標籤: Ransomware

自 2025 年 5 月起，新興勒索軟體集團 Dire Wolf（冰原狼） 持續在全球發動針對性攻擊，專挑製造與科技產業下手，並採取「加密 + 外洩」的雙重勒索手法。根據我們的統計，DireWolf 至今已對全球 11 個國家的企業發動攻擊，共計 16 家受害公司。其中，台灣與印度各有 2 家企業遭殃，泰國更有 3 家企業受害，成為目前攻擊數量最多的國家。其餘 9 個國家則各有 1 家企業中招，顯示該勒索組織的攻擊行動已具備跨國擴散趨勢，威脅態勢不容小覷。

真實事件：台灣企業遭鎖定

2025 年 6 月 25 日，竣盟科技發現，Dire Wolf 勒索軟體已將台灣南部某大型企業集團旗下的上市鋼鐵公司列為其受害者。攻擊者已將該公司多達 30GB 的機密資料公開於暗網，顯示該企業目前正面臨嚴重的資料外洩風險，需強化資安防護機制。

事實上，早在同年 5 月下旬，本土保險業者 Kiwi86 即傳出遭 Dire Wolf 鎖定，兩起事件顯示該集團正有系統地針對台灣的產業發動一連串進階攻擊，攻擊行為已具明確區域性與策略性。

程式語言與加密技術：Golang + Curve25519 + ChaCha20

Dire Wolf 的勒索程式是以 Golang 語言撰寫，這對分析人員來說是一大挑戰，因為許多傳統 AV 和靜態分析工具對 Golang 支援仍不完善。

根據Trustwave的報告，Dire Wolf加密邏輯採用：

• Curve25519 公私鑰交換機制
• ChaCha20 流加密演算法
  這種組合提供高速度與強加密強度，是近年勒索軟體常用架構之一。

被加密的檔案副檔名會統一為「.direwolf」，並排除常見系統檔案副檔名（例如 .exe、.dll、.sys 等）以避免影響作業系統運作。

自檢與反取證設計

程式執行時會先檢查是否已加密過受害主機，具體機制為：

• 檢查 C:\runfinish.exe 標記檔
• 是否存在 Global\direwolfAppMutex 的 Mutex（互斥鎖）

若已加密或正在執行中，勒索程式會立即執行自刪命令：

cmd /C timeout /T 3 & del /f /q <self_path> & exit

停用防禦與干擾應用程式

Dire Wolf 的惡意行為模組可分為三大部分：

1. 關閉事件記錄

使用 PowerShell + taskkill 終止 Windows Event Log：

powershell

Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'” | select -exp ProcessId

taskkill /F /PID <PID>

2. 關閉關鍵服務

利用 ControlService() 或 sc stop 停止防毒、備份與資料庫等 75 項服務，範例如：

• MSSQLSERVER
• BackupExecJobEngine
• Sophos, Symantec, Qihoo 360 相關服務

接著使用：

sc config <service-name> start= disabled

徹底停用開機啟動。

3. 終止應用程式

對多達 59 種執行中的應用程式持續執行 taskkill /F /IM 進行強制關閉，包括：

• 辦公室套件（Word、Excel、Outlook）
• 資料庫系統（SQL Server、Oracle）
• 備份軟體（Veeam、BackupExec）
• 一般應用程式（Notepad++、Thunderbird、Steam）

這讓使用者無法備份、回復或即時應對攻擊。

消除痕跡與加強破壞力

勒索程式會執行一系列命令來消除系統回復能力，包括：

vssadmin delete shadows /all /quiet

wbadmin delete backup -keepVersions:0 -quiet

bcdedit /set {default} recoveryenabled No

wevtutil cl system

這些命令會刪除所有陰影複製（快照）、停用備份排程、關閉系統恢復模式，並清除四大 Windows Event Logs（應用程式、系統、安全、安裝）。

客製化勒索通知與談判機制

每個受害者會收到一份客製化勒索信，包含：

• 專屬聊天室登入資訊（Room ID / Username / 密碼）
• Gofile.io 檔案連結（證明已外洩資料）
• 談判期限與付款指示（部分受害者勒索金額高達 $500,000）

這顯示 Dire Wolf 並非「撒網式」RaaS，而是具備高規劃性的 APT 式商業攻擊。

---

【專家建議】防範 Dire Wolf 的關鍵行動建議

儘管目前尚無法完全釐清 Dire Wolf 勒索攻擊的初始入侵途徑，但其高度針對性的行動模式顯示，該攻擊集團具備強大的前期偵察能力與自製惡意工具的技術實力。建議企業即刻啟動下列多層次防禦策略，以有效降低潛在風險：

1. 偵測關鍵勒索行為與指令模式

強化對勒索常見命令的行為監控，例如：

• vssadmin delete shadows
• wbadmin delete backup
• wevtutil cl

這些命令常用於破壞系統還原與備份紀錄，須列入高風險指標加強偵測。

2. 強化備份防護與隔離機制

避免備份遭同步加密或惡意刪除，建議採取：

• 不可變備份（Immutable Backup）：確保資料無法被修改或刪除。
• 離線備援（Air-Gapped Backup）：將備份資料隔離於網路外，防止駭客存取。

3. 監控 Golang 執行檔與異常行為

由於 Dire Wolf 採用 Golang 語言開發，加強針對 .go 或 Golang 編譯型執行檔的異常啟動行為監控，有助於提前辨識可疑程式活動。

4. 導入行為分析與威脅獵捕機制

透過建置零信任架構並導入 UEBA（使用者與實體行為分析）技術，可有效強化身份驗證與行為監控能力。此類機制有助於偵測包括橫向移動、異常帳號活動及系統資源濫用等潛在威脅，彌補傳統資安防護在內部行為辨識上的不足，提升整體威脅可視性與防禦反應速度。

5. 建置誘捕機制（Deception Technology）進行主動偵測

部署誘捕帳號、假資料夾、誘餌伺服器等資安陷阱，有效達成：

• 引誘攻擊者暴露行為
• 強化事前偵測與行為取證
• 延緩攻擊進程爭取應變時間

對於如 Dire Wolf 這類具備橫向滲透與計畫性攻擊能力的團隊，誘捕技術是強化能見度與提升防禦主動性的關鍵手段。

Dire Wolf勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad

27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

2025 年，勒索軟體攻擊正加速向跨平台與模組化方向演進。而新興威脅團體 BERT，正以驚人的部署效率與攻擊技術，成為全球資安社群高度關注的新焦點。

該團體於 2025 年 4 月首次被揭露，實際活動可追溯至 3 月中旬。最初以攻擊 Windows 為主的 BERT，如今已將戰線延伸至 Linux 環境。自 5 月起，其開始大量部署 武裝化的 ELF 執行檔（Executable and Linkable Format），發動對企業伺服器的精密攻擊，進一步展現其橫跨作業系統的攻擊能力。

---

掃描攻擊模式：從 Windows 到 Linux 的全面滲透

BERT 的 Linux 版本展現高度成熟的惡意設計。根據THE RAVEN FILE的分析，其程式碼與 REvil（Sodinokibi）勒索軟體重疊率高達 80%，顯示該團體有意重用成熟的攻擊架構，加快惡意工具的武器化週期。

其 Linux 樣本混合使用 AES、RC4 PRGA、Salsa20、ChaCha 等加密演算法，加上 Base64 編碼進行資料混淆。為強化隱匿性，攻擊程序還結合 AWK 指令查詢系統環境資訊，顯示 BERT 對 Linux 系統結構具備高度掌握。

---

Windows 工具：品牌化與強化滲透手法

BERT 的 Windows 工具同樣展現高度客製化。該團體利用 .NET 架構開發勒索程式，透過 WinAPI 執行 RSA 加密，並將加密檔案加註特製副檔名，如 encryptedbybert、encrypted_bert，反映其品牌化經營手法。

部署上，BERT 透過一支 PowerShell 指令碼（185.100.157.74/start.ps1）進行初始滲透，首先關閉 Windows Defender、RTP 即時防護與使用者帳戶控制（UAC），再下載惡意程式 payload.exe。該伺服器所屬 IP 映射至瑞典，最終基礎設施則與俄羅斯公司 Edinaya Set Limited 有關，突顯 BERT 選擇在執法鬆散區域運營其攻擊基礎設施。

---

暗網操作與資料外洩流程

BERT 在暗網上設有專屬 Onion 網站，用於洩漏資料與與受害者進行談判。贖金多以特幣（BTC）收取，曾有樣本金額高達 1.5 BTC（約480台幣）。其洩漏資料以壓縮分段檔案形式呈現，如 part1.zip、part2.zip 等，儲存在使用 Apache/2.4.52（Ubuntu）的伺服器上。

從攻擊範圍來看，美國是最主要受害國，其次為英國、馬來西亞、台灣、哥倫比亞與土耳其，目標產業集中於 製造業與服務業。值得注意的是，BERT 常透過偽造時間戳記（如設定為 2047 或 2076 年）來迴避檔案行為分析偵測。

---

資安建議：如何應對 BERT 的跨平台進化？

BERT 的策略顯示出未來勒索攻擊不再侷限於單一平台，而是透過模組化、品牌化與基礎架構多國化來提升隱蔽性與擴散速度。建議企業即刻強化下列資安措施：

多層次防禦體系建構
部署端點偵測與回應（EDR）、威脅獵捕、勒索備份還原系統（immutable backup）等防線，避免單點失守導致橫向擴散。

定期修補與環境硬化
落實 Windows 與 Linux 系統漏洞管理，特別針對 PowerShell、.NET 執行環境與 ELF 檔執行權限進行嚴格控管。

強化員工資安意識
導入定期訓練課程，教育使用者辨識釣魚信件、社交工程與常見攻擊行為，以降低初始滲透成功率。

即時網路行為監控與封鎖
導入 DNS Filtering 與行為型 IPS/IDS，主動偵測並封鎖來自高風險地區（如瑞典 IP、俄羅斯註冊網域）的可疑流量。

導入欺敵技術（Deception Technology）
建立誘餌帳號、假目錄與仿真服務器等陷阱資產，可有效誘使攻擊者暴露行動，提前觸發預警。這類技術特別適合偵測像 BERT 這類擅長橫向移動與潛伏的高隱匿型攻擊行為。

---

結語

BERT 正代表著勒索軟體的新世代：跨平台、即服務化、品牌經營化。其武器庫涵蓋自建與重用組合，靈活滲透多樣環境，快速部署攻擊。對企業而言，資安防線必須從傳統防毒升級為整合「技術、流程與人員意識」的 立體防禦策略，方能在此混合型威脅浪潮中穩住防線。

BERT勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

71dc9540eb03f2ed4d1b6496b13fe839

00fdc504be1788231aa7b7d2d1335893

d1013bbaa2f151195d563b2b65126fa3

3e581aad42a2a9e080a4a676de42f015

edec051ce461d62fbbd3abf09534b731

5cab4fabffeb5903f684c936a90e0b46

003291d904b89142bada57a9db732ae7

29a2cc59a9ebd334103ce146bca38522

38ce06bf89b28ccebf5a78404eb3818e

首次發現時間：2025年4月初
威脅等級：高
攻擊手法：雙重勒索（加密檔案 + 資料外洩威脅）
主要傳播管道：釣魚郵件、偽冒軟體更新、漏洞利用等

---

威脅概觀

Bert 勒索軟體是 2025 年出現的新型勒索軟體家族，具備典型的「雙重勒索」特性：不只對受害者的檔案進行加密，此外，Bert 擁有資料外洩網站（Data Leak Site），若企業拒絕支付贖金，攻擊者將在此平台曝光竊取的敏感內容，造成更嚴重的商譽損害與合規風險。

被加密的檔案會加上副檔名：.encryptedbybert，並產生一份名為 .note.txt 的勒索說明文件，要求受害者透過 Session 通訊應用程式聯繫攻擊者，這也顯示攻擊者重視匿名性與規避執法機構追蹤的能力。

---

已知受害對象

• SIMCO Electronics（美國）
• Yozgat City Hospital（土耳其）
• National Ticket Company（美國）
• 台灣某半導體供應鏈廠商

目前觀察顯示，Bert 並未鎖定特定產業，攻擊對象涵蓋醫療、製造、服務等多個垂直領域，顯示其行動以經濟利益為主導。

---

攻擊技術與行為特徵

• 檔案加密副檔名：.encryptedbybert
• 勒索訊息檔名：.note.txt
• 通訊方式：Session App（匿名即時通訊工具）
• 加密同時竊取機敏資料進行勒索
• 傳播方式包括：
  • 含有惡意巨集的 Office 文件（釣魚郵件）
  • 偽裝成更新程式或破解工具的惡意執行檔
  • 網頁掛馬與漏洞利用
  • 外接裝置如 USB 傳染

---

MITRE ATT&CK 戰術與技術對應

根據對 Bert 勒索軟體樣本的靜態與動態行為分析，其攻擊鏈可明確對應至多項 MITRE ATT&CK 技術，涵蓋從初始執行到資料加密的各階段。以下為相關技術對應摘要：

高級規避與持久化技術

Bert 除了具備典型勒索軟體功能，更整合虛擬化與沙箱環境偵測機制（T1497），可有效繞過自動化分析與監控系統。其進一步透過修改 Windows 的 Image File Execution Options（IFEO）登錄機碼，實現程序攔截與靜默執行，從而增強持久性與隱蔽性。這類技術顯示 Bert 擁有高度模組化與針對分析環境調適的能力。

---

初步攻擊指標（Indicators of Compromise, IOC）

檔案資訊：

• 加密副檔名：.encryptedbybert
• 勒索說明檔名：.note.txt

疑似通訊 ID（Session App 範例）：

• 05be2653fc28a7b9ee95c8cda412bf2c749fa2bd9e7f650bbaaf116e0ac315d5

可疑檔案路徑：

• C:\Users\[username]\AppData\Roaming\Bert\payload.exe
• C:\ProgramData\BertLauncher\launch.bat

可疑下載 URL（應列入封鎖名單）：

• hxxp://malicious-domain[.]com/updates/officepatch.exe
• hxxps://fileshare[.]xyz/crack/BertLoader.exe

相關 SHA-256 檔案雜湊：

• ad4ef2d5c7a3cfdfebcfaf726c8de12349b30b5e72438dc7f3a8eb95e2b10f13

---

防禦建議

1. 強化備份策略
   定期備份關鍵資料，並儲存於 離線或不可變更（Immutable）儲存設備，防止勒索軟體加密備份檔案。
2. 端點偵測與回應（EDR）
   部署具行為分析與威脅獵捕功能的 EDR 工具，監控可疑檔案執行、權限異常提升、系統 API 操作等行為。
3. 員工資安訓練
   針對釣魚郵件、社交工程、非法軟體安裝等進行教育訓練。可結合 模擬攻擊演練（Phishing Simulation） 增加實戰應對經驗。
4. 監控異常 Session 通訊與加密行為
   設置 SIEM/IDS 規則偵測使用 Session 通訊 App 的流量（如 port 4280），以及大量檔案加密、重命名等行為。
5. 引入誘捕防禦技術（Deception Technology）
   在企業內部部署誘餌帳號（decoy accounts）、虛假資料夾、仿真伺服器等誘捕資產，一旦遭到存取，立即觸發告警。
   • 有效偵測橫向移動與勒索軟體活動
   • 適合與 SIEM、EDR 結合使用
   • 可作為早期偵測機制，比傳統病毒碼更快發現新變種行為

---

專家觀點總結

Bert 勒索軟體反映出現代勒索攻擊者的策略日益成熟，除了透過加密造成業務中斷，更強調資訊外洩帶來的威脅與談判籌碼。面對這類新型威脅，企業應建立「資安韌性框架」，從預防、防禦、監控到應變流程全面強化。

資安業界持續警告，勒索軟體已不再只是金錢勒索的工具，而是被用作地緣政治博弈中的數位武器。近期 Interlock 勒索軟體針對某國防承包商的攻擊事件，再次揭示了這類攻擊對於國防產業供應鏈、機敏資料外洩與戰略安全風險的巨大衝擊。

根據資安公司Resecurity 的調查，這次事件中遭到入侵的系統揭露了多家全球國防產業領頭企業的供應鏈與作業資訊。這不僅對該受害公司造成影響，也可能對全球其他承包商與軍方單位產生連鎖性的風險擴散效應。

---

攻擊揭露的國際國防企業名單包括：

• Hanwha（韓華）
• German Aerospace（德國航太）
• Leonardo（李奧納多）
• PW Defence
• Raytheon（雷神）
• Simmel Difesa
• SpaceX（太空探索技術公司）
• SE Corporation
• Thales（泰雷茲）
• Talley Defense
• QinetiQ（英國凱尼提克）

這些企業在全球防衛網絡中扮演關鍵角色，任一點被入侵，整體鏈條都有風險失守的可能。

---

勒索軟體背後的真正意圖：滲透、間諜與破壞

雖然表面上看來是為勒贖而來，但根據 Resecurity 的分析，有些勒索集團與國家支持的進階持續性威脅（APT）組織有直接或間接關聯。這些組織利用勒索軟體當作掩護行動的工具，進行以下目的：

• 暗中蒐集軍工業情報與關鍵技術
• 操控軍事供應鏈時程，延緩生產與部署
• 作為戰略性破壞或心理戰手段
• 利用資訊外洩影響外交或軍事決策

隨著全球地緣衝突升溫，類似手法可能會持續成為國家級敵對行動的一環。

---

攻擊的供應鏈效應：從單點滲透到全面擴散

在國防產業中，供應鏈環環相扣。當主要承包商的系統被入侵時，相關下游供應商、製造商、甚至政府單位也可能遭受次級攻擊。常見的風險包括：

• 憑證竊取後的橫向滲透
• 假冒信件造成的標靶式釣魚攻擊
• 對老舊裝置與合作平台的漏洞利用
• 未受保護的 API、FTP 或存取端口被掃描與滲透

這些風險在未實作資安縱深防禦（Defense in Depth）架構的環境中尤其明顯。

---

引入「欺敵技術」作為防禦新思維

在面對像 Interlock 這類高風險威脅時，傳統的被動防禦（如防火牆、AV、EDR）已顯不足。主動式防禦技術──尤其是「欺敵技術（Deception Technology）」，正成為企業與國防單位的新防線。

欺敵技術的核心目的是： 在真實環境中佈建出一套虛假但可信的資產與資源，引誘攻擊者進入陷阱，以便及早偵測並回應攻擊行為。

欺敵技術常見的部署元件包括：

• Decoys 誘餌主機：模擬伺服器、工作站、資料庫、印表機、網路裝置等資源
• Lures 誘導資訊：如弱密碼帳號、預設設定、虛構的權限或 AD 元件
• Breadcrumbs 麵包屑：部署在真實生產環境中的誘導資料，例如記憶體憑證、瀏覽器紀錄、資料夾捷徑、網路磁碟代號
• Baits 勾餌內容：引誘點擊或存取的敏感文件、Beacon 檔案、虛構 DNS 紀錄、程式程序等

一旦攻擊者接觸這些資源，即可觸發偵測與封鎖機制，有效縮短「潛伏時間（dwell time）」，並提升攻擊溯源能力。

---

國防產業需全面提升資安等級

針對此次事件，資安專家提出以下因應建議：

• 落實 CMMC（Cybersecurity Maturity Model Certification）驗證與追蹤
• 強化網路區隔與關鍵系統隔離
• 部署零信任架構（Zero Trust Architecture）與用戶行為監控
• 建立欺敵防禦環境以即時發現潛藏攻擊者
• 公私部門合作，建立共享的威脅情報平台
• 規劃橫跨內部與供應鏈的危機應變機制

---

結語：國防產業的資安已是國安等級任務

Interlock 事件再次提醒我們，在數位戰爭時代，任何承包商、技術供應商甚至中小製造商，都是國家防禦的一環。資安不只是技術問題，更是組織風險、信任機制與國安防線的延伸。

唯有透過持續的監控、創新的防禦架構（如欺敵技術）、合規驗證與跨部門協作，我們才能真正守護國家級基礎關鍵資產。

2025 年第一季，一個名為 NightSpire 的新興勒索軟體集團在亞太地區迅速崛起，並將火力集中在台灣企業身上。

從日系電子製造商、保險業者、醫療院所「長慎醫院」，到今天公開的上櫃資訊整合服務商，已有四家台灣企業成為受害者。NightSpire 宣稱已於 4 月 18 日成功入侵上櫃資訊整合服務商，竊取 300GB 資料，並威脅將於 4 月 26 日公開外洩。

根據竣盟科技B-Lab 的情資研究，已曝光的樣本包含內部員工與客戶的個資、專案資料目錄，還有受害電腦畫面等，突顯企業在邊界防禦與內網監控方面的破口。

攻擊手法剖析：三階段滲透鏈，展現隱匿性與持久性

NightSpire 的攻擊可分為三個階段：初始入侵、橫向移動、資料外洩，並善於繞過傳統防禦機制，達到長期滲透與資訊竊取。

1. 邊界設備漏洞為跳板

NightSpire 鎖定企業外部設備如 VPN、防火牆的漏洞。例如近期攻擊即利用 Fortinet 的零日漏洞 CVE-2024-55591，取得 FortiGate 防火牆的超級管理員權限。攻擊者可透過此漏洞修改設定、植入後門、建立持久存取權限，輕易潛入內網。

2. 橫向滲透與權限擴張：善用合法工具規避偵測

NightSpire 擅長利用系統內建或常見工具進行滲透與資料外傳，降低被偵測風險：

• WinSCP / MEGACmd：用於傳輸資料，偽裝成正常流量

• PowerShell 腳本：執行進階操作，避開傳統防毒偵測

• 內建 FTP 工具：低調傳送機敏資料

• 網路掃描器：識別內網潛在攻擊目標

這種手法讓攻擊從「進入」到「外洩」都能在駭客監控下進行，企業若僅依賴傳統防線，恐無法即時察覺異常。

為何台灣是目標？企業應該擔心什麼？

NightSpire 並未選擇攻擊歐美大型企業，而是精準瞄準台灣中小企業與醫療、科技產業：

• 高價值資料但資安資源有限：特別是醫療與系統整合商，成為「高獲利低風險」的理想目標。

• 邊界設備未即時修補漏洞：許多企業仍依賴傳統防火牆，但未落實漏洞管理與補丁更新。

• 供應鏈連動效應：攻擊其中一家供應商，就有可能滲透到整個產業鏈。

對攻擊者而言，這是一場高報酬、低風險的「資安套利」。

欺敵誘捕技術：扭轉被動防禦的戰局

NightSpire 所代表的威脅，讓資安防禦從「事後補救」轉向「主動攔截」成為必要。

這時，欺敵誘捕技術（Deception Technology）展現強大優勢：透過設置誘餌帳號、假檔案、偽造資料庫，引誘攻擊者上鉤，一旦接觸誘捕資源，即可即時通報、啟動反制。

結語：從被動防守，邁向智慧防禦的新時代

NightSpire 所代表的威脅，讓資安防禦從「事後補救」轉向「主動攔截」成為必要。

現在，企業該思考：

• 我的邊界設備漏洞是否已修補完畢？

• 我的內網是否有足夠的異常行為偵測機制？

• 面對攻擊者，我能主動誘導並辨識其行動軌跡嗎？

從零信任架構、行為分析，到欺敵誘捕，資安不再只是防禦，而是主動設局。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech ”

2025 年 4 月，又一起重大醫療資安事件發生，勒索軟體集團 NightSpire 聲稱於 4 月 13 日 成功入侵台灣中壢地區某大型醫院系統，竊取 800GB 敏感資料，並預告將於 4 月 26日 起公開販售。該醫院於 4 月 16 日 在官網公告系統異常，改由人工叫號與手寫處方因應，與駭客的說法時間點吻合，間接驗證系統遭攻擊的可能性。

駭客聲稱竊得資料範圍廣泛：

• 130,000 張醫療影像（含病徵與個資）

• 100,000 份電子病歷文件（含姓名、性別、血型、醫師姓名、診斷內容）

• 數百萬筆實驗室、檢查、X光、CT/MRI 等歷史紀錄

這些資料不僅高度敏感，且極具市場價值，一旦外流，可能成為身分竊取、詐騙、假帳號建立、甚至針對性勒索的溫床。

攻擊分析：醫療體系的資安脆弱點

醫療機構儲存大量個資與醫療資訊，卻常因預算、人力與資訊系統老化問題，資安防護相對薄弱。從本案的資訊推測，NightSpire 可能運用以下方式滲透：

1. 釣魚信件與社交工程：醫護人員每日處理大量郵件，若未受良好資安訓練，易成為破口。

2. 未修補的漏洞利用：若端點或伺服器未定期更新，駭客可藉此取得初始存取權限。

3. 橫向移動與資料蒐集：進入內部網路後，駭客利用掃描與憑證竊取橫向擴張，最終鎖定病歷伺服器與檔案儲存裝置。

醫療機構資安建議：不只防禦，更要「誘敵深入」

面對針對性日益強烈的勒索攻擊，傳統資安機制（防火牆、防毒、端點防護）已不敷使用。筆者建議醫療機構在既有基礎上，加入以下主動防禦與偵測技術：

1. 部署欺敵誘捕技術（Deception Technology）

• 建立誘捕資產與誘餌帳號、假病歷檔案，在駭客進入網路後引導其誤判目標。

• 一旦駭客觸碰誘餌，即可即時通報資安團隊並鎖定行為軌跡，大幅縮短偵測時間並防止進一步擴散。

• 欺敵技術具低誤報特性，非常適合醫療系統中分層偵測與最終防線部署。

2. 推動零信任架構（Zero Trust）

• 所有使用者與設備皆需經驗證與授權，強化橫向滲透的防線。

3. 加密與分散敏感資料儲存

• 機敏病歷與影像檔案應進行加密，並採用分區與異地備援策略。

4. 資安演練與事件回應計畫

• 制定並定期演練勒索攻擊情境，包括資料備援啟動、系統恢復與對外溝通機制。

結語：資安是醫療品質的一部分

NightSpire 的行動再次提醒我們，醫療服務的可用性與病患的隱私權保障，已不只是IT的責任，而是整個醫療體系信賴度的關鍵指標。

面對日益複雜的勒索與駭侵威脅，醫療機構應從被動防禦轉向主動偵測與快速應變，並勇於導入新型態技術，例如欺敵誘捕，才有機會在數位戰場中保住核心資產與民眾信任。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9

f749efde8f9de6a643a57a5b605bd4e7

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech ”

---

 SpaceBears 是誰？牠們不是可愛的熊

自 2024 年中旬首次在地下論壇浮出水面以來，SpaceBears 勒索軟體集團便以其精準滲透能力、高度模組化的工具鏈與策略導向的勒索戰術，迅速成為全球資安領域關注的焦點。

這並不是一個靠亂槍打鳥或自動化攻擊生存的團體。SpaceBears 以行業為目標、以資料為籌碼，專挑「夠大、夠值錢、又夠依賴數位營運」的企業下手。

---

台灣首起曝光：CRM 大廠被點名

在 2025 年 1 月 8 日，竣盟科技在例行暗網巡查時發現，SpaceBears 於其暗網網站上高調張貼公告，宣稱：

已成功滲透並入侵台灣某知名 CRM 系統大廠 的核心基礎架構，竊得包括客戶資料庫、內部系統結構與敏感專案資料等資訊。

該次攻擊為 SpaceBears 對台行動的首次公開記錄，引起產業震動。暗網上甚至附上數張檔案目錄與主機畫面截圖作為證據，展現駭客的掌控程度。

---

第二波攻擊：平面顯示器大廠淪陷

時隔數月，台灣第二家企業也被 SpaceBears 點名。

在 2025 年 4 月17日，SpaceBears 再度更新其暗網公告，公布第二位受害者為「台灣某知名平面顯示器大廠」，根據目前分析，該廠不僅涉及顯示技術核心開發，更是全球 OEM 供應鏈的關鍵節點。這代表 SpaceBears 已將攻擊觸角延伸至製造業、甚至硬體層級的國際供應鏈。

---

勒索策略剖析：他們不是亂槍打鳥

與傳統勒索集團不同，SpaceBears 採用高投入、高報酬的「滲透型雙重勒索」戰術，核心流程如下：

1. 事前偵查 (Reconnaissance)
   • 收集企業架構、供應鏈關係、外洩帳號資料或第三方漏洞。
2. 滲透與橫向移動 (Initial Access & Lateral Movement)
   • 利用 VPN 弱點、未修補 RDP 服務、0-day 漏洞攻入內網。
   • 部署自訂 C2 工具與合法系統工具（如 PsExec、WMI）橫向擴張。
3. 資料竊取 (Data Exfiltration)
   • 在未被偵測情況下導出設計圖、報價單、財務與人資資料。
4. 雙重勒索 (Double Extortion)
   • 加密系統後威脅曝光資料，甚至直接聯絡受害者客戶與合作夥伴。

這種模式讓受害企業在談判時幾乎毫無退路。

---

台灣連二受害：代表什麼？

當前這兩起攻擊事件的共同特徵如下：

• 高價值產業目標：CRM SaaS 業者與顯示器製造商皆屬數位依賴度極高的產業。
• 層層滲透式入侵：非靠單一漏洞即能攻破，顯示其內部滲透功力與情報整合能力。
• 可能的供應鏈串連風險：第一起攻擊後，可能透過資料進一步擴展其攻擊面。

這代表：

SpaceBears 對台灣的攻擊行動並非偶發，而是有策略、有階段性的滲透計畫。

---

對企業的實戰建議

部署行為型偵測工具（EDR / XDR / HIDS）

• 偵測 lateral movement、RDP 多點登入、PowerShell 腳本濫用等指標。
• 搭配 UEBA 模型進行異常判斷，避免單純依賴 signature。

✅ 鞏固邊界與身份安全

• 關閉不必要的 RDP/VNC/VPN 通道。
• 所有關鍵系統強制啟用 MFA、身份認證系統（如 IAM）。

✅ 建立資安事件演練與應變機制

• 每季進行勒索模擬攻防演練（含通報流程）。
• 事先建立公關聲明草稿、律師顧問合作機制。

✅ 強化備份與資料出境監控

• 實施不可變備份（immutable backup）。
• 出境資料流異常封包行為監控（exfiltration baseline）。

✅ 引入誘捕技術（Deception Technology）強化偵測與延遲攻擊

• 佈署虛擬主機、假帳號、假資料夾等誘餌資源，吸引駭客誤入陷阱。
• 可即時偵測未經授權的內部掃描或 lateral movement 行為。
• 有助於早期識別入侵並延長攻擊者停留時間，為防禦方爭取反制窗口。

---

結語：這不是終點，而是開始

SpaceBears 的攻擊正快速演化，他們將台灣納入攻擊範圍，顯示本地企業已成為國際網路犯罪集團的潛在肥羊。

這不只是單一企業的警訊，更是整個產業面對「資安成熟度測試」的重要時刻。

有關SpaceBears勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91

c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

8c69830a50fb85d8a794fa46643493b2

bbcf7a68f4164a9f5f5cb2d9f30d9790