中心公告
2020/05/18
北韓駭客組織HIDDEN COBRA所利用之惡意程式COPPERHEDGE、TAINTEDSCRIBE及PEBBLEDASH,請各會員注意防範
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202005-0272
美國國土安全部、聯邦調查局及美國國防部近期發布三份惡意程式分析報告,描述北韓駭客組織HIDDEN COBRA利用之COPPERHEDGE、TAINTEDSCRIBE及PEBBLEDASH等遠端存取與後門工具程式。若資訊設備遭受感染會有以下風險:
1.個人或單位資料遭竊取。
2.個人工作或單位運作被影響而中斷停擺。
3.資訊設備資源被利用於對外攻擊。
4.單位財務損失。
建議除使用防毒軟體檢查資訊設備是否受惡意程式感染,也可透過檢查連線紀錄與惡意程式資訊確認感染與否。
建議措施:
1.部署黑名單於防護設備進行偵測,監控是否有資訊設備已遭入侵,網路位址與網域名稱黑名單如下:211[.]192[.]239[.]232 112[.]217[.]108[.]138 028xmz[.]com 168wangpi[.]com 33cow[.]com 3x-tv[.]com 51shousheng[.]com 530hr[.]com 919xy[.]com 92myhw[.]com 97nb[.]net aedlifepower[.]com aisou123[.]com aloe-china[.]com anlway[.]com ap8898[.]com apshenyihl[.]com as-brant[.]ru aurumgroup[.]co[.]id bogorcenter[.]com cabba-cacao[.]com castorbyg[.]dk creativefishstudio[.]com danagloverinteriors[.]com duratransgroup[.]com eventum[.]cwsdev3[.]biz eygingenieros[.]com growthincone[.]com inverstingpurpose[.]com locphuland[.]com markcoprintandcopy[.]com marmarademo[.]com matthias-dlugi[.]de new[.]titanik[.]fr nuokejs[.]com pakteb[.]com qdbazaar[.]com rhythm86[.]com rxrenew[.]us sensationalsecrets[.]com stokeinvestor[.]com streamf[.]ru theinspectionconsultant[.]com vinhsake[.]com
2.各會員可依參考資訊連結,取得詳細惡意程式特徵如雜湊值與偵測規則,用以偵測系統是否存在相關惡意程式,若確認資訊設備已遭入侵,建議立即進行必要處理措施:
(1) 針對受害電腦進行資安事件應變處理。
(2) 重新安裝作業系統,並更新作業系統及相關應用軟體。
(3) 更換系統使用者密碼。
3.日常資訊設備資安防護建議:
(1) 持續更新作業系統及辦公室文書處理軟體等安全性修補程式。若所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。
(2) 系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。系統上非必要的服務程式亦建議移除或關閉。
(3) 安裝及啟用防毒軟體防護,並持續更新病毒碼及掃毒引擎。
(4) 安裝及啟用防火牆防護,並設定防火牆規則僅開放所需之通訊埠。
(5) 不要開啟可疑的郵件與檔案,在開啟下載資料之前先進行資安防護掃描檢查。
參考資料:
https://www.us-cert.gov/ncas/analysis-reports/ar20-133a
https://www.us-cert.gov/ncas/analysis-reports/ar20-133b
https://www.us-cert.gov/ncas/analysis-reports/ar20-133c
| (此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
| 教育機構資安通報應變小組 網址:https://info.cert.tanet.edu.tw/ 專線電話:07-5250211 網路電話:98400000 E-Mail:service@cert.tanet.edu.tw |
2020/05/11
APT駭客族群對醫療服務與多種其他重要服務進行攻擊活動訊息
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202005-0214
美國CISA與英國NCSC報告指出,近期觀察到APT駭客族群利用COVID-19疫情相關主題對醫療機構、製藥公司、醫學研究組織、學術界及地方政府等重要服務進行網路攻擊活動。分享相關威脅指標與資安報告,供會員注意防範。
建議措施:
1. 依威脅指標清單(詳如附件),檢查資安防護設備是否有相關的連線紀錄與郵件紀錄。
2. 修補提供遠端辦公服務設備的資安漏洞,如Citrix、Pulse Secure、Fortinet、Palo Alto的VPN設備漏洞。
3. 使用線上會議服務時,不要將會議存取資訊公開,且應設定會議密碼。
4. 強化使用者認證機制,如多因子認證、強制密碼複雜度等。
5. 提醒使用者小心釣魚郵件、釣魚簡訊及釣魚網站等攻擊手法。
參考資料:
ttps://www.us-cert.gov/ncas/alerts/AA20126A
https://www.us-cert.gov/ncas/alerts/aa20-099a
https://cert.tante.edu.tw/image/threat-ioc-20200511.zip
| (此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
| 教育機構資安通報應變小組 網址:https://info.cert.tanet.edu.tw/ 專線電話:07-5250211 網路電話:98400000 E-Mail:service@cert.tanet.edu.tw |
2020/05/06
加密勒索軟體猖獗,請加強系統/應用程式更新與資料備份作業
內容說明:
轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202005-0115
近期勒索軟體攻擊事件頻傳,使用者電腦一旦遭植入該惡意程式,將導致該電腦可存取的檔案(含網路磁碟機、共用資料夾等)全數加密無法開啟讀取,藉以勒索使用者支付贖金換取檔案解密。 依近期攻擊活動研究報告顯示,駭客透過進階持續性滲透攻擊(Advanced Persistent Threat, APT)方式成功入侵目標組織,並取得網域管理者權限後,以群組原則方式散布勒索軟體,達到大範圍資料加密目的,建議各會員應提高警覺,定期檢視例行性排程設定與派送機制,如於相關日誌發現異常連線或警示,應深入釐清事件原因,避免錯失調查時機。 此外,傳統勒索軟體傳染途徑以應用程式漏洞(如Flash Player)與社交工程為主,建議請各會員除加強組織資安監控防護外,仍應持續確認相關應用程式更新情況,定期備份重要檔案,加強資訊安全宣導,避免開啟來路不明郵件或連結。
建議措施:
1.定期檢視資通訊系統日誌紀錄,同時檢視資通訊系統排程設定與派送機制,如發現異常連線或新增排程情形,應立即深入了解事件原因。
2.不定期檢視資通訊系統帳號使用情況,並定期變更帳號密碼,確保密碼設定符合複雜性原則,避免字符轉換情況發生。
3.清查重要資料,並參考下列做法定期進行備份作業:
-定期執行重要的資料備份。
-備份資料應有適當的實體及環境保護。
-應定期測試備份資料,以確保備份資料之可用性。
-資料的保存時間與檔案永久保存的需求,應由資料擁有者研提。
-重要機密的資料備份,應使用加密方式來保護。
4.檢視網路硬碟與共用資料夾之使用者存取權限,避免非必要使用存取。
5.確認作業系統、防毒軟體,及應用程式(如Adobe Flash Player、Java)更新情況,並定期檢視系統/應用程式更新紀錄,避免駭客利用系統/應用程式安全性漏洞進行入侵行為。
6.若使用隨身碟傳輸資料,應先檢查隨身碟是否感染病毒或惡意程式。
7.若疑似遭受感染時,可參考下列做法:
-應立即關閉電腦並切斷網路,避免災情擴大。
-通知機關資訊人員或廠商協助搶救還沒被加密的檔案。
-建議重新安裝作業系統與應用程式,且確認已安裝至最新修補程式後,再還原備份的資料。
-備份資料在還原至電腦之前,應以防毒軟體檢查,確保沒有殘存的惡意程式。
8.加強教育訓練,請使用者留意相關電子郵件,注意郵件之來源的正確性,不要開啟不明來源信件的附檔或連結,以防被植入後門程式。
2020/05/05
中油遭勒索軟體攻擊隔天,台塑集團也出現電腦病毒攻擊,全面停機清查後於傍晚6點恢復運作
新聞來源:iThome
摘要:
在昨天(5月4日)中午中油的駭客攻擊事件之後,三立報導今天中午有人在批踢踢指出,台塑集團的電腦系統也疑似遭到攻擊,使得許多使用者認為台塑石化是遇害的對象。由於這起事件台塑集團並未發出公告,對此,我們透過電話確認,該公司也證實,是因為今天早上有員工的電腦於10點左右發現異常,出現電腦病毒,由於事逢前述中油的攻擊事件,時機敏感,台塑集團不敢大意,下令全部電腦關機與斷網清查,所幸經資安部門檢查後,已從下午2時開始,逐步解除警報,到下午6時前全部恢復正常運作。
詳情請參閱 https://www.ithome.com.tw/news/137416
2020/05/04
中油資料庫和部分電腦主機遭勒索軟體感染,斷網防受駭範圍擴大,暫通報為三級資安事件
新聞來源:iThome
摘要:
中油在一小時內,通報行政院此次為三級資安事件
據了解,臺灣中油公司在中午12點多發現部分支付系統發生異常狀態,在下午1點多,便已經立即通報目的事業主管機關經濟部,告知遭駭狀況。臺灣已經通過「資通安全管理法」,資安法主管機關為行政院,但因為行政院尚未正式公布關鍵基礎設施名單,所以中油公司則會將此一資安事件依照相關資安事件通報應變程序,通報主管機關行政院,而系統會副本知會目的事業主管機關經濟部進行事件審核。
部分資料庫和電腦主機受駭,速斷網並立即做資安事件處理
據不具名專家指出,中油遭到勒索軟體損害的範圍,包括部分資料庫和電腦主機,也影響到中油官網,為了避免受駭範圍持續擴大,中油公司也在第一時間便進行內部斷網的處理,再由長期合作的資安公司以及技服中心聯手進行資安事件處理(IR)。
中油主要的核心業務系統包括油品生產、製造以及銷售,根據不具名專家指出,目前內部的油品生產和製造系統並沒有受到勒索軟體的損害,各個加油站的銷售系統也可以正常營運,支付部分包括現金和信用卡交易都正常運作,但這次受到勒索軟體危害的則由中油Pay和捷利卡系統,其中,因為有許多車隊使用捷利卡加油,為了維護車隊用卡權益,則提供代碼供使用捷利卡的車隊加油,等到系統恢復正常後,再進行帳務調整。