发布编号：TACERT-ANA-2021011404012828

发布时间：2021-01-14 16:09:28

事故类型：ANA-攻击预警

发现时间：2021-01-14 16:09:28

影响等级：低

 

[主旨说明:]

【攻击预警】近期骇客组织攻击活动频繁，请加强系统/应用程式更新与防范作业

 

[内容说明:]

转发 行政院国家资通安全会报技术服务中心 资安讯息警讯 NISAC-ANA-202101-0622

近期骇客组织攻击活动频繁，骇客透过进阶持续性渗透攻击(Advanced Persistent Threat, APT)方式成功入侵目标组织并植入恶意程式，建议各级机关应提高警觉，定期检视例行性排程设定与派送机制，如于相关日志发现异常连线或警示，应深入厘清事件原因与影响范围，避免错失调查时机，目前已掌握近期骇客利用恶意程式资讯如下：

【样本1】MD5：D6768C14A9E2064D659F7BF68FF4C1D1SHA-1：DF68B14964A66B774040277BF5A2458FA57A6224

【样本2】MD5：7AA3A5EBCA6C1064868B780CCF2D6348SHA-1：FAD40A72C0B1E26853AA96C84FF4307040A4909F

【样本3】MD5：B9A247D240D6CC7F37A22306FE26E79FSHA-1：89AB14854E5A69E2A9B7ABF8AB15E875E647E0FC

【样本4】MD5：0499D3385BD8E9B4989F2A8C829ADFE6SHA-1：7CCE793C017CE1BA86D088E809DF2733D6CF8D8C

【样本5】MD5：28544574EA6C80A30EC92D6910999669SHA-1：C69B42E5D46363659A33D6AD8E726D27544A0FE7

【样本6】MD5：AF6B7576FF97526C081507F3F7C3DA42SHA-1：3B2D8020D59C9DF1BABB4434C08166D2129758A5

【样本7】MD5：B737D8381F06C183F22F80B550370DECSHA-1：6A6F84E5DD3FC2F69BEE9322849A7A76BB826858

【样本8】MD5：88312E59D71E7AED15D906E5DFAFFFC0SHA-1：DAEBA07F8A2970103A3820B56D225B06C682483F

【样本9】MD5：B44EA82AD8C43A6D08BD1A40CB6C8864SHA-1：93982A1FC8E383217D683074F18E9F8B419DB707

【样本10】MD5：9B46698B08DEDC0D617849B7693A3124SHA-1：F67F1E879DB198A6461675266F395EDCBDACA43D

【样本11】MD5：E45A17AD2E99B3DD65B51C5F5123B2C1SHA-1：FFB9AF3FA59E849D5DDDFFD41725D0C7EC0619C6

【样本12】MD5：63DEF2168BFEE348615A5436476AAE39SHA-1：5A6FA3F812F8589B1015DBF35EDEEC8A8CC4B0CA

【样本13】MD5：80CC33D54B8CCB3B4C482B1DC7BA63F3SHA-1：0C22FECFBFC36D5798872164137135E7C7BB0F7F

此外，近期机关通报事件原因包含厂商维护环境或管理疏失情形，发现骇客透过供应链攻击，入侵机关内部资通系统/设备，或透过厂商维护帐号登入其所开发/维护之系统，而机关系统存取权限未设定或网段不当切割，导致横向影响内部其他系统。建议机关除落实设备权限控管并定期检视权限设置情况外，亦应监督委外厂商资通安全维护情形，以避免资安疑虑。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

全

 

[建议措施:]

1.如发现资通讯系统存在可疑档案，建议进行MD5或SHA-1比对，以确认是否为恶意程式。

2.定期检视资通讯系统日志纪录，同时检视资通讯系统排程设定与派送机制，如发现异常连线或新增排程情形，应立即深入了解事件原因。

3.不定期检视资通讯系统帐号使用情况，并定期变更帐号密码，确保密码设定符合复杂性原则，避免字符转换情况发生。

4.检视网络硬盘与共享资料夹之使用者存取权限，避免非必要使用存取。

5.确认作业系统、防毒软件及应用程式(如Chrome、Java)更新情况，并定期检视系统/应用程式更新纪录，避免骇客利用系统/应用程式安全性漏洞进行入侵行为。

6.加强教育训练，请使用者留意相关电子邮件，注意邮件之来源的正确性，不要开启不明来源信件的附档或连结，以防被植入后门程式。

7.依据行政院资通安全处于109年12月颁布之「各机关资通安全事件通报及应变处理作业程序」之「迹证保存」要求，保存相关资通系统之日志范围与项目。

 

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw