VMware ESXi零時差漏洞的早期利用
中國駭客對VMware ESXi的零時差漏洞的濫用行動可以追溯到2024年。2025年12月,資安公司Huntress偵測到中國駭客利用多個ESXi漏洞(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226),這些漏洞的CVSS風險值分別為9.3、8.2和7.1。這些攻擊行動顯示出駭客在2024年初就已經開發並使用了漏洞利用工具。
複雜的入侵過程
Huntress的分析顯示,攻擊者的行動路徑相當複雜。他們首先入侵受害企業的網路環境,接著利用竊取的網域管理員憑證進行橫向移動,最後鎖定VMware虛擬化平臺。攻擊工具套件的分析顯示,這些工具可能早在2024年初就已經開發完成,並針對ESXi 8.0 Update 3版本。
漏洞影響範圍
Huntress指出,攻擊者的工具包支援155種ESXi版本,涵蓋5.1至8.0版,這意味著若企業仍然使用已終止支援的版本,將更容易成為攻擊目標。企業應監控ESXi主機的異常活動,以防止類似攻擊的發生。
CrazyHunter勒索攻擊的備用策略
2025年初,勒索軟體組織CrazyHunter攻擊了馬偕醫院、彰化基督教醫院等多家機構。刑事警察局在4月揭露其主嫌為中國籍駭客。該組織已知使用Go語言開發勒索軟體,主要針對Windows電腦,尤其是臺灣的醫療保健產業。
攻擊手法與備用工具
資安公司Trellix指出,攻擊者通常利用企業的AD基礎設施漏洞進行初始入侵,並擴散惡意軟體。攻擊流程中,若主工具無法成功運作,他們設計了備用工具來確保加密行動的成功。
APT組織UAT-7290對電信業的威脅
Cisco Talos揭露,中國背景的APT組織UAT-7290鎖定南亞及東南歐的電信業者。該組織利用邊緣網路設備漏洞進行初始入侵,並設置中繼節點(ORB)以隱匿來源。
技術偵察與攻擊手法
UAT-7290在發動攻擊前,會對目標進行深入的技術偵察,然後結合一日漏洞的濫用程式碼及SSH暴力破解手法,入侵邊緣網路設備以提升系統權限。
惡意NPM套件攻擊n8n用戶
資安公司Endor Labs發現攻擊者試圖利用惡意NPM套件攻擊n8n用戶,竊取Google Ads憑證。這些套件偽裝成n8n社群節點,誘導用戶輸入憑證資料並將其傳送給攻擊者。
攻擊影響
n8n允許用戶連結多種服務並儲存大量API金鑰和OAuth憑證,這使其成為駭客眼中的理想目標。
BreachForums用戶資料外流事件
資安公司Resecurity指出,駭客論壇BreachForums的用戶資料庫外流,共32.4萬筆帳號資料被曝光。此外,管理員的PGP私鑰密語也被洩露,可能與網站CMS或伺服器配置不當有關。
Everest駭客組織入侵日產
親俄駭客組織Everest宣稱入侵日產,取得900 GB的內部資料,並要求贖金。該組織近期活動猖獗,曾入侵多家知名企業。
CrowdStrike併購SGNL,提升身分安全
CrowdStrike宣布併購SGNL,擴展其身分安全解決方案。此舉將加強Falcon新一代身分安全,提供即時、短暫的授權,降低橫向移動與長期潛伏風險。
臺灣企業加入FIRST資安應變組織
2025年,臺灣的合勤、104、元大證券等6家企業加入FIRST國際資安應變組織,顯示出對國際資安協作的重視。