骇客恐将再攻击10企业 调查局：立即检查防护机制
【记者袁世钢／台北报导】中油总公司资讯系统、台塑加油站电脑主机日前接续遭骇客入
侵，感染恶意勒索病毒，引发国安疑虑。调查局资安站副主任刘家荣15日表示，骇客使用
的中继云端主机公司负责人为华裔人士；他也提醒，骇客恐将发动下一波攻击，国内企业
应立即针对网络防护机制进行检查。
刘家荣表示， 4日至5日国内共有3家重要能源及科技公司的内部系统、个人电脑及服务器
等资讯设备，接连遭勒索软件攻击，造成重要档案均无法开启，使营运受到严重影响，并
收到骇客要求交付赎金的电邮。为稳定国内重要能源及科技企业营运、遏止网络犯罪，调
查局遂成立专案小组侦办。
经查发现，骇客在数月前透过Web服务器、员工个人电脑、网页等途径，入侵公司内部网
路潜伏，窃取特权帐号后侵入网域控制服务器(AD)，并利用AD的派送功能将勒索加密软件
散布至全公司电脑。骇客利用凌晨时段窜改群组原则(GPO)派送工作排程，并预埋lc.tmp
恶意程式；当员工上班打开电脑时，会立即套用遭窜改的GPO并自动下载，执行勒索软件
。
刘家荣指出，若电脑中的档案遭加密成功，会显示勒索讯息及联络电邮帐号。同时，骇客
也留有连往境外中继站的后门程式，该中继站为骇客向美国云端主机(VPS)服务提供商“
petaexpress.com”所租用，并使用商用渗透工具Cobaltstrike作为远端存取控制器；据
了解，“petaexpress.com”的负责人是华裔人士，而该骇客组织为Winnti Group或与其
关系密切的骇客，目前已由国外司法单位协查。
然而，刘家荣也提醒，根据情资显示，骇客将在近日针对国内10家企业再度发动攻击，研
判遭骇客锁定的10家企业应已遭入侵潜伏长达数月，因此国内企业应立即检查对外网络服
务是否存在漏洞或破口，重要主机应关闭远端桌面协定(RDP)功能等；并观察企业VPN有无
异常登入行为或遭安装SoftEther VPN及异常网络流量，如异常的DNS Tunneling、异常对
国内外VPS的连线等。
此外，国内企业应注意具软件派送功能的系统，如网域/目录(AD)服务器、防毒软件、资
产管理系统，尤其是AD服务器的群组原则遭异动、工作排程异常新增等；并更新防毒软件
病毒码，留意防毒告警，极可能是大范围感染前之征兆；加强监控网域中特权帐号，应限
定帐号使用范围与登入主机，并建立备份机制，离线保存。
https://tinyurl.com/yb7nmngq