隨著COVID-19疫情持續蔓延,有證據發現北韓APT組織Lazarus Group(拉撒路小組)試圖竊取COVID-19研究和疫苗開發,攻擊研究實體!

於2020年秋季,卡巴斯基的全球研究與分析團隊(GReAT)發現了兩個針對與COVID-19的研究組織被國家級駭客組織攻擊(APT)。駭客的攻擊目標是一個國家的中央衛生部和製藥公司,GReAT研究人員追踪臭名昭著的北韓APT組織Lazarus Group(拉撒路小組) 發動了這次的攻擊,攻擊了參與COVID-19研究和疫苗開發的組織,以加快其國疫苗開發的速度。

拉撒路小組攻擊的關係

研究專家Seongsu Park在APT報告中說,拉撒路小組分別於9月和10月滲透了一家製藥公司和政府衛生部的網路,但沒有透露具體的目標實體,僅表示該製藥公司於2020年9月25日遭到入侵,一個月後的10月27日政府衛生部遭到攻擊。

值得注意的是,拉撒路小組部署的“ BookCodes ”惡意軟體,該惡意軟體最近在韓國軟體公司WIZVERA的供應鏈攻擊中被用於安裝在目標系統的遠端管理工具(RAT)上。 BookCodes為Lazarus專門使用的惡意軟體, 在進入受害者的網路後,北韓的駭客部署了BackCodes和具有後門功能的wAgent惡意軟體。

這兩種攻擊利用了重疊程度不大的不同惡意軟體,但研究專家可以確認他們都與拉撒路小組有聯繫,並且在post-exploitation中發現了重疊。

攻擊衛生部的最終payload是wAgent惡意軟體,它是一種旨在從C2部署其他payload,包括持久的後門並將其加載到受感染系統的內存中。在10月27日發生的攻擊中,使用的wAgent惡意軟體“具有與拉撒路小組先前用於攻擊加密貨幣搶劫案的相同惡意軟體的程式語言”。

在9月25日針對製藥公司的攻擊中,拉撒路小組使用Bookcode惡意軟體收集系統資訊,包含Sam dump中密碼的hash和AD資訊。

即使在過去,駭客組織在供應鏈攻擊和通過魚叉式網路釣魚部署惡意軟體,但沒有發現其初始的攻擊媒介。

Kaspersky沒有透露遭受攻擊的製藥公司的身份,但他們確實透露了該公司有參與COVID-19疫苗的開發,並且也“被授權生產和分發COVID-19疫苗”。目前只有在美國,英國,俄羅斯,中國等國家的製藥組織開發的COVID-19疫苗達到授權/批准狀態(因此受害製藥公司必在其中):

輝瑞-BioNTech

莫德納 Moderna

武漢生物製品研究所

Gamaleya研究所

北京生物製品研究所

俄羅斯聯邦預算研究機構病毒與生物技術國家研究中心

Kasperky安全專家Park補充說:“這兩個事件表明拉撒路小組對與COVID-19有關的情報感興趣。” “我們認為,目前參與疫苗研究活動的所有實體都應高度警惕網路攻擊。”

Lazarus Group針對COVID-19相關研究發動的攻擊有關情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fe36c30dbe6a83c04783415

Resource: https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

*****竣盟科技快報歡迎轉載,但請註明出處

美國參議員Ron Wyden在其Twitter上表示,美國數十個財政部(US Treasury) 的Email帳戶已被攻擊SolarWinds的背後駭客入侵。

參議員Ron Wyden“我非常擔心財政部被入侵事件。駭客存取了數十個電子郵件帳戶,其破壞程度尚不清楚。現在該認真考慮網路安全,並結束任何削弱加密的計劃。”該Twitter發文是在美國財政部和美國國稅局(Internal Revenue Service)向委員會通報SolarWinds供應鏈攻擊事件後發布的。雖然沒有證據表明美國國稅局本身或任何納稅人的數據在這次持續的攻擊活動中遭到破壞,但這位參議員說,“財政部被駭客入侵意味相對重大。”

數十個美國國庫電子郵件帳戶被盜

“根據財政部的工作人員,該機構遭受了嚴重的入侵,在7月開始,但其深度尚不清楚”,Wyden說: “Microsoft通知財政部,發現它們有數十個email帳戶被盜。”

這位參議員還補充說,SolarWinds供應鏈攻擊的背後駭客還入侵了美國財政部部門最高官員辦公室的系統,Wyden說:“財政部仍然不知道駭客的所有入侵行動,也不知道什麼資料被盜。”

在發現SolarWinds供應鏈被入侵後,多個組織包括FireEye,Microsoft,Cisco和VMware等披露了同樣遭駭客攻擊被植入了木馬程式。

微軟還透露,這一系列持續的攻擊破壞了其40多個客戶的網路,其中80%來自美國,44%來自IT部門。

FireEye更成為了攻擊者第二階段的目標,策劃攻擊的國家級駭客組織從其系統中盜取了紅隊工具。

自攻擊以來,已知受SolarWinds Orion平臺波及的組織不斷增加,目前已確認其網路遭到破壞的美國各州和政府機構:

美國財政部

美國國家電信和信息管理局(NTIA)

美國國務院

美國國立衛生研究院(NIH)(美國衛生部的一部分)

美國國土安全部(DHS)

美國能源部(DOE)

美國國家核安全局(NNSA)

美國的某些州(未披露的特定州)

有關SolarWinds供應鏈攻擊的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

*****竣盟科技快報歡迎轉載,但請註明出處

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

貨運巨頭Forward Air遭到名為Hades的新型勒索軟體入侵,目前資安專家仍沒發現該惡意軟體的樣本。

上週卡車和物流業巨頭Forward Air遭受了勒索軟體攻擊,迫使他們中斷了網路。資安媒體BleepingComputer得知Forward Air被名為Hades的新型勒索軟體所攻擊,該勒索軟體被發現於本月初才開始運作。

Hades 的Tor網站

上週Forward Air遭受了一次網路攻擊,迫使他們使系統中斷以防止攻擊蔓延。Forward Air隨後在聲明中確認了此攻擊。

在12月15日的聲明中,該公司的發言人表示,“Forward Air發現了影響某些計算機系統功能的IT安全事件。根據我們的信息安全協議,我們立即將系統下線,通知了執法部門,並聘請了一些第三方專家來協助我們進行內部調查。我們的IT團隊正在努力恢復受影響的系統和服務,並使它們盡快恢復。”

消息人士對資安媒體表示,Forward Air遭受了名為Hades新的勒索軟體的攻擊。於美國東部時間12/21/20 ,Forward Air向美國證券交易委員會提交了8-K表格,披露他們遭受了勒索軟體攻擊並稱這次攻擊背後的Hades勒索軟體大約在一周前開始以人為操縱的攻擊模式攻擊其企業。

Hades加密受害者時,建立了一個名為“ HOW-TO-DECRYPT- [extension] .txt”的勒索信,類似REvil勒索軟體使用的勒索信,如下圖。

Hades的勒索信

目前仍不知道需要多少錢來恢復檔案,也沒有找到勒索軟體的樣本。Forward Air是一家位於美國田納西州的領先貨運和空運物流公司。該公司2019年的收入為14億美元,擁有4300多名員工。

路透社今報導Microsoft同樣遭使用SolarWinds作為攻擊的俄羅斯駭客入侵,微軟證實受到供應鏈攻擊,但否認駭客轉向生產系統並濫用其軟體來攻擊客戶。

微軟已經證實他們在最近的SolarWinds供應鏈中遭到駭客攻擊,但否認他們的軟體在供應鏈攻擊中受到感染,從而感染了客戶。

在過去一週發現俄羅斯政府資助的駭客入侵了 SolarWinds,並使用其自動更新機制向客戶分發了惡意後門。該惡意軟體是一個名為Solarigate(Microsoft命名)或Sunburst(FireEye命名)的後門程式,更新到大約18,000個客戶的基礎架構中,包括美國財政部,美國NTIA和美國國土安全部等等同為受害者。

路透社在不久前於今天12月18日發布了一份報導,消息來源指出,微軟不僅在SolarWinds供應鏈攻擊受到入侵,同時也有軟體被修改為惡意檔案分發到客戶端。

微軟公司通信部副總Frank Shaw在推文中表示,”我們一直在積極尋找該攻擊者的入侵指標,可以確認的是我們在環境中檢測到到惡意的SolarWinds binary檔,並對其進行了隔離和刪除,我們未找到存取我們生產系統服務或客戶數據的證據。我們正在進行的調查也完全沒有發現我們的系統曾被用來攻擊他人的跡象。”

隨著Microsoft 證實受駭,成為另一了備受矚目的實體,實際上受害者中絕大多數是美國政府機構,例如:

美國財政部

美國商務部國家電信和信息管理局(NTIA)

衛生署國立衛生研究院(NIH)

網路安全和基礎設施局(CISA)

國土安全部(DHS)

美國國務院

國家核安全局(NNSA)(今天也已披露)

美國能源部(DOE)(今天也披露)

美國的三個州(今天也已披露)

奧斯丁市(今天也公開)

有關SolarWinds供應鏈的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

*****竣盟科技快報歡迎轉載,但請註明出處

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

另有關SolarWinds供應鏈的報導:

#情資才是王道

Microsoft(微軟) 宣布將隔離與APT駭客入侵相關的SolarWinds應用!!!

Microsoft今天宣布計劃開始強行阻止和隔離已知含Solorigate(SUNBURST)惡意軟體的SolarWinds Orion應用程式版本。

微軟的決定與上週末曝光的大規模供應鏈攻擊有關,該攻擊影響了IT軟體供應商SolarWinds。上週日一些新聞媒體報導說,與俄羅斯政府有聯繫的國家APT駭客入侵了SolarWinds,並在網路監視和庫存平台Orion的更新中插入了惡意軟體。通過SolarWinds的自動更新機制將惡意binary檔分發給大約18,000個客戶,其中包括許多美國政府機構。威脅參與者使用這些惡意binaries檔安裝了稱為Solorigate(Microsoft)或SUNBURST(FireEye)的後門

新聞報導發布後不久, SolarWinds確認 在2020年3月至2020年6月之間發布的Orion應用程式2019.4至2020.2.1版本已被惡意軟體篡改。

根據公司的正式聲明,Microsoft是最早確認SolarWinds事件的網路安全供應商之一。在同一天,該公司為SolarWinds Orion應用程式中包含的Solorigate惡意軟體添加了檢測規則 。

儘管Microsoft已經在檢測並隔離後門程式,但他們尚未隔離受感染的SolarWinds的binary檔,因為它可能會影響客戶使用的基本網路管理操作。

由於該木馬軟體帶來的威脅,Microsoft已宣布,從明天(太平洋標準時間)12月16日上午8:00開始,Microsoft Defender將開始隔離受損的SolarWinds的 binary檔。

Microsoft Defender將受感染的SolarWinds的 binary檔檢測為“ Trojan:MSIL / Solorigate.BR!dha”。

Microsoft還建議將所有運行SolarWinds軟體的

伺服器與其他環境隔離開來,並在重新使用之前徹底調查惡意軟體。

建議執行以下步驟:

*立即隔離受影響的設備。如果啟動了惡意程式,則設備很可能受到攻擊者的完全控制。

*確定受影響的設備上已使用的帳戶,並認為這些帳戶已被盜用。重置密碼或停用帳戶。

*調查受影響的端點可能是如何受到威脅的。

*使用受損帳戶之一調查設備時間軸以指示橫向運動活動。檢查攻擊者可能已放棄使用其他工具來啟用憑據訪問,橫向移動和其他攻擊活動。

有關SolarWinds供應鏈的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

*****竣盟科技快報歡迎轉載,但請註明出處

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

#情資才是王道

FireEye 攻擊事件後續追蹤, 證實為 SolarWinds 的供應鏈攻擊事件.

美國資安大廠FireEye被駭後,現如雪球般愈滾越大,發現SolarWinds的Orion監控平台被攻擊者篡改,已知的受害者包括美國財政部,電信資訊署(NTIA)和FireEye本身。攻擊者利用SolarWinds供應鏈部署了SUNBURST後門攻擊全球多個目標!!!

美國安全公司FireEye今天(美國時間12月13日)表示,證實了先前的懷疑,在SolarWinds Orion發現了一個供應鏈攻擊,國家級駭客組織已將Orion的商業軟體更新並木馬化,以進行分發惡意軟體並感染多個美國公司和政府網路。FireEye 的報告是在路透社,華盛頓郵報和華爾街日報於週日報導美國財政部和美國商務部電信資訊署(NTIA)遭到入侵之後發布的。

一張含有 文字 的圖片

自動產生的描述

聯邦機構受害者使用的IT公司SolarWinds說,“一個國家級駭客組織對美國進行了高度複雜,有針對性的手動供應鏈攻擊”攻擊了今年早些時候其Orion IT監控平台發布的軟體更新。另FireEye說 ,SolarWinds供應鏈的攻擊也是駭客入侵FireEye的路徑。

SolarWinds總裁兼首席執行長Kevin Thompson的一份聲明說,該公司“意識到潛在的漏洞,目前認為該漏洞與2020年3月至2020年6月之間發布的Orion監控產品更新有關。”

路透社報導說,這一事件被認為非常嚴重,以至於美國國家安全委員會在星期六在白宮舉行罕見的會議。據路透社報導,美國政府機構,包括財政部和商務部,受到此嚴重的攻擊,以至於國家安全委員會在周六開會討論該事件。

華盛頓郵報還說,國家級駭客對SolarWinds產品的攻擊是由俄羅斯駭客組織APT29,又名舒適熊(Cozy Bear)犯下的。美國政府官員已承認這些攻擊事件,但未提供更多細節。

FireEye表示,它“已在全球多個實體中檢測到此活動”。受害者包括北美,歐洲,亞洲和中東的政府,諮詢,技術,電信等等實體。我們預計其他國家和地區還會有其他受害者。”

FireEye將這種惡意軟體命名為SUNBURST,並於今天早些時候發布了技術報告以及 GitHub上的檢測規則和反制措施

微軟將其命名為Solorigate惡意軟體, 並為其Defender防病毒軟體增加了檢測規則。

利用SolarWinds供應鏈和SUNWINRST後門來攻擊多個全球目標的有關情資: 
https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

全球最大的資安公司之一FireEye披露內部資安事件,被APT駭客入侵,紅隊工具被偷取

FireEye是許多美國聯邦機構和州選擇的資安公司,並與FBI和美國國家安全局合作,在今天資安公司FireEye首席執行長Kevin Mandia表示其內部系統被一個擁有頂級進攻能力的威脅參與者針對性的攻擊。攻擊者鎖定了目標並竊取了FireEye用於測試其客戶網路的紅隊工具,並且有可能針對同一位客戶或其他客戶,在尋求與某些政府客戶有關的資料。

在FireEye攻擊中,駭客竭盡全力避免被人看見,建立了數千個IP address(其中許多在美國),以前從未在攻擊中使用過。利用這些IP address進行攻擊,可以使駭客更好地隱藏其下落。由於這種攻擊的複雜性,FireEye表示該攻擊“與多年來我們應對的數以萬計的事件有所不同” 。“

Mandia補充說:“攻擊者量身定制專門針對FireEye的攻擊,他們似乎在操作安全方面接受了嚴格的培訓,並表現出紀律與專心。他們秘密採取行動,使用應對資安工具和鑑識檢查的方法。他們使用了我們或我們的合作夥伴過去從未見過的新穎技術組合。”

FireEye沒有透露它認為哪個國家APT駭客攻擊了他們,但是《華盛頓郵報》 和《華爾街日報》 報導說,聯邦調查人員以不願透露姓名的消息來源為由認為是俄羅斯。

根據FireEye的說法,入侵者偷走了紅隊工具,並向FireEye的政府客戶(有很多)尋求資料。該公司表示,已發布了的IOC並還制定了對策,可以檢測或阻止被盜的Red Team工具的使用,這些對策也可以在GitHub上獲得,以防攻擊者決定重用它們。

關於FireEye紅隊工具對策的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fcfeee9a2d10a389ab72630

*****竣盟科技快報歡迎轉載,但請註明出處

#情資才是王道

國外資安媒體報導富士康遭駭,勒索金額又創新高,被DoppelPaymer勒索三千四百萬美元!!!

在11月29日,感恩節週末,DoppelPaymer勒索軟體的背後駭客加密了富士康墨西哥工廠的系統(位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG MX設施)。該工廠於2005年開業,富士康將其用於向南美洲和北美洲的所有地區組裝和運輸電子設備,駭客聲稱在加密目標系統之前已經竊取了未加密的檔案。富士康在全球擁有80萬名員工,2019年的收入為1,720億美元。DoppelPaymer在其揭秘網站上聲稱:

-已加密約1,200台伺服器

-竊取了100 GB的未加密檔案

-刪除的20-30 TB備份

在DoppelPaymer的揭秘網站上已上載了部分富士康的數據,屬於富士康NA的檔案。

DoppelPaymer網站上富士康的頁面

DoppelPaymer對富士康的勒索信,勒索信說:“如果在3個工作日內沒有聯繫,則第一部分數據將被公開。” 鑑於最後期限是上週,富士康有可能已經聯繫了駭客。勒索信中包含一個指向DoppelPaymer Tor付款站,含富士康頁面的鏈接,DoppelPaymer索要1804.0955 BTC的贖金,按今天的比特幣價格計算,約為34,686,000美元。

資安媒體BleepingComputer報導了這次攻擊的消息並稱“洩漏的數據包括通用業務文檔和報告,但不包含任何財務資料或員工的個人詳細資料。” DoppelPaymer向媒體表示:“我們加密了北美廠區,並非整個Foxconn,大約是1200-1400台服務器,並且不只工作站,還有大約75TB的雜項備份,我們銷毀了大約20-30TB的數據。” 此次之前,DoppelPaymer也曾攻擊仁寶電腦

關於DoppelPaymer的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d9378b8f36a91c436c5f93c

https://otx.alienvault.com/pulse/5d2c622be8a567f673db85cd

*****竣盟科技快報歡迎轉載,但請註明出處

#情資才是王道

被形容為將是2021年最大威脅的勒索軟體Egregor又來了,加拿大的大溫哥華的公共交通系統TransLink遭到Egregor的攻擊導致服務和支付系統中斷!!!

TransLink的CEO-Kevin Desmond在周四晚間的媒體發布中證實了這次的攻擊。Egregor勒索軟體的背後駭客聲稱他們已竊取了私人數據。這大有可能是Egregor首次攻進加拿大。

幾天來,TransLink的 IT系統一直出現問題,這已經影響了電話,線上服務以及不能使用信用卡/預付卡付款公交票價。

據當地媒體Global News獲得Egregor遠端控制印表機列印出給TransLink的勒索信,信中寫道:“您的網路已被攻擊,您的電腦和伺服器已被加密,您的私人數據已被下載….”

TransLink今天恢復了支付服務後,TransLink確認中斷是由勒索軟體攻擊引起的。Egregor是目前會遠端遙控受害企業的印表機, 並不斷印出勒索信的勒索軟體攻擊者。此次之前智利零售巨頭Cencosud也遭Egregor加密並被遠端控制在其下商店的印表機中不斷勒索信。

Translink不能使用電子支付(只接現金)的影片:

https://globalnews.ca/video/rd/f487672a-3502-11eb-be2d-0242ac110005/?jwsource=cl

關於Egregor的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載,但請註明出處

更新:Global News的記者Jordan Armstrong取得Egregor遠端控制印表機瘋狂列印給TransLink勒索信的影片:

https://twitter.com/i/status/1335007775437582336

研究人員發現了偽裝成合法工具的新型NPM惡意軟體包,安裝了njRAT遠端木馬程式能使駭客控制電腦

JavaScript庫的NPM 儲存庫背後的安全團隊於本週一刪除了兩個NPM惡意軟體包,它們包含惡意程式碼,這些惡意程式在從事JavaScript項目的開發人員的電腦上安裝了遠端訪問木馬(RAT)。

這兩個軟體包的名稱分別為 jdb.js 和 db-json.js,它們都是由同一位作者建立的,並被描述為幫助開發人員處理通常由數據庫應用程式生成的JSON files的工具。

NPM上的JsonDB(db-json.js)軟體包

上週,這兩個軟體包都已上載到NPM儲存庫索引中,並在被Sonatype研究人員發現之前已下載了100多次。

該jdb.js軟體包,包括於執行被感染的機器和數據收集的基本偵察的腳本。該腳本嘗試下載並執行一個名為patch.exe的檔案,該檔案用於安裝 njRAT遠端木馬程式。

Sonatype的研究人員注意到,patch.exe加載程式還通過添加一條規則來修改本地Windows防火牆,該規則將其C2伺服器列入了白名單,然後再連接以下載最終的RAT。

第二個軟體jdb.js僅包含加載jdb.js的code。db-json.js軟體包加載了第一個軟體包, 以掩蓋其惡意行為。

安裝了上述軟體包之一的開發人員必須考慮其系統已完全受到威脅,建議立刻刪除。

在過去的一年中,找到安裝惡意軟體或執行惡意行為的NPM軟體包變得越來越普遍,開發人員必須密切注意其整合到項目中的軟體包,所幸的是NPM安全人員已刪除了兩個包含惡意程式碼的軟體包。

有關於新型NPM惡意軟體包的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc6ab6018f3df050d9019c6

*****竣盟科技快報歡迎轉載,但請註明出處