標籤: News

近期資安研究揭露，一支與中國有關的駭客組織 Storm-1849（又稱 UAT4356）正大規模鎖定 Cisco Firewall 裝置，特別是全球政府、國防機構與大型企業網路環境中廣泛部署的 Cisco ASA（Adaptive Security Appliance）。
這類設備不只是防火牆，它同時承擔 VPN 存取控管、流量檢查、入侵防護 等多重安全角色，一旦遭到入侵，就等同讓攻擊者突破「安全閘口」，直接接觸到內部敏感系統。

威脅輪廓：從美國政府到全球組織

根據資安媒體 Hackread的報道 ，Palo Alto Networks Unit 42 公布，這波攻擊行動自 2025 年 10 月持續至今，目標遍及：

• 美國聯邦政府
• 美國州與地方政府機關
• 軍事及國防承包商
• 金融業
• 歐洲與亞太多國政府與企業

更有趣的是，研究人員觀察到攻擊行動在 10 月 1–8 日短暫停歇，恰好與中國的「國慶黃金週」假期一致，這也成為外界懷疑背後與中國相關的重要線索之一。

受攻擊國家包括：印度、日本、澳洲、英國、法國、挪威、荷蘭、西班牙、波蘭、阿聯、尼日、阿塞拜然、不丹……範圍相當廣泛。

結論很明確：這不是單一國家事件，而是全球攻擊行動。
邊界設備（Edge Devices）已成為主要戰場。

攻擊手法：串聯兩項已知漏洞，取得長期控制權

駭客利用了 Cisco ASA 中兩個已知弱點，並進行漏洞串聯攻擊：

兩者搭配後，攻擊者能：

• 取得系統層級控制權
• 植入持久化存取（即使重開機或更新也無法移除）
• 修改設定，引導流量或竊取加密內容

也就是說，即使你「更新了系統」或「重開機防火牆」，入侵仍可能不會消失。

官方已發布緊急要求，但攻擊仍在持續

美國網路安全與基礎架構安全局（CISA）已於上月發布 緊急通告，要求所有聯邦機構立即修補 Cisco ASA 裝置。

然而，Unit 42 的研究顯示，許多組織仍未完全修補或仍持續遭到入侵嘗試。

資安專家建議：修補只是起點，不是終點

1. 立即修補（Patch Now）

如果機構仍在使用 Cisco ASA：

• 確認版本是否已修補上述兩個 CVE
• 若未修補，請 優先處理

2. 假設已遭入侵（Assume Compromise）

即使已修補，也應進行：

• 完整設定重置（Factory Reset）
• 重新產生所有密鑰、金鑰、VPN 憑證
• 檢查是否存在不明使用者或 ACL 規則

3. 加強邊界設備防護策略

• 不要只把防火牆當成「門口保全」
• 應以 零信任（Zero Trust） 思維重新檢視邊界控管
• 包含 記錄審查、異常行為偵測、存取行為基線化監控

結語：邊界設備的戰場化，已成既定事實

傳統上，我們常以為攻擊者會直接「攻進內網」或「社交工程到權限帳號」。
但這次事件再次證明：

駭客不再從裡面打，而是直接攻擊看守入口的安全設備本身。

對政府、國防、金融等高價值組織而言，
邊界設備的安全，已經不是「網路設備管理」層級的問題，而是國家級資安策略問題。

美國網路安全暨基礎建設安全局（CISA）於本週一正式將 五項安全漏洞 納入其「已知被利用漏洞（Known Exploited Vulnerabilities, KEV）」目錄中，當中包含近期被揭露、影響 Oracle E-Business Suite (EBS) 的嚴重漏洞，並確認該漏洞已在真實攻擊事件中遭到武器化利用。

CVE-2025-61884：Oracle EBS 關鍵 SSRF 弱點已被武器化利用

此項漏洞編號為 CVE-2025-61884（CVSS 評分：7.5），屬於 Oracle Configurator Runtime 組件中的伺服器端請求偽造（SSRF）漏洞。成功利用後，攻擊者可在未經授權的情況下，遠端存取並竊取關鍵資訊。
CISA 指出：「此漏洞可被遠端未經驗證者直接利用，風險等級高。」

該漏洞是 Oracle EBS 近期第二個確認被攻擊者利用的漏洞。先前的 CVE-2025-61882（CVSS 9.8）更嚴重，允許未經驗證的攻擊者在易受影響的系統上執行任意程式碼。

根據資安媒體《The Hacker News》的報道，Google Threat Intelligence Group (GTIG) 與 Mandiant 的調查，已有數十家企業疑似受害於 CVE-2025-61882 的惡意利用行動。GTIG 資深安全工程師 Zander Work 向《The Hacker News》表示：「目前尚無法將特定攻擊行為歸屬至某個特定威脅行為者，但觀察到的部分攻擊跡象顯示，這些行動可能與 Cl0p 勒索組織 有關。」

Oracle 已於近日緊急發布 安全公告 (Security Alert CVE-2025-61884)，針對 E-Business Suite 12.2.3–12.2.14 版本 推出修補程式。
Oracle 首席安全長 Rob Duhart 表示：「此漏洞若遭成功利用，可能使攻擊者存取敏感資源。建議所有使用者應立即部署更新，以降低資料外洩風險。」

其他新增至 KEV 的四項漏洞

除 Oracle 外，CISA 此次同時將 Microsoft、Kentico、與 Apple 等產品的四項漏洞列入 KEV 目錄：

1. CVE-2025-33073（CVSS 8.8）
   • 影響產品：Microsoft Windows SMB Client
   • 類型：權限提升（Improper Access Control）
   • 狀況：若 SMB 簽章未強制啟用，攻擊者可透過「Reflective Kerberos Relay Attack（又稱 LoopyTicket）」取得網域控制權限。
   • 修補狀態：Microsoft 已於 2025 年 6 月修補。
2. CVE-2025-2746（CVSS 9.8）
   • 影響產品：Kentico Xperience CMS
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理空白 SHA1 使用者名稱的缺陷，可取得管理端控制權限。
   • 修補狀態：2025 年 3 月修補。
3. CVE-2025-2747（CVSS 9.8）
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理「None」型別密碼設定的漏洞，可完全控制系統管理物件。
   • 修補狀態：2025 年 3 月修補。
4. CVE-2022-48503（CVSS 8.8）
   • 影響產品：Apple JavaScriptCore
   • 類型：陣列索引驗證錯誤（Improper Validation of Array Index）
   • 後果：在處理惡意網頁內容時，可導致任意程式碼執行。
   • 修補狀態：Apple 已於 2022 年 7 月修補。

上述三項（CVE-2025-33073、CVE-2025-2746、CVE-2025-2747）分別由 Synacktiv 與 watchTowr Labs 的研究人員揭露，並由 GuidePoint Security、CrowdStrike、SySS GmbH、RedTeam Pentesting、Google Project Zero 等多方共同驗證。

修補時限與安全建議

根據 CISA《作業指令 BOD 22-01：降低已知被利用漏洞的重大風險》，
聯邦民政行政機構 (FCEB) 必須於 2025 年 11 月 10 日前 完成修補，以防範這些漏洞遭持續性威脅行為者利用。

CISA 同時建議 民間企業與金融機構 應參照 KEV 目錄，立即審視自身環境中的受影響系統，並儘速部署修補程式，以防範後續針對 Oracle、Windows、Kentico 或 Apple 產品的針對性攻擊。

專家觀點

此次 KEV 更新顯示出兩項趨勢：企業級應用平台（如 Oracle EBS）正逐漸成為攻擊焦點。 攻擊者偏好能提供大規模數據接取權限的業務核心系統，藉此進行資料竊取或供後續勒索行動使用。 跨供應鏈漏洞利用趨勢升溫。 攻擊者往往透過 CMS、Windows SMB 或 Web 組件等跨平台弱點滲透，再橫向移動至高權限環境。

從資安防禦角度而言，除及時修補外，建議組織採取以下措施：

• 部署 SSRF 防護與 WAF 規則更新；
• 強化 SMB 簽章與 Kerberos 驗證政策；
• 審查 CMS 及第三方外掛 權限設定；
• 建立 威脅情報（Threat Intelligence）監控機制，及追蹤 KEV 新增項目。

全球知名美國資安公司 F5 Networks 於本週三（10 月 15 日）正式披露，一起重大入侵事件導致 BIG-IP 產品的部分原始碼與尚未公開的漏洞資訊外洩。F5 指出，這起攻擊由「高度成熟的國家級駭客組織」所策劃，該組織長期、隱密地滲透其內部網路系統。

F5 在提交給美國證券交易委員會（SEC）的 8-K 文件 中表示，公司於 2025 年 8 月 9 日發現此事件，並依美國司法部（DoJ）要求延後公開，以配合執法單位調查。

「我們已採取全面行動以控制威脅，並在封鎖行動後未再觀察到新的未授權活動，初步認為威脅已被成功遏止。」——F5 官方聲明

■ 入侵範圍與影響

F5 並未透露駭客取得存取權限的時間長度，但強調目前沒有跡象顯示相關漏洞已被利用於實際攻擊。公司也確認，CRM、財務系統、支援案例管理平台與 iHealth 系統未受影響。

然而，部分自知識管理平台遭外洩的檔案中，可能包含少數客戶的組態或實作資訊。F5 表示將在完成審查後，主動通知受影響客戶。

為降低風險，F5 已委託 Google Mandiant 與 CrowdStrike 協助進行事件調查與威脅狩獵，同時：

• 更換所有憑證、簽章金鑰與帳密；
• 強化開發環境與內部網路存取控制；
• 部署更高層級的威脅監控工具；
• 重新設計產品研發環境的安全防護機制。

F5 呼籲所有使用者立即更新 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 與 APM 客戶端 至最新版本，以確保防護完整。

■ 美國政府緊急應對：CISA 發佈指令

隨著事件曝光，美國 網路安全暨基礎設施安全局（CISA） 立即發布 緊急指令 ED 26-01，要求聯邦文職行政機關：

1. 清查所有 F5 BIG-IP 產品；
2. 確認管理介面是否暴露於公網；
3. 於 2025 年 10 月 22 日前 安裝 F5 最新修補程式。

CISA 指出，國家級駭客已竊取 BIG-IP 的專有原始碼與漏洞細節，可能取得足以開發針對性漏洞利用程式的技術優勢，對聯邦機構構成「迫切威脅」。

該機構警告，此入侵可能讓攻擊者進行靜態與動態程式分析，進而找出尚未公開的邏輯缺陷與零時差（Zero-Day）漏洞。CISA 也要求所有單位加強公開服務設備的防護、隔離已終止支援的設備，並修補 BIG-IP Cookie 洩漏漏洞。各機構須於 10 月 29 日晚間 11:59（美東時間） 前回報完整清查與應變結果。

■ 駭客背景：疑似中國關聯團體 UNC5221 操控

根據 Bloomberg 的報導，攻擊者在 F5 內部網路中潛伏至少 12 個月，並使用名為 BRICKSTORM 的惡意程式家族進行滲透。該惡意程式被歸因於一個具中國背景的間諜組織 UNC5221。

Mandiant 與 Google 威脅情報團隊（GTIG）早於 9 月指出，UNC5221 及相關團體近期針對美國法律服務業、SaaS、BPO 與科技公司發動入侵行動，以植入 BRICKSTORM 後門程式。

■ 專家觀點：未公開漏洞被竊將加速攻擊開發

根據 TheHackerNews 的報導，Palo Alto Networks Unit 42 威脅情報主管 Michael Sikorski 指出，駭客若僅竊取原始碼，通常需要時間分析可被利用的弱點；但在本案中，攻擊者同時取得了 尚未修補的漏洞資訊，風險顯著升高。

他補充：「這將使攻擊者得以在公開修補前，快速開發漏洞利用工具。F5 本季公布的漏洞數量高達 45 件，相較上季僅 6 件，顯示公司正全力封補被竊取的弱點，以搶在駭客利用前完成修復。」

■ 專家結語：供應鏈資安風險再度升溫

F5 事件再次凸顯 軟體供應鏈安全的脆弱性。對企業而言，防禦不僅止於端點或網路邊界，更需關注第三方供應商的開發與維運環境。
建議企業：

• 立即更新所有 F5 相關產品；
• 審視內部與外部連線的權限控管；
• 建立供應鏈風險監測機制與零信任架構；
• 主動導入威脅情報與行為分析監控，偵測潛在的長期滲透活動。

F5 的資安事件是全球企業應警惕的一記警鐘——當攻擊者將焦點轉向核心基礎架構供應商，任何環節的鬆懈，都可能成為整個網路防禦體系的破口。

2025 年 10 月，美國司法部(The US Department of Justice)與 FBI 聯手法國網路犯罪中央局（BL2C）及巴黎檢察官辦公室，成功查封與駭客組織 Scattered Lapsus$ Hunters有關的最新 BreachForums 網域。
這場跨國執法行動，不僅代表當局對長期橫行於駭客圈的「資料販售帝國」再度出手，更揭示了網路犯罪從「論壇交易」到「勒索壓迫」的新演化階段。

BreachForums：從駭客論壇到勒索平台的轉型

BreachForums 的歷史可追溯至 2022 年，最初作為知名駭客論壇 RaidForums 的繼任者，由駭客「Pompompurin」（本名 Conor Brian Fitzpatrick）創立，曾是全球最大規模的外洩資料交易平台之一。
然而，隨著 Fitzpatrick 於 2023 年遭到逮捕、2025 年再度被判刑三年，論壇多次易手並被重啟。到了今年七月，ShinyHunters 重新開啟的版本已不再是傳統的駭客論壇，而是一個專門針對 Salesforce 企業客戶進行勒索與資料外洩的「明網（clearnet）勒索平台」。

這次 FBI 查封的正是該平台的明網網域——breachforums.hn。
目前該頁面已被美法兩國政府的查封公告取代，但與之對應的暗網（onion）版本仍在運作，顯示執法單位可能僅掌握部分後端基礎設施。

FBI滲透行動：暗網也不再是避風港

當 BreachForums 明網版本被查封時，駭客在 Telegram 上發出挑釁訊息：

“Seizing a domain does not really affect our operations, FBI… try harder ;)”語氣滿是嘲諷。但不久後，他們的頻道突然被鎖定，成員「失聯」、群組陷入混亂。
顯然，這場「網上叫囂」的背後，FBI 的滲透已經深入。

ShinyHunters 隨後公開一則 PGP 簽章訊息，承認所有 BreachForums 網域與伺服器被奪走、資料庫「遭摧毀」，甚至懷疑 FBI 直接入侵後台、控

制整個基礎架構。這意味著連暗網，也不再是駭客的避風港。然而，他們同時宣稱：「這次查封不影響我們的 Salesforce 攻擊行動。」

駭客更在訊息中表示，若目標企業未在截止期限前付款，將於 美東時間 10 月 10 日晚上 11:59 公開超過 10 億筆 Salesforce 外洩資料。
受害名單疑似包括國際知名企業如 萬豪、谷歌、思科、豐田、Gap、Qantas、Disney、McDonald’s、UPS 等。
Salesforce 已公開表態拒絕支付贖金，意味著這場「資料倒數計時」恐怕只是時間問題。

法網恢恢：執法的勝利與駭客的困獸之鬥

這次的 BreachForums 查封並非孤立事件，而是國際執法部門長期追擊的結果。
事實上，自今年六月法國警方在巴黎逮捕包括 ShinyHunters、Hollow、Noct、Depressed 等主要管理員後，駭客社群內部便開始懷疑 BreachForums 已遭滲透，甚至成為執法單位的「蜜罐（honeypot）」。

Sophos 的資安專家 Aaron Bugal 在評論中指出：

「雖然這次行動暫時擾亂了駭客的節奏，但這只是長期戰中的一小步。執法單位正持續緊逼，他們的藏身之處越來越少。」

專家觀點：從這起事件看網路犯罪的下一步

這起事件對資安專業人士而言，帶來三項深刻啟示：

駭客模式正在轉變

從論壇販售（marketplace model）轉向勒索壓迫（extortion model），駭客不再依賴仲介，而是直接威脅企業、透過「清網＋暗網雙軌」曝光資料，提高心理壓力與公關風險。

執法行動變得更具滲透性

此次查封不僅是「封網域」，更疑似包括滲透後台伺服器與掌握資料庫存取權，顯示執法單位在技術層面的滲透與情報合作能力大幅提升。

企業應強化社交工程防線

ShinyHunters 與 Lapsus$ 長期擅長以社交工程手法滲透企業內部帳號體系，例如誘騙客服、攻擊供應鏈或利用外包人員登入系統。這提醒企業：防線不僅在技術，更在人員教育與權限控管。

結語：暗網的神話，終將崩塌

當駭客組織以為「換個網域、轉進暗網」即可逃過追緝，FBI 與國際執法單位正一步步證明——網路犯罪並非無法可管的灰色地帶。
每一次的查封與逮捕，都是對地下世界的一次滲透與揭露。

對企業而言，真正的防禦不是等待攻擊發生後修補漏洞，而是建立「持續可驗證的安全韌性」。
因為在這場沒有硝煙的戰爭中，攻擊者不會停手，而防禦者也不該再被動。

Reference: https://www.cyberdaily.au/security/12753-fbi-seizes-clear-web-domain-linked-to-scattered-lapsus-hunters

Microsoft Defender 近期的「誤判事件」讓我們再次看到，過度依賴自動化安全系統，可能導致管理者在未經查證下做出錯誤決策。這起事件中，Defender 錯誤將仍在支援期內的 SQL Server 標註為停止支援版本，雖然微軟已迅速修復，但它揭露了一個更深層的議題——當防禦系統變得越「聰明」，我們是否也失去了質疑它的能力？

近期，微軟的旗艦資安平台 Microsoft Defender for Endpoint 再度登上資安圈討論熱點——原因不是新的攻擊手法，而是誤報（False Positive）事件。這次的受害者，是仍在主動支援期內的 SQL Server 2017 與 2019。

根據微軟官方服務通報與 BleepingComputer 的報導，Defender 近期在其 Threat and Vulnerability Management（威脅與弱點管理） 模組中，錯誤地將 SQL Server 標示為「End-of-Life（停止支援）」版本。

但事實上，SQL Server 2019 的支援期至 2030 年 1 月，而 SQL Server 2017 則延續到 2027 年 10 月——距離「退役」還有整整兩年。

問題根源：程式碼變更引發的誤判

微軟在後續公告中指出，問題源自於近期在「終止支援軟體判定邏輯」上的程式碼變更。這段變更意外導致 Defender 錯誤標記了部分 SQL Server 版本，使管理者在主控台上誤以為系統已不受支援。

微軟工程團隊已迅速推送修補更新，並表示將持續部署修正，逐步回溯導致誤報的程式碼異動。

雖然此次事件被列為「Advisory（通告級事件）」——意即影響範圍有限，但這起事件仍再度提醒我們：

在自動化防禦系統日益普及的時代，『誤報』本身已成為一種新的資安風險。

從資安專家的角度來看：「False Positive」不只是小事

許多企業導入 EDR/XDR 時，往往將焦點放在「漏報（False Negative）」，擔心系統沒抓到真正的威脅。然而，「誤報（False Positive）」的風險同樣不容忽視——特別是在 企業營運核心系統（如 SQL Server） 被誤判的情況下，可能導致以下後果：

1. 誤觸安全政策：IT 團隊可能誤以為系統已過期，進行不必要的升級或更動。
2. 威脅分析失準：Defender 的風險分數與優先修補建議可能因此失真，影響 SOC 判斷。
3. 浪費維運時間：安全團隊需額外花時間確認「是假警報還是真問題」，降低整體效率。

微軟近期的誤報事件接連發生

事實上，這已不是 Defender 首次出現誤報：

• 上週，微軟才修正了一起將 Dell 裝置 BIOS 韌體誤判為「過期」 的問題。
• 9 月底，Defender 也曾因蘋果企業安全框架的死鎖問題，導致 macOS 裝置出現黑畫面崩潰。
• 更早前，Microsoft 甚至在其 防垃圾郵件服務 中誤封鎖 Exchange Online 與 Teams 的 URL 開啟功能，造成使用者信任危機。

這些事件共同揭示出一個趨勢：

資安防禦系統越智慧、整合越全面，其背後的複雜度與連鎖效應也在同步上升。

專家建議：如何降低「誤報」帶來的營運風險

1. 建立二次驗證流程：在關鍵資產標示為高風險或停止支援時，應要求人工複核。
2. 整合多重情資來源：不要完全依賴單一資安平台的判定，善用 cross-validation（交叉驗證）。
3. 維護「誤報知識庫」：記錄曾發生過的誤報事件與處理方式，作為後續自動化修正的依據。
4. 主動追蹤供應商公告：像此次 SQL Server 誤報事件，若能及早掌握官方資訊，可避免誤動作或錯誤通報。

結語：自動化 ≠ 絕對可靠

微軟的 Defender 系列確實是企業防禦體系的重要一環，但這次事件再次提醒我們——
「自動化防禦」不是萬靈丹，人工智慧同樣需要人類智慧來監督。

在資安防線日益複雜的今日，保持警覺、建立多層驗證機制，才是讓防禦系統真正「防而不誤」的關鍵。