【资讯发展处-公告】转知 (ANA事件单通知:TACERT-ANA-2024121711121717)(【攻击预警】社交工程攻击通告:请加强防范以业务需求或时事议题为由,以及伪冒资安院之社交工程邮件攻击!)

  • 2024-12-18
  • Yu-Kai Tseng

教育机构ANA通报平台

发布编号

TACERT-ANA-2024121711121717

发布时间

2024-12-18 09:30:17

事故类型

ANA-攻击预警

发现时间

2024-12-17 11:10:17

影响等级

   

[主旨说明:]【攻击预警】社交工程攻击通告:请加强防范以业务需求或时事议题为由,以及伪冒资安院之社交工程邮件攻击!

[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-400-202412-00000036

 
资安院近期发现,攻击者利用业务需求、时事议题、资安攻击预警或伪冒资安院名义,发动社交工程邮件攻击,诱导收件者开启与执行恶意附档,并记录开信人员之帐号资讯。 建议加强防范与通知各单位提高警觉,注意检视寄件者与内容正确性,资安院不会使用商用信箱发送通知,更不会于电子邮件中要求执行任何软件,请各单位提高警觉,如感觉有异请先洽资安院查证,并请避免勿点击信件连结与执行附档,以免受骇。 

 
已知攻击邮件特征如下,相关受骇侦测指标请参考附件。 
1.伪冒寄件者帐号: 「A23031@nics.nat.gov.tw」 

 
2.已知遭骇客利用寄件者帐号: 
「russell.wei@msa.hinet.net」、 
「aimer.chei@msa.hinet.net」、 
「chtda@ms72.hinet.net」、 
「student.book@msa.hinet.net」、 
「nannies@ms22.hinet.net」、 
「tmdcu.ken@msa.hinet.net」、 
「khcity-rc26416@umail.hinet.net」、 
「y7133@ms48.hinet.net」、 
「victor.chiou22@msa.hinet.net」、 
「hong.each@msa.hinet.net」、 
「harvest.rotary@msa.hinet.net」、 
「im.imwork@msa.hinet.net」 

 
3.骇客寄送之主旨: 
「【攻击预警】近期勒索软件活动频繁,请提高警觉」、 
「陈情书」、 
「【求助】 护照出现异常!」、 
「需求帮助:当地官员表示护照或个人资料有异常」、 
「有黑料,大爆料」、 
「《新川普时代的台湾》,思路的不错,邀君一览」、 
「阁下钧阅《台湾自救运动宣言》」、 
「《新川普时代的台湾》,邀君一览」、 
「阁下钧阅《台湾独立建国请愿书》」、 
「关于“新北割颈案”十大诉求。」、 
「项目投标」 

 
4.恶意附档名称: 
「trojan_killer.rar」、 
「1028.rar」、 
「20241030.rar」、 
「投标标案资料.rar」、 
「Proof_documents.rar」、 
「台在新川普时代的思考.rar」、 
「wufi.org.tw.rar」、 
「护照.doc」、 
「1121.html」、 
「陈情书.doc」 

 
5.恶意中继站: 
165[.]154[.]227[.]52 
165[.]154[.]226[.]163 
ssl[.]hinets[.]tw 
www[.]team-microsoft[.]top 
www[.]smb-microsoft[.]top 

 
6.恶意附档SHA1杂凑值: 
c5e85ecf68ff99d069740826c0cce7cb016df756、 610406c73cdedc33835649d54da6889b7abeb275、 a06e4246c0085c843f8b010257e77dffdb018969、 4da9af68626fefaa65bfb6d47874cd6602140e20、 c255c31f11d1269429949313124594bc91523e6d、 6438cf9f1def6cbcc225f14e5442655cfdf7aae2、 a06e4246c0085c843f8b010257e77dffdb018969、 0f94659d1d715ffc122128a098349221ab634b00 

 
注:相关网域名称为避免误点触发连线,故以「[.]」区隔。

 
情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 
烦请贵单位协助公告或转发

[影响平台:]

N/A

[建议措施:]

1.网络管理人员请参考受骇侦测指标,确实更新防火墙,阻挡恶意中继站。 

 
2.建议留意可疑电子邮件,注意邮件来源正确性,勿开启不明来源之邮件与相关附档。 

 
3.安装防毒软件并更新至最新病毒码,开启档案前使用防毒软件扫描邮件附档,并确认附档档案类型,若发现档案名称中存在异常字符(如exe.pdf, exe.doc, pdf.zip, lnk, rcs, exe, moc等可执行档案附档名的逆排序),请提高警觉。 

 
4.加强内部宣导,提升人员资安意识,以防范骇客利用电子邮件进行社交工程攻击。

[参考资料:]
附件-社交工程攻击_IOC:https://cert.tanet.edu.tw/pdf/soc_ioc_1216.csv

 

(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。

教育机构资安通报应变小组
网址:https://info.cert.tanet.edu.tw/
专线电话:07-5250211
网络电话:98400000
E-Mail:service@cert.tanet.edu.tw

编辑