分類: 資安

2025 年 10 月，美國司法部(The US Department of Justice)與 FBI 聯手法國網路犯罪中央局（BL2C）及巴黎檢察官辦公室，成功查封與駭客組織 Scattered Lapsus$ Hunters有關的最新 BreachForums 網域。
這場跨國執法行動，不僅代表當局對長期橫行於駭客圈的「資料販售帝國」再度出手，更揭示了網路犯罪從「論壇交易」到「勒索壓迫」的新演化階段。

BreachForums：從駭客論壇到勒索平台的轉型

BreachForums 的歷史可追溯至 2022 年，最初作為知名駭客論壇 RaidForums 的繼任者，由駭客「Pompompurin」（本名 Conor Brian Fitzpatrick）創立，曾是全球最大規模的外洩資料交易平台之一。
然而，隨著 Fitzpatrick 於 2023 年遭到逮捕、2025 年再度被判刑三年，論壇多次易手並被重啟。到了今年七月，ShinyHunters 重新開啟的版本已不再是傳統的駭客論壇，而是一個專門針對 Salesforce 企業客戶進行勒索與資料外洩的「明網（clearnet）勒索平台」。

這次 FBI 查封的正是該平台的明網網域——breachforums.hn。
目前該頁面已被美法兩國政府的查封公告取代，但與之對應的暗網（onion）版本仍在運作，顯示執法單位可能僅掌握部分後端基礎設施。

FBI滲透行動：暗網也不再是避風港

當 BreachForums 明網版本被查封時，駭客在 Telegram 上發出挑釁訊息：

“Seizing a domain does not really affect our operations, FBI… try harder ;)”語氣滿是嘲諷。但不久後，他們的頻道突然被鎖定，成員「失聯」、群組陷入混亂。
顯然，這場「網上叫囂」的背後，FBI 的滲透已經深入。

ShinyHunters 隨後公開一則 PGP 簽章訊息，承認所有 BreachForums 網域與伺服器被奪走、資料庫「遭摧毀」，甚至懷疑 FBI 直接入侵後台、控

制整個基礎架構。這意味著連暗網，也不再是駭客的避風港。然而，他們同時宣稱：「這次查封不影響我們的 Salesforce 攻擊行動。」

駭客更在訊息中表示，若目標企業未在截止期限前付款，將於 美東時間 10 月 10 日晚上 11:59 公開超過 10 億筆 Salesforce 外洩資料。
受害名單疑似包括國際知名企業如 萬豪、谷歌、思科、豐田、Gap、Qantas、Disney、McDonald’s、UPS 等。
Salesforce 已公開表態拒絕支付贖金，意味著這場「資料倒數計時」恐怕只是時間問題。

法網恢恢：執法的勝利與駭客的困獸之鬥

這次的 BreachForums 查封並非孤立事件，而是國際執法部門長期追擊的結果。
事實上，自今年六月法國警方在巴黎逮捕包括 ShinyHunters、Hollow、Noct、Depressed 等主要管理員後，駭客社群內部便開始懷疑 BreachForums 已遭滲透，甚至成為執法單位的「蜜罐（honeypot）」。

Sophos 的資安專家 Aaron Bugal 在評論中指出：

「雖然這次行動暫時擾亂了駭客的節奏，但這只是長期戰中的一小步。執法單位正持續緊逼，他們的藏身之處越來越少。」

專家觀點：從這起事件看網路犯罪的下一步

這起事件對資安專業人士而言，帶來三項深刻啟示：

駭客模式正在轉變

從論壇販售（marketplace model）轉向勒索壓迫（extortion model），駭客不再依賴仲介，而是直接威脅企業、透過「清網＋暗網雙軌」曝光資料，提高心理壓力與公關風險。

執法行動變得更具滲透性

此次查封不僅是「封網域」，更疑似包括滲透後台伺服器與掌握資料庫存取權，顯示執法單位在技術層面的滲透與情報合作能力大幅提升。

企業應強化社交工程防線

ShinyHunters 與 Lapsus$ 長期擅長以社交工程手法滲透企業內部帳號體系，例如誘騙客服、攻擊供應鏈或利用外包人員登入系統。這提醒企業：防線不僅在技術，更在人員教育與權限控管。

結語：暗網的神話，終將崩塌

當駭客組織以為「換個網域、轉進暗網」即可逃過追緝，FBI 與國際執法單位正一步步證明——網路犯罪並非無法可管的灰色地帶。
每一次的查封與逮捕，都是對地下世界的一次滲透與揭露。

對企業而言，真正的防禦不是等待攻擊發生後修補漏洞，而是建立「持續可驗證的安全韌性」。
因為在這場沒有硝煙的戰爭中，攻擊者不會停手，而防禦者也不該再被動。

Reference: https://www.cyberdaily.au/security/12753-fbi-seizes-clear-web-domain-linked-to-scattered-lapsus-hunters

Microsoft Defender 近期的「誤判事件」讓我們再次看到，過度依賴自動化安全系統，可能導致管理者在未經查證下做出錯誤決策。這起事件中，Defender 錯誤將仍在支援期內的 SQL Server 標註為停止支援版本，雖然微軟已迅速修復，但它揭露了一個更深層的議題——當防禦系統變得越「聰明」，我們是否也失去了質疑它的能力？

近期，微軟的旗艦資安平台 Microsoft Defender for Endpoint 再度登上資安圈討論熱點——原因不是新的攻擊手法，而是誤報（False Positive）事件。這次的受害者，是仍在主動支援期內的 SQL Server 2017 與 2019。

根據微軟官方服務通報與 BleepingComputer 的報導，Defender 近期在其 Threat and Vulnerability Management（威脅與弱點管理） 模組中，錯誤地將 SQL Server 標示為「End-of-Life（停止支援）」版本。

但事實上，SQL Server 2019 的支援期至 2030 年 1 月，而 SQL Server 2017 則延續到 2027 年 10 月——距離「退役」還有整整兩年。

問題根源：程式碼變更引發的誤判

微軟在後續公告中指出，問題源自於近期在「終止支援軟體判定邏輯」上的程式碼變更。這段變更意外導致 Defender 錯誤標記了部分 SQL Server 版本，使管理者在主控台上誤以為系統已不受支援。

微軟工程團隊已迅速推送修補更新，並表示將持續部署修正，逐步回溯導致誤報的程式碼異動。

雖然此次事件被列為「Advisory（通告級事件）」——意即影響範圍有限，但這起事件仍再度提醒我們：

在自動化防禦系統日益普及的時代，『誤報』本身已成為一種新的資安風險。

從資安專家的角度來看：「False Positive」不只是小事

許多企業導入 EDR/XDR 時，往往將焦點放在「漏報（False Negative）」，擔心系統沒抓到真正的威脅。然而，「誤報（False Positive）」的風險同樣不容忽視——特別是在 企業營運核心系統（如 SQL Server） 被誤判的情況下，可能導致以下後果：

1. 誤觸安全政策：IT 團隊可能誤以為系統已過期，進行不必要的升級或更動。
2. 威脅分析失準：Defender 的風險分數與優先修補建議可能因此失真，影響 SOC 判斷。
3. 浪費維運時間：安全團隊需額外花時間確認「是假警報還是真問題」，降低整體效率。

微軟近期的誤報事件接連發生

事實上，這已不是 Defender 首次出現誤報：

• 上週，微軟才修正了一起將 Dell 裝置 BIOS 韌體誤判為「過期」 的問題。
• 9 月底，Defender 也曾因蘋果企業安全框架的死鎖問題，導致 macOS 裝置出現黑畫面崩潰。
• 更早前，Microsoft 甚至在其 防垃圾郵件服務 中誤封鎖 Exchange Online 與 Teams 的 URL 開啟功能，造成使用者信任危機。

這些事件共同揭示出一個趨勢：

資安防禦系統越智慧、整合越全面，其背後的複雜度與連鎖效應也在同步上升。

專家建議：如何降低「誤報」帶來的營運風險

1. 建立二次驗證流程：在關鍵資產標示為高風險或停止支援時，應要求人工複核。
2. 整合多重情資來源：不要完全依賴單一資安平台的判定，善用 cross-validation（交叉驗證）。
3. 維護「誤報知識庫」：記錄曾發生過的誤報事件與處理方式，作為後續自動化修正的依據。
4. 主動追蹤供應商公告：像此次 SQL Server 誤報事件，若能及早掌握官方資訊，可避免誤動作或錯誤通報。

結語：自動化 ≠ 絕對可靠

微軟的 Defender 系列確實是企業防禦體系的重要一環，但這次事件再次提醒我們——
「自動化防禦」不是萬靈丹，人工智慧同樣需要人類智慧來監督。

在資安防線日益複雜的今日，保持警覺、建立多層驗證機制，才是讓防禦系統真正「防而不誤」的關鍵。

據BleepingComputer的報道，近期Microsoft Defender for Endpoint 被發現存在一項程式邏輯錯誤，導致大量誤報(False Positive)警報，誤將部分 Dell 裝置的 BIOS（基本輸入/輸出系統） 判定為已過期並需要更新。實際上，這些設備上的 BIOS 版本往往已經是最新版本。

此問題已由微軟正式追蹤（事件代號 DZ1163521），並確認原因出在 Defender for Endpoint 的漏洞評估模組。該模組在擷取與判讀 Dell 裝置 BIOS 資料時出現程式錯誤，導致錯誤地將最新韌體版本標示為「存在漏洞」。

對企業與資安團隊的影響

1. 警報疲勞（Alert Fatigue）
   資安分析師需要持續面對大量重複且不正確的 BIOS 警告，可能造成人員對真正的安全威脅逐漸麻木，增加忽略重大資安事件的風險。
2. 營運成本增加
   IT 與 SOC 團隊必須投入額外時間調查、驗證這些錯誤警報，進一步消耗人力與資源，轉移了對實際威脅的防禦與回應。
3. 混淆漏洞管理
   在集中式資安監控架構中，供應商特定的韌體與軟體版本管理本就複雜，這類誤判更凸顯了跨平台漏洞管理與偵測正確性的重要性。

微軟的回應與修復進度

• 微軟已在 2025 年 10 月 2 日 發布更新，確認工程團隊已開發完成修復程式，並正準備在下一次排程更新中進行部署。
• 當前事件狀態仍為 「OPEN」，受影響的組織應持續透過 Microsoft 服務健康看板（Service Health Dashboard） 追蹤 DZ1163521 的後續修復公告。
• 在正式修補程式發布前，系統管理員需 手動驗證 Dell 裝置 BIOS 狀態，以區分真實漏洞與誤判警報。

專家觀點與建議

這起事件並非 Dell BIOS 存在漏洞，而是 微軟防護平台邏輯錯誤 所導致的誤報。從資安專家的角度來看，有以下幾點值得注意：

1. 警報品質與信任度
   偵測引擎若缺乏準確性，將直接影響企業對資安平台的信任度。錯誤率過高不僅消耗資源，更可能使防禦人員錯失真正的威脅跡象。
2. 多層次驗證的重要性
   企業應建立 多重驗證流程，避免僅依賴單一安全平台的自動化結果。例如，透過廠商官方工具或內部稽核程序再次確認 BIOS 或韌體狀態。
3. 事件回顧與風險管理
   每一次平台錯誤事件都是檢討契機。組織需思考如何在 集中式漏洞管理 與 供應商品牌特定管理 之間建立平衡，減少因偵測邏輯差異造成的誤判風險。

總結
本次 Microsoft Defender for Endpoint BIOS 誤判事件，凸顯了集中式資安平台在跨硬體環境中維護偵測準確度的挑戰。雖然微軟已經著手修復，但在修補正式發布前，組織仍需保持警覺，透過人工驗證來避免誤判帶來的營運壓力與安全盲點。

想像一下：公司網路邊界的防火牆，本該是抵禦駭客的第一道防線，但如今卻成了駭客眼中的「入口大門」。這正是 CVE-2024-3400 —— 一個存在於 Palo Alto Networks PAN-OS GlobalProtect 的重大漏洞，正被全球駭客積極掃描與利用。

為什麼這個漏洞這麼危險？

這不是一般的安全弱點。CVE-2024-3400 的 CVSS 風險分數高達 10.0 —— 最高級別。

• 無需帳號、無需驗證：任何人只要透過網路就能嘗試攻擊。
• 任意檔案建立 → 指令注入 → Root 權限：一旦成功，駭客能直接控制防火牆。
• 邊界防禦失守：如果防火牆被攻陷，企業內網幾乎等於完全暴露。

攻擊手法與風險

CVE-2024-3400 涉及 任意檔案建立（Arbitrary File Creation） 的缺陷，攻擊者可藉此進一步進行 OS 指令注入（Command Injection），最終取得防火牆的 root 等級權限。

據Cybersecurity News報道，從 2025 年 9 月下旬開始，全球蜜罐偵測到成千上萬次針對 PAN-OS SSL VPN Portal 的掃描與連線嘗試。

• SANS Technology Institute 公布的一個案例顯示，來源 IP 141.98.82.26 多次向 /ssl-vpn/hipreport.esp 發送惡意 POST 請求，利用 Session ID 驗證不足 的弱點。
• 攻擊流程中，駭客會在 Cookie 標頭 中插入惡意指令，成功寫入檔案後，再以 GET 請求驗證檔案是否存在，並進一步將惡意檔案移動至可執行的目錄，實現系統層級的控制。

這些自動化攻擊行為突顯了該漏洞的嚴重性與被武器化的速度。

誰會受影響？

只要是 啟用了 GlobalProtect Gateway 或 Portal 的以下 PAN-OS 版本，都是攻擊目標：

• PAN-OS 10.2：10.2.9-h1 之前
• PAN-OS 11.0：11.0.4-h1 之前
• PAN-OS 11.1：11.1.2-h3 之前

值得注意的是，Cloud NGFW 與 Prisma Access 不受影響，風險主要鎖定在 內部部署的防火牆設備。

立即行動：企業該怎麼做？

1. 馬上更新修補：升級至最新安全版本（10.2.9-h1、11.0.4-h1、11.1.2-h3）。
2. 啟用威脅防禦簽章：套用 Palo Alto Networks 提供的簽章（95187、95189、95191）。
3. 檢查日誌異常：查看 GPSvc logs，若 Session ID 中出現檔案路徑或 Shell 指令，就代表可能遭到攻擊。
4. 系統檢視：確認 GlobalProtect 設定，並檢查 /var/appweb/sslvpndocs 是否有可疑檔案。

專家提醒

這起漏洞凸顯了幾個關鍵資安教訓：

• 零門檻攻擊，人人都是目標：這不是鎖定高階標的的 APT，而是任何暴露在網路上的設備都可能中招。
• 防火牆 ≠ 絕對安全：邊界設備一旦被奪權，後果比一般伺服器更嚴重。
• 漏洞管理與快速修補是關鍵：面對已被武器化的漏洞，「速度」就是防禦成敗的關鍵。

結語：CVE-2024-3400 已被駭客大規模自動化攻擊利用，若還未修補，等於主動把企業大門打開。現在正是檢查系統、立即更新與強化監控的最好時機。別等到發現防火牆變成「駭客的控制中心」時才後悔。

在全球資安戰場上，電子郵件與通訊系統仍然是最具戰略價值的目標，近期 Palo Alto Networks 旗下 Unit 42 的研究揭露，中國國家支持的駭客組織 Phantom Taurus 已持續三年以上，入侵並控制 Microsoft Exchange 郵件伺服器，長期竊取各國外交部、使館與國防相關單位的敏感資料。

這場長期的間諜行動，不僅展現了 APT（Advanced Persistent Threat，高級持續性威脅）組織的典型特徵，也提醒防禦方必須重新檢視 核心通訊基礎設施的安全性。

Phantom Taurus 的戰略目標與攻擊範圍

Unit 42 觀察到，Phantom Taurus 主要目標包括：

• 外交部門與駐外使館：蒐集外交談判、國際會議、戰略合作等敏感資訊。
• 國防與軍事通訊：追蹤軍事演習、武器交易、區域安全動態。
• 區域戰略要地：特別是 阿富汗、巴基斯坦、中東國家，這些皆屬北京長期關注的地緣政治熱點。

研究指出，許多攻擊事件發生在 國際重大事件或軍事局勢變動之前後，顯示該組織的情報行動與中國國家戰略存在高度一致性。

攻擊鏈解析：從 MS Exchange 到 IIS

Phantom Taurus 並非依賴單一工具，而是建立了一整套長期滲透的技術鏈：

1. 初始滲透

• 利用 Exchange 伺服器漏洞：APT 攻擊常透過已知或 0-day 漏洞，取得對郵件伺服器的存取權限。
• 部署後門程式：植入持久化存取的後門，確保即使系統修補後，仍能繼續存取。

2. 情資蒐集

• 鎖定郵件內容：攻擊者會特別搜尋與外交、軍事活動相關的電子郵件。
• 擴展到資料庫：研究團隊發現攻擊者編寫 自訂 SQL 腳本，能動態查詢資料庫並匯出資料，表示其目標不僅限於郵件，而是擴大至內部業務資料。

3. 維持隱匿性

• NET-STAR 惡意軟體：一個新發現的工具組，專攻 Microsoft IIS 伺服器。
• IIServerCore 後門：採取 無檔案(fileless) 技術，程式直接執行於 IIS 記憶體中，不會留下檔案於磁碟，因此傳統防毒與檔案掃描極難偵測。
• 動態策略切換：一旦發現防禦方開始偵測，Phantom Taurus 會迅速更換工具或基礎設施，增加追蹤難度。

Phantom Taurus 與其他中國 APT 的連結

Unit 42 指出，Phantom Taurus 的基礎設施與戰術技術（TTPs）與 Mustang Panda、Winnti 等中國 APT 組織有重疊跡象。這代表其背後可能存在 共享基礎設施 或 國家級協作。

對防禦者而言，這意味著單一事件不能只視為孤立攻擊，而是必須放在更大範圍的 中國網路作戰生態系 中去理解。

防禦啟示：如何因應長期滲透威脅

Phantom Taurus 的案例對全球資安社群提出幾項重要警示：

1. 郵件與通訊伺服器是戰略要害
   • Exchange、O365、IIS 等服務，往往是組織日常運作的核心，卻同時是 APT 的首要目標。
   • 建議：持續進行漏洞修補，並強化郵件伺服器的行為監控。
2. APT 攻擊並非一次性，而是長期性
   • 攻擊者可能潛伏數月甚至數年，持續擷取資訊。
   • 建議：導入 持續威脅獵捕 (Threat Hunting)，主動尋找異常行為，而非僅依賴警報回應。
3. 無檔案攻擊是新常態
   • 傳統防毒依賴檔案特徵比對，對於記憶體中的惡意程式偵測能力有限。
   • 建議：部署 EDR/XDR 解決方案，針對記憶體層級行為進行監控。
4. 情報導向的防禦必不可少
   • 單靠技術防禦不足，需結合威脅情報（Threat Intelligence），理解攻擊者的戰術、基礎設施與攻擊目標。
   • 建議：建立 情資共享機制，與產業、政府單位合作，以提升整體防禦能力。

Cisco 近日發布緊急安全通告，要求用戶立即修補 Cisco Secure Firewall Adaptive Security Appliance (ASA) 與 Cisco Secure Firewall Threat Defense (FTD) 軟體中兩項重大零日漏洞。根據 Cisco 的說明，這些漏洞已在實際環境中被利用，可能對企業與政府機構的網路邊界設備造成嚴重威脅。

兩大零日漏洞重點

• CVE-2025-20333 (CVSS 9.9)
  漏洞源於 HTTP(S) 請求對使用者輸入驗證不當。攻擊者若擁有合法 VPN 帳號，透過特製 HTTP 請求即可在受影響設備上以 root 權限執行任意程式碼，風險極高。
• CVE-2025-20362 (CVSS 6.5)
  同樣因輸入驗證缺陷，允許未經驗證的遠端攻擊者存取受限 URL 端點，輕易繞過認證控制。

Cisco 表示，目前已觀察到針對這兩個漏洞的 嘗試性利用行為，並懷疑駭客可能將兩漏洞 串連使用，以突破認證機制並執行惡意程式。

國際資安單位協助調查

此次漏洞事件獲得多國政府資安單位支援，包括：

• 澳洲資安局 (ASD / ACSC)
• 加拿大網路安全中心
• 英國 NCSC
• 美國 CISA

美國 CISA 更發布緊急指令 (ED 25-03)，要求聯邦機構 24 小時內檢測與修補，並將兩漏洞納入 已知遭利用漏洞 (KEV) 清單。CISA 警告，APT 攻擊者已展開大規模攻擊，利用零日漏洞對 ASA 設備進行未經授權的遠端程式碼執行，甚至修改 ROM 以在重啟或升級後持續存在，對受害網路構成重大風險。

攻擊活動已被追蹤至代號 ArcaneDoor 的威脅集團，背後行為者為 UAT4356 (又名 Storm-1849)。該集團過去曾針對多家廠商的邊界設備投放惡意程式，例如 Line Runner 與 Line Dancer。

其他相關漏洞與攻擊趨勢

Cisco 同步修補了第三個高危漏洞 CVE-2025-20363，存在於防火牆與 Cisco IOS 軟體中，允許未經驗證的攻擊者遠端執行任意程式碼。

資安公司 GreyNoise 監測到，2025 年 8 月底曾有多達 25,000 個獨立 IP 針對 ASA 登入入口及 Cisco IOS Telnet/SSH 服務進行大規模掃描。過往統計顯示，類似偵察行為在 80% 情況下會伴隨新漏洞公開與攻擊爆發。

此外，Cisco 近期亦釋出針對 Cisco IOS / IOS XE 軟體的高風險零日漏洞修補，並於今年五月提醒使用者，Wireless LAN Controller 存在極高風險漏洞，可被未經授權的攻擊者遠端接管設備。

資安專家觀點與防護建議

這波針對 Cisco ASA/FTD 的攻擊事件凸顯了 邊界防火牆與網路設備的高價值目標特性。APT 攻擊者已掌握零日漏洞與 ROM 持久化技術，使得受影響設備在被攻陷後可持續存在控制程式，對企業及政府網路防護造成重大挑戰。

建議措施：

1. 立即更新：所有 Cisco ASA/FTD 設備應升級至官方修補版本。
2. 檢查異常行為：強化設備日誌與流量監控，特別注意未授權存取、異常重啟或 ROM 修改跡象。
3. 限制暴露面：避免將管理介面直接暴露於公網，並限制可存取來源 IP。
4. 應變演練：將邊界設備納入資安演練，確保遭入侵時能快速隔離與復原。

結語
Cisco ASA/FTD 零日漏洞事件已被證實為大規模、持續性攻擊，涉及高度進階威脅行為者 (APT)。所有使用相關設備的單位應立即採取行動完成修補，防止網路資安遭受重創。

過去這個週末，多個歐洲主要機場的 線上報到與登機系統 遭到勒索軟體攻擊，影響 倫敦希斯洛、布魯塞爾、柏林布蘭登堡 等機場，導致航班大規模延誤或取消。攻擊自週五(9/19)深夜開始，迫使地勤人員轉為 人工報到與登機作業，造成長龍與數千名旅客滯留。

攻擊目標：Collins Aerospace MUSE 系統

此次攻擊鎖定了 Collins Aerospace，美國大型航太與國防科技公司，隸屬於 RTX (前 Raytheon Technologies)。駭客入侵其 MUSE (Multi-User System Environment) 軟體，該系統為多家航空公司提供共用報到與登機平台。

根據BBC的報道，希斯洛機場內部文件指出，超過 1,000 台電腦 可能已遭破壞。Collins Aerospace 被迫 重建與重新上線系統，但仍發現駭客存在。公司建議航空公司人員保持登入狀態，勿關閉系統。

事件影響

• 航班延誤或取消：歐洲超過 100 班航班 受影響。
• 人工作業：機場被迫回到人工報到，顯示人力流程在現代航空規模下的侷限。
• 旅客影響：數千名旅客面臨長時間等待、錯過航班等混亂情況。

ENISA 與英國 NCSC 表示，已介入調查，並與執法單位合作。Collins Aerospace 正積極修復系統，恢復正常運作。

歷史背景：BianLian 勒索集團

這並非 Collins Aerospace 首次遭攻擊。2023 年，BianLian 勒索集團 曾聲稱竊取 Collins Aerospace 20GB 資料，雖然公司未公開確認。這顯示航空供應商持續成為駭客鎖定目標。

專家觀點

1. 第三方依賴即關鍵風險
   Keeper Security 的CEO-Darren Guccione 表示：「單一供應商的技術事件可能迅速波及多個機場。」
2. 共用系統造成連鎖故障
   KnowBe4 安全專家 Javvad Malik 指出：「航空業高度依賴共用系統，一旦故障，會造成錯過連接航班、服務中斷，迫使員工使用人工作業。」
3. 資安投資仍有漏洞
   雖然投入大量資金購置先進工具，但分散管理與重疊控管容易造成漏洞。ThreatSpike CEO Adam Blake 強調，行業在保護關鍵運營上仍不足。
4. 航空業威脅持續升高
   根據 Check Point 的研究，航空業每週面臨超過 1,100 起攻擊，8 月甚至超過 1,250 起。駭客持續鎖定航空供應商，顯示此領域風險高度集中。
5. 營運與人力成本高
   雖然人工作業能暫時因應，但事件凸顯對第三方依賴的即時且高度可見風險。

重要啟示

• 強化第三方資安稽核：嚴格評估供應商資安實務，並強制遵守標準。
• 投資營運韌性：建立可在資安事件下維持運作的備援與復原系統。
• 跨國協作與情報分享：政府、航空公司與科技供應商需共享威脅情報，降低連鎖影響。
• 持續監控與快速回應：導入進階監控、主動威脅偵測與快速事件處理能力。

此次事件不只是暫時中斷，更是 全球航空業的警鐘。隨著航空業數位化加速，資安韌性必須與營運創新同步發展，以保障旅客、基礎設施及信任。

摘要（Executive Summary）

自 2025 年 3 月起，資安研究單位 Counter Threat Unit（CTU）持續追蹤一個高技術的駭客組織，CTU 將其命名為 GOLD SALEM（微軟稱作 Storm-2603）。該組織運用多重漏洞鏈（尤其針對 SharePoint 等對外服務）、自帶漏洞驅動程式（BYOVD）以及合法工具濫用的策略，成功在多個企業環境中建立持久後門並散播其自製的 Warlock 勒索軟體。截至 2025 年 9 月中旬，GOLD SALEM 已在其暗網外洩平台公開約 60 起受害案例，並透過倒數計時與資料販售進行施壓與牟利。

事件概況與地理分布

• 啟動時間：觀察期自 2025 年 3 月起顯著增加活動；2025 年 6 月起於地下論壇出現尋求漏洞與繞過 EDR 的貼文。
• 受害者分布：受害組織涵蓋北美、歐洲與南美地區，範圍從中小企業、政府機構到跨國企業。
• 外洩與變現：GOLD SALEM 在 Tor 平台分批發布外洩名單，並設定 12–14 天倒數期限；截至 9 月 16 日，僅約 32% 的案件公開資料，45% 的案件據稱已轉售私買家，顯示其多元變現路徑。
• 局部例外：該組織先前刻意避開中國與俄羅斯機構，但自 2025 年 9 月 8 日起出現將俄羅斯能源工程服務商列入外洩名單的情形，顯示其目標選擇正演變，不受傳統地域限制。

攻擊手法與技術細節（Technical Deep Dive）

1. 初始入侵 — 漏洞鏈（ToolShell）

GOLD SALEM 以 ToolShell 類型的多漏洞串接攻擊為主，目標鎖定公開暴露的企業應用（例如 Microsoft SharePoint），具體涉及 CVE-2025-49704、CVE-2025-49706、CVE-2025-53770、CVE-2025-53771 等多個漏洞，藉以上傳/植入 ASPX Web Shell。

2. 建立持久化後門

透過已植入的 ASPX Web Shell，下行指令下載以 Golang 編譯的 WebSockets 後門（例如 wsocks.exe.txt），以建立持久且具彈性的 C2 通道，方便長期遠端控制與資料外洩。

3. 繞過防護 — BYOVD（Bring Your Own Vulnerable Driver）

攻擊者透過載入存在已知弱點的驅動程式（CTU 報告範例為百度防毒驅動 CVE-2024-51324），並將其偽裝為系統元件名稱（例如 googleApiUtil64.sys），以終止或干擾防護 agent，達成對 EDR 的繞過或削弱。

4. 憑證竊取與橫向擴散

採用 Mimikatz 從 LSASS 記憶體獲取憑證，並依序使用 PsExec、Impacket、Active Directory Group Policy（GPO）等合法管理機制進行橫向移動與擴散，最終以 GPO 或遠端執行工具大規模部署勒索載具。

5. 合法工具的惡意重用

GOLD SALEM 對合法工具的惡意濫用值得注意：例如濫用開源取證/管理工具 Velociraptor 與 Visual Studio Code 的遠端功能建立隧道，令可疑活動更難以透過傳統特徵辨識法偵測。

已知指標（IoCs） — 建議即刻匯入防護系統

ASPX Web Shell

• MD5: bfbeac96a385b1e5643ec0752b132506
• SHA1: de25be0afd53a1d274eec02e5303622fc8e7dbd5
• SHA256: 996c7bcec3c12c3462220fc2c19d61ccc039005ef

WebSockets 後門（wsocks.exe.txt）

• MD5: b3a099ecca79503a0e4a154bd85d3e6b
• SHA1: 6d0cc6349a9510b52394ad3436d1656ec5fba6a
• SHA256: a204a48496b54bcb7ae171ad435997b92eb746b5

建議：立即將上述雜湊值匯入 EDR/AV 的黑名單與 SIEM 告警規則，並在 Proxy、IDS/IPS、Firewall 與網路端點日誌中檢索相關下載來源（如 filebin 類服務）與可疑 WebSocket 連線紀錄。

偵測與回應（Detection & Response）— 可執行措施

網路偵測（Network）

• 偵測與封鎖非授權的長時間 WebSocket 連線，特別是來源為可疑域名或用非常態 port。
• 監控外發（egress）流量的 TLS SNI 與 HTTP Host 是否一致，檢測可能的資料外洩。
• 在 Proxy/Firewall 設定對常見檔案分享平台（filebin 等）下載的監控與警示。

端點/伺服器偵測（Endpoint / Host）

• 啟用檔案完整性監控（FIM），特別監控 webroot 與 IIS 檔案的新增/變更。
• 監控驅動載入事件，禁止未簽章或未知來源的 kernel driver 載入。
• 啟用 Sysmon 與 Process Access 監控，以偵測針對 LSASS 的記憶體讀取行為。
• 強化 PowerShell 的 ScriptBlockLogging 與模組活動監控，偵測可疑下載命令列（例如指向 filebin 的 wget/curl/powershell 下載）。

日誌與行為分析（SIEM / Hunting）

• 建立針對 SharePoint 非預期 POST/PUT（含大量 base64 或可執行 payload）的告警規則。
• 偵測短時間內對 ADMIN$、C$ 的多重遠端存取，以及 GPO（AD）物件異動（Event ID: 5136 等）。
• 設計行為分析規則（例如合法工具在非授權時間或來源被呼叫）。

事件應變（IR）要點

1. 若發現 Web Shell 或已知 IoC，立即隔離受影響主機網路（保留證據）。
2. 採集記憶體與磁碟映像（含 LSASS dump），蒐證以利根源分析。
3. 檢查 AD 是否有被濫用的管理憑證或 GPO 修改紀錄，封鎖被盜憑證。
4. 確認備份狀態並評估是否有資料外洩（exfiltration），啟動通報與法規義務（如適用）。
5. 在復原前確認根本原因已緊急修補與防護強化完成。

防護建議（Practical Recommendations）

短期（立即採行）

1. 掃描與修補：針對已知 CVE（特別 SharePoint、ESXi、Veeam）執行緊急修補或臨時阻擋設定。
2. 匯入 IoC：將上述雜湊值、可疑域名與 URL 匯入防護設備與 SIEM 的偵測規則。
3. 限制驅動載入：在可行範圍內啟用 kernel driver signing enforcement；審核近期 driver 變更。
4. 啟動監控：在關鍵伺服器啟用 Sysmon、FIM 與 PowerShell 日誌，立即建立高權限帳號異常行為告警。

中期（1–3 個月）

1. 建立或擴大威脅獵捕團隊（Threat Hunting），訂製可疑合法工具濫用的偵測工作流。
2. 導入零信任原則：分段網路、最小權限、Just-In-Time（JIT）管理權限。
3. 加強 AD 與 GPO 的稽核與變更控制，確保所有管理變更有可追溯紀錄。

長期（3 個月以上）

1. 建立 24/7 的 SOC 能力或與可信 MSSP 合作，持續關注新興 IoC 與攻擊技術演化。
2. 導入 immutable / air-gapped 備份策略並定期驗證還原流程。
3. 持續進行 Tabletop 演練與完整 IR runbook 的驗證。

專家觀點（Conclusion）

GOLD SALEM 的作為展示了現代勒索攻擊的一個趨勢：以漏洞串接、驅動程式濫用與合法工具惡用構成一條難以用單一防線阻擋的攻擊鏈。因此，組織必須從「簽章式偵測」轉向「行為式監控 + 持續獵捕 + 風險導向修補」的防護模式。對於高風險對外服務（例如 SharePoint、ESXi 等），應優先納入監控與強化防護策略，避免成為攻擊鏈的入口。