俄羅斯 Sandworm 駭客攻擊：邊緣設備漏洞與能源雲端基礎設施風險分析

事件概述

俄羅斯國家情報局（GRU）指揮的 Sandworm 組織，自 2021 年起，將攻擊重點轉移至邊緣設備與雲端基礎設施，特別是西方能源機構。AWS 威脅情報團隊觀察到，Sandworm 近年已經明顯偏好利用 配置錯誤、可直接網際網路存取的裝置 進行入侵，並以此降低曝光機率與資源消耗 (iThome)。此舉不僅改變了以往主要透過已知漏洞（CVE）入侵的模式，也使得企業在資安防護上需針對邊緣設備進行更細緻的風險評估。

主要攻擊手法與行為模式

• 邊緣設備入侵：Sandworm 先行利用路由器、VPN 集中器、遠端存取閘道等設備的管理介面，藉由未加密或弱認證機制，取得管理者憑證 (iThome)。
• 憑證重放攻擊：駭客攔截並重放合法使用者的身份驗證流量，進一步取得企業內部網路的存取權限，並在雲端環境中建立持久連線 (iThome)。
• ：在受害伺服器上植入 LocalOlive 等 Web Shell，並以 PowerShell 進行後續的資訊蒐集與橫向移動 (iThome)。
• 資料蒐集與隱匿：利用 rdrleakdiag.exe 擷取記憶體內容，並將結果寫入下載資料夾；同時在防火牆規則與 OpenSSH 服務上做修改，以隱匿活動 (iThome)。

能源雲端基礎設施風險評估

能源部門的雲端基礎設施通常包含多層安全控制：網路邊緣防火牆、身份驗證服務、虛擬機管理平台等。Sandworm 的攻擊模式揭露了以下關鍵風險：

• 邊緣設備配置錯誤：未採用強密碼、未開啟多因素驗證、管理介面直接暴露於公網，易被駭客利用。
• 憑證重放與盜用：若憑證未加密傳輸，且未採用票證機制，將使攻擊者能輕易重放合法流量取得存取權。
• 雲端持久化機制缺失：未設置多重身份驗證、缺乏 IAM 權限最小化，導致攻擊者可在雲端環境中長期維持控制權。
• 缺乏遙控監控：邊緣設備往往缺乏完整的日誌與事件監控，導致異常行為被忽略。

防護建議與最佳實踐

• 對所有邊緣設備實施零信任網路：將管理介面限制於內部網路或 VPN，並強制使用多因素驗證。
• 部署憑證管理系統：採用令牌化、短期有效憑證，並監控憑證使用模式，及時偵測重放行為。
• 在雲端環境中實施IAM 權限最小化：確保每個帳戶僅擁有完成工作所需的最低權限，並使用基於角色的存取控制。
• 加強邊緣設備監控與日誌收集：統一將設備日誌送至 SIEM 或雲端安全服務，並設置異常行為告警。
• 定期進行滲透測試與漏洞掃描：針對邊緣設備與雲端服務的配置與漏洞，進行快速修補。
• 採用安全編排、自動化與回應（SOAR）：在檢測到異常時，自動封鎖受感染設備並啟動調查流程。

MITRE ATT&CK 對應

• T1078.001 – Valid Accounts: Remote Services (憑證重放)
• T1105 – Ingress Tool Transfer (工具上傳)
• T1086 – PowerShell (腳本執行、橫向移動)
• T1071.001 – Web Shell (Web Shell 部署)
• T1049 – Remote System Discovery (目標偵測)
• T1070.001 – File Deletion (日誌清除）

結論

Sandworm 的攻擊演變顯示，邊緣設備已成為關鍵攻擊入口。能源雲端基礎設施若未對邊緣設備安全與憑證管理進行嚴密管控，將面臨高度風險。企業必須從零信任、最小權限、即時監控與自動化回應四大面向，建立完整防禦鏈，才能有效抵禦此類高階 APT 攻擊。

參考資料與原文來源

• iThome – 俄駭客Sandworm鎖定西方國家能源與雲端基礎設施 https://www.ithome.com.tw/news/172873
• iThome – 俄羅斯駭客Sandworm透過寄生攻擊隱匿行蹤，對烏克蘭大型商業服務 https://www.ithome.com.tw/news/171985
• Amazon AWS – 什么是边缘计算安全 https://www.amazonaws.cn/what-is/edge-computing-security
• iThome – 資安日報 12月17日，MITRE公布最危險的漏洞類型，XSS居冠 https://www.ithome.com.tw/news/172883

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。