要求使用者依照特定指示操作的網釣攻擊手法ClickFix，近半年接二連三出現，如今出現專門針對特定行業的攻擊行動，引起研究人員關注並提出警告。

微軟威脅情報團隊從去年12月的旅遊旺季，察覺專門針對旅館業者的ClickFix網釣攻擊行動，駭客組織Storm-1865假借訂房網站Booking.com的名義發送釣魚郵件，意圖散布能竊取多種帳密資料的惡意程式。值得留意的是，這波攻擊行動仍在持續進行當中。

駭客攻擊的範圍相當廣泛，涵蓋北美、大洋洲、南亞及東南亞，歐洲北部、南部、東部、西部都有災情。遭到攻擊的目標存在共通點，那就是大部分都與Booking.com有合作關係。

在這波攻擊當中，駭客先鎖定可能與Booking.com合作的旅館及相關人士，假借該訂房網站名義寄送惡意郵件，信件內容相當多元，包括旅客的負面評論、潛在客戶需求、網路促銷機會，以及帳號驗證等。然而，這些郵件存在共通之處，不是內文包含URL連結，就是挾帶的PDF附件存在URL，駭客引誘收信人點選，對Booking.com進行回覆。

然而收信人一旦點選，就會被帶往冒牌的Booking.com網站進行CAPTCHA圖靈驗證，要求依照指示操作，先透遇快速鍵開啟執行視窗，然後貼上駭客的命令並執行，從而在受害電腦植入各式惡意軟體。

這些惡意程式包含XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT，此外，研究人員也看到下載PowerShell、JavaScript程式碼的情況。

而對於上述的惡意程式及程式碼，微軟指出都具備竊取財務資料及帳密資斗的能力，攻擊者再將其用於詐欺活動。不過，Storm-1865假冒Booking.com從事攻擊的情況已有前例，2023年這些駭客使用類似的社交工程手法，打著該訂房網站的名號，鎖定旅館房客散布惡意程式。

文章來源

提供網站防護功能的外掛程式一旦出現漏洞，不僅可能讓其防護能力失效，還有可能讓攻擊者對網站上下其手，而最近專精網站安全的資安業者Patchstack揭露的漏洞，就是這種例子。

3月20日Patchstack警告WordPress資安外掛WP Ghost存在重大層級的本機檔案包含（Local File Inclusion，LFI）漏洞，若不處理攻擊者有機會遠端利用漏洞，從而執行任意程式碼（RCE），這項漏洞被登記為CVE-2025-26909，CVSS風險評為9.6（滿分10分），相當危險，研究人員呼籲網站管理者應儘速套用5.4.02版外掛程式因應。

WP Ghost是相當受到歡迎的免費資安及防火牆外掛程式，有超過20萬個WordPress網站採用，號稱每個月成功封鎖9百萬次暴力破解嘗試，以及阻斷14萬次入侵。而對於如何強化網站的安全，開發者表示此外掛程式能變更或隱藏常見的漏洞，使得駭客或網站機器人難以利用WordPress、外掛程式、佈景主題的弱點。

這項漏洞之所以形成，Patchstack指出，由於使用者透過URL路徑輸入的數值驗證方式不夠完備，導致有心人士可趁機讀取或執行本機電腦的檔案（LFI）。研究人員特別提及在大部分的環境組態下，這項漏洞的存在，都有可能讓攻擊者有機會發動RCE攻擊，而且，攻擊者不需通過身分驗證就能利用這項弱點。

不過，攻擊者想利用這項漏洞利用還是有門檻要克服，那就是：必須設法將WP Ghost的變更路徑功能設置為Lite模式或Ghost模式，而在系統預設狀態之下，這些模式會是停用的。

文章來源

兩年前公布的已知漏洞近期再傳新的攻擊行動！資安業者Cato Networks揭露發生在今年1月上旬的攻擊行動，駭客鎖定的標的，就是尚未修補CVE-2023-1389的TP-Link無線基地臺Archer AX21。

這波攻擊行動駭客綁架了超過6千臺無線基地臺組成殭屍網路，範圍涵蓋美國、澳洲、中國、墨西哥，這樣的情況突顯該漏洞在TP-Link發布相關更新之後，迄今仍有不少設備尚未修補，而讓駭客有機可乘。

【攻擊與威脅】

殭屍網路Ballista綁架尚未修補的TP-Link設備，逾6千臺遭感染

TP-Link於2023年3月修補旗下Archer AX21無線基地臺漏洞CVE-2023-1389，隔月就開始出現針對未修補用戶的相關攻擊行動，去年更出現同時有6個殭屍網路試圖綁架該型號無線基地臺的情況。事隔兩年，最近再度傳出利用此漏洞攻擊所造成的新資安事故。

資安業者Cato Networks指出，他們在今年1月上旬發現新一波的漏洞利用活動，殭屍網路Ballista鎖定美國、澳洲、中國、墨西哥而來，針對醫療保健、服務業、科技組織發動攻擊，試圖透過有效酬載注入來利用CVE-2023-1389，從而得到初始入侵管道，得逞後下載載入惡意程式的bash指令碼並執行，將Ballista植入受害裝置，目前有超過6千臺裝置受害。

為隱匿行蹤，此殭屍網路病毒使用82埠建立經加密處理的C2通道並進行通訊，自動嘗試利用CVE-2023-1389感染網際網路上的其他設備。一旦接收到C2的命令，該病毒能在受害設備執行Shell命令，或是進行DDoS攻擊。

針對微軟修補的Win32核心子系統零時差漏洞，傳出在2年前就遭到利用

本週微軟發布3月份例行更新，其中修補一項已被用於實際攻擊行動的Win32核心子系統權限提升漏洞CVE-2025-24983，通報此事資安業者ESET透露，這項漏洞被利用的情況，最早可追溯到2年前。

究竟這項漏洞引發什麼樣的災情？ESET指出，有人從2023年3月開始，將其用於攻擊執行Windows 8.1及Server 2012R2作業系統的工作站電腦及伺服器，得逞後植入名為PipeMagic的後門程式。

ESET也對於這項漏洞發生的原因提出說明：在Win32k驅動程式使用名為WaitForInputIdle的API的特定場景當中，會發生W32PROCESS解除引用（dereference）的次數與應有次數不一致的現象，而造成記憶體釋放後再存取使用的現象。

文章來源