月份: 2022 年 3 月

根據新潟日報、Yahoo Japan和Tech+等日本媒體報導，臺灣矽晶圓大廠環球晶旗下日本子公司GlobalWafers Japan（新潟縣西羅町）3月2日宣布，確認內部伺服器於 2022 年 2 月 28 日被非法存取，據該公司稱，在當天凌晨 1 點左右，檢測到未經授權的非法存取，據報導，該公司表示收到了一份英文勒索信，附有如果你想解密檔案，到這裡來的字句，懷疑是勒索軟體攻擊，Global Wafers Japan為了防止損害擴大，因此採取措施將內部網路與系統關閉，並暫停日本國內四個基地（新潟、關川、小國和德山工廠）的生產作業。另外，為了早日恢復生產和發貨，他們將從確認系統安全後開始依序進行恢復工作、生產和發貨的時間，但根據Tech+，截至 3 月 7 日上午 9 點，該公司尚未在網站上公佈恢復的時間。

另外，根據暗網情報業者DarkTracer, 他們發現一個全新的勒索軟體揭秘網站名叫Pandora Data Leak，而GlobalWafers Japan正是目前唯一的受害者。Pandora稱他們已從GlobalWafers Japan中盜出1Tb數據，並威脅會在 3月10日發布盜來的數據，但沒有進一步透露有關入侵的細節和勒索金額，由於這是Pandora首次出現，目前沒有這種勒索軟體的攻擊手法和相關的入侵指標。另外，在此之前，日商半導體材料公司Fujimi和其台灣子公司福吉米在二月份發生網路攻擊事件，遭第三方未經授權存取，導致生產線停擺。半導體產業有設備系統老舊、無法更新等問題，一直為駭客覬覦的對象。在新冠疫情下催生的遠距辦公更是仰賴伺服器，使駭客更有機會下手。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

近日，Broadcom 旗下Symantec Threat Hunter團隊的研究員揭露了至少自 2013 年以來中國APT駭客精心策劃的長期間諜活動，並針對選定的政府和其他關鍵基礎目標部署了以前未被記錄的間諜工具，一個名為Daxin的後門程式。該後門被研究員描述為一種技術先進的惡意軟體，允許攻擊者針對中國具有戰略利益的電信、運輸和製造業的實體進行各種通訊和資訊收集行動。

根據美國網路安全暨基礎架構管理署(CISA)針對Daxin發佈的警告，Daxin後門是一種高度複雜的Rootkit，而Rootkit是一種很會鑽洞並鑽到無法被作業系統檢測到之深度的惡意軟體，Daxin具有複雜、隱秘的命令和控制 (C2) 功能，使駭客能遠端與未直接連接到互聯網的安全設備進行通訊。Daxin以Windows Kernel Driver(核心模式驅動程式)的型態出現，這是相對罕見的惡意軟體格式。該驅動程式實現了精心設計的通訊機制，為惡意軟體提供了高度的隱藏性以及與未直接連接到互聯網的電腦通訊的能力。大部分的惡意軟體都依靠植入電腦中並進行攻擊，Daxin則是透過第三方或外部連結對電腦進行攻擊，使大多數人無法發現其蹤影。

Daxin能劫持合法的TCP / IP連接（TCP/IP代表傳輸控制協定/互聯網協定，用於在電腦之間進行通訊）並與遠端對等者交換數位密鑰。然後成功的金鑰交換允許Daxin打開加密的通訊通道，用於接收命令並將資訊發送回駭客。報告稱，Daxin使用被劫持的TCP連接為其通訊提供了高度的隱身性，並有助於在具有嚴格防火牆規則的網路上建立連接，並可降低安全運營中心(SOC)分析師監控網路異常的風險。

專家認為，考量到其功能和所部署攻擊的性質，Daxin似乎已針對強化目標進行了優化，允許攻擊者深入目標網路並竊取數據而不會引起懷疑，後門實現的功能讓人想起2014 年發現的Regin惡意軟體。值得注意的是，Daxin將自身整合到合法機器行為中，使其不會產生可疑的網路流量，這個技巧允許後門在明顯合法的通訊中隱藏惡意流量，而且它可以建立受感染電腦節點的對等網路，允許攻擊者深入滲透到受保護的資產中。

另外，Symantec Threat Hunter的分析人員發現了將Daxin與中國國家級駭客組織 Slug（又名 Owlproxy）聯繫起來的證據。據悉，Daxin後門至少自 2019 年 11 月以來一直被積極用於攻擊，而研究人員在 2020 年 5 月和 2020 年 7 月再次發現了其部署的跡象。2021 年 11 月觀察到涉及Daxin的最近一次攻擊，針對電信、交通和製造業。值得注意的是，報告稱該惡意軟體於 2013 年首次採樣，當時已經採用了我們在今天的版本中看到的高級檢測逃避技術。美國CISA表示，過去甚少看到如此複雜的惡意軟體，他們正協同FBI對Daxin進行深入調查以消除此後門。

欲了解更多關於此報告，您可以按此

有關Daxin後門的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

ea3d773438c04274545d26cc19a33f9f1dbbff2a518e4302addc1279f9950cef

e7af7bcb86bd6bab1835f610671c3921441965a839673ac34444cf0ce7b2164e

e6a7b0bc01a627a7d0ffb07faddb3a4dd96b6f5208ac26107bdaeb3ab1ec8217

cf00e7cc04af3f7c95f2b35a6f3432bef990238e1fa6f312faf64a50d495630a

c791c007c8c97196c657ac8ba25651e7be607565ae0946742a533af697a61878

c0d88db11d0f529754d290ed5f4c34b4dba8c4f2e5c4148866daabeab0d25f9c

b9dad0131c51e2645e761b74a71ebad2bf175645fa9f42a4ab0e6921b83306e3

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

由於豐田的重要零部件供應商小島工業(Kojima Industries Corporation)受到網路攻擊，導致零部件供應管理系統故障，迫使豐田暫停其在日本的所有工廠的生產。豐田汽車在2月28日宣布，由於國內供應商（小島工業）遭受網路攻擊，導致管理零件供應的系統故障，決定於 3 月 1 日星期二暫停日本 14 家工廠的 28 條生產線的運營（第一班和第二班），目前尚不清楚豐田是否會在周三恢復生產。

據NikkeiAsia報導，停產將影響約13,000輛汽車的生產，佔豐田在日本月產量的4%至5%。另外，豐田的子公司大發(Daihatsu)汽車和日野(Hino)汽車也於2月28日宣布將在3月1日停工三個工廠。小島工業遭網路攻擊事件給這家日本汽車製造商帶來的問題，突出了製造業對網路攻擊的脆弱性。

根據 IBM上週發布的研究，像小島工業這樣的製造業特別容易受到網路攻擊。該公司報告顯示，去年製造業被攻擊數量超過金融和保險業，成為了網路犯罪組織最常瞄準的行業。

製造業已成為目標，因為它們對停工時間的容忍度低，這也意味著它們更有可能迅​​速支付攻擊者勒索贖金的要求。報告也顯示，傳統製造業導入的營運技術中常發現漏洞利用是最常見的攻擊媒介，比率高於網路釣魚攻擊。

一名熟悉小島工業的消息人士向Tokyo Web透露，小島工業確實受到網路攻擊，目前仍在確認損失並迅速做出因應措施，而當務之急是盡快恢復豐田的生產系統，截至目前，小島工業的網站仍尚未恢復。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”