中芯數據資安技術團隊近期發現,特定的APT組織針對台灣多個單位進行供應鏈攻擊,初步判定為中國的APT組織所發起的攻擊行為,於發現的案例中,是透過人力資源管理系統(HRS)服務的供應商,進行的供應鏈攻擊,據中芯數據研究顯示,除了已經發現的案例外,還有其他數個疑似遭受攻擊的單位。

供應鏈攻擊是一種間接入侵單位的攻擊方式,網路犯罪分子會透過找尋與單位合作的第三方服務供應商,從中找到可以橫向至單位的攻擊路徑,在本次發現的實際案例中,駭客潛藏在服務供應商的內部環境的當下,借由遠端連入客戶內部進行系統維護,並已擁有合法的帳號密碼以進行連線,因此,駭客已先竊取服務商合法的帳號密碼,進一步入侵服務商平時用來連線維護的設備,以跳板的方式入侵到單位內部,及立即於單位設備中植入未知惡意後門,該後門會偽裝成作業系統中正常程式svchost.exe,並以服務形式常駐於系統中,此時,駭客即可利用該後門程式自行連線惡意中繼站,之後就能透過後門連入受駭單位內部進行橫向攻擊,並可進一步將擴張控制範圍,若未即時發現及清除,最後可能造成機敏資料遭竊或服務中斷等資安事件。

中芯數據IPaaS監控服務,在網路罪犯和攻擊組織的入侵的當下,即時發現異常和可疑行為,並已立即通報所服務之客戶單位,我們的即時通報中包含相關的未知惡意後門路徑、中繼站資料、駭客入侵來源,以及建議處置措施,使遭受未知供應鏈攻擊的受害單位,能在第一時間發現入侵並有效阻斷惡意程式的威脅,在駭客還沒來的及進一步攻擊時,惡意後門透過IPaaS監控服務完成清除,確保單位的安全。

中芯數據資安團隊建議:根據分析後發現該APT攻擊組織還針對其他單位進行攻擊,各企業與部門應該採取多種措施來實現安全防護,建議第一步立即針對我們分析出來的相關情資進行確認,以避免面臨更大威脅。或聯絡中芯數據,我們提供專業的資安技術團隊,可協助企業內部網路是否有潛藏的未知惡意程式。此外,由於現在有太多未知的APT攻擊,爲確保各企業與部門的安全,不間斷地即時分析單位內部各個端點的行為,有效即時發現異常和可疑行為,達到第一時間提供詳細攻擊路徑資訊及立即進行處置,確保單位在可以成功偵測最先進的威脅,進而提供完善的防護措施。中芯數據真正做到『加速事件檢測和應變時間』與『縮短駭客入侵停留的時間』,提供偵測、分析及處理一次到位的服務方案。相關資訊請至www.corecloud.com.tw

供應鏈攻擊相關情資分析

入侵指標(IOC)

Files               C:\Windows\Debug\svchost.exe

Registry        HKLM\SYSTEM\ControlSet001\Services\iTunes

C&C              [CompanyName].sexytube0[.]com

Hashes (SHA-256)

  • ea0e0c2c31ae5fdbce65898f989abe04f03d32864fb7ae53c51d695035589800

  • 024e769983f8b255262b684d8bb3ef84f73424c223283de82a3316a6016bdaed

關於中芯數據

中芯數據 (CoreCloud Tech) 成立於 2013 年 9 月,延攬各方專業人才成立大規模的資安技術團隊,搭配由人工智慧技術而成的自動化資安服務平台,為客戶提供意圖威脅即時鑑識服務(IPaaS, Intention Prediction as a Service),達到保護企業網路安全的目的。並於 2015 年正式通過國際標準資安認證機構 IOS27001 認證,可提供企業符合國際標準的資訊安全管理規範,讓客戶能夠專注在自身業務與推廣上。中芯數據作為企業內部資安團隊的延伸,協助企業共同防禦進階威脅。致力提供企業對抗資安威脅所需的解決方案,自從 APT 攻擊手法問世後,企業不可能只靠資安產品解決 APT這類針對性的攻擊威脅,而是需要專業資安人員判讀資安報告後,採取相對應的做法。但多數企業並沒有足夠資安人力,加上員工工作型態正朝向行動化改變,傳統閘道端防護機制早以無法迎合世代需求。 面對無所不在的資安威脅,企業唯有建置完善的網路與資安規劃建置,才能降低駭客入侵的機率。或許添購新世代代資安設備可解決大部分的資安問題,但若產品設定不正確,恐怕將給予駭客更多可趁之機。而中芯數據主動回應資安事件,意圖威脅即時鑑識服務功能強悍,協助共同防禦各種進階資安威脅,使組織得以安全並快速地預防駭客攻擊。

熱門新聞

Advertisement