供应链攻击锁定大型服务供应商

供应链攻击是一种间接入侵单位的攻击方式,网路犯罪分子会透过找寻与单位合作的第三方服务供应商,从中找到可以横向至单位的攻击路径,在本次发现的实际案例中,骇客潜藏在服务供应商的内部环境的当下,借由远端连入客户内部进行系统维护,并已拥有合法的帐号密码以进行连线,因此,骇客已先窃取服务商合法的帐号密码,进一步入侵服务商平时用来连线维护的设备,以跳板的方式入侵到单位内部,及立即于单位设备中植入未知恶意后门,该后门会伪装成作业系统中正常程式svchost.exe,并以服务形式常驻于系统中,此时,骇客即可利用该后门程式自行连线恶意中继站,之后就能透过后门连入受骇单位内部进行横向攻击,并可进一步将扩张控制范围,若未即时发现及清除,最后可能造成机敏资料遭窃或服务中断等资安事件。

中芯数据IPaaS监控服务,在网路罪犯和攻击组织的入侵的当下,即时发现异常和可疑行为,并已立即通报所服务之客户单位,我们的即时通报中包含相关的未知恶意后门路径、中继站资料、骇客入侵来源,以及建议处置措施,使遭受未知供应链攻击的受害单位,能在第一时间发现入侵并有效阻断恶意程式的威胁,在骇客还没来的及进一步攻击时,恶意后门透过IPaaS监控服务完成清除,确保单位的安全。

中芯数据资安团队建议:根据分析后发现该APT攻击组织还针对其他单位进行攻击,各企业与部门应该采取多种措施来实现安全防护​​,建议第一步立即针对我们分析出来的相关情资进行确认,以避免面临更大威胁。或联络中芯数据,我们提供专业的资安技术团队,可协助企业内部网路是否有潜藏的未知恶意程式。

此外,由于现在有太多未知的APT攻击,为确保各企业与部门的安全,不间断地即时分析单位内部各个端点的行为,有效即时发现异常和可疑行为,达到第一时间提供详细攻击路径资讯及立即进行处置,确保单位在可以成功侦测最先进的威胁,进而提供完善的防护措施。中芯数据真正做到『加速事件检测和应变时间』与『缩短骇客入侵停留的时间』,提供侦测、分析及处理一次到位的服务方案。

Author: bwh