供應鏈攻擊鎖定大型服務供應商 中芯數據第一時間即時阻斷

2021年1月7日

中芯數據資安技術團隊近期發現，特定的APT組織針對台灣多個單位進行供應鏈攻擊，初步判定為中國的APT組織所發起的攻擊行為，於發現的案例中，是透過人力資源管理系統（HRS）服務的供應商，進行的供應鏈攻擊，據中芯數據研究顯示，除了已經發現的案例外，還有其他數個疑似遭受攻擊的單位。

供應鏈攻擊是一種間接入侵單位的攻擊方式，網路犯罪分子會透過找尋與單位合作的第三方服務供應商，從中找到可以橫向至單位的攻擊路徑，在本次發現的實際案例中，駭客潛藏在服務供應商的內部環境的當下，借由遠端連入客戶內部進行系統維護，並已擁有合法的帳號密碼以進行連線，因此，駭客已先竊取服務商合法的帳號密碼，進一步入侵服務商平時用來連線維護的設備，以跳板的方式入侵到單位內部，及立即於單位設備中植入未知惡意後門，該後門會偽裝成作業系統中正常程式svchost.exe，並以服務形式常駐於系統中，此時，駭客即可利用該後門程式自行連線惡意中繼站，之後就能透過後門連入受駭單位內部進行橫向攻擊，並可進一步將擴張控制範圍，若未即時發現及清除，最後可能造成機敏資料遭竊或服務中斷等資安事件。

中芯數據IPaaS監控服務，在網路罪犯和攻擊組織的入侵的當下，即時發現異常和可疑行為，並已立即通報所服務之客戶單位，我們的即時通報中包含相關的未知惡意後門路徑、中繼站資料、駭客入侵來源，以及建議處置措施，使遭受未知供應鏈攻擊的受害單位，能在第一時間發現入侵並有效阻斷惡意程式的威脅，在駭客還沒來的及進一步攻擊時，惡意後門透過IPaaS監控服務完成清除，確保單位的安全。

中芯數據資安團隊建議：根據分析後發現該APT攻擊組織還針對其他單位進行攻擊，各企業與部門應該採取多種措施來實現安全防護，建議第一步立即針對我們分析出來的相關情資進行確認，以避免面臨更大威脅。或聯絡中芯數據，我們提供專業的資安技術團隊，可協助企業內部網路是否有潛藏的未知惡意程式。此外，由於現在有太多未知的APT攻擊，為確保各企業與部門的安全，不間斷地即時分析單位內部各個端點的行為，有效即時發現異常和可疑行為，達到第一時間提供詳細攻擊路徑資訊及立即進行處置，確保單位在可以成功偵測最先進的威脅，進而提供完善的防護措施。中芯數據真正做到『加速事件檢測和應變時間』與『縮短駭客入侵停留的時間』，提供偵測、分析及處理一次到位的服務方案。

供應鏈攻擊相關情資分析

入侵指標（IOC）

Files          
C:\Windows\Debug\svchost.exe
Registry    
HKLM\SYSTEM\ControlSet001\Services\iTunes
C&C          
[CompanyName].sexytube0[.]com
Hashes (SHA-256)
0e0c2c31ae5fdbce65898f989abe04f03d32864fb7ae53c51d695035589800
024e769983f8b255262b684d8bb3ef84f73424c223283de82a3316a6016bdaed