企业遭骇早有布局境外骇客将再攻击

中油、台塑化陆续传出遭恶意程式攻击，造成中油捷利卡及「中油PAY」的APP支付在全台加油站都无法使用，调查局资安工作站溯源追查后，发现骇客来自境外，而且早有布局，更研判针对国内10家企业近日再度发动勒索软体攻击，调查局除继续追查骇客身分，也呼吁企业检视企业网路防护机制，防堵漏洞与破口。

资安工作站副主任刘家荣表示，中油、台塑等遭骇的企业，早在数月前就被骇客透过员工个人电脑、网页及DB伺服器，入侵公司内部网路并开始刺探与潜伏，等偷到特权帐号后侵入网域控制伺服器（AD），再利用凌晨时段窜改群组原则（GPO）以派送具恶意行为的工作排程，当企业员工打开电脑会立即套用GPO并执行恶意工作排程，等到核心上班时段，自动执行骇客预埋在内部伺服器里的勒索软体并载入记忆体中执行，如果档案加密成功就会显示勒索讯息及联络电子信箱；这些电子信箱都是来自境外，调查局正透过国际合作管道协查境外的电子信箱及中继站。

刘家荣指出，骇客犯案时还留有后门程式连往美国境内，向华裔人士经营的「云端主机（VPS）」服务提供商租用的云端主机作为骇客中继站，并使用商用渗透工具Cobaltstrike作为远端存取控制之用，从调查局掌握的后门程式组态档、中继站的IP及网域名称等相关资讯，研判犯罪骇客组织为Winnti Group或与该组织有密切关联的骇客。

刘家荣强调，根据专案人员掌握的情资，遭骇客锁定数月的国内10家企业，近日可能再受攻击，企业应该检视企业网路防护机制，如对外网路服务是否存在漏洞或破口等，关闭远端桌面协定，还要观察企业VPN有无异常登入行为或遭安装SoftetherVPN及异常网路流量。

另外，注意具有软体派送功能的系统，注意有没有群组原则遭异动、工作排程异常遭新增的现象，最重要的是更新防毒软体病毒码，并建立离线保存的备份机制。

企业遭骇早有布局 境外骇客将再攻击