半導體戰略背後的網路戰–資安攻擊鎖定設計、生產與財經分析師

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心美國資安公司 Proofpoint 最新揭露，三個與中國有關聯的駭客組織於 2025 年 3 月至 6 月間，針對台灣半導體產業發動大規模網路攻擊。 Proofpoint 在尚未經長期觀察以確認身份前，會將疑似進階持續性威脅（APT）組織以「UNK」為前綴命名，待身份確立後則改為「TAG」。 本次行動涉及的三個主要駭客組織分別為 UNK_DropPitch、UNK_SparkyCarp 與 UNK_FistBump。 報告顯示，過去中國駭客行動多集中在國防、政府及學術研究領域，但此次攻擊的規模與集中程度顯示，其戰略重心已轉向以台灣主要晶圓代工企業為核心的半導體生態系統，目標可能在於取得先進製程技術，或干擾針對中國的技術封鎖應對策略。 根據 Proofpoint 與開源威脅情報分析，攻擊者主要透過魚叉式釣魚（spear-phishing）郵件，並利用擬真的履歷表、產業報告、薪資資訊或投資分析內容作為誘餌文件，鎖定台灣半導體公司內部的工程師、人資與財經分析師，一旦受害者開啟附檔或點擊連結，便可在目標電腦中植入多種遠端控制工具，包括 Cobalt Strike beacon 與罕見的 Voldemort 後門程式，以維持長期潛伏並竊取敏感資料，實施間諜行為。 Proofpoint 進一步指出，UNK_DropPitch駭客組織更將攻擊範圍擴及研究機構與金融投資顧問，推測其意圖為掌握台灣晶片企業的未來動態與商業機密，對產業機密與供應鏈安全構成重大威脅。 UNK_FistBump駭客組織 UNK_FistBump於2025年5月至6月間入侵台灣大學研究生的電子郵件帳號，並冒用其身份向台灣半導體製造、封裝、測試及供應鏈相關企業的人力資源部門寄送多封釣魚郵件，偽稱為求職者以引誘收件人開啟附件，如圖1所示。 這些郵件附件包含指向 Zendesk 或 Filemail 等線上檔案共享服務的連結，所存放的檔案為惡意程式，包括 Cobalt Strike Beacon 與罕見的 Voldemort 後門程式。 根據 Proofpoint 分析，不同惡意程式所觸發的攻擊鏈有所差異，顯示該組織具備針對不同目標進行攻擊手法調整的能力，如圖2所示。 圖1: UNK_FistBum使用的求職釣魚電子郵件。 圖片來源：Proofpoint 圖2: UNK_FistBum所使用的惡意程式流程圖。 圖片來源：Proofpoint UNK_DropPitch駭客組織 2025年4月至5月間，UNK_DropPitch駭客組織針對多家大型投資銀行發動網路釣魚攻擊，鎖定專門從事台灣半導體與科技產業金融投資分析的分析師。 攻擊者偽裝成虛構的金融投資公司，聲稱欲與目標合作投資，並透過釣魚郵件引誘受害者開啟附件，如圖3所示。 圖3: UNK_DropPitch使用的尋求投資合作釣魚電子郵件。 圖片來源：Proofpoint 釣魚郵件內的附檔連結指向 api[.]moctw[.]info，疑似偽造成「中華民國交通部」（Ministry of Transportation and Communications, R.O.C.，簡稱 MOTC 或 MoTC）或「文化部」（Ministry of Culture，MoC）的官方 API 端點，以提高可信度，誘使受害者相信此API是政府授權服務。 當受害者點擊連結，將下載含惡意libcef.dll 檔案的壓縮包，該DLL作為加載器，用於載入HealthKick後門程式。 此外，Proofpoint 亦觀察到該組織使用另一個C2：brilliant-bubblegum-137cfe[.]netlify[.]app，該平台為Netlify提供合法的免費靜態網站服務，但經常被濫用於 C2、釣魚或惡意檔案託管。 在此事件手法中，攻擊者透過該域名投遞另一個名為pbvm90.dll的惡意DLL作為加載器，展現其靈活運用多種基礎設施與載荷的能力。 UNK_SparkyCarp 駭客組織 UNK_SparkyCarp駭客組織於2025年3月針對一家台灣半導體公司發動網路釣魚攻擊。 該組織架設兩個 C2 網域 accshieldportal[.]com與acesportal[.]com，並偽造登入頁面以模仿企業內部系統，試圖誘使受害員工輸入帳號與密碼，以竊取憑證資訊，如圖4所示。 攻擊行動顯示 UNK_SparkyCarp 在基礎設施佈署上具備針對性與客製化能力，並以高仿真的社交工程手法提升攻擊成功率。 圖4: UNK_SparkyCarp使用釣魚網站。 圖片來源：Proofpoint TWCERT/CC根據上述內容整理成以下表格： 項目 UNK_FistBump UNK_DropPitch UNK_SparkyCarp 攻擊時間 2025 / 05 - 2025 / 06 2025 / 04 - 2025 / 05 2025 / 03 攻擊初始方式 釣魚郵件 釣魚郵件 釣魚郵件 攻擊目標 台灣半導體公司 台灣半導體產業分析師 台灣半導體公司 釣魚信寄件者 入侵台大學生帳號 偽冒投資公司 - 惡意程式託管/使用的 C2 Zendesk、 Filemail api[.]moctw[.]info、 brilliant-bubblegum-137cfe[.]netlify[.]app accshieldportal[.]com、 acesportal[.]com 使用的惡意程式 Voldemort、Cobalt Strike Beacon HealthKick - 使用的惡意 DLL 名稱 - libcef.dll、pbvm90.dll - 攻擊目的 - - 獲取員工帳號密碼美國資安公司 Proofpoint 最新揭露，三個與中國有關聯的駭客組織於 2025 年 3 月至 6 月間，針對台灣半導體產業發動大規模網路攻擊。 Proofpoint 在尚未經長期觀察以確認身份前，會將疑似進階持續性威脅（APT）組織以「UNK」為前綴命名，待身份確立後則改為「TAG」。 本次行動涉及的三個主要駭客組織分別為 UNK_DropPitch、UNK_SparkyCarp 與 UNK_FistBump。 報告顯示，過去中國駭客行動多集中在國防、政府及學術研究領域，但此次攻擊的規模與集中程度顯示，其戰略重心已轉向以台灣主要晶圓代工企業為核心的半導體生態系統，目標可能在於取得先進製程技術，或干擾針對中國的技術封鎖應對策略。 根據 Proofpoint 與開源威脅情報分析，攻擊者主要透過魚叉式釣魚（spear-phishing）郵件，並利用擬真的履歷表、產業報告、薪資資訊或投資分析內容作為誘餌文件，鎖定台灣半導體公司內部的工程師、人資與財經分析師，一旦受害者開啟附檔或點擊連結，便可在目標電腦中植入多種遠端控制工具，包括 Cobalt Strike beacon 與罕見的 Voldemort 後門程式，以維持長期潛伏並竊取敏感資料，實施間諜行為。 Proofpoint 進一步指出，UNK_DropPitch駭客組織更將攻擊範圍擴及研究機構與金融投資顧問，推測其意圖為掌握台灣晶片企業的未來動態與商業機密，對產業機密與供應鏈安全構成重大威脅。 UNK_FistBump駭客組織 UNK_FistBump於2025年5月至6月間入侵台灣大學研究生的電子郵件帳號，並冒用其身份向台灣半導體製造、封裝、測試及供應鏈相關企業的人力資源部門寄送多封釣魚郵件，偽稱為求職者以引誘收件人開啟附件，如圖1所示。 這些郵件附件包含指向 Zendesk 或 Filemail 等線上檔案共享服務的連結，所存放的檔案為惡意程式，包括 Cobalt Strike Beacon 與罕見的 Voldemort 後門程式。 根據 Proofpoint 分析，不同惡意程式所觸發的攻擊鏈有所差異，顯示該組織具備針對不同目標進行攻擊手法調整的能力，如圖2所示。 圖1: UNK_FistBum使用的求職釣魚電子郵件。 圖片來源：Proofpoint 圖2: UNK_FistBum所使用的惡意程式流程圖。 圖片來源：Proofpoint UNK_DropPitch駭客組織 2025年4月至5月間，UNK_DropPitch駭客組織針對多家大型投資銀行發動網路釣魚攻擊，鎖定專門從事台灣半導體與科技產業金融投資分析的分析師。 攻擊者偽裝成虛構的金融投資公司，聲稱欲與目標合作投資，並透過釣魚郵件引誘受害者開啟附件，如圖3所示。 圖3: UNK_DropPitch使用的尋求投資合作釣魚電子郵件。 圖片來源：Proofpoint 釣魚郵件內的附檔連結指向 api[.]moctw[.]info，疑似偽造成「中華民國交通部」（Ministry of Transportation and Communications, R.O.C.，簡稱 MOTC 或 MoTC）或「文化部」（Ministry of Culture，MoC）的官方 API 端點，以提高可信度，誘使受害者相信此API是政府授權服務。 當受害者點擊連結，將下載含惡意libcef.dll 檔案的壓縮包，該DLL作為加載器，用於載入HealthKick後門程式。 此外，Proofpoint 亦觀察到該組織使用另一個C2：brilliant-bubblegum-137cfe[.]netlify[.]app，該平台為Netlify提供合法的免費靜態網站服務，但經常被濫用於 C2、釣魚或惡意檔案託管。 在此事件手法中，攻擊者透過該域名投遞另一個名為pbvm90.dll的惡意DLL作為加載器，展現其靈活運用多種基礎設施與載荷的能力。 UNK_SparkyCarp 駭客組織 UNK_SparkyCarp駭客組織於2025年3月針對一家台灣半導體公司發動網路釣魚攻擊。 該組織架設兩個 C2 網域 accshieldportal[.]com與acesportal[.]com，並偽造登入頁面以模仿企業內部系統，試圖誘使受害員工輸入帳號與密碼，以竊取憑證資訊，如圖4所示。 攻擊行動顯示 UNK_SparkyCarp 在基礎設施佈署上具備針對性與客製化能力，並以高仿真的社交工程手法提升攻擊成功率。 圖4: UNK_SparkyCarp使用釣魚網站。 圖片來源：Proofpoint TWCERT/CC根據上述內容整理成以下表格： 項目 UNK_FistBump UNK_DropPitch UNK_SparkyCarp 攻擊時間 2025 / 05 - 2025 / 06 2025 / 04 - 2025 / 05 2025 / 03 攻擊初始方式 釣魚郵件 釣魚郵件 釣魚郵件 攻擊目標 台灣半導體公司 台灣半導體產業分析師 台灣半導體公司 釣魚信寄件者 入侵台大學生帳號 偽冒投資公司 - 惡意程式託管/使用的 C2 Zendesk、 Filemail api[.]moctw[.]info、 brilliant-bubblegum-137cfe[.]netlify[.]app accshieldportal[.]com、 acesportal[.]com 使用的惡意程式 Voldemort、Cobalt Strike Beacon HealthKick - 使用的惡意 DLL 名稱 - libcef.dll、pbvm90.dll - 攻擊目的 - - 獲取員工帳號密碼 See more: https://www.twcert.org.tw/tw/cp-104-10355-56906-1.html