鼎新BPM大規模攻擊事件
組織型駭客、鎖定特定目標
Author
CoreCloud CDCLab
最近本公司CDCLab偵測到多起針對鼎新BPM系統的攻擊行為,攻擊者大規模掃描找尋該系統後,透過多種已知CVE漏洞進行攻擊並取得系統控制權限。


從上兩個實際案例可以看出,攻擊者分別透過不同攻擊手法取得初步控制權限。又因為該系統於建置時通常以最高權限如Administrator、NT Authority\System等權限運行,因此一旦遭攻擊者成功執行指令,攻擊者便可直接擁有主機最高管理權限,進而完全控制該台主機。
在取得初步指令執行權限後,攻擊者會陸續上傳「C:\nissrv\NisSrv.exe」、「C:\nissrv\MpClient.dll」等程式,透過偽裝成Windows檔案、修改具有微軟簽章之合法程式作為後門程式以利持續控制機器及進行內網滲透。

【建議與結論】
由於近日在本公司監控保護之客戶中,已偵測到多起來自同一駭客組織鎖定鼎新BPM系統進行攻擊的事件,且攻擊手法多元、不侷限於單一兩個已知CVE漏洞之利用,因此建議所有使用該系統的用戶:
- 1. 立即向廠商確認是否已將BPM系統更新至最新版
- 2. 評估是否能以較低權限之使用者啟動相關系統
- 3. 於該BPM服務主機上建立足夠之資安防禦措施
- 4. 立即清查單位內部是否已發現文末提供之相關IOC
或是如有需要協助,也歡迎各位聯繫中芯數據團隊,我們將竭盡全力協助各位,確認企業內部狀況,建立預防機制,避免此類型資安事件發生。
【IOC】
- taibeianmo[.]oss-cn-hongkong[.]aliyuncs[.]com
- 156[.]227[.]0[.]13
- 44f0e575d8be86049e12bae6149efefc68fc6e8a (MpClient.dll)
- ffdd5b9a3ef0cd3f794e5d2b4fa5d64e2bbe9ff9 (NisSrv.exe)
- 1eb8c11f16a97a8184bbf1d63dc93cd49fe7c7ee (NisSrv.exe)
-
客戶案例
- 鼎新BPM大規模攻擊事件
- Teamplus 供應鏈攻擊
- 【資安觀察】軟體更新成為企業資安最大隱藏風險
- 2025年APT事件統計分析報告
- Apex One 零日漏洞持續遭利用,中芯數據 MTH 服務驗證超前防禦
- 建立防駭獨門法寶 – Detection Engineering
- CrazyHunter 實戰錄
- 淺談濫用微軟服務的APT攻擊手法
- 中芯數據觀察到GIS系統已成特定組織鎖定的攻擊目標
- 資安人觀點:交通部聯手中芯數據,打造資安防護網
- 零日漏洞不斷爆發,難道只要更新就會安全?
- 中芯數據精準防禦APT攻擊、由供應鏈展開的內網入侵
- 中芯數據發現APT41駭客春節期間出手蓄謀已久的新一波攻擊
- 中秋、雙十連假期間多家單位遭受攻擊,來源皆鎖定大型服務供應商,中芯數據全年無休進行阻擋供應鏈攻擊
- 中芯數據零誤判完全防守微軟Exchange零日漏洞攻擊
- 多家醫療單位遭受攻擊 中芯數據以獨家IIH技術全面防守
- 供應鏈攻擊鎖定大型服務供應商 中芯數據第一時間即時阻斷
- 嘉義市政府打造縱深防禦架構 強化端點防護能力對抗惡意威脅
- 三軍總醫院藉助中芯數據,精準挖掘難 被察覺的威脅
- 交通部連續兩年引進中芯數據服務 為全力保護國家資料安全
- 料敵機先!嘉義縣財政稅務局 部署中芯數據 IPaaS,不讓駭客染指民眾財產資料
- 高雄市政府全力防堵 APT 運用中芯數據意圖威脅即時鑑識服務 , 強化整體防護力
