大规模诈骗新闻网站攻击活动BaitTrap锁定50个国家而来 https://www.ithome.com.tw/news/169986 资安业者CM360近期发布一份调查报告引起关注，他们揭露使用超过1.7万个诈骗新闻网站 的投资诈骗活动，歹徒伪装成受到信任的新闻媒体，并冒用知名公众人物、金融机构的名 义，诱骗民众上当 文/周峻佑 | 2025-07-10发表 投资诈骗的事故频传，为了取信受害人，有些歹徒架设诱饵新闻网站（Baiting News Sites），以类似新闻报导的形式散布诈骗讯息，揭露此事的资安业者CM360侦测到超过 1.7万个网站，值得留意的是，这些网站都针对目标民众进行调整，以当地语言、名人、 金融机构来行骗。 本周有许多厂商发布7月份例行更新，其中又以SAP供应商关系管理平台的满分漏洞最危险 ，再者，Fortinet应用程式防火墙（WAF）的SQL注入漏洞也相当严重而值得留意；Citrix 修补VDI平台的代理程式高风险漏洞，有机会让攻击者得到SYSTEM权限。 【攻击与威胁】 大规模诈骗新闻网站攻击活动BaitTrap锁定50个国家而来，目的是进行网路投资诈欺 近年来网路投资诈骗事故频传，其中一种最常见的手法，就是攻击者打着名人的名号，并 透过社群网站、影音串流平台接触受害者，但也有骇客架设几可乱真的假新闻网站，藉此 引诱使用者上当。 举例来说，最近资安业者CM360揭露横跨全球50个国家的网路投资诈骗活动BaitTrap，就 是这样的情形。骇客架设超过1.7万个诱饵新闻网站（Baiting News Sites），这些网站 伪装成CNN、BBC、CNBC、News24、ABC News等受到信任的新闻媒体，发布捏造的消息，并 利用知名公众人物，以及国有银行、中央银行、商业银行等金融机构来建立信任，假借中 央银行总裁、国家领导人，或是公众人物的名义，宣称意外发现透过加密货币致富秘密方 法，藉此诱骗使用者掉入投资诈骗的陷阱。 值得留意的是，这些诱饵新闻网站往往会针对攻击目标量身打造，使用当地语言、当地民 众熟悉的品牌、金融机构，以及公众人物，来增加诈骗成功的机会。这类网站在中东地区 最泛滥，有超过一万个；其次是亚太地区，约3,400个，但也有针对大洋洲、欧洲、美洲 、非洲的诱饵新闻网站。 伊朗骇客BladedFeline部署新型IIS与Exchange後门，渗透中东多地区政府 资安公司ESET揭露与伊朗关联的骇客组织BladedFeline，持续渗透中东多地区政府与能源 、电信单位，锁定IIS与Exchange伺服器，并大规模散布Whisper、PrimeCache等新型後门 程式。研究人员发现，BladedFeline自2017年起便长期潜伏於库德自治区政府系统，2024 起更已成功入侵伊拉克中央政府多名高阶官员的网路环境。 BladedFeline整体行动目标以蒐集中东地区政府与重要产业的敏感资讯为主，ESET推测其 活动可能替伊朗取得区域政治与情报相关资料。 根据ESET的程式码分析，并比对受害目标族群及攻击手法，BladedFeline推测可能是伊朗 APT34（OilRig）旗下的子群组。该组织透过多种後门与反向通道工具，建立一套成熟的 渗透、持久化 及扩张三阶段攻击链，其中，IIS原生模组PrimeCache为关键技术，能被动 拦截HTTP请求，并透过加密Cookie藏匿控制讯息，将参数分段接收、快取再组合执行，有 效规避传统防御。PrimeCache全程采用RSA与AES-CBC加密并以Base64编码，使其攻击流量 具隐蔽性不易被侦测。 窃资软体GiftedCrook威胁加剧，从浏览器窃密成为情资收集工具 今年4月乌克兰电脑紧急应变团队（CERT-UA）揭露名为GiftedCrook的窃资软体，骇客组 织UAC-0226针对该国军事单位、执法机关、地方自治团体而来，特别偏好位於乌克兰东部 边境的组织。这些骇客散布带有Excel巨集附件档案的电子邮件，一旦收信人开启，就会 在电脑植入恶意软体，其中一个就是GiftedCrook。如今相关攻击活动升级，骇客强化此 窃资软体的危害能力，导致相关威胁加剧。 资安业者Arctic Wolf针对此窃资软体进行追踪、调查，指出在CERT-UA揭露之後，骇客两 度改版增加功能，从原本能够窃取浏览器存放的使用者资料，变成能同时窃取受害电脑的 特定档案，成为骇客用来收集情资的工具。由於新版GiftedCrook出现的时间，恰巧与在 伊斯坦堡举行的乌克兰和平谈判时间点吻合，因此他们推测骇客的目的，很有可能就是要 收集乌克兰政府与军事单位的情报。 其他攻击与威胁 ◆日本制铁子公司传出遭到零时差漏洞攻击 ◆网钓攻击LogoKit滥用Cloudflare Turnstile、Amazon S3，冒充受到信任的组织从事攻 击 ◆骇客滥用Amazon、微软云端基础设施架设CDN服务Funnull，意图隐藏恶意基础设施 【漏洞与修补】 SAP修补供应商关系管理平台重大漏洞，问题出在攻击者能趁机以管理员身分执行OS命令 本周二SAP发布7月份Security Patch Day例行更新，其中最值得留意的部分，是存在於供 应商关系管理平台（Supplier Relationship Management，SRM）的满分漏洞 CVE-2025-30012，非常危险，IT人员应尽速处理。 这项漏洞存在於SRM的Live Auction Cockpit工具，起因是此工具搭配已经弃用的Java Applet元件，未通过身分验证的攻击者可以使用特定的格式编码，来发送恶意酬载请求。 一旦伺服器端程式（Servlet）收到请求并解码，就会造成资料的反序列化，从而让攻击 者以SAP管理员执行任意的作业系统命令，严重影响应用程式的机密性、完整性、可用性 。 Citrix修补VDI平台本机权限提升资安漏洞 7月8日Citrix针对旗下的虚拟桌面平台（VDI）Citrix Virtual Apps and Desktops（ CVAD）、Citrix DaaS发布资安公告，修补Windows版Virtual Delivery代理程式的资安漏 洞CVE-2025-6759，此为本机权限提升漏洞（LPE），仅取得低权限的攻击者有机会藉此得 到SYSTEM身分，4.0版CVSS风险评为7.3，影响现行版本（Current Release）与2402长期 支援版（LTSR）的CVAD，2203 LTSR不受影响，该公司推出2503、2402 LTSR CU1 Update 1、2402 LTSR CU2 Update 1修补。 这项弱点可能带来哪些影响？通报漏洞的资安业者Rapid7表示，取得低权限的攻击者能藉 由复制外泄的SYSTEM处理程序，并藉由漏洞以SYSTEM权限孳生新的处理程序。 Fortinet修补网页应用程式防火墙重大SQL注入漏洞 Fortinet本周释出安全公告，修补网页应用防火墙（WAF）产品FortiWeb的重大风险漏洞 ，若不处理可能导致SQL程式码注入攻击。 本漏洞编号CVE-2025-25257，为对SQL指令中特殊元件的不当中和（Improper Neutralization），即未对输入的特殊字元进行适当处理，导致这些字符被SQL引擎误判 为SQL指令，形成SQL 注入。本漏洞可让未经授权的攻击者可经由传送HTTP或HTTPS呼叫， 执行SQL程式码或指令，CVSS风险值达9.6。 其他漏洞与修补 ◆Ruckus网路设备集中管理平台存在一系列资安漏洞 ◆Splunk修补SOAR平台第三方元件漏洞，其中包含已遭利用的Git重大漏洞 【资安产业动态】 AWS揭露用生成式AI帮助资安的5种场景，不只程式码修补、API安全测试，还有日志分析 速度快50倍 如何善用生成式Ai帮助资安防御，是所有企业、资安厂商与资服业者，都在努力发展的重 要课题，过去已有国内外业者分享这方面的实务经验，例如奥义智慧、趋势科技、Google 等，近期AWS於美国费城举办年度资安会议re:Inforce 2025，该公司也揭露其内部实际应 用生成式AI协助资安工作的实际经验。 今年大会有多位AWS高层主管说明应用成果与观察，我们整理出5大类型，涵盖：程式码修 补自动化、自动化API安全测试、云端回应团队分析与应变加速，以及MadPot产品分析与 诱捕能力的强化，甚至还有威胁建模的应用。 -- Mr. Raindrop, falling away from me now. / / ∕︵︵︵︵︵︵︵﹨ Mr. Raindrop, falling away form me now. / / ◢██◣ ∥ / / Do you know how much you mean to me, why must you leave? ⊙ ⊙ ∥ I'm just a flower on a tree, why must you leave? ◢ ▆ / / Mr. Raindrop, falling away from me now. --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.243.16.218 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bunco/M.1752152959.A.360.html