NoName057(16) 遭歐洲聯手重擊!從癱瘓台灣網站到遭全球通緝的駭客組織

你是否還記得 2024 年那場突如其來的 DDoS 攻擊?當時,一個名為 NoName057(16) 的親俄駭客組織,短時間內癱瘓台灣多個重要政府與金融網站,引發社會廣泛關注。如今,一年過去,這個不斷挑釁台灣與西方盟國的組織,終於被國際聯手「出擊」──歐洲刑警組織(Europol)於 2025 年 7 月中旬發動代號為「Eastwood」的跨國行動,正式對其下重手!


國際聯手的「Eastwood 行動」:重創 DDoS 背後的操盤者

根據 Europol 發布的公告,本次「Eastwood 行動」由歐洲與北美共 12 國合作展開,針對 NoName057(16) 的攻擊基礎設施與成員進行打擊,成果如下:

  • 超過 100 台用於發動 DDoS 的伺服器被查封
  • 法國與西班牙共逮捕 2 名核心成員
  • 7 國執行 24 次搜索行動,並傳喚 13 人接受調查
  • 德國發布 6 張逮捕令,追緝俄籍幕後主腦

此外,行動還向超過 1,000 名低階參與者發出法律警告,對這類「去中心化、社群驅動」型態的駭客集團進行首度大規模執法,為國際資安治理寫下重要一頁。


回顧攻擊:從台灣到歐美,NoName057(16) 如何擾亂秩序?

NoName057(16) 並非傳統意義上的「高技術駭客」,他們最擅長的是「靠人海戰術癱瘓服務」。這個組織廣泛招募來自俄語社群的低技術成員,透過簡單的工具與任務系統,讓任何人都能「一鍵發動攻擊」。而整個流程,就像是一場數位化的遊戲競賽:

  1. 在 Telegram 或論壇發布攻擊目標
  2. 成員下載工具並同步發送海量流量
  3. 造成網站癱瘓後發布戰果
  4. 將攻擊包裝為政治勝利,擴散訊息

這樣的模式曾在 2024 年台灣總統大選前後大規模發生,短時間內有 45 個政府與金融單位網站遭攻擊,雖無資料外洩,但造成服務中斷,甚至行政院網站一度無法連線。

更令人警惕的是,2025 年初他們再度發動新一波攻擊,包含群光電子、青雲科技、世芯電子、台塑、大眾電腦等企業接連中招,推測有超過 30 個台灣網站同步遭殃。


不只台灣,NoName057(16) 的目標遍及歐美盟國

自 2022 年俄烏戰爭以來,NoName057(16) 將所有「支持烏克蘭」的國家視為敵人,從烏克蘭政府、美國金融機構、德國交通單位、加拿大基礎設施到北約與歐盟峰會官網,皆成為攻擊目標。

以德國為例,2023 年底至 2025 年中,已遭遇至少 14 波攻擊,波及超過 250 個單位;瑞士、荷蘭在舉辦重要國際會議期間也屢次被騷擾。儘管這些攻擊多為短暫癱瘓,卻對公信力與社會秩序造成重大衝擊。


台灣的資安韌性關鍵:DDoS 防禦需戰術升級

面對這類大規模、低技術卻高動員的攻擊模式,台灣在 2024 年後已有若干強化措施:

  • 在重大活動(如選舉)期間進入最高防護等級
  • 政府部門每日監測與通報攻擊狀況
  • 金融業與關鍵設施導入「流量快篩+自動阻斷機制」
  • 建立跨部會應變協調機制,加速恢復效率

然而,未來仍需進一步精進:

  • 建立以 AI 驅動的異常流量分析機制,提前辨識潛在攻擊
  • 強化與國際資安組織、CERT 情報共享機制
  • 教育民眾與企業避免設備成為攻擊跳板(如殭屍網路的一環)
  • 模擬各類攻擊演練,提高整體資安韌性與協同應變力

總結:Eastwood 行動只是開始,持續聯防才是關鍵

這場「Eastwood 行動」無疑是一次重擊,讓 NoName057(16) 傷筋動骨,也傳遞一個明確訊號:無論是多去中心化、多匿名的組織,只要挑戰全球資安秩序,終將被鎖定。

但資安專家普遍認為,這類駭客可能會 換個名字、改個平台,捲土重來。台灣要從這次國際行動中學習:除了防禦,更要主動偵測、提早反制,才能在下一次數位衝突中站穩腳步。

【資安深入解析】台灣半導體產業成中國駭客鎖定目標,三大間諜攻擊行動全面揭密

從 2025 年春天開始 (2025年3月至6月),一場聚焦於晶片技術的無聲諜報戰,在台灣半導體產業間悄然展開。根據資安公司 Proofpoint 的最新揭露,有三個與中國有高度關聯的國家級駭客組織,鎖定了台灣半導體上下游企業發動社交工程與惡意軟體攻擊。

從晶圓代工、IC 設計、封測、供應鏈服務商,甚至延伸至半導體投資圈,這些攻擊背後不僅僅是勒索金錢,更像是精心策劃的產業諜報滲透。本文將帶您解析三起關鍵事件,從攻擊手法與後門植入策略,直擊這場跨境情報戰的真相。

▍晶片情報爭奪戰:中國情報重心為何轉向台灣半導體? 過去,中國的網路間諜行動多集中在政府、國防與基礎建設領域,但 2025 年以來,資安研究團隊注意到針對台灣半導體產業的釣魚攻擊與惡意信件數量激增,且攻擊模式更加精緻、目標更聚焦。

Proofpoint 指出,這波行動顯然是中國因應外部出口限制與技術封鎖的反制策略,試圖透過駭客滲透,繞過管制障礙,直接竊取高階製程、IC 設計、甚至供應鏈投資動向等關鍵情報。

UNK_FistBump RAR 檔案包含兩個不同的感染鏈- Photo Credit: Proofpoint
Photo Credit: Proofpoint

▍三大滲透行動剖析:攻擊者如何滲入產業核心

行動一:UNK_FistBump──滲透製造商 HR,後門潛入企業核心

今年 5 至 6 月,一批看似正常的應徵信件悄悄寄送至台灣晶圓廠與封裝測試廠的人資信箱。寄件人名叫「薛豪」,來自台灣大學材料系,附上詳細履歷與 PDF。然而,這些信封背後,藏著一個代號為「UNK_FistBump」的中國駭客組織。

這封信的附件其實是一個壓縮包,打開後會觸發兩條不同的惡意程式安裝流程(感染鏈)——分別植入國際知名的駭客工具 Cobalt Strike 以及中國自行開發的後門程式 Voldemort。

這兩個惡意軟體都使用合法的執行檔作為「跳板」,透過一種稱為 DLL sideloading 的技術來偷偷載入惡意程式,再利用 Google Sheets 或 VPS 主機作為遠端操控中心(C2)。更巧妙的是,他們使用外洩的台灣大學校內信箱發信,甚至對「履歷主題、系所、學校名稱」都下足工夫,讓收件人降低戒心。

他們假冒台灣大學畢業生向多家半導體相關企業投遞履歷,信件內容看似無害,卻內含經過雙重包裝的後門程式。目標明確:從 HR 進入、繞過防線,植入 Cobalt Strike 與 Voldemort loader,建立初步控制權限。

履歷誘餌檔案Photo Credit: Proofpoint

技術亮點:

  • 使用 RC4 + Base64 混淆的載入鏈
  • 正當程式如 javaw.exe 進行 DLL sideloading
  • C2 採用 Google Sheets 頻道,混淆流量來源
  • 多起案例中出現 CiscoCollabHost.exe 被用作載體

值得注意的是:這些攻擊雖模仿 APT41 工具鏈,但細節上的變化與基礎設施隔離顯示出明確分工,可能為子團隊或外包行動者所為

行動二:UNK_DropPitch──假投資公司釣出半導體投資分析師,部署定制後門

第二波行動明顯針對半導體產業中的財務與策略決策角色,例如晶片供應鏈研究員、投資銀行分析師等。

駭客透過假冒的投資信件夾帶惡意壓縮檔,利用合法應用程式 avlaunch.exe sideload 一組定制化後門「HealthKick」,具備穩定遠控能力。

關鍵細節:

  • 使用 XOR 混淆 + 自製 TLS 封包傳輸(FakeTLS)
  • 雙階段行動模式:先偵測環境、若發現目標價值高,便使用 Intel EMA 工具持續部署後門
  • 部分攻擊直接部署 TCP Shell,從 VPS 伺服器執行即時控制

攻擊過程保留了大量手動操作痕跡,明顯非自動化行動,駭客對目標價值有極高敏感度。

Photo Credit: Proofpoint

行動三:UNK_SparkyCarp 與 UNK_ColtCentury──AITM 攻擊與預備行動

第三組行動者則從身份與帳號攻擊切入,案例發生於某台灣大型半導體企業,駭客打造仿冒安全通知頁面(例如 accshieldportal[.]com),誘騙用戶登入並交出帳號密碼,這正是典型的 AiTM(Adversary-in-the-Middle)架構釣魚攻擊。

  • UNK_SparkyCarp:針對企業員工發送「異常登入通知」釣魚信,引導至攻擊者架設的 AITM 登入平台 accshieldportal[.]com,攔截認證 cookie。
  • UNK_ColtCentury:則以「法律合作邀請信」進行關係建立,部署 SparkRAT 為後續滲透鋪路。

這些攻擊以低觸發率、高偽裝度為特點,目的在於取得初始接點後滲透更深層網段。

Photo Credit: Proofpoint

深層交叉:中國駭客基礎設施出現重疊

Proofpoint 發現,這些攻擊者使用的控制伺服器,許多都託管在同一家俄羅斯 VPS 業者 ProfitServer,甚至取名都很一致——像是:

  • elliot-alderson-971.pserver[.]space
  • elliot-alderson-972.pserver[.]space

這些名稱向影集《駭客軍團》主角 Elliot Alderson 致敬,成為辨識攻擊來源的重要線索。

其中一個伺服器還持有 TLS 憑證 CN=AS.website,過去曾出現在與中國駭客 SideWalk 後門、MoonBounce惡意軟體攻擊等多起國際事件中。這顯示,這些攻擊組織之間可能共用基礎設施、或交換惡意工具模組

結語:台灣的晶片,正站在情報風暴的前線

▍結語:台灣成為晶片情報戰的第一戰場 這三起攻擊案例描繪出一幅清晰輪廓:中國正在將資安滲透焦點轉向高價值的科技與產業情報,而台灣,無疑正處於這場情報戰的最前線。

對企業而言,強化釣魚攻擊防範、落實信件驗證機制、監控 DLL sideloading 及可疑遠端工具的使用行為,已成為資安日常。

同時,也建議半導體產業鏈企業與政府資安單位強化聯防共享體系,快速通報可疑行為,集結情報反制這場看不見硝煙、但威脅實實在在的網路滲透戰。

資安提醒:技嘉主機板爆出 UEFI 安全漏洞,Secure Boot 防線遭繞過!

你知道嗎?即使你每天小心防毒、勤做更新,如果電腦的韌體有漏洞,駭客還是有機會在開機前就控制整台機器。

最近,資安公司 Binarly 發現超過百款技嘉主機板的 UEFI 韌體存在安全漏洞,可能讓攻擊者植入一種名為「Bootkit」的惡意程式。這種程式會在你電腦啟動時就開始運作,不僅難以偵測,甚至重灌作業系統也無法移除

技嘉主機板爆出四大致命漏洞

Binarly 發現,這次漏洞影響的關鍵在於技嘉主機板內的 System Management Mode(SMM) 模組。SMM 是一個權限高於作業系統的隱密環境,僅能透過特殊的 System Management Interrupt(SMI)處理器 呼叫,並運行在被保護的 SMRAM 記憶體區塊 中。

然而,這次的四個漏洞(CVSS 嚴重程度皆為 8.2)包括:

  • CVE-2025-7029:SMI 處理函式驗證不足,導致 SMM 權限提升
  • CVE-2025-7028:可直接讀寫 SMRAM,植入惡意程式
  • CVE-2025-7027:允許攻擊者向 SMRAM 寫入任意內容
  • CVE-2025-7026:開啟持久化後門,攻擊者可完全控制韌體

根據 CERT/CC(美國卡內基美隆大學資安協調中心)的說法,這些漏洞可以在作業系統尚未啟動、進入睡眠狀態、或系統回復階段時觸發,繞過 Secure Boot 與 Intel BootGuard 等所有防線

這就是所謂的「幽靈入侵」──在作業系統尚未睜眼前,惡意程式就已掌控全場。

漏洞讓駭客有機會:

  • 寫入惡意程式到記憶體中(即使系統還沒開機)
  • 取得系統最高控制權限
  • 安裝 Bootkit 惡意程式,永久控制電腦

更糟的是,這些惡意程式可以在你按下開機鍵時就開始運作,完全不受 Windows、Secure Boot、或防毒軟體的保護。


哪些主機板受影響?技嘉修好了嗎?

漏洞的原始程式碼來自主機板韌體供應商 AMI(American Megatrends Inc.),雖然 AMI 有提供修補,但不是每家品牌都套用了這些修正。

目前,技嘉Gigabyte 已確認問題,並針對其中三項漏洞釋出韌體更新。但注意:

  • 有些舊款主機板已經停止支援,無法更新
  • 其他品牌(非 Gigabyte)也可能受影響,但還沒公布名單

如果你使用的是 舊款 Intel 平台的 技嘉 主機板,建議馬上上官網查詢有沒有可用的韌體更新。


我該怎麼做才能保護自己?

你可以採取以下幾個步驟來降低風險:

  1. 確認你的主機板型號是否受影響(查詢技嘉官網)
  2. 更新 UEFI 韌體(如果有提供更新)
  3. 使用免費工具(如 Binarly 的 Risk Hunt Scanner)進行檢查
  4. 若主機板已停止支援,考慮更換硬體
  5. 在企業環境中,將韌體也納入資安檢查與演練範圍

為什麼這值得你關注?

這類漏洞代表的是一種最難防範的攻擊方式:它不是發生在系統內部,而是從最底層開始入侵。

當駭客能在開機時就控制你的電腦,所有你平常仰賴的資安工具幾乎都無法阻止。這就是為什麼現在越來越多企業把「韌體安全」納入整體資安策略裡。

【資安事件解析】駭進麥當勞 AI 招募平台竟只花30分鐘:弱密碼「123456」讓6,400萬筆應徵資料全暴露!

當你透過麥當勞的線上平台應徵工作時,你的履歷、聯絡方式、人格測驗結果,可能早已暴露於網路世界,原因竟然是──登入帳號密碼設定為「admin / 123456」。

據科技媒體《Wired》報道,這起震驚全球的資安事件由資安研究人員 Ian Carroll 與 Sam Curry 於 2024 年 6 月 30 日揭露,他們原本只是出於好奇想測試麥當勞使用的 AI 招募機器人「Olivia」,沒想到僅花了短短 30 分鐘,便取得了麥當勞招募平台 McHire的後台權限,得以存取歷年來高達 6,400 萬筆的應徵紀錄。


一則 Reddit 貼文,引爆一場資安風暴

這場揭露始於 Reddit 上的一篇抱怨貼文,貼文者表示:「麥當勞的 AI 招募系統快把我逼瘋了。」Carroll 看到後決定親自應徵測試,與 Paradox.ai 開發的聊天機器人 Olivia 互動。

過程中,他發現網站上有一個供 Paradox.ai 員工使用的後台登入連結。出於測試心態,他們試著輸入最常見的帳密組合:「admin / 123456」──竟然直接登入成功,系統甚至未啟用多因子驗證(MFA),就讓他們獲得後台管理者權限。


Photo Credit: Wired

駭客眼中的「夢幻入口」

登入後,他們發現這是一間名為「測試餐廳」的虛擬單位,內部帳號大多為 Paradox.ai 的開發人員。他們將自己的應徵資料透過 Olivia 提交後,隨即從後台成功查詢到這筆紀錄。

更糟的是,他們透過修改申請者的流水號 ID,就能依序存取其他人的應徵紀錄,包含姓名、電子信箱、電話與對話紀錄等,這代表駭客不需任何進階技巧,就能一筆一筆地翻出其他人資料。

雖然出於道德與法規考量,他們僅查閱了少量樣本以確認資料真實性,但根據推算,這個平台中儲存了多達 6,400 萬筆歷年應徵紀錄,其中包含大量可被用於釣魚、社交工程、或冒充招募人員進行詐騙的資訊。


漏洞揭露後,Paradox.ai 承認疏失

事件曝光後,Paradox.ai 隨即發聲明表示,這個帳號原本只是用來測試的,從 2019 年後就沒再用過,但一直沒有關閉,結果變成了資安漏洞的破口。Paradox.ai強調該帳號僅由兩位研究人員登入,並未被其他未授權人士利用。同時宣布將啟動 漏洞獎勵計畫(Bug Bounty Program,以強化平台防護機制。

Paradox.ai 法務長 Stephanie King 向《Wired》表示:「我們不會輕忽這件事,雖然已迅速修補,我們也願意承擔責任。」

麥當勞則將責任歸咎於第三方供應商,並發布聲明指出:「我們對 Paradox.ai 所造成的資安漏洞深感失望,問題已於當天修復,未來將更加強化對供應商的資安要求。」


專家觀點:最可怕的不是駭客,而是「預設密碼」與鬆懈文化

這起事件凸顯的不只是 AI 招募平台的技術問題,更是一場系統性資安管理的失敗。從 Reddit 抱怨貼文,到弱密碼帳號、無 MFA、防護不足的測試環境,這些看似微小的疏忽,最終導致數千萬筆資料暴露。

對於有心人士來說,這樣的平台就如同未上鎖的大門,甚至還在門口貼了標籤:「歡迎使用預設密碼」。


對企業的五點資安建議:自動化 ≠ 放棄基本安全

在導入 AI 招募或自動化流程的同時,企業與第三方服務供應商必須強化以下資安措施:

  1. 禁用預設帳號密碼:所有帳號應強制設定高強度密碼,禁止使用常見組合如「admin / 123456」。
  2. 強制實施多因子驗證(MFA:無論是後台管理或內部測試帳號,皆應啟用 MFA。
  3. 封存與移除測試帳號環境:開發與測試用帳號應於上線前徹底刪除,避免殘留漏洞。
  4. 加強第三方供應商稽核與合約要求:供應商必須符合 SOC 2、ISO 27001 等國際資安標準,並定期接受審查。
  5. 導入漏洞獎勵制度(Bug Bounty:主動邀請白帽駭客協助發現潛在風險,避免重大資安事件發生。

結語:AI 效率的背後,是更高的資安責任

AI 帶來效率與便利,但也將大量個資集中於單一平台,一旦保護機制鬆散,就會成為駭客眼中的黃金標的。這次的「123456 密碼門」不僅是 Paradox.ai 的失誤,更是一記警鐘:企業與供應鏈不能只追求數位化與效率,卻忘了最基本的資安底線。

在數位時代,真正的競爭力,來自於「能不能讓你的客戶資料睡得安穩」。

【資安快訊】CISA 新增四項「已遭利用」重大漏洞,Citrix Bleed 2 正在遭攻擊中!

美國資安暨基礎建設安全局(CISA)近日再度發布警訊,將四項遭實際攻擊的高風險漏洞納入其「已知遭利用漏洞清單(KEV Catalog)」,呼籲各界緊急修補、提高警覺。

其中更值得注意的是,Citrix Bleed 2(CVE-2025-5777)漏洞目前正遭到積極利用,攻擊者可藉此竊取憑證、存取記憶體中敏感資料,對企業營運構成嚴重威脅!


被列入 KEV 的四項高風險漏洞

CISA 此次公告指出,下列四個漏洞已被證實在野外遭到實際濫用,可能用於遠端入侵、執行惡意程式或竊取資料:

  1. CVE-2014-3931(CVSS:9.8)
     Multi-Router Looking Glass (MRLG) 中的緩衝區溢位漏洞,攻擊者可進行任意記憶體寫入與損毀。
  2. CVE-2016-10033(CVSS:9.8)
     PHPMailer 的指令注入漏洞,可能導致攻擊者遠端執行惡意程式碼,甚至造成系統癱瘓。
  3. CVE-2019-5418(CVSS:7.5)
      Ruby on Rails Action View 存在路徑穿越風險,攻擊者可讀取伺服器上的任意檔案內容。
  4. CVE-2019-9621(CVSS:7.5)
      Zimbra Collaboration Suite 的 SSRF 弱點,可導致未授權存取內部資源,甚至執行遠端程式碼。
     該漏洞已於 2023 年被 Trend Micro 確認遭中國駭客組織 Earth Lusca 利用,植入 Web Shell 並部署 Cobalt Strike。

根據美國聯邦資安規範,FCEB(聯邦行政機關)需在 2025 年 7 月 28 日前完成修補,企業亦應即刻行動以避免淪為下一個受害者。


Citrix Bleed 2 正遭駭客利用!記憶體洩漏、Token 遭竊,影響恐擴大

資安研究團隊 watchTowr LabsHorizon3.ai 日前發布技術分析,指出 Citrix NetScaler ADC 的嚴重漏洞 CVE-2025-5777(Citrix Bleed 2 目前正遭攻擊者鎖定,並與 CVE-2025-6543 一同遭受濫用。

該漏洞可透過精心設計的 HTTP 請求,從記憶體中讀取敏感資訊,如:

  • 使用者登入憑證
  • 有效的 Citrix Session Token
  • 記憶體中處理的 HTTP 請求內容等

🔧 根本原因來自 Citrix 處理登入請求的 /p/u/doAuthentication.do 端點使用了錯誤的 snprintf 寫法,當 login= 欄位被故意省略等號時,程式會將記憶體中尚未初始化的內容回傳至使用者,進而造成資訊洩露。

Horizon3.ai 測試顯示,透過這種方式一次可外洩約 127 bytes 的記憶體資料,只要反覆觸發,攻擊者就可能蒐集到完整的 Session Token 或機敏資訊!


【專家建議】企業應立即採取以下行動:

優先修補漏洞:特別是 MRLG、PHPMailer、Zimbra、Citrix 等產品,應立即更新至安全版本。

進行威脅獵捕(Threat Hunting:檢查是否有異常存取 /doAuthentication.do 等端點的紀錄,注意是否有資料外洩跡象。

註銷所有 Citrix 會話:若企業使用 NetScaler,建議在修補後強制註銷所有使用者會話,並更換登入密碼。

部署 Web 應用防火牆(WAF:設定規則,阻擋未經授權的 POST/GET 請求,降低受害風險。


結語:漏洞利用 ≠ 未來威脅,而是正在進行的攻擊

這次 CISA 的 KEV 更新提醒我們,許多漏洞早已被駭客掌握並積極利用。企業防禦重點不只是「補漏洞」,更應強化縱深防禦、監控可疑行為,才能在駭客滲透前阻止攻擊。

Citrix Bleed 2 和 Zimbra SSRF 的案例也再度證明:攻擊者會針對高可用、低防護的通訊平台下手,確保攻擊效率與隱蔽性。請務必優先保護關鍵服務、遠端存取機制與信任邊界。

【資安分析】中國駭客組織利用 Ivanti CSA 零日漏洞攻擊法國政府、電信與媒體機構

近期,法國國家資訊系統安全局(ANSSI)揭露,一個與中國有關的駭客組織,透過武器化的 Ivanti Cloud Services Appliance(CSA)零日漏洞,對法國多個關鍵產業進行大規模滲透行動,涵蓋政府、電信、媒體、金融與交通等領域。此事件不僅突顯零日漏洞持續成為國家級攻擊主力,也顯示中國駭客對歐洲多部門目標的滲透活動已達高度成熟且多樣化的戰術水準。


背後攻擊集團:Houken 與 UNC5174

根據 ANSSI 調查,這波攻擊活動可追溯至 2024 年 9 月初,攻擊來源歸因於一支編碼為「Houken」的入侵組織,該團體與 Google Mandiant 所追蹤的UNC5174(又名 Uteus 或 Uetus)有部分技術與基礎設施重疊。

特徵分析:

  • 武器化漏洞使用: 利用多個 Ivanti CSA 的零日漏洞進行橫向滲透與後門植入。
  • 高階工具搭配開源模組: 同時使用複雜的 rootkit、Behinder、neo-reGeorg 等常見中國社群開發的開源工具。
  • 基礎設施分散: 攻擊架構包括商業 VPN、專屬主機等,具備長期部署特性。

值得注意的是,該組織從 2023 年開始,疑似以**「初始入侵經紀商(Initial Access Broker)」**形式運作,先滲透企業網路,取得入侵據點後再販售給其他國家級或犯罪型駭客集團使用,形成多層次的攻擊合作鏈。


利用的 Ivanti 零日漏洞與攻擊手法

在此次行動中,攻擊者利用了 三個尚未公開的 Ivanti CSA 零日漏洞(CVE-2024-8963、CVE-2024-9380、CVE-2024-8190 進行攻擊,成功取得管理權限與持久存取權。攻擊手法包括:

  1. 部署 PHP 網頁後門(web shell
  2. 修改現有 PHP 腳本,注入後門功能
  3. 安裝 Linux 核心模組(Rootkit):sysinitd.ko

此外,攻擊者會安裝名為 sysinitd 的核心模組與執行檔,此模組會攔截所有 TCP 封包,劫持連入封包並執行任意指令,以 root 權限取得完整控制權。此模組最早於 2024 年 10 月由 Fortinet 偵測到,並於 2025 年初再度出現。

補充攻擊工具清單:

  • Behinder、neo-reGeorg 常用於中國駭客圈的 Web Shell 工具
  • GOREVERSE / GoReShell Golang 編寫的隱匿通道後門
  • GOHEAVY 用於資料外傳的 Golang 隧道工具
  • suo5 HTTP Proxy 通訊工具

作業時區與後門清除行為

根據時間戳記與行為分析,ANSSI 指出攻擊者活動時區為 UTC+8,對應為中國標準時間,進一步強化其地理來源的可信度。

更值得注意的是,攻擊者在成功入侵後主動修補這些漏洞,以阻止其他競爭駭客重新利用同樣的漏洞 —— 這類行為屬於典型「封門式滲透」,代表其目標為長期潛伏與情報壟斷


國際攻擊範圍與目標分析

根據目前掌握的情資,這波滲透行動的攻擊目標不僅限於歐洲,更涵蓋:

  • 東南亞地區的政府與教育單位
  • 中國(含香港與澳門)境內的 NGO
  • 歐美的國防、媒體、教育與電信單位

此外,有報導指出其中一波攻擊甚至鎖定某歐洲主流媒體集團,代表其除了情報蒐集,也可能具有**輿論操控或混合戰(Cognitive Warfare)**意圖。


金融動機與加密貨幣活動

雖然 Houken 與 UNC5174 被歸類為國家背景駭客集團,但在部分案例中,攻擊者使用入侵資源部署加密貨幣挖礦程式,顯示這些行動背後可能是「半國家、半商業化」的運作模式 —— 一邊販售入侵權限與數據給國家級客戶,一邊自行牟利。

ANSSI 表示:「該組織可能為私人資安承包商,受多方國家支持或雇用,進行兼具經濟回報與政治意圖的複合型滲透。」


專家觀點:這次攻擊提醒我們該如何行動?

從這次駭客利用 Ivanti 漏洞的大型滲透事件中,我們觀察到幾個關鍵警訊,對企業與政府單位來說,這些都是不能再忽視的風險指標:


1. 零信任不是選項,是現在就要開始的基本功

企業內部網路不能再「預設信任」。無論是總部或分點,建議立即落實以下做法:

  • 不同部門網路分段,避免一破全倒
  • 強化登入驗證,採用多因子驗證(MFA)
  • 確保使用者權限最小化,避免超權帳號成為突破口

2. 別再小看「開源工具」的威脅

攻擊者不再從零寫程式,他們偏好使用 GitHub 等開源工具包,像是 Behinder、Cobalt Strike 或 neo-reGeorg 等,都能幫助駭客潛行、橫移甚至遠端控制。

這代表什麼?企業需要有能夠辨識工具行為特徵的監控機制,像是 EDR、UEBA 等行為分析系統,要真的開啟、調校好,不能只是部署了就放著。


3. 小心「潛伏型入侵」— 有人可能只是來「賣門票」

現在很多駭客不自己動手,而是滲透成功後,把這個入侵點當商品轉賣給勒索集團或其他國家支持的攻擊單位。

這種角色叫做「初始入侵經紀商(IAB)」。他們不會馬上動手,但留下一個後門,讓下一波攻擊隨時可能發生。

建議企業建立針對「無明顯行動、但已滲透」的偵測機制,例如異常連線、憑證存取頻率變化等。


4. 關注你的邊界設備,它們是最常被打的第一道門

本次事件再次證明:Ivanti、F5、Palo Alto 等邊界設備,是最容易被當作突破口的關鍵裝置。

你需要的不只是打補丁,還包括:

  • 定期掃描漏洞(含尚未公開的0-day監控)
  • 觀察這些設備有無異常行為(如連接目的地異常、系統資源異常增長)
  • 主動訂閱國際資安通報,提早反應新威脅

5. 把敵人變成情報來源:部署欺敵技術(Deception Technology

針對像 UNC5174 / Houken 這類深度滲透型 APT,光靠被動偵測還不夠。

欺敵技術的好處是:

  • 在內網放上假的帳號、檔案、伺服器等誘餌
  • 駭客一碰就會被偵測
  • 不僅能提早發現入侵,也能收集對手工具、手法與目標意圖

這類技術特別能補足 EDR、SIEM 等偵測死角,是未來防禦架構中不可或缺的一環。


結語:這不是單一事件,而是資安新常態的縮影

這起 Ivanti CSA 零日漏洞攻擊,揭示了一個更大的趨勢——我們所面對的,不再是單一駭客,而是一整個跨國、跨組織、跨目的的資安攻擊產業鏈。

這些攻擊者有的來自國家背景、有的尋求商業利益、有的只是替人鋪路。他們擅長整合漏洞、開源工具、暗網資源,目標是長期潛伏與最大化利益。

無論你是企業、政府、學校還是非營利機構,未來的資安風險將持續升高。現在是時候超前部署,從系統架構、偵測能力、應變流程全面強化,才能真正降低損害、守住核心價值。

【資安觀點】Scattered Spider 鎖定航空業:社交工程 + 高階滲透,打亂北美航線秩序

2025 年 6 月下旬,FBI 正式發出警告:以社交工程著稱的 Scattered Spider(又名 UNC3944、Octo Tempest 等)正在擴大攻擊範圍,將北美航空業納入打擊目標。繼加拿大的 WestJet 與美國的 Hawaiian Airlines 陸續傳出遭駭之後,航空資安成為全球焦點。

社交工程 + 偽冒 IT 支援:航空業的新弱點

FBI 指出,Scattered Spider 鎖定航空公司內部的 IT 協助流程,假冒員工或外包廠商身分,致電幫助台要求重設密碼、加入未授權的 MFA 裝置,藉此繞過多因素驗證(MFA)進入系統。他們也常透過供應商、承包商等第三方 IT 服務商滲透目標企業,導致供應鏈成為漏洞來源。

Palo Alto Networks 旗下 Unit 42 與 Google Cloud 擁有的 Mandiant 皆已觀察到該團體攻擊航空與交通運輸業的多起案例。Mandiant 首席技術長 Charles Carmakal 強調,航空業應立即強化幫助台身分驗證流程,例如在執行 MFA 裝置新增、密碼重設前,加強對員工或合約工身分的核驗。

這不是單純的密碼爆破攻擊,而是「信任的利用」。Scattered Spider 深諳企業內部流程,理解人性弱點,在幫助台遭遇時間壓力或緊急需求時,極容易被虛構的故事所說服,進而開啟大門。

從零信任到認證流程:攻擊手法逐步升級

Scattered Spider 的戰術從早期的 SIM 卡置換,到今日整合社交工程、幫助台詐騙、帳號升權與雲端滲透,形成橫跨內外網的混合式攻擊鏈。他們常針對 C-Level 高層展開深度偵查,再進行極具針對性的攻擊。例如,冒充財務長 (CFO) 向 IT 部門請求重設 MFA,甚至準確說出其生日與社會安全號碼末四碼等個資,進一步驗證身分並取得完整帳號控制權。

根據 ReliaQuest 的研究,Scattered Spider 一旦滲透成功,即可在數小時內:

  • 列舉 Entra ID 權限帳號與群組,進行橫向移動與持久化植入
  • 偵查 SharePoint 文件與組織工作流程,精準定位機敏資料
  • 利用 CFO 憑證滲透 Horizon VDI 虛擬桌面環境,入侵更多帳號
  • 重啟停用的 VM,存取 VMware vCenter,關閉生產環境控制器並擷取 NTDS.dit 資料庫
  • 破解 CyberArk 密碼保險庫,盜取超過 1,400 組機敏帳密
  • 利用合法工具如 ngrok 建立後門與持久連線
  • 在遭到偵測後,刪除 Azure 防火牆規則組,癱瘓防禦。

最終甚至與資安團隊展開「搶奪 Entra ID 全域管理員權限」的拉鋸戰,直到 Microsoft 介入才終結攻擊行動。

航空業攻擊事件頻傳:Scattered Spider 正在壓力測試整個產業

6 月以來,Hawaiian Airlines、WestJet 皆傳出遭遇網路攻擊。Hawaiian Airlines 向 SEC 通報指出,其部分 IT 系統遭入侵,雖航班營運未受影響,但已緊急調查中。加拿大第二大航空 WestJet 亦公告指出,部分網站與 App 出現異常,用戶無法登入,內部團隊與執法單位合作調查中。

American Airlines 也於近期出現技術異常,雖未證實與攻擊有關,但外界開始懷疑是否為同一波網攻的一環。Mandiant 警告,Scattered Spider 長期針對特定產業深耕,不排除這是對航空業的一次「壓力測試」或預演。

7 月初,澳洲航空 Qantas 也披露發生資安事件,有高達 600 萬筆顧客資料紀錄遭入侵。該事件源自攻擊者滲透第三方呼叫中心服務平台,並非入侵 Qantas 本身系統,但外洩資料可能包含姓名、電話、生日、常客編號等個資,雖未涉及帳密或信用卡資訊,但仍引發廣泛關注。外界研判此事件手法與 Scattered Spider 過往攻擊高度雷同,雖無明確歸因,仍被列為可能關聯事件之一。

更早之前,該團體就曾與 ALPHV/BlackCat 合作攻擊 MGM 與 Caesars Palace,也曾透過 DragonForce 打擊英國零售業(M&S、Co-Op、Harrods 等)。攻擊手法成熟,流程精密。

航空業的結構性風險:個資、營運與供應鏈三重危機

航空公司本身即為高價值標的:

  • 處理大量個資、金流資料、航班資訊
  • 仰賴多方第三方系統與 IT 外包服務
  • 對於系統中斷與航班延誤容錯率極低

SpiceJetSunwingJapan AirlinesAir CanadaKenya Airways…航空產業的資安風暴其實早已成型。

Scattered Spider 並未直接承認對 WestJet、Hawaiian 、Airlines American Airlines或 Qantas 的攻擊,但根據 MandiantPalo Alto Networks 等單位觀察,其攻擊模式、時間點與社交工程手法皆吻合。

防禦建議:從技術到流程再到文化

Scattered Spider 最可怕之處,不只是技術力,而是結合人性、流程、心理學與社交操控,打造出無法僅靠防毒或防火牆阻擋的攻擊方式。以下是專家建議的防禦措施:

  1. 強化幫助台流程
    • 嚴格執行二次身分驗證,禁止僅憑口頭資訊或簡單個資進行帳號重設。
    • 記錄並審查所有重設與 MFA 新增操作。
  2. 導入抗網釣 MFA:如 FIDO2、安全金鑰等,降低可社交操控的驗證方式。
  3. 角色權限最小化:C-Level 帳號須分離日常作業與敏感系統操作權限。
  4. 教育訓練演練:透過實境模擬,讓幫助台與 IT 員工學會辨識社交工程攻擊。
  5. 建構多層式監控與追蹤:異常帳號操作、MFA 新增、憑證重設等應具備告警與即時審查機制。
  6. 部署誘餌技術(Deception Technology:設計假帳號、誘餌伺服器與虛擬資源,引誘攻擊者進入偽裝環境,提前偵測攻擊路徑並延緩入侵進程。

Scattered Spider 並不是突破技術防線,而是突破人類決策流程。這是一場信任的戰爭。而唯有重新設計我們如何「信任彼此」、驗證彼此,並加入誘餌機制作為早期警示,我們才能真正築起資安防線,捍衛航空這項現代社會最重要的關鍵基礎建設之一。

【資安觀點】麒麟勒索集團攻擊台灣工具機大廠:2TB 機密外洩、盜版軟體成破口?

近期,台灣一家上市工具機大廠傳出遭到麒麟(Qilin)勒索軟體集團攻擊,6 月 25 日駭客於暗網宣稱已從企業內部伺服器中取得高達 2TB 的機密資料。根據竣盟科技 B-Lab 情資揭露,駭客同步貼出了 8 張螢幕截圖作為入侵證據,內容相當多元——包括疑似市面流傳的 Adobe 大師版安裝資訊畫面、一個名為 crack.rar 的 AutoCAD 破解壓縮包的畫面、員工的身分證影像、設計圖,以及和供應商往來的電子郵件等。比較引人注目的,是駭客不只曬資料,還順帶揭露該企業可能使用未授權軟體的狀況,讓這起事件從駭客入侵延伸到資訊安全與合規問題。

麒麟背景與近期新戰術:結合勒索與法律諮詢

麒麟是一支活躍於 2022 年以來的勒索軟體集團,採 Ransomware-as-a-Service(RaaS 模式營運,提供平台與工具給合作攻擊者使用。該集團以攻擊製造業、醫療、教育等高價值目標為主,具備高強度的橫向移動與持久化能力。

值得注意的是,麒麟近期在勒索策略上出現重大轉變。根據觀察,該集團不再僅依賴資料加密與威脅洩漏,而是開始提供名為「Call Lawyer(呼叫律師)」 的談判支援功能,為加盟成員提供法律諮詢協助。該功能在談判過程中,透過模擬法律風險與訴訟威脅,對受害組織施加心理壓力,進一步提高其支付贖金的可能性。這種結合法律話術與網路勒索的手法,為目前勒索軟體犯罪生態系中罕見的策略創舉,顯示出攻擊者正日益專業化與系統化


攻擊細節曝光:盜版軟體使用成為駭客藉口

麒麟在暗網聲明中表示,其多次試圖與該工具機大廠高層溝通未果,遂決定公開部分資料並爆料企業內部存在盜版商業軟體,包括 Adobe、SolidWorks、AutoCAD 等知名應用程式。駭客語帶譏諷:「既不願談判,又不尊重軟體授權。」

本次被竊取的2TB資料涵蓋面極廣,包括:

  • 員工個資與聯絡方式
  • 內部行政與商業文件
  • 客戶清單與訂單明細
  • 產品研發設計圖、三視圖與原始碼
  • 組裝、品保、生產流程相關資料
  • 內部照片、通訊紀錄與其他敏感檔案

駭客雖未公開具體贖金與時限,但這樣的資料外洩,等同於把企業的技術藍圖與營運命脈直接送到黑市。

資安與合規雙重風險

本次事件再度突顯出台灣製造業在資安管理與軟體合規上的雙重缺口。使用未授權軟體除了可能為駭客植入後門提供管道,也將導致企業在發生資安事件時陷入法遵與品牌信任危機,形成「被駭又違法」的雙重負面衝擊。

B-lab 情資觀察:麒麟在台灣的足跡

根據竣盟科技 B-lab 情資庫統計,自 2024年以來麒麟勒索集團已針對多家台灣企業發動攻擊:

  • 大型代工鞋大廠 (2024 年 5 月)
  • 上市光電大廠(2025年 4月)
  • 日商半導體設備商的在台分公司-(2025 年4月)
  • 台灣跨國集團旗下的加拿大飯店 (2025 年 5 月)
  • 台北市某汽車零件製造大廠(2025 年 5 月)

麒麟勒索集團常透過多種已知攻擊手法進行初始入侵與橫向移動,其主要手法包括:

  • 濫用 RDP(遠端桌面)弱密碼或暴力破解
  • 利用已知漏洞進行滲透攻擊,常見目標包含 Citrix、Fortinet、防火牆設備與 Microsoft Exchange 等
  • 發送帶有惡意附件或連結的釣魚郵件,誘使受害者下載木馬程式
  • 滲透供應商或合作夥伴的系統,藉由橫向移動進入目標企業內部網路

結語:被駭不可恥,但不防才可怕

這不是麒麟第一次來台,也不會是最後一次。
駭客組織正在進化,你的資安策略還停留在昨天嗎?

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

【資安解析】從台灣保險業到鋼鐵業: Dire Wolf勒索軟體技術剖析

自 2025 年 5 月起,新興勒索軟體集團 Dire Wolf(冰原狼) 持續在全球發動針對性攻擊,專挑製造與科技產業下手,並採取「加密 + 外洩」的雙重勒索手法。根據我們的統計,DireWolf 至今已對全球 11 個國家的企業發動攻擊,共計 16 家受害公司。其中,台灣與印度各有 2 家企業遭殃,泰國更有 3 家企業受害,成為目前攻擊數量最多的國家。其餘 9 個國家則各有 1 家企業中招,顯示該勒索組織的攻擊行動已具備跨國擴散趨勢,威脅態勢不容小覷。

真實事件:台灣企業遭鎖定

2025 年 6 月 25 日,竣盟科技發現,Dire Wolf 勒索軟體已將台灣南部某大型企業集團旗下的上市鋼鐵公司列為其受害者。攻擊者已將該公司多達 30GB 的機密資料公開於暗網,顯示該企業目前正面臨嚴重的資料外洩風險,需強化資安防護機制。

事實上,早在同年 5 月下旬,本土保險業者 Kiwi86 即傳出遭 Dire Wolf 鎖定,兩起事件顯示該集團正有系統地針對台灣的產業發動一連串進階攻擊,攻擊行為已具明確區域性與策略性。

程式語言與加密技術:Golang + Curve25519 + ChaCha20

Dire Wolf 的勒索程式是以 Golang 語言撰寫,這對分析人員來說是一大挑戰,因為許多傳統 AV 和靜態分析工具對 Golang 支援仍不完善。

根據Trustwave的報告,Dire Wolf加密邏輯採用:

  • Curve25519 公私鑰交換機制
  • ChaCha20 流加密演算法
    這種組合提供高速度與強加密強度,是近年勒索軟體常用架構之一。

被加密的檔案副檔名會統一為「.direwolf」,並排除常見系統檔案副檔名(例如 .exe、.dll、.sys 等)以避免影響作業系統運作。

自檢與反取證設計

程式執行時會先檢查是否已加密過受害主機,具體機制為:

  • 檢查 C:\runfinish.exe 標記檔
  • 是否存在 Global\direwolfAppMutex 的 Mutex(互斥鎖)

若已加密或正在執行中,勒索程式會立即執行自刪命令:

cmd /C timeout /T 3 & del /f /q <self_path> & exit

停用防禦與干擾應用程式

Dire Wolf 的惡意行為模組可分為三大部分:

1. 關閉事件記錄

使用 PowerShell + taskkill 終止 Windows Event Log:

powershell

Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'” | select -exp ProcessId

taskkill /F /PID <PID>

2. 關閉關鍵服務

利用 ControlService() 或 sc stop 停止防毒、備份與資料庫等 75 項服務,範例如:

  • MSSQLSERVER
  • BackupExecJobEngine
  • Sophos, Symantec, Qihoo 360 相關服務

接著使用:

sc config <service-name> start= disabled

徹底停用開機啟動。

3. 終止應用程式

對多達 59 種執行中的應用程式持續執行 taskkill /F /IM 進行強制關閉,包括:

  • 辦公室套件(Word、Excel、Outlook)
  • 資料庫系統(SQL Server、Oracle)
  • 備份軟體(Veeam、BackupExec)
  • 一般應用程式(Notepad++、Thunderbird、Steam)

這讓使用者無法備份、回復或即時應對攻擊。

消除痕跡與加強破壞力

勒索程式會執行一系列命令來消除系統回復能力,包括:

vssadmin delete shadows /all /quiet

wbadmin delete backup -keepVersions:0 -quiet

bcdedit /set {default} recoveryenabled No

wevtutil cl system

這些命令會刪除所有陰影複製(快照)、停用備份排程、關閉系統恢復模式,並清除四大 Windows Event Logs(應用程式、系統、安全、安裝)。

客製化勒索通知與談判機制

每個受害者會收到一份客製化勒索信,包含:

  • 專屬聊天室登入資訊(Room ID / Username / 密碼)
  • Gofile.io 檔案連結(證明已外洩資料)
  • 談判期限與付款指示(部分受害者勒索金額高達 $500,000)

這顯示 Dire Wolf 並非「撒網式」RaaS,而是具備高規劃性的 APT 式商業攻擊。


【專家建議】防範 Dire Wolf 的關鍵行動建議

儘管目前尚無法完全釐清 Dire Wolf 勒索攻擊的初始入侵途徑,但其高度針對性的行動模式顯示,該攻擊集團具備強大的前期偵察能力與自製惡意工具的技術實力。建議企業即刻啟動下列多層次防禦策略,以有效降低潛在風險:

1. 偵測關鍵勒索行為與指令模式

強化對勒索常見命令的行為監控,例如:

  • vssadmin delete shadows
  • wbadmin delete backup
  • wevtutil cl

這些命令常用於破壞系統還原與備份紀錄,須列入高風險指標加強偵測。

2. 強化備份防護與隔離機制

避免備份遭同步加密或惡意刪除,建議採取:

  • 不可變備份(Immutable Backup):確保資料無法被修改或刪除。
  • 離線備援(Air-Gapped Backup):將備份資料隔離於網路外,防止駭客存取。

3. 監控 Golang 執行檔與異常行為

由於 Dire Wolf 採用 Golang 語言開發,加強針對 .go 或 Golang 編譯型執行檔的異常啟動行為監控,有助於提前辨識可疑程式活動。

4. 導入行為分析與威脅獵捕機制

透過建置零信任架構並導入 UEBA(使用者與實體行為分析)技術,可有效強化身份驗證與行為監控能力。此類機制有助於偵測包括橫向移動、異常帳號活動及系統資源濫用等潛在威脅,彌補傳統資安防護在內部行為辨識上的不足,提升整體威脅可視性與防禦反應速度。

5. 建置誘捕機制(Deception Technology)進行主動偵測

部署誘捕帳號、假資料夾、誘餌伺服器等資安陷阱,有效達成:

  • 引誘攻擊者暴露行為
  • 強化事前偵測與行為取證
  • 延緩攻擊進程爭取應變時間

對於如 Dire Wolf 這類具備橫向滲透與計畫性攻擊能力的團隊,誘捕技術是強化能見度與提升防禦主動性的關鍵手段。

Dire Wolf勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad

27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

【資安專家觀點】BERT 勒索軟體升級進攻模式:Linux 系統成為新戰場

2025 年,勒索軟體攻擊正加速向跨平台與模組化方向演進。而新興威脅團體 BERT,正以驚人的部署效率與攻擊技術,成為全球資安社群高度關注的新焦點。

該團體於 2025 年 4 月首次被揭露,實際活動可追溯至 3 月中旬。最初以攻擊 Windows 為主的 BERT,如今已將戰線延伸至 Linux 環境。自 5 月起,其開始大量部署 武裝化的 ELF 執行檔(Executable and Linkable Format,發動對企業伺服器的精密攻擊,進一步展現其橫跨作業系統的攻擊能力。


掃描攻擊模式:從 Windows 到 Linux 的全面滲透

BERT 的 Linux 版本展現高度成熟的惡意設計。根據THE RAVEN FILE的分析,其程式碼與 REvil(Sodinokibi)勒索軟體重疊率高達 80%,顯示該團體有意重用成熟的攻擊架構,加快惡意工具的武器化週期。

其 Linux 樣本混合使用 AES、RC4 PRGA、Salsa20、ChaCha 等加密演算法,加上 Base64 編碼進行資料混淆。為強化隱匿性,攻擊程序還結合 AWK 指令查詢系統環境資訊,顯示 BERT 對 Linux 系統結構具備高度掌握。


Windows 工具:品牌化與強化滲透手法

BERT 的 Windows 工具同樣展現高度客製化。該團體利用 .NET 架構開發勒索程式,透過 WinAPI 執行 RSA 加密,並將加密檔案加註特製副檔名,如 encryptedbybert、encrypted_bert,反映其品牌化經營手法。

部署上,BERT 透過一支 PowerShell 指令碼(185.100.157.74/start.ps1)進行初始滲透,首先關閉 Windows Defender、RTP 即時防護與使用者帳戶控制(UAC),再下載惡意程式 payload.exe。該伺服器所屬 IP 映射至瑞典,最終基礎設施則與俄羅斯公司 Edinaya Set Limited 有關,突顯 BERT 選擇在執法鬆散區域運營其攻擊基礎設施。


暗網操作與資料外洩流程

BERT 在暗網上設有專屬 Onion 網站,用於洩漏資料與與受害者進行談判。贖金多以特幣(BTC)收取,曾有樣本金額高達 1.5 BTC(約480台幣)。其洩漏資料以壓縮分段檔案形式呈現,如 part1.zip、part2.zip 等,儲存在使用 Apache/2.4.52(Ubuntu)的伺服器上。

從攻擊範圍來看,美國是最主要受害國,其次為英國、馬來西亞、台灣、哥倫比亞與土耳其,目標產業集中於 製造業與服務業。值得注意的是,BERT 常透過偽造時間戳記(如設定為 2047 或 2076 年)來迴避檔案行為分析偵測。


資安建議:如何應對 BERT 的跨平台進化?

BERT 的策略顯示出未來勒索攻擊不再侷限於單一平台,而是透過模組化、品牌化與基礎架構多國化來提升隱蔽性與擴散速度。建議企業即刻強化下列資安措施:

多層次防禦體系建構
部署端點偵測與回應(EDR)、威脅獵捕、勒索備份還原系統(immutable backup)等防線,避免單點失守導致橫向擴散。

定期修補與環境硬化
落實 Windows 與 Linux 系統漏洞管理,特別針對 PowerShell、.NET 執行環境與 ELF 檔執行權限進行嚴格控管。

強化員工資安意識
導入定期訓練課程,教育使用者辨識釣魚信件、社交工程與常見攻擊行為,以降低初始滲透成功率。

即時網路行為監控與封鎖
導入 DNS Filtering 與行為型 IPS/IDS,主動偵測並封鎖來自高風險地區(如瑞典 IP、俄羅斯註冊網域)的可疑流量。

導入欺敵技術(Deception Technology
建立誘餌帳號、假目錄與仿真服務器等陷阱資產,可有效誘使攻擊者暴露行動,提前觸發預警。這類技術特別適合偵測像 BERT 這類擅長橫向移動與潛伏的高隱匿型攻擊行為。


結語

BERT 正代表著勒索軟體的新世代:跨平台、即服務化、品牌經營化。其武器庫涵蓋自建與重用組合,靈活滲透多樣環境,快速部署攻擊。對企業而言,資安防線必須從傳統防毒升級為整合「技術、流程與人員意識」的 立體防禦策略,方能在此混合型威脅浪潮中穩住防線。

BERT勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

71dc9540eb03f2ed4d1b6496b13fe839

00fdc504be1788231aa7b7d2d1335893

d1013bbaa2f151195d563b2b65126fa3

3e581aad42a2a9e080a4a676de42f015

edec051ce461d62fbbd3abf09534b731

5cab4fabffeb5903f684c936a90e0b46

003291d904b89142bada57a9db732ae7

29a2cc59a9ebd334103ce146bca38522

38ce06bf89b28ccebf5a78404eb3818e