企業資安部落格文章精選(隨時更新)
深入剖析 Shadow-Earth-053:一場針對亞洲政府與國防部門的親中網路間諜行動
一個與中國立場一致的威脅組織正在利用未修補的 Microsoft Exchange 漏洞,對亞洲各地的政府及關鍵基礎設施目標實施網路間諜活動,其影響範圍甚至延伸至亞洲以外地區。
- 起新發現的親中網路攻擊行動,正瞄準南亞、東亞及東南亞政府機關與關鍵基礎設施,以及某個北大西洋公約組織 (NATO) 會員國。我們目前暫時將這起活動歸納在 SHADOW-EARTH-053 入侵集合來持續加以追蹤。
- 此外,有將近半數的受害裝置也曾遭到另一個相關的入侵集合 (SHADOW-EARTH-054) 駭入,兩者的工具雜湊碼及 TTP 都重疊,但證據顯示這應該是同樣的漏洞遭到各自獨立的攻擊,而非直接的聯合行動。
- 駭客集團攻擊了對外連網的 Microsoft Exchange 和 Internet Information Services (IIS) 伺服器的 N 日 (N-day) 漏洞,例如 ProxyLogon 漏洞鏈,接著部署 webshell (網站指令列介面,如 GODZILLA) 來常駐於系統,並經由 DLL 側載方式植入合法簽署的 ShadowPad 執行檔。
- 這些老舊的 Microsoft Exchange 漏洞依然是駭客突破防線的有效管道。SHADOW-EARTH-053 能夠成功利用這些早已修補的問題,證明企業還在使用老舊或未修補的 Exchange 伺服器,因此仍面臨信箱被駭、登入憑證被竊取,以及駭客長期躲藏的重大風險。
⟫ 完整文章
從 Canvas 大規模外洩事件,看教育產業的供應鏈資安風險
2026 年 5 月,SHADOW-AETHER-015 外洩了 50 個國家共 8,809 家 Canvas 客戶的資料,這起事件的起因似乎是 Canvas 的母公司 Instructure 的平台後端系統遭駭客入侵所導致。此次外洩事件影響了全球各地的大專院校、幼稚園至高中 (K-12) 學區,以及教學醫院,其中包括八家常春藤聯盟 (Ivy League) 學校。由於 Canvas 會儲存個人揭露的敏感資訊,例如:住宿申請時的醫療資料以及與顧問的私人對話,因此其最大風險在於假借真實機構名義的高度針對性魚叉式網路釣魚。至於立即性的風險則包括:後續的社交工程攻擊、登入憑證濫用,以及針對性網路釣魚攻擊。
複製指令就中招?深入剖析假冒 Claude Code 的 InstallFix 攻擊鏈
- InstallFix 攻擊行動的社交工程技巧瞄準了正在尋找 Anthropic Claude AI 的使用者,透過 Google Ads 來推銷假的安裝網頁,進而散布惡意程式。
- 駭客會利用逼真且對應作業系統的安裝指示來誘騙使用者執行惡意的 PowerShell 指令,進而啟動一個多重階段的感染鏈,包括使用 mshta.exe、加密編碼腳本,以及無檔案惡意程式散布技巧。
- 這起行動的感染鏈還包含了進階躲避技巧,例如:躲避 Windows 惡意程式掃描介面 (AMSI)、停用 SSL 憑證驗證,以及受害者專屬的幕後操縱網址,讓偵測與矯正變得更加複雜。
- TrendAI Vision One™ 的監測資料證實了駭客會建立排程工作來常駐於系統,同時也觀察到連上駭客 CC 伺服器的網路流量。
- 這起行動瞄準了美洲、亞太地區、中東與非洲 (AMEA) 以及歐洲的企業機構,包括政府機關、電子、教育、食品飲料等產業。
