雲端平台成駭客中繼站 資安院籲強化郵件與雲端安全防護
Newtalk新聞
國家資通安全研究院近期發現,駭客攻擊手法持續進化,開始濫用常見雲端服務作為「中繼站」,藉此躲避資安系統偵測並延長在受駭受駭電腦中的潛伏時間,提醒企業與各機關提高警覺,防範看似正常的雲端連線暗藏惡意行為。
資安院指出,這次觀察到的攻擊案例中,駭客會寄出看似與工作相關的郵件,例如「合約文件」或「會議資料」等業務主題,並附上雲端下載連結,誘使收件人下載一個經通行碼保護的壓縮檔。壓縮檔內為偽裝成文件檔的捷徑檔(.lnk),一旦點擊便會執行內含的指令,悄悄下載更多惡意程式、建立長期控制機制,並連線至雲端試算表,將受駭電腦資訊回傳給駭客與接收駭客指令。這些資訊可能被用來鎖定進一步攻擊目標,或讓駭客完全控制受駭受駭電腦,用於竊取個人資料、發送社交工程郵件,甚至成為入侵其他電腦的跳板,但受駭者往往毫無察覺。
資安院表示,資安系統或設備往往不會特別攔截這類連線。駭客正是利用這一點,把「合法服務」變成攻擊流程的一部分,藉此降低被即時發現的風險。結果就是,惡意流量被「包裝」在合法服務的連線裡,導致難以被資安設備辨識為威脅。
資安院提醒,民眾和各單位應保持對可疑郵件與附件的高度警覺,特別是那些涉及核心業務或需要通行碼才能開啟的檔案,更應避免點擊副檔名為.lnk捷徑檔與.exe、.bat等執行檔。平時應透過宣導與教育提升資安意識,清查並停用不再使用的帳號,同時落實密碼強度規範。對於雲端服務的使用,也應將 Google 試算表、日曆等工具納入資安監控範圍,設定合理的使用權限,並結合端點偵測防護等設備,及早發現異常行為,防堵潛在攻擊。
資安院長期關注政府領域惡意電子郵件威脅,針對本次遭社交工程攻擊與受駭單位同步發布資安警訊通知並分享情資,協助進行後續應處,並持續透過相關通報機制,協助公私部門共同強化資安防護。