iT邦幫忙

4

請注意近期有疑似針對公務機關的APT附件攻擊....

  • 分享至 

  • xImage

最近有官衙門客戶收到瞄一眼就知道是釣魚信的低級詐騙信,裡面的附件應該是有針對性的APT,雖說是低級詐騙信,但user習慣把自己當笨蛋,然後叫比他還笨的電腦幫他判斷,請提醒一下使用者(尤其是敏感單位的客戶),善用自己的判斷力,慎防中獎....

https://ithelp.ithome.com.tw/upload/images/20250120/200048681NERFvCj0s.png

https://ithelp.ithome.com.tw/upload/images/20250120/20004868AngUgc8ECU.png

https://ithelp.ithome.com.tw/upload/images/20250120/200048685YAwSKxWy2.png

看更多先前的討論...收起先前的討論...
DennisLu iT邦好手 1 級 ‧ 2025-01-21 10:18:48 檢舉
財政部 有可能用 hotmail.com 寄公文通知嗎?
不過一般人員,有可能被標題騙到,這就跟員工資安意識的教育有關了。
cmwang iT邦大師 1 級 ‧ 2025-01-21 12:34:44 檢舉
鵝遇到的官衙門客戶有很多只看到自稱上級單位的信就開了,根本不會去判斷那些信合不合理,Orz....
DennisLu iT邦好手 1 級 ‧ 2025-01-21 15:05:09 檢舉
外面寄到特定內部特定帳號其實很不妙,
除非你的帳號很亂槍打鳥都能打到(像是mis或hr這種),也不排除有人公私帳號混用不小心流出內部聯絡名單,或是一次性寄大量的外部對象,這些信件可以看到這封信寄給其他那些人那種,只要其中一個的寄件對象有人中毒,就可能被木馬取得信件中提及的聯絡人再寄木馬信。
cmwang iT邦大師 1 級 ‧ 2025-01-21 17:58:43 檢舉
很多人會把公務信箱跟私人用途搞混啊,有時私人信件被擋還哇哇叫,習慣就好....
supermaxfight iT邦研究生 4 級 ‧ 2025-01-22 08:47:17 檢舉
有沒有試過這個PDF打開來會發生什麼事情?
cmwang iT邦大師 1 級 ‧ 2025-01-22 10:39:19 檢舉
沒有,照VirusTotal顯示,有3個沙箱顯示有異常行為,鵝有通報鵝官衙門的客戶和TWCERT了....
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
zivzhong
iT邦研究生 5 級 ‧ 2025-01-21 11:28:37

看到 hotmail.com ><
大家要自細看信~~

1
mytiny
iT邦超人 1 級 ‧ 2025-01-22 00:59:13

能注意到可疑的信件確實很重要
但人性總是會自我欺騙而疏漏
資安系統的防護就是需要補足這些缺憾

但是這種資安漏洞其實是一連串的疏失所造成
由於email系統現在走加密通信居多
採用smtps pop3s imaps 等加密通訊
網頁也走 https 加密通訊
NGFW若未做憑證解密以檢核內容
基本上是失去其功效的

如樓主所展示用virustotal所檢測到的病毒
其實多數都已經是無用威脅
試想有哪個APT的威脅是想被防毒可以檢測到的呢?
難道APT就不會先試試virustotal會不會被發現?
用AI撰寫未被發現的病毒碼或加密隱藏實在太容易
僅靠防毒碼比對這一招實在是不夠用的

因此,從防火牆大門到主機儲存,再到轉發至client端
再經過內網無阻隔的橫向移動,再到穿過防火牆回報BOT、C2
每一關都有相對應的資安機制,但也每一關都有資安疏失
這到底是哪一關沒有防護到,
以致最後要靠人腦這最不可靠的來做判斷呢?
提供給資安防護MIS來思考

cmwang iT邦大師 1 級 ‧ 2025-01-22 10:45:36 檢舉

這麼說好了,惡意程式的偵測/反偵測其實是個非常專業的領域,鵝之前看過某部標案的規格要求要建置能模擬該部所有資訊系統版本環境的沙箱(意思就是所有信件都要先丟進去,看打開之後有沒有異常行為),問題是這個要求的可行性到底有多高,即便可行,如果每封信進去之後要一小時才會出來,那使用者能不能接受還是另一回事吧....

mytiny iT邦超人 1 級 ‧ 2025-01-23 21:09:20 檢舉

所以才不能只靠防毒呀
防火牆是門戶,解憑證掃描更重要

cmwang iT邦大師 1 級 ‧ 2025-01-23 21:54:57 檢舉

解SSL/TLS在這年頭應該是基本須求吧,但對藏的很好的APT而言,就算你解完SSL/TLS丟給antivius/APT gateway掃,也未必掃得出來喔----那個檔一開始是只被一套antivirus和兩套沙箱標示出來,現在則是三套antivirus和三套沙箱列為惡意檔案,應該算符合藏的很好的定義了....

我要發表回答

立即登入回答