駭客入侵途徑大公開

駭客集團入侵途徑大公開：

勒索攻擊無所不在，可能早在好幾年前，電腦就被執行了惡意程式，意味著駭客可能在當時就已經取得了主機的控制權，而像許多過往知名企業最早也在2019年9月，就已經被入侵。在首次入侵之後，駭客也持續展開攻擊，一直到去年9月，駭客更提權並利用PsExec遠端管理工具，連線到內部系統，其餘則是在今年4月被取得特權帳號，來遠端登入AD伺服器。這類瞄準目標、長時間潛伏來鋪陳下一階段攻擊的手法，就是進階持續性威脅（APT）攻擊的類型。

根據調查局偵辦的結果，在這起攻擊事件中，駭客首先從Web伺服器、員工電腦等途徑，入侵公司系統長期潛伏及探測，而後竊取帳號權限，進入AD伺服器，利用凌晨時段竄改群組派送原則（GPO），同時預埋lc.tmp惡意程式到內部伺服器中，等到員工上班打開電腦後，電腦立即套用遭竄改的GPO，依據指令就會自動將勒索軟體載到記憶體中來執行。最後，檔案加密成功，再顯示勒索訊息及聯絡電子信箱，向企業勒索贖金。

而調查局也以掌握的後門程式、中繼站的IP及網域名稱等資訊，研判該駭客組織為Winnti Group，或與該組織具密切關聯的駭客。

所以我們更應該提早做好準備，人家常說預防甚於治療，但我們現今環境是否健康與安全，確實需要好好思考。