國立成功大學計算機與網路中心 Computer and Network Center, NCKU

轉發 國家資安資訊分享與分析中心 NISAC-400-202412-00000036

資安院近期發現，攻擊者利用業務需求、時事議題、資安攻擊預警或偽冒資安院名義，發動社交工程郵件攻擊，誘導收件者開啟與執行惡意附檔，並記錄開信人員之帳號資訊。 建議加強防範與通知各單位提高警覺，注意檢視寄件者與內容正確性，資安院不會使用商用信箱發送通知，更不會於電子郵件中要求執行任何軟體，請各單位提高警覺，如感覺有異請先洽資安院查證，並請避免勿點擊信件連結與執行附檔，以免受駭。

已知攻擊郵件特徵如下，相關受駭偵測指標請參考附件。

1. 偽冒寄件者帳號： 「A23031@nics.nat.gov.tw」
    
2. 已知遭駭客利用寄件者帳號：
   「russell.wei@msa.hinet.net」、
   「aimer.chei@msa.hinet.net」、
   「chtda@ms72.hinet.net」、
   「student.book@msa.hinet.net」、
   「nannies@ms22.hinet.net」、
   「tmdcu.ken@msa.hinet.net」、
   「khcity-rc26416@umail.hinet.net」、
   「y7133@ms48.hinet.net」、
   「victor.chiou22@msa.hinet.net」、
   「hong.each@msa.hinet.net」、
   「harvest.rotary@msa.hinet.net」、
   「im.imwork@msa.hinet.net」
    
3. 駭客寄送之主旨：
   「【攻擊預警】近期勒索軟體活動頻繁，請提高警覺」、
   「陳情書」、
   「【求助】 護照出現異常！」、
   「需求幫助：當地官員表示護照或個人資料有異常」、
   「有黑料，大爆料」、
   「《新川普時代的台灣》，思路的不錯，邀君一覽」、
   「閣下鈞閱《台灣自救運動宣言》」、
   「《新川普時代的台灣》，邀君一覽」、
   「閣下鈞閱《台灣獨立建國請願書》」、
   「關於“新北割頸案”十大訴求。」、
   「項目投標」
    
4. 惡意附檔名稱：
   「trojan_killer.rar」、
   「1028.rar」、
   「20241030.rar」、
   「投標標案資料.rar」、
   「Proof_documents.rar」、
   「台在新川普時代的思考.rar」、
   「wufi.org.tw.rar」、
   「護照.doc」、
   「1121.html」、
   「陳情書.doc」