中油等 3 家國內企業遭駭,調查局鎖定駭客組織、警告恐有新一波攻擊

作者 | 發布日期 2020 年 05 月 16 日 2:15 | 分類 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


國內多家重要的能源、科技公司如台灣中油、台塑集團、力成科技日前接連遭到勒索軟體攻擊,法務部調查局成立專案小組進行偵辦,15 日公布涉案的駭客組織與犯案手法,情資更顯示駭客預謀近日針對國內 10 家企業再度發動新一波攻擊。

包括中油、台塑、力成在 5 月 4 日至 5 日期間,接連遭到惡意攻擊。駭客入侵並將勒索軟體植入公司系統、個人電腦以及伺服器等資訊設備,造成重要檔案無法開啟、系統停擺,同時公司也被要求交付贖金。一連串攻擊造成像是中油加油站無法正常使用捷利卡、中油 Pay 等服務,力成湖口廠區的部分伺服器遭病毒感染後緊急關閉,隨後都已恢復正常運作。

經過調查局調查,駭客是在數個月前透過員工的個人電腦、網頁以及資料庫伺服器,入侵企業內部網路並展開刺探與潛伏,等待竊取帳號權限後侵入網域控制伺服器,並利用凌晨時段竄改群組原則(GPO)以派送具有惡意行為的工作排程。

當企業員工打開電腦則會立即套用 GPO 並執行該工作排程,等到核心上班時段,駭客預埋在內部伺服器中的勒索軟體自動下載至記憶體中執行,當檔案加密成功就會顯示勒索訊息以及聯絡用的電子信箱。

在犯案過程中,駭客是向美國境內的「雲端主機」(VPS)服務商(負責人為華裔人士)租用以作為中繼站,並使用商用滲透工具 Cobaltstrike 進行遠端存取控制。從調查局掌握的相關資訊,研判這波攻擊的駭客組織為 Winnti Group、或與 Winnti Group 有密切關聯的駭客,目前已透過國際合作管道協查境外的電子信箱以及中繼站。

根據調查局掌握的情資顯示,駭客組織甚至預謀近日針對國內 10 家企業再度發動新一波勒索軟體攻擊。這些企業恐已遭到入侵滲透並且潛伏數月之久,因此調查局呼籲國內企業即刻進行檢查,包括重新檢視企業網路防護機制,觀察企業 VPN 有無異常登入行為或異常網路流量,留意具有軟體派送功能的系統是否異動,以及加強監控企業網域中的特定權限帳號。切記更新防毒軟體病毒碼,留意防毒軟體所發出的警告。更要建立備份機制,並且離線保存。

(首圖來源:pixabay

延伸閱讀: