【攻击预警】社交工程攻击通告:请加强防范以业务需求或时事议题为由,以及伪冒资安院之社交工程邮件攻击! - 弘光科技大学
弘光科技大学
:::
图资处系统组

【攻击预警】社交工程攻击通告:请加强防范以业务需求或时事议题为由,以及伪冒资安院之社交工程邮件攻击!

公告日期:2024年12月18日张贴人:资通安全暨个资保护宣导网

教育机构ANA通报平台

发布编号 TACERT-ANA-2024121711121717 发布时间 2024-12-18 09:30:17
事故类型 ANA-攻击预警 发现时间 2024-12-17 11:10:17
影响等级
[主旨说明:]【攻击预警】社交工程攻击通告:请加强防范以业务需求或时事议题为由,以及伪冒资安院之社交工程邮件攻击!
[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-400-202412-00000036 资安院近期发现,攻击者利用业务需求、时事议题、资安攻击预警或伪冒资安院名义,发动社交工程邮件攻击,诱导收件者开启与执行恶意附档,并记录开信人员之帐号资讯。 建议加强防范与通知各单位提高警觉,注意检视寄件者与内容正确性,资安院不会使用商用信箱发送通知,更不会于电子邮件中要求执行任何软体,请各单位提高警觉,如感觉有异请先洽资安院查证,并请避免勿点击信件连结与执行附档,以免受骇。  已知攻击邮件特征如下,相关受骇侦测指标请参考附件。 1.伪冒寄件者帐号: 「A23031@nics.nat.gov.tw」  2.已知遭骇客利用寄件者帐号: 「russell.wei@msa.hinet.net」、 「aimer.chei@msa.hinet.net」、 「chtda@ms72.hinet.net」、 「student.book@msa.hinet.net」、 「nannies@ms22.hinet.net」、 「tmdcu.ken@msa.hinet.net」、 「khcity-rc26416@umail.hinet.net」、 「y7133@ms48.hinet.net」、 「victor.chiou22@msa.hinet.net」、 「hong.each@msa.hinet.net」、 「harvest.rotary@msa.hinet.net」、 「im.imwork@msa.hinet.net」  3.骇客寄送之主旨: 「【攻击预警】近期勒索软体活动频繁,请提高警觉」、 「陈情书」、 「【求助】 护照出现异常!」、 「需求帮助:当地官员表示护照或个人资料有异常」、 「有黑料,大爆料」、 「《新川普时代的台湾》,思路的不错,邀君一览」、 「阁下钧阅《台湾自救运动宣言》」、 「《新川普时代的台湾》,邀君一览」、 「阁下钧阅《台湾独立建国请愿书》」、 「关于“新北割颈案”十大诉求。」、 「项目投标」  4.恶意附档名称: 「trojan_killer.rar」、 「1028.rar」、 「20241030.rar」、 「投标标案资料.rar」、 「Proof_documents.rar」、 「台在新川普时代的思考.rar」、 「wufi.org.tw.rar」、 「护照.doc」、 「1121.html」、 「陈情书.doc」  5.恶意中继站: 165[.]154[.]227[.]52 165[.]154[.]226[.]163 ssl[.]hinets[.]tw www[.]team-microsoft[.]top www[.]smb-microsoft[.]top  6.恶意附档SHA1杂凑值: c5e85ecf68ff99d069740826c0cce7cb016df756、 610406c73cdedc33835649d54da6889b7abeb275、 a06e4246c0085c843f8b010257e77dffdb018969、 4da9af68626fefaa65bfb6d47874cd6602140e20、 c255c31f11d1269429949313124594bc91523e6d、 6438cf9f1def6cbcc225f14e5442655cfdf7aae2、 a06e4246c0085c843f8b010257e77dffdb018969、 0f94659d1d715ffc122128a098349221ab634b00  注:相关网域名称为避免误点触发连线,故以「[.]」区隔。 情资分享等级: WHITE(情资内容为可公开揭露之资讯) 烦请贵单位协助公告或转发

[影响平台:]

N/A

[建议措施:]

1.网路管理人员请参考受骇侦测指标,确实更新防火墙,阻挡恶意中继站。  2.建议留意可疑电子邮件,注意邮件来源正确性,勿开启不明来源之邮件与相关附档。  3.安装防毒软体并更新至最新病毒码,开启档案前使用防毒软体扫描邮件附档,并确认附档档案类型,若发现档案名称中存在异常字元(如exe.pdf, exe.doc, pdf.zip, lnk, rcs, exe, moc等可执行档案附档名的逆排序),请提高警觉。  4.加强内部宣导,提升人员资安意识,以防范骇客利用电子邮件进行社交工程攻击。

[参考资料:]
附件-社交工程攻击_IOC:https://cert.tanet.edu.tw/pdf/soc_ioc_1216.csv

    附加档案