日期：2020-08-20
公布單位：工程部

法務部調查局資安工作站發出警示，指出近來他們偵辦數起政府機關遭駭案件中，發現政府單位及其資訊服務供應商遭中國駭客組織滲透的問題嚴重，最新發現至少有10個政府單位，以及4家資訊服務供應商都已經受到攻擊。

承包政府標案的供應鏈廠商成資安破口，調查局歸納出近期兩種駭客攻擊模式

在第一種模式中，由於駭客清楚國內政府單位資訊委外的習慣，例如，政府機關會提供VPN帳號供資訊服務供應商進行遠端操作與維運，因此，駭客便從該單位的委外廠商入侵。

駭客會透過該中繼站侵入一家為政府提供服務的資訊供應商，因此竊取了政府機關提供的VPN帳號，之後就能以合法掩護非法的方式，遠端登入到政府機關網路，伺機取得具管理權限帳號，並進行橫向擴散。

另外，他們也會登入機關內部的網域／目錄（AD）伺服器，嘗試建立具管理權限的網域帳號，最後還會清除入侵相關軌跡。並遭植入Webshell後門

在第二種模式中，駭客一開始也是從政府機關委外的資訊服務供應商開始入侵，之後將會控制AD伺服器，並藉由GPO群組原則將惡意程式派送到每一臺電腦: 並且受駭主機內藏有Waterbear後門的惡意程式


McAfee Webgateway 可保護上網與防止使用者端不當聯結惡意名單網站與IP
可匯入 GSN 網域 或 IP黑名單機制 :
Outbound 保護機制 : (防止偵測僵屍電腦連回中繼站行為)
上網使用軌跡：使用McAfee Web Gateway 記錄上網使用的軌跡，同時也能避免上網時的各項安全危險。

【調查局公布以下惡意網域及IP位址，供國內機關自我檢查並加以封鎖】
相關連結：https://www.ithome.com.tw/news/139504