商傳媒|康語柔/綜合外電報導
Google Security Operations 近期發布報告指出,一個與中國相關的駭客組織 UNC6508,在長達一年多的時間裡,秘密滲透北美洲的醫療學術與軍事研究網絡,竊取了大量敏感資料。這場網路間諜活動自 2023 年 9 月開始,並持續至 2025 年 11 月才被發現。
UNC6508 組織的主要目標是北美洲(包含美國與加拿大)的學術研究中心、臨床醫療機構、監管單位,甚至軍事醫療機構。駭客所竊取的情報範圍廣泛,包括醫療研究(例如與去年中國廣東省爆發的屈公熱病毒相關資訊)、地緣戰略政策、軍事戰略、以及人工智慧(AI)和無人載具等先進科技研究,以及網路作戰計畫。
根據 Google Security Operations 的調查,駭客的初步入侵途徑是鎖定 Research Electronic Data Capture(REDCap)伺服器上的舊版軟體漏洞。REDCap 是一個廣泛用於醫療研究的網路平台。駭客成功入侵後,部署了一款名為 INFINITERED 的客製化惡意軟體。這款惡意軟體能夠攔截軟體升級程序以植入惡意程式碼、收集使用者登入憑證(包括帳號密碼),並建立後門以持續操控。
駭客在獲得網域管理員權限後,採取了新穎的資料竊取手法。他們濫用了 Google Workspace 的「內容合規規則」(content compliance rules)這項合法管理功能,設定自動轉寄含有近 150 個特定關鍵字或電子郵件地址的敏感郵件,並將其祕密副本(BCC)發送到駭客控制的信箱。這種方式在不產生異常網路流量的情況下,成功避開了偵測。
Google Security Operations 副首席分析師盧克·麥克納馬拉(Luke McNamara)表示,UNC6508 的攻擊手法與中國長期以來為蒐集情報的駭客行動高度吻合。Google 已通知受影響的機構,並已協助中斷了該組織的基礎設施。為防範類似攻擊,資安專家建議各機構應立即修補 REDCap 伺服器漏洞、移除舊版軟體以防止降級攻擊,同時強化網域管理員帳號的防網路釣魚多因素驗證,並仔細審查 Google Workspace 或其他郵件系統的內容合規及郵件轉寄規則。
