供應鏈攻擊鎖定大型服務供應商 中芯數據第一時間即時阻斷

中芯數據資安技術團隊近期發現，特定的APT組織針對台灣多個單位進行供應鏈攻擊，初步判定為中國的APT組織所發起的攻擊行為，於發現的案例中，是透過人力資源管理系統（HRS）服務的供應商，進行的供應鏈攻擊，據中芯數據研究顯示，除了已經發現的案例外，還有其他數個疑似遭受攻擊的單位。

供應鏈攻擊是一種間接入侵單位的攻擊方式，網路犯罪分子會透過找尋與單位合作的第三方服務供應商，從中找到可以橫向至單位的攻擊路徑，在本次發現的實際案例中，駭客潛藏在服務供應商的內部環境的當下，借由遠端連入客戶內部進行系統維護，並已擁有合法的帳號密碼以進行連線，因此，駭客已先竊取服務商合法的帳號密碼，進一步入侵服務商平時用來連線維護的設備，以跳板的方式入侵到單位內部，及立即於單位設備中植入未知惡意後門，該後門會偽裝成作業系統中正常程式svchost.exe，並以服務形式常駐於系統中，此時，駭客即可利用該後門程式自行連線惡意中繼站，之後就能透過後門連入受駭單位內部進行橫向攻擊，並可進一步將擴張控制範圍，若未即時發現及清除，最後可能造成機敏資料遭竊或服務中斷等資安事件。

中芯數據IPaaS監控服務，在網路罪犯和攻擊組織的入侵的當下，即時發現異常和可疑行為，並已立即通報所服務之客戶單位，我們的即時通報中包含相關的未知惡意後門路徑、中繼站資料、駭客入侵來源，以及建議處置措施，使遭受未知供應鏈攻擊的受害單位，能在第一時間發現入侵並有效阻斷惡意程式的威脅，在駭客還沒來的及進一步攻擊時，惡意後門透過IPaaS監控服務完成清除，確保單位的安全。

中芯數據資安團隊建議：根據分析後發現該APT攻擊組織還針對其他單位進行攻擊，各企業與部門應該採取多種措施來實現安全防護，建議第一步立即針對我們分析出來的相關情資進行確認，以避免面臨更大威脅。或聯絡中芯數據，我們提供專業的資安技術團隊，可協助企業內部網路是否有潛藏的未知惡意程式。此外，由於現在有太多未知的APT攻擊，爲確保各企業與部門的安全，不間斷地即時分析單位內部各個端點的行為，有效即時發現異常和可疑行為，達到第一時間提供詳細攻擊路徑資訊及立即進行處置，確保單位在可以成功偵測最先進的威脅，進而提供完善的防護措施。中芯數據真正做到『加速事件檢測和應變時間』與『縮短駭客入侵停留的時間』，提供偵測、分析及處理一次到位的服務方案。相關資訊請至www.corecloud.com.tw

供應鏈攻擊相關情資分析

入侵指標（IOC）

Files               C:\Windows\Debug\svchost.exe

Registry        HKLM\SYSTEM\ControlSet001\Services\iTunes

C&C              [CompanyName].sexytube0[.]com

Hashes (SHA-256)

• ea0e0c2c31ae5fdbce65898f989abe04f03d32864fb7ae53c51d695035589800

• 024e769983f8b255262b684d8bb3ef84f73424c223283de82a3316a6016bdaed

關於中芯數據

中芯數據 (CoreCloud Tech) 成立於 2013 年 9 月，延攬各方專業人才成立大規模的資安技術團隊，搭配由人工智慧技術而成的自動化資安服務平台，為客戶提供意圖威脅即時鑑識服務（IPaaS, Intention Prediction as a Service），達到保護企業網路安全的目的。並於 2015 年正式通過國際標準資安認證機構 IOS27001 認證，可提供企業符合國際標準的資訊安全管理規範，讓客戶能夠專注在自身業務與推廣上。中芯數據作為企業內部資安團隊的延伸，協助企業共同防禦進階威脅。致力提供企業對抗資安威脅所需的解決方案，自從 APT 攻擊手法問世後，企業不可能只靠資安產品解決 APT這類針對性的攻擊威脅，而是需要專業資安人員判讀資安報告後，採取相對應的做法。但多數企業並沒有足夠資安人力，加上員工工作型態正朝向行動化改變，傳統閘道端防護機制早以無法迎合世代需求。 面對無所不在的資安威脅，企業唯有建置完善的網路與資安規劃建置，才能降低駭客入侵的機率。或許添購新世代代資安設備可解決大部分的資安問題，但若產品設定不正確，恐怕將給予駭客更多可趁之機。而中芯數據主動回應資安事件，意圖威脅即時鑑識服務功能強悍，協助共同防禦各種進階資安威脅，使組織得以安全並快速地預防駭客攻擊。