駭客恐將再攻擊10企業 調查局:立即檢查防護機制
https://imgur.com/3tFwc99
調查局資安站副主任劉家榮提醒,駭客恐將發動下一波攻擊,國內企業應立即針對網路防
護機制進行檢查。(記者袁世鋼/攝影)
【記者袁世鋼/臺北報導】中油總公司資訊系統、台塑加油站電腦主機日前接續遭駭客入
侵,感染惡意勒索病毒,引發國安疑慮。調查局資安站副主任劉家榮15日表示,駭客使用
的中繼雲端主機公司負責人為華裔人士;他也提醒,駭客恐將發動下一波攻擊,國內企業
應立即針對網路防護機制進行檢查。
劉家榮表示, 4日至5日國內共有3家重要能源及科技公司的內部系統、個人電腦及伺服器
等資訊設備,接連遭勒索軟體攻擊,造成重要檔案均無法開啟,使營運受到嚴重影響,並
收到駭客要求交付贖金的電郵。為穩定國內重要能源及科技企業營運、遏止網路犯罪,調
查局遂成立專案小組偵辦。
經查發現,駭客在數月前透過Web伺服器、員工個人電腦、網頁等途徑,入侵公司內部網
路潛伏,竊取特權帳號後侵入網域控制伺服器(AD),並利用AD的派送功能將勒索加密軟體
散佈至全公司電腦。駭客利用凌晨時段竄改群組原則(GPO)派送工作排程,並預埋lc.tmp
惡意程式;當員工上班打開電腦時,會立即套用遭竄改的GPO並自動下載,執行勒索軟體
。
劉家榮指出,若電腦中的檔案遭加密成功,會顯示勒索訊息及聯絡電郵帳號。同時,駭客
也留有連往境外中繼站的後門程式,該中繼站為駭客向美國雲端主機(VPS)服務提供商「
petaexpress.com」所租用,並使用商用滲透工具Cobaltstrike作為遠端存取控制器;據
了解,「petaexpress.com」的負責人是華裔人士,而該駭客組織為Winnti Group或與其
關係密切的駭客,目前已由國外司法單位協查。
然而,劉家榮也提醒,根據情資顯示,駭客將在近日針對國內10家企業再度發動攻擊,研
判遭駭客鎖定的10家企業應已遭入侵潛伏長達數月,因此國內企業應立即檢查對外網路服
務是否存在漏洞或破口,重要主機應關閉遠端桌面協定(RDP)功能等;並觀察企業VPN有無
異常登入行為或遭安裝SoftEther VPN及異常網路流量,如異常的DNS Tunneling、異常對
國內外VPS的連線等。
此外,國內企業應注意具軟體派送功能的系統,如網域/目錄(AD)伺服器、防毒軟體、資
產管理系統,尤其是AD伺服器的群組原則遭異動、工作排程異常新增等;並更新防毒軟體
病毒碼,留意防毒告警,極可能是大範圍感染前之徵兆;加強監控網域中特權帳號,應限
定帳號使用範圍與登入主機,並建立備份機制,離線保存。
https://youtu.be/JycMLjo1aT4
https://tinyurl.com/yb7nmngq