2020.05.15 16:35 臺北時間

國際駭客鎖定10大企業勒索 調查局提6大資安措施防範

mm-logo
時事
中油等大型企業遭勒索軟體攻擊事件,調查局組成專案小組追查,駭客鎖定10家企業應已遭入侵滲透並潛伏數月之久。
中油等大型企業遭勒索軟體攻擊事件,調查局組成專案小組追查,駭客鎖定10家企業應已遭入侵滲透並潛伏數月之久。
針對連日來,中油等大型企業遭勒索軟體攻擊事件,調查局組成專案小組追查,發現駭客預謀在近日針對國內10家企業將再度發動勒索軟體攻擊,提醒企業要務必做好資訊安全防範。調查局表示,依中油遭入侵案的行為模式研判,駭客鎖定10家企業應已遭入侵滲透並潛伏數月之久。
駭客在數月前透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,俟竊取特權帳號後侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程。當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。
在犯案過程中,駭客亦留有後門程式連往境外中繼站,駭客係向美國境內之「雲端主機(VPS)」服務提供商(負責人係華裔人士)租用雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用。
調查局掌握,相關後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客,已透過國際合作管道協查境外的電子信箱及中繼站。
調查局呼籲,國內企業應即刻進行以下六大檢查措施:
  1. 檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。
  2. 觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。
  3. 注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。
  4. 更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染前之徵兆。
  5. 加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
  6. 建立備份機制,並離線保存。
更新時間|2023.09.12 20:34 臺北時間
延伸閱讀

支持鏡週刊

小心意大意義
小額贊助鏡週刊!

每月 $79 元全站看到飽
暢享無廣告閱讀體驗

更多內容,歡迎 鏡週刊紙本雜誌鏡週刊數位訂閱了解內容授權資訊

月費、年費會員免費線上閱讀動態雜誌

線上閱讀

更多內容,歡迎 鏡週刊紙本雜誌鏡週刊數位訂閱了解內容授權資訊

月費、年費會員免費線上閱讀動態雜誌

線上閱讀