關閉選單
  1. Home
  2. NEWS最新消息
  3. 資安威脅情資
  4. 資安風險
顯示分類
2025.09.07
資安威脅情資/資安風險
2025年9月第一週 資訊安全威脅情資
根據2025年8月31日~9月6日間媒體報導資料,及台灣應用軟件每天發行的資訊安全日報, 整理出以下幾個資訊安全威脅情資,提供組織評估分析組織內部的管理、技術架構、系統設定維護等之參考。網頁上僅整理有限的風險情境資料,台灣應用軟件週報對每一則風險情境,有更詳細的分析評估資料,有需要的組織,可以來信或來電接恰我們。

威脅情資-250901
情資名稱:俄羅斯 APT28 透過 Microsoft Outlook 部署「NotDoor」後門。
情資說明:與俄羅斯軍事情報機構(GRU)相關的 APT28(Fancy Bear)正在針對北約成員國企業,利用 Microsoft Outlook 作為攻擊通道,部署新型 NotDoor 後門。此惡意程式透過 DLL 側載技術植入,結合 VBA 巨集在 Outlook 中監控郵件,當收到帶有特定觸發詞的郵件時啟動。
影響產品:Microsoft Outlook 與相關 Office 應用程式。
風險影響:攻擊者可竊取企業郵件、敏感檔案與內部通訊內容。
應對措施:部署進階郵件安全閘道(SEG),具備 AI/行為分析以阻擋惡意附件與巨集;禁用 Office 巨集,除非業務必須,並建立受控白名單政策。

威脅情資-250902
情資名稱:GhostRedirector 入侵 65 台 Windows 伺服器
情資說明:ESET 發現一個代號為 GhostRedirector 的新型威脅群集,自 2024 年 8 月以來已入侵全球至少 65 台 Windows 伺服器,該組織利用未明的初始存取途徑成功入侵伺服器後,部署 Rungan 後門 與 Gamshen IIS 惡意模組。
影響產品:Microsoft Windows Server 作業系統。
風險影響:Rungan 後門可用於竊取伺服器內的資料、憑證與客戶資訊。
應對措施:定期更新 Windows Server、IIS 與應用程式,封堵已知漏洞;強化 IIS 與 Windows 日誌監控,特別是針對 GoogleBot 請求與異常帳號建立。

威脅情資-250903
情資名稱:JSON 設定檔外洩 Azure Active Directory 憑證。
情資說明:Resecurity 的 HUNTER 團隊揭露,在一次安全評估中發現 Azure Active Directory (Azure AD) 應用程式憑證(ClientId、ClientSecret)被錯誤地硬編碼在公開可存取的 appsettings.json 檔案中。
影響產品:Azure Active Directory (Entra ID) ,以及Microsoft 365 應用與服務(SharePoint、OneDrive、Exchange Online、Teams)。
風險影響:攻擊者可冒充應用程式存取 SharePoint、OneDrive、Exchange Online 中的檔案與郵件。
應對措施:立即撤銷與輪換憑證:所有已暴露的 ClientSecret 視為已遭入侵;限制檔案存取:確保 .json、.config、.env 等設定檔不會對外公開,伺服器層應禁止此類檔案被網路存取。

​​​​​​​威脅情資-250904
情資名稱:Silver Fox APT 利用簽署的 Windows 驅動程式傳播 ValleyRAT
情資說明:資安公司 Check Point 揭露,與中國有關的 APT 組織銀狐(Silver Fox),透過一款合法簽署的 WatchDog Antimalware 驅動程式 (amsdk.sys) 漏洞,結合舊版 Zemana 驅動程式,設計惡意載入器來植入 ValleyRAT 遠端存取木馬。
影響產品:Microsoft Windows 10 / 11 作業系統、WatchDog Antimalware 驅動程式 (amsdk.sys) 。
風險影響:ValleyRAT 可竊取文件、憑證、活動紀錄,並持續監控受害者電腦。
應對措施:建立驅動程式白名單與完整性檢查,不僅依賴數位簽章驗證。

​​​​​​​威脅情資-250905
情資名稱:攻擊者濫用 Velociraptor 與 VS Code 建立 C2 隧道
情資說明:資安研究人員揭露,駭客組織濫用 Velociraptor(開源端點監控與數位鑑識工具),將其從合法防禦工具轉化為攻擊武器。攻擊者在滲透網路後,部署客製化 Velociraptor,進而下載 Visual Studio Code (VS Code),利用其遠端開發模組建立加密的 C2 隧道。
影響產品:Microsoft Windows 作業系統與內建工具(msiexec)。
風險影響:攻擊者可透過 C2 隧道竊取企業敏感資料、憑證與用戶資料。​​​​​​​
應對措施:部署 EDR/XDR,偵測合法工具的異常行為(如 Velociraptor 非授權安裝、VS Code 建立外部連線)。
 
本報告摘要整理2025 年8月31日~9月6日間的五個資訊安全風險情境,涵蓋 APT28 郵件後門、Windows 伺服器入侵、Azure AD 憑證外洩、惡意驅動程式濫用與合法工具 C2 隧道。
相關訊息
2025.09.05
訊息與報導/資訊安全
俄羅斯 APT28 透過 Microsoft Outlook 部署「NotDoor」後門

俄羅斯國家級駭客組織APT28,被發現針對北約成員國的企業發動攻擊,並部署一種名為「NotDoor」的新型Microsoft Outlook後門程式。

2025.09.05
訊息與報導/資訊安全
GhostRedirector入侵 65 台 Windows 伺服器

資安公司ESET揭露一個名為「GhostRedirector」的中國駭客組織,透過「Rungan」後門程式和「Gamshen」惡意IIS模組,入侵全球超過65台Windows伺服器。

2025.09.04
訊息與報導/資訊安全
JSON 設定檔外洩 Azure ActiveDirectory 憑證

解析 Azure Active Directory 憑證在公開檔案中外洩的技術細節與潛在風險

2025.09.03
訊息與報導/資訊安全
Silver Fox APT 利用簽署的 Windows 驅動程式傳播 ValleyRAT

資安研究團隊 Check Point 揭露「銀狐」APT 駭客組織一項複雜的網路攻擊行動,該組織利用一個經微軟合法簽署的 Windows 驅動程式漏洞,繞過資安防護,在受害者系統上植入 ValleyRAT 遠端存取木馬。

2025.09.01
訊息與報導/資訊安全
攻擊者濫用 Velociraptor 取證工具部署 Visual Studio Code 進行 C2 隧道攻擊

近期資安研究發現,有駭客組織濫用開源的數位鑑識與端點監控工具「Velociraptor」,作為其攻擊鏈中的重要環節。