Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期LockBit 5.0 勒索軟體再度現身，並帶來多項技術升級，顯示該勒索家族仍在勒索軟體生態系中維持高度活躍與影響力。 LockBit 5.0 不僅強化程式混淆與反向分析防禦機制，更進一步加強其跨平台運作能力。 根據趨勢科技研究團隊的樣本分析，LockBit 5.0 已出現可針對 Windows、Linux 與 VMware ESXi 等多種系統環境運作的變種，讓攻擊者能以單一攻擊行為影響混合雲或虛擬化環境，對企業營運造成更大範圍的影響。 根據樣本分析，Window平台的二進位檔案採用大量混淆與打包技術，利用多項反分析技術，包含繞過Event Tracing for Windows(ETW)與終止安全相關服務等方式下，透過DLL反射載入惡意酬載(payload)。 Linux版本則延續類似攻擊手法，並新增針對特定目錄和檔案類型的命令列選項，以提高攻擊精準度。 另一個針對VMware虛擬化環境的ESXi 變體，能在單次攻擊中加密整個虛擬機器下的基礎架構，進一步擴大營運中斷風險。