境外駭客布局勒索攻擊 資安站預警:還有10家企業被鎖定
記者:中國時報張孝義 | 2020-05-15 16:20
企業遭駭早有布局境外駭客, 調查局警告將再攻擊。(圖/本報資料照)
中油、台塑化陸續傳出遭惡意程式攻擊,造成中油捷利卡及「中油PAY」的APP支付在全台加油站都無法使用,調查局資安工作站溯源追查後,發現駭客來自境外,而且早有布局,更研判針對國內10家企業近日再度發動勒索軟體攻擊,調查局除繼續追查駭客身分,也呼籲企業檢視企業網路防護機制,防堵漏洞與破口。
資安工作站副主任劉家榮表示,中油、台塑等遭駭的企業,早在數月前就被駭客透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,等偷到特權帳號後侵入網域控制伺服器(AD),再利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當企業員工打開電腦會立即套用GPO並執行惡意工作排程,等到核心上班時段,自動執行駭客預埋在內部伺服器裡的勒索軟體並載入記憶體中執行,如果檔案加密成功就會顯示勒索訊息及聯絡電子信箱;這些電子信箱都是來自境外,調查局正透過國際合作管道協查境外的電子信箱及中繼站。
劉家榮指出,駭客犯案時還留有後門程式連往美國境內,向華裔人士經營的「雲端主機(VPS)」服務提供商租用的雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用,從調查局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判犯罪駭客組織為Winnti Group或與該組織有密切關聯的駭客。
劉家榮強調,根據專案人員掌握的情資,遭駭客鎖定數月的國內10家企業,近日可能再受攻擊,企業應該檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口等,關閉遠端桌面協定,還要觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量。
另外,注意具有軟體派送功能的系統,注意有沒有群組原則遭異動、工作排程異常遭新增的現象,最重要的是更新防毒軟體病毒碼,並建立離線保存的備份機制。