資安威脅趨勢 - 中國駭客鎖定臺灣半導體生態系狂發研究生求職釣魚信

                                                                                          

中國駭客鎖定臺灣半導體生態系狂發研究生求職釣魚信

一、摘要

         資安業者 Proofpoint 揭露，由中國資助的駭客組織針對臺灣半導體產業所發動的精密網路釣魚攻擊，其目標涵蓋半導體研發設計、製造測試企業、相關供應鏈業者及專門研究臺灣市場的投資分析師。攻擊手法是利用社交工程，並結合後門植入工具，如 Cobalt Strike、Voldemort、HealthKick 與反向 Shell，甚至部署 Intel EMA 遠端管理程式。部分攻擊透過已入侵的大專院校信箱及釣魚網站誘騙收件人開啟含惡意程式的檔案或連結，企圖進行機密竊取與帳密外洩。

二、存在風險

      駭客假借剛畢業的學生，並以求職的名義為誘餌對半導體製造商進行攻擊，他們冒充研究生求職，盜用臺灣大專院校遭侵入的電子郵件信箱，寄信給多家半導體公司與機構的人資部門。

如收信人開啟附件的履歷，並點選內含的URL，就會被帶往Zendesk或Filemail檔案共用服務下載檔案，最終導致電腦被植入Cobalt Strike或是後門程式「佛地魔（Voldemort）」。

IoC：

• Main object – Intro.zip：
• sha256：7bffd21315e324ef7d6c4401d1bf955817370b65ae57736b20ced2c5c08b9814
  
  
• Dropped executable file：
• sha256
• C:\ProgramData\zumArSAB\libcef.dll 
• 9b2cbcf2e0124d79130c4049f7b502246510ab681a3a84224b78613ef322bc79
• DNS requests：
• moctw[.]info
  
  
• Connections：
• 82[.]118[.]16[.]72
  
  
• HTTP/HTTPS requests：
• hxxps://api[.]moctw[.]info/Intro.pdf
  
  
• Email：
• amelia_w_chavez@proton[.]me
  
  

    建議改善措施:

1. 不要開啟來自不明發件人的履歷或合作邀約信件。
2. 對所有 ZIP、EXE、Office 等檔案啟動行為進行行為監控。
3. 對內部員工定期進行資安教育訓練，提升防釣魚與社交工程意識。
4. 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。

        情資報告連結：https://www.proofpoint.com/us/blog/threat-insight/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor-targeting