2025/3/24 -2025/3/28 資安一週大事

DollyWay 惡意軟體、WordPress

[3月24日] DollyWay惡意軟體攻擊行動已影響超過2萬個WordPress網站

超過兩萬個 WordPress 網站被駭！近日出現名為 DollyWay 的惡意軟體，駭客透過它將訪客偷偷導向特定廣告網站來賺取收益。

🔹WordPress 網站介紹

WordPress 是全球最受歡迎的網站架設平台，許多企業、部落格和電商網站都使用它來建立網站。由於 WordPress 具有開放原始碼、易於使用、可擴展性強等特點，吸引了大量用戶，但也因此成為駭客的攻擊目標。

🚨 WordPress常見資安威脅

駭客攻擊 WordPress 網站的方式多種多樣，常見包括：

1. 惡意軟體攻擊：像這次的 DollyWay 惡意軟體，駭客會透過漏洞或弱密碼入侵網站，並植入程式來竊取資料或轉向廣告網站獲利。

2. 外掛與主題漏洞：許多網站使用的免費或過時的外掛（Plugins）與主題（Themes）可能存在安全漏洞，讓駭客能夠輕易入侵。

3. 暴力破解攻擊（Brute Force Attack）：駭客使用機器人程式不斷嘗試不同的密碼，試圖登入網站後台。

4. SQL注入攻擊（SQL Injection）：透過惡意輸入，駭客能夠竄改或竊取資料庫中的資訊。

5. DDoS 攻擊（分散式阻斷服務攻擊）：駭客發送大量請求，讓網站不堪負荷，導致當機。

🛡 如何預防 WordPress 攻擊

為了降低駭客入侵的風險，網站管理員應該採取以下措施：

• 定期更新 WordPress、外掛與主題：確保網站使用最新版，以修補已知漏洞。

• 安裝安全外掛：例如 Wordfence、Sucuri 這類的安全工具，能夠監控與防禦攻擊。

• 使用強密碼與雙重驗證（2FA）：避免使用簡單密碼，並開啟雙重驗證來提高登入安全性。

資料來源：

https://www.ithome.com.tw/news/168034

Next.js、身份應證繞過漏洞

[3月25日] Next.js 有嚴重身分驗證繞過漏洞 (CVE-2025-29927)，可能導致網站被入侵

熱門網站開發框架 Next.js 中被發現存在嚴重的安全漏洞（CVE-2025-29927），可能讓駭客繞過登入驗證，直接存取受保護的頁面。

🔹 什麼是 Next.js？

Next.js 是一個用於開發現代化網頁應用的框架，許多開發者使用它來建立快速、SEO 友好的網站。它支援靜態生成（SSG）和伺服器端渲染（SSR），並且與 React 相容，因此在業界相當受歡迎。許多知名網站和企業都使用 Next.js 來架設網站，例如新聞媒體、電商平台和 SaaS 服務等。

🔹 漏洞介紹

最近安全專家發現，Next.js 存在一個嚴重的身份驗證繞過漏洞（CVE-2025-29927）。這個漏洞讓攻擊者可以透過特製的請求來欺騙伺服器，讓原本需要登入的頁面變成任何人都能存取。這對於使用 Next.js 來處理會員系統、管理後台或敏感資料的網站來說，風險相當高。

這個漏洞的成因與 Next.js 的中介軟體（Middleware）處理請求方式有關，駭客可以藉由在 HTTP 請求中加入特定的標頭資訊（Headers），繞過網站的身份驗證機制，直接存取受保護的內容。

⚠️ 漏洞影響

如果你的網站受到這個漏洞影響，可能會發生以下問題：

• 資料外洩風險：攻擊者可透過未授權存取的方式進入受保護的頁面，如會員專區、管理後台或付費內容，進而查看使用者資料或企業內部資訊，造成安全威脅。

• 網站安全性降低：駭客可能利用這個漏洞進一步攻擊你的系統，例如執行惡意程式或進一步滲透內部網路。

目前，這個漏洞主要影響自架的 Next.js 網站，但如果你的網站託管在 Vercel 或 Netlify 這類平台，則不會受到影響。

🛡 如何防範？

為了保護你的網站，請務必採取以下措施：

• 立即更新 Next.js 至最新版本（Vercel 已發布安全修補）

• 檢查網站的身份驗證機制，確保沒有漏洞

• 封鎖來自外部的異常請求，特別是包含攻擊標頭的請求

• 使用 Cloudflare 等安全工具來監控和攔截可疑流量

資料來源：

https://www.bleepingcomputer.com/news/security/critical-flaw-in-nextjs-lets-hackers-bypass-authorization/

CI、UAT-5918

[3月26日] 鎖定臺灣 CI！駭客組織 UAT-5918 利用已知漏洞入侵，竊取機敏資訊

駭客組織 UAT-5918 專門鎖定臺灣的關鍵基礎設施（CI）進行攻擊，目標產業包括電信、醫療保健、資訊科技等。由於其攻擊手法與多個中國駭客組織相似，因此備受關注。

🔹 攻擊目標

UAT-5918 的主要目標是臺灣的關鍵基礎設施，特別是電信、醫療保健和資訊科技等行業。

🔹 攻擊關鍵基礎設施（Critical Infrastructure, CI）的影響

關鍵基礎設施（CI）指的是支撐社會運作的重要系統，如電力、電信、交通、醫療、金融、供水等。一旦這些系統遭到攻擊，可能會帶來嚴重的影響，包括社會混亂、經濟損失，甚至影響國家安全。以下是主要影響：

🚨 攻擊方式

1. 利用系統漏洞： 駭客尋找尚未修補的已知系統漏洞，特別是那些直接連接網際網路的伺服器，作為初步入侵的途徑。

2. 部署惡意程式： 成功入侵後，駭客在受害系統中安裝稱為「Web Shell」的惡意程式，這些程式允許駭客遠端控制系統，執行進一步的攻擊行動。

3. 系統偵察與資訊收集： 駭客使用各種工具收集系統資訊，包括使用者帳號、網域名稱和系統配置等，為後續的攻擊行動做準備。

4. 竊取帳號密碼： 利用特定工具（如 Mimikatz），駭客試圖取得系統中的帳號和密碼，進一步提升他們的存取權限。

5. 橫向移動與持續控制： 取得高權限後，駭客在網路內部橫向移動，攻擊其他系統，並建立持續的存取管道，如新增管理員帳號或設定遠端桌面連線（RDP），以維持對系統的控制。

🛡 防範措施

• 定期更新系統： 確保所有系統和應用程式都安裝最新的安全更新，修補已知漏洞。

• 強化存取控制： 限制對關鍵系統的存取權限，僅授予必要人員，並定期審查權限設定。

• 監控異常活動： 部署安全監控系統，及時偵測和回應異常的網路活動或未經授權的存取嘗試。

• 員工安全意識培訓： 定期對員工進行資安培訓，提高對網路釣魚和其他社交工程攻擊的警覺性。

資料來源：

https://www.ithome.com.tw/news/168051

EncryptHub、MMC

[3月27日] 安全性更新！ Microsoft 封鎖 CVE-2025-26633，防範 EncryptHub 針對 MMC 檔案的惡意使用

名為 EncryptHub（又稱 Larva-208）的駭客組織，利用 Windows 零日漏洞 CVE-2025-26633，透過精心設計的惡意 MSC 文件繞過安全限制，實施惡意程式攻擊。

🚨 攻擊方法

1. 建立惡意 MSC 文件：攻擊者利用 CVE-2025-26633 設計特殊的 MSC 檔案，使其可以在 Windows 上繞過檔案信譽機制並自動執行惡意程式碼。

2. 誘騙受害者開啟：攻擊者透過 釣魚郵件、社交工程或惡意網站，將這些 MSC 檔案發送給目標，誘騙受害者點擊並開啟文件。

3. 執行惡意程式碼：一旦受害者開啟惡意 MSC 檔案，Windows 會執行其中的惡意程式，可能導致：

   • 安裝後門（如 Cobalt Strike）

   • 竊取敏感資訊

   • 部署勒索軟體

   • 提權攻擊，獲取更高級別的系統權限

4. 持續滲透：攻擊者可能利用這一漏洞進一步擴大攻擊範圍，橫向移動至企業內部其他系統，甚至植入其他惡意軟體。

⚠️ 為什麼攻擊者選擇 MMC 作為攻擊目標？

攻擊者選擇 Microsoft 管理控制台（MMC） 作為攻擊目標，主要是因為 MMC 提供了一個具有 高權限執行能力且 較少受到安全防護限制 的環境，使其成為一個理想的攻擊向量。以下是主要原因：

1. MMC 擁有較高的執行權限

MMC 是 Windows 系統內建的管理工具，通常用於 系統管理與設定變更，例如：

• 事件檢視器（Event Viewer）

• 裝置管理員（Device Manager）

• 群組原則管理（Group Policy Management）這些功能通常需要較高的權限才能運行，當攻擊者利用 MMC 進行攻擊時，執行的惡意程式很可能繞過 最低權限執行（Least Privilege Execution） 的限制，進而影響整個系統。

2. MMC 的 MSC 文件執行機制容易被濫用

MMC 使用 MSC 文件（Microsoft Saved Console） 作為管理控制台的設定檔案，而 MSC 文件本質上是 XML 格式，內部可以設定如何載入 DLL 檔案來執行特定管理功能。攻擊者可以：

• 製造惡意 MSC 文件，並在其中嵌入惡意腳本或載入惡意 DLL。

• 利用 Windows 內建功能，讓使用者不需要額外下載任何執行檔（EXE），從而降低被偵測的機會。

• 誘騙使用者開啟惡意 MSC 文件，繞過許多常見的安全機制，例如程式簽章驗證或執行控制。

3. MMC 的 MSC 文件容易繞過傳統防毒與 EDR 偵測

許多防毒軟體與 EDR 主要關注 可執行檔（EXE）、腳本（VBS、JS） 等惡意程式，而 MSC 文件因為是 Windows 合法的管理控制台設定檔，在許多企業環境中都被允許執行，這讓攻擊者更容易：

• 規避傳統惡意程式偵測

• 繞過應用程式白名單（Application Whitelisting）

🛡 如何防範

1. 立即更新 Windows

   • Microsoft 已經釋出補丁來修復 CVE-2025-26633，建議 所有 Windows 使用者盡快更新系統，避免成為攻擊目標。

2. 提高安全意識，避免開啟未知文件

   • 教育員工與用戶，不要開啟來自不明來源的 MSC 檔案，尤其是透過電子郵件或網路下載的文件。

3. 強化端點防護

   • 使用 端點偵測與回應（EDR） 解決方案，例如 Microsoft Defender、Sophos Intercept X，來偵測和阻擋異常的 MSC 文件執行。

4. 封鎖惡意 MSC 檔案

   • 使用 防火牆、郵件安全閘道（SEG） 等機制過濾和阻擋惡意 MSC 文件的傳遞，以降低攻擊風險。

資料來源：

https://www.bleepingcomputer.com/news/security/encrypthub-linked-to-zero-day-attacks-targeting-windows-systems/

RansomHub、EDRKillShifter

[3月28日] 勒索軟件新版圖：RansomHub 的崛起及其與其他團伙的工具共享

近期的報導指出，新的勒索軟體團體 RansomHub 正在網路犯罪領域迅速崛起，並引起了資安專家的關注。

🔹 什麼是 RansomHub？

RansomHub 是一個「勒索軟體即服務」（RaaS）的組織，這意味著他們開發勒索軟體，並將其租借給其他網路犯罪分子（稱為「附屬者」），以對目標發動攻擊。這些附屬者在成功勒索受害者後，與 RansomHub 分享贖金。

🛠️ EDRKillShifter 工具的運用

在 2024 年 5 月，RansomHub 推出了名為 EDRKillShifter 的自製工具。這個工具專門用來關閉或繞過受害者電腦中的資安軟體，如端點檢測與回應（EDR）系統和防毒程式。透過停用這些防護措施，勒索軟體能更輕易地感染系統並加密資料。

🔹 與其他勒索團體的關聯

研究發現，RansomHub 的附屬者同時也為其他勒索團體（如 Play、Medusa 和 BianLian）工作。這表明不同的勒索組織之間可能存在工具和技術的共享，增加了攻擊的複雜性和難以防範的程度。

🛡 如何保護自己？

面對這樣的威脅，以下是一些建議：

• 保持軟體更新：定期更新作業系統和所有應用程式，以修補已知的安全漏洞。

• 強化密碼安全：使用強密碼，並為重要帳戶啟用雙重驗證。

• 定期備份資料：將重要資料備份到外部設備或安全的雲端服務，確保在遭受攻擊時能夠恢復。

• 提高警覺性：避免點擊可疑的電子郵件連結或附件，這些可能是惡意軟體的來源。

總之，網路威脅日益複雜，保持警覺並採取適當的防護措施，是保護個人和組織免受勒索軟體侵害的關鍵。

資料來源：

https://www.helpnetsecurity.com/2025/03/26/ransomhub-edrkillshifter-tool/