中芯數據近期主動發現一新的供應鏈攻擊,在受害電腦中開啟可遠端控制的後門進行入侵攻擊,有效阻斷惡意程式的威脅。
中芯數據資安技術團隊近期發現,特定的APT組織針對台灣多個單位進行供應鏈攻擊,初步判定為中國的APT組織所發起的攻擊行為,於發現的案例中,是透過人力資源管理系統(HRS)服務的供應商,進行的供應鏈攻擊,據中芯數據研究顯示,除了已經發現的案例外,還有其他數個疑似遭受攻擊的單位。
供應鏈攻擊是一種間接入侵單位的攻擊方式,網路犯罪分子會透過找尋與單位合作的第三方服務供應商,從中找到可以橫向至單位的攻擊路徑,在本次發現的實際案例中,駭客潛藏在服務供應商的內部環境的當下,借由遠端連入客戶內部進行系統維護,並已擁有合法的帳號密碼以進行連線,因此,駭客已先竊取服務商合法的帳號密碼,進一步入侵服務商平時用來連線維護的設備,以跳板的方式入侵到單位內部,及立即於單位設備中植入未知惡意後門,該後門會偽裝成作業系統中正常程式svchost.exe,並以服務形式常駐於系統中,此時,駭客即可利用該後門程式自行連線惡意中繼站,之後就能透過後門連入受駭單位內部進行橫向攻擊,並可進一步將擴張控制範圍,若未即時發現及清除,最後可能造成機敏資料遭竊或服務中斷等資安事件。
中芯數據IPaaS監控服務,在網路罪犯和攻擊組織的入侵的當下,即時發現異常和可疑行為,並已立即通報所服務之客戶單位,我們的即時通報中包含相關的未知惡意後門路徑、中繼站資料、駭客入侵來源,以及建議處置措施,使遭受未知供應鏈攻擊的受害單位,能在第一時間發現入侵並有效阻斷惡意程式的威脅,在駭客還沒來的及進一步攻擊時,惡意後門透過IPaaS監控服務完成清除,確保單位的安全。
中芯數據資安團隊建議:根據分析後發現該APT攻擊組織還針對其他單位進行攻擊,各企業與部門應該採取多種措施來實現安全防護,建議第一步立即針對我們分析出來的相關情資進行確認,以避免面臨更大威脅。或聯絡中芯數據,我們提供專業的資安技術團隊,可協助企業內部網路是否有潛藏的未知惡意程式。此外,由於現在有太多未知的APT攻擊,為確保各企業與部門的安全,不間斷地即時分析單位內部各個端點的行為,有效即時發現異常和可疑行為,達到第一時間提供詳細攻擊路徑資訊及立即進行處置,確保單位在可以成功偵測最先進的威脅,進而提供完善的防護措施。中芯數據真正做到『加速事件檢測和應變時間』與『縮短駭客入侵停留的時間』,提供偵測、分析及處理一次到位的服務方案。
供應鏈攻擊相關情資分析
入侵指標(IOC)
Files C:\Windows\Debug\svchost.exe
Registry HKLM\SYSTEM\ControlSet001\Services\iTunes
C&C [CompanyName].sexytube0[.]com
Hashes (SHA-256)
- ea0e0c2c31ae5fdbce65898f989abe04f03d32864fb7ae53c51d695035589800
- 024e769983f8b255262b684d8bb3ef84f73424c223283de82a3316a6016bdaed