[新聞] 駭客恐將再攻擊10企業調查局：立即檢查

看板AntiVirus作者F16V (Manners maketh man.)時間5年前 (2020/05/15 20:23)推噓9(9推 0噓 6→)

留言15則, 9人參與討論串1/1

駭客恐將再攻擊10企業調查局：立即檢查防護機制 https://imgur.com/3tFwc99

調查局資安站副主任劉家榮提醒，駭客恐將發動下一波攻擊，國內企業應立即針對網路防護機制進行檢查。（記者袁世鋼／攝影）【記者袁世鋼／臺北報導】中油總公司資訊系統、台塑加油站電腦主機日前接續遭駭客入侵，感染惡意勒索病毒，引發國安疑慮。調查局資安站副主任劉家榮15日表示，駭客使用的中繼雲端主機公司負責人為華裔人士；他也提醒，駭客恐將發動下一波攻擊，國內企業應立即針對網路防護機制進行檢查。劉家榮表示， 4日至5日國內共有3家重要能源及科技公司的內部系統、個人電腦及伺服器等資訊設備，接連遭勒索軟體攻擊，造成重要檔案均無法開啟，使營運受到嚴重影響，並收到駭客要求交付贖金的電郵。為穩定國內重要能源及科技企業營運、遏止網路犯罪，調查局遂成立專案小組偵辦。經查發現，駭客在數月前透過Web伺服器、員工個人電腦、網頁等途徑，入侵公司內部網路潛伏，竊取特權帳號後侵入網域控制伺服器(AD)，並利用AD的派送功能將勒索加密軟體散佈至全公司電腦。駭客利用凌晨時段竄改群組原則(GPO)派送工作排程，並預埋lc.tmp 惡意程式；當員工上班打開電腦時，會立即套用遭竄改的GPO並自動下載，執行勒索軟體。劉家榮指出，若電腦中的檔案遭加密成功，會顯示勒索訊息及聯絡電郵帳號。同時，駭客也留有連往境外中繼站的後門程式，該中繼站為駭客向美國雲端主機(VPS)服務提供商「 petaexpress.com」所租用，並使用商用滲透工具Cobaltstrike作為遠端存取控制器；據了解，「petaexpress.com」的負責人是華裔人士，而該駭客組織為Winnti Group或與其關係密切的駭客，目前已由國外司法單位協查。然而，劉家榮也提醒，根據情資顯示，駭客將在近日針對國內10家企業再度發動攻擊，研判遭駭客鎖定的10家企業應已遭入侵潛伏長達數月，因此國內企業應立即檢查對外網路服務是否存在漏洞或破口，重要主機應關閉遠端桌面協定(RDP)功能等；並觀察企業VPN有無異常登入行為或遭安裝SoftEther VPN及異常網路流量，如異常的DNS Tunneling、異常對國內外VPS的連線等。此外，國內企業應注意具軟體派送功能的系統，如網域/目錄(AD)伺服器、防毒軟體、資產管理系統，尤其是AD伺服器的群組原則遭異動、工作排程異常新增等；並更新防毒軟體病毒碼，留意防毒告警，極可能是大範圍感染前之徵兆；加強監控網域中特權帳號，應限定帳號使用範圍與登入主機，並建立備份機制，離線保存。 https://youtu.be/JycMLjo1aT4