【資安日報】3月30日,FBI局長私人電子郵件信箱遭伊朗駭客滲透
3月初伊朗駭客Handala(又稱為Handala Hack Team、Hatef、Hamsa)以美國突襲軍事行動導致伊朗學生死亡為由,攻擊美國醫療科技公司Stryker,抹除近8萬臺員工裝置的資料,後續美國聯邦調查局(FBI)查封該組織使用的網站,現在傳出這些駭客將矛頭轉向FBI。
根據路透社的報導,3月27日Handala聲稱成功入侵FBI局長Kash Patel的私人Gmail帳號,並公布部分的照片與文件檔案。FBI證實確有此事,並表示他們已採取所有必要措施來降低潛在風險,並強調駭客竊得的資料未涉及政府資訊,而且本質上都是舊資料。
歐盟於3月24日遭遇網路攻擊事件,影響代管在第三方雲端基礎架構的Europa.eu網站。歐盟察覺後立刻控制了攻擊行動,並採取措施保護服務和資料的安全,且未影響歐盟網站的營運,根據初步調查的結果,部分網站遭到竊取。目前歐盟還在持續調查完整災情,並通知受影響實體。
上述的資安事故公告,源自資安新聞網站Bleeping Computer的報導,有駭客組織宣稱藉由歐盟的AWS數個帳號,竊取350 GB資料,他們表示沒有向歐盟勒索贖金的打算,而是計畫日後在網路上公開。
荷蘭國家警察局(Politie)於3月26日發布公告,證實其內部系統因釣魚攻擊而遭到入侵,目前評估影響範圍有限,且未涉及民眾資料或偵查資訊外洩。
Politie當時表示,此次攻擊後續被其安全營運中心(SOC)快速偵測並即時阻擋,目前攻擊者對受影響系統的存取權限已遭切斷,並同步展開內部調查與刑事調查。雖然Politie強調民眾資料與偵查資料未遭到外洩,不過,他們並未透露攻擊發生的具體時間、受影響系統範圍,以及是否有帳號憑證遭竊。
駭客TeamPCP對PyPI套件Telnyx發動供應鏈攻擊,透過WAV檔挾帶惡意軟體
3月下旬駭客組織TeamPCP(也被稱做PCPcat、ShellForce、CipherForce)鎖定開發生態圈接連發動供應鏈攻擊,迄今已滲透GitHub Actions、Docker Hub、NPM儲存庫、Open VSX,以及PyPI等5大生態系統,上週他們入侵Python套件LiteLLM,後續又有套件受害。
多家資安公司Aikido、Endor Labs、JFrog、Ossprey Security、OX Security、SafeDep、Socket,以及StepSecurity,針對TeamPCP最新一波攻擊行動提出警告,這些駭客於3月27日攻擊名為Telnyx的PyPI套件,上架有問題的4.87.1與4.87.2版,若是開發人員下載及安裝,開發環境就可能被植入後門或竊資軟體。
俄羅斯駭客TA446透過網釣散布iOS漏洞利用套件DarkSword
威脅情資平臺Malfors於3月27日警告,有人冒充美國智庫大西洋理事會(Atlantic Council)寄送釣魚信,聲稱想邀請收件人參加與歐洲區域安全有關的閉門會議,然而實際上,寄件人真正的目的,是透過DarkSword套件發動遠端程式碼執行(RCE)攻擊,於受害裝置植入惡意軟體GhostBlade。雖然Malfors尚未掌握攻擊者身分,但根據戰術、手法、流程(TTP),他們認為可能是俄羅斯國家級駭客所為。
資安公司Proofpoint後續指出,攻擊者就是隸屬俄羅斯聯邦安全局(FSB)第18處的國家級駭客組織TA446。Proofpoint強調,這些駭客過往未曾將蘋果裝置或iCloud帳號當作目標,這次該組織取得外流的DarkSword,將攻擊範圍延伸到iOS行動裝置。
Citrix NetScaler設備的重大漏洞出現積極偵察活動
3月23日Citrix發布資安公告,修補NetScaler的兩個資安漏洞,其中被評為重大等級的CVE-2026-3055,特別引起外界關注,如今傳出有人嘗試利用的跡象。威脅情報公司watchTowr與Defused Cyber為此提出警告,因為,他們發現有人正在探測存在CVE-2026-3055的NetScaler設備,呼籲IT人員要儘速套用Citrix提供的更新程式因應。
Defused Cyber進一步提到,攻擊者試圖探測/cgi/GetAuthMethods,找出存在身分驗證弱點的系統,根據對方針對的目標,他們認為與CVE-2026-3055有關,並提及此漏洞主要影響的範圍,就是設置為身分驗證提供者(IDP)的NetScaler設備。
CISA警告Langflow重大漏洞已被用於攻擊,要求盡速修補
美國網路安全暨基礎設施安全局(CISA)近日警告,3月中旬揭露的重大漏洞CVE-2026-33017已被實際利用。這意味著,未修補此弱點的開源大型語言模型開發工具Langflow安全風險大增,CISA將其納入已知遭利用漏洞清單(KEV),要求各機構儘速修補。
開發工程團隊在3月17日發布資安公告,揭露遠端程式碼執行(RCE)漏洞CVE-2026-33017,CVSS風險評為9.3分,問題出在特定端點允許任何人在未經身分驗證的狀態下,建立公開的工作流程,可能導致攻擊者遠端執行任意程式碼,以及進一步竊取資料、植入後門或橫向移動。這個漏洞會影響1.8.1以前版本,開發團隊已發布1.9.0版修補。
Speagle惡意程式挾持Cobra DocGuard,利用合法平臺掩護竊取用戶資料
資安公司Symantec與Carbon Black的研究人員,近日揭露新型惡意程式Speagle,這項威脅鎖定使用Cobra DocGuard文件保護軟體的用戶,利用該軟體既有功能與基礎設施竊取敏感資料。
Cobra DocGuard是文件安全與加密平臺,由中國軟體廠商EsafeNet開發,研究人員指出,當Speagle感染受害電腦後,會利用Cobra DocGuard軟體分階段從這些電腦收集資料,將其傳送到已被攻擊者入侵的Cobra DocGuard伺服器,還會將資料外傳過程偽裝成正常通訊流量,並透過Cobra DocGuard驅動程式刪除自身,以增加資安系統偵測異常行為的難度。
臺灣研究人員揭React2Shell漏洞因應另一面,助Vercel解決WAF繞過並獲1,000萬元獎金
臺灣資安業者戴夫寇爾近日舉辦年度研討會,其中一場聚焦解析參與React2Shell相關漏洞獎勵計畫的實務經驗,我們意外得知臺灣研究人員當時也出力幫忙,並獲得獎勵。
由於當時React2Shell報導多聚焦攻擊事件揭露,防禦層面的動向較少被注意到,這次戴夫寇爾研討會上恰巧談及這方面的處理狀況,剖析了React伺服器端元件的運作原理,React2Shell漏洞的觸發利用手法,並且詳細公開其通報WAF繞過手法的實戰經驗,特別是雲端業者Vercel為應對React2Shell漏洞緊急舉辦Vercel平臺保護的漏洞獎勵計畫,臺灣研究人員更從中獲得30萬美元獎金。
4款IP KVM存在4.2至9.8分漏洞,未經身分驗證的攻擊者恐取得root權限
資安公司Eclypsium的研究人員揭露,多款低價IP KVM設備(Keyboard/Video/Mouse over IP)的韌體存在漏洞,合計有9個,影響GL‑iNet Comet RM‑1、Angeet/Yeeso ES3、Sipeed NanoKVM及JetKVM等4家廠商的產品。
當中最嚴重的,是存在Angeet/Yeeso ES3 KVM產品的身分驗證漏洞CVE-2026-32297(CVSS評分9.8),以及作業系統命令注入漏洞CVE-2026-32298(CVSS評分8.8),兩者都可能導致任意程式碼執行。
TP-Link修補家用路由器產品非授權存取、指令注入等高風險漏洞
網通設備廠商TP-Link本週發布安全更新,修補家用路由器Archer系列部分機種的非授權存取、指令注入等4項高風險漏洞。
其中CVE-2025-15517(CVSS風險值8.6)為HTTP伺服器端點的授權繞過漏洞,它是出於HTTP Server欠缺對某些特定CGI端點的驗證檢查,使通過驗證且具有帳號的使用者,得以執行未經驗證的存取行為,例如攻擊者可以執行較高權限的HTTP行為,例如上傳韌體或配置操作。CVE-2026-15518和CVE-2026-15519為指令注入漏洞,分別位於無線控制CLI路徑,以及數據機管理CLI路徑。
不織布廠南六(6504)於3月29日發布重大訊息公告,該公司近期發現資訊系統疑似遭勒索軟體攻擊,已啟動相關資安應變機制並展開調查。
該事件發生後,南六已立即進行系統隔離、強化防護,以及資料復原,並同步委託外部資安專業機構協助鑑識分析。目前初步評估,此次事件對南六營運或財務無重大影響。
其他資安威脅
◆東南亞金融機構遭入侵,駭客植入後門BrushWorm與鍵盤側錄工具BrushLogger
◆中國駭客Silver Fox以稅務為幌子的攻擊蔓延到日本,針對當地報稅季從事網釣
◆勒索軟體BianLian鎖定委內瑞拉,透過假發票與SVG圖檔進行網釣以迴避偵測
◆以Cloudflare為誘餌的ClickFix網釣針對Mac電腦,目的是散布竊資軟體Infiniti Stealer
近期資安日報
歐盟調查AWS系統遭駭客存取,傳350 GB員工資料外洩
根據Bleeping Computer報導,一個駭客組織宣稱入侵歐盟的AWS帳號並竊取其內部資料
www.ithome.com.tw
Comments (0)