資安廠商卡巴斯基發表研究報告指出,自2020年5月初開始,發現到日本、德國、英國和義大利等多家重要工業設備製造業者和針對製造業者開發軟體的部分公司,陸續遭到駭侵團體鎖定攻擊。在遭駭的業者當中,駭侵者特別著重在能源產業的攻擊;雖然公司的防毒防駭服務已成功阻擋一些攻擊活動,但目前不知駭侵者的攻擊目的為何。而駭侵者主要攻擊目標為這些企業的 IT 架構,而非營運或製造節點(OT);攻擊的目標以竊取系統登入資訊為主。在卡巴斯基攔截到的攻擊行為中,典型的攻擊樣態仍以釣魚郵件為開始;駭侵者針對攻擊對象發送以該國語言編寫的釣魚郵件,並在確定被駭主機作業系統的語言與釣魚信件一致後,才會展開下一階段的攻擊。
釣魚郵件中含有微軟 Office 文件檔案,內含惡意巨集程式碼;當受害者開啟文件,該巨集就會執行一個 PowerShell 指令檔,並且下載內含進一步攻擊指令的圖片。接著惡意軟體會解開圖片內含的惡意程式碼,產生另一個 PowerShell 指令檔,並且執行著名的密碼竊取軟體 Mimikatz。也因如此多重的手法,造成其攻擊偵測難度提升。
1、應多加防範釣魚郵件,對可疑或聳動標題的電子郵件保有警覺心,收到陌生寄件者寄來的郵件,應使用其他管道加以查證對方身分,不隨意開啟電子郵件,也不點擊郵件內的任何附件、圖片與超連結等。
2、調整電子郵件設定的設定,開啟純文字模式、取消預覽功能。
3、對Microsoft Office文件之巨集功能予以限制或停用。
4、安裝防毒軟體及防火牆,確保防毒軟體保持最新狀態,並配合廠商發行的安全性修補程式,定期更新電腦系統、軟體與設備等,以修補資安漏洞。