入侵中油駭客找到了 調查局:10家企業近日恐再遭攻擊

記者楊佩琪/台北報導

日前包括中油、台塑化等多家企業、銀行、科技公司紛紛傳出遭駭客以惡意勒索軟體攻擊,調查局接獲情資發現,駭客似乎正預謀,要對台灣至少10家企業再度發動攻擊,而該些企業似乎早被滲透數月之久,提醒國內所有企業都應即刻做好資安防護工作。

▲調查局說明駭客入侵流程。(圖/翻攝畫面)

調查局表示,駭客在數月前便透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探、潛伏,待竊取得手特權帳號後,侵入網域控制伺服器(AD),竄改群組原則(GPO),以派送惡意行為工作排程。

當員工一打開電腦,GPO就會立即執行經竄改的排程,核心上班時段一到,便又自動執行勒索軟體下載至記憶體中,若檔案加密成功,即會顯示勒索訊息及聯絡電子信箱。根據了解,駭客要求,若要將被感染的電腦「解毒」,得依指示交付3000美金,要完全解除惡意程式,金額相當可觀。

▲調查局示警,駭客近日恐針對國內企業再度發動攻擊。(示意圖/翻攝自Pixabay)

初步追查發現,駭客留有後門程式連往境外中繼站,為向美國境內「雲端主機(VPS)」服務提供商租用之雲端主機,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用。目前可研判該駭客組織為「Winnti Group」或與該組織有密切關聯者,已透過國際合作管道協查境外電子信箱及中繼站。

由於有進一步情資顯示,該駭客組織似乎正預謀,近日將針對國內至少10家企業再度發動攻擊,呼籲各企業都應即刻強化資安防護工作。

調查局建議企業可進行以下檢查:

1.檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。
2.觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。
3.注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。
4.更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染前之徵兆。
5.加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
6.建立備份機制,並離線保存。

 

CH54三立新聞台直播
大數據推薦
【立院大現場直播中LIVE】3分鐘《財劃法》闖關!綠黨團甲動擋議事錄確認
熱銷商品
頻道推薦
直播✦活動
三立新聞網三立新聞網為了提供更好的閱讀內容,我們使用相關網站技術來改善使用者體驗,也尊重用戶的隱私權,特別提出聲明。
了解最新隱私權聲明 知道了