美國政府因俄羅斯駭客竊取微軟重要信件而保持高度戒備

美國政府表示,午夜暴雪 (Midnight Blizzard)對微軟公司電子郵件帳戶的入侵「給聯邦機構帶來了嚴重且不可接受的風險」

Photo Credit: CISA

美國網路安全與基礎設施安全局(CISA) 週四(4/2)發布了一項緊急指令(ED 24-02),敦促聯邦機構在最近微軟系統遭到入侵並導致​​電子郵件通訊被盜後,尋找入侵跡象並制定預防措施。

今年稍早曝光的攻擊被認為是俄羅斯APT駭客組織 Midnight Blizzard(又名 APT29 或 Cozy Bear)所為。上個月,微軟透露攻擊者成功存取了部分原始碼儲存庫,但指出沒有證據表明面向客戶的系統遭到破壞。

CISA表示:“駭客正在利用最初從企業電子郵件系統洩露的資訊,包括微軟客戶和微軟通過電子郵件共享的身份驗證詳細資訊,來獲得或試圖獲得對微軟客戶系統的額外訪問權限。”

該機構表示,政府實體和微軟之間的電子郵件通訊被盜帶來了嚴重的風險,敦促有關各方分析洩露的電子郵件內容,重置受損的憑證,並採取額外措施確保特權Microsoft Azure 帳戶的身份驗證工具的安全性。

目前尚不清楚有多少聯邦機構的電子郵件交換在事件發生後被洩露,但 CISA 表示所有機構都已收到通知。

該機構還敦促受影響的實體在2024 年4 月30 日之前執行網路安全影響分析,並在2024 年5 月1 日晚上11:59 之前提供狀態更新。建議受該入侵影響的其他組織聯繫各自的Microsoft 帳戶團隊,並跟進任何問題。

CISA 表示:“無論直接影響如何,強烈鼓勵所有組織採用嚴格的安全措施,包括強密碼、多重身份驗證 (MFA) 以及禁止通過不安全的渠道共享未受保護的敏感資訊。”

這項進展正值 CISA發布了名為Malware Next-Gen的新版本惡意軟體分析系統之際,該系統允許組織提交惡意軟體樣本(匿名或以其他方式)和其他可疑工件進行分析。

微軟:中國利用生成式 AI 在美國和台灣散播假訊息 鎖定台美選民

與中國有關聯的駭客組織Storm-1376利用人工智慧(AI)生成的內容和虛假的社交媒體帳號,來煽動美國、台灣和其他地方的分裂,旨在加劇社會的混亂。

根據微軟威脅分析中心(MTAC)在4 月 6 日發布名為 Same targets, new playboks: East Aisa threat actors employ unique methods的報告,在過去七個月裡,中國的認知作戰的活動加強利用人工智慧在(AI)全球散佈虛假資訊並煽動不和,報告稱,微軟觀察到了國家支持的駭客組織的顯著趨勢,這表明駭客不僅在熟悉的目標上加倍努力,而且還試圖使用更複雜的影響技術來實現他們的目標,特別是激增的生成式AI內容也被用來增強與中國有關的線上認知作戰(Influence Operations) 的活動。

AI生成的虛假內容影響台灣選舉的時間表 Photo Credit: 微軟

微軟指出,它發現1月台灣總統選舉期間更複雜細緻的AI內容遽增,包括出現一個AI創造的假音檔片段,音檔中假造的郭台銘聲音表示,他支持另一位總統後選人。這是微軟威脅情報首次詳細介紹國家級駭客組織利用人工智慧產生的內容來試圖影響國外選舉的情況。微軟進一步說,我們稱之為 Storm-1376 的駭客組織,也稱為 Spamouflage 和 Dragonbridge,在台灣選舉日,它發布了由人工智慧生成的前候選人郭台銘(他於 2023 年 11 月退出競選)在總統競選中支持另一位候選人的虛假音訊。實際上,郭台銘並沒有發表過這樣的言論。

報告指出,Storm-1376 推廣了一系列人工智慧生成的梗圖(Memes),內容涉及台灣當時的民進黨(DPP)總統候選人賴清德、其他台灣官員以及世界各地的中國異議人士。其中包括至少從 2023 年 2 月起,Storm-1376 就開始越來越多地使用人工智慧生成的電視新聞主播。微軟觀察到在台灣的選舉中國宣傳團體製作人工智慧生成的新聞廣播,並配有假主播,以影響選舉。其中一些剪輯是使用 CapCut 產生的,CapCut 是位元組跳動(Tik Tok母公司)旗下的人工智慧編輯工具。

值得注意的是,與中國政府相關的帳號也發布了人工智慧生成的媒體片段,旨在煽動美國的混亂。報告指出,人工智慧生成的一張圖片將 2023 年夏威夷火災歸咎於美國製造的氣象武器,Storm-1376 使用人工智慧生成的燃燒的沿海道路和住宅圖像使內容更加引人注目,並以至少 31 種語言發布文字。在另一個案例中,該組織針對感恩節假期期間發生的肯塔基州火車脫軌事件發起了一場社群媒體活動。這些貼文散佈了這樣的說法:美國政府可能造成了這次脫軌,並且故意隱瞞了一些事情。此外,許多中國社群媒體訊息都要求追隨者評論他們支持哪位美國總統候選人。微軟表示,這些帳號的運作可能是為了增加圍繞美國關鍵投票人口統計的情報收集。

微軟預計中國網路和認知作戰的參與者將努力瞄準今年稍後舉行的一系列關鍵選舉,包括印度、韓國和美國,利用人工智慧協助他們的活動。研究人員警告說,雖然直接影響可能很小,但隨著時間的推移,中國的能力可能會變得更加複雜。除了影響選舉之外,微軟的報告還強調了北京如何擴大與情報收集相關的駭客行動。這些行動旨在更好地了解友好國家和敵對國家的政治進程並竊取敏感技術。

新版本的Vultur銀行木馬 模仿成McAfee安全應用程式攻擊用戶

Photo Credit: Fox-IT

Vultur,一種Android銀行木馬,已觀察到整合了新的技術特點,使得惡意軟體操作者能夠遠端與受害者的行動裝置通訊。此外,Vultur開始通過加密其C2通信、使用多個動態解密的載荷以及在合法程序的假象下執行其惡意活動,以掩蓋其惡意行為。Vultur具有按鍵記錄和與受害者裝置的屏幕互動等功能,主要針對銀行應用程序進行遠端控制和按鍵記錄。

Vultur於 2021 年 3 月下旬首次被發現,它透過 AlphaVNC 的 VNC(虛擬網路運算)獲得了受害者設備的全面可見性。2021 年 7 月,ThreatFabric 研究人員發現了 Android 版本的 Vultur,它使用螢幕錄製和鍵盤記錄來捕獲登入憑證。過去,Vultur利用ngrok和AlphaVNC兩款聲譽良好的軟體應用程式來遠端存取運行在受害者設備上的VNC伺服器。根據Fox-IT 的一份報告顯示,威脅行為者利用簡訊入侵和電話引誘目標下載帶有 Brunhilda 惡意軟體植入程式的 McAfee 安全應用程式的武器化版本。然後,安裝應用程式將執行與 Vultur 相關的有效負載,從而啟用輔助功能服務和命令與控制伺服器連線。

在最近的一次活動中,Brunhilda下載器通過短信和電話呼叫進行混合攻擊的傳播, 第一條短訊指引受害者進行電話呼叫。當受害者撥打號碼時,詐騙者會向受害者發送一條第二條短訊,其中包含下載器的鏈接:McAfee Security應用程式的修改版本。

Vultur的新技術特點

  • 下載、上傳、刪除、安裝、尋找檔案;
  • 使用 Android 輔助功能服務控制受感染的裝置(發送命令以執行捲動手勢、滑動手勢、點擊、靜音/取消靜音音訊等);
  • 阻止應用程式運行;
  • 在狀態列中顯示自訂通知;
  • 停用鍵盤防護以繞過鎖定螢幕安全措施。

Vultur 透過以下方式增強了逃避偵測和反分析的方法:

  • 修改合法應用程式(使用 McAfee Security 和 Android Accessibility Suite 軟體包名稱);
  • 使用本機程式碼來解密有效負載;
  • 在多個有效負載上傳播惡意程式碼;
  • 使用 AES 加密和 Base64 編碼進行 C2 通訊。

值得一提的是,該惡意軟體可能會使用 Android 的輔助服務來遠端連接受感染的裝置。操作Vultur的攻擊者可以傳輸命令,執行諸如滑動、點擊和捲動等操作。研究人員表示,檔案總管功能包括下載、上傳、刪除、安裝和尋找檔案的功能,這實際上使攻擊者能夠更好地控制受感染的設備。

阻止受害者與裝置的應用程式互動是另一個有趣的新功能。此功能允許惡意軟​​體操作者指定一個應用程式列表,一旦偵測到在裝置上運行,就應重新啟動這些應用程式攻擊鏈。

攻擊鏈

威脅行為者使用由兩條簡訊和一個電話組成的混合攻擊,誘騙無辜者安裝惡意軟體。

最初,受害者會收到一條短訊,告訴他們撥打一個號碼,以防他們不批准大筆交易。儘管這筆交易從未發生,但它給受害者留下了必須立即執行的印象,從而使其上當行騙。在通話過程中,系統會向受害者發送第二條短訊,指示他們點擊連結以安裝木馬版本的 McAfee Security 應用程式。

該程序本質上是Brunhilda下載器,對受害者來說看似無害,因為它具有McAfee Security應用程式中的功能。

此植入程式解密並執行三個與 Vultur 相關的有效負載,使威脅行為者能夠完全控制受害者的行動裝置。在最近提交的Vultur樣本的專家注意到,新功能不斷的增加,這表明該惡意軟體仍在積極開發中,根據這些觀察結果,預計在不久的將來 Vultur 會添加更多功能。

Vultur的部分入侵指標(Indicator of compromise -IOCs):

Photo Credit: Fox -IT

2023年有170億筆個資因資料外洩而曝光

Photo Credit: Flashpoint

根據 Flashpoint 的2024 年全球威脅情報報告( Global Threat Intelligence Report), 2023 年報告的資料外洩事件增加了 34.5%,全年超過 170 億筆個資記錄遭到洩露。

該公司去年記錄了 6077 起公開報告的資料外洩事件,其中包括姓名、社會安全號碼和財務資料等敏感資訊。

其中超過 70% 的事件是由來自受影響組織外部的未經授權的存取造成的。

研究人員還觀察到,與去年同期相比,2024 年前兩個月被盜或洩露的個人資料激增 429%,有 18,970 億筆個人記錄和憑證遭到洩露。

2023 年,美國佔全球資料外洩事件的大部分(60%),通報事件為 3804 起。與 2022 年相比,成長了 19.8%。

勒索軟體是資料外洩激增的主要驅動因素

資料外洩激增的罪魁禍首是勒索軟體攻擊,Flashpoint 強調,2023 年記錄的事件增加了 84%。

此外,與 2023 年同期相比,2024 年頭兩個月公開勒索軟體攻擊數量增加了約 23%,達到 637 起。

報導稱,LockBit 勒索軟體集團去年共造成 1,049 名受害者,佔 2023 年所有已知勒索軟體攻擊的五分之一以上。

2024 年 2 月,在克諾司行動 (Cronos Operation)期間,全球執法部門破壞了這個多產勒索軟體攻擊者的基礎設施。

研究人員還指出,Clop 勒索軟體組織利用 2023 年 5 月出現的 MOVEit Transfer 檔案應用程式漏洞對資料外洩格局產生了「深遠」影響。

他們確定,MOVEit 攻擊總共造成了 2023 年報告的所有資料外洩事件的 19.3%。這個數字包括那些在其供應鏈上透過第三方竊取資料的組織。

去年最受勒索軟體攻擊的產業是建築和工程(18.7%),共發生 416 起公共事件。其次是專業服務(13.7%)、網路軟體和服務(13.2%)以及醫療保健提供者和服務(12.29%)。

總體而言,勒索軟體和未經授權的存取佔所有公開披露的資料外洩事件的 85%。

記錄漏洞揭露和利用情況

報告發現,2023年是漏洞揭露的高峰期,總數達到 33,137 個。

其中,超過一半 (52%) 在通用漏洞評分系統 (CVSS) 下的嚴重程度得分為高至嚴重 (7.0-10.0),為勒索軟體等攻擊的發生提供了關鍵途徑。

Flashpoint 研究人員表示,他們記錄了超過 10 萬個常見漏洞和暴露 (CVE) 未被報告的漏洞,其中許多影響了谷歌和微軟等大公司。

Photo Credit: Flashpoint

因此,他們估計嚴格依賴 CVE 的組織可能不知道近三分之一的已知漏洞風險。

TheMoon惡意軟體在一月和二月感染了 40,000 台設備

在3月第一周的活動,該惡意軟體在不到72 小時內針對6,000多個華碩路由器進行了攻擊

Photo Credit: Black Lotus Labs

根據黑蓮花實驗室(Black Lotus Labs)發布的報告,已經發現一個名為「TheMoon」的新變體惡意軟體僵屍網絡正在全球 88 個國家感染數千台過時的小型辦公室和家庭辦公室(SOHO)路由器和物聯網(IoT)設備。TheMoon 與「Faceless」代理服務相關聯,該服務使用一些受感染的設備作為代理,將流量路由給希望匿名化其惡意活動的網路犯罪分子。

黑蓮實驗室的研究人員正在監控最新的 TheMoon 活動,該活動始於 2024 年 3 月初,他們觀察到在不到 72 小時內有 6,000 台華碩路由器成為攻擊目標。威脅分析人員報告稱,惡意軟體操作,如 IcedID 和 SolarMarker 目前使用代理僵屍網路來混淆其線上活動。

針對華碩路由器

針對華碩路由器 TheMoon 首次於 2014 年被發現,當時研究人員警告稱,該惡意軟體正在利用漏洞感染 LinkSys 設備。該惡意軟體的最新活動已在一周內感染了將近 7,000 台設備,黑蓮實驗室表示,他們主要針對華碩路由器。

「通過 Lumen 的全球網路可見性,黑蓮實驗室已識別出 Faceless 代理服務的邏輯地圖,其中一個始於 2024 年 3 月的活動在不到 72 小時內針對了超過 6,000 台華碩路由器。」黑蓮實驗室的研究人員警告道。然而研究人員並未具體說明入侵華碩路由器所使用的確切方法,但鑒於所針對的設備型號已達到生命周期終點,攻擊者可能利用韌體中已知的漏洞。攻擊者還可能通過暴力破解管理員密碼或測試的預設和弱憑證。

一旦惡意軟體獲得設備存取權限,它會檢查特定 shell 環境的存在(「/bin/bash」、「/bin/ash」或「/bin/sh」);否則,它將停止執行。

如果偵測到相容的 shell,載入程式會解密、刪除並執行名為「.nttpd」的有效負載,該負載會建立一個具有版本號(目前為 26)的 PI​​D 檔案。

接下來,惡意軟體設定 iptables 規則以丟棄連端口 8080 和 80 上傳入 TCP的流量,同時允許來自特定 IP 範圍的流量。這種策略可以保護受感染的設備免受外部干擾。

接下來,惡意軟體會嘗試聯絡合法 NTP 伺服器列表,以偵測沙箱環境並驗證網路連線。

最後,惡意軟體透過循環存取一組硬編碼的 IP 位址來與命令和控制 (C2) 伺服器連接,C2 會以指令進行回應。

在某些情況下,C2 可能會指示惡意軟體擷取其他元件,例如掃描連port 80 和 8080 上易受攻擊的 Web 伺服器的蠕蟲模組或代理受感染裝置上流量的「.sox」檔案。該檔案用於代理受感染設備上的流量。

Sox 範例與 Faceless 伺服器通信 Photo Credit: Black Lotus Labs

Faceless 代理服務

Faceless 是網路犯罪代理服務,可透過受感染的裝置為僅使用加密貨幣付款的客戶路由網路流量。本服務不使用「了解您的客戶」驗證流程,任何人都可以使用。

購買 Faceless 代理服務的存取權限 來源:Black Lotus Labs

為了保護他們的基礎設施不被研究人員繪製地圖,Faceless 操作員確保每台受感染的設備在感染持續期間僅與一台伺服器通訊。

Black Lotus Labs 報告稱,三分之一的感染會持續 50 天以上,而 15% 的感染會在 48 小時內消失。這表明後者受到更好的監控,並且可以快速檢測到危害。

受感染裝置的生命週期 來源:Black Lotus Labs

儘管 TheMoon 和 Faceless 之間存在明顯的聯繫,但這兩個操作似乎是獨立的網路犯罪生態系統,因為並非所有惡意軟體感染都成為 Faceless 代理殭屍網路的一部分。

為了防禦這些殭屍網路,請使用強管管理員密碼並將裝置的韌體升級到解決已知缺陷的最新版本。如果設備已達到 EoL,請將其替換為有效支援的型號。路由器和物聯網上惡意軟體感染的常見跡象包括連線問題、過熱和可疑的設定變更。

有關於TheMoon 惡意軟體的的部分入侵指標(Indicator of compromise -IOCs):

abee3860601d8a8f10fa2d0ef9e058c8c9b0b977a87e8c95fb66d3f630281c23  
d4fa6a239895a94f83740db0319601a14896a2b06fff912364f214b0832ee230  
84b45dad03eeb5be10b8313b25de1426b108064b12e2848eaa94cddd58bca297
701531793ecd583e05cdbd853bec8c0ece4c106fc9a6658af2d1b2f6becb70ad  
7724caac245c1e5af1662fc3a1261e02fe097a7a98c129986e6dad41606d0df1
f9ac395dbab71d37b0a22cbacba2613540b51a4be501632320e523531716a057  
9e10aadba51daa66b72ea442a97b31b12b4f718866328109d21d1c03b0e76780  
ab3d693470e7cf8ff2a21338c0a20302465ca7e18c33fc8fe488b0abb8f201f0

欲了解更多,請參考: https://blog.lumen.com/the-darkside-of-themoon/

美國CISA 敦促針對中國APT駭客伏特颱風採取防禦行動

美國網路安全機構建議關鍵基礎設施領導者採取多種最佳實踐和防禦措施,以防範中國政府發動的攻擊

美國網路安全與基礎設施安全局(CISA) 昨天向關鍵基礎設施組織的領導人發出嚴厲警告,警告中華人民共和國(PRC) 國家支持的被稱為「伏特颱風」的駭客組織所構成的迫在眉睫的威脅。

CISA 與國家安全局 (NSA)、聯邦調查局 (FBI) 以及其他美國政府和國際合作夥伴合作,於 2024 年 2 月 7 日發布了一份重要公告。 該通報證實,Volt Typhoon 5年來一直進入某些美國關鍵基礎設施組織,攻擊者在某些受害 IT 環境中保持存取和立足點至少五年。CISA 表示,Volt Typhoon 一直在積極滲透美國關鍵基礎設施組織的網路。這種滲透被視為一種戰略舉措,一旦涉及美國及其盟友的地緣政治緊張局勢或軍事衝突升級,可能會擾亂或摧毀關鍵服務。根據該報告,Volt Typhoon 已成功危害各部門的組織,包括通訊、能源、運輸系統以及供水和廢水處理系統。

這種滲透不僅對美國的組織而且對盟國都構成了重大的商業風險。為了應對這一迫在眉睫的威脅,CISA 及其合作夥伴於週二(3/20)發布了一份情況說明書,旨在為關鍵基礎設施實體的執行領導人提供有關優先保護關鍵基礎設施和功能的指導。

該 情況說明書強調了將網路風險視為核心業務風險的重要性,這對於良好治理和國家安全都至關重要。它敦促領導者授權網路安全團隊做出明智的資源決策,並採取主動措施來檢測和防禦 Volt Typhoon 和其他惡意網路活動。 此外,鼓勵領導者保護供應鏈,在組織內推動網路安全文化,並確保制定強有力的事件回應計畫。

CISA 表示:“Volt Typhoon 不依賴惡意軟體來維持對網路的存取並進行活動。” “相反,他們使用系統的內置功能。這種被稱為‘離地生活’的技術使他們能夠輕鬆逃避檢測。為了防止離地生活,組織需要採取全面、多方面的方法。”此外,CISA 表示關鍵基礎設施領導者應進行桌面演習並制定資訊安全計畫。

諮詢中寫道:“領導者應確保所有業務部門的人員,包括行政領導層,都參與該計劃的製定、簽署,並了解自己的角色和責任。” “確保全面且經過測試的計劃到位並獲得批准,使網路安全團隊能夠做出適當的風險知情決策。”

在專門保護組織供應鏈的部分中,情況說明書建議建立強大的供應商風險管理流程「以評估和監控第三方風險」。 CISA 表示,對於參與採購的人員,這些領導者應使用安全設計原則來為與哪些硬體和軟體供應商合作相關的決策提供資訊。

CISA 還表示,關鍵基礎設施領導者應透過倡導風險評估和審計、與外部安全專家合作以及提高對社交工程策略的認識來培養強大的網路安全文化。該機構鼓勵「IT、OT、雲端、網路安全、供應鏈和業務部門之間的合作,使安全措施與業務目標和風險管理策略保持一致」。

欲了解更多,請參考: https://www.cisa.gov/sites/default/files/2024-03/Fact-Sheet-PRC-State-Sponsored-Cyber-Activity-Actions-for-Critical-Infrastructure-Leaders-508c_0.pdf

駭客瞄準玩家後 寶可夢重置用戶密碼

#帳號填充攻擊

深受喜愛的遊戲公司寶可夢在檢測到駭客企圖後要求玩家重設密碼

《寶可夢》是一款廣受歡迎的遊戲系列,在全球擁有數億玩家。3月20日,根據Tech Crunch的報道,寶可夢公司(The Pokémon Company)偵測到針對部分使用者的駭客攻擊後,重設了這些使用者帳號密碼。上週,神奇寶貝官方支援網站上出現了一條警報,稱在試圖破壞我們的帳號系統後,寶可夢主動鎖定了可能受到影響的粉絲的帳號。如果您無法登入您的寶可夢訓練傢俱樂部帳號,請按照此處的說明重設您的密碼。”然而該警報現已被刪除。

寶可夢已刪除的警報 Photo Credit: Tech Crunch

在警報刪除後,該公司發言人Daniel Benkwitt解釋說,駭客沒有嘗試存取寶可夢本身,只是針對一些用戶的一系列駭客攻擊嘗試。「帳系統沒有受到破壞。我們所經歷和發現的是駭客登入某些帳號。為了保護我們的客戶,我們重置了一些的密碼。」Benkwitt進一步表示,只有 0.1% 的駭客目標帳號實際上受到了威脅,並重申該公司已經強迫受影響的用戶重置密碼,因此對於那些沒有被要求重置密碼的人來說,他們沒有任何的影響。據了解,對寶可夢帳號的攻擊是以帳號填充(Credential stuffing)的攻擊手法,其中惡意駭客使用從某項服務的資料外洩中獲取到的用戶名和密碼,並在其他網站上重複使用它們,這種攻擊能夠在短時間內危及許多帳號。

最近的一個類似事件的例子是去年10月基因檢測公司 23andMe 發生的事情,在那起事件中,駭客利用其他資料外洩事件洩露的密碼入侵了大約 14,000 個帳號(即 0.1%的用戶資料遭到存取)透過入侵這些帳號,駭客存取數百萬 23andMe 帳號持有者的敏感基因資料。這促使該公司推出強制雙重認證,一種防止撞庫攻擊的安全功能。另外根據 TechCrunch,寶可夢公司沒有允許用戶在其帳號上啟用雙因素驗證。

中國APT駭客Earth Krahang 鎖定全球政府實體 入侵了23 個國家的70 個組織

Earth Krahang利用政府間信任發動跨政府攻擊,針對全球多個政府實體的APT活動,駭客重點關注東南亞,但也發現針對歐洲、美洲和非洲

中國 APT 駭客Earth Krahang 將全球政府實體作為目標,已成功侵入 23 個國家的至少 70 個組織,其中包括 48 個政府領域的組織。據監測該活動的Trend Micro研究員稱,該活動自 2022 年初以來一直在進行,主要針對政府組織。該研究報告深入探討了 Earth Krahang 的策略、技術和程序 (Tactics, Techniques, and Procedures -TTP),揭示了Earth Krahang運作及其對全球網路安全的影響。

策略與技術

Earth Krahang 的作案手法包括利用面向公眾的伺服器中的漏洞以及利用魚叉式網路釣魚電子郵件來提供新穎的後門。該活動顯示出一種傾向,即徵用政府基礎設施來發動進一步的攻擊,利用這種存取權限來託管惡意負載並促進網路間諜活動。在公共伺服器上建立立足點後,該組織使用更多的開源軟體包括 sqlmap、nuclei、xray、vscan、pocsuite 和 wordpressscan來掃描敏感檔案、密碼(特別是電子郵件)和其他有用的資源,例如可能指向進一步無人維護的伺服器的孤獨子網域。它還採用了許多暴力攻擊,例如,使用常用密碼清單透過 Outlook 網頁版破解 Microsoft Exchange 伺服器

Earth Krahang的攻擊鏈 Photo Credit: Trend Micro

值得注意的是,Earth Krahang 特別喜歡攻擊的兩個漏洞是 CVE-2023-32315(CVSS 評級為 7.5分的即時協作伺服器 Openfire 中的命令執行漏洞)和 CVE-2022-21587(評級為 9.8分的嚴重命令執行漏洞)使用Oracle 電子商務套件中的Web 應用程式桌面整合器,藉以來獲得未經授權的存取並部署惡意軟體。另外,魚叉式網路釣魚仍然是 Earth Krahang 的一個重要媒介。為引誘目標執行惡意文件而製作的電子郵件通常使用地緣政治主題來製作,表明誘餌的戰略選擇。Earth Krahang 透過 Outlook 網頁版、漏洞掃描尋找 Web 伺服器漏洞以及注入後門對 Exchange 伺服器進行暴力攻擊。根據趨勢科技的報告,該活動的偵察工作非常徹底,廣泛收集了目標實體的電子郵件地址,以最大限度地擴大其網路釣魚嘗試的範圍。

在獲得初始存取權限後,Earth Krahang 使用各種工具和技術來維持存在並利用受感染的網路。在面向大眾的伺服器上使用 SoftEther VPN 是一種值得注意的策略,可讓威脅行為者深入滲透受害者網路。後脅迫活動包括啟用遠端桌面連線、憑證轉儲以及網路內的橫向移動以存取敏感資訊。

Earth Krahang 工具包包括多個惡意軟體家族,其中Cobalt Strike、RESHELL 和 XDealer 最為突出。 RESHELL(一個簡單的 .NET 後門)和 XDealer(一個更複雜的後門,具有 Windows 和 Linux 的版本)是該活動在目標系統中最初立足的關鍵。XDealer 的演變(透過識別的各種版本證明)表明威脅行為者正在積極開發和自訂。

受害者和歸因

根據研究,該活動針對 23 個國家的約 70 名受害者,主要針對政府組織。目標的廣泛地理分佈突顯了 Earth Krahang 對全球的野心。雖然直接歸因具有挑戰性,但與中國關係威脅組織 Earth Lusca 的聯繫以及與中國公司安洵資訊科技(I-SOON)的潛在聯繫,表明可能有國家級支持的組織在協調行動。Earth Krahang 代表了一種複雜且持續的網路威脅,其重點明顯是政府實體和利用政府基礎設施進行網路間諜活動。該活動獨特的惡意軟體家族和策略顯了對強大網路安全防禦和意識的需求。建議組織,特別是政府部門內的組織,採取嚴格的安全措施,包括定期軟體更新、員工有關社會工程攻擊的教育以及實施多因素身份驗證以降低入侵風險。Earth Krahang 不斷發展的策略和工具要求網路安全策略不斷保持警惕和適應,以保護敏感資訊和基礎設施免受這些高級威脅的影響。

Earth Krahang的部分入侵指標(Indicator of compromise -IOCs):

244c32c4809a5ea72dfd2a53d0c535f17ba3b33e4c3ee6ed229858d687a2563a

35f16e469047cf4ef78f87a616d26ec09e3d6a3d7a51415ea34805549a41dcfa

3f0aa01ed70bc2ab29557521a65476ec2ff2c867315067cc8a5937d63bcbe815

50cdd2397836d33a8dc285ed421d9b7cc69e38ba0421638235206fd466299dab

57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829

6fd7697efc137faf2d3ad5d63ffe4743db70f905a71dbed76207beeeb04732f2

898a7527c065454ba9fad0e36469e12b214f5a3bd40a5ec7fcaf9b75afc34dce

c14f6ac5bcd8645eb80a612a6bf6d58c31b0e28e50be871f278c341ed1fa8c7c

d17fe5bc3042baf219e81cbbf991749dfcd8b6d73cf6506a8228e19910da3578

23[.]106[.]122[.]5

207[.]148[.]69[.]1

45[.]76[.]157[.]92

50[.]7[.]61[.]26

50[.]7[.]61[.]27

50[.]7[.]61[.]28

欲了解更多,請參考:  https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

日產證實勒索軟體攻擊 導致10 萬人的數據外洩

日本汽車製造商日產表示,該公司在去年12月的一次網路攻擊中,導致澳洲和紐西蘭約有10萬名個資料外洩

日產在週三(3/13)公布了對此事件最新的調查細節,表示已經開始通知受害者,其中包括客戶、經銷商以及一些現任和前任員工。該公司表示,受影響的人數可能會減少,“隨著聯繫方式得到驗證並且將把清單中重複名稱刪除。在攻擊期間,攻擊者侵入了該公司的本地IT伺服器並滲取了敏感數據。自那時以來,日產表示一直在與澳洲和紐西蘭政府當局以及外部網路專家合作,審查被破壞的數據並了解受影響個人的影響。

日產聲稱,並非所有人受影響的資料類型都一樣,估計有10%,或約1萬名人的政府發放的ID被外洩。此外,攻擊者還獲得了4000個醫療卡、7500個駕駛執照、220個護照和1300個納稅文件號碼。其餘90%的受害者的其他個人詳細資料受到了影響,包括與貸款相關的交易報表副本,就業或工資資料,或一般資料,如出生日期。此次攻擊影響了日產大洋洲,這是日本汽車製造商的一個區域部門,涵蓋了澳洲和紐西蘭的各種公司活動,包括營銷、銷售、分銷和服務。

個人可識別資料(PII)的曝光對受影響的個人造成了重大風險,因為冒名者可以使用被盜數據中的姓名和駕駛執照號碼進行身份盜竊。日產表示,將為受影響的個人提供信用卡監控和身份保護服務以減輕損失。公司還提供補償替換政府身份證的費用。

“我們知道這對人們來說是困難的消息,我們誠摯地向我們的社區致歉,因為這可能會引起任何擔憂或困擾,”日產表示。

攻擊的肇事者

Akira勒索軟體聯盟聲稱在2023年12月底發動了這次攻擊,將日產張貼在其暗網揭秘網站上,該網站用來展示其最新的受害者。當時Akira表示,他們竊取了日產的100GB數據。

汽車公司和汽車保險提供商的數據通常受到網路罪犯的高度需求,有多個威脅行為者和團體在暗網上洩露被盜數據。11 月初,另一家日本汽車製造商豐田汽車的歐洲和非洲金融服務部門也遭受了網路攻擊。

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

駭客論壇出現宏碁員工資料 宏碁證實其菲律賓子公司員工資料外洩

宏碁稱資安事件影響了員工出勤數據,但並未影響客戶資料庫,宏碁菲律賓公司保證所有客戶資訊均受到保護

Key Points:

*宏碁菲律賓公司證實,負責管理員工出勤資料的第三方供應商系統內發生一起資安事件,導致未經授權存取該資訊。

*宏碁稱此次外洩並未影響宏碁菲律賓公司的客戶資料庫。該公司強調客戶資料仍然安全,並強調考勤系統和客戶資料庫完全分開,並擁有強大的內部系統來保護客戶資訊免受網路安全威脅。

*宏碁菲律賓已向國家隱私委員會 (NPC) 和網路犯罪調查和協調中心 (CICC) 通報了這起外洩事件。目前正在進行全面調查,以充分了解入侵情況。

2024 年3 月12 日,宏碁菲律賓公司出面處理據稱於當天發生的資料外洩事件,在一份官方聲明中,該電腦巨頭承認發生了涉及未具名第三方供應商的安全事件,該事件導致未經授權的存取包含特定員工資訊的資料庫。然而,宏碁很快向客戶保證,他們的資料庫在這次資安事件期間不受到影響。關於宏碁的聲明如下:

宏碁菲律賓公司聲明

碁菲律賓公司確認,其負責管理員工考勤資料的第三方供應商發生了安全事件,導致包含特定員工資訊的資料庫遭到未經授權的存取。

我們想向大家保證,我們的安全檢查確認宏碁菲律賓客戶資料庫沒有遭到破壞或洩露,客戶資料也沒有受到此事件的影響。需要強調的是,第三方供應商運行的考勤資料庫與我們的客戶資料庫完全不同。我們的內部系統保護我們的客戶資料庫,以保護您的資料免受威脅。

我們致力於對委託我們保管的所有資訊實行最嚴格的資料保護。我們已通知國家隱私委員會(NPC)和網路犯罪調查

協調中心(CICC)。徹底的調查正在進行中。

如需準確可靠的更新,請參閱我們的官方溝通管道。如果您有任何疑問或需要進一步說明,我們鼓勵您直接透過我們的官方支援管道聯繫。我們隨時為您提供協助。

感謝您對宏碁菲律賓公司的持續信任。”

Photo Credit: Acer Philippines

在宏碁菲律賓公司發表聲明之前,Deep Web Konek 報告了這一資安事件,聲稱收到了一封詳細說明該事件的電子郵件,據稱此次資料外洩暴露了277 行員工數據,包括姓名、用戶名、密碼、出生日期、手機號碼、電子郵件地址、雇主姓名和部門細節。進一步調查顯示,#OpEDSA是這起資安事件的攻擊者,並解釋說,他們以宏碁菲律賓等大公司為目標,旨在破壞涉及富裕政治家族的政治爭吵以及他們對國家緊迫問題的忽視的現狀。

#OpEDSA稱,他們的動機是來自渴望終結菲律賓精英階層對國家權力的控制,並解釋他們的動機受到了1986年的EDSA菲律賓人民力量革命的啟發。

在過去宏碁也曾發生其他的資安事件,包括: 

— 2023 年3月,名為Kernelware的駭客聲稱持有Acer約160 Gb 的數據,並在暗網兜售
— 2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金。

— 2021 年 10 月 15 日,Desorden Group 的駭客組織的入侵 Acer India的售後服務系統,被盜60 GB的數據

— 2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”