---

 SpaceBears 是誰？牠們不是可愛的熊

自 2024 年中旬首次在地下論壇浮出水面以來，SpaceBears 勒索軟體集團便以其精準滲透能力、高度模組化的工具鏈與策略導向的勒索戰術，迅速成為全球資安領域關注的焦點。

這並不是一個靠亂槍打鳥或自動化攻擊生存的團體。SpaceBears 以行業為目標、以資料為籌碼，專挑「夠大、夠值錢、又夠依賴數位營運」的企業下手。

---

台灣首起曝光：CRM 大廠被點名

在 2025 年 1 月 8 日，竣盟科技在例行暗網巡查時發現，SpaceBears 於其暗網網站上高調張貼公告，宣稱：

已成功滲透並入侵台灣某知名 CRM 系統大廠 的核心基礎架構，竊得包括客戶資料庫、內部系統結構與敏感專案資料等資訊。

該次攻擊為 SpaceBears 對台行動的首次公開記錄，引起產業震動。暗網上甚至附上數張檔案目錄與主機畫面截圖作為證據，展現駭客的掌控程度。

---

第二波攻擊：平面顯示器大廠淪陷

時隔數月，台灣第二家企業也被 SpaceBears 點名。

在 2025 年 4 月17日，SpaceBears 再度更新其暗網公告，公布第二位受害者為「台灣某知名平面顯示器大廠」，根據目前分析，該廠不僅涉及顯示技術核心開發，更是全球 OEM 供應鏈的關鍵節點。這代表 SpaceBears 已將攻擊觸角延伸至製造業、甚至硬體層級的國際供應鏈。

---

勒索策略剖析：他們不是亂槍打鳥

與傳統勒索集團不同，SpaceBears 採用高投入、高報酬的「滲透型雙重勒索」戰術，核心流程如下：

1. 事前偵查 (Reconnaissance)
   • 收集企業架構、供應鏈關係、外洩帳號資料或第三方漏洞。
2. 滲透與橫向移動 (Initial Access & Lateral Movement)
   • 利用 VPN 弱點、未修補 RDP 服務、0-day 漏洞攻入內網。
   • 部署自訂 C2 工具與合法系統工具（如 PsExec、WMI）橫向擴張。
3. 資料竊取 (Data Exfiltration)
   • 在未被偵測情況下導出設計圖、報價單、財務與人資資料。
4. 雙重勒索 (Double Extortion)
   • 加密系統後威脅曝光資料，甚至直接聯絡受害者客戶與合作夥伴。

這種模式讓受害企業在談判時幾乎毫無退路。

---

台灣連二受害：代表什麼？

當前這兩起攻擊事件的共同特徵如下：

• 高價值產業目標：CRM SaaS 業者與顯示器製造商皆屬數位依賴度極高的產業。
• 層層滲透式入侵：非靠單一漏洞即能攻破，顯示其內部滲透功力與情報整合能力。
• 可能的供應鏈串連風險：第一起攻擊後，可能透過資料進一步擴展其攻擊面。

這代表：

SpaceBears 對台灣的攻擊行動並非偶發，而是有策略、有階段性的滲透計畫。

---

對企業的實戰建議

部署行為型偵測工具（EDR / XDR / HIDS）

• 偵測 lateral movement、RDP 多點登入、PowerShell 腳本濫用等指標。
• 搭配 UEBA 模型進行異常判斷，避免單純依賴 signature。

✅ 鞏固邊界與身份安全

• 關閉不必要的 RDP/VNC/VPN 通道。
• 所有關鍵系統強制啟用 MFA、身份認證系統（如 IAM）。

✅ 建立資安事件演練與應變機制

• 每季進行勒索模擬攻防演練（含通報流程）。
• 事先建立公關聲明草稿、律師顧問合作機制。

✅ 強化備份與資料出境監控

• 實施不可變備份（immutable backup）。
• 出境資料流異常封包行為監控（exfiltration baseline）。

✅ 引入誘捕技術（Deception Technology）強化偵測與延遲攻擊

• 佈署虛擬主機、假帳號、假資料夾等誘餌資源，吸引駭客誤入陷阱。
• 可即時偵測未經授權的內部掃描或 lateral movement 行為。
• 有助於早期識別入侵並延長攻擊者停留時間，為防禦方爭取反制窗口。

---

結語：這不是終點，而是開始

SpaceBears 的攻擊正快速演化，他們將台灣納入攻擊範圍，顯示本地企業已成為國際網路犯罪集團的潛在肥羊。

這不只是單一企業的警訊，更是整個產業面對「資安成熟度測試」的重要時刻。

有關SpaceBears勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91

c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

8c69830a50fb85d8a794fa46643493b2

bbcf7a68f4164a9f5f5cb2d9f30d9790

2025 年 4 月 10 日，具俄語背景的勒索軟體麒麟（Qilin）又名 Agenda。 在其暗網洩密網站公開聲稱，已成功入侵南韓第二大財閥 SK 集團，並竊取逾 1TB 機密資料，並揚言若 48 小時內未獲回應，將全面洩露所有資訊。

該貼文於美東時間清晨約 6:30 發佈，截至當天下午，麒麟尚未釋出任何資料樣本佐證其主張，但已明確施壓，這是典型的 雙重勒索手法（Double Extortion）：先加密檔案，再以公開機密資料相威脅，以期雙重勒索獲利。

---

 目標分析：為何是 SK 集團？

SK 集團為南韓僅次於三星的跨國企業，業務涵蓋能源、半導體、ICT、電信、生技製藥、電動車電池等產業，全球員工超過 80,000 人，旗下擁有 260 家子公司，年營收達 911.5 億美元。該集團對美國投資遍及 20 州、超過 500 億美元，顯示其全球戰略布局與技術資產的高度價值。

麒麟此次明顯針對具「產業影響力、國際能見度、戰略科技掌握度」的企業進行攻擊，反映勒索集團已從「量產型廣撒網攻擊」轉向「定點滲透、高價值換金」的新策略。

---

 攻擊背景與行為模式分析

麒麟採用 勒索軟體即服務（RaaS, Ransomware-as-a-Service） 模式，讓惡意代理操作攻擊並獲得分潤。其作業流程高度組織化，可能包含以下攻擊階段：

1. 滲透初期：
   • 利用釣魚信或在暗網購買內部憑證（如 AD、VPN 憑證）
   • 利用漏洞（如 Citrix Bleed）獲得初始存取權限
2. 橫向移動與權限提升：
   • 利用 Mimikatz 或 LSASS Dump 獲取帳號密碼
   • 內部橫向掃描、攔截管理權限
3. 資料偵察與竊取：
   • 偵測機敏檔案位置（ERP、CAD 設計圖、R&D、財務、人資）
   • 大量外傳或封包封存等待脫離
4. 資料加密與勒索：
   • 加密核心系統並留勒索訊息
   • 發布通牒並於暗網揭露攻擊訊息以提高施壓

---

 MITRE ATT&CK 對照分析（麒麟常見技術）

近期攻擊軌跡：麒麟活動明顯升溫

根據統計：

• 過去四週內攻擊 68 家組織，僅次於 Babuk
• 過去 12 個月總攻擊數為 256 件，較 3 月初增幅近三成

已知攻擊受害機構包括：

• 美國 Lee Enterprises 新聞集團
• 休士頓交響樂團
• 底特律 PBS 公共電視台
• 日本宇都宮癌症治療中心（30 萬筆個資外洩）
• 英國 NHS 合作實驗室 Synnovis（勒索金達 5,000 萬美元）

麒麟被觀察到會竊取 Chrome 瀏覽器密碼、停用 端點防護系統（EDR），並廣泛利用如 Citrix Bleed（CVE-2023-4966） 等高風險漏洞，與 BlackCat/ALPHV 等先進集團有戰術相似性。

---

專家建議：企業應即刻採取以下防禦行動

1. 身份與存取控制（IAM）

• 強制部署 MFA，特別是 VPN、雲端控制台、管理介面
• 定期盤點停用不必要帳號與權限

2. 端點與行為監控（EDR/XDR）

• 採用具行為偵測的防護工具，可即時識別惡意行為（如腳本、記憶體注入）
• 建立異常自動隔離與通報流程

3. 離線與異地備份政策

• 關鍵資料每日備份並實體隔離，測試還原流程確保災難恢復能力

4. 橫向權限與流量管控

• 限制 SMB、RDP 等內網協定的跨部門使用與紀錄審核
• 監控不尋常的檔案移動行為與流量

5. 員工釣魚演練與教育

• 定期執行釣魚信模擬與教育課程
• 強化財務、人資、管理單位資安意識與保護

6. 誘敵欺敵技術（Deception Technology）

• 部署假資產（如假帳號、假資料夾、虛擬伺服器）誘捕內部或外部攻擊者

• 結合威脅偵測系統，快速識別滲透行為並啟動應變程序

---

結語：RaaS 生態系的進化，正衝擊全球企業風險模型

麒麟此次對 SK 集團的行動，揭示了一個日益明確的趨勢：勒索攻擊已進入精準化、企業級、供應鏈導向的高價值目標時代。

企業不再僅是系統被癱瘓，更面臨 商譽崩壞、股價波動、全球營運鏈中斷 的連鎖反應。面對 RaaS 生態系的擴張與技術專業化，企業應主動將資安風險納入 營運持續計畫（BCP）與治理框架中。

建議所有資安團隊立即針對上述防護措施進行盤點與強化，並持續監控 麒麟與其他高風險勒索集團的後續動態與威脅樣態。

​近期，臺灣產業界接連遭受兩大勒索軟體組織的攻擊，引發資安警訊。​鋼鐵業大廠遭受新興勒索集團 Underground 入侵，​而知名光電元件製造商則被麒麟組織（Qilin）鎖定並加密關鍵系統。​這些事件凸顯了我國製造業在資安防護上的挑戰與迫切需求。​

Underground：新興勒索集團鎖定鋼鐵業

初始入侵手法（Initial Access）：

根據資安專家的分析，Underground 集團透過釣魚郵件（phishing emails）進行初始入侵，誘使員工點擊惡意連結或附件，從而在企業內部網路植入惡意軟體。​

戰術與技巧（Tactics, Techniques, and Procedures, TTPs）：

橫向移動（Lateral Movement）： 利用合法的系統管理工具（如 PsExec）在內部網路中移動，擴大控制範圍。​

憑證竊取（Credential Dumping）： 使用 Mimikatz 等工具竊取帳號密碼，獲取更高權限。​

資料外洩（Data Exfiltration）： 在加密前，將關鍵設計圖、供應鏈資料等敏感資訊傳輸至外部伺服器。​

雙重勒索（Double Extortion）： 除了加密資料外，還威脅公開外洩的敏感資訊，以增加受害者支付贖金的壓力。​

麒麟組織（Qilin）：老牌勒索集團轉向光電產業

初始入侵手法：

麒麟組織利用暴露在外網且未妥善保護的遠端桌面協議（RDP）服務，透過暴力破解或利用已知漏洞取得初始存取權限。​

戰術與技巧：

自訂化勒索軟體（Customizable Ransomware）： Qilin 的勒索軟體以 Go 語言編寫，可針對不同目標進行客製化設定，增加攻擊成功率。​

跨平台攻擊（Cross-Platform Targeting）： 支援 Windows 和 Linux 系統，擴大影響範圍。​

隱匿行動（Stealth Operations）： 使用進階技術（如 API unhooking）避開資安防護軟體的偵測，延長在受害系統中的潛伏時間。​

臺灣產業面臨的資安挑戰

根據 2024 年的統計資料，臺灣的政府服務網絡（GSN）每日平均遭受 240 萬次攻擊，較 2023 年的 120 萬次翻倍成長。 ​其中，製造業每週平均遭受 4,175 次攻擊，顯示出產業界已成為駭客的主要目標。 ​

當面對日益複雜與頻繁的資安威脅，企業除了應強化傳統防禦措施，更需採取主動式的安全策略。專家建議，企業可從以下幾個關鍵層面進行強化，並納入誘捕與欺敵（ Deception）技術，提升整體資安防禦深度：

---

1. 提升全員資安意識，建立第一道防線

定期舉辦針對**社交工程攻擊（如釣魚郵件）**的資安訓練，提升員工辨識與回報可疑行為的能力，從內部打造敏銳的資安文化。

---

2. 嚴格控管外部存取權限

全面檢視並關閉不必要的遠端服務（如未加密或未防護的 RDP），對於必需開放的遠端連線，應全面導入多因素驗證（MFA）與存取行為監控機制，防止憑證遭濫用。

---

3. 建立漏洞管理流程，主動防堵風險

落實定期漏洞掃描，搭配資產盤點與風險評估，確保所有系統與應用程式在第一時間獲得修補。可導入虛擬補丁（Virtual Patching）技術，在漏洞無法立即修補時提供臨時防護。

---

4. 資料備份與業務持續性規劃

建立多層次的資料備份策略，並定期驗證備份可用性與還原流程，以面對勒索病毒或其他災難性事件時，能迅速恢復關鍵業務。

---

5. 部署進階威脅偵測與主動式防禦系統

導入結合AI與機器學習的威脅偵測系統（如UEBA、EDR/XDR），即時掌握異常行為。同時，透過Cyber Deception 技術（如蜜罐系統、虛擬資產），在攻擊者滲透初期即誘導其進入假目標環境，有效延緩攻擊並揭露攻擊路徑。

---

結語：防禦思維，向「偵察對手」邁進

在現今零信任與持續攻擊的時代，唯有結合防禦、偵測與欺敵的多層次策略，才能有效降低資安風險，保護企業營運不受干擾。建議企業導入能融合傳統防護與主動防禦的整合解決方案，從被動守勢走向智慧型資安防禦新格局。

前言

最近，竣盟科技發現了一個新的最新的數據洩露網站（Data Leak Site, DLS）「RALord」，這是 2025 年 3 月內發現的 14 個新 DLS 之一。該勒索軟體即服務（Ransomware-as-a-Service, RaaS）團隊展現出高度組織化的運營模式，提供聯盟計畫、數據贖金機制及暗網廣告等多種服務。據了解，該團隊至少活躍於一個網路犯罪論壇，主要負責人使用者名為「ForLord」。

截至 2025 年 3 月底，尚無證據顯示 RALord 與其他已知威脅行為者有直接關聯。然而，該團隊聲稱其勒索軟體並非全新產品，而是建立在過往 RaaS 經驗的基礎上，因此不排除其與名稱相近的「RAWorld」（亦稱「RAGroup」）有潛在聯繫。目前，RAWorld 的 DLS 已失效，且自 2024 年 12 月後未再公佈新受害者。此外，RALord 也可能僅是借用 RAWorld 的名稱，以利用其既有聲譽來建立可信度。

值得注意的是，RALord 的已知受害者清單中，首度出現來自台灣的企業，該企業為知名連鎖餐飲品牌，成為台灣首例公開曝光的受害者。這表明 RALord 正積極拓展其攻擊範圍，並將亞洲市場納入目標。

關鍵要點

• RALord DLS 於 2025 年 3 月下旬首次出現，首名受害者（工程與工業服務公司）於 3 月 22 日被列出。截至 3 月 28 日，該網站已公開三名受害者。
• 該團隊運營 RaaS 計畫，聯盟成員可獲取 85% 的勒索贖金分成，而 RALord 則抽取 15%。
• RALord 提供多種服務，包括 數據販售、Tor 網站廣告、一次性加密工具銷售（無需訂閱 RaaS 計畫）。
• RALord DLS 上的所有受害者均未曾出現在其他已知勒索軟體組織的洩露名單中。
• RALord 可能與 RAWorld 或其他已建立的勒索軟體團隊有關聯，但目前無確鑿證據證明。

背景分析

勒索軟體團隊通常利用 DLS 來增加對受害者的壓力，典型模式包含：

1. 初步威脅：在 DLS 上公開受害者名稱，聲稱已成功入侵。
2. 證據展示：若受害者未支付贖金，攻擊者可能上傳內部檔案結構截圖、個資樣本或其他敏感文件，以證明持有機密數據。
3. 倒數計時：設置期限，威脅若受害者不付款，將公開或出售全部數據。

RALord DLS 詳細分析

RALord DLS 於 2025 年 3 月下旬上線，支援俄文與英文，網站包含多個核心區塊：

• 主頁：列出受害者清單。
• 受害者專頁：顯示企業名稱、業務類別、被盜數據類型，部分受害者頁面還附有數據樣本。
• 倒數計時器：顯示資料公開或出售的時間點。
• 聯絡方式：提供 Tox 和 Session ID 以利匿名聯繫。
• RaaS 服務：詳細介紹聯盟計畫、數據仲介與廣告機制。
• 支付指南：支援 BTC、XMR、LTC 等加密貨幣交易，甚至接受部分銀行轉帳，並提供仲介機制（Escrow）降低交易風險。

RaaS 計畫與加密服務

RALord 聲稱其開發的勒索軟體具備「反偵測」能力，攻擊者可單次支付 €200 獲取使用權，若成功勒索贖金，RALord 會抽取 10% 分成。此外，將受害者資訊發佈至 RALord DLS 需額外支付 €20。

該團隊亦提供 RaaS 計畫，利潤分成為 85:15，聯盟成員負責滲透，而 RALord 則負責執行加密攻擊。與 Anubis（80:20）或 RansomHub（90:10）相比，RALord 提供較高的分成比例，吸引更多聯盟成員參與。

此外，RALord 積極尋求 初始存取經紀人（IABs） 合作，降低技術門檻並提高攻擊效率。

受害者分析

截至 2025 年 3 月底，RALord 已公開以下受害者：

• 法國：École Centrale de Nantes（工程學校）
• 阿根廷：Tomio Ingeniería S.A.（工程與工業服務公司）
• 巴西：IHARA（農業化學產品製造商）
• 台灣：台式知名連鎖餐飲品牌（首例台灣受害者）

受害者主要分布於南美洲、歐洲與亞洲，顯示 RALord 正在快速拓展其攻擊目標。

額外情報

消息來源顯示，法國資源中心 Sémaphore Mulhouse Sud Alsace 可能亦為受害者，但尚未出現在 RALord DLS，推測該機構仍在與攻擊者談判。

威脅評估

截至 2025 年 3 月底，RALord 已曝光多名受害者，但尚無受害者公開證實攻擊事件。然而，其提供的數據樣本與詳盡資訊，使攻擊活動的真實性較高。

該組織可能與 RAWorld 或其他勒索軟體團隊存在關聯，但目前無明確證據證實。考量其在短短 7 天內曝光 3 名受害者的節奏，RALord 似乎仍在積極運作，未來可能持續擴展影響範圍。

資安專家建議

1. 企業應加強勒索軟體防禦機制，包括端點防護、定期備份及網路安全監控。
2. 提高勒索軟體意識培訓，強化內部員工對網路釣魚與社交工程攻擊的認識。
3. 持續監測暗網活動，掌握新興 RaaS 威脅，以便提前部署防禦策略。

RALord 的出現，進一步印證了勒索軟體威脅的持續進化，且其攻擊範圍已擴展至亞洲市場。企業與機構應密切關注，並採取主動防禦措施，以降低潛在風險。

RAlord的部分入侵指標(Indicator of compromise IOCs):
be15f62d14d1cbe2aecce8396f4c6289

概述

NightSpire 是一個以財務利益為動機的網路威脅組織，針對多個產業的企業進行攻擊。該組織最初專注於竊取敏感數據並進行勒索或轉售，然而近期的活動顯示，他們已轉向雙重勒索模式，結合數據竊取與勒索軟體加密來最大化對受害者的壓力。這種轉變顯示出該組織的適應能力與不斷成熟的運營策略。

商業模式演變

NightSpire 最近的攻擊顯示，其策略已從純粹的數據勒索轉變為結合勒索軟體加密的混合模式。目前尚不清楚該組織是以封閉模式運營，還是採取勒索軟體即服務（RaaS）的模式，允許成員加盟攻擊並共享利潤。

根據暗網活動的證據，NightSpire 可能正試圖擴展規模。2025 年 3 月 14 日，一名代號為「xdragon128」的威脅行為者在 BreachForum 上發佈招聘訊息，尋找談判專家，並提供 20% 的利潤分成。這可能表明該組織正在強化其勒索談判策略。然而，目前尚無證據顯示 NightSpire 正在尋找新的加盟者來執行攻擊，如典型的 RaaS 模式那樣。

該組織運營著一個暗網洩露網站，於 2025 年 3 月 12 日 首次被發現。他們利用該網站公開受害者資訊，並威脅完全洩露數據，以強迫受害者支付贖金。

目標選擇（受害者分析）

自 2025 年 3 月以來，NightSpire 已聲稱對至少 11 家企業發動攻擊。其中，36% 的攻擊針對製造業。然而，其攻擊模式顯示，目標選擇具有一定的隨機性，並非專注於特定產業。

值得關注的是，受害企業中有 73% 為中小型企業（SME），即員工人數少於 1,000 人。這可能與中小企業普遍較為薄弱的網路安全防禦有關，使其成為較易受攻擊的目標。此外，根據暗網洩露的數據，已有兩家台灣企業遭受 NightSpire 攻擊並被列入其名單。

攻擊戰術、技術與程序（TTPs）

初始入侵

NightSpire 主要利用外部邊界設備的漏洞進行攻擊，例如 防火牆 和 虛擬私人網路（VPN）。該組織曾利用 CVE-2024-55591，這是一個 FortiOS 的零日漏洞，允許未授權攻擊者獲取 Fortigate 防火牆設備的超級管理員權限，無需提供合法憑據。攻擊者利用此漏洞後，可以更改設備配置，建立持久訪問，並進一步橫向移動至受害者內部網路。

數據竊取

NightSpire 在攻擊中使用合法的檔案傳輸工具，例如 WinSCP 和 MEGACmd，以進行數據外傳。這些工具可幫助攻擊者隱藏惡意活動，讓數據流量看起來與正常業務操作無異，從而規避檢測。

規避防禦

該組織運用 外部工具 及 「本地二進位執行技術（LOLBins）」，即利用受害者系統內原生工具進行惡意操作。例如：

• 網路掃描器 用於偵察內部環境。
• 內建 FTP 客戶端 用於數據外傳。
• PowerShell 腳本 執行攻擊指令，避免觸發傳統安全防禦機制。

勒索策略與贖金要求

NightSpire 採取高度侵略性的勒索策略，包括：

• 勒索網站施壓：迅速將受害者資訊公佈在其暗網洩露網站上。
• 極短的付款期限：受害者收到勒索信後，可能僅有 兩天 內付款。
• 針對性騷擾：該組織曾直接向受害企業員工發送勒索郵件，施加額外壓力。
• 公開羞辱不付款者：其網站上的 We Say 版塊列出了未支付贖金的受害者，並發布受害企業名稱、數據洩露公告，甚至提供免費下載連結。

然而，NightSpire 在數據洩露策略上的不一致性，表明該組織缺乏標準化的運營模式，仍處於發展階段。

網路安全專家觀點與應對策略

1. 應對不可預測的攻擊者

NightSpire 的行為模式符合典型的新興勒索軟體組織——策略多變、運營不成熟、攻擊方式不可預測。與高度專業化的勒索組織相比，他們可能不按照傳統模式行動，使事件應對變得更加複雜。因此，資安團隊需要保持靈活性，結合傳統勒索談判策略與應對不規則行為的方案。

2. 強化威脅情報應用

威脅情報（Threat Intelligence, TI）在以下方面發揮關鍵作用：

• 識別攻擊指標（IOCs），提前發現潛在攻擊。
• 分析攻擊者策略，提高檢測與防禦能力。
• 加速事件應對，有效縮短調查與復原時間。

企業應將情報驅動的 IOCs 整合至 安全資訊與事件管理（SIEM） 及 端點偵測與回應（EDR） 工具中，以主動攔截與抑制 威脅。

3. 從歷史案例汲取經驗

雖然 NightSpire 尚處於成長階段，但過去勒索軟體攻擊經驗可提供寶貴的應對指導：

• 定期備份：維護 離線與不可變更備份，確保數據可恢復。
• 漏洞管理：CVE-2024-55591 的被利用再次證明即時漏洞修補的重要性。
• 強化端點防護：採用 行為式偵測技術，防範 LOLBins 技巧與橫向移動攻擊。

結論

NightSpire 是一個快速演變的勒索軟體威脅，其技術能力與勒索策略日趨成熟。企業應採取 多層次防禦策略，包括 持續監控、完善事件應對計劃、威脅情報導向的防禦措施，以有效降低攻擊風險並提升整體資安韌性。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9
f749efde8f9de6a643a57a5b605bd4e7

近期，資安專家發現一個名為 Mora_001 的新興駭客組織正在利用 Fortinet 產品中的漏洞進行攻擊，並與惡名昭彰的 LockBit 勒索軟體組織有關聯。

安全研究人員指出，Mora_001 正在利用影響 Fortinet FortiGate 防火牆設備的兩個漏洞——CVE-2024-55591 和 CVE-2025-24472。美國 網路安全與基礎設施安全局（CISA） 在 1 月份發出緊急指令，要求所有聯邦民用機構必須在一週內修補 CVE-2024-55591，這是該機構歷來最短的修補期限之一。隨後，Fortinet 確認這些漏洞已遭到攻擊者利用，並在公告中加入了 CVE-2025-24472。

根據 Forescout Research 發佈的報告，從 1 月底到 3 月期間，研究人員發現多起入侵事件與這些漏洞有關，最終導致了一種新型勒索軟體的部署，該軟體被命名為 SuperBlack。

Forescout 的分析顯示，Mora_001 的攻擊手法與 LockBit 類似，他們利用了 LockBit 3.0（LockBit Black） 的洩漏建構器，但刪除了 LockBit 品牌標誌，並開發了自訂數據外洩工具。這表明該組織可能是 LockBit 的前附屬成員，正在調整其策略，或仍與 LockBit 生態系統保持間接聯繫。

資安專家 Stefan Hostetler（Arctic Wolf 資深威脅情報研究員）確認，這些 Fortinet 漏洞的攻擊行動早在 1 月底就已經開始，並於 2 月 2 日觀察到具體的攻擊活動。雖然 Fortinet 已釋出修補程式，但攻擊者仍然針對未能及時更新或強化防火牆配置的組織發動攻擊。

Arctic Wolf 進一步指出，針對 FortiGate 防火牆管理介面的掃描活動早在 12 月初就已出現，這比 Fortinet 正式披露漏洞的時間還要早，顯示出威脅行動者可能已掌握漏洞資訊並進行預先部署。此事件再次凸顯企業應 及時修補漏洞，並採取積極的網路安全防護措施。

Mora_001 的出現反映出當前勒索軟體攻擊模式的發展趨勢：自 2022 年 LockBit 3.0 建構器洩漏以來，許多攻擊團體開始開發自己的變種，並結合不同勒索軟體組織的策略。例如，SuperBlack 在勒索信結構與數據外洩技術上與 BlackCat/ALPHV 等其他勒索軟體組織的手法相似。

Fortinet 產品使用者建議措施：

🔹 立即安裝 Fortinet 安全更新，修補 CVE-2024-55591 和 CVE-2025-24472 漏洞。
🔹 檢查防火牆管理介面設定，確保未暴露於公網，降低風險。
🔹 監控與 SuperBlack 勒索軟體相關的攻擊指標（IoCs），偵測潛在入侵行為。
🔹 建立完整的事件應變計畫，確保組織能夠迅速應對可能的攻擊。

根據資安媒體TechCrunch，截至目前，Fortinet 尚未就此威脅發表進一步聲明。由於勒索軟體攻擊手法持續演變，企業與機構應保持高度警覺，確保關鍵系統的安全性，以防止惡意攻擊的影響。

SuperBlack勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5          046b64c08f66f1820ae4ce5dd170e761                

FileHash-MD5          294e9f64cb1642dd89229fff0592856b                             

FileHash-MD5          4bcc3589bbbbaa013bebf38d28d442ac                         

FileHash-MD5          5c082bc67a61c822877dab10226044c8

FileHash-SHA256

782c3c463809cd818dadad736f076c36cdea01d8c4efed094d78661ba0a57045

FileHash-SHA256

813ad8caa4dcbd814c1ee9ea28040d74338e79e76beae92bedc8a47b402dedc2

美國聯邦調查局（FBI）與美國網路安全暨基礎設施安全局（CISA）警告，自2021年6月首次偵測到Medusa勒索軟體以來，該惡意軟體已影響超過300家關鍵基礎設施機構。

兩大機構近日聯合發布安全公告，揭露Medusa的攻擊行為模式並提供防範建議。

Medusa勒索軟體概述

Medusa是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS），主要透過網路釣魚（Phishing）攻擊及利用未修補的軟體漏洞進行滲透。

截至2025年2月，CISA指出，Medusa的開發者及其合作夥伴已攻擊超過300家關鍵基礎設施機構，受影響產業涵蓋醫療、教育、法律、保險、科技及製造業等。

然而，實際受害機構的數量可能更高。根據Symantec威脅獵人團隊的最新報告，自2023年初以來，該勒索軟體組織在其資料外洩網站上已公開近400家受害機構的資訊，實際影響範圍可能遠超此數。

Medusa的多重勒索手法

Medusa採用雙重甚至三重勒索策略，包括：

1. 竊取並加密受害者資料。
2. 威脅公開被盜數據，以施壓受害者支付贖金。
3. 部分受害者支付贖金後，仍被要求支付額外費用才能獲得所謂的「真解密工具」（True Decryptor）。

Medusa的攻擊模式

1. 初始滲透與存取權限購買

最初，Medusa由一個勒索軟體團隊掌控，負責所有開發與運營。但隨著時間推移，該組織轉向聯盟模式，允許多個駭客組織合作，而贖金談判仍由核心開發團隊集中控制。

Medusa活躍於地下駭客論壇，專門招募「初始存取經紀人」（Initial Access Brokers, IABs）來獲取受害組織的存取權限。該組織提供100美元至100萬美元不等的報酬，甚至允許駭客專門為Medusa工作。

2. 攻擊手法與內部滲透

• 釣魚攻擊：Medusa的合作夥伴透過網路釣魚竊取憑證。
• 漏洞利用：該組織曾濫用ScreenConnect與Fortinet EMS SQL注入漏洞等已知漏洞。
• 合法工具濫用：「Living off the Land」技術（利用系統內建工具進行攻擊），避免傳統防毒軟體偵測。
• 網路與系統探測：滲透後，Medusa會掃描常見連接埠，利用命令列工具進行網路與檔案系統探索，並使用Windows Management Instrumentation（WMI）查詢系統資訊。
• 混淆與反偵測：使用Base64編碼混淆PowerShell惡意程式碼，甚至透過有漏洞或合法簽章的驅動程式關閉或刪除防毒工具。

3. 遠端存取與資料外洩

Medusa會根據受害者環境選擇適合的遠端存取軟體。

• 資料外洩與加密：駭客使用Rclone等工具將資料同步至雲端，隨後部署「gaze.exe」加密檔案，並附加「.medusa」副檔名。
• 系統破壞：gaze.exe會終止備份、安全性、資料庫、通訊、檔案共享與網站服務，刪除Windows陰影備份（Shadow Copy），再以AES-256加密。
• 虛擬機器加密：攻擊者手動關閉虛擬機器，並加密其相關檔案。

勒索與贖金支付機制

• Medusa會在受害系統留下「READ_ME_MEDUSA!!!.txt」勒索訊息，要求受害者在48小時內透過Tor瀏覽器或Tox加密通訊軟體聯繫。
• 若受害者未回應，攻擊者可能直接撥打電話或寄送電子郵件。
• 在Medusa的暗網網站上，攻擊者發布贖金要求並提供加密貨幣支付連結，甚至在倒數計時結束前向潛在買家販售受害數據。
• 受害者可支付1萬美元延長倒數計時。
• FBI調查發現，一些受害者支付贖金後，另一名Medusa攻擊者聲稱談判者已私吞款項，要求再支付一半金額以取得「真正的解密工具」，顯示該組織可能實施三重勒索策略。

CISA與FBI建議的防禦措施

• 修補已知漏洞，避免攻擊者利用未修補漏洞滲透。
• 進行網路分段，減少橫向移動風險。
• 落實資料備份與復原計畫，確保關鍵數據可快速恢復。
• 監測可疑流量與異常行為，例如未經授權的遠端存取或異常加密活動。
• 教育員工提高資安意識，防範網路釣魚攻擊。

企業應及早採取行動，強化資安防禦，以降低Medusa等勒索軟體的風險。