DarkSide(黑客組織)入侵台灣政府單位?

NEITHNET 解決方案

NEITHNET 資安實驗室

  近日收到政府單位需求,希冀提供網路惡意行為資安檢測報告,並針對政府單位內部的可疑網路行為進行清查。而在日前某企業收到政府資安單位發出的資安通報,發現該企業內,有可疑主機正持續進行惡意網址的連線。

  NEITHNET針對此惡意行為,利用NEITHViewer進行內部網路惡意行為的盤查,監測數日後,發現該單位內確實有可疑主機持續發出惡意連線,利用這些分析後的威脅情資,進一步發現該單位的惡意連線與Darkside黑客組織有相當大的關聯。

  底下是維基百科針對DarkSide (黑客組織)的描述:

DarkSide是一個黑客組織,曾利用勒索軟體來攻擊受害者。DarkSide的總部位於東歐,但與其他黑客組織不同的是,它並不是由國家支持的黑客組織。DarkSide基本只針對英語國家發動網絡襲擊。DarkSide的勒索軟體將默認語言設置為俄語烏克蘭語喬治亞語白俄羅斯語的計算機列為白名單,這些電腦不會被該黑客組織的勒索軟體攻擊。在DarkSide網站的一份新聞稿中,該組織聲稱他們不會攻擊醫院、安寧醫院、學校、大學、非營利組織或政府部門。

  DarkSide經常透過網路釣魚,或是利用遠端存取帳戶、系統以及虛擬桌面的基礎設施 (VDI)以獲得初始存取權限。另外,NEITHNET也觀察到 DarkSide 使用遠端桌面協定 (RDP) 來維持與受駭端主機進行連線,以持續竊取機密或進行提權。

  在取得存取權限後,DarkSide攻擊者會部署DarkSide勒索軟體來加密和竊取敏感資料,DarkSide攻擊者主要使用洋蔥路由器(TOR)進行命令與控制。

  2024上半年,某政府單位透過NEITHViewer的內網威脅鑑識系統監測,發現該單位正面臨DarkSide攻擊組織的駭客侵入。

  在利用情資威脅分析的結果顯示,發現該單位在短時間內觸發各類不同攻擊情資類型,如下圖:

  由上述資訊發現,企業內部不僅觸發大量Malware惡意程式類別的IP位址,也同時觸發洋蔥路由器(TOR)節點連線的相關資訊,針對洋蔥路由器(TOR)節點連線行為,進階分析後發現內部主機在短時間內發出惡意網址與駭客組織darksidfqzcuhtk2.onion暗網連線,如下圖:

  透過上圖瞭解這三台主機在過去幾天共發出了18萬次DNS連線與TOR節點進行連絡,目前該單位正進行全面性資安清查與鑑識,避免後續資料外洩與加密勒索。

  透過NEITHViewer的情資和內網鑑識系統,再藉由網路流量的威脅跡象,來拼湊事件更完整的樣貌,以便能採取適當的因應措施。可監控橫向擴散與縱向流量進而比對威脅情資達到可視化分析,掌握企業內部可疑活動。

  網路威脅資安監控服務是由NEITHNET騰曜團隊資安專家們進行威脅分析與回應,能在第一時間內觀察到企業內部的可疑活動,透過事件告警讓企業更有效的掌握,能大幅降低企業IT維運人員的時間,提升企業全面性資安防禦能量。

  更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com