近期鎖定微軟Exchange伺服器的攻擊行動再度出現，值得留意的是，揭露此事的資安業者Positive Technologies表示，臺灣是駭客攻擊的主要目標，受害規模僅次於越南、俄羅斯。

鎖定MFT檔案傳輸系統MOVEit、Citrix NetScaler已知漏洞的攻擊行動，以及惡名昭彰的Scattered Spider針對航空產業而來，都相當值得留意，在法規遵循方面的消息，國內數發部對Meta二度開罰、德國要求蘋果與Google下架DeepSeek行動裝置App的情況，後續發展值得留意。
 

攻擊與威脅】

資安業者Positive Technologies揭露橫跨全球26個國家、鎖定65個企業組織而來的攻擊行動，這起攻擊高度針對政府機關而來，因為有三分之一（22臺）Exchange伺服器受害，但除此之外，也有針對IT、工業、物流業者的情況。駭客在這些郵件伺服器的Outlook Web Access（OWA）登入網頁植入惡意程式碼，目的是進行鍵盤內容側錄。值得留意的是，從受害規模來看，臺灣是最嚴重的國家之一，僅次於越南和俄羅斯。

這波攻擊行動最早可追溯至去年5月，當時研究人員察覺有人在Exchange伺服器的特定網頁當中，注入鍵盤內容側錄工具（Keylogger），後續研究人員發現多起相關攻擊事故，共通點就是使用完全相同的鍵盤內容側錄工具。他們進行深度分析，指出攻擊者使用的惡意程式大致分成兩種類型，其中一種是將竊得資料儲存於受害主機，但能從外界存取，另一種則是直接將竊得資料傳送到外部主機。

究竟這些鍵盤內容側錄工具如何運作？一旦使用者存取OWA網頁並輸入帳密資料，惡意程式碼就會從網頁表單讀取並處理這些資料，向受害Exchange伺服器的特定網頁發送XHR請求。最終該網頁便會讀取請求內容，並將資料寫入伺服器上的某個檔案，供駭客存取。附帶一提，為了掩人耳目，這些惡意程式碼通常會嵌入於合法身份驗證功能clkLgn裡。