這幾天一條驚人的消息轟動資安圈,市占第一 OTP 簡訊平臺 EVERY8D(Teamplus)遭駭,F-ISAC發布黃燈級資安事件警訊,然而當大家聚焦在簡訊卡關,網購無法交易,或是國家、企業乃至個人的簡訊內容外洩時,我們將探討另外一個面向的問題。如今 EVERY8D(Teamplus)已然遭駭,如果企業有用該廠商的產品,現在怎麼確認攻擊者沒有透過該產品入侵到企業內部?這樣的攻擊方式,攻擊者將能輕鬆繞過企業資安防禦架構,進行資料竊取與加密勒索,直接對企業造成重大損害。因此本次將探討一個一年前與該廠商相關的資安事件,從而解析企業面臨的問題以及風險,而這也將成為現在全力拼 AI 發展的台灣企業不可忽視的致命隱患。
時間回到 2025 年 5 月份,中芯數據於客戶端發現一起資安事件,該事件為攻擊者利用企業內使用的通訊軟體(Teamplus)進行攻擊,這與以往攻擊者想辦法攻破企業資安防護架構不同,這次攻擊者入侵的對象是企業正在使用的通訊軟體廠商,這也是供應鏈攻擊中最令人難以防範的一種,實際流程如下圖:
如圖,這次事件中,並非攻擊者主動發起,而是企業的人員因電腦重新安裝後,需要下載企業內部用的通訊軟體(Teamplus)進行安裝,下載及安裝過程相安無事,但接下來才是攻擊的可怕之處,由於安裝完後該軟體需要進行線上更新,因此該軟體自行從設備後端連線至該通訊軟體廠商的伺服器進行資料更新(如下圖)
更新的 URL 解析為:
https://download.teamplus.com.tw:31000/External/messenger/Upgrade.zip
但更新下載的檔案除了正常的更新檔外,還同時下載了惡意程式進入設備中。為了做到這件事,攻擊者在更早之前,就已經入侵了該通訊軟體廠商,並將該單位內的情形探查清楚,明確找到對外更新用的伺服器,並且也清楚知道外部設備進來更新時用的更新檔路徑,這些跡象說明著幾件事情,第一,攻擊者早已將該單位探索完畢,並且很清楚該廠商整體運作方式及產品運行模式,第二,攻擊者很可能是有相當的規模及紀律,因為他們沒有第一時間去加密勒索該單位,反而是利用該單位產品的特性,對外擴散入侵更多的企業。
以上是整個入侵的過程,而在中芯數據團隊的保護下的企業在被入侵的第一時間就已收到明確通知,企業已遭受攻擊,除了給予對應的惡意程式及中繼站外,入侵手法及實際上的源頭來自於通訊軟體廠商也在當下提供給企業資安人員,讓企業能第一時間進行處理,而非與廠商來回確認,不知道是否該禁止企業員工使用。
這事件也帶出長久以來困擾企業資安人員的問題,在這一年來的每場研討會中,我都會分享這起事件,同時會詢問台下的聽眾,在這邊也想問問讀者們,不管今天你是企業的高階資安主管或是實際負責的資安人員,當企業內收到一個告警(不管是來自於資安廠商或是 AI),內容說 貴單位在用的軟體疑似有問題,各位會如何解決這個告警?
- 確認為企業內部在用的軟體,就將告警標記為誤報
- 直接刪除該疑似有問題的軟體,就算是內部正常要使用的軟體
除此之外,可能會延伸出下一個問題,資安人員應該要先進行確認,但“我該確認什麼東西?”就是接下來困擾資安人員的歷史難題,畢竟如果想要確認檔案有沒有問題,這次的事件更困難就在安裝檔本身是沒問題,是在更新的時候惡意程式才被一起下載,而更新時會下載不少檔案,企業內資安人員很難一個檔案一個檔案去看,故如果以上難題還在困擾各位,以下的解決方案可以幫各位讀者解決上述的所有問題,而且被驗證有效。
中芯數據 MDR 服務,擁有全面鑑識服務(IRs)與主動狩獵服務(MTH),前者主打無誤報的準確通報,每筆通報都代表著一筆資安事件,不需要企業內資安人員再自行調查分析,並且為了避免時間差的風險,在 EDR 異常行為告警跳出來的第一時間,就會有專業分析師進行分析調查,完全不需要企業資安人員來要求,而且不管是低、中、高風險皆在調查的範圍內,真正實現全風險分析。另外一方面,透過主動狩獵(MTH)服務,就算駭客有新式的攻擊手法、掌握 zeroday 的攻擊方式、偽裝成合法供應鏈廠商進入內部,中芯數據皆能發現並進行阻擋,而本篇就是最好的證明。
最後還是要提醒,這攻擊發生於一年前,且只要有使用該廠商(互動資通)的產品皆有機會遭受此攻擊,由於這種攻擊手法將輕易獲取企業內高權限帳號,因此攻擊者能在短時間內找到企業內重要主機及資料,甚至將內部資料竊取出來後,進行整個企業的勒索加密,故建議儘速確認以下事項
- 企業內部軟體更新時,是否有異常檔案被下載並進行情蒐探勘。
- 是否有駭客後門潛伏於單位內,定時進行資料竊取。
- 高權限帳號登入“成功”後,是否有撈取AD資料或放入後門程式等行為。
長期則建議進行下列事項
- 建立端點異常行為偵測機制。
- 規劃資安事件發現、分析、調查、處理及強化完整流程。
- 建立資安告警與誤報的判定程序。
本文為投稿文章,不代表社方立場。