安全新聞周報20250324~ 0330

 

 

1.新的 VanHelsingRaaS 攻擊 Linux、BSD、ARM 和 ESXi 系統

 

網路犯罪領域出現了一種名為 VanHelsingRaaS 的新型且快速發展的勒索軟體即服務 (RaaS) 操作。威脅於 2025 年 3 月 7 日發起，在不到兩周內三名受害者要求向比特幣錢包支付 50 萬美元的贖金。

 

VanHelsingRaaS 不局限於 Windows，而將目標擴展到多個平臺，包括 Linux、BSD、ARM 和 ESXi 系統。該服務提供了直觀的控制面板，簡化了勒索軟體攻擊，降低了網路犯罪分子的技術門檻。勒索軟體採用了複雜的加密技術，利用代碼中嵌入的 Curve 25519 公鑰。

 

對於每個加密檔，它會生成兩個隨機臨時值（32 位元組和 12 位元組），用作 ChaCha20 演算法加密的密鑰和亂數。加密後，檔將以 .vanhelsing 擴展名重命名，並且每個檔夾中都會放入勒索信。

 

VanHelsingRaaS 的“靜音”模式將惡意軟體的功能分為兩個不同的階段，以逃避檢測系統。在正常運行中， 勒索軟體會枚舉檔夾、識別檔、加密檔，並立即使用 .vanhelsing 擴展名重命名檔。但是，在靜默模式下運行時，它會暫時跳過檔重命名步驟。在靜默模式下加密所有檔後，勒索軟體執行第二遍，只是為了重命名檔。

 

這種兩階段方法有助於逃避行為檢測系統，這些系統可能會將同時加密和重命名活動標記為勒索軟體行為的指標。隨著 VanHelsingRaaS 的不斷發展，安全專家必須對這種複雜且快速蔓延的威脅保持警惕。

 

鏈接：

https://cybersecuritynews.com/new-vanhelsingraas-attacking-linux/

 

2.Oracle 雲洩露事件導致 600 萬條記錄洩露，威脅 14 萬家企業

 

Oracle Cloud 大規模入侵，洩露 600 萬條記錄，影響 14 萬家企業。攻擊者“rose87168”正在出售數據並索要贖金。

 

此次入侵針對的是 Oracle Cloud 的單點登錄 (SSO) 和羽量級目錄訪問協議 (LDAP) 系統。被盜數據包括檔、密碼、Java KeyStore (JKS) 檔、加密的 SSO 密碼、密鑰檔和企業管理器 JPS 密鑰。攻擊者利用了 Oracle Weblogic Server 中的漏洞，將用於 Oracle 帳戶登錄的 login.(region-name).oraclecloud.com 端點作為目標。

 

該威脅行為者自 2025 年 1 月起活躍，不僅出售數據，還提供解密幫助並索要數據刪除贖金。他們創建了一個 X（以前稱為 Twitter）頁面來關注與 Oracle 相關的帳戶，可能是為了騷擾或定位目的。

 

此次 Oracle Cloud 漏洞對受影響的組織構成重大風險。如果加密密碼被破解，暴露的數據可能會導致數據洩露、未經授權的訪問、企業間諜活動和進一步的系統滲透。被盜的 JKS 和密鑰檔引入了供應鏈漏洞，可能會危及互連系統。由於該事件的規模和可能造成廣泛損害，CloudSEK 將此事件的嚴重性評級定為“高”。

 

CloudSEK 建議受影響的組織立即採取行動：重置憑證、進行司法調查以識別未經授權的訪問並阻止進一步的利用、監控暗網上是否有洩露的數據和實施嚴格的訪問控制。

 

鏈接：

https://dailysecurityreview.com/security-spotlight/oracle-cloud-breach-compromises-6-million-records-threatening-140000-businesses/

 

3.駭客利用 .NET MAUI 向印度和中國用戶提供虛假銀行和社交應用

 

網路安全研究人員正在關注一項 Android 惡意軟體活動，該活動利用微軟的 .NET 多平臺應用程式 UI (.NET MAUI) 框架創建針對印度和中文用戶的虛假銀行和社交媒體應用程式。

 

.NET MAUI 是 Microsoft 的跨平臺桌面和移動應用框架，用於使用 C# 和 XAML 創建本機應用程式。值得注意的是，Xamarin 的官方支持將於 2024 年 5 月 1 日結束 ，該科技巨頭敦促開發人員遷移到 .NET MAUI。

 

Shin 表示：“這些應用的核心功能完全用 C# 編寫，並以 blob 二進位檔形式存儲。這意味著，與傳統的 Android 應用不同，它們的功能不存在於 DEX 檔或本機庫中。”

 

這給威脅行為者帶來了新的優勢，因為 .NET MAUI 充當了打包程式的角色，使惡意程式能夠逃避檢測並在受害者設備上持續存在很長時間。

 

基於 .NET MAUI 的 Android 應用程式（統稱為 FakeApp）及其相關軟體包名稱如下：X (pkPrIg.cljOBO)、迷城 (pCDhCg.cEOngl)、X (pdhe3s.cXbDXZ)、X (ppl74T.cgDdFK)、Cupid (pommNC.csTgAT)、X (pINUNU.cbb8AK)、私密相冊 (pBOnCi.cUVNXz)、X•GDN (pgkhe9.ckJo4P)、迷城 (pCDhCg.cEOngl)、小宇宙 (p9Z2Ej.cplkQv)、X (pDxAtR.c9C6j7)、迷城 (pg92Li.cdbrQ7)、依戀 (pZQA70.cFzO30)、慢夜 (pAQPSN.CcF9N3)、indus credit card (indus.credit.card)、Indusind Card (com.rewardz.card)。

 

軟體包主要的傳播媒介是誘騙用戶點擊通過消息應用程式發送的虛假鏈接，這些鏈接會將不知情的收件人重定向到非官方應用商店。

 

邁克菲強調的一個例子是，該應用程式偽裝成一家印度金融機構來收集用戶的敏感資訊，包括全名、手機號碼、電子郵件地址、出生日期、住宅地址、信用卡號和政府頒發的識別字。

 

另一款應用模仿社交媒體網站 X，竊取受害者設備上的聯繫人、短信和照片。該應用主要通過第三方網站或其他應用商店針對中文用戶。

 

除了使用加密套接字通信將收集到的數據傳輸到命令和控制 (C2) 伺服器之外，還觀察到該惡意軟體還在 AndroidManifest.xml 檔中包括幾個毫無意義的許可權（例如“android.permission.LhSSzIw6q”），試圖破壞分析工具。

 

為了不被發現，還使用了一項稱為多階段動態加載的技術，該技術利用 XOR 加密的加載器負責啟動 AES 加密的有效負載，進而加載用於執行惡意軟體的 .NET MAUI 程式集。

 

Shin 表示：“主要有效載荷最終隱藏在 C# 代碼中。當用戶與應用程式交互（例如按下按鈕）時，惡意軟體會悄悄竊取他們的數據並將其發送到 C2 伺服器。”

 

鏈接：

https://thehackernews.com/2025/03/hackers-use-net-maui-to-target-indian.html

 

4.VMware Tools 和 CrushFTP 中發現新安全漏洞 — 高風險，無解決方法

 

博通已發佈安全補丁，以解決 Windows 版 VMware Tools 中可能導致身份驗證繞過的高嚴重性安全漏洞。該漏洞的編號為 CVE-2025-22230，在通用漏洞評分系統 (CVSS) 中的評分為 7.8。

 

博通在週二發佈的警告中表示 ：“由於訪問控制不當，Windows 版 VMware Tools 包含身份驗證繞過漏洞。在 Windows 客戶虛擬機上擁有非管理員許可權的惡意行為者可能會獲得在該虛擬機內執行某些高許可權操作的能力。”

 

CVE-2025-22230 影響適用於 Windows 版本 11.xx 和 12.xx 的 VMware Tools。該問題已在版本 12.5.1 中修復。目前尚無解決該問題的臨時方案。

 

此前，CrushFTP 已警告客戶，CrushFTP 10 和 11 版本存在“未經身份驗證的 HTTP(S) 端口訪問”漏洞。該公司表示：“該問題會影響 CrushFTP v10/v11，但如果您啟用了 CrushFTP 的 DMZ 功能，該問題將無法解決。該漏洞已負責任地披露，據我們所知，該漏洞並未被廣泛利用，目前不會提供更多詳細資訊。”

 

根據網路安全公司 Rapid7 分享的詳細資訊 ，成功利用該漏洞可能導致通過暴露的 HTTP(S) 端口進行未經身份驗證的訪問。

 

由於 VMware 和 CrushFTP 的安全漏洞此前曾被惡意行為者利用，因此用戶必須迅速採取行動，儘快應用更新。

 

鏈接：

https://thehackernews.com/2025/03/new-security-flaws-found-in-vmware.html

 

5.印尼政府網站遭駭客入侵

 

印尼政府的數字基礎設施面臨著重大的網路安全挑戰，最近發生的事件凸顯了國家數據系統中的系統性漏洞。

 

威脅行為者 Brain Cipher 對印尼臨時國家數據中心 (PDN-2) 發起的勒索軟體攻擊危及了 210 個政府機構的數千 TB 數據，而隨後的網站破壞事件，例如 2025 年 3 月 Euphoria 組織入侵萬隆 DPRD 立法門戶網站，都表明存在持續的安全漏洞。

 

Brain Cipher 使用 LockBit 衍生的勒索軟體通過 ESXi 虛擬機管理程式漏洞加密關鍵數據。

 

此次攻擊利用了密碼管理不善，司法分析發現了允許初始訪問的憑證被洩露。該惡意軟體採用 AES-256-CBC 加密，並通過暗網管道傳送 54KB 的解密檔。

 

近期的惡意攻擊，包括萬隆 DPRD 漏洞，都利用了以下漏洞：內容管理系統 (CMS) 中通過未經清理的用戶輸入存在的SQL 注入漏洞、使用憑證填充技術對管理門戶進行暴力攻擊、Apache Tomcat 和 WordPress 實例中存在未修補 CVE 的過時伺服器軟體。

 

Trenggalek Regency 漏洞表明攻擊者能夠通過基於 UNION 的SQL 注入來操縱資料庫查詢，從而暴露敏感的用戶憑據。

 

攻擊方法分析：第一階段：Brain Cipher 利用惡意 Office 宏進行網路釣魚活動來建立立足點，然後在Web 篡改利用 Acunetix 等自動掃描程式來識別易受攻擊的參數。

 

第二階段：攻擊者利用 Windows Defender 有限的 EDR 功能來禁用安全控制，通過 mimikatz 工具提取域管理員憑據來提升許可權

 

第三階段：具有間歇性密鑰輪換的 XFS 分區加密，修改 .htaccess 檔並注入惡意 iFrame，基於 Tor 的 C2 通道在高峰期每天傳輸 2.1TB數據。

 

攻擊者使用基於時間的盲 SQL 注入來映射資料庫模式而不觸發警報，而勒索軟體負載則通過伺服器消息塊 (SMB) 協議進行類似蠕蟲的傳播。

 

這些事件暴露了關鍵的基礎設施缺陷：備份協議不充分：受影響的機構中只有 34% 維護了功能性備份；安全工具限制：過度依賴基於簽名的防病毒軟體（Windows Defender），而不是行為分析；人員缺口：網路安全團隊缺乏記憶體取證和逆向工程方面的專業知識。

 

襲擊後措施包括：第 17/2025 號總統令，要求實施零信任架構；重新分配 7000 億盧比（4600 萬美元）預算，用於在 2300 個政府端點部署 SIEM 系統；BSSN（國家網路和加密局）進行紫隊演習，模擬高級持續威脅 (APT) 戰術。

 

這些事件凸顯了印尼迫切需要採用 NIST 網路安全框架控制，特別是在身份管理（AC-2）和事件回應（IR-4）方面。

 

遺留系統中的技術債務與勒索軟體即服務 (RaaS) 生態系統中出現的威脅相結合，形成了持續的風險格局，需要持續的安全投資。

 

鏈接：

https://cyberpress.org/indonesian-government-website-breached/

 

6.B1ack's Stash 駭客計畫免費洩露 400 萬張被盜信用卡資訊

 

網路犯罪黑社會出現了重大進展，臭名昭著的暗網信用卡交易市場 B1ack's Stash 宣佈計畫免費發佈 400 萬張被盜信用卡詳細資訊。

 

即將洩露的數據預計將涉及大量敏感資訊，包括主帳號 (PAN)、有效期、CVV2 代碼、持卡人的個人詳細資訊、電子郵件地址、IP 地址和用戶代理字串。

 

安全專家警告稱，如此全面的數據洩露將大大增加金融欺詐和身份盜竊的風險。

 

SOCRadar 的網路安全研究人員強調，這些數據有可能被用於各種犯罪活動，包括欺詐、憑證轉售和協助身份盜竊。

 

這一事件凸顯了 B1ack's Stash 等暗網市場所帶來的持續且不斷演變的威脅。

 

隨著 B1ack's Stash 的不斷增長和發展，網路安全專家強調迫切需要加強保護措施。

 

建議各組織主動監控洩露的憑證，實施強大的欺詐檢測系統，並教育用戶瞭解與被盜支付資訊相關的風險。

 

這一事件清楚地提醒人們，在日益互聯的數字環境中，打擊網路犯罪和保護敏感金融數據仍面臨挑戰。

 

鏈接：

https://cyberpress.org/b1acks-stash-hackers-plan-to-leak-4-million/

 

7.SecurityScorecard 發現第三方違規行為激增

 

根據 SecurityScorecard 的報告，利用第三方漏洞的攻擊正在增加。這家網路風險評估提供商發佈了《2025 年全球第三方違規報告》。

 

SecurityScorecard 的威脅情報部門分析了 2024 年跨行業和地區的 1000 起網路攻擊事件，發現 35.5% 的攻擊與第三方有關，高於上一年的 29%，增幅為 6.5%。此外，第三方入侵占 2024 年勒索軟體攻擊的 41.4%，其中Clop是利用第三方訪問媒介最為活躍的團體。有趣的是，報告指出，2024 年第三方違規行為中“僅”有 46.75% 涉及技術產品和服務，較去年的 75% 有所下降，這表明攻擊面多樣化。

 

零售和酒店業受影響最大，第三方違規率最高（52.4%），其次是科技行業（47.3%）和能源和公用事業行業（46.7%）。此外，醫療保健行業遭受的第三方違規行為最多（78 起），儘管其受到的影響相對於其規模較小，其中 32.2% 的違規行為歸因於第三方入侵。

 

新加坡企業的第三方違規率最高（71.4%），其次是荷蘭（70.4%）和日本（60%）。美國企業的第三方違規率較低（30.9%）。

 

SecurityScorecard 提出了建議：將風險管理與貴組織的風險狀況相匹配、通過要求供應商維持強大的第三方風險管理 (TPRM) 計畫並在合同中納入 TPRM 要求來降低第四方風險、要求“安全設計”技術、通過及時修補、多因素身份驗證 (MFA) 和持續安全評估來強化高風險基礎設施，包括檔傳輸軟體、雲基礎設施、行業特定服務和 VPN，最後是破壞勒索軟體供應鏈，特別是拒絕支付贖金。

 

鏈接：

https://www.infosecurity-magazine.com/news/securityscorecard-surge-third/

 

8.錄過百宗企業遭網路攻擊案多機構推支持措施提升網路安全

 

在數位化浪潮席捲全球的今天，個人、中小企業及政府都越來越依賴網路，網路安全逐漸成為守護社會穩定與經濟發展的關鍵防線。特區政府數字政策辦公室、警務處網路安全及科技罪案調查科（CSTCB）、香港互聯網註冊管理有限公司（HKIRC）及香港網路安全事故協調中心（HKCERT）今日（27日）一同舉辦2025年網路安全推廣計畫簡介會，分享一系列強化網路安全的理念及措施。

 

數字政策專員黃志光表示，中小企在網路安全方面還有很大提升的空間。數字辦主辦網路安全推廣計畫，聯同警務處網罪科、互聯網註冊管理公司及網路安全事故協調中心提供支持，包括訂立「網路安全資訊共用夥伴計畫」，提供免費的網站網路安全檢測及網路安全員工培訓平臺，制定指引及指南，開設網路安全意識講座分享等，以協助中小企提高網路安全防護能力。

 

警務處網罪科總警司林焯豪指，警方去年接獲逾110宗針對企業的網路攻擊案件，總損失超過3,000萬元；其中61宗為系統入侵，損失金額2,550萬港元，企業遭分佈式阻斷服務損失金額為460萬港元，而這些數字僅僅約占整體科技罪案的0.3%。他介紹，網罪科推廣強化網路安全措施，如《保護關鍵基礎設施（電腦系統）條例草案》的推進，於去年成立「守網聯盟」及「網路安全特別行動小組」，舉辦「釣魚電郵演習」，去年吸引逾3.7萬人參與。

 

香港互聯網註冊管理有限公司行政總裁黃家偉分享一間網路安全機構最近發表的研究報告，報告分析了去年數百宗重大網路事故，發現高達86%的網路攻擊造成業務中斷，逾四成事故與網頁流覽器有關，包括網路釣魚攻擊、下載惡意軟體及惡意的重新定向。

 

黃家偉提醒，大部分網站伺服器因使用預設安全設定，導致出現兩大主要漏洞，包括網站存在混合的加密及非加密內容，以及允許嵌入外部惡意內容。公司已設立「網路防禦一站通」，提供員工培訓、釣魚演習等服務，協助企業有效檢測網站漏洞，提供更多網路安全免費資源，加強基礎防衛水準。

 

香港生產力促進局數字轉型部總經理、香港網路安全事故協調中心發言人陳仲文表示，該機構去年共處理12,536宗網路安全事故，移除48,894個惡意網站。

 

他指，駭客通常使用釣魚攻擊，通過QR Code、視頻深偽技術進行詐騙，個人及企業應與時俱進瞭解騙子新手段。據悉，中心即將推出「網路安全供應商聯動計畫」及「網路安全資源庫專頁」為中小企的網路安全保駕護航。

 

鏈接：

https://www.dotdotnews.com/a/202503/27/AP67e52d3ae4b0e343b0e492f5.html

 

9.網路系統入侵損失逾2500萬按年增10倍數字辦推「網路防禦一站通」助企業提升網路安全

 

近年針對網路攻擊的案件有上升趨勢。根據警方數字顯示，涉及系統入侵的案件，去年錄得61宗，按年升近六成半，損失金額增逾10倍。為加強對中小企業的網路安全支持，數字政策辦公室聯同不同部門，推出「網路防禦一站通」計畫，冀為中小企和非政府組織等機構提供更多的網路安全支持。

 

數字政策專員黃志光指，生產力局及隱私專員公署去年公佈的調查顯示，整體香港企業網路保安準備指數上升5.8點，至52.8點；中小企錄得48.4點；大企業錄得73.1點，均錄得升幅；惟中小企的網路安全準備水準仍然維持「具基本措施」級別。他指，中小企資源較少，技術層面亦跟不上，有較高系統入侵風險。

 

金融機構遭駭客入侵失2100萬：

警務處網罪科總警司林焯豪表示，就系統入侵案件，去年錄得61宗，按年增加六成半；涉款2,550萬元，激增10倍。最大單一損失案件達2,100萬元。林焯豪指，事發於去年底，駭客看准一間金融機構的系統攝錄器因未有更新而出現漏洞，入侵系統，導致11個客戶的帳號被挪用逾2,100萬元。他指，個別企業在系入侵後未有報案，料實際數字更高。

 

香港互聯網註冊管理有限公司行政總裁黃家偉表示，檢測的40,000個網站中，發現47%網站存在混合的加密及非加密內容，雖然已加密部分受保護，但駭客可透過非加密部分修改內容，並誘導用戶點擊至惡意連接。此外，36%網站允許嵌入外部惡意內容，誘導用戶在不知情下點擊惡意連接。

 

釣魚手法趨複雜高明：

生產力促進局數字轉型部總經理兼香港網路安全事故協調中心發言人陳仲文表示，去年處理逾1.2萬宗網路安全事故，按年升62%；又以釣魚攻擊升幅最大，手法亦愈趨複雜，包括利用二維碼傳遞釣魚網站，或者利用深偽技術犯案。他提醒，企業或市民要保持警覺，瞭解最新的犯案手法。

 

為了向更多中小企或公營機構等提供網路技術支持，數字辦聯同香港互聯網註冊管理有限公司和警務處，在上半年推出「網路防禦一站通」計畫，協助企業更有效檢測網站漏洞。服務包括協助企業初步評價風險；亦提供專業報告和改善建議。支持工作方面，除了提供員工培訓外，亦會定期進行釣魚攻擊演習，測試員工反應和應對措施。

 

鏈接：

https://www.am730.com.hk/%E6%9C%AC%E5%9C%B0/%E7%B6%B2%E7%B5%A1%E7%B3%BB%E7%B5%B1%E5%85%A5%E4%BE%B5%E6%90%8D%E5%A4%B1%E9%80%BE2500%E8%90%AC-%E6%8C%89%E5%B9%B4%E5%A2%9E10%E5%80%8D-%E6%95%B8%E5%AD%97%E8%BE%A6%E6%8E%A8-%E7%B6%B2%E7%B5%A1%E9%98%B2%E7%A6%A6%E4%B8%80%E7%AB%99%E9%80%9A-%E5%8A%A9%E4%BC%81%E6%A5%AD%E6%8F%90%E5%8D%87%E7%B6%B2%E7%B5%A1%E5%AE%89%E5%85%A8/545826

 

三月網路安全形勢

 

3月份，關於安全方面，今年兩會重點關注AI安全，目前行業的困境，網路詐騙犯罪，網路謠言和網路暴力問題。香港立法會三讀通過《保障關鍵基礎設施（電腦系統）條例草案》。國內網路安全領域呈現多起熱點事件，3·15晚會曝光的“資訊黑洞”“騷擾電話”等亂象，再次將隱私安全這一熱點問題推上風口浪尖。百度副總裁女兒“開盒”事件引起熱議，“社工庫”外泄個人隱私的黑灰產鏈條也曝光於眾。

 

網路安全是實現網路強國戰略的重要基石，網路安全建設任重道遠，需要政府、企業、社會組織以及廣大線民的共同參與和努力。只有通過多方協作，才能築牢網路安全的堅固防線，助力我國在網路強國建設中邁出更加堅實的步伐。

 

 

信飛科技有限公司

2025年4月