標籤: IOCs

在企業 IT 基礎架構表面平靜之下，全球受信任的地理資訊系統（GIS）軟體 ArcGIS，竟被中國國家支持的駭客組織 Flax Typhoon 潛伏超過一年，悄悄成為間諜行動的後門。ReliaQuest 的最新報告指出，Flax Typhoon（又名 Ethereal Panda、RedJuliett）利用 ArcGIS 本身的可擴充特性，將合法的 Java Server Object Extension（SOE） 元件改造成可遠端控制的 Web Shell，在不依賴傳統惡意程式碼的情況下，持續維持長期隱蔽存取。這種作法不僅展現攻擊者的高度隱匿能力，也揭示了現代網路威脅的新趨勢──將信任本身武器化。

利用合法功能作為隱蔽武器

Flax Typhoon 沒有依賴漏洞或惡意二進位檔，而是「借力打力」：

• SOE 元件被修改後，可透過 ArcGIS 的 REST API 接收 Base64 編碼指令；
• 使用 硬編碼金鑰 控制存取，確保只有攻擊者能下達指令；
• 惡意行為混入正常系統流量中，不易被傳統防毒或 EDR 偵測。

攻擊者利用合法的 Portal 管理員帳號 部署惡意擴充功能，使操作表面上像日常維護，甚至被嵌入系統備份。結果，企業即便還原系統，也會自動將後門重新安裝回去。ReliaQuest 指出：「這策略將企業安全網變成再感染的陷阱。」

從漏洞利用到信任濫用

Flax Typhoon 的手法充分展現 Living off the Land (LotL) 策略：

• 利用現有系統元件與合法工具維持存取權；
• 完成入侵後操作（post-compromise activity），包括系統命令執行、資料上下傳、建立持久服務等；
• 上傳 SoftEther VPN（bridge.exe） 並設為系統服務，透過 HTTPS 連線 建立加密 VPN，讓攻擊者可偽裝成內部網路成員，橫向移動並蒐集敏感資料。

此外，攻擊者還鎖定 IT 管理員工作站，取得憑證與管理權限，進一步鞏固對內網的掌控。這一切並非依靠零日漏洞，而是利用企業在憑證管理與權限控管上的漏洞，展現對「弱點管理」的策略性利用。

全球脈絡與威脅意涵

Flax Typhoon 並非新面孔。FBI 早在 2024 年 9 月就揭露其操控大型殭屍網路，並將其與北京上市公司 Integrity Technology Group（誠信科技集團） 連結，指控其協助國家級網路間諜行動。美國政府亦已對該企業實施制裁。

ArcGIS 廣泛應用於地理分析、城市規劃、能源與環境監控，其被滲透風險不只是資料外洩，還可能影響基礎設施安全與國家安全，凸顯企業應對關鍵系統的資安策略不能鬆懈。

專家觀點：信任本身就是漏洞

這起事件提醒資安防禦者，現代攻擊不只是尋找程式漏洞，更是利用信任鏈中的灰色地帶：

• 合法工具、日常流程、內建功能，都可能成為攻擊載具；
• 傳統偵測方法若只依賴特徵碼或異常檔案，容易被「合法偽裝」規避。

建議企業防禦重點應包括：

• 行為層級異常偵測；
• 基礎設施完整性驗證；
• 備份安全審查與版本追蹤；
• 最小權限管理與憑證強化。

如 ReliaQuest 所言：「這場攻擊揭示了信任功能被武器化的風險。」真正有效的防禦，不僅在於辨識惡意活動，更要識別那些「被利用的信任」。

結語

Flax Typhoon 將 ArcGIS 的合法功能改造成持久後門，使企業最信任的系統成為滲透通道。
這提醒我們：最隱蔽的威脅往往存在於最熟悉、最受信任的系統中。

在零信任（Zero Trust）理念下，信任本身已成最大風險。唯有持續驗證、深度監控與異常行為洞察，才能避免成為下一個「地圖上的漏洞」。

Flax Typhoon的部分入侵指標(Indicator of compromise -IOCs):

4f9d9a6cba88832fcb7cfb845472b63ff15cb9b417f4f02cb8086552c19ceffc
8282c5a177790422769b58b60704957286edb63a53a49a8f95cfa1accf53c861
84959fe39d655a9426b58b4d8c5ec1e038af932461ca85916d7adeed299de1b3
cec625f70d2816c85b1c6b3b449e4a84a5da432b75a99e9efa9acd6b9870b336

近期，知名勒索軟體集團麒麟(Qilin) 在其暗網外洩網站上聲稱，成功入侵 Nissan Motor Co., Ltd. 位於東京的設計子公司 Creative Box Inc.（CBI），並竊取超過 4TB、共 405,882 筆檔案。根據 HackRead 的報道，該組織進一步威脅，若 Nissan 不回應其要求，將公開包括 汽車設計檔案、財務數據、3D 模型、虛擬實境設計影像 等高價值資料。

外洩樣本檔案揭露的風險

麒麟為證明其聲明的真實性，釋出四份範例檔案：

• 3D CAD 設計圖檔：包含高、低多邊形車輛模型，顯示其掌握 Nissan 原型開發與可視化設計資料。
• 日文試算表：疑似涉及財務與專案營運資訊，內含專案時程、成本估算與內部規劃。
• 擬真化車內設計渲染圖：展示儀表板、方向盤、座椅等細節，代表高度保密的工業設計文件已外流。
• VR 設計作業截圖：顯示員工使用虛擬實境檢視、操作 3D 設計成果，凸顯 Nissan CBI 在數位化研發流程的應用情境。

若這些資料屬實，對 Nissan 來說將不只是一次性資安事件，更可能導致 專利外洩、商業機密流失與長期競爭劣勢，甚至為仿冒或競品提供可利用的技術資訊。

麒麟勒索集團的背景

麒麟（Qilin，又稱 Agenda） 是近年活躍於全球的勒索軟體即服務（Ransomware-as-a-Service, RaaS）集團，約自 2022 年開始浮現，並快速累積知名度。與傳統勒索集團不同，麒麟採取 平台化經營模式，提供惡意軟體、攻擊工具與基礎架構，讓加盟的駭客以「加盟者」分潤方式參與攻擊。這種模式降低了技術門檻，使其攻擊能快速擴散到不同產業。

麒麟（Qilin）勒索集團的技術手法

利用易受攻擊的驅動程式（BYOVD）：Qilin 會載入存在漏洞的驅動程式（如 TPwSav.sys），用於停用終端偵測與回應（EDR）工具，削弱防禦能力。

利用內建軟體漏洞：Qilin 曾被觀察到濫用 Fortinet 已知弱點（包含 CVE-2024-21762 與 CVE-2024-55591），藉此繞過身分驗證並執行惡意程式碼。

竊取驗證權杖：攻擊者利用 JetBrains TeamCity On-Premises 的嚴重漏洞（CVE-2024-27198），實現遠端驗證繞過，進而取得未授權的伺服器管理權限。

Veeam 備份弱點：在 Veeam Backup & Replication 中的漏洞（CVE-2023-27532）讓駭客能竊取儲存在組態資料庫中的加密憑證，進一步擴大攻擊範圍。

加密檔案的獨特副檔名：受害系統中的加密檔案通常會被加上特殊副檔名，例如 .qilin、.agenda 或依照受害組織量身定制的識別字。

勒索訊息投遞：勒索訊息通常以 README-RECOVER-[company_id].txt 命名，內含支付方式與資料復原指示。

指揮控制伺服器（C2）：已觀察到其與特定網域進行通訊，例如 bloglake7[.]cfd。

國際知名案例

• 2024 英國 Synnovis 事件：攻擊 NHS 供應商 Synnovis，導致數千場醫療行程取消，甚至造成病患死亡。此案使麒麟一躍成為國際關注焦點。
• 近期產業滲透：除醫療外，麒麟逐步將觸角延伸至 汽車製造與設計產業，凸顯其鎖定「智慧財產價值高、可勒索潛力大」的行業趨勢。

對 Nissan 與產業的意涵

汽車產業的設計檔案屬於 最高機密的智慧財產，其外洩不僅將損害品牌信譽，更可能引發產業鏈風險：

• 競爭壓力升高：競爭對手若獲取設計資料，將削弱 Nissan 的創新優勢。
• 仿冒與產業間諜風險：不法業者可能利用外洩檔案製造仿冒品，甚至進一步滲透其他相關企業。
• 長期信任危機：投資人、合作夥伴及客戶對 Nissan 的資安信任度將受到重大挑戰。

資安專家觀點

此次事件再次凸顯 勒索軟體攻擊不再只是一場「資料加密」危機，而是升級為「智慧財產與營運核心」的外洩風險。對於以創新研發為核心的產業而言，設計圖、專案規劃與數位化流程檔案的曝光，所帶來的損失遠超過短期金錢勒索。

建議重點

備援與教育：建立不可變備份、定期演練，並提升員工資安意識。業應立即檢視：

資料分級保護：核心設計與專利資料必須加密並嚴格控管存取。

外洩偵測：部署 DLP、UEBA 監控異常流量，及早阻斷資料竊取。

零信任與供應鏈管理：落實「永不信任、持續驗證」，並強化外包單位安全。

欺敵防禦（Deception）：導入誘捕帳號、假檔案與陷阱系統，提前偵測駭客行為。

麒麟事件再次提醒製造業與研發導向型企業，資安不再只是 IT 部門的課題，而是 核心競爭力與企業存亡的關鍵。

麒麟的部分入侵指標(Indicator of compromise -IOCs):
SHA-256 aa0772fc6784799d59649654879c2b4a23919cda410bede0162751e6d6d6b558
MD5 6b7eeb860917aa44982d8bd2d971aff1
SHA-1 d4e3a066e1c1a21e3d44f2ef81a94aec42f5df11
SHA-256 ebb2a1b46a13c308ffe62dda4d9da316d550433707b2c2a38ad710ea4456c608
MD5 a42d36f1af2c396e645ffa356fa47a1e
SHA-1 5914e976598ece1a271a60615a17420319a77812
SHA-256 ceed9fdce420c0558e56bb705664d59f67d62c12d7356ca8643908261638b256
MD5 e1d41939dc4cc4116cc3439a01cfb666
SHA-1 6e35dfdf0d09a0313a33fcc6c77f4fe00a79b9dc
SHA-256 5e9fc42cf65e1a87e953d00cb2755d3b5b00c1414259534c3a85742295bb6ff9
MD5 1410b418a078559581725d14fa389cdd
SHA-1 081cd6c242d472db9148fd0ce33346f7a3e87ac2
SHA-256 a25097d2ae808df410c2f35d725a500fb680f38605e62c9e3b619e389ef6733f

近期，資安圈再度鎖定一個快速竄起的新興威脅團隊——Crypto24 勒索軟體集團。根據 Trend Micro 研究團隊揭露，Crypto24 針對美國、歐洲與亞洲多家大型組織發動攻擊，目標涵蓋金融、製造、娛樂及科技產業，並使用自製 EDR（端點偵測與回應）反制工具，在入侵後能有效避開安全防護、竊取機敏資料並加密檔案。

來歷背景

Crypto24 最早出現在 2024 年 9 月BleepingComputer的論壇，雖然起初並未引起太大關注，但短短數月內就展現出高水準的攻擊技巧。從攻擊流程與工具熟練度來看，研究人員研判該集團可能由解散的知名勒索軟體組織核心成員重組而成，具備相當豐富的滲透與防禦規避經驗。

攻擊流程與技術細節

1. 初始入侵與帳號控制
   取得初步存取權後，攻擊者會啟用 Windows 內建的預設系統管理員帳號，或建立新的本機使用者帳號，以達成隱密且持久的訪問權限。
2. 環境探勘與持續性機制
   透過自製批次檔及系統指令，攻擊者會列舉帳號清單、硬體配置與磁碟分區，並建立惡意 Windows 服務及排程任務：
   • WinMainSvc：偽裝成合法服務的鍵盤側錄程式
   • MSRuntime：用於載入勒索軟體的核心模組
3. 自製 RealBlindingEDR 工具
   Crypto24 修改開源工具 RealBlindingEDR，可針對多家知名安全廠商的 EDR 產品停用核心層（Kernel-Level）的偵測回叫，讓防護系統「瞬間失明」。受影響的產品包含 Trend Micro、Kaspersky、Sophos、SentinelOne、McAfee、Bitdefender、Fortinet 等十多種品牌。
   • 特別是對 Trend Micro Vision One，若取得系統管理員權限，攻擊者會調用官方的 XBCUninstaller.exe（原本用於故障排除與清除安裝）來卸載代理程式，完全繞過防護。
4. 側錄與橫向移動
   • 鍵盤側錄：WinMainSvc 偽裝成「Microsoft Help Manager」，記錄所有按鍵（包含 Ctrl、Alt、功能鍵）及視窗標題。
   • 橫向移動：利用 SMB 分享在內部網路傳送惡意檔案，並集中到特定節點進行資料外洩。
5. 資料竊取與加密
   所有被竊資料會經由自製工具上傳至 Google Drive，該工具透過 WinINET API 與雲端互動，避開傳統網路偵測機制。隨後，攻擊者會刪除 Windows 系統的 Volume Shadow Copies，阻斷災後復原的可能，最後才執行加密程序。

戰術特點

Crypto24 的攻擊鏈幾乎涵蓋 MITRE ATT&CK 中多個高階戰術，包括：

• 防禦規避（Defense Evasion）：透過自製 RealBlindingEDR 工具與合法系統工具移除防護。
• 持續性（Persistence）：建立惡意服務與排程。
• 憑證存取（Credential Access）：側錄敏感帳密與按鍵輸入。
• 資料外洩（Exfiltration）：利用雲端服務傳輸，降低被偵測的機率。
• 影響（Impact）：刪除快照後進行加密，直接癱瘓業務運作。

對企業的啟示

Crypto24 的案例再次證明，現今勒索軟體集團已不再依賴「市面現成」工具，而是傾向開發專屬的防護繞過方案，甚至會利用合法廠商工具達成惡意目的。企業應：

• 強化 EDR / XDR 的防護機制，阻擋非法卸載與核心層修改行為。
• 嚴格管控管理員帳號與遠端登入。
• 對雲端傳輸異常流量（如 Google Drive、大量檔案上傳）進行即時監控。
• 定期演練勒索軟體事件應變流程，確保即使偵測失敗，仍能迅速阻斷擴散與資料外洩。

Crypto24 雖然是新玩家，但已展現出與老牌勒索集團同等的技術與滲透深度，未來極可能在全球大型組織中掀起更多攻擊浪潮。

Crypto24的部分入侵指標(Indicator of compromise -IOCs):

093902737a7850c6c715c153cd13e34c86d60992

5d1f44a2b992b42253750ecaed908c61014b735a

8057d42ddb591dbc1a92e4dd23f931ab6892bcac

eeafb2d4f6ed93ab417f190abdd9d3480e1b7b21

3922461290fa663ee2853b2b5855afab0d39d799

71a528241603b93ad7165da3219e934b00043dd6

74bc31f649a73821a98bef6e868533b6214f22a4

b23d0939b17b654f2218268a896928e884a28e60

資安公司 Sysdig 最新研究揭示，由中國政府支持的威脅行為者 UNC5174 正積極展開新一波具有高度隱匿性的網路間諜行動。該組織日益依賴開源工具與先進攻擊技術，以規避偵測與追蹤，展現其日益成熟的行動能力。

根據報告指出，UNC5174 為先前 Mandiant 所揭露的中國國家承包駭客團體，其目標鎖定美國、英國、加拿大及亞太地區的重要機構與基礎設施。該組織持續運用自製惡意軟體與開源後門工具，滲透目標系統並進行情報蒐集。

利用開源工具提升隱匿性與歸因困難度

UNC5174 的攻擊策略之一，是廣泛使用開源工具來掩蓋其國家背景，使其行為更難與國家級行動劃上等號。此舉亦降低了行動的歸因風險，進一步模糊其來源。

在此次活動中，關鍵工具之一為 VShell —— 一款與知名滲透測試框架 Cobalt Strike 類似的開源後門程式。VShell 屬於無檔案型（fileless）惡意程式，其程式碼全數駐留於記憶體中，使傳統的檔案掃描工具難以發現其蹤跡。

Sysdig 表示：「像 UNC5174 這類高階攻擊者轉向使用開源工具，除了降低成本，更可大幅增加偵測與追蹤的困難度，其行為模式亦更接近一般低技術駭客，進一步混淆歸因分析。」

攻擊鏈分析：高度模組化與持久滲透能力

UNC5174 所展現的攻擊流程極具組織性，包含以下階段：

• 初始入侵：使用未公開的技術進行系統滲透
• 惡意程式植入：
  • Snowlight：自行開發的 Linux 惡意軟體，顯示其深厚的系統底層知識
  • Silver：用於建立持續遠端控制能力的 C2 模組
  • VShell：駐留於記憶體的後門工具，用於隱密操控

值得注意的是，UNC5174 採用了 WebSockets 作為其指揮控制（C2）通道，這種方式相較於傳統 C2 通訊協定更具隱匿性，可實現即時加密命令下達，並有效混入一般網路流量中。

Sysdig 指出：「透過 WebSockets 傳輸，可大幅降低異常流量特徵，加上 HTTPS 加密，攻擊行為更難與正常活動區分，進一步提升偵避能力。」

鎖定戰略性目標，滲透國際關鍵領域

UNC5174 的攻擊行動明確服務於國家戰略利益，其鎖定的目標範圍廣泛，涵蓋：

• 政府單位與研究機構
• 智庫與政策制定機構
• 高科技產業
• 非政府組織（特別是亞太地區）
• 關鍵基礎設施（如能源、醫療與國防部門）

這些攻擊行為主要目的為取得敏感資料，進行長期滲透與情報收集。

防禦啟示與應對建議

根據 Sysdig 分析，UNC5174 的活動自 2024 年 11 月即已展開，其持續性與隱匿性極高，對傳統資安防禦機制構成嚴峻挑戰。

Sysdig 資安策略師 Crystal Morin 表示：「該組織幾乎不留痕跡地運作，展現高度隱蔽性。我們發布這份研究報告的目的，是希望協助業界更有效偵測如 VShell 等先進後門工具的活動。」

Sysdig 並釋出以下資源供防禦團隊應用：

• YARA 偵測規則
• Falco 行為監控規則
• 最新入侵指標（IoCs）清單

企業與政府機構應立即評估其對於無檔案型惡意程式、記憶體攻擊與加密通訊異常的偵測能力是否到位，並強化相關防護機制。

專家總結：面對開源武器化的國家級威脅，防禦需邁向新階段

UNC5174 可視為現代國家級威脅行為者的典型代表：技術精湛、行動低調、手法創新，並能有效結合開源工具與定製惡意程式進行精準滲透。

防禦方應採取以下建議措施：

• 建立以行為為核心的偵測機制，突破傳統特徵式防禦限制
• 強化記憶體監控與針對 WebSocket 等非典型通訊協定 的流量分析
• 善用開源社群提供的 威脅情資與即時規則（如 YARA 與 Falco） 提升偵測能見度

在日益複雜的資安威脅環境下，隱匿性攻擊與開源工具武器化已成為新常態。唯有採取主動防禦策略，方能有效應對此類新型態威脅。

UNC5174的部分入侵指標(Indicator of compromise IOCs):

e6db3de3a21debce119b16697ea2de5376f685567b284ef2dee32feb8d2d44f8
8d88944149ea1477bd7ba0a07be3a4371ba958d4a47b783f7c10cbe08c5e7d38
21ccb25887eae8b17349cefc04394dc3ad75c289768d7ba61f51d228b4c964db

資安研究人員揭露了一場高度複雜的網路攻擊行動，此行動利用陞泰Avtech攝影機與華為 HG532 路由器的漏洞擴展 Mirai 變種惡意網路，稱為 Murdoc Botnet。這起大規模攻擊凸顯了物聯網（IoT）漏洞被用於建立惡意網路的日益增長的威脅。

行動概述與發現

根據 Qualys 資安研究員 Shilpesh Trivedi 的說法，Murdoc Botnet 展現出「增強的能力，能利用漏洞入侵設備並建立大規模的惡意網路」。該行動至少自 2024 年 7 月起活躍，目前已有超過 1,370 台設備被感染，主要分布於馬來西亞、墨西哥、泰國、印尼及越南等地區。

攻擊鏈的技術分析

該惡意網路利用已知的漏洞，例如 CVE-2017-17215 和 CVE-2024-7029，以獲取物聯網設備的未授權訪問權限。一旦入侵成功，攻擊者便部署 Shell 腳本下載並執行針對目標設備架構的惡意程式。

此惡意程式的主要目的是將受感染設備武器化，用於執行 分散式阻斷服務（DDoS）攻擊，進一步干擾重要服務與基礎設施。這一動向與其他 Mirai 變種的活動不謀而合，例如 2024 年底針對工業路由器的「gayfemboy」攻擊。

物聯網漏洞的更廣泛影響

近期報告亦顯示，針對電信、雲端運算、銀行與遊戲等高價值領域的惡意網絡活動顯著增加。證據顯示，55% 以上的受感染設備位於印度，其次是南非、巴西、孟加拉與肯亞。

Trend Micro指出，Murdoc Botnet 採用 Mirai 與 BASHLITE 衍生的惡意程式變種，具備執行複雜 DDoS 攻擊、更新惡意程式及提供代理服務的能力。攻擊者透過利用弱密碼與未修補的漏洞滲透物聯網設備，部署下載惡意程式的加載器，並與指揮控制（C2）伺服器連接，接受進一步指令。

防護建議

為防範物聯網惡意網絡威脅，建議採取以下資安措施：

1. 漏洞管理：定期更新設備韌體，修補已知漏洞（如 CVE-2017-17215 和 CVE-2024-7029）。
2. 憑證強化：將預設用戶名與密碼更改為複雜且唯一的憑證。
3. 網路監控：部署入侵偵測與防禦系統（IDPS），以監控異常流量模式並阻止未授權訪問。
4. 端點防護：採用進階端點防護方案，偵測並緩解惡意進程與腳本。
5. 網路分區：將物聯網設備隔離至專用網路區段，減少橫向移動攻擊的風險。

更大的挑戰

Murdoc Botnet 再次提醒我們，未保護的物聯網設備帶來的風險日益嚴重。隨著攻擊者逐漸利用物聯網生態系統，企業必須優先考慮這些設備的資安防護，以保護基礎設施，並防止其被用於大規模惡意網路行動。

採取主動措施，包括資安意識提升與持續漏洞修補，對於應對不斷演變的威脅環境至關重要。

有關Murdoc Botnet的部分入侵指標(Indicator of compromise -IOCs):

c9fe390890a8b0586e8d5ac410685a7c4ed147858b10eb75459fa1afca8dc84d 

c0ae1eb249705f61d45ca747c91c02a411557a28792f4064c1d647abb580bc10

f5aa93311d8dcde50d87ec010274fdd7a7653eed51264f0e2e648403ec4177d0

76ebd9695aef87cc975d63b3a7a9ecc7d31bcd53a29e70ba97464a61e102cf52

7b1c7eb73f5d668c11af8f7131883863774902883ad95aa520a1eb203cf50fe1