DslogdRAT:針對 Ivanti Connect Secure VPN 所發動進階攻擊行動的技術分析

Posted on by blogadmin
DslogdRAT的執行流程 Photo Credit: JPCERT/CC

近期針對 Ivanti Connect Secure VPN 裝置的攻擊揭露一款具備高度隱蔽性與持久性的惡意程式 DslogdRAT。該程式與一支簡化但功能完整的 Perl Web Shell 並行部署,顯示攻擊者具備高度組織化與長期滲透的企圖心。

本次事件由日本資安應變中心 JPCERT/CC 在調查 2024 年 12 月針對當地企業所發動的 CVE-2025-0282 零時差攻擊時發現。該行動突顯國家級威脅行為者正積極利用邊界設備漏洞作為進入企業內部網路的跳板。

初始攻擊向量:Perl Web Shell 提供後續惡意載入管道

攻擊者最初透過一支 Perl CGI 腳本建立對 Ivanti 裝置的遠端控制通道。該 Web Shell 透過驗證特定 Cookie 值與硬編碼 Token 的匹配來執行任意指令,達成命令執行功能。雖屬輕量型後門,卻為部署 DslogdRAT 提供有效的初始滲透通道。

此手法反映攻擊者精準掌握裝置管理機制,並採用低干擾、高穩定性的攻擊手段,以提高隱蔽性並降低被即時偵測的風險。

惡意程式架構與持久化機制:多程序與多執行緒設計

DslogdRAT 一旦部署,會透過以下方式建立持久存在並維持與指揮控制伺服器(C2)的連線:

  • 主程序(main process)會啟動第一子程序後即終止,增加其在系統中的存活隱蔽性。
  • 第一子程序進入監控迴圈並啟動第二子程序,專責處理 C2 通訊。
  • 第二子程序採用 pthread 函式庫 實作多執行緒架構,以提升處理效率與穩定性。
  • 與 C2 之間的資料傳輸透過 XOR(7 位元組區塊)編碼加密,金鑰範圍為 0x01 至 0x07,明顯為規避流量檢測所設計。

此外,惡意程式在程序名稱與執行緒管理上,模擬 Linux 系統內建背景程序(如:kworker/0:02),增加攻擊存續性與防禦系統誤判機率。

設定檔分析:作業時段與網路通訊參數具明顯躲避設計

DslogdRAT 的二進位程式內含一組以 XOR 編碼儲存的設定資料,內容揭露攻擊者針對企業環境所設計的操作模式,包括:

  • C2 位址:3.112.192[.]119
  • 通訊埠:443(偽裝為 HTTPS)
  • 預設 Shell:/bin/sh
  • Proxy 設定:127.0.0.1,帳號:admin,密碼:admin
  • 作業時段:每日 08:00 至 14:00,以融入正常營運流量,減少異常行為觸發警示的機會。

此類時間視窗限制的設計,已成為 APT 威脅常見的逃避偵測技術,特別適用於躲避基於行為基準(behavioral baseline)或流量異常偵測的防禦系統。

功能模組與操作命令:支援完整控制與橫向滲透

DslogdRAT 具備高度模組化的遠端操作能力,其支援的指令範圍涵蓋:

此外,惡意程式在首次與 C2 建立連線時,會發送含主機指紋(host fingerprint)之封包,資訊經編碼處理以利後端工具自動解析並針對性控制。

關聯性觀察:與 UNC5221 使用的 SPAWNSNARE 並存

研究人員也在受害系統中觀察到與 中國威脅行為者 UNC5221 有關的 SPAWNSNARE 後門程式。該惡意程式曾於 2025 年 4 月由 Google 與美國 CISA 公布。雖然目前無法直接證明 DslogdRAT 與該行為者有明確關聯,但兩種惡意工具的同時出現顯示:

  • 攻擊者可能共用相同工具組(toolkit)或基礎架構。
  • 該行動可能屬於更大規模、協同運作的滲透行動一環。

安全建議:防護對策與威脅獵捕優先事項

鑑於 DslogdRAT 攻擊手法高度隱蔽且具模組彈性,建議企業資安團隊立即採取下列行動:

  1. 立即更新系統:套用 Ivanti 官方對 CVE-2025-0282 與 CVE-2025-22457 所發布的修補程式。
  2. 檢測與鑑識:針對 VPN 裝置執行全面記憶體與檔案系統檢查。
  3. 監控指標(IoC
    • 惡意程式 SHA-256:1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8
    • Web Shell 路徑:/home/webserver/htdocs/dana-na/cc/ccupdate.cgi
    • C2 位址:3.112.192[.]119
  4. 網路分段與通訊限制:針對 VPN 裝置與關鍵資源間的橫向通訊設限。
  5. 導入威脅獵捕機制:主動搜尋偽裝程序、異常執行緒與潛伏連線行為。
  6. 重新評估邊界設備安全策略:將邊界設備納入端點監控架構並強化紀錄保存與異常警示。

結語:持續滲透技術的演進挑戰企業資安防線

DslogdRAT 的部署手法與架構展示出當代威脅行為者在攻擊規劃、隱匿執行與後門操控上的高度成熟度。面對此類針對 VPN 與邊界裝置的複合型攻擊,企業應優先強化邊界安全治理、威脅偵測能量與事件回應準備,方能有效降低入侵風險與損害影響。

【資安快訊】NightSpire 勒索攻擊再升溫!台灣上櫃資服大廠成新目標——掌握駭客戰術與企業防線新思維

Posted on by blogadmin
NightSpire最新受害者為台灣上櫃資服業者

2025 年第一季,一個名為 NightSpire 的新興勒索軟體集團在亞太地區迅速崛起,並將火力集中在台灣企業身上。

日系電子製造商、保險業者醫療院所「長慎醫院」,到今天公開的上櫃資訊整合服務商,已有四家台灣企業成為受害者。NightSpire 宣稱已於 4 月 18 日成功入侵上櫃資訊整合服務商,竊取 300GB 資料,並威脅將於 4 月 26 日公開外洩。

根據竣盟科技B-Lab 的情資研究,已曝光的樣本包含內部員工與客戶的個資、專案資料目錄,還有受害電腦畫面等,突顯企業在邊界防禦與內網監控方面的破口。

攻擊手法剖析:三階段滲透鏈,展現隱匿性與持久性

NightSpire 的攻擊可分為三個階段:初始入侵、橫向移動、資料外洩,並善於繞過傳統防禦機制,達到長期滲透與資訊竊取。

1. 邊界設備漏洞為跳板

NightSpire 鎖定企業外部設備如 VPN、防火牆的漏洞。例如近期攻擊即利用 Fortinet 的零日漏洞 CVE-2024-55591,取得 FortiGate 防火牆的超級管理員權限。攻擊者可透過此漏洞修改設定、植入後門、建立持久存取權限,輕易潛入內網。

2. 橫向滲透與權限擴張:善用合法工具規避偵測

NightSpire 擅長利用系統內建或常見工具進行滲透與資料外傳,降低被偵測風險:

• WinSCP / MEGACmd:用於傳輸資料,偽裝成正常流量

• PowerShell 腳本:執行進階操作,避開傳統防毒偵測

• 內建 FTP 工具:低調傳送機敏資料

• 網路掃描器:識別內網潛在攻擊目標

這種手法讓攻擊從「進入」到「外洩」都能在駭客監控下進行,企業若僅依賴傳統防線,恐無法即時察覺異常。

為何台灣是目標?企業應該擔心什麼?

NightSpire 並未選擇攻擊歐美大型企業,而是精準瞄準台灣中小企業與醫療、科技產業:

• 高價值資料但資安資源有限:特別是醫療與系統整合商,成為「高獲利低風險」的理想目標。

• 邊界設備未即時修補漏洞:許多企業仍依賴傳統防火牆,但未落實漏洞管理與補丁更新。

• 供應鏈連動效應:攻擊其中一家供應商,就有可能滲透到整個產業鏈。

對攻擊者而言,這是一場高報酬、低風險的「資安套利」。

欺敵誘捕技術:扭轉被動防禦的戰局

NightSpire 所代表的威脅,讓資安防禦從「事後補救」轉向「主動攔截」成為必要。

這時,欺敵誘捕技術(Deception Technology)展現強大優勢:透過設置誘餌帳號、假檔案、偽造資料庫,引誘攻擊者上鉤,一旦接觸誘捕資源,即可即時通報、啟動反制。

結語:從被動防守,邁向智慧防禦的新時代

NightSpire 所代表的威脅,讓資安防禦從「事後補救」轉向「主動攔截」成為必要。

現在,企業該思考:

• 我的邊界設備漏洞是否已修補完畢?

• 我的內網是否有足夠的異常行為偵測機制?

• 面對攻擊者,我能主動誘導並辨識其行動軌跡嗎?

從零信任架構、行為分析,到欺敵誘捕,資安不再只是防禦,而是主動設局。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech ”

[資安專家觀點]NightSpire勒索攻擊台灣醫院 掛號系統癱瘓、800GB病患資料外洩

Posted on by blogadmin

2025 年 4 月,又一起重大醫療資安事件發生,勒索軟體集團 NightSpire 聲稱於 4 月 13 日 成功入侵台灣中壢地區某大型醫院系統,竊取 800GB 敏感資料,並預告將於 4 月 26日 起公開販售。該醫院於 4 月 16 日 在官網公告系統異常,改由人工叫號與手寫處方因應,與駭客的說法時間點吻合,間接驗證系統遭攻擊的可能性。

駭客聲稱竊得資料範圍廣泛:

• 130,000 張醫療影像(含病徵與個資)

• 100,000 份電子病歷文件(含姓名、性別、血型、醫師姓名、診斷內容)

• 數百萬筆實驗室、檢查、X光、CT/MRI 等歷史紀錄

這些資料不僅高度敏感,且極具市場價值,一旦外流,可能成為身分竊取、詐騙、假帳號建立、甚至針對性勒索的溫床。

攻擊分析:醫療體系的資安脆弱點

醫療機構儲存大量個資與醫療資訊,卻常因預算、人力與資訊系統老化問題,資安防護相對薄弱。從本案的資訊推測,NightSpire 可能運用以下方式滲透:

1. 釣魚信件與社交工程:醫護人員每日處理大量郵件,若未受良好資安訓練,易成為破口。

2. 未修補的漏洞利用:若端點或伺服器未定期更新,駭客可藉此取得初始存取權限。

3. 橫向移動與資料蒐集:進入內部網路後,駭客利用掃描與憑證竊取橫向擴張,最終鎖定病歷伺服器與檔案儲存裝置。

醫療機構資安建議:不只防禦,更要「誘敵深入」

面對針對性日益強烈的勒索攻擊,傳統資安機制(防火牆、防毒、端點防護)已不敷使用。筆者建議醫療機構在既有基礎上,加入以下主動防禦與偵測技術:

1. 部署欺敵誘捕技術(Deception Technology)

• 建立誘捕資產與誘餌帳號、假病歷檔案,在駭客進入網路後引導其誤判目標。

• 一旦駭客觸碰誘餌,即可即時通報資安團隊並鎖定行為軌跡,大幅縮短偵測時間並防止進一步擴散。

• 欺敵技術具低誤報特性,非常適合醫療系統中分層偵測與最終防線部署。

2. 推動零信任架構(Zero Trust)

• 所有使用者與設備皆需經驗證與授權,強化橫向滲透的防線。

3. 加密與分散敏感資料儲存

• 機敏病歷與影像檔案應進行加密,並採用分區與異地備援策略。

4. 資安演練與事件回應計畫

• 制定並定期演練勒索攻擊情境,包括資料備援啟動、系統恢復與對外溝通機制。

結語:資安是醫療品質的一部分

NightSpire 的行動再次提醒我們,醫療服務的可用性與病患的隱私權保障,已不只是IT的責任,而是整個醫療體系信賴度的關鍵指標。

面對日益複雜的勒索與駭侵威脅,醫療機構應從被動防禦轉向主動偵測與快速應變,並勇於導入新型態技術,例如欺敵誘捕,才有機會在數位戰場中保住核心資產與民眾信任。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9

f749efde8f9de6a643a57a5b605bd4e7

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech ”

【資安觀察】SpaceBears 勒索軟體再現攻擊行動:台灣成為連續受害目標

Posted on by blogadmin

 SpaceBears 是誰?牠們不是可愛的熊

自 2024 年中旬首次在地下論壇浮出水面以來,SpaceBears 勒索軟體集團便以其精準滲透能力、高度模組化的工具鏈策略導向的勒索戰術,迅速成為全球資安領域關注的焦點。

這並不是一個靠亂槍打鳥或自動化攻擊生存的團體。SpaceBears 以行業為目標、以資料為籌碼,專挑「夠大、夠值錢、又夠依賴數位營運」的企業下手。

台灣首起曝光:CRM 大廠被點名

在 2025 年 1 月 8 日,竣盟科技在例行暗網巡查時發現,SpaceBears 於其暗網網站上高調張貼公告,宣稱:

已成功滲透並入侵台灣某知名 CRM 系統大廠 的核心基礎架構,竊得包括客戶資料庫、內部系統結構與敏感專案資料等資訊。

該次攻擊為 SpaceBears 對台行動的首次公開記錄,引起產業震動。暗網上甚至附上數張檔案目錄與主機畫面截圖作為證據,展現駭客的掌控程度。

台灣某知名平面顯示器大廠被 SpaceBears 點名

第二波攻擊:平面顯示器大廠淪陷

時隔數月,台灣第二家企業也被 SpaceBears 點名。

在 2025 年 4 月17日,SpaceBears 再度更新其暗網公告,公布第二位受害者為「台灣某知名平面顯示器大廠」,根據目前分析,該廠不僅涉及顯示技術核心開發,更是全球 OEM 供應鏈的關鍵節點。這代表 SpaceBears 已將攻擊觸角延伸至製造業、甚至硬體層級的國際供應鏈。

勒索策略剖析:他們不是亂槍打鳥

與傳統勒索集團不同,SpaceBears 採用高投入、高報酬的「滲透型雙重勒索」戰術,核心流程如下:

  1. 事前偵查 (Reconnaissance)
    • 收集企業架構、供應鏈關係、外洩帳號資料或第三方漏洞。
  2. 滲透與橫向移動 (Initial Access & Lateral Movement)
    • 利用 VPN 弱點、未修補 RDP 服務、0-day 漏洞攻入內網。
    • 部署自訂 C2 工具與合法系統工具(如 PsExec、WMI)橫向擴張。
  3. 資料竊取 (Data Exfiltration)
    • 在未被偵測情況下導出設計圖、報價單、財務與人資資料。
  4. 雙重勒索 (Double Extortion)
    • 加密系統後威脅曝光資料,甚至直接聯絡受害者客戶與合作夥伴。

這種模式讓受害企業在談判時幾乎毫無退路。

台灣連二受害:代表什麼?

當前這兩起攻擊事件的共同特徵如下:

  • 高價值產業目標:CRM SaaS 業者與顯示器製造商皆屬數位依賴度極高的產業。
  • 層層滲透式入侵:非靠單一漏洞即能攻破,顯示其內部滲透功力與情報整合能力。
  • 可能的供應鏈串連風險:第一起攻擊後,可能透過資料進一步擴展其攻擊面。

這代表:

SpaceBears 對台灣的攻擊行動並非偶發,而是有策略、有階段性的滲透計畫。

對企業的實戰建議

部署行為型偵測工具(EDR / XDR / HIDS)

  • 偵測 lateral movement、RDP 多點登入、PowerShell 腳本濫用等指標。
  • 搭配 UEBA 模型進行異常判斷,避免單純依賴 signature。

✅ 鞏固邊界與身份安全

  • 關閉不必要的 RDP/VNC/VPN 通道。
  • 所有關鍵系統強制啟用 MFA、身份認證系統(如 IAM)。

✅ 建立資安事件演練與應變機制

  • 每季進行勒索模擬攻防演練(含通報流程)。
  • 事先建立公關聲明草稿、律師顧問合作機制。

✅ 強化備份與資料出境監控

  • 實施不可變備份(immutable backup)。
  • 出境資料流異常封包行為監控(exfiltration baseline)。

✅ 引入誘捕技術(Deception Technology)強化偵測與延遲攻擊

  • 佈署虛擬主機、假帳號、假資料夾等誘餌資源,吸引駭客誤入陷阱。
  • 可即時偵測未經授權的內部掃描或 lateral movement 行為。
  • 有助於早期識別入侵並延長攻擊者停留時間,為防禦方爭取反制窗口。

結語:這不是終點,而是開始

SpaceBears 的攻擊正快速演化,他們將台灣納入攻擊範圍,顯示本地企業已成為國際網路犯罪集團的潛在肥羊。

這不只是單一企業的警訊,更是整個產業面對「資安成熟度測試」的重要時刻。

有關SpaceBears勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91

c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

8c69830a50fb85d8a794fa46643493b2

bbcf7a68f4164a9f5f5cb2d9f30d9790

中國國家支持的攻擊行動:UNC5174 利用開源工具發動隱匿性網路間諜攻擊

Posted on by blogadmin
Photo Credit: Sysdig

資安公司 Sysdig 最新研究揭示,由中國政府支持的威脅行為者 UNC5174 正積極展開新一波具有高度隱匿性的網路間諜行動。該組織日益依賴開源工具與先進攻擊技術,以規避偵測與追蹤,展現其日益成熟的行動能力。

根據報告指出,UNC5174 為先前 Mandiant 所揭露的中國國家承包駭客團體,其目標鎖定美國、英國、加拿大及亞太地區的重要機構與基礎設施。該組織持續運用自製惡意軟體與開源後門工具,滲透目標系統並進行情報蒐集。

利用開源工具提升隱匿性與歸因困難度

UNC5174 的攻擊策略之一,是廣泛使用開源工具來掩蓋其國家背景,使其行為更難與國家級行動劃上等號。此舉亦降低了行動的歸因風險,進一步模糊其來源。

在此次活動中,關鍵工具之一為 VShell —— 一款與知名滲透測試框架 Cobalt Strike 類似的開源後門程式。VShell 屬於無檔案型(fileless)惡意程式,其程式碼全數駐留於記憶體中,使傳統的檔案掃描工具難以發現其蹤跡。

Sysdig 表示:「像 UNC5174 這類高階攻擊者轉向使用開源工具,除了降低成本,更可大幅增加偵測與追蹤的困難度,其行為模式亦更接近一般低技術駭客,進一步混淆歸因分析。」

攻擊鏈分析:高度模組化與持久滲透能力

UNC5174 所展現的攻擊流程極具組織性,包含以下階段:

  • 初始入侵:使用未公開的技術進行系統滲透
  • 惡意程式植入
    • Snowlight:自行開發的 Linux 惡意軟體,顯示其深厚的系統底層知識
    • Silver:用於建立持續遠端控制能力的 C2 模組
    • VShell:駐留於記憶體的後門工具,用於隱密操控

值得注意的是,UNC5174 採用了 WebSockets 作為其指揮控制(C2)通道,這種方式相較於傳統 C2 通訊協定更具隱匿性,可實現即時加密命令下達,並有效混入一般網路流量中。

Sysdig 指出:「透過 WebSockets 傳輸,可大幅降低異常流量特徵,加上 HTTPS 加密,攻擊行為更難與正常活動區分,進一步提升偵避能力。」

鎖定戰略性目標,滲透國際關鍵領域

UNC5174 的攻擊行動明確服務於國家戰略利益,其鎖定的目標範圍廣泛,涵蓋:

  • 政府單位與研究機構
  • 智庫與政策制定機構
  • 高科技產業
  • 非政府組織(特別是亞太地區)
  • 關鍵基礎設施(如能源、醫療與國防部門)

這些攻擊行為主要目的為取得敏感資料,進行長期滲透與情報收集。

防禦啟示與應對建議

根據 Sysdig 分析,UNC5174 的活動自 2024 年 11 月即已展開,其持續性與隱匿性極高,對傳統資安防禦機制構成嚴峻挑戰。

Sysdig 資安策略師 Crystal Morin 表示:「該組織幾乎不留痕跡地運作,展現高度隱蔽性。我們發布這份研究報告的目的,是希望協助業界更有效偵測如 VShell 等先進後門工具的活動。」

Sysdig 並釋出以下資源供防禦團隊應用:

  • YARA 偵測規則
  • Falco 行為監控規則
  • 最新入侵指標(IoCs)清單

企業與政府機構應立即評估其對於無檔案型惡意程式、記憶體攻擊與加密通訊異常的偵測能力是否到位,並強化相關防護機制。

專家總結:面對開源武器化的國家級威脅,防禦需邁向新階段

UNC5174 可視為現代國家級威脅行為者的典型代表:技術精湛、行動低調、手法創新,並能有效結合開源工具與定製惡意程式進行精準滲透。

防禦方應採取以下建議措施:

  • 建立以行為為核心的偵測機制,突破傳統特徵式防禦限制
  • 強化記憶體監控與針對 WebSocket 等非典型通訊協定 的流量分析
  • 善用開源社群提供的 威脅情資與即時規則(如 YARA 與 Falco) 提升偵測能見度

在日益複雜的資安威脅環境下,隱匿性攻擊與開源工具武器化已成為新常態。唯有採取主動防禦策略,方能有效應對此類新型態威脅。

UNC5174的部分入侵指標(Indicator of compromise IOCs):


e6db3de3a21debce119b16697ea2de5376f685567b284ef2dee32feb8d2d44f8
8d88944149ea1477bd7ba0a07be3a4371ba958d4a47b783f7c10cbe08c5e7d38
21ccb25887eae8b17349cefc04394dc3ad75c289768d7ba61f51d228b4c964db

【資安快訊|案例解析】麒麟勒索軟體鎖定南韓SK集團,勒索 1TB 敏感資料,揭示高價值企業的新攻擊趨勢

Posted on by blogadmin

2025 年 4 月 10 日,具俄語背景的勒索軟體麒麟(Qilin)又名 Agenda。 在其暗網洩密網站公開聲稱,已成功入侵南韓第二大財閥 SK 集團,並竊取逾 1TB 機密資料,並揚言若 48 小時內未獲回應,將全面洩露所有資訊。

該貼文於美東時間清晨約 6:30 發佈,截至當天下午,麒麟尚未釋出任何資料樣本佐證其主張,但已明確施壓,這是典型的 雙重勒索手法(Double Extortion):先加密檔案,再以公開機密資料相威脅,以期雙重勒索獲利。

 目標分析:為何是 SK 集團?

SK 集團為南韓僅次於三星的跨國企業,業務涵蓋能源、半導體、ICT、電信、生技製藥、電動車電池等產業,全球員工超過 80,000 人,旗下擁有 260 家子公司,年營收達 911.5 億美元。該集團對美國投資遍及 20 州、超過 500 億美元,顯示其全球戰略布局與技術資產的高度價值。

麒麟此次明顯針對具「產業影響力、國際能見度、戰略科技掌握度」的企業進行攻擊,反映勒索集團已從「量產型廣撒網攻擊」轉向「定點滲透、高價值換金」的新策略。

 攻擊背景與行為模式分析

麒麟採用 勒索軟體即服務(RaaS, Ransomware-as-a-Service) 模式,讓惡意代理操作攻擊並獲得分潤。其作業流程高度組織化,可能包含以下攻擊階段:

  1. 滲透初期
    • 利用釣魚信或在暗網購買內部憑證(如 AD、VPN 憑證)
    • 利用漏洞(如 Citrix Bleed)獲得初始存取權限
  2. 橫向移動與權限提升
    • 利用 Mimikatz 或 LSASS Dump 獲取帳號密碼
    • 內部橫向掃描、攔截管理權限
  3. 資料偵察與竊取
    • 偵測機敏檔案位置(ERP、CAD 設計圖、R&D、財務、人資)
    • 大量外傳或封包封存等待脫離
  4. 資料加密與勒索
    • 加密核心系統並留勒索訊息
    • 發布通牒並於暗網揭露攻擊訊息以提高施壓

 MITRE ATT&CK 對照分析(麒麟常見技術)

近期攻擊軌跡:麒麟活動明顯升溫

根據統計:

  • 過去四週內攻擊 68 家組織,僅次於 Babuk
  • 過去 12 個月總攻擊數為 256 件,較 3 月初增幅近三成

已知攻擊受害機構包括:

  • 美國 Lee Enterprises 新聞集團
  • 休士頓交響樂團
  • 底特律 PBS 公共電視台
  • 日本宇都宮癌症治療中心(30 萬筆個資外洩)
  • 英國 NHS 合作實驗室 Synnovis(勒索金達 5,000 萬美元)

麒麟被觀察到會竊取 Chrome 瀏覽器密碼、停用 端點防護系統(EDR),並廣泛利用如 Citrix Bleed(CVE-2023-4966) 等高風險漏洞,與 BlackCat/ALPHV 等先進集團有戰術相似性。

專家建議:企業應即刻採取以下防禦行動

1. 身份與存取控制(IAM)

  • 強制部署 MFA,特別是 VPN、雲端控制台、管理介面
  • 定期盤點停用不必要帳號與權限

2. 端點與行為監控(EDR/XDR)

  • 採用具行為偵測的防護工具,可即時識別惡意行為(如腳本、記憶體注入)
  • 建立異常自動隔離與通報流程

3. 離線與異地備份政策

  • 關鍵資料每日備份並實體隔離,測試還原流程確保災難恢復能力

4. 橫向權限與流量管控

  • 限制 SMB、RDP 等內網協定的跨部門使用與紀錄審核
  • 監控不尋常的檔案移動行為與流量

5. 員工釣魚演練與教育

  • 定期執行釣魚信模擬與教育課程
  • 強化財務、人資、管理單位資安意識與保護

6. 誘敵欺敵技術(Deception Technology)

• 部署假資產(如假帳號、假資料夾、虛擬伺服器)誘捕內部或外部攻擊者

• 結合威脅偵測系統,快速識別滲透行為並啟動應變程序

結語:RaaS 生態系的進化,正衝擊全球企業風險模型

麒麟此次對 SK 集團的行動,揭示了一個日益明確的趨勢:勒索攻擊已進入精準化、企業級、供應鏈導向的高價值目標時代。

企業不再僅是系統被癱瘓,更面臨 商譽崩壞、股價波動、全球營運鏈中斷 的連鎖反應。面對 RaaS 生態系的擴張與技術專業化,企業應主動將資安風險納入 營運持續計畫(BCP)與治理框架中

建議所有資安團隊立即針對上述防護措施進行盤點與強化,並持續監控 麒麟與其他高風險勒索集團的後續動態與威脅樣態。

製造業資安紅色警戒:Underground駭侵鋼鐵廠、麒麟勒索軟體盯上光電產業

Posted on by blogadmin

​近期,臺灣產業界接連遭受兩大勒索軟體組織的攻擊,引發資安警訊。​鋼鐵業大廠遭受新興勒索集團 Underground 入侵,​而知名光電元件製造商則被麒麟組織(Qilin)鎖定並加密關鍵系統。​這些事件凸顯了我國製造業在資安防護上的挑戰與迫切需求。​

Underground:新興勒索集團鎖定鋼鐵業

初始入侵手法(Initial Access):

根據資安專家的分析,Underground 集團透過釣魚郵件(phishing emails)進行初始入侵,誘使員工點擊惡意連結或附件,從而在企業內部網路植入惡意軟體。​

戰術與技巧(Tactics, Techniques, and Procedures, TTPs):

橫向移動(Lateral Movement): 利用合法的系統管理工具(如 PsExec)在內部網路中移動,擴大控制範圍。​

憑證竊取(Credential Dumping): 使用 Mimikatz 等工具竊取帳號密碼,獲取更高權限。​

資料外洩(Data Exfiltration): 在加密前,將關鍵設計圖、供應鏈資料等敏感資訊傳輸至外部伺服器。​

雙重勒索(Double Extortion): 除了加密資料外,還威脅公開外洩的敏感資訊,以增加受害者支付贖金的壓力。​

麒麟組織(Qilin):老牌勒索集團轉向光電產業

初始入侵手法:

麒麟組織利用暴露在外網且未妥善保護的遠端桌面協議(RDP)服務,透過暴力破解或利用已知漏洞取得初始存取權限。​

戰術與技巧:

自訂化勒索軟體(Customizable Ransomware): Qilin 的勒索軟體以 Go 語言編寫,可針對不同目標進行客製化設定,增加攻擊成功率。​

跨平台攻擊(Cross-Platform Targeting): 支援 Windows 和 Linux 系統,擴大影響範圍。​

隱匿行動(Stealth Operations): 使用進階技術(如 API unhooking)避開資安防護軟體的偵測,延長在受害系統中的潛伏時間。​

臺灣產業面臨的資安挑戰

根據 2024 年的統計資料,臺灣的政府服務網絡(GSN)每日平均遭受 240 萬次攻擊,較 2023 年的 120 萬次翻倍成長。 ​其中,製造業每週平均遭受 4,175 次攻擊,顯示出產業界已成為駭客的主要目標。 ​

當面對日益複雜與頻繁的資安威脅,企業除了應強化傳統防禦措施,更需採取主動式的安全策略。專家建議,企業可從以下幾個關鍵層面進行強化,並納入誘捕與欺敵( Deception)技術,提升整體資安防禦深度:

1. 提升全員資安意識,建立第一道防線

定期舉辦針對**社交工程攻擊(如釣魚郵件)**的資安訓練,提升員工辨識與回報可疑行為的能力,從內部打造敏銳的資安文化。

2. 嚴格控管外部存取權限

全面檢視並關閉不必要的遠端服務(如未加密或未防護的 RDP),對於必需開放的遠端連線,應全面導入多因素驗證(MFA)與存取行為監控機制,防止憑證遭濫用。

3. 建立漏洞管理流程,主動防堵風險

落實定期漏洞掃描,搭配資產盤點與風險評估,確保所有系統與應用程式在第一時間獲得修補。可導入虛擬補丁(Virtual Patching)技術,在漏洞無法立即修補時提供臨時防護。

4. 資料備份與業務持續性規劃

建立多層次的資料備份策略,並定期驗證備份可用性與還原流程,以面對勒索病毒或其他災難性事件時,能迅速恢復關鍵業務。

5. 部署進階威脅偵測與主動式防禦系統

導入結合AI與機器學習的威脅偵測系統(如UEBA、EDR/XDR),即時掌握異常行為。同時,透過Cyber Deception 技術(如蜜罐系統、虛擬資產),在攻擊者滲透初期即誘導其進入假目標環境,有效延緩攻擊並揭露攻擊路徑。

結語:防禦思維,向「偵察對手」邁進

在現今零信任與持續攻擊的時代,唯有結合防禦、偵測與欺敵的多層次策略,才能有效降低資安風險,保護企業營運不受干擾。建議企業導入能融合傳統防護與主動防禦的整合解決方案,從被動守勢走向智慧型資安防禦新格局

RALord 勒索集團曝光:新興 RaaS 威脅解析,台灣知名連鎖餐廳驚現受害名單!

Posted on by blogadmin

前言

最近,竣盟科技發現了一個新的最新的數據洩露網站(Data Leak Site, DLS)「RALord」,這是 2025 年 3 月內發現的 14 個新 DLS 之一。該勒索軟體即服務(Ransomware-as-a-Service, RaaS)團隊展現出高度組織化的運營模式,提供聯盟計畫、數據贖金機制及暗網廣告等多種服務。據了解,該團隊至少活躍於一個網路犯罪論壇,主要負責人使用者名為「ForLord」。

截至 2025 年 3 月底,尚無證據顯示 RALord 與其他已知威脅行為者有直接關聯。然而,該團隊聲稱其勒索軟體並非全新產品,而是建立在過往 RaaS 經驗的基礎上,因此不排除其與名稱相近的「RAWorld」(亦稱「RAGroup」)有潛在聯繫。目前,RAWorld 的 DLS 已失效,且自 2024 年 12 月後未再公佈新受害者。此外,RALord 也可能僅是借用 RAWorld 的名稱,以利用其既有聲譽來建立可信度。

值得注意的是,RALord 的已知受害者清單中,首度出現來自台灣的企業,該企業為知名連鎖餐飲品牌,成為台灣首例公開曝光的受害者。這表明 RALord 正積極拓展其攻擊範圍,並將亞洲市場納入目標。

關鍵要點

  • RALord DLS 於 2025 年 3 月下旬首次出現,首名受害者(工程與工業服務公司)於 3 月 22 日被列出。截至 3 月 28 日,該網站已公開三名受害者。
  • 該團隊運營 RaaS 計畫,聯盟成員可獲取 85% 的勒索贖金分成,而 RALord 則抽取 15%。
  • RALord 提供多種服務,包括 數據販售、Tor 網站廣告、一次性加密工具銷售(無需訂閱 RaaS 計畫)。
  • RALord DLS 上的所有受害者均未曾出現在其他已知勒索軟體組織的洩露名單中。
  • RALord 可能與 RAWorld 或其他已建立的勒索軟體團隊有關聯,但目前無確鑿證據證明。

背景分析

勒索軟體團隊通常利用 DLS 來增加對受害者的壓力,典型模式包含:

  1. 初步威脅:在 DLS 上公開受害者名稱,聲稱已成功入侵。
  2. 證據展示:若受害者未支付贖金,攻擊者可能上傳內部檔案結構截圖、個資樣本或其他敏感文件,以證明持有機密數據。
  3. 倒數計時:設置期限,威脅若受害者不付款,將公開或出售全部數據。

RALord DLS 詳細分析

RALord DLS 於 2025 年 3 月下旬上線,支援俄文與英文,網站包含多個核心區塊:

  • 主頁:列出受害者清單。
  • 受害者專頁:顯示企業名稱、業務類別、被盜數據類型,部分受害者頁面還附有數據樣本。
  • 倒數計時器:顯示資料公開或出售的時間點。
  • 聯絡方式:提供 Tox 和 Session ID 以利匿名聯繫。
  • RaaS 服務:詳細介紹聯盟計畫、數據仲介與廣告機制。
  • 支付指南:支援 BTC、XMR、LTC 等加密貨幣交易,甚至接受部分銀行轉帳,並提供仲介機制(Escrow)降低交易風險。

RaaS 計畫與加密服務

RALord 聲稱其開發的勒索軟體具備「反偵測」能力,攻擊者可單次支付 €200 獲取使用權,若成功勒索贖金,RALord 會抽取 10% 分成。此外,將受害者資訊發佈至 RALord DLS 需額外支付 €20。

該團隊亦提供 RaaS 計畫,利潤分成為 85:15,聯盟成員負責滲透,而 RALord 則負責執行加密攻擊。與 Anubis(80:20)或 RansomHub(90:10)相比,RALord 提供較高的分成比例,吸引更多聯盟成員參與。

此外,RALord 積極尋求 初始存取經紀人(IABs 合作,降低技術門檻並提高攻擊效率。

受害者分析

截至 2025 年 3 月底,RALord 已公開以下受害者:

  • 法國:École Centrale de Nantes(工程學校)
  • 阿根廷:Tomio Ingeniería S.A.(工程與工業服務公司)
  • 巴西:IHARA(農業化學產品製造商)
  • 台灣:台式知名連鎖餐飲品牌(首例台灣受害者)

受害者主要分布於南美洲、歐洲與亞洲,顯示 RALord 正在快速拓展其攻擊目標。

額外情報

消息來源顯示,法國資源中心 Sémaphore Mulhouse Sud Alsace 可能亦為受害者,但尚未出現在 RALord DLS,推測該機構仍在與攻擊者談判。

威脅評估

截至 2025 年 3 月底,RALord 已曝光多名受害者,但尚無受害者公開證實攻擊事件。然而,其提供的數據樣本與詳盡資訊,使攻擊活動的真實性較高。

該組織可能與 RAWorld 或其他勒索軟體團隊存在關聯,但目前無明確證據證實。考量其在短短 7 天內曝光 3 名受害者的節奏,RALord 似乎仍在積極運作,未來可能持續擴展影響範圍。

資安專家建議

  1. 企業應加強勒索軟體防禦機制,包括端點防護、定期備份及網路安全監控。
  2. 提高勒索軟體意識培訓,強化內部員工對網路釣魚與社交工程攻擊的認識。
  3. 持續監測暗網活動,掌握新興 RaaS 威脅,以便提前部署防禦策略。

RALord 的出現,進一步印證了勒索軟體威脅的持續進化,且其攻擊範圍已擴展至亞洲市場。企業與機構應密切關注,並採取主動防禦措施,以降低潛在風險。

RAlord的部分入侵指標(Indicator of compromise IOCs):
be15f62d14d1cbe2aecce8396f4c6289

NightSpire 勒索軟體團夥現身 ,成為網路犯罪新威脅,台灣企業亦遭攻擊!

Posted on by blogadmin

概述

NightSpire 是一個以財務利益為動機的網路威脅組織,針對多個產業的企業進行攻擊。該組織最初專注於竊取敏感數據並進行勒索或轉售,然而近期的活動顯示,他們已轉向雙重勒索模式,結合數據竊取與勒索軟體加密來最大化對受害者的壓力。這種轉變顯示出該組織的適應能力與不斷成熟的運營策略。

商業模式演變

NightSpire 最近的攻擊顯示,其策略已從純粹的數據勒索轉變為結合勒索軟體加密的混合模式。目前尚不清楚該組織是以封閉模式運營,還是採取勒索軟體即服務(RaaS)的模式,允許成員加盟攻擊並共享利潤。

根據暗網活動的證據,NightSpire 可能正試圖擴展規模。2025 年 3 月 14 日,一名代號為「xdragon128」的威脅行為者在 BreachForum 上發佈招聘訊息,尋找談判專家,並提供 20% 的利潤分成。這可能表明該組織正在強化其勒索談判策略。然而,目前尚無證據顯示 NightSpire 正在尋找新的加盟者來執行攻擊,如典型的 RaaS 模式那樣。

該組織運營著一個暗網洩露網站,於 2025 年 3 月 12 首次被發現。他們利用該網站公開受害者資訊,並威脅完全洩露數據,以強迫受害者支付贖金。

目標選擇(受害者分析)

自 2025 年 3 月以來,NightSpire 已聲稱對至少 11 家企業發動攻擊。其中,36% 的攻擊針對製造業。然而,其攻擊模式顯示,目標選擇具有一定的隨機性,並非專注於特定產業。

值得關注的是,受害企業中有 73% 為中小型企業(SME),即員工人數少於 1,000 人。這可能與中小企業普遍較為薄弱的網路安全防禦有關,使其成為較易受攻擊的目標。此外,根據暗網洩露的數據,已有兩家台灣企業遭受 NightSpire 攻擊並被列入其名單。

攻擊戰術、技術與程序(TTPs

初始入侵

NightSpire 主要利用外部邊界設備的漏洞進行攻擊,例如 防火牆虛擬私人網路(VPN。該組織曾利用 CVE-2024-55591,這是一個 FortiOS 的零日漏洞,允許未授權攻擊者獲取 Fortigate 防火牆設備的超級管理員權限,無需提供合法憑據。攻擊者利用此漏洞後,可以更改設備配置,建立持久訪問,並進一步橫向移動至受害者內部網路。

數據竊取

NightSpire 在攻擊中使用合法的檔案傳輸工具,例如 WinSCPMEGACmd,以進行數據外傳。這些工具可幫助攻擊者隱藏惡意活動,讓數據流量看起來與正常業務操作無異,從而規避檢測。

規避防禦

該組織運用 外部工具「本地二進位執行技術(LOLBins)」,即利用受害者系統內原生工具進行惡意操作。例如:

  • 網路掃描器 用於偵察內部環境。
  • 內建 FTP 客戶端 用於數據外傳。
  • PowerShell 腳本 執行攻擊指令,避免觸發傳統安全防禦機制。

勒索策略與贖金要求

NightSpire 採取高度侵略性的勒索策略,包括:

  • 勒索網站施壓:迅速將受害者資訊公佈在其暗網洩露網站上。
  • 極短的付款期限:受害者收到勒索信後,可能僅有 兩天 內付款。
  • 針對性騷擾:該組織曾直接向受害企業員工發送勒索郵件,施加額外壓力。
  • 公開羞辱不付款者:其網站上的 We Say 版塊列出了未支付贖金的受害者,並發布受害企業名稱、數據洩露公告,甚至提供免費下載連結。

然而,NightSpire 在數據洩露策略上的不一致性,表明該組織缺乏標準化的運營模式,仍處於發展階段。

網路安全專家觀點與應對策略

1. 應對不可預測的攻擊者

NightSpire 的行為模式符合典型的新興勒索軟體組織——策略多變、運營不成熟、攻擊方式不可預測。與高度專業化的勒索組織相比,他們可能不按照傳統模式行動,使事件應對變得更加複雜。因此,資安團隊需要保持靈活性,結合傳統勒索談判策略與應對不規則行為的方案。

2. 強化威脅情報應用

威脅情報(Threat Intelligence, TI)在以下方面發揮關鍵作用:

  • 識別攻擊指標(IOCs,提前發現潛在攻擊。
  • 分析攻擊者策略,提高檢測與防禦能力。
  • 加速事件應對,有效縮短調查與復原時間。

企業應將情報驅動的 IOCs 整合至 安全資訊與事件管理(SIEM端點偵測與回應(EDR 工具中,以主動攔截與抑制 威脅。

3. 從歷史案例汲取經驗

雖然 NightSpire 尚處於成長階段,但過去勒索軟體攻擊經驗可提供寶貴的應對指導:

  • 定期備份:維護 離線與不可變更備份,確保數據可恢復。
  • 漏洞管理:CVE-2024-55591 的被利用再次證明即時漏洞修補的重要性
  • 強化端點防護:採用 行為式偵測技術,防範 LOLBins 技巧與橫向移動攻擊。

結論

NightSpire 是一個快速演變的勒索軟體威脅,其技術能力與勒索策略日趨成熟。企業應採取 多層次防禦策略,包括 持續監控、完善事件應對計劃、威脅情報導向的防禦措施,以有效降低攻擊風險並提升整體資安韌性。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9
f749efde8f9de6a643a57a5b605bd4e7

CrazyHunter再掀攻擊風暴:台灣上市健身器材大廠遭駭,3TB數據恐外洩 勒索高達 250 萬美元

Posted on by blogadmin

近期,駭客組織 CrazyHunter 再次對台灣企業發動勒索軟體攻擊,受害者為知名上市健身器材製造商。駭客聲稱已成功加密該企業 10 台網域控制站(Domain Controller)及內部系統,並進一步刪除 NAS、VMware、Veeam 等備份數據。此外,攻擊者還竊取了 3TB 機密數據,包括檔案伺服器資料、CRM、BPM、SAP 系統資訊,以及高達 30 萬份的製造設計圖(sidprt、sidasm、dwg)與客戶資料,並威脅若未支付贖金,將公開這些敏感資訊。

這次攻擊事件再次凸顯台灣企業在面對勒索軟體威脅時的脆弱性,尤其是駭客不僅加密關鍵系統,還刪除備份,使企業難以透過傳統復原機制快速恢復業務。為應對此類攻擊,資安專家建議企業應導入欺敵誘捕技術(Deception Technology,以主動方式攔截駭客行為,降低攻擊風險。

駭客攻擊手法解析:CrazyHunter 如何滲透企業網路?

勒索軟體攻擊通常分為四個主要階段,而 CrazyHunter 以其高效且隱匿的技術,使攻擊更具威脅性。

1. 滲透(Initial Access)

攻擊者透過以下方式獲取初始存取權限:

  • 釣魚攻擊(Phishing):發送帶有惡意附件的電子郵件,或建立偽造登入頁面誘騙受害者輸入憑證,藉此竊取帳號密碼。
  • 漏洞利用(Exploiting Vulnerabilities):針對 VPN、RDP、伺服器未修補的漏洞 發動攻擊,直接入侵企業網路。
  • 合法驅動程式濫用(Bring Your Own Vulnerable Driver, BYOVD):攜帶合法但存在漏洞的驅動程式(如 Zemana AntiMalware 的 zam64.sys),繞過端點防護機制(EDR),取得系統控制權限。

2. 橫向移動與權限提升(Lateral Movement & Privilege Escalation)

獲取初始存取權限後,攻擊者利用 橫向移動(Lateral Movement) 進一步控制企業網路:

  • 帳號與憑證竊取:使用 Mimikatz 竊取高權限帳戶(如 Domain Admin),取得企業內部更深層的存取權限。
  • 濫用 AD GPO(Group Policy Objects):利用 SharpGPOAbuse 操控 Active Directory(AD) 群組原則,快速散佈惡意軟體至企業內部所有受控設備。

3. 加密與資料竊取(Encryption & Data Exfiltration)

攻擊者在成功滲透企業內部網路後,展開雙重勒索策略:

  • 數據外傳:使用 FTP、Tor、MEGA 等管道將機密數據外傳,作為額外施壓手段。
  • 勒索軟體加密:攻擊者在所有內部系統執行加密,並刪除 快照與備份,確保受害企業無法自行恢復資料。
  • 數據毀滅:部分情境下,攻擊者還會利用 多重覆寫技術 來徹底銷毀數據,進一步迫使受害企業支付贖金。

4. 勒索與威脅(Extortion)

當攻擊完成後,駭客向企業發出贖金要求:

  • 雙重勒索:若受害者拒絕支付贖金,攻擊者將公開或出售機密數據,施加更大壓力。
  • 公開威脅:攻擊者可能在暗網或社群媒體上公開企業受害證據,損害品牌聲譽,進一步施壓支付贖金。

CrazyHunter 的攻擊特點

  • 高隱匿性攻擊技術:結合 零日漏洞(Zero-day)、已知漏洞(N-day)及無檔案攻擊(Fileless Attack),繞過傳統防禦機制。
  • 快速散佈與自動化攻擊:利用 AD GPO 進行大規模自動化感染,迅速掌控企業內部網路。
  • 極端破壞手法:除了加密數據,還可能執行 多重覆寫,徹底破壞數據,提升勒索談判籌碼。

如何利用欺敵誘捕技術提升資安防禦?

欺敵誘捕技術的核心概念在於部署假目標,引誘駭客進入虛擬陷阱,從而即時監測並攔截惡意行為。

1. 佈署欺敵資產(Deceptive Assets),誘導駭客暴露行為

企業可在內部網路設置高互動誘捕資源,如:

  • 誘捕帳戶(Deceptive Credentials:於 Active Directory 建立假帳號及密碼,讓駭客誤以為已獲得高權限。
  • 假目標伺服器(Decoy Servers:部署虛假的 ERP、CRM、伺服器,誘使駭客攻擊並即時監測行為模式。
  • 誘捕備份系統(Decoy Backup Repositories:模擬備份環境,當駭客嘗試刪除時,觸發警報並記錄行為軌跡。

2. 透過行為分析(Behavior Analytics)提升威脅偵測能力

欺敵誘捕技術可與威脅偵測系統(Threat Detection)整合,當駭客試圖存取誘捕資源時,企業可即時:

  • 發出警報(Real-Time Alerting,快速應對潛在攻擊。
  • 分析駭客手法(Threat Intelligence,調整防禦策略。
  • 收集 TTPs(Tactics, Techniques, Procedures,優化資安防禦措施。

3. 配合威脅獵捕(Threat Hunting),主動攔截攻擊

透過欺敵誘捕技術結合威脅獵捕(Threat Hunting,企業能夠主動搜尋網路內部異常行為,確保攻擊在初期即被發現並阻斷。

結論:以主動防禦策略對抗勒索軟體攻擊

健身器材大廠遭 CrazyHunter 駭客攻擊的事件,再次證明企業若僅依賴傳統資安防禦(如防火牆、端點防護)已無法有效抵禦現代勒索攻擊。為降低風險,企業應導入欺敵誘捕技術、行為分析與威脅獵捕機制,建立主動式資安防禦體系。

在未來的資安戰場上,企業不應再只是被動應對攻擊,而是應轉變思維,透過誘捕技術讓駭客成為獵物,確保自身資安防禦能力不斷提升,以有效降低勒索軟體攻擊的影響。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”