資安新聞、DDOS 攻擊
最近,多家台灣企業和政府機構遭受大規模的網路攻擊,包括青雲科技、世芯電子、大眾電腦、台塑等公司,以及政府單位如主計總處和櫃買中心。這次攻擊是親俄駭客組織 NoName057 所為,他們宣稱攻擊超過30個目標,並試圖癱瘓網站運作。
這次攻擊主要採用了 分散式拒絕服務攻擊(DDoS攻擊) 的方式。駭客透過大量被控制的設備,對目標網站發送海量請求,造成伺服器負載過高,無法正常回應使用者。這種攻擊不需要
入侵系統本身,但會癱瘓網站,使服務中斷。
攻擊方式
NoName057 使用的 DDoS 攻擊方式可能包括:
殭屍網路:駭客控制大量受感染的設備,同時發動攻擊。
目標範圍廣:攻擊對象涵蓋政府機構、企業及公共平台,意圖引發最大干擾。
短時間高流量:在短時間內集中流量,迅速癱瘓系統。
建議
為了避免遭受 DDoS攻擊,企業和政府機構可以採取以下措施:
啟用專業的 DDoS 防護服務
使用雲端或專門的防禦系統(例如CDN服務),過濾惡意流量並分散攻擊壓力。
設定流量限制和監控
配置流量閾值,及時偵測異常流量並啟動應對機制。
實施訪問控制
限制可疑 IP 或區域的訪問,阻擋來源異常的流量。
建立應急計劃
制定完整的應對流程,包括流量重導和服務快速恢復,降低攻擊影響。
資料來源:
資安漏洞
Ivanti Connect Secure VPN設備存在兩個堆疊溢出漏洞(CVE-2025-0282 和 CVE-2025-0283),其中 CVE-2025-0282 已被攻擊者濫用,導致未經身份驗證的遠程程式碼執行,根據資安公司Mandiant最新調查報告顯示,一個疑似中國政府支持的駭客組織正在利用此一漏洞進行網路間諜活動。已知攻擊者利用多種惡意程式,這些惡意程式的使用模式與去年12月利用CVE-2023-46805和CVE-2024-21887漏洞的UNC5221駭客組織活動高度相似。
漏洞 CVE-2025-0282 造成的影響
遠端控制:
攻擊者可以執行任意程式,導致網路系統癱瘓或被利用作其他攻擊的跳板。
資料外洩:
敏感資訊可能被竊取,包括用戶憑證和企業資料。
業務中斷:
影響企業日常運作,造成經濟損失和信譽損害。
進一步擴散:
攻擊者可能透過受控系統攻擊其他網路資源。
利用惡意程式
SPAWN系列惡意程式:包含SPAWNANT安裝程式、SPAWNMOLE通道工具、SPAWNSNAIL SSH後門和SPAWNSLOTH日誌竄改工具
DRYHOOK:一個憑證竊取工具
PHASEJAM:一個網頁後門部署工具
建議
立即更新:
將設備升級到 v22.7R2.5版本或更高,修復已知漏洞。
完整性檢查:
使用 Ivanti 提供的工具檢查設備是否受到影響,確認是否有不正常的檔案或設定變更。
限制存取:
限制 VPN 設備的管理介面只允許可信任的IP地址訪問。
資料來源:
資安漏洞、殭屍網路
駭客針對電商網站下手,從中竊取買家的交易資料屢見不鮮,但如今攻擊手法出現變化,而能進一步突破相關防護機制,此一利用WordPress的外掛PhishWP就是一種「藉由合法來做非法」的新手法。
攻擊方式
植入惡意插件:駭客透過漏洞或弱密碼攻破 WordPress 網站,植入 PhishWP 插件。
生成偽造付款頁面:PhishWP 會在網站上設置假的付款頁面,設計得和合法頁面非常相似,用來騙取用戶的信任。
收集敏感資訊:當用戶在假頁面上輸入信用卡號、有效日期、CVV 碼,以及其他個人資訊時,這些資料會被插件捕捉。
繞過 3-D 安全驗證:PhishWP 還能攔截並竊取用戶的動態密碼(OTP),讓攻擊看起來像是正常的合法交易。
即時傳送數據:所有竊取的資訊會通過 Telegram 頻道即時發送給駭客,讓他們能快速利用這些資料進行詐騙或非法交易。
建議
加強網站安全:
定期更新 WordPress 核心、主題和插件,避免使用未經驗證的插件。
設置強密碼並啟用雙重身份驗證(2FA)來保護網站管理員帳號。
使用安全防火牆插件(如 Wordfence)監控可疑行為。
檢查網站完整性:
定期掃描網站是否存在惡意插件或不明檔案。
實施文件更改監控,確保未經授權的變動能被及時發現。
加密付款資訊:
使用 HTTPS 確保用戶的付款資訊在傳輸過程中加密。
僅採用經過驗證的付款服務提供商,避免直接處理信用卡資訊。
資料來源:
資安事件、惡意軟體
[1月9日] 警惕! OAST 機制成駭客新手段,惡意套件攻擊防不勝防
又有利用資安工具進行攻擊的情況出現,駭客利用一種稱為 OAST 的新興網頁應用程式資安檢測機制「界外應用程式安全測試 (Out-of-Band Application Security Testing,OAST)」來散播惡意軟體的新方法,將原本用於網頁應用程式找出弱點的機制從事非法濫用。過往比較有名的案例為滲透測試工具 Cobalt Strike 及 紅隊演練工具 EDRSilencer 的事故。
此次 OAST 的案例則是將惡意程式碼隱藏在軟體包管理平台(如 NPM、PyPI 和 RubyGems)中的軟體包裡,並透過看似正常的 DNS 查詢,偷偷將敏感資料傳送到自己的伺服器,藉此能隱密地從事攻擊行動而難以察覺。
攻擊方式
植入惡意程式碼:
將惡意程式碼嵌入 NPM、PyPI 和 RubyGems 等軟體包管理平台的合法軟體包中。
資料竊取與傳送:
利用 OAST 工具產生的 DNS 查詢,將用戶的敏感資料(如登入憑證、API 金鑰等)傳送到攻擊者伺服器。
建立 C2 通道:
使用看似正常的網路流量建立指揮與控制(C2)通道,讓駭客可以進一步操作受害系統。
多階段攻擊:
惡意程式碼可能觸發後續行動,如下載其他惡意軟體或展開更大規模的攻擊。
規避檢測:
透過混淆程式碼、使用高版本號等方式,讓惡意軟體看起來像是安全更新,並藉助正常的 DNS 流量來避開入侵偵測系統。
建議
資安業者Socket過去一年發現一種新型態的惡意JavaScript、Python、Ruby套件,其共通點就是濫用oastify.com、oast.fun等OAST檢測服務。對此提供建議:
選擇可信軟體來源:
僅從官方或受信任的來源下載軟體包,避免安裝來自不明開發者的程式。
審核開源程式碼:
對於開源軟體,檢查其程式碼是否存在混淆或惡意邏輯,並查閱使用者評論或社群回饋。
加強監控與防禦:
部署 DNS 安全監控工具,並配置入侵偵測系統(IDS)來檢查異常流量。
資料來源:
資安事件、惡意軟體
日本警方公佈了一份調查報告,揭露了中國駭客組織MirrorFace(又稱Earth Kasha)從2019年以來針對日本的多次網路攻擊。這些攻擊多達200次,目標是竊取日本在國家安全和先進技術方面的機密資訊。
他們怎麼進行攻擊?
MirrorFace的攻擊分成三個階段:
使用惡意軟體:他們利用名為LodeInfo和Anel的病毒感染電腦,竊取資料。
攻擊系統漏洞:透過已知的系統安全問題(如CVE-2023-28461漏洞),侵入企業或機構的網路。
釣魚郵件:用假的電子郵件欺騙受害者點擊惡意連結或下載附件,進而取得控制權。
建議
日本警方在報告中提出了一些防範措施:
更新軟體:確保所有系統都安裝最新的安全更新。
提高警覺:謹慎處理不明的郵件或連結,尤其是含有附件的郵件。
加強網路安全:企業和機構應定期檢查網路環境,防止漏洞被利用。
資料來源:
Comentários