駭進中油、台塑的海外華裔駭客,還鎖定台灣另十公司

法務部調查局情資顯示,駭客近日預謀再針對國內 10 家企業,發動勒索軟體攻擊。
評論
中油、台塑 Logo,蜜雅合成
中油、台塑 Logo,蜜雅合成
評論

本篇來自合作媒體鉅亨網,INSIDE 經授權轉載。  

中油、台塑化及封測廠力成日前遭惡意程式攻擊,法務部調查局今 (15) 日公布調查結果,研判該駭客組織為 Winnti Group,據情資顯示,駭客近日預謀再針對國內 10 家企業,發動勒索軟體攻擊,呼籲各企業立即檢查防護機制,是否有惡意軟體潛伏。

調查局指出,駭客早在數月前,透過員工個人電腦、網頁及 DB 伺服器,入侵公司內部網路並開始刺探與潛伏。駭客竊取特權帳號後,侵入網域控制伺服器 (AD),並利用凌晨時段竄改群組原則 (GPO) 以派送具惡意行為的工作排程。

當員工打開電腦會立即套用 GPO,並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。

中油日前遭勒索軟體攻擊,造成捷利卡、車隊卡及中油 PAY 等支付工具無法使用,同時,台塑集團也發現電腦系統異常,力成湖口廠區部分伺服器遭到勒索病毒攻擊,公司內部緊急關閉伺服器和網站,IT 人員與外部資安專家共同將勒索程式清除,生產不受影響。

調查局表示,該駭客集團要求企業須支付一台電腦 3000 美元 (約合台幣 9 萬元) 的贖金,否則就要公布自公司竊取的內部資料。

在犯案過程中,駭客也留有後門程式連往境外中繼站,追查發現,駭客是向美國境內的「雲端主機 (VPS)」服務提供商 (負責人是華裔人士) 租用雲端主機,作為駭客中繼站,並使用商用滲透工具 Cobaltstrike 作為遠端存取控制之用。

延伸閱讀:美國資安公司:中國駭客趁武漢肺炎疫情蔓延,攻擊暴增!

調查局研判,該駭客組織為 Winnti Group,已透過國際合作管道協查境外的電子信箱及中繼站,雖然 3 家企業遭勒索軟體攻擊事件暫時解決,但據情資顯示,駭客集團揚言將對國內 10 家企業進行攻擊,目前無法掌握確切名單。

依本案行為模式研判,駭客鎖定的 10 家企業應已遭入侵滲透並潛伏數月之久,調查局呼籲國內企業立即檢視網路防護機制,現有對外網路服務是否存在漏洞與破口,觀察企業 VPN 有無異常登入行為或遭安裝 SoftetherVPN 及異常網路流量,並加強監控網域中特權帳號等。

責任編輯:蜜雅 

核稿編輯:Mia

延伸閱讀: