[新聞] 駭客恐將再攻擊10企業 調查局:立即檢查

作者: F16V (Manners maketh man.)   2020-05-15 20:23:30
駭客恐將再攻擊10企業 調查局:立即檢查防護機制
https://imgur.com/3tFwc99
調查局資安站副主任劉家榮提醒,駭客恐將發動下一波攻擊,國內企業應立即針對網路防
護機制進行檢查。(記者袁世鋼/攝影)
【記者袁世鋼/臺北報導】中油總公司資訊系統、台塑加油站電腦主機日前接續遭駭客入
侵,感染惡意勒索病毒,引發國安疑慮。調查局資安站副主任劉家榮15日表示,駭客使用
的中繼雲端主機公司負責人為華裔人士;他也提醒,駭客恐將發動下一波攻擊,國內企業
應立即針對網路防護機制進行檢查。
劉家榮表示, 4日至5日國內共有3家重要能源及科技公司的內部系統、個人電腦及伺服器
等資訊設備,接連遭勒索軟體攻擊,造成重要檔案均無法開啟,使營運受到嚴重影響,並
收到駭客要求交付贖金的電郵。為穩定國內重要能源及科技企業營運、遏止網路犯罪,調
查局遂成立專案小組偵辦。
經查發現,駭客在數月前透過Web伺服器、員工個人電腦、網頁等途徑,入侵公司內部網
路潛伏,竊取特權帳號後侵入網域控制伺服器(AD),並利用AD的派送功能將勒索加密軟體
散佈至全公司電腦。駭客利用凌晨時段竄改群組原則(GPO)派送工作排程,並預埋lc.tmp
惡意程式;當員工上班打開電腦時,會立即套用遭竄改的GPO並自動下載,執行勒索軟體

劉家榮指出,若電腦中的檔案遭加密成功,會顯示勒索訊息及聯絡電郵帳號。同時,駭客
也留有連往境外中繼站的後門程式,該中繼站為駭客向美國雲端主機(VPS)服務提供商「
petaexpress.com」所租用,並使用商用滲透工具Cobaltstrike作為遠端存取控制器;據
了解,「petaexpress.com」的負責人是華裔人士,而該駭客組織為Winnti Group或與其
關係密切的駭客,目前已由國外司法單位協查。
然而,劉家榮也提醒,根據情資顯示,駭客將在近日針對國內10家企業再度發動攻擊,研
判遭駭客鎖定的10家企業應已遭入侵潛伏長達數月,因此國內企業應立即檢查對外網路服
務是否存在漏洞或破口,重要主機應關閉遠端桌面協定(RDP)功能等;並觀察企業VPN有無
異常登入行為或遭安裝SoftEther VPN及異常網路流量,如異常的DNS Tunneling、異常對
國內外VPS的連線等。
此外,國內企業應注意具軟體派送功能的系統,如網域/目錄(AD)伺服器、防毒軟體、資
產管理系統,尤其是AD伺服器的群組原則遭異動、工作排程異常新增等;並更新防毒軟體
病毒碼,留意防毒告警,極可能是大範圍感染前之徵兆;加強監控網域中特權帳號,應限
定帳號使用範圍與登入主機,並建立備份機制,離線保存。
https://youtu.be/JycMLjo1aT4
https://tinyurl.com/yb7nmngq
作者: astrayzip   2020-05-16 10:32:00
台灣的資安到底是多爛才能讓勒索病毒能夠遠端入侵內網
作者: mathrew (Joey)   2020-05-16 10:37:00
台灣的資安是真的很爛,有些企業系統是大學生寫的國家單位,有些也是大學生寫的,所以 你懂得....
作者: aegis43210 (宇宙)   2020-05-16 23:22:00
攻擊都從中俄而來,代表公家用卡巴不安全了一般用戶有資料回滾就夠用了
作者: yunf   2020-05-17 13:10:00
查也沒用 以前查了那麼多次後來不是照漏
作者: issemn (パルコ・フォルゴレ)   2020-05-17 14:10:00
總統府表示:
作者: thomaschion (老湯)   2020-05-18 23:56:00
公家機關是用卡巴?我以為是趨勢,只看價錢的公司都是用趨勢吧
作者: linbasohigh (哭哭小隻飛天豬)   2020-05-19 14:17:00
我記得國立大學都是諾頓,嘛……就跟其他政府組織一樣,十年不變
作者: nk950357 (nk950357)   2020-05-19 16:31:00
我們是ESET -0-
作者: scos ( )   2020-05-21 00:50:00
很多大學都卡巴吧清交成都是啊有些還有第二套可選
作者: nk950357 (nk950357)   2020-05-21 09:27:00
轉去青椒還來得及嗎

Links booklink

Contact Us: admin [ a t ] ucptt.com