2025/3/31 -2025/4/4 資安一週大事

惡意軟件、語音釣魚

[3月31日] 駭客攻擊手法轉變：七成九不再依賴惡意軟件，語音釣魚攻擊暴增442%

2024年，駭客攻擊方式正在改變。根據資安公司 CrowdStrike 的報告，近八成的網路入侵不再使用傳統的惡意軟體，而是透過 竊取帳號密碼 和 社交工程 來入侵系統。

駭客的入侵速度也變快，現在平均 48 分鐘 就能突破防線。此外，語音詐騙（電話網路釣魚） 攻擊在下半年暴增 442%，成為主要的詐騙手段之一。

🚨 攻擊趨勢

1. 攻擊方式的轉變

• 惡意程式的使用減少：過去，駭客主要依賴惡意程式（如病毒和木馬）來入侵系統，但現在有近80%的攻擊不再使用這些程式。這意味著駭客更傾向於使用其他方法，如竊取身份證明、利用合法軟體的漏洞或進行社交工程攻擊。

2. 攻擊速度加快

• 入侵時間縮短：駭客成功入侵系統的平均時間已縮短至48分鐘，這比2023年的62分鐘快了很多。這顯示出駭客的攻擊效率在提升，甚至有些攻擊在51秒內就能成功。

3. 語音網路釣魚攻擊的增加

• Vishing攻擊激增：語音網路釣魚（Vishing）攻擊在2024年下半年增加了442%。駭客會假裝成IT支援人員，通過電話說服受害者下載惡意程式或提供敏感信息。

4. AI技術的利用

• 駭客使用AI工具：駭客開始利用大型語言模型（LLM）來生成更具欺騙性的網路釣魚訊息，這些訊息的點擊率高達54%，遠超過人類撰寫的12%。這使得駭客能夠更有效地進行攻擊。

5. 來自中國的攻擊增加

• 中國駭客活動上升：來自中國的攻擊行動增加了150%，特別是針對金融、媒體和製造業等關鍵領域的攻擊增長超過200%。

🛡 建議

1. 強化憑證安全，防止帳號被盜

79% 的攻擊不再依賴惡意程式，而是透過竊取帳號密碼來入侵系統，因此：

• 啟用多因素驗證（MFA）：確保即使密碼被盜，駭客仍無法輕易登入。

• 使用密碼管理工具：避免使用重複密碼，提高密碼複雜度。

• 定期檢查帳號是否外洩（例如透過 Have I Been Pwned 這類網站）。

2. 提高對社交工程攻擊（Vishing）的警覺

Vishing（語音網路釣魚）攻擊比去年增加 442%，駭客透過 AI 模擬語音，誘騙受害者：

• 遇到可疑來電，不要提供敏感資訊（例如 OTP、密碼、銀行資料）。

• 注意 AI 生成的假語音：現在 AI 可以模仿公司主管、銀行客服等，需特別警惕。

• 使用回撥方式確認身份：如果來電者要求更改付款資訊或密碼，先掛斷，然後直接撥打官方電話核實。

3. 企業需加強零信任架構（Zero Trust）

駭客滲透系統後，平均 48 分鐘內 就能橫向移動並攻擊更多資產，因此：

• 採用「零信任」模式，限制內部員工的存取權限，避免單一帳號被駭後影響整個系統。

• 即時監測異常登入與可疑行為，透過 AI 偵測異常存取模式。

• 針對高風險帳戶（如管理者帳號）設置額外的安全驗證機制。

資料來源：

https://www.ithome.com.tw/news/167620

Resurge、Ivanti

[4月1日] 惡意軟體 RESURGE 針對 Ivanti Connect Secure 設備

美國網路安全暨基礎設施安全局（CISA）發現了名為 RESURGE 的惡意軟體變種，這種惡意軟體專門針對 Ivanti Connect Secure VPN 設備進行攻擊。

🚨 攻擊原因

攻擊者之所以針對 Ivanti Connect Secure VPN 設備，主要有以下幾個原因：

1. 它們是企業和政府機構的關鍵基礎設施

• Ivanti Connect Secure VPN 主要用於 企業、政府機構和大型組織，允許員工透過 VPN（虛擬私人網路） 安全地遠端存取內部系統。

• 一旦這些 VPN 設備被攻擊者入侵，他們就能 進入內部網路，竊取敏感數據，甚至發動更進一步的攻擊。

2. VPN 設備通常暴露在網際網路上

• 這類 VPN 設備 必須連接到網際網路，才能讓遠端員工存取內部系統。

• 這使得攻擊者更容易發現並嘗試入侵，無需透過其他內部裝置進行滲透。

3. 過去已發現多個嚴重漏洞

• Ivanti 產品過去曾多次被發現存在 零日漏洞（Zero-day vulnerabilities），即尚未修補的安全缺陷，例如這次的 CVE-2025-0282。

• 攻擊者經常針對這類設備尋找 未修補的漏洞，以進行 未經授權的存取、植入惡意軟體或建立後門。

⚠️ 攻擊影響

1. 企業與政府內部網路遭入侵

攻擊者一旦成功入侵 VPN 設備，可能會：

• 繞過身份驗證，以合法使用者的身份進入企業內部網路。

• 竊取機密資訊，例如財務數據、商業機密、員工與客戶資料等。

• 對於金融機構、政府機構、醫療單位等高敏感性組織特別危險。

2. 勒索軟體攻擊

• 一旦駭客取得企業網路的存取權限，他們可能會安裝 勒索軟體，加密企業的關鍵數據並要求贖金。

• 此外，攻擊者可能會在暗網上公開洩露資料，以進一步威脅受害者支付贖金。

3. 供應鏈攻擊（Supply Chain Attack）

• 如果一家公司遭到駭客入侵，駭客可能會利用其 VPN 設備作為跳板，攻擊合作夥伴、供應商或客戶的系統。

• 這種攻擊方式曾經發生在 SolarWinds 供應鏈攻擊 事件中，駭客透過一個受感染的供應商，入侵了美國政府和多家企業的網路。

🛡 如何防範

CISA 建議所有使用 Ivanti Connect Secure VPN 的組織立即採取以下措施：

1. 恢復原廠設定：即使未發現被入侵的證據，也應對所有設備進行原廠重置，以確保系統乾淨。

2. 更新系統：安裝最新的安全更新和修補程式，以修復已知的漏洞。

3. 監控異常活動：定期檢查設備的日誌和行為，尋找可疑的活動跡象。

資料來源：

https://www.helpnetsecurity.com/2025/03/31/cisa-reveals-new-malware-variant-used-on-compromised-ivanti-connect-secure-devices/

DCRat、Rhadamanthys

[4月2日] 剖析利用 Rhadamanthys 和 XOR 加密的 DCRat 攻擊

攻擊者透過精心設計的電子郵件，誘使收件者下載並執行惡意程式，最終植入名為 DCRat 或 Rhadamanthys 的惡意軟體。

🔹 惡意軟體的功能

• DCRat：一種遠端存取木馬程式，允許攻擊者遠端控制受感染的電腦，執行鍵盤側錄、螢幕截圖、竊取密碼等惡意行為。

• Rhadamanthys：一種資訊竊取程式，專門蒐集受害者的個人資訊，如登入憑證、信用卡資料等，並將這些資訊傳送給攻擊者。

🚨 攻擊流程

1. 欺騙性的電子郵件附件：攻擊者發送主旨為「Citación por embargo de cuenta」（帳戶扣押傳票）的電子郵件，附件是一個 RAR 壓縮檔，旨在引起收件者的好奇心或恐慌，特別是以西班牙語為母語的人士。

2. 執行惡意腳本：當收件者解壓並執行附件中的 Visual Basic Script（VBS）檔案時，該腳本會觸發一系列的惡意活動。

3. 多階段感染過程：VBS 腳本首先執行一個批次檔案（.bat），該批次檔案再啟動一個 PowerShell 腳本。這些腳本的最終目的是下載並執行 DCRat 或 Rhadamanthys 等惡意軟體。

🛡 如何保護自己

• 提高警覺：對於來自未知或可疑來源的電子郵件，特別是包含附件或連結的郵件，應保持高度警惕。

• 避免執行不明檔案：不要輕易打開或執行來歷不明的附件或檔案，特別是壓縮檔或腳本檔案。

• 更新安全軟體：確保電腦上的防毒軟體和作業系統是最新版本，以防範已知的安全漏洞。

• 定期備份資料：定期備份重要資料，以防在遭受攻擊時能夠迅速恢復。

資料來源：

https://www.bleepingcomputer.com/news/security/we-smell-a-dcrat-revealing-a-sophisticated-malware-delivery-chain/

電子收費、網路釣魚

[4月3日] 小心詐騙簡訊！冒充過路費通知要你上當

詐騙者冒充美國的電子道路收費公司，如 SunPass、E-ZPass 和 EZDrive Massachusetts，發送釣魚簡訊，聲稱您有未支付的過路費，並提供連結引導至偽造的網站，企圖竊取您的個人資訊。

🔹 什麼是網路釣魚？

網路釣魚是一種網路詐騙手法，攻擊者偽裝成合法機構，透過電子郵件、簡訊或其他通訊方式，誘使受害者提供敏感資訊，如密碼、信用卡號碼或社會安全號碼。

⚠️ 為何要模仿電子收費公司？

據該公司稱，2025年第一季度被模仿最多的10個品牌當中有三家為電子收費公司SunPass、E-ZPass 和 EZDrive Massachusetts。

詐騙者特別針對電子道路收費系統的用戶可能有幾個原因：

• 大多數人都會上高速公路 很多人日常通勤或出遊都會經過收費路段，因此收到一則「你有未繳過路費」的簡訊時，很容易相信，尤其如果最近真的有上高速公路。

• 利用人們怕「被罰」的心理 簡訊內容常寫：「如果不馬上付款，將收取罰金或額外費用」，讓人急著處理，不會冷靜思考是不是真的有欠費。

這些偽造網站的目的是竊取您的敏感資料，可能導致財務損失或身份盜用。

🛡 如何防範這類詐騙？

• 保持警覺：對於要求提供個人或財務資訊的簡訊或電子郵件，應提高警覺。

• 驗證發件人身份：直接聯繫相關機構，確認是否有未支付的費用，而非點擊簡訊或郵件中的連結。 People.com+10Mass.gov+10New York Post+10

• 檢查網址：在輸入敏感資訊前，確保網站網址正確，避免使用來自郵件或簡訊的連結，建議手動輸入官方網站網址。

• 安裝安全軟體：使用最新的防毒和防間諜軟體，並保持系統更新，以防範已知的安全漏洞。

• 啟用雙重驗證：為重要帳戶啟用雙重驗證，提高帳戶安全性。

資料來源：

https://www.helpnetsecurity.com/2025/04/03/electronic-toll-collection-phishing/

disgrasya、惡意軟體包

[4月4日] 超過 3 萬次下載！'disgrasya' 惡意軟體包利用 WooCommerce 和 CyberSource 進行信用卡驗證

資安專家發現一個名為「disgrasya」的惡意軟體包在 Python 軟體庫（PyPI）上被下載了超過 34,000 次。 這個軟體被用來驗證竊取來的信用卡資訊，可能導致信用卡被盜刷或個人財務損失。

🚨 攻擊流程

1. 駭客先偷信用卡資料

   他們可能是透過資料外洩、暗網購買、或其他駭客手段偷到的卡號、到期日、驗證碼等資訊。

2. 下載惡意工具「disgrasya」

   這個工具是在 Python 開發者常用的網站（PyPI）上看似正常，但實際上是幫助駭客進行非法行為的工具。

3. 連線到 WooCommerce 網店的後台

   WooCommerce 是很多人用來架設網路商店的工具。這個惡意軟體利用它提供的 API（後台資料交換管道），去模擬「有人下單付款」。

4. 大量測試信用卡資訊（Carding）

   駭客用這個工具，自動送出成千上萬筆付款請求來「測試」這些卡號有沒有辦法順利付款：

   • 有用的卡 → 駭客標記為「可用」，接下來可能會拿去購物、盜刷。

   • 無效的卡 → 就丟棄。

5. 成功的卡號拿去變現或交易

   有效的信用卡可能會被：

   • 用來購買商品轉賣

   • 在暗網出售給其他詐騙集團

⚠️ 為什麼這很危險？

這種工具操作起來自動化又快速，只要幾分鐘就能測試幾百甚至上千張卡。這表示：

• 就算你的卡只被偷過一次，駭客也很快就知道能不能用

• 你的信用卡可能在你不知情的情況下被測試過

🛡 如何防範？

1. 定期檢查信用卡帳單：留意是否有未經授權的交易，及早發現異常。

2. 提高網路交易的安全性：在網路購物時，選擇有良好信譽的平台，並確保網站使用安全的支付閘道。

3. 使用強而有力的密碼：為您的網路帳戶設定複雜且獨一無二的密碼，避免被輕易破解。

4. 啟用雙重驗證：增加額外的安全層，防止未經授權的存取。

資料來源：

https://www.bleepingcomputer.com/news/security/carding-tool-abusing-woocommerce-api-downloaded-34k-times-on-pypi/