[新闻] 骇客恐将再攻击10企业 调查局:立即检查

楼主: F16V (Manners maketh man.)   2020-05-15 20:23:30
骇客恐将再攻击10企业 调查局:立即检查防护机制
https://imgur.com/3tFwc99
调查局资安站副主任刘家荣提醒,骇客恐将发动下一波攻击,国内企业应立即针对网络防
护机制进行检查。(记者袁世钢/摄影)
【记者袁世钢/台北报导】中油总公司资讯系统、台塑加油站电脑主机日前接续遭骇客入
侵,感染恶意勒索病毒,引发国安疑虑。调查局资安站副主任刘家荣15日表示,骇客使用
的中继云端主机公司负责人为华裔人士;他也提醒,骇客恐将发动下一波攻击,国内企业
应立即针对网络防护机制进行检查。
刘家荣表示, 4日至5日国内共有3家重要能源及科技公司的内部系统、个人电脑及服务器
等资讯设备,接连遭勒索软件攻击,造成重要档案均无法开启,使营运受到严重影响,并
收到骇客要求交付赎金的电邮。为稳定国内重要能源及科技企业营运、遏止网络犯罪,调
查局遂成立专案小组侦办。
经查发现,骇客在数月前透过Web服务器、员工个人电脑、网页等途径,入侵公司内部网
路潜伏,窃取特权帐号后侵入网域控制服务器(AD),并利用AD的派送功能将勒索加密软件
散布至全公司电脑。骇客利用凌晨时段窜改群组原则(GPO)派送工作排程,并预埋lc.tmp
恶意程式;当员工上班打开电脑时,会立即套用遭窜改的GPO并自动下载,执行勒索软件

刘家荣指出,若电脑中的档案遭加密成功,会显示勒索讯息及联络电邮帐号。同时,骇客
也留有连往境外中继站的后门程式,该中继站为骇客向美国云端主机(VPS)服务提供商“
petaexpress.com”所租用,并使用商用渗透工具Cobaltstrike作为远端存取控制器;据
了解,“petaexpress.com”的负责人是华裔人士,而该骇客组织为Winnti Group或与其
关系密切的骇客,目前已由国外司法单位协查。
然而,刘家荣也提醒,根据情资显示,骇客将在近日针对国内10家企业再度发动攻击,研
判遭骇客锁定的10家企业应已遭入侵潜伏长达数月,因此国内企业应立即检查对外网络服
务是否存在漏洞或破口,重要主机应关闭远端桌面协定(RDP)功能等;并观察企业VPN有无
异常登入行为或遭安装SoftEther VPN及异常网络流量,如异常的DNS Tunneling、异常对
国内外VPS的连线等。
此外,国内企业应注意具软件派送功能的系统,如网域/目录(AD)服务器、防毒软件、资
产管理系统,尤其是AD服务器的群组原则遭异动、工作排程异常新增等;并更新防毒软件
病毒码,留意防毒告警,极可能是大范围感染前之征兆;加强监控网域中特权帐号,应限
定帐号使用范围与登入主机,并建立备份机制,离线保存。
https://youtu.be/JycMLjo1aT4
https://tinyurl.com/yb7nmngq
作者: astrayzip   2020-05-16 10:32:00
台湾的资安到底是多烂才能让勒索病毒能够远端入侵内网
作者: mathrew (Joey)   2020-05-16 10:37:00
台湾的资安是真的很烂,有些企业系统是大学生写的国家单位,有些也是大学生写的,所以 你懂得....
作者: aegis43210 (宇宙)   2020-05-16 23:22:00
攻击都从中俄而来,代表公家用卡巴不安全了一般用户有资料回滚就够用了
作者: yunf   2020-05-17 13:10:00
查也没用 以前查了那么多次后来不是照漏
作者: issemn (パルコ・フォルゴレ)   2020-05-17 14:10:00
总统府表示:
作者: thomaschion (老汤)   2020-05-18 23:56:00
公家机关是用卡巴?我以为是趋势,只看价钱的公司都是用趋势吧
作者: linbasohigh (哭哭小只飞天猪)   2020-05-19 14:17:00
我记得国立大学都是诺顿,嘛……就跟其他政府组织一样,十年不变
作者: nk950357 (nk950357)   2020-05-19 16:31:00
我们是ESET -0-
作者: scos ( )   2020-05-21 00:50:00
很多大学都卡巴吧清交成都是啊有些还有第二套可选
作者: nk950357 (nk950357)   2020-05-21 09:27:00
转去青椒还来得及吗

Links booklink

Contact Us: admin [ a t ] ucptt.com