國家級駭客使用勒索軟體的情況,過往大多是採用自製工具為主,半年前出現有國家級駭客與勒索軟體駭客組織勾結的情況,如今他們進一步從事供應鏈攻擊。
資安業者Bitdefender揭露針對韓國金融業的供應鏈攻擊Korean Leaks,攻擊者疑為北韓國家級駭客Moonstone Sleet,他們借助大型勒索軟體租用服務(Ransomware-as-a-Service)Qilin的力量,將代管服務供應商(MSP)作為入侵受害組織的主要管道。
Bitdefender察覺這起事故的原因,在於他們在近期勒索軟體威脅態勢調查的過程裡,發現不尋常的現象:有別於過往勒索軟體的攻擊目標幾乎集中在歐洲和北美,9月韓國竟然占了25家,僅次於美國;而且,除了一家是建築公司,其餘都是金融服務業者,這種集中在特定國家與特定領域的情況,顯然是高度針對性的活動。而該國事故增加的原因,就是Qilin的攻擊。
這波活動發生的過程大致可以分成3個階段,Bitdefender確認總共有33家公司受害,駭客目前公布了28家,Qilin的攻擊目標完全聚焦在金融業者,尤其是資產管理公司。其中不尋常的地方在於,駭客陸續從網站上移除4家公司的資料,Bitdefender推測可能基於駭客的內部政策,或是已經和受害企業談判完成的結果。為了證明是他們所為,駭客公布了近300張外洩資料的照片,光是已確認的部分,估計有超過100萬個檔案遭竊、檔案大小合計2 TB。不過,由於多數受害企業被公開的內容,缺乏相關的中繼資料等重要資訊而難以統計,因此這起事故的影響規模,應該遠大於此。
另一方面,這波被稱為Korean Leaks的活動,攻擊者並未採取直接針對攻擊目標施壓的策略,而是透過大量政治語言,針對韓國政府與金融產業叫囂,有別於一般為了搜刮經濟利益而來的勒索軟體活動。
Qilin公布第一批受害企業的時間是9月14日,當時他們公布了10家金融管理領域的公司,所有的說明內容皆提及,他們已取得大量韓國企業在金融管理與股市運作相關資料,並表明這是全球層級的事件,影響數十家公司。這些駭客聲稱是打擊系統性貪腐,揚言公開上述公司操縱股市的證據,以及涉貪的韓國政治人物與商人姓名,並點名韓國執法機關有義務介入調查。
第二階段發生在9月17日至19日,當時Qilin公布另外9家受害企業,但不同的地方在於,他們對投資者喊話,表示將持續公布手上握有的數十家企業資料,對韓國股市造成嚴重衝擊,投資者最好趕快撤資。Qilin也對韓國監管機關施壓,表示這些受害公司的存在,是國家的恥辱,要這些機關介入。
最後一波發生在9月28日至10月上旬,攻擊者這次也同樣公布9家受害企業,但不同的地方在於,過程中已有部分回歸一般向企業索討贖金的策略,不再提及造成韓國股市崩盤、要求韓國執法單位出手的訊息。10月22日,他們又公布新的受害公司,儘管受害組織的產業也與先前的目標相同,都是金融服務與資產管理業者,不過,這次Qilin不再提及Korean Leaks,並在一天後移除相關內容,但為何要這麼做,Bitdefender表示不清楚。
針對Qilin入侵這些受害企業的管道,Bitdefender推測有3種,分別是上游供應商或代管服務業者受害、金融業者廣泛使用的特定軟硬體當中,已知或未知漏洞遭利用,再者,他們也不排除駭客事先取得進入網路環境的帳密資料。而根據韓國媒體9月23日的報導,當時超過20家資產管理業者在伺服器遭勒索軟體攻擊後,其網路環境被入侵,這些公司的共通點在於,他們都是當地一家IT服務供應商GJTec的客戶,而此IT業者就是為專為資產管理業者提供代管服務,從而確認這是透過MSP入侵受害企業的供應鏈攻擊。
而對於攻擊者身分,他們認為就是在今年3月成為Qilin附屬組織的Moonstone Sleet,並指出該組織選擇加入Qilin的原因,就是企圖模糊攻擊者的身分,讓責任歸屬變得更加困難。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02
2026-01-02