骇客恐将再攻击10企业 调查局:立即检查防护机制
【记者袁世钢/台北报导】中油总公司资讯系统、台塑加油站电脑主机日前接续遭骇客入
侵,感染恶意勒索病毒,引发国安疑虑。调查局资安站副主任刘家荣15日表示,骇客使用
的中继云端主机公司负责人为华裔人士;他也提醒,骇客恐将发动下一波攻击,国内企业
应立即针对网络防护机制进行检查。
刘家荣表示, 4日至5日国内共有3家重要能源及科技公司的内部系统、个人电脑及服务器
等资讯设备,接连遭勒索软件攻击,造成重要档案均无法开启,使营运受到严重影响,并
收到骇客要求交付赎金的电邮。为稳定国内重要能源及科技企业营运、遏止网络犯罪,调
查局遂成立专案小组侦办。
经查发现,骇客在数月前透过Web服务器、员工个人电脑、网页等途径,入侵公司内部网
路潜伏,窃取特权帐号后侵入网域控制服务器(AD),并利用AD的派送功能将勒索加密软件
散布至全公司电脑。骇客利用凌晨时段窜改群组原则(GPO)派送工作排程,并预埋lc.tmp
恶意程式;当员工上班打开电脑时,会立即套用遭窜改的GPO并自动下载,执行勒索软件
。
刘家荣指出,若电脑中的档案遭加密成功,会显示勒索讯息及联络电邮帐号。同时,骇客
也留有连往境外中继站的后门程式,该中继站为骇客向美国云端主机(VPS)服务提供商“
petaexpress.com”所租用,并使用商用渗透工具Cobaltstrike作为远端存取控制器;据
了解,“petaexpress.com”的负责人是华裔人士,而该骇客组织为Winnti Group或与其
关系密切的骇客,目前已由国外司法单位协查。
然而,刘家荣也提醒,根据情资显示,骇客将在近日针对国内10家企业再度发动攻击,研
判遭骇客锁定的10家企业应已遭入侵潜伏长达数月,因此国内企业应立即检查对外网络服
务是否存在漏洞或破口,重要主机应关闭远端桌面协定(RDP)功能等;并观察企业VPN有无
异常登入行为或遭安装SoftEther VPN及异常网络流量,如异常的DNS Tunneling、异常对
国内外VPS的连线等。
此外,国内企业应注意具软件派送功能的系统,如网域/目录(AD)服务器、防毒软件、资
产管理系统,尤其是AD服务器的群组原则遭异动、工作排程异常新增等;并更新防毒软件
病毒码,留意防毒告警,极可能是大范围感染前之征兆;加强监控网域中特权帐号,应限
定帐号使用范围与登入主机,并建立备份机制,离线保存。
https://tinyurl.com/yb7nmngq