文/鄭宜芬
臺灣遭受駭客攻擊的頻率居亞太首位。TeamT5 技術長李庭閣在 2025 TAS(Threat Analyst Summit)威脅分析師高峰會指出,追蹤這一年主要攻擊行動可歸納五大新興趨勢:鎖定邊緣裝置、雲端服務中繼站化、一次性惡意程式與混用、進階魚叉式網路釣魚與憑證竊取,以及大量濫用 IoT 設備作為跳板。此外,AI 已被攻擊者用於武器開發和認知作戰素材生成,而中國 APT 更已演變成「國家級生態系統」,對防守方構成極大壓力。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
- 避開 EDR 鎖定邊緣裝置
攻擊者為了繞過 EDR 偵測,將目標轉向邊緣裝置,如防火牆、閘道器(Gateway)和 VPN 設備。這些設備通常缺乏端點防護軟體,一旦遭入侵,風險極高。攻擊者甚至投入大量資源逆向封閉系統,開發專門武器,以達成長期控制。甚至有駭客對這些設備的了解程度,已超過原廠的產品支援工程師,導致原廠工具無法偵測到攻擊跡象。且攻擊 VPN 設備的特徵是能長驅直入企業內網,甚至只需竊取帳號密碼,不需植入後門即可在內網擴散。
- 雲端服務成為中繼站
攻擊者越來越常利用流行的雲端伺服器作為中繼站(C2)。對於資安人員來說,很難防範這類惡意通訊,因為流量可能顯示為連往 Google 或 AWS 的加密流量,難以偵測或阻擋。
- 惡意程式混用與「免洗筷現象」
今年團隊追蹤到的惡意程式超過 300 種,其中越來越多的惡意程式「用過一次就丟」,且為了避免被偵測到導致行動失敗,攻擊者還會混用 5 到 10 個不同的惡意程式,加大追查攻擊者身分的難度。
[ 推薦閱讀:資安雙面刃 生成式 AI 三大風險與機會 ]
- 進階魚叉式網路釣魚與憑證竊取
收集外洩的帳號密碼仍是主流攻擊手法,由於多因素認證(MFA)越來越普及,有些中國 APT 偷的不是傳統的電子郵件帳密,而是針對認證因素下首,以在短時間內直接存取目標帳戶資料;北韓的國家級詐騙則投入大量資源,使用多個通訊軟體,進行多角色扮演,甚至使用會議軟體模擬專業跨國公司的面試情境,並使用 AI 來生成對話和場景設定。
- IoT 裝置被高度濫用當入侵跳板
IoT 設備遍布企業環境,例如無線路由器、交換機、印表機、NAS 等,被被利用來攻擊的範圍遠超防守方的想像。例如曾有攻擊者透過員工筆電連回家中存在弱點的舊型路由器,先入侵家用路由器,再反覆感染筆電,作為進入企業內網的手段。
[ 推薦閱讀:防範威脅三關鍵:零信任、韌性、IT/OT 防線 ]
頃舉國之力 攻擊規模升級、手法每季翻新
- 供應鏈攻擊案例翻倍
李庭閣表示,根據歐美資安公司報告顯示,2025 年觀察到的供應鏈攻擊數量已是以往的兩倍。攻擊者藉由攻擊供應商來滲透目標組織,例如曾有雲端服務供應商將數十個客戶的帳密寫在 Excel 表格中,遭入侵後被駭客竊取,導致所有客戶的資料遭到暴露。
- 認知作戰與歸因戰
中國的 APT 行動常搭配認知作戰,試圖詆毀、醜化目標國家。例如,針對美國指控的關鍵基礎設施入侵事件,中國立刻發布文章否認,企圖模糊焦點。此外,中國亦曾動用較低層級的地方公安局對臺灣的資通電軍發布通緝,被視為貶抑對手的「下馬威」策略。
- AI 生成武器與輔助認知作戰
中、朝、俄、伊等國的 APT 利用 AI 生成程式碼、創作情境素材與支援武器化。團隊觀察到,由於 AI 生成程式碼常出現「冗長註解」或「貼心提醒」(如更改檔名),成為辨識 AI 參與攻擊的線索。目前 AI 雖只是協助的角色,但未來是否會進化成具自主性的攻擊代理人,仍須關注與防範。
- 中國 APT「舉國體制」生態系
中國的 APT 攻擊從單一駭客或團隊行動,演變為國家級生態系統。例如安訊、永信至誠、知道創宇等資安公司,在起訴書或外洩資料中被揭露各自扮演不同角色,提供技術服務,例如武器開發、入侵服務、建立中繼站網路架構等。在此犯罪結構中,國家單位負責制定任務和情資需求,下放給這些資安公司協作或競爭,再由技術高超的駭客執行。隨著攻擊手法每季翻新,一旦防守方被鎖定,將面臨整個國家力量的攻擊,形勢非常不利。
[ 推薦閱讀:供應鏈動搖企業防線 資安治理問責全面升級 ]
李庭閣最後表示,鑑於攻擊技術日益月新與國家級資源的投入,過往的資安防護概念已難以有效應對當前威脅。臺灣雖然較少發生針對供應商的法律訴訟,但已有金融公司將被入侵的供應商列為黑名單。由於訴訟舉證過程漫長且困難,受害者公司不願輕易提告,但若不朝此方向發展,供應商將難以正視資安問題。他並呼籲防守方必須更努力、更主動地找出潛藏的威脅與風險,在事態惡化前將其解決。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
