竣盟科技 - Billows 技術/情資訊息分享

談判破裂美國醫療保健服務業者Henry Schein漢瑞祥兩度遭BlackCat勒索軟體攻擊

Posted on 2023 年 12 月 1 日2023 年 12 月 1 日 by blogadmin

#不到兩個月內遭受了兩次重大勒索軟體攻擊

美國醫療保健巨頭 Henry Schein漢瑞祥面臨自 10 月以來的第二次重大網路攻擊，勒索軟體組織 BlackCat聲稱對攻擊負責。根據BleepingComputer的報道，10 月 15 日，BlackCat（又名Alphv）首次宣布瞄準漢瑞祥。該勒索軟體組織表示，已準備好與這家醫療保健巨頭就被盜數據進行談判。據稱，漢瑞祥拒絕談判，並於 11 月 22 日再次成為攻擊目標。根據漢瑞祥的聲明，先前披露的網路事件的攻擊者已聲稱對此事負責。此外，11 月的勒索軟體攻擊迫使該公司關閉其電子商務平台和部分應用程式。「某些漢瑞祥的應用程式，包括其電子商務平台，目前無法使用。該公司繼續使用其他方式接受訂單並繼續向客戶發貨，」該公司在公告中表示。

在向客戶保證已找出問題原因的同時，漢瑞祥的電子商務平台已為美國客戶恢復。該公司還致力於為加拿大和歐洲的用戶恢復該平台。報道指出，該公司正在透過其他管道接收訂單。Henry Schein 目前在32個國家開展業務，年收入估計為 120 億美元。

然而BlackCat表示，它已從漢瑞祥竊取了35TB 數據，其中部分數據將每天發布。這對漢瑞祥的客戶來說無疑是個壞消息。BlackCat也在聲明中指出，儘管與漢瑞祥進行了談判，「我們還沒有收到任何跡象表明他們願意優先考慮客戶、合作夥伴和員工的安全，更不用說保護自己的網路了。」攻擊者添加了漢瑞祥內部薪資數據的部分內容，還聲稱每天將發布更多數據。

BlackCat 勒索軟體集團於 2021 年 11 月出現，據信是臭名昭著的 DarkSide/BlackMatter 勒索軟體組織的更名。2021 年5 月，該DarkSide以Colonial Pipeline為目標，導致整個美國東海岸的燃料供應中斷，後Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金，引起了全球關注。

汽車零部件大廠延鋒Yan Feng遭麒麟勒索軟體入侵克萊斯勒、道奇、吉普等汽車工廠遭影響生產線暫停

Posted on 2023 年 11 月 29 日2023 年 11 月 29 日 by blogadmin

中國汽車零部件供應商延鋒(Yan Feng)向通用汽車、大眾集團、福特、Stellantis（Fiat、克萊斯勒、吉普、道奇）、寶馬、戴姆勒、豐田、本田、日產和上汽集團銷售內裝零件，該公司是這些汽車製造商供應鏈的重要組成部分，在全球 240 個地點擁有超過 57,000 名員工。根據資安網站Cybernews麒麟(Qilin)勒索軟體組織聲稱對延鋒的網路攻擊負責。對這家中國供應商的攻擊對北美汽車製造供應鏈產生了連鎖反應，導致多家美國工廠中斷，其中包括全球汽車製造商 Stellantis 營運的工廠。

本月早些時候，有報導稱對延鋒網路攻擊的直接影響到Stellantis，迫使該汽車公司停止其北美工廠的生產。Cybernews 聯繫了延鋒，該公司沒有回應，也沒有就攻擊發表公開聲明。然而延鋒網站癱瘓了一個多星期，直到昨天它的主要網站才重新上線，但沒有任何有關斷網的聲明。另外吉普車主也報告說，客戶服務熱線癱瘓了好幾天。

Stellantis （原菲亞特克萊斯勒，2023 年與法國 PSA 集團合併）在美國擁有 22 家製造工廠，加拿大有 6 家，墨西哥有 7 家。

11 月 15 日，根據Stellantis的發言人，「由於外部供應商的問題，Stellantis 的一些北美組裝工廠的生產受到干擾。我們正在監控情況並與供應商合作，以減輕對我們營運的進一步影響。」

據威脅研究專家Kevin Beaumont指出，這次攻擊是駭客利用了名為Citrix Bleed（CVE-2023-4966，CVSS風險評分為9.4）的零時差漏洞。

Just to follow this up

Factory production of Chrysler, Dodge, Jeep etc is still paused in North America due to the hack of Yanfeng. Yanfeng’s website is still offline. Additionally Jeep has no phone system.

It’s ransomware, entry was via CitrixBleed. https://t.co/GJrm2IG4cJ
— Kevin Beaumont (@GossiTheDog) November 23, 2023

根據美國網路安全和基礎設施安全局(CISA) ，駭客利用Citrix Bleed漏洞入侵網路環境，可以繞過密碼和多因素身份驗證(MFA) 請求，從而成功劫持Citrix NetScaler Web 應用程式交付控制(ADC) 和網關設備上的合法用戶會話，一旦進入目標網路，駭客就會利用各種遠端和網路監控工具來獲得進一步的存取權並找到將使用勒索軟體加密的最終伺服器。

麒麟（又名 Agenda）於 11 月 27 日(星期一)在其揭秘網站上發布了延鋒頁面，並附上了23 張盜竊數據的截圖。麒麟稱，截圖證實我們擁有大量敏感資料，並將在未來幾天內發布這些資料。

另外Group-IB在上週發布其在3月秘密調查的報告，揭露了麒麟勒索軟體集團的內部運作。該組織於 2022 年首次被發現，經常使用網路釣魚電子郵件來瞄準受害者。Group-IB 研究人員被認為與俄羅斯有聯繫，他們發現了該集團的會員是如何佈局的。

「對於總額為 300 萬美元或以下的勒索金額，會員可以獲得 80% 付款項。對於超過 300 萬美元，他們則可以獲得 85%，」Group-IB 表示。

根據威脅情報公司 Cyble 發布的 2023 年第二季勒索軟體報告，2023 年上半年針對全球製造業的勒索軟體攻擊激增了 130%。

此次之前，2022年10月，麒麟勒索軟體曾入侵某台灣製藥大廠:

新加坡電信Singtel旗下第二家澳洲子公司發生資安事件，疑出自麒麟(Qilin)駭客組織之毒手；同時麒麟的揭秘網站上也驚見台灣受害企業

北韓駭客Diamond Sleet針對台灣訊連科技(CyberLink)用戶發動供應鏈攻擊

Posted on 2023 年 11 月 24 日 by blogadmin

在不斷發展的網路安全領域，出現了由北韓國家級駭客精心策劃的複雜供應鏈攻擊，他們將惡意檔案植入到合法的照片和影片編輯應用程式安裝檔案中。這次巧妙的攻擊涉及篡改合法的訊連科技應用程式，部署隱藏第二階段有效負載的惡意變體。11月23日，微軟透露，名為Diamond Sleet(又稱 Lazarus、Hidden Cobra)的北韓駭客入侵了台灣軟體開發商訊連科技，並對其一款合法應用程式進行木馬化，該應用程式被用作分發惡意軟體的管道。受感染的安裝程式雖然看起來合法並使用有效的訊連的憑證簽章，但隱藏了旨在下載和執行輔助負載的惡意程式碼。

該惡意軟體被稱為 LambLoad，既充當下載程式又充當載入程式。載入程式檢查以下進程名稱：

csfalconservice.exe （CrowdStrike Falcon）

xagt.exe （FireEye 代理程式）

taniumclient.exe （Tanium EDR 解決方案）

該惡意軟體經過編程，可在啟動任何惡意活動之前檢查系統的日期和時間，確保其在預先配置的執行期內運行。LambLoad 的目標是沒有FireEye、CrowdStrike和Tanium等公司安全軟體的企業環境。如果偵測到這些廠牌的端點防護系統，該惡意軟體就會中止其惡意操作，並允許合法的訊連科技軟體暢通無阻地運作。如果不存在端點防護，則從受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載，該有效酬載在記憶體中可以被提取、解密和啟動，並將從C2接收駭客的命令。

研究人員發現，自10 月20 日首次觀察到該惡意安裝程式以來，包括日本、台灣、加拿大和美國在內的多個國家/地區的100 多台設備已受到該惡意安裝程式的影響。儘管研究人員迄今尚未確認任何入侵後的目的，但資料外洩的可能性、進一步向供應鏈下游移動以及對受害者環境的持續存取仍然是一個重大問題。

微軟高度確信這次攻擊是由北韓Diamond Sleet 發起的，該組織以針對全球媒體、國防和資訊科技產業而聞名。據微軟稱，Diamond Sleet 的活動包括間諜活動、資料竊取、經濟利益和破壞企業網路。自從發現該攻擊以來，Microsoft 已通知訊連科技和 Microsoft Defender 受活動影響的 Endpoint 客戶。這次攻擊也報告給了 GitHub，後者刪除了第二階段的有效酬載。

訊連科技是一家台灣軟體公司，以開發多媒體軟體（包括 PowerDVD）以及人工智慧臉部辨識技術而聞名。訊連科技擁有 200 多項專利技術並在全球銷售了超過 4 億個應用程式。

對於研究人員的發現，11月23 日下午，訊連科技發佈公告指出，在其產品「Promeo」的安裝程式中發現惡意軟體，已經移除問題，他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品，確認其他產品不受此攻擊行動影響。

LambLoad的部分入侵指標(Indicator of compromise -IOCs):

166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8be

089573b3a1167f387dcdad5e014a5132e998b2c89bff29bcf8b06dd497d4e63d

915c2495e03ff7408f11a2a197f23344004c533ff87db4b807cc937f80c217a1

hxxps[:]//update.cyberlink[.]com/Retail/Promeo/RDZCMSFY1ELY/CyberLink_Pr omeo_Downloader.exe

hxxps[:]//update.cyberlink[.]com/Retail/Patch/Promeo/DL/RDZCMSFY1ELY/Cyb erLink_Promeo_Downloader.exe

加拿大政府因其外包商遭到駭客攻擊證實資料外洩

Posted on 2023 年 11 月 21 日2023 年 11 月 21 日 by blogadmin

屬於數量不詳的加拿大政府僱員的敏感資料因針對兩家政府外包商的網路攻擊而被外洩，據了解，入侵行為發生在上個月，為加拿大政府員工提供搬遷服務的供應商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services(SIRVA)成為網路攻擊的受害者。負責所有加拿大聯邦僱員的財政部在周五的聲明中披露了這一消息，聲明稱，加拿大政府正在分析「大量」數據，但初步調查顯示，洩露的資訊可能屬於早在 1999 年就使用過搬遷服務的任何人，當中包括加拿大武裝部隊成員、現任和前任聯邦員工以及加拿大皇家騎警人員的資料。

BGRS 為公家機關和私人企業提供搬遷服務，為調到新職位的員工提供協助。SIRVA Canada 系統處理實際的搬家服務。據 BGRS 網站稱，該機構每年監管超過 20,000 起搬遷案件。超過 8,000 家供應商支援其搬遷方案。兩家公司關係密切。去年，SIRVA Canada 的美國母公司 SIRVA Inc. 和 BGRS共同建立了一家新公司，名為 SIRVA BGRS Worldwide。

10月20日，CBC新聞報導稱，國防部已向員工發出內部說明，警告BGRS遭受了一起資安事件，該說明是在一些軍人發現BGRS線上入口網站不能使用。國防部的那份說明也被公開，稱9月29日，政府被告知發生了一起“事件”，但到10月19日，確認未經授權存取了BGRS持有的資訊。聲明稱，這些數據由 BGRS 和 SIRVA的IT 系統持有。

雖然加拿大政府尚未確定該事件的來源，但 LockBit 勒索軟體已聲稱對破壞 SIRVA 系統負責，並洩露了他們聲稱包含 1.5TB 盜竊資料的檔案。LockBit 也公開了與所謂的 SIRVA 代表談判失敗的內容。據LockBit稱，他們已洩露超過1.5TB 的資料，當中包括3 個SIRVA分公司（歐盟、北美和澳洲）的3 個CRM 完整備份。10 月 19 日，加拿大政府獲悉承包商的資安事故後，政府立即向加拿大網路安全中心和隱私專員辦公室等相關當局報告了該漏洞。

為了應對資安事故，加拿大政府正在採取積極主動的預防措施，上週五發表的一份聲明稱，加拿大政府不會靜待調查的結果，而是採取積極主動的預防措施來支持那些可能受到影響的人。政府為過去 24 年來隨 BGRS 或 SIRVA Canada 調動的現任和前任公務員、加拿大皇家騎警和加拿大武裝部隊成員提供信用監控或重新簽發有效護照。

以下是政府向可能受影響的個人提供的建議：

*更新可能與 BGRS 或 SIRVA Canada 使用的登入憑證類似的登入憑證

*對用於線上交易的帳戶啟用多重身份驗證

*監控財務和個人線上帳戶是否有任何異常活動

LockBit的部分入侵指標(Indicator of compromise -IOCs):

fb49b940570cfd241dea27ae768ac420e863d9f26c5d64f0d10aea4dd0bf0ce3

b3ea0f4f442da3106c0d4f97cf20e244b84d719232ca90b3b7fc6e59e37e1ca1

45c317200e27e5c5692c59d06768ca2e7eeb446d6d495084f414d0f261f75315

27b8ee04d9d59da8e07203c0ab1fc671215fb14edb35cb2e3122c1c0df83bff8

竣盟科技建議針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

Zimbra 電子郵件軟體中的零日漏洞已發現至少被四個駭客組織鎖定！

Posted on 2023 年 11 月 17 日 by blogadmin

Zimbra Collaboration電子郵件軟體中的零日漏洞被四個不同的駭客組織所利用，竊取大量使用者的電子郵件資料、使用者憑證和身分驗證權杖。

Zimbra Collaboration是一個全功能的協作平台，主要提供電子郵件、行事曆、任務管理、聯絡人管理等協作工具。這個平台的特點在於其開放原始碼的性質，讓使用者可以自由地搭建和管理自己的郵件和協作伺服器。

谷歌威脅分析小組（TAG）在一份報告中表示：“大部分活動都是在 GitHub 上公開最初的修復之後發生的。”

該漏洞被紀錄為CVE-2023-37580（CVSS 評分：6.1），是一個跨站腳本攻擊（XSS）漏洞，影響更新包41、 8.8.15之前的版本。Zimbra在 7 月 25 日發布的更新解決了這個問題。

透過該漏洞，攻擊者只需誘騙受害者點擊特製的 URL，即可在受害者的網路瀏覽器上執行惡意腳本。Google TAG 表示，從 2023 年 6 月 29 日開始，即發現了多個攻擊活動，至少比 Zimbra 發佈更新建議還提早了兩週。四個攻擊活動中的三個是在更新發布之前觀察到的，第四個活動是在發布一個月後發現的。

據稱，第一個活動以希臘的一個政府組織為目標，向其目標發送包含惡意連結的電子郵件，當用戶點擊這些URL 時，就會被安裝名為 EmailThief 的電子郵件竊取惡意軟體。

利用 CVE-2023-37580 的第二個威脅攻擊者是 Winter Vivern，該漏洞的修補程式於 7 月 5 日推送到 GitHub 後不久，Winter Vivern就馬上針對摩爾多瓦和突尼西亞的政府組織展開攻擊。

TAG 也發現到，在 7 月 25 日更新發布之前，有第三個身份不明的組織將該漏洞武器化，以竊取越南某政府組織的憑證。而巴基斯坦的一個政府組織於 8 月 25 日也遭到攻擊，導致 Zimbra 身份驗證權杖外洩。

TAG 進一步指出，威脅攻擊者經常利用郵件伺服器中的 XSS 漏洞，因此需要對此類應用程式進行徹底驗證。並表示，該漏洞首次公開後即發現至少四個利用 CVE-2023-37580 的活動，這表示組織需要盡快對其郵件伺服器進行修復的急切性。

部分入侵指標(Indicator of compromise -IOCs):

domain ntcpk.org

URL https://obsorth.opwtjnpoc.ml/pQyMSCXWyBWJpIos.js

URL https://applicationdevsoc.com/zimbraMalwareDefender/zimbraDefender.js

URL https://applicationdevsoc.com/tndgt/auth.js

Hunters International入侵台灣傳出上市生醫遭殃

Posted on 2023 年 11 月 15 日2023 年 11 月 15 日 by blogadmin

於 2023 年第三季才出現，名為Hunters International的新勒索軟體團隊已獲取了Hive勒索軟體（已遭美國FBI瓦解）的原始碼和基礎設施，並發起了屬於Hunters International的攻擊，最近(11月14日) 竣盟科技發現Hunters International的揭秘網站聲稱攻擊了台灣某大上市生醫集團，將其列入受害者名單，Hunter International稱已盜取約236GB的資料，約超過十萬個檔案，據稱當中檔案的範圍包含客戶投訴數據-資料庫備份檔（HR相關、CRM相關和其他）-財務數據（付款、報告、審計等）-營業單位數據（訂單，產品配方，實驗室測試，包裝等） – 美國子公司數據（網路設置、稽核、供應商、員工數據等）-客戶數據（訂單、混合配方、產品處方、實驗室測試、郵件等。

根據Bitdefender技術解決方案總監 Martin Zugec 在一份報告中表示：“ Hive 團隊的領導層已做出停止運營並將剩餘資產轉移給另一個團隊 Hunters International 的戰略決策。 ”為了保持連續性並避免執法調查，勒索軟體背後的駭客者經常進行品牌重塑、重組或重新定位其業務等變化。這項轉變非常重要，因為不僅是操作知識，連原始碼也被轉移，這毫無疑問為 Hunters International提供了一套完全開發的工具來啟動其惡意操作。上個月下旬，資安研究員@rivitna2率先偵測到 Hunters International 和 Hive 勒索軟體樣本之間的程式碼相似性。另一個資安研究員@BushidoToken還發現了多個程式碼重疊和相似之處，報告兩組碼程式碼之間至少有 60% 的匹配度。資安全產業最初的共識是 Hunters International 是 Hive 的更名版本，這是網路犯罪分子在重大破壞後經常觀察到的做法。

然而，Hunters International在一份不同尋常的聲明中回應了這些猜測，這是該組織迄今為止唯一的聲明。他們宣稱，他們不是 Hive 的更名版本，而是一個獨立的勒索軟體組織，只是從 Hive 獲取了原始碼和基礎設施。

Hunters International的聲明 Photo Credit: Bitdefender

值得指出的是Hunters International與其他勒索軟體組織的區別在於，即其主要重點是資料外洩。這個新組織的勒索軟體攻擊不僅涉及勒索，還涉及提取有價值的資訊。有趣的是，儘管所有受害者的資料都被盜取，迄今為止，資料從未被加密。程式碼分析也顯示 Hunters International 的開發人員簡化了程式碼。Hunters International 試圖透過減少命令列參數、更簡潔的惡意軟體和簡化的加密金鑰儲存方法來簡化其攻擊。不相關的檔案名稱、檔案副檔名或目錄不會被加密，該勒索軟體還專門攻擊備份和復原功能。目標是停用備份並停止復原。這種對勒索軟體概念的全新詮釋將Hunters International繪成一個更像敲詐勒索的組織。

Hunters International的部分入侵指標(Indicator of compromise -IOCs):

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

竣盟科技建議針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

開發人員請注意！PYPI中發現多個包含BlazeStealer惡意軟體的套件

Posted on 2023 年 11 月 10 日 by blogadmin

Photo credit: Checkmarx

根據Checkmarx 的報告一組新的惡意 Python 套件已進入 Python 套件儲存庫 (PyPI) ，其目的是從受感染的開發人員系統中竊取敏感資訊，這些軟體包偽裝成看似無害的混淆工具，但卻隱藏著名為BlazeStealer的惡意軟體。

此事件於 2023 年 1 月開始，總共涉及 8 個套件，名為 Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvance、Pyobfuse 和 pyobfgood，最後一個套件於 10 月發布。

這些模組附帶 setup.py 和 init.py 文件，旨在檢索 Transfer[.]sh 上託管的 Python 腳本，該腳本在安裝後立即執行。

該惡意軟體名為BlazeStealer，能使攻擊者能夠獲取大量資訊，包括來自Web 瀏覽器的密碼、執行任意命令、加密文件以及停用受感染主機上的Microsoft Defender 防毒軟體。

同時它會透過提高 CPU 使用率、在啟動目錄中插入 Windows 批次腳本來關閉電腦，甚至強制出現藍屏死機 (BSoD) 錯誤，從而導致使電腦無法使用。

與這些套件相關的下載多是在美國，其次是中國、俄羅斯、愛爾蘭、香港、克羅埃西亞、法國和西班牙。在被刪除之前，它們總共被下載了 2,438 次。

近年來，開源儲存庫已成為威脅行為者傳播惡意軟體的溫床。根據 Phylum 2023 年第三季軟體供應鏈安全演進報告，多個生態系統中總計 13,708 個套件被發現在安裝過程中執行可疑程式碼，有 1,481 個軟體包從遠端來源秘密下載並執行代碼，10,201 個套件引用了已知的惡意 URL。

開源領域是未來創新與進步的沃土，但開發者仍需要謹慎並保持警惕，並對不熟悉的套件進行檢查，確保其安全無虞。

日本航空電子公司成為勒索軟體組織 ALPHV 最新受害者！

Posted on 2023 年 11 月 8 日 by blogadmin

日本航空電子工業公司（Japan Aerospace Electronics Corporation）最近成為了駭客組織 ALPHV策劃的網路攻擊的受害者之一。該公司於11月6日正式宣布確認了網路攻擊事件，並透露攻擊發生於2023年11月2日。

根據調查的結果，部分伺服器遭到未經授權的外部存取，暴露了該公司數位基礎設施的薄弱之處。日本航空電子公司迅速展開調查以評估損害程度，同時努力恢復正常運營。儘管公司正在積極應對攻擊，但某些系統已經被暫停，導致電子郵件的發送和接收遭受延遲。

該公司在官方聲明中表示：“我們目前正在調查受損情況並恢復運營，但一些系統已暫停，電子郵件的發送和接收也出現了一些延遲。迄今尚未確認任何資訊外洩。對於對客戶和其他相關方造成的任何不便，我們深表歉意。進一步調查發現有新的舉報事項，我們會立即告知您。”

截至目前為止，尚未發現任何有關日本航空電子公司網路攻擊期間的資訊外洩。公司向客戶和相關方保證，任何新的調查進展都將得到及時通報。

ALPHV 勒索軟體組織以其複雜且針對性強的攻擊而聞名，最近幾年發起了多次引人注目的網路攻擊。這些攻擊通常包括對受害者數據的加密，然後要求支付贖金以換取解密金鑰。

日本航空電子公司只是最近遭受此類駭客組織攻擊的眾多組織之一。不久前，ALPHV 勒索軟體組織聲稱已將Currax Pharmaceuticals 添加到其不斷增長的受害者名單中。

2023 年 10 月，他們針對Institut Technologique FCBA發動攻擊，進一步擴大了受害者名單。當該駭客組織將FCBA的網站列為受害者時，FCBA 網路攻擊事件已為人所知。同月，他們也將哥倫比亞廣播公司東歐分部納入受害者名單。

日本航空電子公司的網路攻擊凸顯了組織在保護其數位基礎設施方面需要保持警惕，並投資於強化網路安全措施以降低網路攻擊風險。網路安全專家強調了員工培訓和及時修補軟體漏洞的重要性，以減輕勒索軟體攻擊的風險。

隨著對日本航空電子公司的網路攻擊調查仍在進行中，該公司和網路安全專家都在緊密監控事態的發展，以保護客戶數據和機敏資訊。

目前，日本航空電子公司的首要任務是恢復正常運營，並採取必要措施以防止未來的安全漏洞。未來幾天對於評估攻擊的整體影響以及採取預防措施至關重要。各方利益關係者都在密切關注有關此次事件的違規程度以及對該公司及其客戶的潛在影響。

這次事件突顯了日本的數位安全備受挑戰，也給東亞各國對於資安亦是較為薄弱的企業一個警醒，企業有義務需要加強保護其網路基礎設施。希望這些事件能夠促使更多組織警覺，並加大投資於強有力的網路安全。

伊朗國家級駭客組織MuddyWater瞄準以色列發動網路攻擊！

Posted on 2023 年 11 月 3 日 by blogadmin

伊朗國家級駭客組織MuddyWater被發現參與一個針對兩個以色列實體的魚叉式釣魚攻擊活動，最終成功部署了遠端管理工具，N-able的Advanced Monitoring Agent。

網路安全公司Deep Instinct揭露了有關這些攻擊的詳細資訊，在過去MuddyWater也曾使用類似的攻擊鏈來部署其他遠端

存取工具，如ScreenConnect、RemoteUtilities、Syncro和SimpleHelp。

Deep Instinct表示作為伊朗網路威脅能力迅速提高的進一步證據，他們還發現MuddyWater利用了一個名為MuddyC2Go的新命令和控制（C2）框架，這是MuddyC3和PhonyC2的後繼者。

該組織至少自2017年以來一直活躍至今，據信是伊朗情報和安全部（MOIS）所支持的，與MOIS相關的集團還包括OilRig、Lyceum、Agrius和Scarred Manticore等。

之前的攻擊序列包括發送帶有惡意連結的魚叉式釣魚郵件，這些連結是在存放在各種文件共享平台上的HTML、PDF和RTF附件，最終會導致將上述其中一種遠程管理工具下載到受害者系統。

這一次的攻擊中，MuddyWater使用了一個名為Storyblok的新文件共享服務來啟動多階段感染行為。安全研究員Simon Kenin指出，它包含隱藏檔案、一個啟動感染的LNK文件，以及一個用於將誘餌文件取消隱藏並執行Advanced Monitoring Agent（一個遠程管理工具）的可執行檔案。

在受害者被感染後，MuddyWater操作者將使用合法的遠程管理工具連接到受感染主機並開始對目標進行偵查行為。呈現給受害者的誘餌文件是來自以色列公民事務委員會的官方備忘錄，可以從其官方網站上公開下載。

MuddyWater的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

a2ae5e994c0b515cadd425cfda4d4ae33b71893c45b702e1f8c1a495dc1b440f

5342101fdca144d084efffac753ab7cdede06a6f78f830309dc4f7ea3a626357

SHA 1

89b2fd7af39f3acdc2e03402976695dbf64fa463

000dc108e0bc846693d48b52679aff3155db79c8

MD5

e8f3ecc0456fcbbb029b1c27dc1faad0

dd247ccd7cc3a13e1c72bb01cf3a816d

更多APT組織攻擊事件：

iPhone上的 LightSpy 間諜軟體，被證實與中國駭客組織APT41有所關聯！

iPhone上的 LightSpy 間諜軟體，被證實與中國駭客組織APT41有所關聯！

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ，以監視非營利組織

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ，以監視非營利組織

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊，瞄準歐洲、亞洲和澳洲，研究顯示已鎖定台灣政府機構!

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊，瞄準歐洲、亞洲和澳洲，研究顯示已鎖定台灣政府機構!

北韓APT駭客利用網路釣魚，攻擊了近900百南韓名外交政策專家

北韓APT駭客利用網路釣魚，攻擊了近900百南韓名外交政策專家

LockBit再度出手！波音公司陷入資料外洩危機

Posted on 2023 年 10 月 31 日 by blogadmin

LockBit 勒索軟體組織，或許是世界上運作最嚴密的網路犯罪組織之一。這個組織不僅成功滲透各種組織，而且其嚴格的方法確保它獲得所需的目標。根據美國網路安全和基礎設施安全局 (CISA) 的資料，LockBit 勒索軟體是2022年部署最廣泛的勒索軟體變體，而且預計在2023年持續威脅擴散。它主要瞄準的是關鍵基礎設施，包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等行業。

LockBit 勒索軟體的攻擊方式也因其勒索軟體即服務模式而聞名，其戰術、技術和程序（TTP, Tactics, Techniques, and Procedures）可謂五花八門。這種TTPs的多樣化對於致力於維護網路安全和防範勒索軟體威脅的組織構成了重大挑戰。

在澳洲，LockBit 勒索軟體佔據了2022年4月至2023年3月的勒索軟體事件總數的18％。這個數字包括所有LockBit勒索軟體的變體，而不僅僅是LockBit 3.0。2022年，LockBit還占據了加拿大22%的勒索軟體事件，而紐西蘭的CERT則接到了15份LockBit勒索軟體報告，佔2022年勒索軟體報告的23%。

根據FBI的統計，美國已發生約1,700起LockBit事件。自2020年1月5日首次在美國觀察到LockBit活動以來，美國已支付約9,100萬美元的贖金。

LockBit 勒索軟體首次被發現於2019年9月。然而，在過去幾年中，這個勒索軟體不斷升級，變得更加具有威脅性。

以下是重點介紹LockBit勒索軟體的不同變種：

LockBit – 這是最初版本，使用原始的.abcd副檔名，以極快的速度加密文件，只需五分鐘。
LockBit 2.0 – 由原始LockBit變體演進而來，提高了解密字串和代碼的速度，以避免偵測。一旦取得管理權限，加密過程即開始。
LockBit 3.0 – 在2022年6月下旬推出，延續了提高加密速度以避免安全偵測的趨勢。這個惡意軟體使用反分析技術、密碼執行和命令列增強。LockBit 3.0還引入了首個有記錄的勒索軟體漏洞賞金計劃，鼓勵用戶和安全研究人員報告漏洞，以換取經濟獎勵。
LockBit Green – 最新的變體，針對Windows環境的標準勒索軟體變體。
Mac版LockBit – 在2023年5月，發現LockBit已開始開發LockBit勒索軟體的macOS版本，不過它無法輕易在設備上運行。

最新的LockBit目標是波音公司， LockBit聲稱擁有這家飛機製造商的大量敏感資料。根據資安研究團隊vx-underground的消息，它已與 LockBit 成員進行了交談，LockBit聲稱使用了零日漏洞來存取資料，然而沒有提供有關攻擊鏈或據稱由 LockBit洩露的資料性質的更多細節，也沒有具體說明它從波音公司竊取了多少數據，也沒有提供有關其尋求支付的贖金的詳細資訊，但公開了波音公司的倒數計時器，最後期限設於11月2日。

波音發言人表示，公司正在評估這一聲稱，即目前沒有核實或否認這說法。除了民用飛機，波音還在全球設計、製造和銷售旋翼飛機、火箭、衛星、電信設備和飛彈，並提供租賃和產品支援服務。目前尚不清楚哪些地區受到了LockBit勒索軟體組織的威脅。2022年11月初，波音的全資子公司、航班規劃工具商Jeppesen遭到網路攻擊事故，導致該公司提供的部分產品及服務面臨技術問題，造成北美、中東等多家航空公司的部分航班規劃被迫中斷、航班延誤。

波音公司目前正在評估 LockBit 說法的真實性，考慮到波音所服務的公共和私營部門涉及的高風險，迅速採取行動和開放溝通對於前進至關重要。