2025/4/7 -2025/4/11 資安一週大事
- Ricky Chen / SOC資安工程師
- 7天前
- 讀畢需時 7 分鐘
VPN、資料外洩
[4月7日] 多款熱門VPN被指由與中國政府相關業者控制
有些免費VPN表面上看起來沒問題,但背後可能跟中國的公司,甚至是中國政府或軍方有關。如果你下載這些VPN來用,可能會在不知情的情況下,把你的上網資料送到別人手裡。
🔹 VPN 介紹
什麼是VPN?
VPN(虛擬私人網路)是一種讓你上網更安全、保護隱私的工具,有些人會用來翻牆、連公司內網,或是防止被追蹤。
為什麼會有問題?
美國的 Tech Transparency Project 與《金融時報》聯合調查發現,有幾款熱門的免費 VPN,表面看似由海外公司經營,實際卻可能由與中國政府或軍方有關的企業掌控。這些公司透過使用英文名稱、註冊海外等方式,刻意掩蓋其中國背景,讓使用者誤以為安全可靠。
然而根據中國法律,所有中國企業都有義務配合政府調查,提供用戶資料。這意味著:當你使用這些 VPN 時,你的上網行為、帳號密碼、甚至信用卡資訊,極有可能被記錄、儲存,並在政府要求下交出。
換句話說,你以為正在保護自己的隱私,實際上可能正暴露在監控之下。
⚠️ 被點名的VPN有哪些?
以下這些VPN被認為與中國資安公司「奇虎360」有關,TTP提醒大家要小心使用:
TurboVPN
VPN Proxy Master
SecureVPN
SnapVPN
X-VPN
這些VPN都曾經或仍然在 Apple App Store 和 Google Play 商店上架,下載人數也很高,但來源不透明、風險很大。
🛡 建議
不要輕易相信免費VPN:天下沒有白吃的午餐,免費VPN往往會用你的資料換錢。
選擇信譽良好的VPN服務:例如 NordVPN、ProtonVPN、Mullvad、Surfshark 等,這些有明確政策、歐洲或美國註冊的VPN,信任度較高。
注意App開發者資訊:下載前先看看開發者是誰,有沒有透明的公司背景,Google一下評價或報導。
資料來源:
零日漏洞、微軟
2025年4月8日,微軟發布了每月的「補丁星期二」更新,修補了超過120個安全漏洞,其中包括一個已被積極利用的零時差漏洞(CVE-2025-29824)。
🔹 漏洞介紹(CVE-2025-29824)
CVE-2025-29824是一個存在於Windows系統中「通用紀錄檔系統」(CLFS)驅動程式的「使用已釋放記憶體」(use-after-free)漏洞。 攻擊者可以利用此漏洞,在已入侵的Windows電腦上提升權限,獲得系統最高權限(SYSTEM)。
🚨 誰在利用這個漏洞?
微軟的威脅情報部門發現,一個名為Storm-2460的攻擊組織正在利用CVE-2025-29824漏洞發動勒索軟體攻擊。 受害者包括美國的IT和房地產企業、委內瑞拉的金融機構、西班牙的軟體公司,以及沙烏地阿拉伯的零售業者。
⚠️ 哪些系統受到影響?
此漏洞影響多個 Windows 作業系統版本,僅 Windows 11 24H2 被確認不受影響。
🛡 如何保護您的系統?
為了確保您的電腦安全,建議您立即執行以下步驟:
更新系統:安裝微軟在2025年4月8日發布的最新安全更新,以修補CVE-2025-29824漏洞。
監控系統活動:使用端點偵測與回應(EDR)或擴展偵測與回應(XDR)工具,密切監視CLFS驅動程式的活動,留意是否有異常行為。
限制遠端桌面協定(RDP)存取:確保RDP不對外開放,或僅允許受信任的IP地址存取,以降低被攻擊的風險。
資料來源:
擴充套件、挖礦程式
攻擊者在微軟的Visual Studio Code(VSCode)擴充套件市集中上架了惡意的擴充套件,這些套件在短短4天內下載量超過100萬次。 一旦開發者安裝了這些套件,他們的電腦可能會被植入名為XMRig的挖礦程式,導致系統資源被濫用來挖掘門羅幣(Monero)。
⚠️ 擴充套件的潛在風險
惡意程式碼潛藏其中
擴充套件就像一個小程式,如果作者故意加入惡意程式碼,它就能在你電腦上偷偷做壞事,例如竊取資料或安裝病毒。
偷偷連到外部網站
有些套件會在背景連到陌生伺服器,下載更多惡意內容,甚至把你的資料傳出去,像是瀏覽紀錄或帳號密碼。
利用你的電腦來挖礦
有些惡意套件會偷偷執行挖加密貨幣的程式,讓你的電腦變慢、電費變高,資源被白白浪費。
取得過多權限
擴充套件有時候會要求不必要的系統權限(像是執行指令或存取檔案系統),一旦被濫用,等於讓駭客有機會控制你的電腦。
偽裝成熱門工具
惡意開發者可能會用看起來很像知名套件的名稱來上架套件,甚至刷五星評價,讓人誤以為它是安全的。
🚨 攻擊方式
惡意程式碼藏在擴充套件中
攻擊者將惡意 JavaScript 程式碼嵌入 VS Code 擴充套件,這些程式碼會在套件安裝或啟用時執行。
自動下載與執行挖礦程式
套件會自動從外部伺服器下載挖礦工具(如 XMRig),並悄悄在背景執行,挖掘加密貨幣(Monero)。
利用 VS Code 的執行權限
因 VS Code 有一定的系統權限,惡意套件能繞過防護限制,執行各種命令與安裝惡意檔案。
偽裝成熱門工具,騙取信任
使用與知名套件相似的名稱或描述,並利用機器人灌水下載數,提升可信度。
可能自動更新或變更行為
套件可能內含遠端控制功能,攻擊者能隨時更新惡意指令或下載其他惡意工具。
⚠️ 安裝前該注意什麼?
確認開發者身份
可優先考慮微軟推薦、或已知安全開發社群的清單。
開發者帳號是否有歷史、維護其他受信套件
查看 GitHub 是否有持續維護、最近一次更新時間是否合理
避免安裝來源不明、名字可疑的開發者作品
檢查下載數與評價
太新或下載數極少的套件需小心
評價中是否有人回報有異常行為或問題?
看評論是否自然、有沒有刷評價嫌疑
仔細核對套件名稱
有無拼字錯誤、名稱太相似(如 Pretier vs Prettier)
是否在模仿熱門工具,但非原廠推出
閱讀權限與行為說明
安裝頁面是否說明會使用網路、背景執行、寫入檔案等行為
開源專案是否有 GitHub 倉庫可查看原始碼?
資料來源:
監視器、殭屍網路
駭客正大量攻擊中國品牌 TVT 的監視器設備(NVMS9000 DVR)。自三月底以來,攻擊次數暴增,其中一天就有超過 2500 台設備遭入侵,是平常的三倍以上。
攻擊者利用已知漏洞入侵裝置,將其納入殭屍網路,用於擴大後續攻擊行動。
🔹 漏洞概述:CVE-2024-7339
漏洞類型:資訊洩漏(Information Disclosure)
影響設備:TVT DVR 型號如 TD-2104TS-CL、TD-2108TS-HP,以及其他品牌如 Provision-ISR 和 AVISION 的部分 DVR 型號
漏洞描述:攻擊者可透過未經授權的遠端請求,存取設備的敏感資訊,包括使用者名稱、密碼、網路設定等
🚨 攻擊方式
掃描網路設備
駭客先使用自動化工具,在網路上尋找開放的TVT NVMS9000 DVR設備。
利用漏洞獲取敏感資料
利用該漏洞,直接從設備取得使用者帳密或設定資料。
登入與控制設備
取得帳密後,遠端登入監視設備,取得完全控制權。
植入惡意程式碼
把設備加入到殭屍網路(Botnet)中,進一步攻擊其他系統或發動DDoS攻擊。
🛡 建議
韌體更新:立即聯繫設備供應商,確認是否有針對 CVE-2024-7339 的修補程式,並儘速更新
存取控制:限制對 DVR 設備的網路存取,僅允許可信任的 IP 位址連線
帳號安全:更改預設帳號密碼,並使用強密碼策略
監控與日誌分析:定期檢查設備的存取日誌,留意異常活動
資料來源:
Ivanti、資安漏洞
Ivanti SSL VPN 產品 Connect Secure(ICS)中存在嚴重安全漏洞 CVE-2025-22457。中國駭客組織 UNC5221 已被發現利用此漏洞進行攻擊,並在受害者係統中部署惡意軟體。
🔹 CVE-2025-22457
為「記憶體緩衝區溢出」(Stack-based Buffer Overflow) 漏洞。攻擊者可以利用此漏洞,通過發送特製的資料包來觸發緩衝區溢出,進而遠端執行任意程式碼。
🔹 記憶體緩衝區溢出漏洞
記憶體緩衝區是程式執行時用來暫存資料的一塊區域。
如果程式沒正確檢查輸入資料的大小,攻擊者就可能輸入超過緩衝區容量的資料,進而覆蓋其他記憶體內容,導致程式錯誤崩潰,甚至讓駭客執行惡意程式碼。
⚠️ 漏洞影響有多大?
全球有數千台伺服器受影響
台灣就有將近300台還沒修補,等於門還是開著的
一旦被入侵,可能導致公司內部系統機密外洩,甚至癱瘓
🛡 建議
立即修補漏洞
儘快更新 Ivanti 官方釋出的安全修補程式(Patch)。
若無法馬上更新,建議暫時停用該設備或限制對外連線。
強化帳號與登入安全
啟用 多因素驗證(MFA),防止帳號被盜後直接登入設備。
檢查是否有預設帳號未更改密碼,並移除不必要的帳號。
檢查是否已被入侵
透過 EDR、SIEM 工具查看是否有異常登入或連線記錄。
檢查是否有異常檔案、程序或後門程式被植入系統。
限制設備的外部存取
VPN 管理介面應設為 內部存取,避免對外公開。
將設備存取設限於特定 IP 或位置。
資料來源:
Comments