調查局:中油、台塑化遭海外駭客集團勒索攻擊 另有10家遭鎖定
鉅亨網編輯陳于晴 2020-05-15 18:02
中油、台塑化 (6505-TW) 及封測廠力成 (6239-TW) 日前遭惡意程式攻擊,法務部調查局今 (15) 日公布調查結果,研判該駭客組織為 Winnti Group,據情資顯示,駭客近日預謀再針對國內 10 家企業,發動勒索軟體攻擊,呼籲各企業立即檢查防護機制,是否有惡意軟體潛伏。
調查局指出,駭客早在數月前,透過員工個人電腦、網頁及 DB 伺服器,入侵公司內部網路並開始刺探與潛伏。駭客竊取特權帳號後,侵入網域控制伺服器 (AD),並利用凌晨時段竄改群組原則 (GPO) 以派送具惡意行為的工作排程。
當員工打開電腦會立即套用 GPO,並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。
中油日前遭勒索軟體攻擊,造成捷利卡、車隊卡及中油 PAY 等支付工具無法使用,同時,台塑集團也發現電腦系統異常,力成湖口廠區部分伺服器遭到勒索病毒攻擊,公司內部緊急關閉伺服器和網站,IT 人員與外部資安專家共同將勒索程式清除,生產不受影響。
調查局表示,該駭客集團要求企業須支付一台電腦 3000 美元 (約合台幣 9 萬元) 的贖金,否則就要公布自公司竊取的內部資料。
在犯案過程中,駭客也留有後門程式連往境外中繼站,追查發現,駭客是向美國境內的「雲端主機 (VPS)」服務提供商 (負責人是華裔人士) 租用雲端主機,作為駭客中繼站,並使用商用滲透工具 Cobaltstrike 作為遠端存取控制之用。
調查局研判,該駭客組織為 Winnti Group,已透過國際合作管道協查境外的電子信箱及中繼站,雖然 3 家企業遭勒索軟體攻擊事件暫時解決,但據情資顯示,駭客集團揚言將對國內 10 家企業進行攻擊,目前無法掌握確切名單。
依本案行為模式研判,駭客鎖定的 10 家企業應已遭入侵滲透並潛伏數月之久,調查局呼籲國內企業立即檢視網路防護機制,現有對外網路服務是否存在漏洞與破口,觀察企業 VPN 有無異常登入行為或遭安裝 SoftetherVPN 及異常網路流量,並加強監控網域中特權帳號等。
- 安全可靠的多資產平台!靈活槓桿 免費模擬
- 掌握全球財經資訊點我下載APP
延伸閱讀
上一篇
下一篇