• 發布單位:TWCERT/CC
• 更新日期:2022-12-27
• 點閱次數:6770

資安廠商 Mandiant 日前發表研究報告，指出該公司發現有駭侵團體透過植入惡意軟體的 Windows 10 安裝 ISO 檔，攻擊烏克蘭政府所屬單位，入侵其內部網路系統。

據 Mandiant 的報告指出，這波攻擊係透過 P2P 檔案分享網路 BitTorrent 的網站進行；駭侵者將木馬惡意軟體植入 Windows 10 安裝光碟映像檔，藉以發動供應鏈攻擊。

Mandiant 將這波攻擊行動代號命名為「UNC4166」。該公司在分析烏克蘭政府受到攻擊的部分單位內網時，發現被植入的木馬主要以竊取機密資訊為主，傳送到駭侵者控制伺服器的貟訊，並未含有可用以竊取財物的資訊，也不含任何勒贖工具或加密貨幣挖礦程式。

Mandiant 說，駭侵者在初步入侵受害系統後，隨即進一步布署多種惡意後門 Stowaway、Beacon、Sparepart 等，以便讓駭侵者控制受駭系統、執行指令與程式碼、傳送檔案、竊取資訊如登入帳密和鍵盤輸入等。

Mandiant 也發現一些在 2022 年 7 月預先排程好的工作，以便透過 PowerShell 取得駭侵者下達的進一步攻擊指令。

Mandiant 在報告中指出，這次烏克蘭政府受到攻擊的單位，過去也曾遭到 APT 駭侵團體 APT28 的攻擊。

建議擁有機敏資訊的各公私單位或個人，在安裝軟體時務必循正規管道，使用經驗證安全性可靠的正版軟體，切勿透過 P2P 或社群平台連結安裝來路不明的盜版軟體或所謂破解工具、註冊機，以免遭到植入惡意軟體。