鼎新BPM大規模攻擊事件

組織型駭客、鎖定特定目標

Author
CoreCloud CDCLab

最近本公司CDCLab偵測到多起針對鼎新BPM系統的攻擊行為,攻擊者大規模掃描找尋該系統後,透過多種已知CVE漏洞進行攻擊並取得系統控制權限。

從上兩個實際案例可以看出,攻擊者分別透過不同攻擊手法取得初步控制權限。又因為該系統於建置時通常以最高權限如Administrator、NT Authority\System等權限運行,因此一旦遭攻擊者成功執行指令,攻擊者便可直接擁有主機最高管理權限,進而完全控制該台主機。

在取得初步指令執行權限後,攻擊者會陸續上傳「C:\nissrv\NisSrv.exe」、「C:\nissrv\MpClient.dll」等程式,透過偽裝成Windows檔案、修改具有微軟簽章之合法程式作為後門程式以利持續控制機器及進行內網滲透。

【建議與結論】

由於近日在本公司監控保護之客戶中,已偵測到多起來自同一駭客組織鎖定鼎新BPM系統進行攻擊的事件,且攻擊手法多元、不侷限於單一兩個已知CVE漏洞之利用,因此建議所有使用該系統的用戶:

  • 1. 立即向廠商確認是否已將BPM系統更新至最新版
  • 2. 評估是否能以較低權限之使用者啟動相關系統
  • 3. 於該BPM服務主機上建立足夠之資安防禦措施
  • 4. 立即清查單位內部是否已發現文末提供之相關IOC

或是如有需要協助,也歡迎各位聯繫中芯數據團隊,我們將竭盡全力協助各位,確認企業內部狀況,建立預防機制,避免此類型資安事件發生。

【IOC】

  • taibeianmo[.]oss-cn-hongkong[.]aliyuncs[.]com
  • 156[.]227[.]0[.]13
  • 44f0e575d8be86049e12bae6149efefc68fc6e8a (MpClient.dll)
  • ffdd5b9a3ef0cd3f794e5d2b4fa5d64e2bbe9ff9 (NisSrv.exe)
  • 1eb8c11f16a97a8184bbf1d63dc93cd49fe7c7ee (NisSrv.exe)