|
中芯數據近日發現,駭客組織 CrazyHunter 正濫用 微軟 Dev Tunnels 及 Microsoft Graph API,以繞過資安防護機制並進行 APT(Advanced Persistent Threat,進階持續性威脅)攻擊。此攻擊手法針對台灣醫療機構與企業,利用合法的微軟網域進行內網滲透,可能造成嚴重的資安風險。
駭客如何利用微軟服務進行攻擊?
根據 中芯數據資安研究團隊 觀察,CrazyHunter 會透過以下手法進行攻擊:
- 濫用 Microsoft Dev Tunnels:此功能原為開發者遠端測試所用,駭客可透過此服務建立外部存取內網的通道,達成滲透攻擊。
- 利用 Microsoft Graph API 隱藏攻擊Payload:駭客將惡意程式藏於 SharePoint,透過 API 下載,成功繞過資安設備的檢測。
- 合法掩蓋非法流量:許多企業將 .microsoft.com 及 .ms 域名納入信任清單,使駭客能輕易規避防火牆與威脅偵測系統的攔截。
中芯數據建議之防禦措施
為有效應對此類新型 APT 攻擊,中芯數據建議企業與機構採取以下資安防禦策略:
- 重要主機的對內、外連線規則,應盡量以白名單開放為主,而非僅以黑名單封鎖。
- 在資安設備上開啟例外、白名單時,應以最小特權(Least Privilege)為原則,避免使用過多萬用字元「*」來開放過大的信任網域、程式路徑。
- 經常檢視信任白名單,確認是否可再限縮;或是否可遭駭客濫用,應予移除。
中芯數據資安專家提醒,此類攻擊與 LOLBAS(Living Off the Land Binaries and Scripts) 技術類似,駭客可透過合法工具進行攻擊,因此企業應強化資安防禦,以降低可能風險。中芯數據專注於資安威脅監控與應對,有能力進行全面事件分析與調查,並累積大量與駭客實戰經驗,在各種攻擊事件中,及時發現和處理、阻擋駭客的攻擊,並針對不同情境、受害單位,給出專屬客製化處置建議,真正將駭客組織的攻擊影響縮到最小。協助客戶強化資安體系,應對日益升級的網路攻擊威脅。
2025臺灣資安大會:中芯數據邀請您共襄盛舉
中芯數據將於 2025 年 4月 15 日至 17 日 參展2025CYBERSEC臺灣資安大會,屆時將展示最新的 APT 威脅監測技術與分享應對駭客攻擊的最新防禦策略。歡迎企業代表、資安專家及產業人士蒞臨參觀,深入交流最新資安趨勢,共同打造更安全的網路環境! |
相關情資跟阻擋細節請詳閱:
