中國關聯的駭客組織利用 Fortinet VPN 零日漏洞竊取憑證

Fortinet VPN 客戶端的零日漏洞被利用來提取憑證及 VPN 伺服器資訊

Photo Credit: Cyber Insider

中國政府有關聯的駭客組織正在利用 Fortinet 的 Windows VPN 客戶端中的零日漏洞來竊取憑證和其他資訊。這個零日漏洞使得網路威脅者在可以在用戶透過 VPN 裝置進行身份驗證後,從記憶體中竊取憑證資訊。

Volexity 威脅情報團隊指出,他們於今年夏天稍早發現了此漏洞並向 Fortinet 報告,目前該問題尚未被修復,亦未被給予 CVE 編號。

報告解釋道,「Volexity 在 2024 年 7 月 18 日將此漏洞向 Fortinet 報告,Fortinet 在 2024 年 7 月 24 日確認了這個問題,截至目前為止該問題尚未解決。」

此攻擊是由北京支持的駭客團體「BrazenBamboo」發起,他們素以開發和部署針對 Windows、macOS、iOS 和 Android 系統的高階惡意程式而著名,主要用於監視行動。

Volexity 解釋,網路威脅者在其攻擊中使用了多種惡意程式,包括 LightSpy 和 DeepPost。

  • LightSpy 惡意程式主要在記憶體中執行。它包含外掛程式來記錄按鍵、音訊和影像;收集 Cookies、存儲的憑證,以及已安裝軟體和服務的詳細資訊。
  • DeepPost 惡意程式則用於從受感染系統中竊取檔案。

Volexity 的報告重點介紹了 DeepData,一款用於 Windows 的模組化後滲透工具,具備多個外掛程式,專門用於竊取目標資料

最新版本的DeepData於去年夏天被發現,內含一個專為 FortiClient 設計的外掛程式,利用產品中的零日漏洞來提取憑證(帳號、密碼)及 VPN 伺服器資訊。

DeepData 定位並解密 FortiClient 處理程序記憶體中的 JSON 物件,由於憑證會存留於記憶體中,便可透過 DeepPost 將資料外傳至攻擊者的伺服器。

透過入侵 VPN 帳戶,BrazenBamboo 能夠獲取企業網路的初始存取權,然後進行橫向移動、駭入敏感系統,並擴張其間諜活動

Volexity 發現 DeepData 在 2024 年 7 月中旬利用了 FortiClient 零日漏洞,並指出它與 2016 年的一個漏洞相似(該漏洞亦未有 CVE 編號),該漏洞係因硬編碼 (hardcoded) 記憶體致使憑證暴露而遭利用。然而,2024 年的漏洞則是全新且不同以往的,僅出現於包括最新版本 v7.4.0 在內的近期釋出版本。

Volexity 解釋,問題出在 FortiClient 未能從記憶體中清除敏感資訊,包括帳號、密碼、VPN gateway (閘道器),這些資訊仍以 JSON 物件形式存於記憶體中

在 Fortinet 確認漏洞並釋出修復更新之前,建議限制 VPN 存取權並監控不尋常的登入活動。與最新 BrazenBamboo 活動相關的入侵指標(IoC)可在此處查閱

Fortinet VPN 零日漏洞相關的部分的入侵指標(IOCs):

707d410a72a630d61168593f17116119
7efb1bc15ee6e3043f8eaefcf3f10864
a2fee8cfdabe4fdeeeb8faa921a3d158
cad4de220316eebc9980fab812b9ed43
ef92e192d09269628e65145070a01f97
f162b87ad9466381711ebb4fe3337815
fb99f5da9c0c46c27e17dc2dc1e162d7
0563225dcc2767357748d9f1f6ac2db9825d3cf9
174519da762cf673051ed1c02a6edb9520886fec
30e33f1188ca4cffc997260c9929738594e7488c

Hunters International捲土重來 傳出台灣上市網通設備大廠成為最新攻擊目標

近日,台灣一家知名電信寬頻設備大廠被勒索軟體駭客組織 Hunters International 鎖定為攻擊目標。11 月 14 日,竣盟科技觀察到 Hunters International的揭露網站上列出了這家大廠為其受害者之一。值得注意的是,目前尚未發現任何竊取資料被公開,顯示攻擊行動仍處於談判或威脅階段。

Hunters International 因其高技術滲透能力而聞名,主要目標為高價值科技企業,透過資料竊取及勒索牟利,對產業安全構成重大威脅,並反映出台灣企業面臨日益升級的資安挑戰。

根據硏究,Hunters International的攻擊手法包括 結合了零日漏洞(Zero-Day Exploit)、社交工程手法,以及自訂的多階段惡意程式,使得入侵難以察覺。攻擊一開始,駭客透過精心設計的網路釣魚(Phishing)攻勢,誘騙特定人員下載惡意檔案,成功獲取初始存取權限。隨後,他們運用零日漏洞在短時間內提升權限,取得對企業內部網絡的高階權限,並深度滲透至關鍵系統中。


在攻擊過程中,Hunters使用的多階段惡意程式具備自我掩蔽和逆向分析防禦功能,能有效躲避傳統的防毒軟體及行為分析系統。該程式一旦部署成功,會進行橫向移動(Lateral Movement),藉由破解內部憑證和提權工具,持續擴展感染範圍,並搜集公司敏感資料。攻擊的目標包括技術文件、客戶資料,以及供應鏈合約資訊等高度機密的商業資料。


Hunters並非首次鎖定台灣企業,該組織過去曾多次針對台灣的重要企業進行網路攻擊,企圖竊取核心資料並施壓勒索。曾遭攻擊的台灣企業包括電子製造龍頭、半導體供應鏈關鍵廠商及高科技研發公司,這些企業均承擔著台灣高價值技術資產的重任。

此事件突顯出台灣高科技產業在面對國際性駭客組織的威脅下,必須迅速提升資安防護能力。建議企業應部署針對零日漏洞的快速應變機制、強化多層次的資安偵測架構,並提升員工的資安意識,以應對新一代攻擊手法的挑戰。

Hunters International的部分的入侵指標(IOCs):

09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 

d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6   

b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722   

9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021

3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f  

223aa5d93a00b41bf92935b00cb94bb2970c681fc44c9c75f245a236d617d9bb

亞馬遜遭受 MOVEit Transfer 駭客攻擊而造成重大資料外洩

MOVEit Transfer 資料洩露事件中,亞馬遜受到的影響最大

Photo Credit: Daily Security Review

去年發生的 MOVEit Transfer 資料洩露事件,是近年來規模最大的事件之一,如今對各大企業仍存在深遠影響。最近一位自稱「資料激進駭客分子」的駭客將數百萬筆用戶資料公佈於資料洩露論壇。

亞馬遜是這次洩露中影響最大的公司,約有近 300 萬筆紀錄被洩露。亞馬遜證實,這次資料外洩中暴露了員工的電話號碼、電子郵件地址和辦公地點等資訊。然而,亞馬遜和 AWS 系統並未遭遇到資安事件的影響。

據網路安全公司 Hudson Rock ,其他受影響的公司還包括銀行巨頭匯豐(HSBC)、瑞銀集團(UBS)、City National Bank,還有科技大廠 HP 和聯想(Lenovo)。甚至連速食連鎖店麥當勞(McDonald’s)也在名單上。

攻擊者可能利用洩露的資訊來進行社交工程、網路釣魚攻擊和憑證填充攻擊(credential-stuffing attack),從而導致這些公司內部出現進一步的資料外洩事件。

有趣的是,發布這個龐大資料集的攻擊者自稱為「資料安全佈道者」,並且在知名資料洩露論壇上宣稱此舉是為了提高安全意識。

據 Hudson Rock 稱,數十家公司受影響,洩露了數百萬筆紀錄。但並非所有企業組織受影響的程度皆相同,有些公司僅有數千筆紀錄被洩露,而其他公司則從 50 萬筆到 280 萬筆不等。受影響的主要公司名單包括有 Amazon,MetLife,HSBC,U.S. Bank,HP,Delta Airlines 等。

根據 Hudson Rock 的資料,上週洩露的資訊包括 25 家「主要企業組織」的員工目錄。Hudson Rock 指出,「這些目錄包含詳細的員工資訊,包括姓名、電子郵件地址、電話號碼、成本中心代碼,甚至某些還包含完整的組織架構資訊。」「這樣的資料對於尋求進行網路釣魚、身份盜竊甚至大規模社交工程攻擊的網路犯罪分子來說,無疑是個金庫。」

去年,已解散的勒索軟體組織 Clop 利用 MOVEit Transfer(一種管理檔案傳輸的軟體)中的零日漏洞進行了攻擊。該漏洞現已修補,但之前攻擊者能夠進入 MOVEit Transfer 的伺服器,存取並下載公司客戶儲存於其中的資料。

據估計,Clop 在 MOVEit 攻擊行動中透過勒索贖金就賺取了 7500 萬到 1 億美元的收益

Clop的一系列攻擊影響了多家公司,包括殼牌、荷蘭國際集團(ING Bank)、德意志銀行、Postbank、美國航空、Radisson Americas 等。根據網路安全公司 Emisoft 的資料,有超過 2700 家企業組織受到影響,而且多達 9500 萬用戶的資料遭暴露。

MOVEit Transfer攻擊相關的部分的入侵指標(IOCs):
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與中國結盟的 MirrorFace 駭客組織利用 2025 年世博會誘餌攻擊歐盟外交機構

MirrorFace是隸屬於APT10的一個分支組織,又名Earth Kasha

Photo Credit: Trend Micro

根據網路安全公司ESET最新發布的報告,中國政府支持的駭客組織正在利用合法的VPN工具來隱藏他們在受害者網路中的活動。

ESET於週四 (11/7) 發布的報告中詳述了這些國家支持的資安威脅的最新狀況,並指出隨著受害目標清單的不斷增加,專家們認為這個計劃的用意,是進一步實現北京方面蒐集情報的目的。

該中國相關組織被稱為「MirrorFace」,通常是針對日本地區,但最近被觀察到針對歐盟的一個外交機構進行攻擊,這是該駭客組織首次針對歐洲地區的目標。

ESET在2024年4月至9月期間的APT活動報告中表示,「在此次攻擊中,網路威脅者以即將於2025年在日本大阪舉辦的世界博覽會為誘餌進行攻擊。」「這顯示即使擴展到新的地理區域,MirrorFace仍專注於日本及其相關的活動。」

MirrorFace,又稱為 Earth Kasha,被認為是隸屬於APT10的一個分支組織,其他分支組織還包括像Earth Tengshe和Bronze Starlight等。自2019年以來,MirrorFace主要是針對日本的機構,但在2023年初有觀察到新的攻擊活動延伸至台灣和印度地區。

多年以來,這個駭客組織的惡意軟體工具不斷地演進,包括後門程式如ANEL(又稱UPPERCUT)、LODEINFO和NOOPDOOR(又稱HiddenFace),以及一款名為MirrorStealer的憑證竊取工具。

ESET表示,MirrorFace的攻擊具有高度針對性,每年通常只有少於10次的攻擊事件。這些入侵的最終目標是進行網路間諜活動和資料竊取。而且,這並非首次有外交機構遭該駭客組織鎖定。

在ESET偵測到的最新攻擊中,受害者收到了一封魚叉式網路釣魚電子郵件,內含一個指向名為「The EXPO Exhibition in Japan in 2025.zip」ZIP壓縮檔案的連結,該壓縮檔案是適用於Microsoft OneDrive應用程式。

該壓縮檔案包含一個Windows捷徑檔案「The EXPO Exhibition in Japan in 2025.docx.lnk」,當啟動時會觸發一系列的感染,其最終目的是部署ANEL和NOOPDOOR等惡意軟體。

「ANEL在2018年底或2019年初左右就消聲匿跡,當時一般認為它已被LODEINFO取代,當時LODEINFO是在2019年後出現。」ESET表示,「因此,看到ANEL在將近五年後重新浮出檯面是值得深思細究。」

中國支持的駭客組織,例如Flax Typhoon、Granite Typhoon和Webworm等,日益依賴開源和多平台的SoftEther VPN軟體,以維持對目標網路的存取權,這樣的發展走向,也在近期的事件中得到印證。

此事件的消息緊隨著彭博社的另一篇報導之後,據報導中國關聯的 Volt Typhoon 曾入侵新加坡電信公司(Singtel)當作「測試回合」,這是針對電信公司和其他關鍵基礎設施的更大規模行動的一部分。消息人士指出,這起網路入侵事件於2024年6月被發現。

此外,美國的電信業者和網路服務供應商如AT&T、Verizon和Lumen Technologies也成為另一個中國國家級駭客組織「Salt Typhoon」(又稱FamousSparrow和GhostEmperor)的攻擊目標。

MirrorFace駭客組織相關的部分的入侵指標(IOCs):
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台灣企業的FB粉專成為駭客的目標 遭受散佈竊資軟體的攻擊威脅

Infostealer Phishing 攻擊正瞄準台灣企業的粉絲專頁管理員及廣告管理員

Photo Credit: Infosecurity Magazine

一個尚未辨識的網路威脅者正在針對台灣企業粉絲專頁或是廣告管理員用戶進行網路釣魚攻擊,其目的是散布像是 Lumma 或 Rhadamanthys 這樣的資訊竊取惡意軟體。

這些誘餌訊息內含一個連結,當受害者點擊後,便會被引導至Dropbox或Google Appspot網域,進而觸發下載動作,下載的是包裹著假PDF執行檔的RAR壓縮檔,藉而由此傳送資訊竊取惡意軟體。

誘餌電子郵件和偽造的PDF檔名假冒公司法律部門的樣子,試圖引誘受害者下載並執行惡意軟體。

此外,這些不法行為者還以台灣一家知名工業馬達製造商和另一家知名網路商店的名義發送網路釣魚郵件,聲稱受害者的業務上有侵犯版權的行事。

根據威脅情資團隊 Cisco Talos 研究人員表示:「這些郵件要求受害者在24小時內移除侵權內容,停止未經授權的使用,並警告倘若不遵循,將會面臨可能的法律行動和賠償索求。」

他們還指出,這些網路威脅者還使用了多種的技術和工具,以規避防毒軟體偵測和沙箱分析,例如Shellcode加密、程式碼混淆,並將LummaC2和Rhadamanthys等資訊竊取惡意軟體嵌入合法的系統程式之中。

Lumma Stealer 是一種專門從被入侵系統中竊取資訊的惡意軟體,其目標包括系統詳細資訊、網頁瀏覽器及瀏覽器擴充功能等資料。

Rhadamanthys 是一種在地下論壇出售的高階資訊竊取工具,首次浮出檯面是在兩年前,這支惡意軟體專門用來蒐集系統資訊、帳戶憑證、加密貨幣錢包、密碼、Cookies以及其他應用程式中的資料。

這次的網路釣魚行動至少自7月以來持續進行中,最初的攻擊手法是透過網路釣魚郵件附帶的惡意軟體下載連結。這些郵件中使用繁體中文的誘騙內容,由此可推斷其目標對象為使用中文的用戶。

另外,也有觀察到一些網路釣魚活動是假冒OpenAI來進行,其目標指向全球的企業,指示他們點擊令人混淆的超連結以更新付款資訊。

「這次攻擊事件是由單一網域向超過1000位收件者發送的」,根據Barracuda的報告指出:「郵件內容使用了不同的超連結,可能是為了規避偵測。這些郵件通過了DKIM和SPF驗證,表示郵件是從該網域授權的郵件伺服器發出的。然而,該網域本身卻是非常可疑。」

LummaC2 和 Rhadamanthys相關的部分的入侵指標(IOCs):

03ed5c2b3a8b34f8c7ef110f78926c42
ff1156ab3a8226f8ac89bae78c990ebb85f3138b
1b80e9c51d418ce5ac3a6741e70a6a0235b43bb7548299278865f604d41d7675
1ccf7f8b3a9b20bb87bc18a3fcfb41948f65dfb43b2fad1440a0eaef2656f414
213c8a51972fdd17d3f8c20a94e76123004d4e8f21a4a06d50f87d2c65379ac0
2175a1f8f798b0daf05965eb860166c65a8d227d1309cd3545dba3174fd2292f
33aaf3109c1c8a477cbcdd942a9b60acc236fe56ddd8d0262d7ad63d9434e12f
51c1e25a546dbf2d9a17ccd1f0e95cff68ead96d4dc77c995fe3d9cb67d4ee17
76c711c56c95009506347691c44ba9cc61ce0056e47784799f6429642c224d3a
80231f19168b5f326bd1fbcd7a093aeb0415c84e5036c7991b3eaef2f9be77a2

北韓駭客與 Play 勒索軟體聯手發動全球攻擊

駭客組織 Jumpy Pisces 進行攻擊活動的時間軸

Photo Credit: Unit 42

網路安全公司 Palo Alto Networks 的威脅情報小組 Unit 42 針對最近的一起事件回應案例揭露出令人憂慮的發展——北韓政府支持的駭客組織與一個以金錢為導向的勒索軟體集團之間的合作。

Jumpy Pisces 駭客組織,也稱為 Onyx Sleet 和 Andariel(亦稱為「和平守護者」APT 組織,曾是著名的HBO資料外洩事件的幕後黑手),歷來涉足於網路間諜活動、金融犯罪,以及部署客製化的勒索軟體像是 Maui。Unit 42 的調查揭示了 Jumpy Pisces 在戰術上的轉變,顯現出他們可能愈來愈頻繁地參與勒索軟體攻擊。

2022年,卡巴斯基(Kaspersky)發現 Jumpy Pisces 在針對日本、俄羅斯、越南以及印度的攻擊中部署 Maui 勒索軟體,隨後美國政府也證實了此事。

此次事件涉及的 Play 勒索軟體,是一種在2022年中期首次被發現的網路威脅工具。雖然 Play 勒索軟體背後的組織 Fiddling Scorpius 被認為採用勒索軟體即服務(RaaS)模式運作,然而他們在洩漏網站上否認了這一點。

Unit 42 的調查揭示了一連串事件,最終都導向到有關 Play 勒索軟體的部署。2024年5月,Jumpy Pisces 通過遭入侵的使用者帳戶獲取初步存取權。到了2024年 5月 至 9月期間,他們運用開源的 Sliver (一種通用的跨平台植入框架) 和客製化的 DTrack 惡意軟體進行橫向移動,並遊走各個網路,維持持續性的活動。

2024年9月初,一個未被識別的駭客通過同一個被入侵的帳戶進入了目標網路,似乎是為了 Jumpy Pisces 發動攻擊前的準備工作。該網路攻擊者執行了進行勒索軟體攻擊之前的前期操作,其中包括了憑證收取和 EDR 感應器移除,然後於當月稍晚即進行 Play 勒索軟體的部署。

此次攻擊中使用的客製化版本 Sliver C2 框架讓他們能夠維持持續性的指令與控制(C2)通訊,並允許遠端指令的執行。DTrack 則是客製化的惡意軟體,作為資訊竊取的工具,從受影響系統中蒐集機敏資訊,並壓縮成偽裝的 GIF 檔案以逃避偵測。

北韓駭客與 Play 勒索軟體在全球攻擊中的合作

根據Palo Alto Networks Unit 42 的報告,攻擊者使用 PowerShell 腳本來執行指令、傳輸檔案並與系統互動,同時 Mimikatz (windows系統中的安全測試工具) 則被用來從記憶體中提取明文密碼 (plaintext password),以進一步取得額外帳戶的存取權。

研究人員還觀察到 PsExec 的使用,一種允許於遠端系統上執行程序的指令列工具 (command-line tool),支援橫向移動及權限提升。此外,攻擊者也使用了 TokenPlayer,一種用來操控與利用 Windows 存取權杖 (access token) 的工具,透過竊取權杖來冒充高權限使用者。

目前尚不確定 Jumpy Pisces 的角色是作為 Play 勒索軟體的正式附屬成員,或只是作為初始存取仲介者(Initial Access Broker, IAB)來出售網路存取權。不過,此類型的合作模式,是首次有文件記錄下的例子,令人擔憂北韓駭客團體可能更頻繁地參與勒索軟體活動,對全球的企業和組織構成更大的威脅。

無論 Jumpy Pisces 是附屬成員還是初始存取仲介(滲透測試者),他們與勒索軟體集團在幕後協同合作,使北韓的威脅攻擊者得以規避國際的制裁。

資安意識培訓公司 KnowBe4 的資安意識提倡人 Erich Kron 指出,北韓近期積極參與勒索軟體活動顯示出因財務動機而進行的戰略合作。儘管北韓網路攻擊者在網路存取方面的技術嫻熟,然而他們對勒索軟體的運作模式較不熟悉,因此與成熟組織的合作會更加有利。Kron 強調說,考量到勒索軟體對社交工程的高度依賴性,企業組織應更加專注於防範網路釣魚郵件的攻擊。

Jumpy Pisces 駭客組織及 Play 勒索軟體相關的部分的入侵指標(IOCs):

76cb5d1e6c2b6895428115705d9ac765
879fa942f9f097b74fd6f7dabcf1745a
e12f93d462a622f32a4ff1e646549c42
540853beffb0ba9b26cf305bcf92fad82599eb3c
6624c7b8faac176d1c1cb10b03e7ee58a4853f91
6e95d94d5d8ed2275559256c5fb5fc6d01da6b46
243ad5458706e5c836f8eb88a9f67e136f1fa76ed44868217dc995a8c7d07bf7
2b254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be713a
99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e

中國駭客組織 Evasive Panda 使用 CloudScout 工具組瞄準台灣

駭客組織 Evasive Panda 的活動主要針對台灣、香港等地的各類目標

Photo Credit: ESET

台灣的一個政府機構和宗教組織早前曾遭到與中國有關聯的 APT (進階持續性威脅) 組織「Evasive Panda」攻擊,該組織使用一套代號為「CloudScout」的全新入侵後 (post-compromise) 工具組進行滲透。

電腦安全軟體公司 ESET 安全研究員 Anh Ho表示,CloudScout 工具組能夠利用竊取的網路工作階段 (web session) cookie 來從不同的雲端服務獲取資料。透過外掛程式,CloudScout 更能與 Evasive Panda 的代表性惡意軟體框架「MgBot」,進行天衣無縫的搭配運作。

根據 ESET 的發現,這個基於 .NET 的惡意軟體工具是在 2022 年 5 月至 2023 年 2 月期間被偵測到,其中包含 10 個不同的模組,主要以 C# 程式編寫,其中三個模組專門用於從 Google Drive、Gmail 和 Outlook 之中竊取資料。

「Evasive Panda」,又稱「Bronze Highland」、「Daggerfly」和「StormBamboo」,是一個專門進行網路間諜活動的組織,自2012年以來陸續被發現其活動,主要針對台灣、香港等地的各類目標,並且以對西藏流亡組織發動「水坑攻擊」(watering-hole attack)和供應鏈攻擊而聲名大噪。

ESET解釋道:「Evasive Panda一路以來積累了多樣化的攻擊手法。我們觀察到該組織運用了像是供應鏈攻擊、水坑攻擊以及DNS劫持 (DNS hijacking) 等複雜技術,同時也利用了針對Microsoft Office、Confluence及網路伺服器應用程式的最新CVE漏洞。」

「該組織也展現了極強大的惡意軟體開發能力,這方面特別體現於他們一系列適用於Windows、macOS及Android平台上的後門程式(backdoors)。」

CloudScout之中已辨識的三個模組——CGD、CGM及COL——各有不同的用途:CGD針對Google Drive,CGM針對Gmail,而COL則是以Outlook 為目標。每個模組皆是利用盜取的Cookie繞過雙重身份驗證,以便能直接存取雲端儲存的資料。

CloudScout的主要功能包括:

  • 無縫整合 Evasive Panda 的主要惡意軟體框架 MgBot。
  • 透過模仿已驗證的 user session (伺服器上儲存的使用者操作的資訊) 來存取目標雲端服務。
  • 無需使用者憑證,就能自動地從 Google Drive、Gmail 及 Outlook 中提取資料。

CloudScout的內部框架經過精密設計,能夠執行複雜的任務,包括調整組態 (configuring)、管理以及解密各模組所需的Cookie,以建立網路請求。

CloudScout的CommonUtilities套裝軟體也讓其運作更加地順利,這個套裝軟體負責管理HTTP請求以及Cookie語法解析,使這個工具能適應各個標的服務的不同結構。此惡意軟體能夠自動地監控目錄中是否有新的組態設定檔,並觸發資料提取循環,並在每個循環後即刪除掉之前的活動痕跡。

研究人員也觀察到,CloudScout採用了專門針對台灣用戶的特定手法,這可從其模組內嵌的語言偏好及區域特定設置中看出端倪。

分析還指出,CloudScout可能還具備額外的模組,目標鎖定Facebook以及Twitter等社群媒體,雖然現階段這些模組並未在活動部署中被發現。

Evasive Panda駭客組織相關的部分的入侵指標(IOCs):

be17d056039267973e36043c678a5d56
c02b6a7cc4f4da2d6956049b90ff53ba
4a5bcdaac0bc315edd00bb1fccd1322737bcbeeb
621e2b50a979d77ba3f271fab94326cccbc009b4
67028aeb095189fdf18b2d7b775b62366ef224a9
84f6b9f13cdcd8d9d15d5820536bc878cd89b3c8
93c1c8ad2af64d0e4c132f067d369ecbebae00b7
b3556d1052bf5432d39a6068ccf00d8c318af146
c058f9fe91293040c8b0908d3dafc80f89d2e38b
73d50eabd0b377e22210490a06ecf2441191558d97ce14ba79517c0e7696318b

RansomHub 駭客組織近日聲稱成功入侵台灣某上市被動元件大廠

RansomHub 勒索軟體集團日前駭入台灣某製造業大廠,總計 150 GB 資料遭竊

竣盟科技 於今年9月曾報導 RansomHub 勒索軟體集團攻擊台灣某大日系電機廠商,並竊取大量機敏資料。經沉寂一段時日之後,該集團又對台灣廠商出手。

近日,RansomHub 駭客組織聲稱成功入侵台灣某上市被動元件大廠,這是一家年營收接近 30 億美元的製造業巨擘。

據該組織宣稱,外洩資料量達 150 GB,其中內容涵蓋技術設計、相關協定及證書等機密資訊。而支付贖金的截止日期為 2024 年 10 月 31 日。

根據RansomHub組織暗網上發布之資訊,受駭的製造業大廠有完整的產品線,及遍布全球的運輸平台,共計有超過 30 個生產據點,提供多樣性的電子產品類型及服務。

該組織於聲明中威脅道,給受駭公司一週時間與他們進行談判,否則就會把資料公布於他們的 Blog。同時他們也釋出多張圖片,包括電子產品的電路板照片等機密資訊。

該公司於 10 月 23 日發出重大資訊揭露,聲明中表明公司部分資訊系統遭受駭客網路攻擊,並說明公司於遭受網路攻擊時,立即啟動相關防禦機制,避免影響安全。

至於預計可能的損失或影響,公司目前評估並沒有個資或內部文件資料外洩之虞等情事,對公司營運尚無重大影響。而關於改善情形及未來因應措施,公司表示會持續提升網路與資訊基礎架構之安全管控,持續密切監控,以確保資訊安全。

被動元件產業是台灣電子製造業的關鍵部分,供應全球市場各種電子零組件。這些元件被廣泛應用於智慧型手機、電腦、汽車電子等產品中。因此,這類公司往往成為駭客組織的目標,因為它們擁有龐大的技術資料和商業機密。

勒索軟體攻擊的特點是加密受害者的資料並索取贖金,以換取資料解密鑰匙。這不僅可能導致企業的日常運營中斷,還可能讓公司的競爭對手或不法分子獲得關鍵技術資料,進一步威脅其市場競爭力。此外,對於一家上市公司而言,這類安全事件如果處理不當,可能會導致股價下跌及品牌信譽受損。

台灣的電子製造業高度依賴全球供應鏈,這意味著這類企業持續面臨來自世界各地的網絡威脅。近年來,隨著台灣企業在全球市場中的地位上升,針對台灣高科技產業的駭客攻擊也日益增多。台灣的網路安全專家已多次警告,企業需要投資更多的資源以強化其資訊安全防護系統。

這次攻擊再次提醒了企業加強網絡安全的重要性。專家建議,企業應該定期進行網絡安全風險評估,並且建立更完善的數據備份與還原計畫,以應對未來可能發生的攻擊事件。只有通過強化防護和快速應對,才能在這個充滿網絡威脅的時代中維持企業競爭力。

RansomHub 勒索軟體相關的部分的入侵指標(IOCs):

0cd57e68236aaa585af75e3be9d5df7d
407dcc63e6186f7acada055169b08d81
57556d30b4d1e01d5c5ca2717a2c8281
676259a72f3f770f8ad20b287d62071b
da3ba26033eb145ac916500725b7dfd5
de8e14fdd3f385d7c6d34b181903849f
f17ceae8c5066608b5c87431bac405a9
ff1eff0e0f1f2eabe1199ae71194e560
189c638388acd0189fe164cf81e455e41d9629d6

與俄羅斯有關的駭客組織攻擊日本政府和企業

親俄駭客組織 NoName057(16) 以發動分散式阻斷服務(DDoS)攻擊而聞名

Photo Credit: Cyber Security News

繼上個月親俄羅斯駭客對台灣證交所及金控公司發動一系列攻擊之後,沒有平靜多少時日,東亞地區的網路環境又起漣漪。

上週以來,兩個親俄羅斯的駭客組織—「NoName057(16)」和「Russian Cyber Army Team」,對日本的物流、造船公司,以及政府和政治機構,發動了分散式阻斷服務(DDoS)攻擊。專家認為,這些攻擊的目的是施壓日本政府。這些攻擊發生的近因是日本國會增加國防預算,以及日本軍隊與區域盟國進行聯合軍事演習。

這兩個親俄羅斯的駭客組織自10月14日起,開始對日本的目標發動攻擊。根據網路監控公司 Netscout 的報告,超過一半的攻擊目標是物流、造船和製造業廠商。這些駭客組織,尤其是 NoName057(16),自俄羅斯入侵烏克蘭後,已經因為屢次攻擊烏克蘭以及其他歐洲的目標而聲名大噪。

而日本執政的自民黨的網站在上週二 (10/15) 遭受到 DDoS 攻擊,此次攻擊發生的時間恰逢為期 12 天的眾議院選舉競選期開始。眾議院在日本的議會制度中扮演著關鍵角色。

根據地方媒體的報導,包括地方政府網站在內的其他政府機構,也在同一天遭遇了DDoS攻擊,有些甚至造成系統斷線。

在這波最新的攻擊中,這些駭客組織將日本的工業和政府機構列為目標。Netscout 的威脅情報總監 Richard Hummel 談到,這些攻擊發生在俄羅斯外交部表達對日本軍事擴張態勢感到擔憂之後。

Hummel 說到:「日本上週剛進行完選舉,而新上任的領導人對俄羅斯持反對立場,並且明確表達支持烏克蘭,以及提供援助。日本也正在與美國軍隊進行聯合演習和導彈試射,這些都是會引起 NoName057 採取相應行動的區域性事件。」

隨著與中國和俄羅斯的地緣政治競爭加劇,日本正處於自二戰以來最大規模的軍事擴張中。2022年12月,日本公布了一個為期五年、總值3200億美元的軍事計畫,計畫中包含可直接攻擊中國、北韓和俄羅斯目標的遠程巡弋飛彈。這意味著日本已大幅移轉原先自我防衛之軍事政策,並且今年的國防支出增加了16%。

10月17日,日本副內閣官房長官青木一彥表示,政府正在著手調查這些 DDoS 攻擊事件

根據 Netscout 的分析,超過一半的攻擊是針對物流業和製造業,同時有將近三分之一則是鎖定日本的政府機構和政治組織。

該分析指出,這些俄羅斯駭客組織利用 DDoSia 殭屍網絡全部的攻擊能力,針對多個目標使用多種的攻擊向量進行攻擊。截止目前為止,已有約40個日本網域被鎖定,每個網域平均遭受到三波攻擊侵襲,而每次攻擊使用到四種不同的 DDoS 攻擊向量。

駭客活動與 DDoS 攻擊的復甦標示著最近攻擊形態上的轉變。過去,85%至90%的 DDoS 攻擊發生在遊戲領域,玩家會對其他玩家發動攻擊。然而,近幾年來,DDoS 攻擊被愈加地被用來支持某些政治目的或是獲取金錢利益,有時甚至同時兼具。

雖然 NoName057(16) 和 Russian Cyber Army Team 的行動目標明顯符合俄羅斯政府的優先考量,但這並不一定意味著他們直接受到俄羅斯軍事或情報機構的指揮。然而,這些攻擊多半針對那些對俄羅斯不友好的國家或組織,這倒是與這些駭客組織一貫的行動模式相符。

NoName057(16) 駭客組織相關的部分的入侵指標(IOCs):

09537f309659b85ad0b381b91411d073
0e1841b248ac882653a609b9f4299145
1cd8d1073dc4e1f5c7265e6658f32544
21efcdc2b49555540a61031d2d1a039b
275e1780aa1c02ca25e207be8af7e947
2e0cac71005bfb4ff3c984a1a1c24ab4
2f0cf3f278f4cbd7c871c0024bc2dd84
3bbe3f11899ed4b828f2c83644d7c04d
3e9f1400381037283004a1e982e23b1e
5850a3e79b615587a5efcba2a07cf0d8

北韓駭客部署 Linux 版 FASTCash 惡意軟體試圖從 ATM 竊取資金

最新的 FASTCash 惡意軟體攻擊事件係針對 Linux 作業系統平台

Photo Credit: The Cyber Times

北韓駭客近期透過一個新的 Linux 版本的 FASTCash 惡意軟體,針對金融機構的支付系統進行攻擊,未經授權地從 ATM 提款。這種攻擊手法是透過入侵支付交換系統,操縱交易訊息,使本應被拒絕的交易成功通過,從而實現非法提款。

FASTCash 惡意軟體自 2016 年起發現被用來攻擊 ATM 提款系統,駭客透過操控交易請求,竊取全球多國金融機構的資金。過去,這種惡意軟體主要針對 Windows 和 IBM AIX 作業系統,然而最新的攻擊事件則是鎖定 Linux 平台,特別是 Ubuntu 22.04 LTS 系統。

Linux 的 Ubuntu 22.04 (Focal Fossa) 作業系統,是採用 C++ 程式語言所開發,資料加密方式為 AES-128 CBC 加密。組態設定檔案 (configuration file) 受到硬式編碼金鑰 (hardcoded key) 的保護,以增加攻擊上的難度。

駭客攻擊的重點是金融機構的支付交換系統,這些系統負責處理 ATM 和銀行之間的交易請求。Linux 版本的FASTCash偽裝成名為「libMyFc.so」的共享物件檔案,專門針對 ISO 8583 訊息進行攻擊,ISO 8583 是支付網路中通信用的標準格式。針對特定的持卡人帳戶清單,這個惡意軟體會攔截那些由於持卡人帳戶餘額不足而被拒絕的交易訊息,將「拒絕」訊息改為「批准」訊息,以達成非法提款的目的。

這些攻擊通常依賴於高度精細的技術手段,駭客首先將惡意軟體注入支付交換伺服器中,然後攔截並操縱金融交易訊息。透過竄改訊息中的交易金額和批准代碼,攻擊者成功地欺騙銀行系統核准這些本應被拒絕的交易。

由這次攻擊中發現的新型 Linux 版本惡意軟體所示,北韓駭客正試圖擴展他們的攻擊目標至不同的作業系統平台。這不僅增加了其攻擊的靈活性,也讓網路安全專家面臨更嚴峻的挑戰,因為不同平台的安全漏洞和防護機制存在顯著的差異。

這類的攻擊事件並非針對單一地區,而是對全球多個國家的金融系統造成威脅。根據過去的經驗,FASTCash 攻擊每次都能造成數千萬美元的損失,而此次攻擊可能會影響更多國家的金融機構,尤其是那些使用 Linux 系統的機構。

國際安全機構也對這類攻擊表達了高度關注,並警告金融單位要加強對支付交換系統的安全防護。美國網路司令部(US Cyber Command)已多次發布警告,指出這些攻擊活動與北韓國家支持的駭客組織 Lazarus (又名 Hidden Cobra) 集團有關。

Linux 系統通常被認為是安全性較高的作業系統,但這次的攻擊事件顯示出,即便是 Linux 系統也無法完全地避免網路攻擊。FASTCash 的攻擊手法利用了 Linux 中的 ptrace 系統呼叫功能,將惡意軟體以共享函式庫的形式注入到支付交換伺服器的執行程序中,藉以攔截並操縱金融交易訊息。

隨著駭客工具的不斷演進,FASTCash 不僅持續更新,還不斷推出適用於不同作業系統的新版本。資安研究員 HaxRob 的報告指出,除了 Linux 版本外,駭客還在積極開發新的 Windows 版本,這顯示出駭客集團對於攻擊技術的持續投入和精進。

為了防範類似攻擊,金融機構需要加強對 ATM 和支付系統的監控,並採用更嚴格的驗證機制來確保交易安全。此外,應限制對關鍵伺服器的存取權限,並定期進行安全審核和系統更新,以降低遭受攻擊的風險。

北韓駭客透過新型 Linux 版本的 FASTCash 惡意軟體再次展示了他們在網路犯罪領域的高度威脅性。隨著他們的攻擊面向不斷地擴張,全球的金融機構和資安專家必須更加警覺,採取積極措施來防範這類高階技術性的攻擊。這次攻擊再次凸顯了網路安全的重要性,並喚起各國政府和企業機構共同應對日益嚴峻的網路安全威脅。

FASTCash 惡意軟體相關的部分的入侵指標(IOCs):

03e6496b8a0187d0265b64612ec85291
14d72896e174c0601d5d9ee4a5976ea5
46b318bbb72ee68c9d9183d78e79fb5a
4ce9d999e0656fafab9d53e4a6b306a3
518acee0cc61041709e9ebb38169bea0
7bae539b25bed652540a4792d32c7909
a97920557623296123d961f72e164513
ac057094659b056c68360eb6665e4ace
c4141ee8e9594511f528862519480d36
d1bb81f507a697548e1acbce814904de