事件摘要

台積電供應鏈兼輝達GPU系統級測試(SLT)獨家供應商致茂電子股份有限公司(2360 / CHROMA於9月17日傍晚18:41分，於MOPS公開資訊觀測站發布重大訊息，說明該公司資訊系統遭受駭客網路攻擊。

這是新興勒索軟體集團Warlock首度針對台灣半導體產業下手，該駭客集團昨天在暗網宣布駭入先進封裝測試設備大廠致茂網路系統，限期17天聯繫支付贖金，否則將公布所有資料，這起事件凸顯半導體供應鏈可能成為全球駭客組織眼中的重點目標。這次攻擊的駭客組織Warlock，今年6月才首度現蹤俄語RAMP犯罪論壇，以「想要藍寶堅尼？請聯絡我」等高調廣告招募成員，該組織採用 勒索軟體即服務（RaaS）模式，提供攻擊建構器、教學手冊、受害者管理平台與資料洩漏站，讓任何付費的網路犯罪者都能快速展開完整攻擊流程。

WarLock駭客組織背景

1. 類型與手法：WarLock是一個以勒索軟體（Ransomware）為主要攻擊手段的駭客團體，活動模式類似於其他勒索集團，如LockBit或BlackCat。他們通常透過漏洞利用、釣魚郵件或憑證竊取進入企業系統，進行資料加密與竊取，並要求贖金。
2. 活躍時間：該組織於2025年4月首次被資安社群追蹤，6月在RAMP論壇上公開招募漏洞與合作夥伴，近期開始頻繁出現於資安通報與地下論壇。
3. 身份與組織結構：目前尚無明確的地理來源或核心成員身份，但部分成員（如代號“cnkjasdfgd”）曾在駭客論壇上公開宣稱攻擊行動並展示樣本資料。
4. 技術特徵：雙重勒索模式、零日漏洞利用（特別是SharePoint），以及使用勒索即服務（RaaS）架構。

WarLock駭客組織近期重大攻擊案例

自Warlock 成立以來，在短短的幾個月內，發生多起攻擊案例，例如：

1. 致茂電子（2025 年 9 月）： 報導指出，致茂電子也成為 Warlock 的攻擊目標。此事件特別引人關注，因為這是 Warlock 首次針對台灣半導體產業發動攻擊，凸顯了半導體供應鏈成為駭客目標的趨勢。
2. Colt Technology Services（2025 年 8 月）： 這家全球性的電信服務供應商遭 Warlock 勒索軟體攻擊，導致部分內部支援系統離線。駭客集團聲稱竊取了超過一百萬份文件，並在暗網上以 20 萬美元的價格出售。
3. 多家微軟 SharePoint 伺服器用戶（2025 年 7 月）： Warlock 駭客集團利用微軟 SharePoint 伺服器中的漏洞（被稱為 ToolShell）進行攻擊。微軟表示，一個名為 Storm-2603 的中國駭客組織正在利用該漏洞部署 Warlock 勒索軟體，數週內受影響的組織超過 148 家。
4. 多家企業與組織（2025 年 7 月起）： 根據資安公司的報告，Warlock 在其首次現身後的一個月內，已聲稱攻擊了至少 16 家受害者。這些受害者涵蓋了政府、金融、製造、科技與消費性產品等多元產業。
5. Lactanet（2025 年 4 月起）：Lactanet 是一家加拿大全國性的乳牛遺傳與管理組織，為該國酪農產業提供關鍵服務。Lactanet 在 2025 年 4 月遭受勒索軟體攻擊。與 Arch-Con 類似，此事件最初並未直接歸因於 Warlock。但隨著 Warlock 在暗網上列出受害者，Lactanet 也被納入其中。
6. Arch-Con Corporation（2025 年初）：Arch-Con Corporation 是一家位於美國的建築公司，該公司的系統在 2025 年初遭遇勒索軟體攻擊，當時主要被歸咎於 Black Basta 駭客組織。然而，隨著 Warlock 浮出水面，該集團隨後在暗網上聲稱對這次攻擊負責，並將 Arch-Con 列為其受害者之一。

防禦模型建構（IOFA架構）

1. 識別（Identify）

• 建立資產清冊，特別是公開服務（如SharePoint、Exchange）
• 評估憑證管理與帳號權限分配

2. 防禦（Protect）

• 修補CVE-2025-53770等高風險漏洞
• 實施Zero Trust架構，限制橫向移動
• 加密敏感資料並限制存取權限

3. 偵測（Detect）

• 監控PowerShell異常行為與註冊表變更
• 建立IOC比對機制，偵測C2通訊與勒索副檔名
• 使用EDR/XDR工具追蹤進程注入與憑證竊取行為

4. 回應（Respond）

• 建立勒索事件應變計畫（含法律、溝通、技術）
• 封鎖C2 IP與域名，隔離受感染主機
• 通報資安機構與受影響客戶

5. 復原（Recover）

• 定期備份並離線儲存
• 測試災難復原流程，確保可快速恢復營運
• 進行事後分析與教育訓練

 

安全建議與防範重點

Warlock 駭客集團的崛起與其「勒索軟體即服務（RaaS）」模式密切相關。他們利用微軟 SharePoint 伺服器的漏洞（被稱為 ToolShell）發動了大規模攻擊，在短時間內聲稱攻擊了上百家組織。Arch-Con 和 Lactanet 的案例顯示，Warlock 不僅直接發動新攻擊，也可能透過與其他駭客組織的合作或利用其先前的成果，來擴大其受害者名單和影響力。除了參考「防禦模型建構（IOFA架構）強化控制措施外，組織可以額外評估以下作業的改善需要：

1. 漏洞管理：優先修補已知高風險漏洞，特別是SharePoint、Exchange等常見入口。
2. 監控與通報：建立威脅情報通報機制，監控地下論壇與勒索網站動態。
3. 備份與應變：強化資料備份與災難復原計畫，確保在遭遇加密攻擊時能快速恢復。

備註：

IOFA 是由資安公司 Silent Push 所提出的概念，用來識別攻擊者尚未啟動但已準備好的基礎設施，「未來妥協指標」（IOFA，Indicators of Future Attack™）是一種新型的資安概念，專注於預測和阻止尚未發生的攻擊，例如：
a)   新註冊的惡意網域名稱
b)   可疑的 IP 位址
c)   DNS 記錄異常
d)   攻擊者慣用的部署模式或技術指紋
這些指標不是針對已發生的攻擊，而是針對攻擊者正在準備的行動，讓防禦方可以「先發制人」。

Silent Push 於2025年9月中旬宣佈在 B 輪融資中籌集 1,000 萬美元，用於增強該公司的平台並促進其全球擴張。Silent Push 提供主動威脅情報，在惡意基礎設施被用來發動攻擊之前識別並繪製惡意基礎設施。該公司向客戶提供所謂的「未來妥協指標」（IOFA），該指標是透過持續掃描網路並分析網路內容、DNS 記錄和 WHOIS 資訊等數據獲得的。