【概要】
■攻撃組織
- Winnti
■使用ツール
- Cobalt Strike
■期間
- 2020/05/04 ~ 2020/05/05
■攻撃対象
- 台湾国内の多くの重要なエネルギーおよびテクノロジー企業
■使用マルウェア
- Cobaltstrike
- ランサムウェア
■攻撃方法
- 数か月前に従業員のパーソナルコンピューター、Webページ、DBサーバーを介して会社の内部ネットワークに侵入し、スパイと潜入を開始
- 特権アカウントを盗んだ後、ADサーバを攻略
- グループポリシー(GPO)を改ざん、悪意のある行動を伴う作業スケジュールを設定
- 従業員がコンピューターをオンにすると、従業員はすぐにGPOを適用してこの作業スケジュールを実行
- ハッカーが会社の内部システム、パーソナルコンピューター、サーバー、その他の情報機器にランサムウェアを埋め込み
- 身代金の支払いも要求
【公開情報】
◆國內重要企業遭勒索軟體攻擊事件調查說明 (台湾政府, 2020/05/15 13:45)
重要な国内企業に対するランサムウェア攻撃の調査の説明
【関連まとめ記事】
◆全体まとめ
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆Winnti / APT41 (まとめ)
https://malware-log.hatenablog.com/entry/Winnti
◆マルウェア / Malware (まとめ)
◆攻撃フレームワーク (まとめ)
◆Cobalt Strike (まとめ)
https://malware-log.hatenablog.com/entry/Cobalt_Strike