【ISMS-新聞】駭客正盯上臺灣學術界與 NGO!「LucidRook」釣魚信件精準鎖定,請同仁嚴加防範!

 

近期資安情資顯示,一個極其隱密的威脅組織正針對臺灣的非政府組織(NGO)及學術機構發動精準的「魚叉式釣魚攻擊」。駭客利用名為 LucidRook 的新型惡意程式,意圖竊取內部機密與監控日常通訊。

🚨 為什麼 LucidRook 這麼可怕?

  • 高度偽裝: 駭客會模仿與您業務相關的公文、研究報告或會議邀請,讓您在無意間放下戒心。

  • 難以偵測: 該程式採用特殊的 Lua 與 Rust 技術架構,能輕易躲過傳統防毒軟體的掃描,像「隱形人」一樣潛伏在電腦中。

  • 模組化攻擊: 它能根據駭客的需求,隨時在您的電腦上下載新的攻擊模組,進行遠端監控、檔案竊取或側錄密碼。

第一步:精準投餌(魚叉式釣魚)

駭客不亂發信,而是針對臺灣人設計「誘餌」。

  • 偽裝公文: 寄給你一封超真實的公文或研究報告。

  • 加密壓縮檔: 信件會附上一個加密的壓縮檔(如 7z 或 RAR),並直接把密碼寫在信裡。

    • 為什麼這麼做? 因為加密檔案可以躲過公司信箱的防毒掃描只有你輸入密碼解開時,病毒才會現身。

第二步:雙重偽裝(感染鏈)

駭客準備了兩套劇本,讓你在不知不覺中中招:

  • 劇本 A (變裝秀): 給你一個看起來像 PDF 的圖示,其實它是個指令檔。點下去後,電腦會一邊開啟「假政府公文」給你看(分散注意力),一邊在背景偷偷安裝病毒。

  • 劇本 B (裝好人): 偽裝成「趨勢科技防毒軟體」的清理工具。執行後它會跳出視窗說「清理完成」,讓你覺得電腦變安全了,其實它是趁機把病毒種進去。

第三步:身分驗證(地理圍欄技術)

這款病毒非常「挑食」,它會先檢查你的電腦:

  • 只吃台灣口味: 它會檢查電腦系統語言是不是 「繁體中文 (zh-TW)」

  • 如果發現是在測試環境(沙箱)或是國外電腦,它就會裝死不執行這讓資安專家很難抓到它的真面目。

第四步:狡兔三窟(隱蔽的據點)

病毒成功潛入後,需要跟駭客的老大(C2 伺服器)通訊,它利用了台灣特有的漏洞:

  • 利用印刷廠 FTP: 臺灣很多印刷廠為了方便客戶傳大檔,會公開 FTP 帳密。駭客就直接把這些印刷廠的伺服器當作秘密基地,用來傳送偷來的資料,因為這是「臺灣本地合法 IP」,更不容易被攔截。

  • 先偵查再進攻: 他們會先派「小間諜 (LucidKnight)」來看看你電腦裡有沒有值錢的東西,如果有,才會派「大間諜 (LucidRook)」進駐。

💡 給同仁的「防駭懶人包」

  1. 看到密碼別衝動: 信件內文給密碼叫你解開附件,這 99% 是為了規避公司掃描,請務必檢舉。

  2. 檔案圖示會騙人: 看起來是 PDF,但如果副檔名是.lnk 或執行檔,絕對不要點。

  3. 防毒軟體不會自己送上門: 公司防毒軟體更新都有固定流程,看到「自動清理工具」請勿執行。

  4. 印刷廠連結要小心: 看到來自印刷廠或不明 FTP 的下載連結,請先向資訊部確認。