Emotet 殭屍網路重新活躍! 在中斷 4 個月後再次死灰復燃,通過電子郵件傳播惡意軟體

Key Points:

* Emotet 在中斷 4 個月後再次向全球發送垃圾郵件以尋找新的受害者。

*專家警告應注意附檔的 XLS 檔案以及壓縮和受密碼保護的 XLS,因為這是 Emotet 最常用的方法。

*規避 Microsoft Office 的受保護檢視

Emotet 是一種惡意軟體感染,通過包含惡意 Excel 或 Word檔案的網路釣魚活動傳播。當用戶打開這些檔案並啟用宏時,Emotet DLL 將被下載並載入到內存中。Emotet 不僅搜索和竊取電子郵件以進一步擴大其垃圾郵件活動,甚至投放額外的payloads,例如 Cobalt Strike惡意軟體,從而導致勒索軟體攻擊等事件發生。

Emotet 是迄今為止傳播最廣泛的惡意軟體,Emotet 研究人員Cryptolaemus表示,在美國東部時間 11 月 2 日凌晨 4:00 左右,Emotet 的操作突然再次活躍起來,向全球發送電子郵件地址。根據用戶上傳到VirusTotal的報告,惡意檔案正以各種語言和文件名發送給全球用戶。這些檔案中的大多數都偽裝成發票、掃描檔案、電子表格或其他誘餌。

惡意 Emotet Excel 檔案
請求管理員權限

繞過 Microsoft Office 受保護的檢視

在新的活動中,Emotet活動還引入了一個新的Excel附件範本(Template),其中包含繞過Microsoft的受保護的檢視(Protected view)。從電子郵件中下載excel附件後,Microsoft 將在檔案中添加特殊的一個特殊的 Mark-of-the-Web (MoTW) 標誌,使用受保護的檢視打開文件可防止執行惡意宏。

Emotet Excel 附件指示用戶將文件複製到名為範本(Template)的受信任檔案夾中,這樣做會繞過受保護的檢視。雖然 Windows 會警告用戶將文件複製到“Template” 檔案夾需要“管理員”權限,但用戶嘗試複製檔案的事實表明他們很有可能也會按下“繼續”按鈕。當附件從“Template” 檔案夾啟動時,它會打開並立即執行下載 Emotet 惡意軟體的宏。

Emotet 惡意軟體作為 DLL 下載到 %UserProfile%\AppData\Local 下的多個隨機命名檔案夾中,如下所示。

Emotet 存儲在 %LocalAppData% 的隨機檔案夾中
宏將使用合法的 regsvr32.exe 命令啟動 DLL

下載後,惡意軟體將在後台安靜地運行,同時連接到C2伺服器以獲取進一步的指令或安裝額外的payloads。

Emotet新活動的部分入侵指標(Indicator of compromise -IOCs)

SHA 256

ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客組織使用新的隱形感染鏈部署 LODEINFO惡意程式,加強間諜活動,攻擊日本實體

據觀察,中國國家級駭客組織 APT 41針對日本實體的攻擊中採用了一種新的隱蔽感染鏈,根據Kaspersky雙份報告(部),間諜活動的目標包括日本媒體、外交、政府和公共部門組織以及智囊團。

APT 41,也稱為APT10、Bronze Riverside、Stone Panda、 Cicada 和 Potassium,是一個網路間諜組織,以入侵對中國具有戰略意義的組織而聞名,駭客組織至少自 2009 年以來就一直活躍至今。

在 2022 年 3 月至 2022 年 6 月期間觀察到的新一組攻擊涉及使用偽造的 Microsoft Word 檔案和通過網路釣魚電子郵件傳播的 RAR 格式的自解壓檔案,而導致執行名為LODEINFO後門程式的惡意活動。雖然惡意檔案要求用戶啟用宏(Macro)來啟動攻擊鏈,但發現 2022 年 6 月的活動放棄了這種方法,轉而使用 SFX 檔案,該檔案在執行時會顯示無害的誘餌 Word 檔案以隱藏惡意活動。

Photo Credit : Kaspersky

啟用宏後,將刪除包含兩個檔的ZIP存檔,其中一個(“NRTOLF.exe”)是來自合法K7Security Suite軟體的可執行檔,通過 DLL 側載注入惡意DLL (“K7SysMn1.dll”)。

除了濫用安全應用程式之外,Kaspersky表示還在 2022 年 6 月發現了另一種初始感染方法,其中受密碼保護的 Microsoft Word 檔充當管道,在啟用宏時提供名為 DOWNIISSA 的無檔案下載器,嵌入式的宏生成 DOWNIISSA shellcode 並將其註入當前進程 (WINWORD.exe)

Photo Credit : Kaspersky

DOWNIISSA 被配置為與寫死的遠端伺服器通信,使用它來檢索 LODEINFO 的加密 BLOB payload,這是一個能夠執行任意 shellcode、截取螢幕截圖並將檔案洩露回伺服器的後門。

該惡意軟體於 2019 年首次出現,經過多次改進,Kaspersky在 2022 年 3 月、4 月、6 月和 9 月確定了六個不同的版本。這些變化包括增強規避技術、停止在具有“en_US”區域設置的機器上執行、修改支援的命令列表以及延伸對 Intel 64位元架構的支援。

研究人員總結說:“LODEINFO 惡意軟體更新非常頻繁,並繼續積極針對日本組織。”

LODEINFO的部分入侵指標(Indicator of compromise -IOCs)

MD5:

c5bdf14982543b71fb419df3b43fbf07

c9d724c2c5ae9653045396deaf7e3417

f7de43a56bbb271f045851b77656d6bd

0fcf90fe2f5165286814ab858d6d4f2a

6780d9241ad4d8de6e78d936fbf5a922

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

法國達利思集團Thales Group二次遇駭,再一次遭LockBit勒索軟體集團入侵!

#時隔九個月又被同一勒索軟體集團入侵

#第一次中LockBit2.0第二次中LockBit 3.0

Photo credit: Redhotcyber

2022 年 1 月,法國Thales Group遭LockBit2.0攻擊,LockBit勒索軟體集團將其相關資訊公開在暗網中,然而Thales Group對外聲稱沒有遭攻擊的跡象,也沒有收到勒索信,最終其數據在倒數計時結束後(1月17日)即被公開,如下圖所示:

今早,LockBit在其揭秘網站上透露,6天後將公佈Thales的數據,顯然Thales Group又遭到了LockBit勒索軟體集團的入侵,而這次是已經升級至3.0版本的LockBit勒索軟體;又稱為LockBit Black。

LockBit稱將在11 月 7 日公開從Thales Group盜來的數據,當中包括公司運營、商業文件、會計記錄、客戶檔案、客戶結構計劃和軟體資訊等。值得一提的是,LockBit在Thales Group的貼文中,鼓勵Thales的客戶對該公司採取法律途徑,表示就客戶而言,應聯繫相關組織,對這家嚴重忽視保密規定的公司採取法律行動。

LockBit是目前其中最成功的勒索軟體即服務(Ransomware-as-a-Service;RaaS)之一,持續修補及更版,LockBit於 2019 年 9 月以 ABCD 的名義開始運營,在2021年6月推出升級版 LockBit 2.0帶來了多項新功能,號稱是史上加密速度最快的勒索軟體,可於3小時內加密25台伺服器與225個work stations,並在2022年 6 月打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版。

LockBit 3.0 引入了幾個新功能,可概括為:

延長倒時計:可以花錢延長數據公佈的時間

銷毀所有數據:可以付費銷毀受害者組織中洩露的所有數據;

隨時下載數據: 可以付費下載從受害公司竊取到的所有資料。

顯然地,每種“服務”的成本是不同的,可使用比特幣或門羅幣支付。

Thales集團是位居全球技術領先的國際集團,領域橫跨航太、地面交通運輸、國防科技、安全、數位科技暨服務等各方面,Thales遍佈全球68個國家總計捌萬多名員工。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1     

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Hive勒索軟體聲稱對印度最大的電力公司Tata Power進行了攻擊,並開始外洩數據

#基礎建設

#TataPower支付系統出現問題

#無法完成支付賬單

10 月 14 日,印度最大的電力公司 Tata Power宣布遭到網路攻擊,Tata Power向印度證交所發出通報並指出,入侵影響了其部分 IT 系統,已採取措施來復原相關系統,10 月 24 日,Hive勒索軟體組織聲稱為這次攻擊負責。

據說該入侵事件發生在 2022 年 10 月 3 日,作為其雙重勒索的一部分,Hive已在10其揭秘網站Hive Leaks上外洩盜來的數據,這包括簽署的客戶合約、協議以及其他敏感資料,例如電子郵件、地址、電話號碼、護照號碼、納稅人數據等。

這家總部位於孟買的公司是印度最大的綜合電力公司,隸屬於塔塔集團(Tata Group),根據安全研究人員 Rakesh Krishnan 分享的進一步細節,外洩包含個人身份資料 (PII),包括 Aadhaar 身份號碼、永久帳號 (PAN)、駕駛執照、工資細節和工程圖紙。

最新發展也表明,塔塔電力可能已拒絕支付贖金,促使Hive勒索軟體組織在其 暗網網站上發布竊取的數據。

直到10月20-22日,仍出現許多 客戶在 Tata Power 官方的Twitter 上報告了無法支付賬單,其中一些人表示他們因無法完成支付,一些人還報告說他們已經付款,但仍然接到電話說他們的賬單還沒有支付。

Hive 勒索軟自 2021年  6 月以來一直處於活躍狀態,提供勒索軟體即服務(Ransomware As a Service),並採用雙重勒索模式威脅受害者在Hive Leaks上發布從受害者那裡竊取的數據。2021 年 8 月,聯邦調查局 (FBI) 發布了 關於 Hive 勒索軟體攻擊的緊急警報,其中包括與Hive活動相關的技術細節和入侵指標。根據區塊鏈分析公司 Chainalysis 發布的一份報告,Hive 勒索軟體是 2021 年收入排名前 10 位的勒索軟體之一。該組織使用了多種攻擊方法,包括惡意垃圾郵件活動、易受攻擊的 RDP 伺服器和外洩的 VPN 憑證。

6 月,微軟威脅情報中心 (MSTIC) 研究人員在分析勒索軟體用於刪除 .key檔案的新技術時發現了Hive的新變種。Hive 勒索軟體的新變種與舊變種之間的主要區別在於使用的程式語言,舊的變體是用 Go 語言編寫的,而新的 Hive 變體是用 Rust 編寫的。

Rust 語言具有以下優點:

*它提供記憶體、數據類型和線程安全性

*對底層資源有深度控制

*具有用戶友好的語法

*它具有多種並行機制,從而實現快速安全的檔案加密

*它有各種各樣的密碼庫

*逆向工程相對更困難

最新的 Hive 變種中最重要的變化是它採用的加密機制。新變種於 2022 年 2 月 21 日首次上傳到 VirusTotal,在幾天後,韓國國民大學的一組研究人員 分享了有關如何解密受 Hive 勒索軟體感染的系統的數據的研究細節。

有關Hive勒索軟體的”部分”入侵指標(Indicator of Compromise -IOCs):

Domain

hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

SHA256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

SHA1

ecf794599c5a813f31f0468aecd5662c5029b5c4

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

新加坡電信Singtel旗下第二家澳洲子公司發生資安事件,疑出自麒麟(Qilin)駭客組織之毒手;同時麒麟的揭秘網站上也驚見台灣受害企業

Dialog及某台灣製藥大廠出現麒麟(Qilin)的揭秘網站

繼澳洲的第二大電信業者Optus坦承上月被駭,近1000萬人個資外洩後,新加坡電信公司(Singtel) 於10/10表示,旗下第2家澳洲子公司也遭駭客入侵,Singtel向新加坡交易所(Singapore Exchange)遞交文件,其中包括該公司4月收購的澳洲IT 服務提供商 Dialog的聲明,證實有一個未經授權的第三方恐已取得Dialog的資料。根據外媒報導,針對Dialog的攻擊是來自僅在 Windows 系統上運作的 Agenda 勒索軟體。

Dialog 在澳洲的客戶包括新南威爾士州選舉委員會、公共服務部、昆士蘭衛生局、澳洲維珍航空、澳洲國民銀行(NAB)、Suncorp、阿爾弗雷德衛生局、塔斯馬尼亞大學等,作為IT服務提供商,Dialog擁有1000 多名 IT 專家。Agenda 於2022年8月被發現,是相對較新的勒索軟體,Agenda具有多種功能,包括以安全模式重啟系統並停止特定於伺服器的進程和服務,以及運行多種模式。Agenda還具有檢測規避技術,更改使用者密碼並啟用自動登錄,Agenda利用受影響設備的全模式功能來繼續其檔案加密而不被發現,根據TrendMicro資安研究報告,麒麟駭客組織是分發Agenda勒索軟體的幕後黑手。

Singtel表示,Dialog的資安事件恐對1000名Dialog現有及前員工,以及約20名客戶造成影響。據悉,首次發現遭駭客攻擊是在9月10日,之後在10月7日再度發現Dialog的小規模資料外洩,其中包括部分員工的個資被公布在麒麟(Qilin)的揭秘網站上。

另外,根據竣盟科技的觀察,麒麟的揭秘網站上,也出現台灣受害企業,該企業為國內上市製藥大廠,麒麟於9月15日公開該受害企業,並於9月22日發布盜竊得來的相關資料。

Agenda勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

E4a319f7afafbbd710ff2dbe8d0883ef332afcb0363efd4e919ed3c3faba0342

28aeb2d6576b2437ecab535c0a1bf41713ee9864611965bf1d498a87cbdd2fab

117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府分享了自 2020 年以來中國國家級駭客最常利用的主要漏洞

今天美國NSA、CISA 和 FBI這三個聯邦機構在一份聯合諮詢中,詳細說明了自 2020 年以來,最常被中國政府支持的駭客來攻擊別國政府和關鍵基礎設施網路的主要安全漏洞。

該諮詢報告旨在向所有聯邦和州政府機構,特別是涉及關鍵基礎設施的機構和私營部門組織通報顯著的趨勢和常用策略、技術,以及作業程序 (TTPs),並表示美國國家安全局、中央情報局和聯邦調查局繼續評估中國國家支持的網路活動是對美國政府和民用網路的最大和最具活力的威脅之一。

以下是諮詢中一些細節:

中國國家級駭客正在瞄準美國及其盟國的網路和及關鍵基礎設施網路為目標,以一系列新技術和適應性技術——其中一些對資訊科技部門組織(包括電信提供商)、國防工業基礎 (DIB) 部門組織和其他關鍵基礎設施組織構成重大風險。

中國國家級駭客繼續利用已知漏洞並使用公開可用的工具來瞄準感興趣的網路。NSA、CISA 和 FBI 評估中國政府支持的網絡行為者積極瞄準美國和盟國網路以及軟體和硬體公司,以竊取智慧財產權並開發對敏感網路的存取權。有關最常被利用的CVEs漏洞,請參見下表。

在開採這些漏洞時駭客者常以VPN來隱藏其活動,並針對面向Web的應用程式獲取初步存取權。上面列出的大多數漏洞都允許駭客悄悄地存取網路,以建立持久性並在其他連接的網路中橫向移動。

那麼,您能做些什麼來更好地保護您的組織免受中國國家級駭客的攻擊呢?該諮詢提供了六種緩解措施:

*盡快更新和修補系統,優先修補本諮詢中發現的漏洞和其他已知的被利用漏洞。

*盡可能使用抗網路釣魚的多因素身份驗證,要求所有使用密碼登錄的帳戶都擁有強大、獨特的密碼,如果有跡象表明密碼可能已被洩露,請立即更改密碼。

*在網路邊緣阻止過時或未使用的協議。

*升級或更換報廢設備。

*轉向零信任安全模型。

*啟用面向 Internet 的系統的強大日誌記錄並監控日誌中的異常活動。

CISA、NSA 和 FBI 強烈鼓勵所有組織審查並應用這些緩解措施,以改善其網路安全狀況並最大程度地降低洩露風險。

了解更多,請參閱完整的公告”Top CVEs Actively Exploited By People’s Republic of China State-Sponsored Cyber Actors

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CISA 下達命令,要求聯邦機構定期追踪及維護網路資產和漏洞

10月3日,美國網路安全和基礎設施安全局(CISA) 發布了一項新的約束性作業指引 (Binding Operational Directive-BOD),指示聯邦政府旗下各單位在未來六個月內必須實現追踪其網路上的資產和漏洞,以提高聯邦網路上的資產可見性和漏洞檢測能力。

BOD 23–01 旨在通過了解其網路中的所有資產以及影響它們的漏洞來幫助聯邦機構提高其網路安全管理能力。聯邦機構有六個月的時間來識別其環境中網路上的 IP 資產以及相關的 IP 網址(主機),並發現和報告這些資產上的可疑漏洞,包括錯誤配置、過時的軟體和缺乏的修補。

名為 BOD 23–01 並於 2023 年 4 月 3 日生效的新指引要求聯邦民事行政部 (FCEB) 機構每 7 天執行一次自動資產發現,此發現必須涵蓋該機構使用的整個IPv4空間,此外,該指令要求FCEB機構每14天對所有發現的資產(包括所有發現的nomadic/roaming設備)啟動漏洞枚舉,CISA 了解,在某些情況下,可能無法在 14 天內完成對整個企業的全面漏洞發現。但是,它補充說,仍應定期啟動枚舉過程,以確保能定期掃描機構內的所有系統,並在發現後的72小時內自動將漏洞枚舉結果導入在機構的連續診斷和緩解(Continuous Diagnostics and Mitigation-CDM)儀表板,以利向CISA提供有關資產和漏洞資訊。根據指引,由於已得到Improving the Nation’s Cybersecurity(改善國家網路安全)行政命令的授權,到 2023 年 4 月 3 日,聯邦機構和 CISA 將通過 CDM 計劃部署更新的 CDM 儀表板配置,使 CISA 分析師能夠存取漏洞枚舉數據。

CISA 表示BOD 23–01指引,可確保資產管理和漏洞檢測實踐,從而增強其組織的網路彈性,並補充說這將有助於縮小攻擊面的差距。 BOD 23–01的目標是維護最新的網路資產清單,識別軟體漏洞,跟踪機構的資產覆蓋範圍和漏洞徵,並在規定的時間間隔內將該資料分享給 CISA。CISA主任 Jen Easterly在一份聲明中說,威脅行為者繼續瞄准我們國家的關鍵基礎設施和政府網路,以利用未知、未受保護或保護不足的資產中的弱點,Easterly表示了解網路上的內容是任何組織降低風險的第一步。

雖然該指令是對聯邦民事機構的授權,但 CISA仍敦促所有企業,包括私營實體和州政府,審查和實施嚴格的資產和漏洞管理計劃。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

研究人員警告Microsoft Exchange Server中存有新的零時差漏洞,並已被駭客實際開採

越南資安公司 GTSC 警告說,在Microsoft Exchange Server 中發現了新的零時差漏洞,這可導致遠端程式碼執行(RCE),GTSC 的 SOC 團隊在周四的一篇博客文章中詳細介紹了先前未披露的Exchange 漏洞及其臨時遏制計劃,以幫助其他人在微軟提供官方修補之前阻止攻擊。GTSC在8月份為客戶提供服務時,首次發現該漏洞在 IIS 日誌中以與ProxyShell 漏洞相同的格式發出漏洞利用嘗試。雖然該公司在發現零時差漏洞後不久就聯繫了Zero Day Initiative (ZDI) 漏洞懸賞計畫,以便與微軟合作,盡快準備好修補,然而到目前為止,GTSC 已經看到其他客戶系統正在被這個 0-day 漏洞攻擊。另外,這兩個漏洞尚未正式分配CVE標識符(CVE ID),但被ZDI跟踪為ZDI-CAN-18333(CVSS 分數:8.8)和ZDI-CAN-18802(CVSS 分數:6.3)。

GTSC表示,成功利用這些漏洞可能會被濫用以在受害者的系統中建立立足點,從而使攻擊者能夠投放Web shell並在受感染的網路中進行橫向移動

GTSC 的紅隊確認如何利用該漏洞存取 Exchange後端的組件並執行 RCE,但並未公佈這些技術的細節。然而,GTSC確實表示它記錄了攻擊以收集資料並在受害者系統中建立立足點,檢測到大部分被混淆的 Web shel​​l 被採用到 Exchange伺服器,同時GTSC檢測到攻擊者使用了Antsword,這是一個基於中文的開源跨平台網站管理工具,支援 Web shell 管理。GTSC推測,由於 Web shell 的簡體中文編碼,攻擊可能源自中國駭客組織。攻擊中還部署了China Chopper web shell,這是一個輕量級後門,可以授予持久遠端存取權限,並允許攻擊者隨時重新連接以進行進一步利用。

值得注意的是,去年ProxyShell 漏洞遭到廣泛開採時,Hafnium 也部署了China Chopper web shell ,Hafnium 是一個在中國境外運營的APT駭客組織。

GTSC 觀察到的進一步利用後活動包括將惡意 DLL 注入內存,使用 WMI 命令行 ( WMIC ) 實用程式在受感染的伺服器上丟棄和執行額外的payloads。

據悉該漏洞利用分為兩個階段:

1.與 ProxyShell 漏洞格式類似的request: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com。

2.使用上面的連結存取可以實現 RCE 的後端組件。

研究人員說:“這些 Exchange 伺服器的版本表明已經安裝了最新的更新,因此不可能利用 ProxyShell 漏洞進行利用。

可用的臨時緩解措施:

在 Microsoft 發布安全更新以解決這兩個零時差漏洞之前,GTSC共享臨時緩解措施,通過使用 URL 重寫規則模組添加新的 IIS 伺服器規則來阻止攻擊嘗試:

1. 在前端的自動發現中,選擇選項卡 URL 重寫,然後選擇請求阻止。

2. 將字串“ .*autodiscover\.json.*\@.*Powershell.* ”添加到 URL 路徑。

條件輸入:選擇 {REQUEST_URI}

3. GTSC 補充說:“我們建議全球所有使用 Microsoft Exchange Server 的組織/企業盡快檢查、審查和應用上述臨時補救措施,以避免潛在的嚴重損害。”

想要使用此漏洞檢查其 Exchange伺服器是否已被入侵的管理員可以操作以下 PowerShell 命令來掃描 IIS 日誌檔案以查找入侵指標:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0又出手,台灣某上市軟體系統整合商遭殃;台灣跨國上市網通品牌疑遭駭客組織SiegedSec入侵

上市公司資安事件頻傳,落實資安管理與防護為當務之急!

某上市軟體系統整合商被列入LockBit3.0受害者名單

竣盟科技最近觀察到多起對台灣上市企業網路攻擊的情形,包含台灣某上市軟體系統整合商( System Integration-SI) 勒索軟體LockBit3.0加密;上市網通大廠遭駭客組織SiegedSec攻擊,226份檔案遭外洩,及上週某上市半導體遭勒索軟體LockBit3.0入侵。

根據NCC 集團全球威脅情報團隊發布的研究,勒索軟體LockBit 3.0 佔 8 月份所有攻擊事件的40%,是當月威脅最大的勒索軟體,共涉及 64 起事件。

據觀察,典型的 LockBit 3.0 攻擊過程包括:

*透過受感染的電子郵件附件、種子網站或惡意廣告來散播勒索軟體 LockBit 3.0。

*LockBit 3.0 感染受害者的設備,加密檔案,並將加密檔案的副檔名改為“HLjkNskOq”。

*然後需要一個稱為“-pass”的命令行參數密鑰來執行加密。

*LockBit 3.0建立多個線程同時執行多個任務,從而可以在更短的時間內完成數據加密。

*LockBit 3.0 刪除了某些服務或功能,使加密和洩露過程變得更加容易。

*API用於隱藏服務控制管理器數據庫存取。

*受害者的Desktop桌布會更改,以便他們知道自己受到攻擊。

駭客組織SiegedSec在Telegram上發布上市網通大廠的相關資料

另外,本週觀察到某網通大廠遭SiegedSec攻擊,被盜兩百多個檔案,當中包含工具跟設定檔和韌體更新等檔案,SiegedSec在其Telegram頻道上發布從該網通大廠盜竊得來的資料的Mega連結,任何加入這個頻道的人,都可任意下載。根據The Tech Outlook的報導,SiegedSec 是一個很小且很新的駭客團體,但成員遍布全球。該團體成立於 2022 年初,以偷竊數據為目標,攻擊時不會佈勒索軟體加密受害系統,SiegedSec因攻擊韓國IT監控服務公司WhaTap並從WhaTap儀表板刪掉其項目而得外界關注,此次被SiegedSec攻擊的網通大廠為第二家台灣廠商,2022 年6月,一家台灣電信公司也曾遭SiegedSec入侵並外洩數據。

台灣上市公司遭受駭客攻擊的情況愈演愈烈,竣盟科技建議您:

*通過關閉或強化 RDP、計劃如何以及何時進行安全更新以及培訓用戶發現惡意電子郵件來避免最初的存取。

*通過使用最小權限原則、分割您的網路和部署 EDR,使權限升級和橫向移動盡可能困難。

*使用可以識別勒索軟體並有回滾保護機制的反惡意軟體解決方案。

*使用攻擊者無法觸及的異地離線備份確保數據安全。

*接受即使有最好的防禦,入侵行為仍然可能發生,而準備災難復原計畫

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

竣盟科技在9月20日在LockBit的揭秘網站上,驚見又一台灣上市半導體被列為受害者,該企業位於新竹科學園區是我國半導體重鎮的知名廠商,以再生晶圓及晶圓薄化起家。

目前,LockBit勒索軟體集團聲稱在9/19成功加密該半導體大廠並給予8天的談判時間,如果在9/28前未付贖金將公布所有盜竊得來的數據。資安研究員 Dominic Alvieri也在其推特上公佈這家台灣半導體

LockBit發出第一筆Bug Bounty獎金

最近,LockBit公告已發出第一筆Bug Bounty的獎金,據悉此筆金額為5萬美元,挖掘漏洞為一名暱稱叫Aussie的駭客,發現了LockBit加密算法存在漏洞可允許恢復特定檔案類型,主要是 VHDK、VMDK 和備份檔案,目前LockBit已修補好該漏洞。

本週,BleepingComputer報導,有人在Twitter上散布勒索軟體LockBit 3.0(又稱LockBit Black)的產生器(Builder),該產生器包含受密碼保護的7z archive “LockBit3Builder.7z”,檔案包含:

Build.bat;

builder.exe;

config.json;

keygen.exe.

LockBit的產生器流程圖

根據Bleeping Computer,已證實此勒索軟體產生器確實是LockBit所持有的檔案,據悉是由對LockBit組織心懷不滿的開發者所外洩的。這些檔案在不久的將來很可能被其他駭客利用,對防守者將帶來更大的威脅。該產生器由四個檔案組成,其中之一是“config.json” 檔案。駭客可以通過多種方式存取它並自訂義加密器,包括修改贖金記錄、更改配置選項、決定停止哪些進程和服務,甚至指定加密器的C2伺服器。

BleepingComputer在測試產生器時,能夠輕鬆地對其進行修改,以利用他們的本地的C2伺服器,加密數據及解密數據。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1     

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”