資安公司發現針對製造業大規模間諜監控攻擊
- 發布單位:TWCERT/CC
- 更新日期:2020-10-19
- 點閱次數:4671
- 資安事件摘要
資安公司日前指出,一個名為 MontysThree 的間諜活動,再次被發現針對製造業發動間諜監控攻擊行動,竊取機密文件。
- 資安情資重點說明
俄羅斯資安公司卡巴斯基日前發表研究報告,指出一個名為 MontysThree 的間諜活動,再次被發現針對製造業發動間諜監控攻擊行動,目的在竊取企業機密文件。
卡巴斯基表示,MontysThress 的駭侵攻擊行動,運用了多種技術以避免被發現,例如將竊得資料編碼隱藏在圖片檔案內,並且利用如 Google 與 Microsoft、Dropbox 的雲端服務,設立控制伺服器與檔案存取服務,並非自行架設。
卡巴斯基說,該公司觀察到未知的駭侵工具組,在 2018 年首次被發現後,近來又開始大舉活動的跡象;由於工具組開發者將其命名為 MT3,卡巴斯基懷疑始作俑者是新出現的APT組織,因此稱其為 MontysThree。
報告指出,MT3 駭侵工具組的功能,包括持續性收集各種藏在影像中的編碼資料、截取受害電腦的螢幕、竊取電腦設定資訊與檔案、加密竊得的資訊等。
MontysThree 以搜尋 Microsoft Office 和 Adobe Acrobat (PDF)檔案為主,而且只針對設定為西里爾語系(俄文即屬此語系)字元的 Windows 電腦中的資料夾與檔案,但在公有雲中發現的 sample 檔案又意圖偽裝使用中文。卡巴斯基認為這種偽裝係為了混淆視聽,實際上專門鎖定使用西里爾語系 Windows 系統的受害目標。
- 建議採取資安強化措施
- 駭客鎖定製造業之員工發送釣魚郵件,並在郵件內夾帶偽裝成員工聯繫清單、技術檔案及醫療文件等惡意附件,以欺騙員工點擊下載,建議企業定期進行資安宣導、落實社交工程演練,加強員工的資安意識。
- 建議企業部署入侵防護與偵測相關軟體系統,企業內部網路施行分隔網段,機敏資訊進行加密及備份,降低遭受駭客攻擊之損害。