關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
  4. 資安風險
顯示分類
2025.12.21
漏洞與風險/資安風險
2025年12月第三週 資訊安全威脅情資

根據2025/12/14~2025/12/20間國外媒體報導的資訊安全相關議題,以這些議題作為資訊安全威脅情資,進行風險分析作業,生成以下風險情境資料,提供組織評估是否存在類似風險之參考。組織可以參考下表資料,決定是否需進一步從CIA構面,分析風險影響,再據以建立風險處理措施。本週風險情境都可以在台灣應用軟件公司網頁當週的資料整理,找到原文報導資料。


威脅情資-251231
情資名稱:新型 ClickFix 攻擊利用偽造的瀏覽器修復程式安裝惡意軟體。
情資說明:攻擊者透過 ClickFix 社交工程攻擊,偽裝成瀏覽器或線上服務的「修復/驗證提示」,誘使使用者手動執行惡意 PowerShell 指令,下載並安裝 DarkGate 惡意軟體。由於惡意程式是由使用者主動執行,初期可繞過防毒與 EDR 偵測,進而建立遠端存取、竊取憑證並進行橫向移動,對企業端點與內部網路造成高度風險。
影響產品:企業身分與憑證管理系統(AD / SSO / OAuth 憑證):DarkGate 感染後具備憑證竊取與鍵盤側錄能力,可能導致企業帳號外洩,進一步引發橫向移動與內網擴散風險。

威脅情資-251232
情資名稱:GitHub React2Shell 掃描器被證實為惡意軟體。
情資說明:攻擊者在 GitHub 上發布偽裝成「React2Shell(CVE-2025-55182)漏洞掃描器」的惡意程式碼庫,但該專案實際內嵌惡意載荷,透過合法工具如 mshta.exe 執行惡意腳本並從遠端伺服器載入第二階段惡意程式。此工具偽裝成安全掃描器以吸引安全研究人員或開發者執行,將正常漏洞研究行為轉化為攻擊入口並可能導致系統被植入後載惡意程式。
影響產品:雖然本事件核心為惡意掃描器誘導,但該漏洞(React2Shell / CVE-2025-55182)本身屬於重大未授權遠端程式碼執行 (RCE) 漏洞,攻擊者可以藉由特製的 HTTP 請求觸發後端 RCE,影響 React Server Components 及相關 Web 應用服務。

威脅情資-251233
情資名稱:新型 PyStoreRAT 惡意軟體透過 GitHub 攻擊開源情報研究人員。
情資說明:攻擊者透過偽裝成 OSINT 工具、GPT 實用程式及開發套件的 GitHub 開放原始碼儲存庫散布 PyStoreRAT 遠端存取木馬(RAT)惡意模組。初始程式庫看似合法且經過社群星標與 Fork 人氣操作以提高可信度,誘使 IT/資安研究人員及開發者下載並執行,惡意載入器隨即透過 Windows 內建 mshta.exe 執行遠端載入的 HTML Application (HTA) 檔案並部署 PyStoreRAT,該 RAT 支援執行多種載荷、蒐集系統資訊及掃描加密貨幣錢包檔案,最終建立持久性、遠端控制與橫向擴散能力。
影響產品:主要目標為 IT 專業人員、資安分析師、開發者及開源情報(OSINT)實務者,其工作站環境由於下載與執行 GitHub 上的「工具程式碼」而意外成為初始感染點。

威脅情資-251234
情資名稱:偽造的 Microsoft Teams 和 Google Meet 下載傳播 Oyster 後門。
情資說明:攻擊者利用 SEO poisoning 和惡意廣告(malvertising)技術,在搜尋引擎結果(如 Google、Bing)中推高假冒的「Microsoft Teams 下載」或「Google Meet 下載」等熱門關鍵字,誘使使用者點擊惡意連結前往偽造下載網站,下載名為 MSTeamsSetup.exe 或其他看似正確的安裝程式;執行後這些偽裝安裝檔會在受害者系統植入 Oyster Backdoor 後門程式,建立持久存取與遠端控制管道,進一步提供攻擊者執行命令、蒐集資料、部署後續惡意載荷或橫向移動的能力。
影響產品:成功執行後門允許攻擊者透過遠端命令和控制(C2)管道與受害設備連線、執行指令、傳輸資料或下放其他惡意載荷(如勒索軟體或資料竊取程式等)。

威脅情資-251235
情資名稱:Forescout 揭示,工業路由器已成為 OT 網路攻擊的關鍵目標。
情資說明:研究揭示在工業營運技術(OT)環境中,工業路由器已成為攻擊者的主要攻擊目標。在 90 天的蜜罐觀察中,約 67% 的惡意活動和攻擊流量均指向 OT 邊界設備如路由器,遠高於 PLC 等被動執行設備(約 33%)。攻擊者主要利用弱口令、SSH/Telnet 暴力破解、漏洞利用和惡意軟體下載等方式侵入,形成持續性滲透與控制風險。
影響產品:OT 工業路由器(Industrial Routers)、OT 邊界設備/網絡閘道器、PLC(Programmable Logic Controllers)與現場裝置、SSH / Telnet 管理介面與遠端存取組件、OT 網絡監控與安全設備(IDS / IPS / SIEM / OT-aware EDR)。

 
本週彙整五則近期資安事件,分析風場景,這些情境都僅包含有限的資訊。風險評鑑人員可以依照需要,尋求顧問人員協助,或者應用過去處理風險的經驗,進一步執行風險評估、分析風險影響以及擬定應對措施。
相關訊息
2025.12.18
事件與威脅/資訊安全
新型 ClickFix 攻擊利用偽造的瀏覽器修復程式安裝 DarkGate 惡意軟體

深入探討新型 ClickFix 攻擊手法,分析駭客如何利用偽造的「Word Online」修復提示,誘騙使用者手動執行 PowerShell 命令以植入 DarkGate 惡意軟體。

2025.12.16
事件與威脅/資訊安全
GitHub React2Shell 掃描器被證實為惡意軟體

一個名為「React2Shell」的惡意GitHub專案,偽裝成CVE-2025-55182漏洞掃描器,實際卻傳播惡意載荷,對正在調查高關注度漏洞的安全專業人員構成直接風險。本報告詳細分析該惡意軟體的運作機制,包括利用Windows合法工具mshta.exe獲取第二階段惡意軟體的技術,並強調了在採用任何第三方安全工具時,必須進行程式碼審查和謹慎信任的重要性。

2025.12.15
事件與威脅/資料外洩
偽造的 Microsoft Teams 和 Google Meet 下載傳播 Oyster 後門

網路安全專家警告,網路犯罪者正透過 SEO 投毒和惡意廣告,誘騙金融業人士下載偽裝成 Microsoft Teams 和 Google Meet 的 Oyster 後門惡意軟體。了解攻擊細節與防護措施。

2025.12.15
事件與威脅/資訊安全
新型 PyStoreRAT 惡意軟體透過 GitHub 攻擊開源情報研究人員

資安公司 Morphisec 揭露新型 PyStoreRAT 惡意軟體活動,利用 AI 生成的 GitHub 專案,鎖定 OSINT 研究人員與 IT 專業人士,其高度適應性與逃避偵測的能力對傳統資安構成進化級挑戰。

2025.12.15
事件與威脅/工控安全
Forescout 揭示,工業路由器已成為 OT 網路攻擊的關鍵目標

Forescout Vedere Labs 的最新研究揭示,工業路由器等 OT 邊界設備正成為網路攻擊的主要目標,其遭受攻擊的比例遠高於暴露的 PLC 等 OT 資產。本報告深度剖析了這一趨勢背後的攻擊行為,包括以 SSH/Telnet 為主的暴力破解嘗試,以及惡意軟體下載的利用。同時,報告將針對長期活躍的 Chaya_005 威脅集群的洞察與攻擊鏈相結合,提供企業級的 OT 網路縱深防禦和風險緩解的實用策略。