標籤: News

2025 年 7 月，全球精品龍頭 Louis Vuitton（LV）爆發嚴重個資外洩事件，波及全球至少 13 個國家與地區的分公司，成為今年零售業最具指標性的跨國資安危機之一。

受影響的國家與地區涵蓋：韓國、台灣、英國、日本、法國、土耳其、沙烏地阿拉伯、義大利、摩納哥、香港、泰國、南非與澳洲。這起事件不僅規模空前，更揭示了奢侈品牌在資安與跨境監控上的潛在風險。

根據目前各國陸續公開的資訊：

• 土耳其通報約 14.3 萬筆客戶資料遭未授權存取
• 香港則公布共有 41.9 萬名客戶個資遭外洩
• 其他國家雖未明確透露受影響人數，但推估規模不容小覷
• 而澳洲 LV 分公司昨晚（7 月 22 日）也證實，早在三週前的 7 月 2 日就已偵測到可疑入侵行為

這起事件逐步呈現出明確的 APT 攻擊軌跡，背後潛藏的資安風險與品牌信任危機，已引起全球高度關注。表面上看似低調、技術單純，實際上卻是一起典型的 APT（進階持續性滲透攻擊）。駭客沒有勒索、沒有加密，卻成功在多國系統中潛伏超過數週，靜靜擷取會員資料並跨系統橫移，反映出品牌在供應鏈管理與跨境監控上的結構性漏洞。

---

攻擊事件時間線總表

---

駭客攻擊模式解析：沒有病毒，反而更致命

本次事件的異常之處在於：

• 沒有勒索程式
• 沒有加密檔案
• 沒有服務中斷
• 只有——靜默存取與資料下載

根據各國官方公告，駭客未經授權存取的個資項目包含：

• 姓名、性別、國籍
• 電話號碼、電子郵件、郵寄地址
• 出生日期
• 購買紀錄與購買偏好資訊

雖未涉及支付工具資訊，但被盜的資料屬於高價值的個人輪廓資料（Profile Data），極具暗網販售與詐騙利用潛力。

---

滲透手法：標準化的 APT 供應鏈攻擊

從土耳其資料保護局（KVKK）公布的通報內容可確認：

• 駭客入侵是透過第三方服務供應商的帳號進入 LV 系統
• 初期活動未觸發任何防毒或 SIEM 警報
• 駭客在多國系統中橫向移動，逐一存取各地會員資料庫

這是典型的 Advanced Persistent Threat（APT） 模式：

•  長時間潛伏，避開監控
•  利用供應鏈弱點繞過本地安全管控
•  針對高價值資訊進行精準滲透與外傳

LV 的防禦機制可能沒有錯，但駭客不從你正門進來，而是從你的供應商跳板進入。

---

為何精品品牌成為攻擊者首選？

精品顧客的資料不僅僅是「個資」，更是高價值的生活圖譜：

• 常駐地與旅遊紀錄
• 購買行為與消費頻率
• 職業頭銜、VIP 等級、關聯企業

這些資料足以支撐更高層次的資安威脅：例如CEO 詐騙（Business Email Compromise）、精準勒索（Targeted Ransom），甚至是跨國經濟間諜活動（Economic Espionage）。

對駭客而言，精品品牌會員比一般金融機構客戶更「可預測」、更容易掌握生活與財務行為，詐騙命中率也更

---

香港影響最廣：41.9 萬筆資料外洩

根據香港個人資料私隱專員公署於 2025/07/17 的說明，LV 香港（LVHK）於 7 月 2 日接獲法國總部通報，資料外洩已影響超過 41.9 萬名顧客，目前該事件仍在調查中，尚未出現相關投訴，但私隱公署已著手調查是否有延遲通報情形。

---

真正危機：品牌 IT 架構中的資安盲區

這起事件反映出精品品牌常見的資安死角：

1. 跨國多點架構缺乏集中監控

LV 各地系統似乎未啟用統一 SOC 或 SIEM 架構，導致入侵發生後直到總部發現異常，其他地區才陸續察覺問題。

2. 對第三方帳號缺乏最小權限與監控機制

供應商帳號應具有嚴格的存取限制與 MFA 強制登入控制，並配合定期稽核，但此事件顯示缺乏有效防護。

3. 過度依賴傳統資安機制

防毒、防火牆、週期性檢查已無法阻擋 APT。駭客只需避開特徵式偵測，就能長驅直入。

---

對企業的資安建議

若你的企業也擁有 VIP 客戶、跨國 IT 架構與第三方整合環境，這起事件是一次重要預演。應立即檢視：

是否有針對 APT 的行為式偵測技術？
是否部署了 Decoy/Deception 誘捕系統？
是否建立中央事件監控與供應鏈權限管理機制？
是否未強化第三方帳號控管?

是否定期演練「資料靜默外洩」的應變流程？
資安是否仍被視為 IT 部門單一責任？

---

結語：駭客要的不是你賣的包，而是你守不住的信任

LV 花了幾十年建立的品牌價值與顧客信任，在一次看似無聲的入侵中遭到動搖。

這不是 LV 的單一問題，而是全球高端品牌、金融機構與國際企業都可能面臨的共通風險。

請問您的企業，能否在駭客開始下載資料的那一刻，第一時間察覺到異常？

如果答案是否，那麼您不是「是否會被攻擊」，而是「什麼時候會發現已經被攻擊」。

歡迎用「轉貼」或「分享」的方式轉傳文章連結；未經授權，請勿複製轉貼文章內容

你是否還記得 2024 年那場突如其來的 DDoS 攻擊？當時，一個名為 NoName057(16) 的親俄駭客組織，短時間內癱瘓台灣多個重要政府與金融網站，引發社會廣泛關注。如今，一年過去，這個不斷挑釁台灣與西方盟國的組織，終於被國際聯手「出擊」──歐洲刑警組織（Europol）於 2025 年 7 月中旬發動代號為「Eastwood」的跨國行動，正式對其下重手！

---

國際聯手的「Eastwood 行動」：重創 DDoS 背後的操盤者

根據 Europol 發布的公告，本次「Eastwood 行動」由歐洲與北美共 12 國合作展開，針對 NoName057(16) 的攻擊基礎設施與成員進行打擊，成果如下：

• 超過 100 台用於發動 DDoS 的伺服器被查封
• 法國與西班牙共逮捕 2 名核心成員
• 7 國執行 24 次搜索行動，並傳喚 13 人接受調查
• 德國發布 6 張逮捕令，追緝俄籍幕後主腦

此外，行動還向超過 1,000 名低階參與者發出法律警告，對這類「去中心化、社群驅動」型態的駭客集團進行首度大規模執法，為國際資安治理寫下重要一頁。

---

回顧攻擊：從台灣到歐美，NoName057(16) 如何擾亂秩序？

NoName057(16) 並非傳統意義上的「高技術駭客」，他們最擅長的是「靠人海戰術癱瘓服務」。這個組織廣泛招募來自俄語社群的低技術成員，透過簡單的工具與任務系統，讓任何人都能「一鍵發動攻擊」。而整個流程，就像是一場數位化的遊戲競賽：

1. 在 Telegram 或論壇發布攻擊目標
2. 成員下載工具並同步發送海量流量
3. 造成網站癱瘓後發布戰果
4. 將攻擊包裝為政治勝利，擴散訊息

這樣的模式曾在 2024 年台灣總統大選前後大規模發生，短時間內有 45 個政府與金融單位網站遭攻擊，雖無資料外洩，但造成服務中斷，甚至行政院網站一度無法連線。

更令人警惕的是，2025 年初他們再度發動新一波攻擊，包含群光電子、青雲科技、世芯電子、台塑、大眾電腦等企業接連中招，推測有超過 30 個台灣網站同步遭殃。

---

不只台灣，NoName057(16) 的目標遍及歐美盟國

自 2022 年俄烏戰爭以來，NoName057(16) 將所有「支持烏克蘭」的國家視為敵人，從烏克蘭政府、美國金融機構、德國交通單位、加拿大基礎設施到北約與歐盟峰會官網，皆成為攻擊目標。

以德國為例，2023 年底至 2025 年中，已遭遇至少 14 波攻擊，波及超過 250 個單位；瑞士、荷蘭在舉辦重要國際會議期間也屢次被騷擾。儘管這些攻擊多為短暫癱瘓，卻對公信力與社會秩序造成重大衝擊。

---

台灣的資安韌性關鍵：DDoS 防禦需戰術升級

面對這類大規模、低技術卻高動員的攻擊模式，台灣在 2024 年後已有若干強化措施：

• 在重大活動（如選舉）期間進入最高防護等級
• 政府部門每日監測與通報攻擊狀況
• 金融業與關鍵設施導入「流量快篩＋自動阻斷機制」
• 建立跨部會應變協調機制，加速恢復效率

然而，未來仍需進一步精進：

• 建立以 AI 驅動的異常流量分析機制，提前辨識潛在攻擊
• 強化與國際資安組織、CERT 情報共享機制
• 教育民眾與企業避免設備成為攻擊跳板（如殭屍網路的一環）
• 模擬各類攻擊演練，提高整體資安韌性與協同應變力

---

總結：Eastwood 行動只是開始，持續聯防才是關鍵

這場「Eastwood 行動」無疑是一次重擊，讓 NoName057(16) 傷筋動骨，也傳遞一個明確訊號：無論是多去中心化、多匿名的組織，只要挑戰全球資安秩序，終將被鎖定。

但資安專家普遍認為，這類駭客可能會 換個名字、改個平台，捲土重來。台灣要從這次國際行動中學習：除了防禦，更要主動偵測、提早反制，才能在下一次數位衝突中站穩腳步。

從 2025 年春天開始 (2025年3月至6月)，一場聚焦於晶片技術的無聲諜報戰，在台灣半導體產業間悄然展開。根據資安公司 Proofpoint 的最新揭露，有三個與中國有高度關聯的國家級駭客組織，鎖定了台灣半導體上下游企業發動社交工程與惡意軟體攻擊。

從晶圓代工、IC 設計、封測、供應鏈服務商，甚至延伸至半導體投資圈，這些攻擊背後不僅僅是勒索金錢，更像是精心策劃的產業諜報滲透。本文將帶您解析三起關鍵事件，從攻擊手法與後門植入策略，直擊這場跨境情報戰的真相。

▍晶片情報爭奪戰：中國情報重心為何轉向台灣半導體？ 過去，中國的網路間諜行動多集中在政府、國防與基礎建設領域，但 2025 年以來，資安研究團隊注意到針對台灣半導體產業的釣魚攻擊與惡意信件數量激增，且攻擊模式更加精緻、目標更聚焦。

Proofpoint 指出，這波行動顯然是中國因應外部出口限制與技術封鎖的反制策略，試圖透過駭客滲透，繞過管制障礙，直接竊取高階製程、IC 設計、甚至供應鏈投資動向等關鍵情報。

▍三大滲透行動剖析：攻擊者如何滲入產業核心

行動一：UNK_FistBump──滲透製造商 HR，後門潛入企業核心

今年 5 至 6 月，一批看似正常的應徵信件悄悄寄送至台灣晶圓廠與封裝測試廠的人資信箱。寄件人名叫「薛豪」，來自台灣大學材料系，附上詳細履歷與 PDF。然而，這些信封背後，藏著一個代號為「UNK_FistBump」的中國駭客組織。

這封信的附件其實是一個壓縮包，打開後會觸發兩條不同的惡意程式安裝流程（感染鏈）——分別植入國際知名的駭客工具 Cobalt Strike 以及中國自行開發的後門程式 Voldemort。

這兩個惡意軟體都使用合法的執行檔作為「跳板」，透過一種稱為 DLL sideloading 的技術來偷偷載入惡意程式，再利用 Google Sheets 或 VPS 主機作為遠端操控中心（C2）。更巧妙的是，他們使用外洩的台灣大學校內信箱發信，甚至對「履歷主題、系所、學校名稱」都下足工夫，讓收件人降低戒心。

他們假冒台灣大學畢業生向多家半導體相關企業投遞履歷，信件內容看似無害，卻內含經過雙重包裝的後門程式。目標明確：從 HR 進入、繞過防線，植入 Cobalt Strike 與 Voldemort loader，建立初步控制權限。

技術亮點：

• 使用 RC4 + Base64 混淆的載入鏈
• 正當程式如 javaw.exe 進行 DLL sideloading
• C2 採用 Google Sheets 頻道，混淆流量來源
• 多起案例中出現 CiscoCollabHost.exe 被用作載體

值得注意的是：這些攻擊雖模仿 APT41 工具鏈，但細節上的變化與基礎設施隔離顯示出明確分工，可能為子團隊或外包行動者所為

行動二：UNK_DropPitch──假投資公司釣出半導體投資分析師，部署定制後門

第二波行動明顯針對半導體產業中的財務與策略決策角色，例如晶片供應鏈研究員、投資銀行分析師等。

駭客透過假冒的投資信件夾帶惡意壓縮檔，利用合法應用程式 avlaunch.exe sideload 一組定制化後門「HealthKick」，具備穩定遠控能力。

關鍵細節：

• 使用 XOR 混淆 + 自製 TLS 封包傳輸（FakeTLS）
• 雙階段行動模式：先偵測環境、若發現目標價值高，便使用 Intel EMA 工具持續部署後門
• 部分攻擊直接部署 TCP Shell，從 VPS 伺服器執行即時控制

攻擊過程保留了大量手動操作痕跡，明顯非自動化行動，駭客對目標價值有極高敏感度。

行動三：UNK_SparkyCarp 與 UNK_ColtCentury──AITM 攻擊與預備行動

第三組行動者則從身份與帳號攻擊切入，案例發生於某台灣大型半導體企業，駭客打造仿冒安全通知頁面（例如 accshieldportal[.]com），誘騙用戶登入並交出帳號密碼，這正是典型的 AiTM（Adversary-in-the-Middle）架構釣魚攻擊。

• UNK_SparkyCarp：針對企業員工發送「異常登入通知」釣魚信，引導至攻擊者架設的 AITM 登入平台 accshieldportal[.]com，攔截認證 cookie。
• UNK_ColtCentury：則以「法律合作邀請信」進行關係建立，部署 SparkRAT 為後續滲透鋪路。

這些攻擊以低觸發率、高偽裝度為特點，目的在於取得初始接點後滲透更深層網段。

深層交叉：中國駭客基礎設施出現重疊

Proofpoint 發現，這些攻擊者使用的控制伺服器，許多都託管在同一家俄羅斯 VPS 業者 ProfitServer，甚至取名都很一致——像是：

• elliot-alderson-971.pserver[.]space
• elliot-alderson-972.pserver[.]space

這些名稱向影集《駭客軍團》主角 Elliot Alderson 致敬，成為辨識攻擊來源的重要線索。

其中一個伺服器還持有 TLS 憑證 CN=AS.website，過去曾出現在與中國駭客 SideWalk 後門、MoonBounce惡意軟體攻擊等多起國際事件中。這顯示，這些攻擊組織之間可能共用基礎設施、或交換惡意工具模組。

結語：台灣的晶片，正站在情報風暴的前線

▍結語：台灣成為晶片情報戰的第一戰場 這三起攻擊案例描繪出一幅清晰輪廓：中國正在將資安滲透焦點轉向高價值的科技與產業情報，而台灣，無疑正處於這場情報戰的最前線。

對企業而言，強化釣魚攻擊防範、落實信件驗證機制、監控 DLL sideloading 及可疑遠端工具的使用行為，已成為資安日常。

同時，也建議半導體產業鏈企業與政府資安單位強化聯防共享體系，快速通報可疑行為，集結情報反制這場看不見硝煙、但威脅實實在在的網路滲透戰。

你知道嗎？即使你每天小心防毒、勤做更新，如果電腦的韌體有漏洞，駭客還是有機會在開機前就控制整台機器。

最近，資安公司 Binarly 發現，超過百款技嘉主機板的 UEFI 韌體存在安全漏洞，可能讓攻擊者植入一種名為「Bootkit」的惡意程式。這種程式會在你電腦啟動時就開始運作，不僅難以偵測，甚至重灌作業系統也無法移除。

技嘉主機板爆出四大致命漏洞

Binarly 發現，這次漏洞影響的關鍵在於技嘉主機板內的 System Management Mode（SMM） 模組。SMM 是一個權限高於作業系統的隱密環境，僅能透過特殊的 System Management Interrupt（SMI）處理器 呼叫，並運行在被保護的 SMRAM 記憶體區塊 中。

然而，這次的四個漏洞（CVSS 嚴重程度皆為 8.2）包括：

• CVE-2025-7029：SMI 處理函式驗證不足，導致 SMM 權限提升
• CVE-2025-7028：可直接讀寫 SMRAM，植入惡意程式
• CVE-2025-7027：允許攻擊者向 SMRAM 寫入任意內容
• CVE-2025-7026：開啟持久化後門，攻擊者可完全控制韌體

根據 CERT/CC（美國卡內基美隆大學資安協調中心）的說法，這些漏洞可以在作業系統尚未啟動、進入睡眠狀態、或系統回復階段時觸發，繞過 Secure Boot 與 Intel BootGuard 等所有防線。

這就是所謂的「幽靈入侵」──在作業系統尚未睜眼前，惡意程式就已掌控全場。

漏洞讓駭客有機會：

• 寫入惡意程式到記憶體中（即使系統還沒開機）
• 取得系統最高控制權限
• 安裝 Bootkit 惡意程式，永久控制電腦

更糟的是，這些惡意程式可以在你按下開機鍵時就開始運作，完全不受 Windows、Secure Boot、或防毒軟體的保護。

---

哪些主機板受影響？技嘉修好了嗎？

漏洞的原始程式碼來自主機板韌體供應商 AMI（American Megatrends Inc.），雖然 AMI 有提供修補，但不是每家品牌都套用了這些修正。

目前，技嘉Gigabyte 已確認問題，並針對其中三項漏洞釋出韌體更新。但注意：

• 有些舊款主機板已經停止支援，無法更新
• 其他品牌（非 Gigabyte）也可能受影響，但還沒公布名單

如果你使用的是 舊款 Intel 平台的 技嘉 主機板，建議馬上上官網查詢有沒有可用的韌體更新。

---

我該怎麼做才能保護自己？

你可以採取以下幾個步驟來降低風險：

1. 確認你的主機板型號是否受影響（查詢技嘉官網）
2. 更新 UEFI 韌體（如果有提供更新）
3. 使用免費工具（如 Binarly 的 Risk Hunt Scanner）進行檢查
4. 若主機板已停止支援，考慮更換硬體
5. 在企業環境中，將韌體也納入資安檢查與演練範圍

---

為什麼這值得你關注？

這類漏洞代表的是一種最難防範的攻擊方式：它不是發生在系統內部，而是從最底層開始入侵。

當駭客能在開機時就控制你的電腦，所有你平常仰賴的資安工具幾乎都無法阻止。這就是為什麼現在越來越多企業把「韌體安全」納入整體資安策略裡。

當你透過麥當勞的線上平台應徵工作時，你的履歷、聯絡方式、人格測驗結果，可能早已暴露於網路世界，原因竟然是──登入帳號密碼設定為「admin / 123456」。

據科技媒體《Wired》報道，這起震驚全球的資安事件由資安研究人員 Ian Carroll 與 Sam Curry 於 2024 年 6 月 30 日揭露，他們原本只是出於好奇想測試麥當勞使用的 AI 招募機器人「Olivia」，沒想到僅花了短短 30 分鐘，便取得了麥當勞招募平台 McHire的後台權限，得以存取歷年來高達 6,400 萬筆的應徵紀錄。

---

一則 Reddit 貼文，引爆一場資安風暴

這場揭露始於 Reddit 上的一篇抱怨貼文，貼文者表示：「麥當勞的 AI 招募系統快把我逼瘋了。」Carroll 看到後決定親自應徵測試，與 Paradox.ai 開發的聊天機器人 Olivia 互動。

過程中，他發現網站上有一個供 Paradox.ai 員工使用的後台登入連結。出於測試心態，他們試著輸入最常見的帳密組合：「admin / 123456」──竟然直接登入成功，系統甚至未啟用多因子驗證（MFA），就讓他們獲得後台管理者權限。

---

Photo Credit: Wired

駭客眼中的「夢幻入口」

登入後，他們發現這是一間名為「測試餐廳」的虛擬單位，內部帳號大多為 Paradox.ai 的開發人員。他們將自己的應徵資料透過 Olivia 提交後，隨即從後台成功查詢到這筆紀錄。

更糟的是，他們透過修改申請者的流水號 ID，就能依序存取其他人的應徵紀錄，包含姓名、電子信箱、電話與對話紀錄等，這代表駭客不需任何進階技巧，就能一筆一筆地翻出其他人資料。

雖然出於道德與法規考量，他們僅查閱了少量樣本以確認資料真實性，但根據推算，這個平台中儲存了多達 6,400 萬筆歷年應徵紀錄，其中包含大量可被用於釣魚、社交工程、或冒充招募人員進行詐騙的資訊。

---

漏洞揭露後，Paradox.ai 承認疏失

事件曝光後，Paradox.ai 隨即發聲明表示，這個帳號原本只是用來測試的，從 2019 年後就沒再用過，但一直沒有關閉，結果變成了資安漏洞的破口。Paradox.ai強調該帳號僅由兩位研究人員登入，並未被其他未授權人士利用。同時宣布將啟動 漏洞獎勵計畫（Bug Bounty Program），以強化平台防護機制。

Paradox.ai 法務長 Stephanie King 向《Wired》表示：「我們不會輕忽這件事，雖然已迅速修補，我們也願意承擔責任。」

麥當勞則將責任歸咎於第三方供應商，並發布聲明指出：「我們對 Paradox.ai 所造成的資安漏洞深感失望，問題已於當天修復，未來將更加強化對供應商的資安要求。」

---

專家觀點：最可怕的不是駭客，而是「預設密碼」與鬆懈文化

這起事件凸顯的不只是 AI 招募平台的技術問題，更是一場系統性資安管理的失敗。從 Reddit 抱怨貼文，到弱密碼帳號、無 MFA、防護不足的測試環境，這些看似微小的疏忽，最終導致數千萬筆資料暴露。

對於有心人士來說，這樣的平台就如同未上鎖的大門，甚至還在門口貼了標籤：「歡迎使用預設密碼」。

---

對企業的五點資安建議：自動化 ≠ 放棄基本安全

在導入 AI 招募或自動化流程的同時，企業與第三方服務供應商必須強化以下資安措施：

1. 禁用預設帳號密碼：所有帳號應強制設定高強度密碼，禁止使用常見組合如「admin / 123456」。
2. 強制實施多因子驗證（MFA）：無論是後台管理或內部測試帳號，皆應啟用 MFA。
3. 封存與移除測試帳號環境：開發與測試用帳號應於上線前徹底刪除，避免殘留漏洞。
4. 加強第三方供應商稽核與合約要求：供應商必須符合 SOC 2、ISO 27001 等國際資安標準，並定期接受審查。
5. 導入漏洞獎勵制度（Bug Bounty）：主動邀請白帽駭客協助發現潛在風險，避免重大資安事件發生。

---

結語：AI 效率的背後，是更高的資安責任

AI 帶來效率與便利，但也將大量個資集中於單一平台，一旦保護機制鬆散，就會成為駭客眼中的黃金標的。這次的「123456 密碼門」不僅是 Paradox.ai 的失誤，更是一記警鐘：企業與供應鏈不能只追求數位化與效率，卻忘了最基本的資安底線。

在數位時代，真正的競爭力，來自於「能不能讓你的客戶資料睡得安穩」。

美國資安暨基礎建設安全局（CISA）近日再度發布警訊，將四項遭實際攻擊的高風險漏洞納入其「已知遭利用漏洞清單（KEV Catalog）」，呼籲各界緊急修補、提高警覺。

其中更值得注意的是，Citrix Bleed 2（CVE-2025-5777）漏洞目前正遭到積極利用，攻擊者可藉此竊取憑證、存取記憶體中敏感資料，對企業營運構成嚴重威脅！

---

被列入 KEV 的四項高風險漏洞

CISA 此次公告指出，下列四個漏洞已被證實在野外遭到實際濫用，可能用於遠端入侵、執行惡意程式或竊取資料：

1. CVE-2014-3931（CVSS：9.8）
   　Multi-Router Looking Glass (MRLG) 中的緩衝區溢位漏洞，攻擊者可進行任意記憶體寫入與損毀。
2. CVE-2016-10033（CVSS：9.8）
   　PHPMailer 的指令注入漏洞，可能導致攻擊者遠端執行惡意程式碼，甚至造成系統癱瘓。
3. CVE-2019-5418（CVSS：7.5）
   　 Ruby on Rails Action View 存在路徑穿越風險，攻擊者可讀取伺服器上的任意檔案內容。
4. CVE-2019-9621（CVSS：7.5）
   　 Zimbra Collaboration Suite 的 SSRF 弱點，可導致未授權存取內部資源，甚至執行遠端程式碼。
   　該漏洞已於 2023 年被 Trend Micro 確認遭中國駭客組織 Earth Lusca 利用，植入 Web Shell 並部署 Cobalt Strike。

根據美國聯邦資安規範，FCEB（聯邦行政機關）需在 2025 年 7 月 28 日前完成修補，企業亦應即刻行動以避免淪為下一個受害者。

---

Citrix Bleed 2 正遭駭客利用！記憶體洩漏、Token 遭竊，影響恐擴大

資安研究團隊 watchTowr Labs 與 Horizon3.ai 日前發布技術分析，指出 Citrix NetScaler ADC 的嚴重漏洞 CVE-2025-5777（Citrix Bleed 2） 目前正遭攻擊者鎖定，並與 CVE-2025-6543 一同遭受濫用。

該漏洞可透過精心設計的 HTTP 請求，從記憶體中讀取敏感資訊，如：

• 使用者登入憑證
• 有效的 Citrix Session Token
• 記憶體中處理的 HTTP 請求內容等

🔧 根本原因來自 Citrix 處理登入請求的 /p/u/doAuthentication.do 端點使用了錯誤的 snprintf 寫法，當 login= 欄位被故意省略等號時，程式會將記憶體中尚未初始化的內容回傳至使用者，進而造成資訊洩露。

Horizon3.ai 測試顯示，透過這種方式一次可外洩約 127 bytes 的記憶體資料，只要反覆觸發，攻擊者就可能蒐集到完整的 Session Token 或機敏資訊！

---

【專家建議】企業應立即採取以下行動：

優先修補漏洞：特別是 MRLG、PHPMailer、Zimbra、Citrix 等產品，應立即更新至安全版本。

進行威脅獵捕（Threat Hunting）：檢查是否有異常存取 /doAuthentication.do 等端點的紀錄，注意是否有資料外洩跡象。

註銷所有 Citrix 會話：若企業使用 NetScaler，建議在修補後強制註銷所有使用者會話，並更換登入密碼。

部署 Web 應用防火牆（WAF）：設定規則，阻擋未經授權的 POST/GET 請求，降低受害風險。

---

結語：漏洞利用 ≠ 未來威脅，而是正在進行的攻擊

這次 CISA 的 KEV 更新提醒我們，許多漏洞早已被駭客掌握並積極利用。企業防禦重點不只是「補漏洞」，更應強化縱深防禦、監控可疑行為，才能在駭客滲透前阻止攻擊。

Citrix Bleed 2 和 Zimbra SSRF 的案例也再度證明：攻擊者會針對高可用、低防護的通訊平台下手，確保攻擊效率與隱蔽性。請務必優先保護關鍵服務、遠端存取機制與信任邊界。

近期，法國國家資訊系統安全局（ANSSI）揭露，一個與中國有關的駭客組織，透過武器化的 Ivanti Cloud Services Appliance（CSA）零日漏洞，對法國多個關鍵產業進行大規模滲透行動，涵蓋政府、電信、媒體、金融與交通等領域。此事件不僅突顯零日漏洞持續成為國家級攻擊主力，也顯示中國駭客對歐洲多部門目標的滲透活動已達高度成熟且多樣化的戰術水準。

---

背後攻擊集團：Houken 與 UNC5174

根據 ANSSI 調查，這波攻擊活動可追溯至 2024 年 9 月初，攻擊來源歸因於一支編碼為「Houken」的入侵組織，該團體與 Google Mandiant 所追蹤的UNC5174（又名 Uteus 或 Uetus）有部分技術與基礎設施重疊。

特徵分析：

• 武器化漏洞使用： 利用多個 Ivanti CSA 的零日漏洞進行橫向滲透與後門植入。
• 高階工具搭配開源模組： 同時使用複雜的 rootkit、Behinder、neo-reGeorg 等常見中國社群開發的開源工具。
• 基礎設施分散： 攻擊架構包括商業 VPN、專屬主機等，具備長期部署特性。

值得注意的是，該組織從 2023 年開始，疑似以**「初始入侵經紀商（Initial Access Broker）」**形式運作，先滲透企業網路，取得入侵據點後再販售給其他國家級或犯罪型駭客集團使用，形成多層次的攻擊合作鏈。

---

利用的 Ivanti 零日漏洞與攻擊手法

在此次行動中，攻擊者利用了 三個尚未公開的 Ivanti CSA 零日漏洞（CVE-2024-8963、CVE-2024-9380、CVE-2024-8190） 進行攻擊，成功取得管理權限與持久存取權。攻擊手法包括：

1. 部署 PHP 網頁後門（web shell）
2. 修改現有 PHP 腳本，注入後門功能
3. 安裝 Linux 核心模組（Rootkit）：sysinitd.ko

此外，攻擊者會安裝名為 sysinitd 的核心模組與執行檔，此模組會攔截所有 TCP 封包，劫持連入封包並執行任意指令，以 root 權限取得完整控制權。此模組最早於 2024 年 10 月由 Fortinet 偵測到，並於 2025 年初再度出現。

補充攻擊工具清單：

• Behinder、neo-reGeorg： 常用於中國駭客圈的 Web Shell 工具
• GOREVERSE / GoReShell： Golang 編寫的隱匿通道後門
• GOHEAVY： 用於資料外傳的 Golang 隧道工具
• suo5： HTTP Proxy 通訊工具

---

作業時區與後門清除行為

根據時間戳記與行為分析，ANSSI 指出攻擊者活動時區為 UTC+8，對應為中國標準時間，進一步強化其地理來源的可信度。

更值得注意的是，攻擊者在成功入侵後主動修補這些漏洞，以阻止其他競爭駭客重新利用同樣的漏洞 —— 這類行為屬於典型「封門式滲透」，代表其目標為長期潛伏與情報壟斷。

---

國際攻擊範圍與目標分析

根據目前掌握的情資，這波滲透行動的攻擊目標不僅限於歐洲，更涵蓋：

• 東南亞地區的政府與教育單位
• 中國（含香港與澳門）境內的 NGO
• 歐美的國防、媒體、教育與電信單位

此外，有報導指出其中一波攻擊甚至鎖定某歐洲主流媒體集團，代表其除了情報蒐集，也可能具有**輿論操控或混合戰（Cognitive Warfare）**意圖。

---

金融動機與加密貨幣活動

雖然 Houken 與 UNC5174 被歸類為國家背景駭客集團，但在部分案例中，攻擊者使用入侵資源部署加密貨幣挖礦程式，顯示這些行動背後可能是「半國家、半商業化」的運作模式 —— 一邊販售入侵權限與數據給國家級客戶，一邊自行牟利。

ANSSI 表示：「該組織可能為私人資安承包商，受多方國家支持或雇用，進行兼具經濟回報與政治意圖的複合型滲透。」

---

專家觀點：這次攻擊提醒我們該如何行動？

從這次駭客利用 Ivanti 漏洞的大型滲透事件中，我們觀察到幾個關鍵警訊，對企業與政府單位來說，這些都是不能再忽視的風險指標：

---

1. 零信任不是選項，是現在就要開始的基本功

企業內部網路不能再「預設信任」。無論是總部或分點，建議立即落實以下做法：

• 不同部門網路分段，避免一破全倒
• 強化登入驗證，採用多因子驗證（MFA）
• 確保使用者權限最小化，避免超權帳號成為突破口

---

2. 別再小看「開源工具」的威脅

攻擊者不再從零寫程式，他們偏好使用 GitHub 等開源工具包，像是 Behinder、Cobalt Strike 或 neo-reGeorg 等，都能幫助駭客潛行、橫移甚至遠端控制。

這代表什麼？企業需要有能夠辨識工具行為特徵的監控機制，像是 EDR、UEBA 等行為分析系統，要真的開啟、調校好，不能只是部署了就放著。

---

3. 小心「潛伏型入侵」— 有人可能只是來「賣門票」

現在很多駭客不自己動手，而是滲透成功後，把這個入侵點當商品轉賣給勒索集團或其他國家支持的攻擊單位。

這種角色叫做「初始入侵經紀商（IAB）」。他們不會馬上動手，但留下一個後門，讓下一波攻擊隨時可能發生。

建議企業建立針對「無明顯行動、但已滲透」的偵測機制，例如異常連線、憑證存取頻率變化等。

---

4. 關注你的邊界設備，它們是最常被打的第一道門

本次事件再次證明：Ivanti、F5、Palo Alto 等邊界設備，是最容易被當作突破口的關鍵裝置。

你需要的不只是打補丁，還包括：

• 定期掃描漏洞（含尚未公開的0-day監控）
• 觀察這些設備有無異常行為（如連接目的地異常、系統資源異常增長）
• 主動訂閱國際資安通報，提早反應新威脅

---

5. 把敵人變成情報來源：部署欺敵技術（Deception Technology）

針對像 UNC5174 / Houken 這類深度滲透型 APT，光靠被動偵測還不夠。

欺敵技術的好處是：

• 在內網放上假的帳號、檔案、伺服器等誘餌
• 駭客一碰就會被偵測
• 不僅能提早發現入侵，也能收集對手工具、手法與目標意圖

這類技術特別能補足 EDR、SIEM 等偵測死角，是未來防禦架構中不可或缺的一環。

---

結語：這不是單一事件，而是資安新常態的縮影

這起 Ivanti CSA 零日漏洞攻擊，揭示了一個更大的趨勢——我們所面對的，不再是單一駭客，而是一整個跨國、跨組織、跨目的的資安攻擊產業鏈。

這些攻擊者有的來自國家背景、有的尋求商業利益、有的只是替人鋪路。他們擅長整合漏洞、開源工具、暗網資源，目標是長期潛伏與最大化利益。

無論你是企業、政府、學校還是非營利機構，未來的資安風險將持續升高。現在是時候超前部署，從系統架構、偵測能力、應變流程全面強化，才能真正降低損害、守住核心價值。

2025 年 6 月下旬，FBI 正式發出警告：以社交工程著稱的 Scattered Spider（又名 UNC3944、Octo Tempest 等）正在擴大攻擊範圍，將北美航空業納入打擊目標。繼加拿大的 WestJet 與美國的 Hawaiian Airlines 陸續傳出遭駭之後，航空資安成為全球焦點。

社交工程 + 偽冒 IT 支援：航空業的新弱點

FBI 指出，Scattered Spider 鎖定航空公司內部的 IT 協助流程，假冒員工或外包廠商身分，致電幫助台要求重設密碼、加入未授權的 MFA 裝置，藉此繞過多因素驗證（MFA）進入系統。他們也常透過供應商、承包商等第三方 IT 服務商滲透目標企業，導致供應鏈成為漏洞來源。

Palo Alto Networks 旗下 Unit 42 與 Google Cloud 擁有的 Mandiant 皆已觀察到該團體攻擊航空與交通運輸業的多起案例。Mandiant 首席技術長 Charles Carmakal 強調，航空業應立即強化幫助台身分驗證流程，例如在執行 MFA 裝置新增、密碼重設前，加強對員工或合約工身分的核驗。

這不是單純的密碼爆破攻擊，而是「信任的利用」。Scattered Spider 深諳企業內部流程，理解人性弱點，在幫助台遭遇時間壓力或緊急需求時，極容易被虛構的故事所說服，進而開啟大門。

從零信任到認證流程：攻擊手法逐步升級

Scattered Spider 的戰術從早期的 SIM 卡置換，到今日整合社交工程、幫助台詐騙、帳號升權與雲端滲透，形成橫跨內外網的混合式攻擊鏈。他們常針對 C-Level 高層展開深度偵查，再進行極具針對性的攻擊。例如，冒充財務長 (CFO) 向 IT 部門請求重設 MFA，甚至準確說出其生日與社會安全號碼末四碼等個資，進一步驗證身分並取得完整帳號控制權。

根據 ReliaQuest 的研究，Scattered Spider 一旦滲透成功，即可在數小時內：

• 列舉 Entra ID 權限帳號與群組，進行橫向移動與持久化植入
• 偵查 SharePoint 文件與組織工作流程，精準定位機敏資料
• 利用 CFO 憑證滲透 Horizon VDI 虛擬桌面環境，入侵更多帳號
• 重啟停用的 VM，存取 VMware vCenter，關閉生產環境控制器並擷取 NTDS.dit 資料庫
• 破解 CyberArk 密碼保險庫，盜取超過 1,400 組機敏帳密
• 利用合法工具如 ngrok 建立後門與持久連線
• 在遭到偵測後，刪除 Azure 防火牆規則組，癱瘓防禦。

最終甚至與資安團隊展開「搶奪 Entra ID 全域管理員權限」的拉鋸戰，直到 Microsoft 介入才終結攻擊行動。

航空業攻擊事件頻傳：Scattered Spider 正在壓力測試整個產業

6 月以來，Hawaiian Airlines、WestJet 皆傳出遭遇網路攻擊。Hawaiian Airlines 向 SEC 通報指出，其部分 IT 系統遭入侵，雖航班營運未受影響，但已緊急調查中。加拿大第二大航空 WestJet 亦公告指出，部分網站與 App 出現異常，用戶無法登入，內部團隊與執法單位合作調查中。

American Airlines 也於近期出現技術異常，雖未證實與攻擊有關，但外界開始懷疑是否為同一波網攻的一環。Mandiant 警告，Scattered Spider 長期針對特定產業深耕，不排除這是對航空業的一次「壓力測試」或預演。

7 月初，澳洲航空 Qantas 也披露發生資安事件，有高達 600 萬筆顧客資料紀錄遭入侵。該事件源自攻擊者滲透第三方呼叫中心服務平台，並非入侵 Qantas 本身系統，但外洩資料可能包含姓名、電話、生日、常客編號等個資，雖未涉及帳密或信用卡資訊，但仍引發廣泛關注。外界研判此事件手法與 Scattered Spider 過往攻擊高度雷同，雖無明確歸因，仍被列為可能關聯事件之一。

更早之前，該團體就曾與 ALPHV/BlackCat 合作攻擊 MGM 與 Caesars Palace，也曾透過 DragonForce 打擊英國零售業（M&S、Co-Op、Harrods 等）。攻擊手法成熟，流程精密。

航空業的結構性風險：個資、營運與供應鏈三重危機

航空公司本身即為高價值標的：

• 處理大量個資、金流資料、航班資訊
• 仰賴多方第三方系統與 IT 外包服務
• 對於系統中斷與航班延誤容錯率極低

從 SpiceJet 到 Sunwing、Japan Airlines、Air Canada、Kenya Airways…航空產業的資安風暴其實早已成型。

Scattered Spider 並未直接承認對 WestJet、Hawaiian 、Airlines American Airlines或 Qantas 的攻擊，但根據 Mandiant、Palo Alto Networks 等單位觀察，其攻擊模式、時間點與社交工程手法皆吻合。

防禦建議：從技術到流程再到文化

Scattered Spider 最可怕之處，不只是技術力，而是結合人性、流程、心理學與社交操控，打造出無法僅靠防毒或防火牆阻擋的攻擊方式。以下是專家建議的防禦措施：

1. 強化幫助台流程：
   • 嚴格執行二次身分驗證，禁止僅憑口頭資訊或簡單個資進行帳號重設。
   • 記錄並審查所有重設與 MFA 新增操作。
2. 導入抗網釣 MFA：如 FIDO2、安全金鑰等，降低可社交操控的驗證方式。
3. 角色權限最小化：C-Level 帳號須分離日常作業與敏感系統操作權限。
4. 教育訓練演練：透過實境模擬，讓幫助台與 IT 員工學會辨識社交工程攻擊。
5. 建構多層式監控與追蹤：異常帳號操作、MFA 新增、憑證重設等應具備告警與即時審查機制。
6. 部署誘餌技術（Deception Technology）：設計假帳號、誘餌伺服器與虛擬資源，引誘攻擊者進入偽裝環境，提前偵測攻擊路徑並延緩入侵進程。

Scattered Spider 並不是突破技術防線，而是突破人類決策流程。這是一場信任的戰爭。而唯有重新設計我們如何「信任彼此」、驗證彼此，並加入誘餌機制作為早期警示，我們才能真正築起資安防線，捍衛航空這項現代社會最重要的關鍵基礎建設之一。