部員工,進一步取得存取權限。這樣的手法更難察覺、社交工程更逼真,也更具滲透性。

不只如此,他們甚至潛入 Slack、Teams 與 Exchange 郵件系統,監聽內部對話,還偽造 LinkedIn 等社群帳號參與視訊會議,監控資安團隊的應對措施,邊觀察邊調整攻擊路線,堪稱 APT 級的勒索戰術。

關鍵攻擊技術盤點

CISA 最新揭露的 TTPs(戰術、技術與程序)顯示,Scattered Spider 持續善用以下攻擊手法:

  • Push bombing(MFA 疲勞攻擊):狂轟亂炸 MFA 認證請求,直到用戶誤按通過。
  • SIM 交換攻擊:冒用用戶身分向電信商申請換卡,奪取手機號碼,用以攔截 OTP 認證碼。
  • 假冒員工重設 MFA 裝置:利用電話與社交工程騙取 IT 外包人員協助重設 MFA,將其綁到攻擊者控制的裝置。
  • 入侵雲端帳號(如 Snowflake:快速下載大量資料並執行千筆以上查詢,造成資料外洩與營運中斷。

此外,該集團也被觀察到部署 DragonForce 勒索軟體,進行資料竊取與加密雙重勒索。

精準社交工程的背後:OSINT 與非法市集

Scattered Spider 擅長收集目標員工的個資,包含社群平台、公開網站及非法資料市集(如 Russia Market)購得的帳密,組合出精準且難以辨識的釣魚攻擊劇本。

這些攻擊往往針對英文系國家大型企業,尤其是科技、電信、金融、零售、媒體與交通運輸業,目前已擴展攻擊範圍至新加坡與印度。

國際受害名單與損失金額驚人

自 2022 年被發現以來,Scattered Spider 已造成數百萬美元損失。根據 Mandiant 報告,近期知名受害者包括:

  • 英國零售巨頭 Marks & Spencer(M&S
  • 合作夥伴 Tata Consultancy Services(TCS
  • Hawaiian Airlines 遭大量資料外洩
  • Clorox 提告 IT 供應商 Cognizant,索賠超過 4 億美元
  • 曾與 ALPHV/BlackCat 合作,攻擊 MGM 賭場Caesars Palace

英國警方與歐洲刑警近期已逮捕數名年齡介於 17 至 22 歲的 Scattered Spider 成員,但攻擊行動仍在持續進行。

CISA 專家建議防禦措施

面對這類「進階社交工程型勒索攻擊」,CISA 建議企業應:

  1. 啟用強韌的 MFA(具抗釣魚能力) 並定期檢測有效性。
  2. 維持離線備份,且定期測試還原能力。
  3. 建立應用程式管控機制,防止未授權工具執行。
  4. 訓練員工警覺社交工程攻擊,特別是 IT 支援人員與第三方廠商。

結語:勒索集團進化,我們的資安策略也要升級

Scattered Spider 的案例再次印證一個關鍵趨勢:資安攻擊者不只是科技高手,更是心理操控專家。 他們不僅技術高超,更懂人性與企業運作流程,從而精準攻破。

在駭客攻擊日益複雜的今日,企業若仍停留在傳統的防毒與弱 MFA 階段,將無法有效抵擋類似 Scattered Spider 的高階行動。

此刻,是企業全面升級資安防線的關鍵時刻。

【資安焦點解析】中國駭客組織 Storm-2603 透過 SharePoint 零時差漏洞,發動新一波勒索攻擊!企業內網成為 Warlock 勒索軟體溫床,你的內網還安全嗎?

Posted on by blogadmin
Photo Credit: 微軟

在這波全球資安動盪的浪潮中,微軟再度揭露了重大攻擊事件:中國國家支持的駭客組織 Storm-2603,近期利用 SharePoint 本地部署環境中的「零時差漏洞」,成功將 Warlock 勒索軟體散布到數百個組織之中。這不只是單一資安漏洞的問題,更凸顯了企業與機關在內部系統維護與資安韌性上的嚴重斷層。

攻擊關鍵:SharePoint 零時差漏洞再進化,防不勝防

此次攻擊的核心,是兩個剛曝光的 SharePoint 高風險零時差漏洞:

  • CVE-2025-53770:一個關鍵的遠端程式碼執行漏洞(CVSS 9.8),攻擊者可在未經驗證的情況下執行任意程式。
  • CVE-2025-53771:一個中等嚴重程度的伺服器偽冒漏洞(CVSS 6.3),可繞過原本針對 CVE-2025-49704 的修補機制。

這兩個漏洞是微軟七月已公開的 CVE-2025-49704CVE-2025-49706 漏洞的「進化版」,統稱為「ToolShell 攻擊鏈」的延伸。駭客已成功利用這組新漏洞變體,繞過原始修補程式,展開新一輪入侵。

技術解說:這波攻擊的運作方式是先利用漏洞取得 SharePoint 的內部權限,進而控制檔案系統與設定檔,最後部署 Warlock 勒索軟體。這讓攻擊者可在企業毫無察覺的情況下,鎖定伺服器、竊取資料並勒索贖金。

攻擊者與勒索軟體:Storm-2603 x Warlock Dark Army

Storm-2603 是微軟追蹤的中國背景 APT 攻擊組織之一,其這次散播的 Warlock 勒索病毒,是一個在 2024 年初崛起的 RaaS(勒索軟體即服務)平台,由「Warlock Dark Army」維運。其攻擊對象涵蓋:

  • 政府單位(例如:美國教育部、佛州稅務局)
  • 金融產業(如:Nippon Life India)
  • 科技與製造業(如:波蘭航太公司 Astronika)
  • 消費品牌(如:Unilever)

根據歐洲資安公司 Eye Security 的調查,僅在 2025 年 7 月 17 日至 21 日短短五天內,全球已有 超過 400 個組織被入侵,這是高度協調、針對性極強的大規模攻擊行動。

我們能從中學到什麼?

這起事件對於使用本地部署 SharePoint 環境的企業與政府單位來說,是一次赤裸裸的警訊。以下是資安專家的幾點建議:

  1. 立即更新!
    微軟已釋出修補程式,務必儘速套用 CVE-2025-53770 與 CVE-2025-53771 的更新,避免遭到攻擊鏈利用。
  2. 開放服務最小化原則
    若非必要,應限制 SharePoint 與內網資料庫對外開放。內網應設多層防線,避免攻擊擴散。
  3. 監控異常活動
    建立對 SharePoint 操作紀錄的監控機制,針對異常權限提升、腳本執行等動作啟動警示。
  4. 善用零信任架構
    採用零信任架構 (Zero Trust),對內外部使用者都需驗證與授權,不預設信任任何節點。
  5. 演練勒索事件應變流程
    若貴單位尚未制定或演練勒索軟體應變計畫,現在就是最佳時機。模擬勒索場景可幫助團隊快速反應與減災。

結語:勒索風暴持續升溫,別讓你的 SharePoint 成為下一個破口

這場由 Storm-2603 引爆的資安風暴,揭露了兩件事:一、勒索軟體仍是全球資安威脅的主軸;二、內部應用平台若未即時更新與防護,將成為高價值攻擊目標。

在資安環境日益嚴峻的當下,企業與公部門都應重新檢視本地部署的系統與資安政策。別讓老舊架構與延遲修補,成為駭客入侵的通行證。

部分入侵指標(Indicator of compromise -IOCs):

92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514

24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf

b5a78616f709859a0d9f830d28ff2f9dbbb2387df1753739407917e96dadf6b0    

c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74fe94

1eb914c09c873f0a7bcf81475ab0f6bdfaccc6b63bf7e5f2dbf19295106af192      

4c1750a14915bf2c0b093c2cb59063912dfa039a2adfe6d26d6914804e2ae928 

83705c75731e1d590b08f9357bc3b0f04741e92a033618736387512b40dab060

f54ae00a9bae73da001c4d3d690d26ddf5e8e006b5562f936df472ec5e299441 

b180ab0a5845ed619939154f67526d2b04d28713fcc1904fbd666275538f431d 

6753b840cec65dfba0d7d326ec768bff2495784c60db6a139f51c5e83349ac4d  

7ae971e40528d364fa52f3bb5e0660ac25ef63e082e3bbd54f153e27b31eae68

ffbc9dfc284b147e07a430fe9471e66c716a84a1f18976474a54bee82605fa9a

6b273c2179518dacb1218201fd37ee2492a5e1713be907e69bf7ea56ceca53a5

c2c1fec7856e8d49f5d49267e69993837575dbbec99cd702c5be134a85b2c139

6f6db63ece791c6dc1054f1e1231b5bbcf6c051a49bad0784569271753e24619

d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce2486d

62881359e75c9e8899c4bc9f452ef9743e68ce467f8b3e4398bebacde9550dea

LV十三國資料外洩事件解析:駭客不是要你的包,是要你背後的客戶信任

Posted on by blogadmin
Photo Credit: Louis Vuitton

2025 年 7 月,全球精品龍頭 Louis Vuitton(LV)爆發嚴重個資外洩事件,波及全球至少 13 個國家與地區的分公司,成為今年零售業最具指標性的跨國資安危機之一。

受影響的國家與地區涵蓋:韓國、台灣、英國、日本、法國、土耳其、沙烏地阿拉伯、義大利、摩納哥、香港、泰國、南非與澳洲。這起事件不僅規模空前,更揭示了奢侈品牌在資安與跨境監控上的潛在風險。

根據目前各國陸續公開的資訊:

  • 土耳其通報約 14.3 萬筆客戶資料遭未授權存取
  • 香港則公布共有 41.9 萬名客戶個資遭外洩
  • 其他國家雖未明確透露受影響人數,但推估規模不容小覷
  • 澳洲 LV 分公司昨晚(7 月 22 日)也證實,早在三週前的 7 月 2 日就已偵測到可疑入侵行為

這起事件逐步呈現出明確的 APT 攻擊軌跡,背後潛藏的資安風險與品牌信任危機,已引起全球高度關注。表面上看似低調、技術單純,實際上卻是一起典型的 APT(進階持續性滲透攻擊)。駭客沒有勒索、沒有加密,卻成功在多國系統中潛伏超過數週,靜靜擷取會員資料並跨系統橫移,反映出品牌在供應鏈管理與跨境監控上的結構性漏洞。

各國LV通報客戶的email及各國的報導
各國LV通報客戶的email及各國的報導

攻擊事件時間線總表

駭客攻擊模式解析:沒有病毒,反而更致命

本次事件的異常之處在於:

  • 沒有勒索程式
  • 沒有加密檔案
  • 沒有服務中斷
  • 只有——靜默存取與資料下載

根據各國官方公告,駭客未經授權存取的個資項目包含:

  • 姓名、性別、國籍
  • 電話號碼、電子郵件、郵寄地址
  • 出生日期
  • 購買紀錄與購買偏好資訊

雖未涉及支付工具資訊,但被盜的資料屬於高價值的個人輪廓資料(Profile Data,極具暗網販售與詐騙利用潛力。

因應LV客戶資料外洩,泰國CERT已發布資安通報,提醒各界注意潛在風險。Photo Credit: ThaiCERT

滲透手法:標準化的 APT 供應鏈攻擊

從土耳其資料保護局(KVKK)公布的通報內容可確認:

  • 駭客入侵是透過第三方服務供應商的帳號進入 LV 系統
  • 初期活動未觸發任何防毒或 SIEM 警報
  • 駭客在多國系統中橫向移動,逐一存取各地會員資料庫

這是典型的 Advanced Persistent Threat(APT 模式:

  •  長時間潛伏,避開監控
  •  利用供應鏈弱點繞過本地安全管控
  •  針對高價值資訊進行精準滲透與外傳

LV 的防禦機制可能沒有錯,但駭客不從你正門進來,而是從你的供應商跳板進入

為何精品品牌成為攻擊者首選?

精品顧客的資料不僅僅是「個資」,更是高價值的生活圖譜:

  • 常駐地與旅遊紀錄
  • 購買行為與消費頻率
  • 職業頭銜、VIP 等級、關聯企業

這些資料足以支撐更高層次的資安威脅:例如CEO 詐騙(Business Email Compromise)精準勒索(Targeted Ransom),甚至是跨國經濟間諜活動(Economic Espionage)

對駭客而言,精品品牌會員比一般金融機構客戶更「可預測」、更容易掌握生活與財務行為,詐騙命中率也更

香港影響最廣:41.9 萬筆資料外洩

根據香港個人資料私隱專員公署於 2025/07/17 的說明,LV 香港(LVHK)於 7 月 2 日接獲法國總部通報,資料外洩已影響超過 41.9 萬名顧客,目前該事件仍在調查中,尚未出現相關投訴,但私隱公署已著手調查是否有延遲通報情形。

Photo Credit: 香港個人資料私隱專員公署

真正危機:品牌 IT 架構中的資安盲區

這起事件反映出精品品牌常見的資安死角:

1. 跨國多點架構缺乏集中監控

LV 各地系統似乎未啟用統一 SOC 或 SIEM 架構,導致入侵發生後直到總部發現異常,其他地區才陸續察覺問題

2. 對第三方帳號缺乏最小權限與監控機制

供應商帳號應具有嚴格的存取限制與 MFA 強制登入控制,並配合定期稽核,但此事件顯示缺乏有效防護。

3. 過度依賴傳統資安機制

防毒、防火牆、週期性檢查已無法阻擋 APT。駭客只需避開特徵式偵測,就能長驅直入。

對企業的資安建議

若你的企業也擁有 VIP 客戶、跨國 IT 架構與第三方整合環境,這起事件是一次重要預演。應立即檢視:

是否有針對 APT 的行為式偵測技術?
是否部署了 Decoy/Deception 誘捕系統?
是否建立中央事件監控與供應鏈權限管理機制?
是否未強化第三方帳號控管?

是否定期演練「資料靜默外洩」的應變流程?
資安是否仍被視為 IT 部門單一責任?

結語:駭客要的不是你賣的包,而是你守不住的信任

LV 花了幾十年建立的品牌價值與顧客信任,在一次看似無聲的入侵中遭到動搖。

這不是 LV 的單一問題,而是全球高端品牌、金融機構與國際企業都可能面臨的共通風險。

請問您的企業,能否在駭客開始下載資料的那一刻,第一時間察覺到異常?

如果答案是否,那麼您不是「是否會被攻擊」,而是「什麼時候會發現已經被攻擊」。

歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容

NoName057(16) 遭歐洲聯手重擊!從癱瘓台灣網站到遭全球通緝的駭客組織

Posted on by blogadmin

你是否還記得 2024 年那場突如其來的 DDoS 攻擊?當時,一個名為 NoName057(16) 的親俄駭客組織,短時間內癱瘓台灣多個重要政府與金融網站,引發社會廣泛關注。如今,一年過去,這個不斷挑釁台灣與西方盟國的組織,終於被國際聯手「出擊」──歐洲刑警組織(Europol)於 2025 年 7 月中旬發動代號為「Eastwood」的跨國行動,正式對其下重手!

國際聯手的「Eastwood 行動」:重創 DDoS 背後的操盤者

根據 Europol 發布的公告,本次「Eastwood 行動」由歐洲與北美共 12 國合作展開,針對 NoName057(16) 的攻擊基礎設施與成員進行打擊,成果如下:

  • 超過 100 台用於發動 DDoS 的伺服器被查封
  • 法國與西班牙共逮捕 2 名核心成員
  • 7 國執行 24 次搜索行動,並傳喚 13 人接受調查
  • 德國發布 6 張逮捕令,追緝俄籍幕後主腦

此外,行動還向超過 1,000 名低階參與者發出法律警告,對這類「去中心化、社群驅動」型態的駭客集團進行首度大規模執法,為國際資安治理寫下重要一頁。

回顧攻擊:從台灣到歐美,NoName057(16) 如何擾亂秩序?

NoName057(16) 並非傳統意義上的「高技術駭客」,他們最擅長的是「靠人海戰術癱瘓服務」。這個組織廣泛招募來自俄語社群的低技術成員,透過簡單的工具與任務系統,讓任何人都能「一鍵發動攻擊」。而整個流程,就像是一場數位化的遊戲競賽:

  1. 在 Telegram 或論壇發布攻擊目標
  2. 成員下載工具並同步發送海量流量
  3. 造成網站癱瘓後發布戰果
  4. 將攻擊包裝為政治勝利,擴散訊息

這樣的模式曾在 2024 年台灣總統大選前後大規模發生,短時間內有 45 個政府與金融單位網站遭攻擊,雖無資料外洩,但造成服務中斷,甚至行政院網站一度無法連線。

更令人警惕的是,2025 年初他們再度發動新一波攻擊,包含群光電子、青雲科技、世芯電子、台塑、大眾電腦等企業接連中招,推測有超過 30 個台灣網站同步遭殃。

不只台灣,NoName057(16) 的目標遍及歐美盟國

自 2022 年俄烏戰爭以來,NoName057(16) 將所有「支持烏克蘭」的國家視為敵人,從烏克蘭政府、美國金融機構、德國交通單位、加拿大基礎設施到北約與歐盟峰會官網,皆成為攻擊目標。

以德國為例,2023 年底至 2025 年中,已遭遇至少 14 波攻擊,波及超過 250 個單位;瑞士、荷蘭在舉辦重要國際會議期間也屢次被騷擾。儘管這些攻擊多為短暫癱瘓,卻對公信力與社會秩序造成重大衝擊。

台灣的資安韌性關鍵:DDoS 防禦需戰術升級

面對這類大規模、低技術卻高動員的攻擊模式,台灣在 2024 年後已有若干強化措施:

  • 在重大活動(如選舉)期間進入最高防護等級
  • 政府部門每日監測與通報攻擊狀況
  • 金融業與關鍵設施導入「流量快篩+自動阻斷機制」
  • 建立跨部會應變協調機制,加速恢復效率

然而,未來仍需進一步精進:

  • 建立以 AI 驅動的異常流量分析機制,提前辨識潛在攻擊
  • 強化與國際資安組織、CERT 情報共享機制
  • 教育民眾與企業避免設備成為攻擊跳板(如殭屍網路的一環)
  • 模擬各類攻擊演練,提高整體資安韌性與協同應變力

總結:Eastwood 行動只是開始,持續聯防才是關鍵

這場「Eastwood 行動」無疑是一次重擊,讓 NoName057(16) 傷筋動骨,也傳遞一個明確訊號:無論是多去中心化、多匿名的組織,只要挑戰全球資安秩序,終將被鎖定。

但資安專家普遍認為,這類駭客可能會 換個名字、改個平台,捲土重來。台灣要從這次國際行動中學習:除了防禦,更要主動偵測、提早反制,才能在下一次數位衝突中站穩腳步。

【資安深入解析】台灣半導體產業成中國駭客鎖定目標,三大間諜攻擊行動全面揭密

Posted on by blogadmin

從 2025 年春天開始 (2025年3月至6月),一場聚焦於晶片技術的無聲諜報戰,在台灣半導體產業間悄然展開。根據資安公司 Proofpoint 的最新揭露,有三個與中國有高度關聯的國家級駭客組織,鎖定了台灣半導體上下游企業發動社交工程與惡意軟體攻擊。

從晶圓代工、IC 設計、封測、供應鏈服務商,甚至延伸至半導體投資圈,這些攻擊背後不僅僅是勒索金錢,更像是精心策劃的產業諜報滲透。本文將帶您解析三起關鍵事件,從攻擊手法與後門植入策略,直擊這場跨境情報戰的真相。

▍晶片情報爭奪戰:中國情報重心為何轉向台灣半導體? 過去,中國的網路間諜行動多集中在政府、國防與基礎建設領域,但 2025 年以來,資安研究團隊注意到針對台灣半導體產業的釣魚攻擊與惡意信件數量激增,且攻擊模式更加精緻、目標更聚焦。

Proofpoint 指出,這波行動顯然是中國因應外部出口限制與技術封鎖的反制策略,試圖透過駭客滲透,繞過管制障礙,直接竊取高階製程、IC 設計、甚至供應鏈投資動向等關鍵情報。

UNK_FistBump RAR 檔案包含兩個不同的感染鏈- Photo Credit: Proofpoint
Photo Credit: Proofpoint

▍三大滲透行動剖析:攻擊者如何滲入產業核心

行動一:UNK_FistBump──滲透製造商 HR,後門潛入企業核心

今年 5 至 6 月,一批看似正常的應徵信件悄悄寄送至台灣晶圓廠與封裝測試廠的人資信箱。寄件人名叫「薛豪」,來自台灣大學材料系,附上詳細履歷與 PDF。然而,這些信封背後,藏著一個代號為「UNK_FistBump」的中國駭客組織。

這封信的附件其實是一個壓縮包,打開後會觸發兩條不同的惡意程式安裝流程(感染鏈)——分別植入國際知名的駭客工具 Cobalt Strike 以及中國自行開發的後門程式 Voldemort。

這兩個惡意軟體都使用合法的執行檔作為「跳板」,透過一種稱為 DLL sideloading 的技術來偷偷載入惡意程式,再利用 Google Sheets 或 VPS 主機作為遠端操控中心(C2)。更巧妙的是,他們使用外洩的台灣大學校內信箱發信,甚至對「履歷主題、系所、學校名稱」都下足工夫,讓收件人降低戒心。

他們假冒台灣大學畢業生向多家半導體相關企業投遞履歷,信件內容看似無害,卻內含經過雙重包裝的後門程式。目標明確:從 HR 進入、繞過防線,植入 Cobalt Strike 與 Voldemort loader,建立初步控制權限。

履歷誘餌檔案Photo Credit: Proofpoint

技術亮點:

  • 使用 RC4 + Base64 混淆的載入鏈
  • 正當程式如 javaw.exe 進行 DLL sideloading
  • C2 採用 Google Sheets 頻道,混淆流量來源
  • 多起案例中出現 CiscoCollabHost.exe 被用作載體

值得注意的是:這些攻擊雖模仿 APT41 工具鏈,但細節上的變化與基礎設施隔離顯示出明確分工,可能為子團隊或外包行動者所為

行動二:UNK_DropPitch──假投資公司釣出半導體投資分析師,部署定制後門

第二波行動明顯針對半導體產業中的財務與策略決策角色,例如晶片供應鏈研究員、投資銀行分析師等。

駭客透過假冒的投資信件夾帶惡意壓縮檔,利用合法應用程式 avlaunch.exe sideload 一組定制化後門「HealthKick」,具備穩定遠控能力。

關鍵細節:

  • 使用 XOR 混淆 + 自製 TLS 封包傳輸(FakeTLS)
  • 雙階段行動模式:先偵測環境、若發現目標價值高,便使用 Intel EMA 工具持續部署後門
  • 部分攻擊直接部署 TCP Shell,從 VPS 伺服器執行即時控制

攻擊過程保留了大量手動操作痕跡,明顯非自動化行動,駭客對目標價值有極高敏感度。

Photo Credit: Proofpoint

行動三:UNK_SparkyCarp 與 UNK_ColtCentury──AITM 攻擊與預備行動

第三組行動者則從身份與帳號攻擊切入,案例發生於某台灣大型半導體企業,駭客打造仿冒安全通知頁面(例如 accshieldportal[.]com),誘騙用戶登入並交出帳號密碼,這正是典型的 AiTM(Adversary-in-the-Middle)架構釣魚攻擊。

  • UNK_SparkyCarp:針對企業員工發送「異常登入通知」釣魚信,引導至攻擊者架設的 AITM 登入平台 accshieldportal[.]com,攔截認證 cookie。
  • UNK_ColtCentury:則以「法律合作邀請信」進行關係建立,部署 SparkRAT 為後續滲透鋪路。

這些攻擊以低觸發率、高偽裝度為特點,目的在於取得初始接點後滲透更深層網段。

Photo Credit: Proofpoint

深層交叉:中國駭客基礎設施出現重疊

Proofpoint 發現,這些攻擊者使用的控制伺服器,許多都託管在同一家俄羅斯 VPS 業者 ProfitServer,甚至取名都很一致——像是:

  • elliot-alderson-971.pserver[.]space
  • elliot-alderson-972.pserver[.]space

這些名稱向影集《駭客軍團》主角 Elliot Alderson 致敬,成為辨識攻擊來源的重要線索。

其中一個伺服器還持有 TLS 憑證 CN=AS.website,過去曾出現在與中國駭客 SideWalk 後門、MoonBounce惡意軟體攻擊等多起國際事件中。這顯示,這些攻擊組織之間可能共用基礎設施、或交換惡意工具模組

結語:台灣的晶片,正站在情報風暴的前線

▍結語:台灣成為晶片情報戰的第一戰場 這三起攻擊案例描繪出一幅清晰輪廓:中國正在將資安滲透焦點轉向高價值的科技與產業情報,而台灣,無疑正處於這場情報戰的最前線。

對企業而言,強化釣魚攻擊防範、落實信件驗證機制、監控 DLL sideloading 及可疑遠端工具的使用行為,已成為資安日常。

同時,也建議半導體產業鏈企業與政府資安單位強化聯防共享體系,快速通報可疑行為,集結情報反制這場看不見硝煙、但威脅實實在在的網路滲透戰。

資安提醒:技嘉主機板爆出 UEFI 安全漏洞,Secure Boot 防線遭繞過!

Posted on by blogadmin

你知道嗎?即使你每天小心防毒、勤做更新,如果電腦的韌體有漏洞,駭客還是有機會在開機前就控制整台機器。

最近,資安公司 Binarly 發現超過百款技嘉主機板的 UEFI 韌體存在安全漏洞,可能讓攻擊者植入一種名為「Bootkit」的惡意程式。這種程式會在你電腦啟動時就開始運作,不僅難以偵測,甚至重灌作業系統也無法移除

技嘉主機板爆出四大致命漏洞

Binarly 發現,這次漏洞影響的關鍵在於技嘉主機板內的 System Management Mode(SMM) 模組。SMM 是一個權限高於作業系統的隱密環境,僅能透過特殊的 System Management Interrupt(SMI)處理器 呼叫,並運行在被保護的 SMRAM 記憶體區塊 中。

然而,這次的四個漏洞(CVSS 嚴重程度皆為 8.2)包括:

  • CVE-2025-7029:SMI 處理函式驗證不足,導致 SMM 權限提升
  • CVE-2025-7028:可直接讀寫 SMRAM,植入惡意程式
  • CVE-2025-7027:允許攻擊者向 SMRAM 寫入任意內容
  • CVE-2025-7026:開啟持久化後門,攻擊者可完全控制韌體

根據 CERT/CC(美國卡內基美隆大學資安協調中心)的說法,這些漏洞可以在作業系統尚未啟動、進入睡眠狀態、或系統回復階段時觸發,繞過 Secure Boot 與 Intel BootGuard 等所有防線

這就是所謂的「幽靈入侵」──在作業系統尚未睜眼前,惡意程式就已掌控全場。

漏洞讓駭客有機會:

  • 寫入惡意程式到記憶體中(即使系統還沒開機)
  • 取得系統最高控制權限
  • 安裝 Bootkit 惡意程式,永久控制電腦

更糟的是,這些惡意程式可以在你按下開機鍵時就開始運作,完全不受 Windows、Secure Boot、或防毒軟體的保護。

哪些主機板受影響?技嘉修好了嗎?

漏洞的原始程式碼來自主機板韌體供應商 AMI(American Megatrends Inc.),雖然 AMI 有提供修補,但不是每家品牌都套用了這些修正。

目前,技嘉Gigabyte 已確認問題,並針對其中三項漏洞釋出韌體更新。但注意:

  • 有些舊款主機板已經停止支援,無法更新
  • 其他品牌(非 Gigabyte)也可能受影響,但還沒公布名單

如果你使用的是 舊款 Intel 平台的 技嘉 主機板,建議馬上上官網查詢有沒有可用的韌體更新。

我該怎麼做才能保護自己?

你可以採取以下幾個步驟來降低風險:

  1. 確認你的主機板型號是否受影響(查詢技嘉官網)
  2. 更新 UEFI 韌體(如果有提供更新)
  3. 使用免費工具(如 Binarly 的 Risk Hunt Scanner)進行檢查
  4. 若主機板已停止支援,考慮更換硬體
  5. 在企業環境中,將韌體也納入資安檢查與演練範圍

為什麼這值得你關注?

這類漏洞代表的是一種最難防範的攻擊方式:它不是發生在系統內部,而是從最底層開始入侵。

當駭客能在開機時就控制你的電腦,所有你平常仰賴的資安工具幾乎都無法阻止。這就是為什麼現在越來越多企業把「韌體安全」納入整體資安策略裡。

【威脅速報】新型 Scraper Botnet 全球擴散,台灣成主要攻擊跳板,54% 節點集中於台灣

Posted on by blogadmin
Photo Credit: Grey Noise

近期,威脅情報平台 GreyNoise 公開揭露一項重大發現:一支全新未被追蹤的 Scraper Botnet 變種自 2025 年 4 月下旬開始大規模活動,至今已識別超過 3,600 個活躍 IP 位址。與傳統惡意殭屍網路不同的是,該變種利用極簡的偽裝方式掩人耳目,但實際網路行為具高度一致性與特徵性,難以被傳統防禦手段攔截。

令人關注的是,GreyNoise 分析指出, Botnet 節點有高達 54%(1,934 個 IP)來自台灣,遠高於其他國家,顯示台灣已成為這波自動化攻擊的關鍵跳板與感染熱區。

看似無害,實則難防:Botnet 偽裝技術再升級

根據 GreyNoise 公布的觀測資料,這支 Botnet 表面上看起來極為簡單,只使用了「Hello-World/1.0」這樣容易偽造的 User-Agent 字串。然而,實際上它的危險之處並不在表面特徵,而是其獨特且一致的網路行為模式

為偵測這種難以用傳統特徵辨識的威脅,GreyNoise 運用了進階的 JA4+ 行為指紋技術,透過以下方式進行識別:

  • JA4H:記錄 HTTP Header 欄位的排序與結構特徵。
  • JA4T:分析 TCP 連線建立時的行為細節。

這兩組指紋結合後,形成了具有全球唯一性的網路識別標記,無論攻擊者如何變換 IP、隱藏身份,都難以逃過這種「行為為本」的偵測技術。

台灣成為主要節點集中地,威脅態勢不容小覷

統計指出,該 Botnet 活動遍佈全球,然而高達 54% 的參與節點來自台灣,其次為日本(9%)、保加利亞(7%)、法國(3%)。這種集中現象極可能代表:

  • 台灣某些被廣泛使用的技術或服務存在已知或未知漏洞,遭大規模濫用。
  • 本地企業設備可能因弱密碼設定、未更新韌體、暴露管理介面等原因,成為 Botnet 的節點。

地理分布與重點警示

此次 Botnet 中的 3,600 多個 IP 來源地分析如下:

台灣 IP 所佔比重異常高,顯示可能存在一種「在地性共通漏洞」或「被廣泛部署但遭入侵的共通技術元件」,建議國內資安單位與廠商高度關注。

攻擊模式簡介

  • 首次偵測時間:2025 年 4 月 19 日
  • 主要特徵:重複發送 HTTP GET 請求至 TCP 埠口 80~85
  • 攻擊對象:美國與英國的系統為主要目標
  • User-Agent:Hello-World/1.0(可輕易偽裝)
  • 指紋識別:JA4H + JA4T 行為組合,構成唯一識別特徵

威脅程度評估:潛在風險極高

超過九成以上的節點非惡意即不明,極需持續監控並提高警覺。

防禦建議:從阻斷到監控,建構行為式防線

針對這波 Botnet 活動,我們建議企業資安團隊立即採取以下行動:

封鎖已知攻擊 IP

  • 將其納入防火牆、WAF、IDS/IPS 的封鎖清單,減少潛在連線風險。

內部連線行為稽核

  • 全面檢視內部裝置是否曾與該批 IP 建立連線。
  • 特別關注未經管理的 IoT、遠端工作站或閘道設備。

行為式監控與指紋比對

  • 導入 NDR/XDR 等具 JA4+ 支援的偵測工具。
  • 定期檢查是否出現類似行為模式,以提前識別潛在攻擊變種。

為何這波 Botnet 值得特別關注?

  • 攻擊不再仰賴惡意程式,而是以行為特徵為主軸進行滲透與偵查
  • 傳統靜態黑名單偵測方式已無法有效對抗此類威脅
  • 台灣網路資源疑似遭系統性濫用,潛藏區域性安全破口

這類以行為為核心的 Botnet 架構,正快速成為未來自動化攻擊的主流工具,企業若仍停留在傳統防護觀念,將難以有效識破滲透。

結語:提升可視性,強化台灣資安韌性

Scraper Botnet 雖不像勒索軟體那樣立即造成業務癱瘓,卻透過長期資料擷取與持續異常流量消耗,對企業營運資源與資訊資產構成實質威脅。

台灣作為此次最大來源地,除了暴露本地設備風險,更應警覺是否存在共通性漏洞仍未被揭露。唯有落實資安行為監控、導入先進威脅識別技術,台灣企業才能真正擺脫成為全球攻擊跳板的命運。

【資安事件解析】駭進麥當勞 AI 招募平台竟只花30分鐘:弱密碼「123456」讓6,400萬筆應徵資料全暴露!

Posted on by blogadmin

當你透過麥當勞的線上平台應徵工作時,你的履歷、聯絡方式、人格測驗結果,可能早已暴露於網路世界,原因竟然是──登入帳號密碼設定為「admin / 123456」。

據科技媒體《Wired》報道,這起震驚全球的資安事件由資安研究人員 Ian Carroll 與 Sam Curry 於 2024 年 6 月 30 日揭露,他們原本只是出於好奇想測試麥當勞使用的 AI 招募機器人「Olivia」,沒想到僅花了短短 30 分鐘,便取得了麥當勞招募平台 McHire的後台權限,得以存取歷年來高達 6,400 萬筆的應徵紀錄。

一則 Reddit 貼文,引爆一場資安風暴

這場揭露始於 Reddit 上的一篇抱怨貼文,貼文者表示:「麥當勞的 AI 招募系統快把我逼瘋了。」Carroll 看到後決定親自應徵測試,與 Paradox.ai 開發的聊天機器人 Olivia 互動。

過程中,他發現網站上有一個供 Paradox.ai 員工使用的後台登入連結。出於測試心態,他們試著輸入最常見的帳密組合:「admin / 123456」──竟然直接登入成功,系統甚至未啟用多因子驗證(MFA),就讓他們獲得後台管理者權限。

Photo Credit: Wired

駭客眼中的「夢幻入口」

登入後,他們發現這是一間名為「測試餐廳」的虛擬單位,內部帳號大多為 Paradox.ai 的開發人員。他們將自己的應徵資料透過 Olivia 提交後,隨即從後台成功查詢到這筆紀錄。

更糟的是,他們透過修改申請者的流水號 ID,就能依序存取其他人的應徵紀錄,包含姓名、電子信箱、電話與對話紀錄等,這代表駭客不需任何進階技巧,就能一筆一筆地翻出其他人資料。

雖然出於道德與法規考量,他們僅查閱了少量樣本以確認資料真實性,但根據推算,這個平台中儲存了多達 6,400 萬筆歷年應徵紀錄,其中包含大量可被用於釣魚、社交工程、或冒充招募人員進行詐騙的資訊。

漏洞揭露後,Paradox.ai 承認疏失

事件曝光後,Paradox.ai 隨即發聲明表示,這個帳號原本只是用來測試的,從 2019 年後就沒再用過,但一直沒有關閉,結果變成了資安漏洞的破口。Paradox.ai強調該帳號僅由兩位研究人員登入,並未被其他未授權人士利用。同時宣布將啟動 漏洞獎勵計畫(Bug Bounty Program,以強化平台防護機制。

Paradox.ai 法務長 Stephanie King 向《Wired》表示:「我們不會輕忽這件事,雖然已迅速修補,我們也願意承擔責任。」

麥當勞則將責任歸咎於第三方供應商,並發布聲明指出:「我們對 Paradox.ai 所造成的資安漏洞深感失望,問題已於當天修復,未來將更加強化對供應商的資安要求。」

專家觀點:最可怕的不是駭客,而是「預設密碼」與鬆懈文化

這起事件凸顯的不只是 AI 招募平台的技術問題,更是一場系統性資安管理的失敗。從 Reddit 抱怨貼文,到弱密碼帳號、無 MFA、防護不足的測試環境,這些看似微小的疏忽,最終導致數千萬筆資料暴露。

對於有心人士來說,這樣的平台就如同未上鎖的大門,甚至還在門口貼了標籤:「歡迎使用預設密碼」。

對企業的五點資安建議:自動化 ≠ 放棄基本安全

在導入 AI 招募或自動化流程的同時,企業與第三方服務供應商必須強化以下資安措施:

  1. 禁用預設帳號密碼:所有帳號應強制設定高強度密碼,禁止使用常見組合如「admin / 123456」。
  2. 強制實施多因子驗證(MFA:無論是後台管理或內部測試帳號,皆應啟用 MFA。
  3. 封存與移除測試帳號環境:開發與測試用帳號應於上線前徹底刪除,避免殘留漏洞。
  4. 加強第三方供應商稽核與合約要求:供應商必須符合 SOC 2、ISO 27001 等國際資安標準,並定期接受審查。
  5. 導入漏洞獎勵制度(Bug Bounty:主動邀請白帽駭客協助發現潛在風險,避免重大資安事件發生。

結語:AI 效率的背後,是更高的資安責任

AI 帶來效率與便利,但也將大量個資集中於單一平台,一旦保護機制鬆散,就會成為駭客眼中的黃金標的。這次的「123456 密碼門」不僅是 Paradox.ai 的失誤,更是一記警鐘:企業與供應鏈不能只追求數位化與效率,卻忘了最基本的資安底線。

在數位時代,真正的競爭力,來自於「能不能讓你的客戶資料睡得安穩」。