安全新聞週報 20250421~0427

 

1.Magecart組織利用新型JavaScript信用卡竊取攻擊鎖定網購用戶
 

安全事件回應團隊近期發現，Magecart網路竊取攻擊出現新變種。該變種通過高度混淆的JavaScript代碼，在用戶結賬時隱形竊取其信用卡資訊，凸顯了電商平臺及其客戶面臨的日益嚴峻的風險。
 

攻擊生命週期分析：
初始入侵：攻擊通常從竊取網站後臺管理員憑證開始。攻擊者通過植入資訊竊取類惡意軟體（如Infostealer）感染管理員設備，獲取許可權後訪問網站管理介面。
植入持久化後門：攻擊者上傳定制的PHP網頁後門（基於開源工具P.A.S. Fork v1.4修改），實現對伺服器的持續控制。該後門允許攻擊者直接操作伺服器的檔系統和數據庫。
資料庫污染（Database Pollution）：通過篡改資料庫條目，攻擊者將隱藏的JavaScript惡意腳本注入其中。每當用戶訪問被篡改的資料庫內容時，腳本自動執行，確保攻擊者長期控制網站並動態調整攻擊邏輯。
 

惡意腳本技術細節：
代碼混淆技術：腳本使用十六進制重命名變數和函數，並通過立即調用函數運算式（IIFE）和遞歸函數重定義等手段模糊代碼邏輯。核心函數“chameleon”（變色龍）通過動態重構代碼，繞過傳統代碼分析和簽名檢測工具。
環境自適應：腳本利用流覽器的localStorage功能存儲配置，並根據即時上下文動態加載載荷或修改網頁內容，確保其隱蔽性和攻擊有效性。
 

雙通道數據外泄機制：
WebSocket即時傳輸：當用戶輸入支付資訊時，腳本將信用卡號、CVV碼、地址等數據打包為JavaScript對象。通過加密的wss://協議建立與攻擊者C2伺服器的WebSocket連接，數據以偽裝成合法流量的協議消息外泄。
圖像對象隱匿傳輸：腳本調用createImage函數生成圖像對象，將Base64編碼的竊取數據附加到圖像URL參數中。利用流覽器被動加載圖像的特性，繞過HTTP流量監控，數據發送至攻擊者控制的伺服器（URL同樣通過localStorage存儲並混淆）。
防禦建議：強制使用高強度唯一密碼、雙因素認證（2FA），定期更新憑證。定期檢查網站代碼和數據庫，識別未授權的腳本注入或篡改。部署擴展檢測與回應（XDR）和Web應用防火牆（WAF），即時攔截異常行為。啟用漏洞掃描和滲透測試，修復系統弱點。對管理員和開發團隊進行安全培訓，防範社工攻擊和惡意軟體感染。
 

此次Magecart變種通過代碼混淆、環境自適應和雙通道外泄技術，展現了極高的隱蔽性和適應性。電商企業需採取多層次防禦策略，從技術加固到人員意識全面升級，以抵禦此類高級持續性威脅（APT），保護用戶數據與品牌聲譽。
 

鏈接：
https://cyberpress.org/magecart-targets-shoppers-with-new-javascript-based-credit-card/

 

2.日本警示：網路犯罪分子從遭入侵交易帳戶竊取數億資金
 

日本金融監管機構近日對針對線上證券交易平臺的網路犯罪激增現象發出警告。
 

根據2025年2月至4月期間匯總的數據，日本金融廳（FSA）報告稱，隨著網路犯罪分子利用通過複雜釣魚攻擊竊取的用戶憑證，未經授權的帳戶訪問和欺詐性交易呈現顯著上升趨勢。已披露的網路安全事件涉及六家主要證券公司，凸顯出該國金融基礎設施日益增長的脆弱性。
 

帳戶入侵造成重大財務損失。截至2025年4月16日的三個月內，遭遇欺詐交易的證券公司數量從2月的兩家激增至4月的六家。數據觸目驚心：未經授權訪問事件從2月的43起暴增至4月的1,847起，報告期內累計達3,312起。欺詐交易量同樣激增，從33筆攀升至1,454筆，非法賣出和買入總額分別達到約506億日元和448億日元。
 

此次攻擊的財務影響尤為顯著。在多數案例中，攻擊者利用被盜帳戶拋售既有持倉（主要是股票），隨後將所得資金用於購買境外股票（最常見的是中國股票）。這些未經帳戶所有人授權的交易，導致受害者帳戶被迫持有這些境外資產。雖然此類非法買賣總額不等同於受害者的實際損失，但反映出攻擊者操縱的巨額資金規模。
 

金融廳將此次網路犯罪激增主要歸因於仿冒正規證券公司網站的釣魚攻擊。這些虛假網站誘騙投資者洩露包括登錄ID和密碼在內的敏感資訊。一旦獲取這些憑證，網路犯罪分子即可侵入交易帳戶實施未授權操作。
 

除釣魚攻擊外，惡意軟體感染也構成日益嚴重的威脅。遭病毒或其他惡意程式入侵的設備可能被靜默竊取資訊，用戶往往在欺詐交易發生後才能察覺。當局強調此類攻擊可能影響任何證券公司，因此所有投資者都必須保持高度警惕。
 

為應對這些威脅，金融廳敦促投資者採取最佳網路安全實踐。關鍵建議包括：避免點擊不明郵件或短信中的鏈接，應通過可信的書簽鏈接訪問金融服務；建議用戶啟用多重驗證等高級安全功能，這種防護結合知識要素（密碼）、持有要素（一次性驗證碼）和生物特徵（指紋）來提供強效帳戶保護。
 

根據報告，金融廳還強調使用複雜唯一密碼和定期監測帳戶異常交易的重要性。若懷疑帳戶遭入侵或曾誤觸欺詐網站，投資者應立即聯繫證券公司並修改密碼。建議保持操作系統和反惡意軟體更新以防範資訊竊取程式。
 

日本證券業協會也針對虛假廣告和釣魚郵件發出警告，提醒用戶對意外通信（尤其是聲稱來自證券公司或監管機構的）保持警惕。隨著網路犯罪分子使用日益複雜的手段攻擊數字金融資產，金融廳及相關機構持續呼籲線上交易生態系統的所有參與者保持警惕，積極採取安全防護措施。
 

鏈接：
https://cyberpress.org/japan-warns-of-cybercriminals-stealing-millions-from-breached/

 

3.PyTorch高危漏洞可致遠程代碼執行
 

開源機器學習框架PyTorch近日曝出高危遠程代碼執行漏洞（CVE-2025-32434），該漏洞允許攻擊者通過惡意模型檔在目標系統上執行任意代碼，對依賴PyTorch進行模型部署的雲環境和企業系統構成嚴重威脅。
安全研究員發現，漏洞存在於PyTorch的模型加載函數torch.load()中。即使開發者啟用了weights_only=True參數（該參數設計用於限制反序列化操作僅加載張量和基本數據類型），攻擊者仍可通過構造惡意模型檔繞過限制，在模型加載過程中觸發代碼執行。
 

漏洞根源在於PyTorch的反序列化驗證機制存在缺陷。攻擊者可利用此漏洞注入惡意載荷，進而控制宿主系統。在基於雲計算的AI服務中，此類漏洞可能導致橫向滲透或數據竊取。
 

受影響版本：PyTorch≤2.5.1，CVSS v4評分：9.3（嚴重），修復版本：PyTorch2.6.0。若無法立即升級，建議完全停用torch.load(weights_only=True)，改用顯式張量提取工具加載模型，直至完成補丁部署。
安全假設崩塌：開發者長期認為weights_only=True可確保模型加載安全，但此漏洞暴露了反序列化機制的根本性缺陷。
AI供應鏈風險：託管平臺（如Hugging Face Hub）上的惡意模型可能大規模利用此漏洞，危及下游用戶。
更新緊迫性：漏洞驗證代碼（PoC）或快速出現，延遲修復將面臨系統性風險。
 

由於開發者皆知weights_only=False不安全，故依賴weights_only=True作為防護。但此繞過證明，若缺乏嚴格驗證，任何配置均無法真正安全。該發現凸顯了開源AI框架安全審計的必要性，尤其是當其成為關鍵基礎設施時。
CVE-2025-32434為AI部署生態敲響警鐘。使用PyTorch的企業須立即升級至2.6.0版本，並審核現有模型是否遭篡改。隨著AI深入各行業，僅靠被動修補已不足應對威脅，建立主動漏洞管理體系將成為抵禦高級攻擊的核心策略。
 

鏈接：
https://cyberpress.org/critical-pytorch-vulnerability/

4.ELENOR-corp勒索軟體7.5版肆虐醫療行業反取證策略升級致數據恢復無望
 

網路安全公司最新報告披露，Mimic勒索軟體變種ELENOR-corp（7.5版）正對全球醫療機構發起精准打擊。該版本集數據竊取、持久化訪問與反取證清除於一體，具備癱瘓醫療系統恢復能力的破壞性特徵。
 

三大毀滅性功能：
系統許可權穿透：強制啟用命令行訪問許可權，利用粘滯鍵繞過技術實現無憑證遠程代碼執行，暴力卸載虛擬驅動器，阻斷隱藏存儲環境中的數據保護機制，修改電源設置禁用休眠/睡眠模式以加速加密進程。
反取證清除：刪除系統日誌、檔索引記錄及註冊表痕跡，調用fsutil命令覆寫並刪除自身二進位檔，破壞Windows恢復環境（WinRE）與系統狀態備份。
網路橫向滲透：啟用並行RDP會話突破併發登錄限制，使用NetScan工具遞歸掃描公共/隱藏網路共用資源，通過Python編譯的剪貼板劫持木馬竊取憑證，結合Mimikatz實施橫向移動。
 

ELENOR-corp勒索軟體針對數據的清剿手段：
備份清除：刪除Windows備份目錄與回收站，迫使受害者無法通過常規手段恢復。
雲端外泄：劫持Edge流覽器將竊取數據上傳至Mega.nz網盤。
加密策略：採用Windows API對遠程網路共用實施加密，排除部分管理共用規避檢測。
 

防禦體系構建建議：
接入層加固：對RDP服務實施多因素認證（MFA），限制非必要端口暴露。
行為監控：建立檔索引異常修改、fsutil命令濫用等行為的即時告警機制。
備份策略：採用物理隔離的3-2-1備份原則（3份副本、2種介質、1份離線）。
環境檢測：部署記憶體保護技術對抗無檔攻擊，監控.NET框架可疑進程（如gui40.exe）。
 

此次攻擊中，ELENOR-corp通過混淆加密配置範本、動態加載惡意組件等手段規避靜態分析。其GUI控制臺（需.NET 4.0環境運行）支持攻擊者自定義加密參數，標誌著勒索軟體即服務（RaaS）模式向高度定制化演進。醫療機構需警惕此類複合型攻擊對患者數據安全與業務連續性的雙重衝擊。
 

鏈接：
https://www.infosecurity-magazine.com/news/elenor-corp-ransomware-targets/

 

5.銀行業每起勒索軟體攻擊平均損失達608萬美元業務停擺與聲譽危機接踵而至
 

銀行業正面臨前所未有的安全挑戰，隨著勒索軟體攻擊頻率與複雜程度持續攀升，每起網路安全事件的平均成本已飆升至608萬美元，較上年增長10%。這一數字尚未包含後續增加的網路安全投入與監管罰款，凸顯金融機構承受的巨額財務壓力。
 

除直接經濟損失外，勒索軟體攻擊正引發嚴重的運營中斷。長時間的系統癱瘓導致核心銀行業務停擺、交易延遲、客戶服務受阻，敏感數據完整性面臨嚴峻威脅。
 

更為致命的是，作為銀行基石的客戶信任遭受重創。最新研究顯示，重大數據洩露事件後六個月內客戶流失率激增。連鎖反應還波及資本市場：遭遇網路攻擊的銀行股價在四日內平均下跌2.3%，六十日累計跌幅達4.6%，印證此類攻擊不僅威脅單個機構，更危及整個金融體系穩定。美聯儲主席傑羅姆·鮑威爾指出，網路威脅對全球金融穩定的潛在衝擊已超越傳統信貸與流動性風險。
《亨特報告》指出，嚴苛的監管要求正加劇成本壓力。根據美國新規，金融機構須在36小時內報告網路安全事件，否則面臨重罰。迫於監管壓力，銀行不得不將更多資源投向網路安全建設，有時甚至以犧牲其他業務優先順序為代價。
 

數據洩露仍是主要攻擊路徑，每條客戶記錄洩露平均造成181美元損失。2022年Flagstar銀行洩露事件（影響150萬客戶）、近期Equity銀行及伊朗多家大型銀行遭遇的攻擊，均印證威脅態勢持續升級。現代勒索策略已演變為雙重甚至三重勒索——攻擊者通過多次要脅迫使機構支付贖金，以阻止數據洩露或濫用。
 

從攻擊檢測到事件控制，銀行平均需要258天，期間財務數據可能在暗網流轉，大幅增加下游欺詐與身份盜用風險。近半數金融機構曾支付贖金以重獲系統控制權，但事件善後仍需外部網路安全支持與取證分析，進一步推高處置成本。
 

鑒於傳統防禦手段局限性，銀行業正轉向主動防禦策略：
立體化安全架構：部署高級威脅檢測、威脅追蹤與分層防護體系。
數據全週期保護：強化員工培訓、嚴格身份訪問管理、全量交易數據加密。
業務連續性保障：構建強健備份機制，確保極端情況下快速恢復。
 

從孟加拉央行SWIFT系統漏洞到2017年俄羅斯銀行業協同攻擊等重大事件表明，即時欺詐檢測、持續監控、終端與供應鏈安全加固已成為生存剛需。
 

隨著攻擊手段持續進化，銀行業必須認清：網路安全不再是後臺IT問題，而是關乎存亡的核心業務。唯有構建主動式、多層次防禦體系，才能有效抵禦勒索威脅，守護客戶資產安全，維繫數字金融生態的持久信任。
 

鏈接：
https://cyberpress.org/banking-sector-faces-6-08-million-average-loss-per-ransomware-attack/

 

6.惡意WordPress插件每日發起14億次欺詐廣告請求
 

威脅情報研究人員近日揭露代號"Scallywag"的大型廣告欺詐網路，該網路高峰時期每日生成14億次欺詐廣告請求。該犯罪網路依託一系列WordPress插件，通過數字盜版網站與短鏈平臺進行工業化流量變現，並利用高級隱身技術與引薦來源混淆手段規避檢測。
 

傳統廣告主因法律風險與品牌安全考量，普遍回避盜版網站與短鏈平臺。Scallywag犯罪團夥利用這一市場空隙，開發了四款定制WordPress插件：Soralink、Yu Idea、WPSafeLink與Droplink，在盜版資源目錄站與真實盜版內容之間插入含有多層廣告的跳轉頁面。
 

這些插件強制用戶在訪問目標內容前與多個廣告、驗證碼及等待計時器互動，從而為運營者創造海量廣告曝光與收益。該網路規模驚人：全盛時期擁有超過400個資金提現功能變數名稱，每日合計發起14億次廣告請求。插件採用"即服務"模式，數字盜版從業者可通過購買或免費獲取工具包，自定義變現路徑，甚至獲得詳盡的線上教程支持。
 

Scallywag的成功關鍵在於高級隱身技術的運用。當廣告平臺或廣告主直接訪問跳轉頁時，頁面顯示為普通博客形態；僅當用戶從盜版目錄站重定向而來時，才會觸發充斥廣告的誘導頁面。這種"雙面偽裝"使廣告網路難以識別欺詐行為。
 

為規避審查，運營者還部署開放重定向器——通過穀歌、社交媒體等平臺路由流量，"淨化"引薦來源數據。這種策略如同海盜懸掛友好旗幟直至發動攻擊，使流量來源在廣告主眼中呈現合法有機特徵。

 

網路安全公司HUMAN的Satori威脅情報團隊通過異常流量模式（如非常規廣告曝光量、看似無害博客中的強制用戶互動）鎖定Scallywag。通過與廣告供應商合作遮罩欺詐競價請求、標記可疑功能變數名稱，該團隊將Scallywag流量削減95%，致使其生態崩潰。
 

儘管打擊成效顯著，研究人員警告犯罪團夥正持續進化：頻繁更換功能變數名稱、開發新型非法流量變現手段。Scallywag的興衰既彰顯網路犯罪分子的頑固創造力，也揭示廣告欺詐與數字盜版防禦領域永不休止的攻防對抗。
 

鏈接：
https://cyberpress.org/malicious-wordpress-plugins/

 

7.Commvault命令中心曝高危遠程代碼執行漏洞未授權攻擊者可操控系統
 

數據保護平臺Commvault命令中心創新版（Command Center Innovation Release）曝出重大安全漏洞（CVE-2025-34028），未授權攻擊者可借此遠程執行任意代碼。該漏洞CVSS評分為9.0（高危級），影響版本11.38的部署環境，一旦遭利用可能導致系統完全淪陷。
 

安全研究人員發現，漏洞源於路徑遍曆缺陷。攻擊者可構造惡意ZIP檔並上傳至目標伺服器，當系統解壓檔時觸發目錄穿越，最終實現遠程代碼執行。技術分析：此漏洞允許攻擊者通過操縱檔路徑破壞系統完整性，成功利用將導致未授權訪問與惡意指令執行。
 

漏洞利用無需身份驗證，遠程攻擊者即使沒有有效憑證亦可發動攻擊。
 

影響版本：Linux/Windows平臺部署的11.38.0至11.38.19版本。
修復版本：2025年4月10日發佈的11.38.20與11.38.25版本（均含補丁）。
 

Commvault表示，創新版用戶通常通過預設更新計畫自動接收補丁，無需手動干預。若無法立即升級，建議將命令中心與外網隔離直至完成修補。
 

企業用戶應立即核查Commvault部署版本，優先更新受影響系統。對於關鍵基礎設施，建議結合網路分段、最小許可權原則構建縱深防禦體系，以抵禦此類供應鏈攻擊風險。
 

鏈接：
https://cybersecuritynews.com/commvault-rce-vulnerability/
 

8.駭客濫用Google Forms繞過郵件安全竊取憑證釣魚攻擊激增63%引行業警報
 

穀歌旗下廣受歡迎的線上表單工具Google Forms正淪為網路犯罪新利器。安全研究人員發現，攻擊者利用該平臺可信功能變數名稱特性，成功繞過高級郵件安全篩檢程式，構造高仿釣魚頁面竊取用戶敏感憑證，金融機構相關攻擊量同比激增63%。
 

網路罪犯瞄準Google Forms的三大戰術優勢：
功能變數名稱信譽背書：所有表單鏈接均託管於docs.google.com/forms/子域，HTTPS加密連接使安全系統誤判為可信流量。
介面偽裝術：通過自定義樣式與品牌元素複刻微軟365、銀行門戶等合法登錄頁，用戶難辨真偽。
檢測規避機制：採用URL短鏈服務隱藏真實地址，利用HTTP POST方法配合Webhook將竊取憑證即時外傳。
典型攻擊鏈始於偽裝成帳戶驗證、密碼重置或安全告警的釣魚郵件。郵件內嵌Google Forms鏈接會跳轉至高度仿真的企業VPN或網銀登錄頁，誘導用戶輸入憑證。
金融領域：某大型銀行單月監測到2,300餘次Google Forms釣魚嘗試，主要針對手機銀行與信用卡客戶。
教育機構：多所大學發生大規模憑證竊取事件，攻擊者利用校內通知範本騙取教職工郵箱許可權。
企業安全：傳統基於URL黑名單的郵件網關幾近失效，因封禁google.com域將影響正常業務流程。
 

立體防禦指南：
郵件安全升級：部署具備深度內容檢測能力的安全方案，識別表單內嵌惡意代碼。
協議加固：嚴格執行SPF（發件人策略框架）、DKIM（功能變數名稱密鑰識別郵件）、DMARC（域消息認證報告）三合一郵件認證協議。
認證增強：全系統啟用多因素認證（MFA），即使密碼洩露仍可阻斷入侵。
意識培訓：定期開展釣魚演練，重點教學識別穀歌官方表單與釣魚頁差異特徵。
 

安全專家強調，合法服務極少通過Google Forms索要密碼驗證。用戶需養成手動輸入官網地址的習慣，警惕任何要求提交憑證的外部鏈接。隨著可信平臺武器化趨勢加劇，構建技術防禦與人員意識並重的安全體系已成當務之急。
 

鏈接：
https://cybersecuritynews.com/google-forms-weaponized/

 

9.藍盾加州公司因穀歌廣告配置失誤洩露470萬患者健康資訊，創2025年最大醫療數據洩露案
 

美國大型醫療保險公司藍盾加州公司（Blue Shield of California）近日披露重大數據洩露事件，近600萬客戶中有470萬人的受保護健康資訊（PHI）因網站穀歌分析（Google Analytics）配置錯誤，在近三年間被不當共用至穀歌廣告（Google Ads）平臺。此次事件時間跨度為2021年4月至2024年1月，被美國衛生部民權辦公室認定為2025年迄今最嚴重的醫療數據洩露事件。
 

藍盾公司於2025年2月11日進行內部審查時發現，其網站錯誤配置的穀歌分析工具將以下敏感資訊傳輸至穀歌廣告平臺，可能導致針對受影響個體的定向廣告投放：保險計畫名稱，類型及團體編號，居住城市，郵編，性別及家庭規模，藍盾帳戶專屬識別碼，醫療理賠服務日期及機構，患者姓名與自付費用資訊，"尋找醫生"功能搜索條件與結果（含位置、計畫、醫療機構）。
 

公司強調，事件未涉及社會安全號碼、駕照資訊及銀行帳戶等財務數據，且"無惡意攻擊者參與"，穀歌也未將數據分享給第三方。但此次事件引發對線上追蹤技術違反《健康保險攜帶和責任法案》（HIPAA）的嚴重質疑。
根據HIPAA規定，醫療機構須對PHI實施嚴格保護，並與數據處理服務商簽訂商業夥伴協議（BAA）。但穀歌明確聲明穀歌分析不符合HIPAA標準且不提供BAA，這使得在涉及PHI的頁面上使用該工具存在固有風險。
網路安全公司Lokker首席執行官Ian Cohen指出："許多醫療機構因不了解分析工具的數據收集範圍，或缺乏正確配置能力，導致隱私漏洞頻發。"藍盾公司已於2024年1月切斷穀歌分析與廣告平臺的連接，並啟動全面安全審查。
 

這是藍盾公司一年內第二次重大數據安全事件。2024年，BlackSuit勒索組織通過攻擊其軟體服務商Connexure，竊取近百萬客戶數據。本次事件中，公司建議受影響用戶密切監控帳戶動態與信用報告。
 

此次數據洩露暴露醫療行業普遍存在的兩大隱患：一是對第三方分析工具的數據傳輸缺乏有效監控；二是對HIPAA合規要求理解不足。隨著數字醫療的普及，如何在便利性與數據安全間取得平衡，成為行業亟待解決的難題。
 

鏈接：
https://cybersecuritynews.com/blue-shield-leaked-health-info/

 

信飛科技有限公司

2025年5月