【精選威脅情資】Jaguar Land Rover 網路攻擊：影響與手法分析

‍

危害與影響

2025 年 8 月底 Jaguar Land Rover（JLR）遭受大規模網路攻擊，9 月 1 日確認入侵後主動關閉全球 IT 系統以遏止攻擊蔓延。JLR 集團旗下位於英國、斯洛伐克、巴西、印度等地的多座工廠全面停產達五週。JLR 表示攻擊迫使生產線控制、設計研發、經銷商訂單等關鍵系統相繼下線，甚至連電子郵件、CAD/PLM 設備也一度癱瘓。

ScatteredLapsus$ Hunters 團隊在 Telegram 頻道宣稱是他們進行的攻擊，並曝光 JLR 內部 IT 系統截圖，目前頻道已關閉。多個新聞消息一致指出他們的對外勒索與洩漏活動在 2025 年 10 月曾直接依託於 BreachForums 的域名，美國與法國執法單位隨後查封了該 BreachForums 域名。

‍

分析師觀點

Scattered Lapsus$Hunters 是於 2025 年中突然出現的⼀個網路犯罪組織，由三個惡名昭彰的駭客組織聯⼿組成：ScatteredSpider、LAPSUS$ 以及 ShinyHunters。各成員組織在同盟中分⼯明確：Scattered Spider 專長於初始存取（Initial access）、LAPSUS$ 善於擴散炒作輿論聲量（Amplification）與勒索， ShinyHunters 則精於⼤規模資料蒐集與在暗網出售。Scattered Lapsus$Hunters 公開活躍於 Telegram 頻道，發布入侵成果、洩漏資料，施壓受害組織並嘲諷執法單位，進一步升級攻擊規模與後續影響。

‍

描述

此網路攻擊事件導致全面性的業務中斷，JLR估計每週損失約 5,000 萬英鎊，英國官方統計經濟損失更高達 19 億英鎊（約新台幣 788 億元），成為英國史上代價最慘重的網攻事件。數百家供應商被迫裁員或停工，汽車零件供應、維修服務等上下游產業也受到嚴重波及。英國政府緊急介入支援，提供 12 億英鎊貸款以維持供應鏈穩定。

近期與 Scattered Lapsus$ Hunters 駭客集團聯盟有關的重大攻擊事件包含：

• 2025 年 Salesforce 連環入侵與⼤規模勒索事件
• 2024 年 ShinyHunters 資料竊取與銷售活動，入侵 Snowflake 與 Salesforce 等雲端平台。
• 2023 年 Scattered Spider 勒索事件，主要受害者為美國連鎖賭場凱薩娛樂     (Caesars Entertainment) 和美高梅飯店集團 (MGM Resorts)。

‍‍

技術分析

此次事件沒有樣本，基於過往類似攻擊事件常使用 ALPHV / BlackCatRansomware，因此附上過往樣本的行為描述與分析作為參考。

初始存取 (Initial Access)

• T1566.002 – Phishing:Spearphishing Link
  透過社交媒體蒐集員工資訊後發送含惡意連結的釣魚郵件，誤觸後即可啟動攻擊鏈。
• T1078 – Valid Accounts
  攔截多因素驗證 (MFA) 以竊得有效帳號憑證，使用合法登入進入內部系統。
• T1598 – Phishing forInformation
  利用 LinkedIn、GitHub 等平台暗地蒐集個資作為後續社交工程材料。
• T1592.002 – Gather VictimIdentity Information: Employee Names
  針對工程部門蒐集身份與職務關聯，製作針對性攻擊名單。

執行 (Execution)

• T1059.001 – Command andScripting Interpreter: PowerShell
  使用 PowerShell 腳本於內網執行操作與橫向移動。
• T1569.002 – SystemServices: Service Execution
  使用合法系統服務或現有遠端代理啟動惡意程式。

持續性（Persistence）

• T1078.004 – Valid Accounts:Cloud Accounts
  利用憑證維持 Salesforce 與 Jira 雲端平台的持續控制權。

權限提升（Privilege Escalation）

• T1068 – Exploitation forPrivilege Escalation
  利用 SAP NetWeaver 漏洞（CVE-2025-31324/ CVE-2025-42999）取得更高系統權限。

防禦規避（Defense Evasion）

• T1036 – Masquerading
  偽裝成管理員或 IT 技術人員操作以混淆防禦系統。
• T1070.001 – IndicatorRemoval on Host: Clear Windows Event Logs
  以 wevtutil 清除事件紀錄。
• T1070.004 – IndicatorRemoval on Host: File Deletion
  使用 vssadmin、bcdedit、wmic 刪除備份與快照。
• T1027 – Obfuscated Files orInformation
  使用合法工具（PowerShell、RDP、SMB）執行活動以躲避偵測。

橫向移動（Lateral Movement）

• T1021.001 – RemoteServices: Remote Desktop Protocol (RDP)
  經由 RDP 在內部系統間橫向移動。
• T1021.002 – RemoteServices: SMB/Windows Admin Shares
  利用 SMB 共享傳遞勒索病毒與工具。

命令與控制（Command and Control）

• T1090.003 – Proxy:Multi-hop Proxy / TOR
  透過 TOR 通道隱匿 C2 流量，混入正常網路通訊。
• T1105 – Ingress ToolTransfer
  由外部 C2 主機下載額外工具或模組。

外洩（Exfiltration）

• T1041 – Exfiltration OverC2 Channel
  透過 C2 通道外傳大量資料。
• T1567.002 – Exfiltration toCloud Storage
  將竊取資料上傳至雲端儲存空間，用以勒索受害者與威脅公開機敏資料。

影響（Impact）

• T1491.002 – Defacement:Internal Defacement / Data Leak Extortion
  公開內部系統截圖與資料以施壓勒索。

‍

緩解措施

隔離可疑主機、封鎖可疑外部連結

• 調查 EDR 日誌。
• 攻擊者常用 TOR / C2 與大量外部流量來傳輸竊取資料或同時控制多台機器。

撤銷曝露的憑證與 API Tokens

• 強制對被舉證或疑似外洩之帳號（包含第三方或合作夥伴帳號）執行強制登出、重置密碼、撤銷 API tokens、清除 OAuth 授權等。
• 修補 SAP NetWeaver 等服務漏洞 (CVE-2025-31324 / CVE 2025-42999)。

監控 SMB 連線行為

• 針對異常大量 SMB 連線設定告警。
• 定期輪換服務或管理帳號密碼、檢查是否有密碼橫向使用。
• 封鎖不必要的 SMB 存取，尤其是從端點到伺服器的 SMB 。

監控常被濫用的指令

• 比如 BlackCatRansomware 中用到的 wevtutil、vssadmin、wmic、bcdedit 等。
• 對突然清空 event logs 或刪除 shadow copies 的行為建立即時告警。

網路分段

• 把公司網路切成幾個「安全區塊」（如：IT、OT、供應商、研發、訪客等），只允許必要流量通過（白名單），用最少權限原則防止攻擊從一區域擴散到另一區域。

OT / ICS 分隔（含供應鏈通道）

• 重要的 OT（生產線）與IT 之間要透過特定的中樞機器（jump host）互動。
• 封鎖從 Internet/VPN 到 PLC、工廠機器等的直接連線。
• 導入OT 安全指導基礎，如：NIST SP-800-82。

‍

參考資料

• Jaguar Land Rover網攻導致停產 延長到至少10月初
• 駭客組織疑似聯手，資安威脅再升級
• Inside the Jaguar Land Rover hack: stalled smartfactories, outsourced cybersecurity and supply chain woes
• Hackers linked to M&S breach claim responsibilityfor Jaguar Land Rover cyber-attack
• A Deep Dive Into ALPHV/BlackCat Ransomware

‍

入侵指標 (Indicator of Compromise, IoCs)

攻擊者相關資訊

• 信箱：shinyc0rp[at]tuta.io
• Telegram：[at]shinyc0rp

User-Agent字串（攻擊者⾃動化工具資訊）

• Salesforce-Multi-Org-Fetcher/1.0
• Salesforce-CLI/1.0
• python-requests/2.32.4, aiohttp/3.12.15

IP