威脅概覽
目前的網絡安全景觀面臨多個關鍵漏洞和進階持久性威脅(APT)攻勢,對各行業組織構成重大風險。關鍵威脅包括:
- CVE-2026-24731, CVE-2026-25945, CVE-2026-20895, CVE-2026-22890: 影響EV2GO ev2go.io系統,可能讓攻擊者冒充充電站、劫持會話並導致大規模拒絕服務(DoS)攻擊。這些漏洞影響全球能源和交通等關鍵基礎設施領域。
- CVE-2026-22719: VMware Aria Operations中的一個高危遠端程式碼執行(RCE)漏洞,已被野蠻利用,允許未授權攻擊者執行任意命令。
- GRIDTIDE 后門: 由UNC2814 APT小組使用,利用Google Sheets API隱藏命令和控制(C2)流量,促進數據外泄。
- RMS 病毒軟件: 由UAC-0050部署在針對歐洲金融機構的针对性電子郵件詐騙活動中,使用偽造域名和本地工具(LotL)技術實現持久性。
攻擊手法分析
網絡罪犯正在採用越來越複雜的手法入侵系統並竊取敏感數據。以下為近期事件中觀察到的主要攻擊向量分析:
- 漏洞利用: 攻擊者正在積極利用EV2GO和VMware Aria Operations中的已知漏洞,強調及時打補丁以減輕風險的重要性。
- API濫用: GRIDTIDE後門利用Google Sheets API進行C2通訊,使得在合法API呼叫中檢測惡意流量變得困難。
- 釣魚式攻擊與社會工程學:UAC-0050以仿冒烏克蘭司法域名的魚叉式釣魚郵件,針對資深法律顧問實施攻擊,凸顯人為因素在安全事件中的關鍵作用。
- Living-off-the-Land (LotL):UNC2814和UAC-0050均采用LotL技術維持持久性並躲避檢測。例如創建系統服務,以及使用Remote Manipulator System(RMS)等合法工具進行遠程訪問。
- 多層感染鏈:攻擊者正在部署複雜的感染鏈,包括密碼保護的存檔和雙擴展可執行文件,以繞過傳統的防病毒解決方案。
患者資料風險
針對關鍵基礎設施和醫療機構的網絡攻擊的新增對患者數據隱私構成了重大風險。 患者記錄在暗網上具有高度敏感性和價值,使其成為APT和網絡犯罪分子的主要目標。 具體威脅包括:
- 未經授權存取: 利用EV2GO和VMware系統中的漏洞可能會導致未經授權訪問存儲在醫療網絡中的患者數據。
- 資料洩漏: 像GRIDTIDE和RMS惡意軟件這樣的APT活動可能會導致大規模的數據洩露,將個人健康資訊(PHI)暴露給惡意行為者。
- 財務詐欺: 被盜的患者數據可用於身份盜竊、保險欺詐或其他金融犯罪,直接影響個人和醫療機構。
- 聲譽損失患者資料外洩可能會削弱公眾對醫療提供者的信任,並導致重大声誉損失。
對於醫學數據安全風險的更多見解,請參閱我們的文章於醫療數據安全風險.
防禦策略
組織必須採取積極的網絡安全措施以應對這些 Emerging 威脅。關鍵防禦措施包括:
- 提示漏洞修補立即為EV2GO和VMware Aria Operations的漏洞安裝補丁,以防止被利用。
- 網路分段實施網路分段以隔離關鍵系統,減少攻擊面並限制攻擊者縱向移動。
- 電子郵件安全強化部署進階電子郵件過濾解決方案以檢測並阻擋欺詐行為,包括使用偽造域名的騙局。
- API監控密切監控API流量以檢測異常模式,這些模式可能表明恶意活動,例如GRIDTIDE後門。
- 第三方風險管理: 定期評估及緩解與第三方供應商及其軟件相關的風險,包括EV2GO和VMware。
- 員工訓練: 定期進行網絡安全意識培訓,幫助員工識別並報告潛在的魚叉式網絡欺詐和其他可疑活動。
- 事件應對計畫: 設計並維護強大的事件應對計畫,以迅速檢測、遏制並恢復網絡攻擊。
關鍵行動項目
要有效應對這些威脅,組織應優先執行以下行動:
- 于2026年3月24日前打補丁VMware Aria Operations: 聯邦機構必須遵守CISA的指示,緩解RCE漏洞(CVE-2026-22719)。
- 檢視EV2GO系統暴露: 评估並減少EV2GO系統的暴露,以防止潛在的DDoS和冒充攻擊。
- 提升電子郵件魚叉式網絡欺詐檢測: 部署先進的電子郵件安全解決方案,以檢測並阻擋如UAC-0050所使用的欺詐試圖。
- 更新防病毒解決方案: 確保所有系統受到最新病毒的保護,包括GRIDTIDE和RMS基於的威脅。
- 進行網路安全風險評估識別並解决組織基礎設施中的漏洞,以主動降低風險。