竣盟科技 - Billows 技術/情資訊息分享

中國間諜工具軟體的程式碼是從美國國家安全局（NSA）複製而來的!!!

Posted on 2021 年 2 月 23 日2021 年 2 月 23 日 by blogadmin

以色列資安研究人員於2月22日聲稱，中國國家級駭客組織APT31盜用了最初由美國國安局旗下的Equation Group開發的軟體程式碼，進行駭客行動。Check Point週一發布的報告，指這份程式碼和中國有關的惡意軟體Jian「箭」的部分功能非常相似，而「箭」與美國國安局於2017年被盜並被放在網路上散播的網路攻擊工具非常相似。

Amazing research by @megabeets_ and @EyalItkin revealing how American exploits potentially leaked over to China – years before anyone ever heard of the Shadow Brokershttps://t.co/C50ReDcXPR
— Yaniv Balmas (@ynvb) February 22, 2021

Checkpoint研究負責人Yaniv Balmas稱「箭」為山寨(Copycat) 和中國複製品(Chinese replica)，積極使用了美國國安局旗下的網路攻擊組織（Equation Group）的攻擊工具程式碼“ EpMe”。

據Zdnet援引Checkpoint說，中國APT31的「箭」和美國的Equation Group的「EpMe」都是為了提升攻擊者在本地Windows環境中的許可權。這一工具是在攻擊者獲得最初存取目標電腦的許可權後（例如通過釣魚郵件等）使用的，授予攻擊者最高的權限，這樣他們就可以在已經受感染的電腦上為所欲為。據報導，這兩個組織，中國的APT31和美國的Equation Group利用了當時未知的Windows漏洞（CVE-2017-0005），為了”提高受感染機器上攻擊者的特權”。

報告提到，中國駭客組織有可能是在Equation Group攻擊中國目標時取得了程式碼，也可能是在其攻擊Equation Group的基礎建設時捕獲了程式碼。研究還提到，APT31利用「箭」，在2015年至2017年3月期間進行了網路攻擊，直到Microsoft修補了它利用的漏洞。據研究人員稱，箭是“EpMe”的山寨，該產品也被包括在2017年 Shadow Brokers的“ Lost in Translation”資料外洩中，並被“重新設計”來攻擊美國公民。

專家認為美國間諜應該投入更多資源來修復軟體的缺陷，而不是開發和部署惡意軟體來進一步利用它。Broadcom旗下的資安公司Symantec在2019年類似的事件報告中表示，NSA多年來一再失去對自己惡意軟體的控制

美國國安局和華盛頓的中國大使館沒有對Checkpoint報告發表評論。

有關情資，請連結竣盟科技代理的 AlienVault OTX 情資平台:

https://otx.alienvault.com/pulse/6033e08d756155d3fc8d8f1c

*****竣盟科技快報歡迎轉載，但請註明出處。

Source:

https://research.checkpoint.com/2021/the-story-of-jian/

美國聯邦檢察官指控三名北韓Lazarus Group的駭客共謀竊取超過13億美元

Posted on 2021 年 2 月 19 日2021 年 2 月 19 日 by blogadmin

美國司法部於美國時間昨天2月17日正式指控3名北韓國家級駭客，3名駭客分別是36歲的樸金赫(Park Jin Hyok)、31歲的鍾昌赫(Jon Chang Hyok)和27歲的金日(Kim Il)，根據起訴書他們均效力於北韓情報機構北韓偵察總局，同為Lazarus Group駭客集團的成員，指控他們串謀發起一系列大規模駭客攻擊，從金融機構和企業竊取和勒索13億美元以上的現金和加密貨幣，從以獲得資金來支持北韓政權。起訴書也稱，3名駭客密謀開發和發布惡意加密貨幣應用程式。

根據起訴書，三人有時駐紮在北韓以外的其他國家，包括俄羅斯和中國。由於西方的制裁削弱了北韓的經濟，司法部警告說，北韓正在開發一些先進的能力來線上竊取金錢。其中一位駭客是北韓情報機構的官員樸鎮赫（Park Jin-hyok），在2018年朴鎮赫(Park Jin Hyok ，譯音)被控犯下2014年美國索尼影業公司（Sony Pictures）遭駭案、製作勒贖軟體WannaCry，以及2016年從孟加拉央行竊取8100萬美元等。

這次新增兩名被告─鍾昌赫（Jon Chang Hyok，譯音）和金日（Kim Il，譯音），他們也與朴鎮赫在北韓軍事情報機構的偵察總局（Reconnaissance General Bureau）工作。這三人被指控開發了幾種惡意的加密貨幣應用程式，這為它們提供了進入受害者電腦的後門。他們通過加密貨幣搶劫獲得了至少1.12億美元的收益。其中包括2017年來自斯洛文尼亞加密貨幣交易所的7500萬美元; 2018年從印尼交易所獲得近2500萬美元; 以及八月份來自紐約一家金融服務公司的1,180萬美元，駭客在其中利用CryptoNeuro Trader應用程式作為後門。

他們還被指控針對美國國防承包商，能源，航空航天和技術公司以及國務院和五角大樓進行魚叉式網路釣魚(Spear phishing)活動駭入受害電腦。另外，他們建立了一個假的加密貨幣公司並發布Marine Chain Token。美國司法部表示，該計劃允許用戶通過加密貨幣token購買海上船隻的所有權，從而使北韓能夠獲得投資者資金並繞過美國的制裁。

美國助理司法部長John Demers表示，北韓駭客使用鍵盤而非槍枝，竊取加密貨幣而非直接搶劫現金，形容他們是世界上最大的銀行搶劫犯和帶有國旗的犯罪集團。

除了美國司法部的指控外，美國國土安全部網路安全暨基礎安全局（CISA）昨天還發布了有關AppleJeus惡意軟體的報告， AppleJeus是 Lazarus Group在攻擊行動目標大多與加密貨幣實體相關使用的惡意軟體。

有關AppleJeus惡意軟體的情資

https://otx.alienvault.com/pulse/602d5044d7b695af9c39ce5f

有關Lazarus Group的情資

https://otx.alienvault.com/pulse/5f453929b07a627ecdfd9af9

https://otx.alienvault.com/pulse/601052e27a2c451b3ba5ed31

https://otx.alienvault.com/pulse/60103a3268891c63b1f24d74

Source:

https://www.justice.gov/usao-cdca/press-release/file/1367721/download

https://www.justice.gov/opa/pr/three-north-korean-military-hackers-indicted-wide-ranging-scheme-commit-cyberattacks-and

起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元，關鍵性IT被破壞，網路廣泛性斷線，影響其UVO link的行動應用程式，支付系統，電話服務及入口網站等的運作

Posted on 2021 年 2 月 18 日2021 年 2 月 19 日 by blogadmin

Kia汽車製造商似乎陷入了困境，Kia的線上服務已與外界隔離開來，客戶無法通過起亞的應用程式遠端啟動汽車，甚至無法登錄該公司的繳費網站來支付賬單，所有跡像都表明很可能已遭勒索軟體攻擊，而這正是外媒BleepingComputer的報導，起亞汽車美國公司遭受了DoppelPaymer勒索軟體的入侵，使用DoppelPaymer的駭客組織要求支付2000萬美元的贖金，並換取不洩漏盜來的數據。

起亞的關鍵連接服務呈現離線狀態，起亞汽車用戶受到影響

@Kia this is absolutely unacceptable during these conditions. I pay good money for this monthly and you’ve failed me in a time of need. #IceStorm pic.twitter.com/OrWHn8unVW
— Ryan Epling (@bigeps) February 15, 2021

起亞對用戶道歉，承認登錄UVO應用或發送command受影響

We apologize we are having server issues that may affect your ability to login to the UVO app or send commands. We are working to resolve it as quickly as possible. An update will be provided as soon as possible. Thank you for your patience. ^RM
— Kia Motors America (@Kia) February 15, 2021

BleepingComputer的報導指出，駭客其實針對起亞的母公司現代汽車，但到目前為止，現代汽車似乎未傳出受到影響。

在一個Tor受害者付款頁面上，駭客稱從起亞汽車美國盜竊了大量數據，如果該公司不進行談判，它將在2-3週內發布。

據報導，為了防止起亞的數據外洩並提供解密工具，DoppelPaymer目前要求贖金為2000萬美元；如果沒有在特定時間範圍內支付贖金，金額將增加到600比幣，即3000萬美元。

另外，起亞汽車美國公司對Bleeping Computers的報導發布了聲明說：

“ KMA意識到涉及內部，經銷商和面向客戶的系統（包括UVO）的IT中斷。對於給客戶帶來的任何不便，我們深表歉意，並致力於解決問題並儘快恢復正常的業務運營。” –起亞汽車美國公司。”

過去受DoppelPaymer攻擊的其他知名受害者包括富士康，仁寶， PEMEX（墨西哥石油公司），加利福尼亞的托倫斯市City of Torrance，紐卡斯爾大學Newcastle University，喬治亞州的霍爾縣(Hall County)，Banijay Group SAS和不列塔尼(Bretagne)電信公司等

起亞汽車美國公司的全國性斷網從美國時間上禮拜六開始直至目前其網站仍未回復正常

關於DoppelPaymer的情資就在竣盟科技代理的 AlienVault OTX 情資平台上：

https://otx.alienvault.com/pulse/5fc942dcf06229396d3afec0

https://otx.alienvault.com/pulse/5d9378b8f36a91c436c5f93c

https://otx.alienvault.com/pulse/5d2c622be8a567f673db85cd

*****竣盟科技快報歡迎轉載，但請註明出處

#情資才是王道

Source: https://www.bleepingcomputer.com/news/security/kia-motors-america-suffers-ransomware-attack-20-million-ransom/

Accellion安全檔案傳輸服務商的客戶被CL0P勒索軟體入侵，包含新加坡電信公司SingTel，美國驗船協會，法律事務所Jones Day等被CLOP列為最新受害公司！

Posted on 2021 年 2 月 17 日2021 年 2 月 17 日 by blogadmin

CL0P勒索軟體揭秘網站上的五個最新受害者有兩個共同點。第一，最明顯的是，他們被CL0P勒索。第二，他們使用了Accellion安全檔案傳輸服務，以傳送分享大型檔案。

Accellion Inc.在2月1日宣布，其Accellion FTA是一個複雜的網路攻擊的目標。該公司表示，所有FTA客戶都已在12月23日立即收到攻擊通知。

上週，新加坡國有電信公司SingTel，美國驗船協會( American Bureau of Shipping)，律師事務所Jones Day，總部位於荷蘭的Fugro和生命科學公司Danaher被添加到CL0P的揭秘網站。以上五家被駭公司都使用web portal讓客戶或第三方使用Accellion檔案傳輸服務發送或接收大型檔案。

CL0P勒索軟體公開有關Singtel資料的頁面，紅下劃線為五個最新受害公司，他們同時為Accellion的客戶。

目前還不知道CL0P勒索軟體在對Accellion客戶的攻擊中起了什麼作用。或是Clop勒索軟體的駭客可能只是在幫助其他攻擊者從而盜竊數據來獲利。另外，CLOP的背後駭客告訴《華爾街日報》，它直接入侵了律師事務所Jones Day的伺服器，並且沒有參與Accellion的攻擊。

Screenshot credit: DataBreaches.net

無論哪種方式，對於Accellion客戶來說都是一個不好的兆頭。本週，新加坡電信，美國科羅拉多大學和澳洲昆士蘭醫學研究組織QIMR Berghofer Medical Research Institute公開披露了其為Accellion檔案傳輸服務漏洞的受害者。

在2020年10月攻擊了德國企業軟體巨頭Software AG ，在11月加密韓國零售巨頭E-Land，勒索了龐大的贖金。

CLOP勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

法國政府網路安全設備的主要供應商Stormshield遭駭，揭露包含防火牆原始碼被盜

Posted on 2021 年 2 月 5 日 by blogadmin

Key Points:

法國防火牆廠商Stormshield透露他們的系統遭到了駭客攻擊
攻擊者不法存取了該公司技術支援的portal權限
竊取了客戶的數據
還竊取了其Network Security防火牆的原始碼

Stormshield公告遭駭客入侵，作為入侵的一部分，攻擊者設法竊取了Stormshield Network Security（SNS）防火牆的部分原始碼，該產品是獲經認證可在法國政府的敏感網路中使用的。該公司表示，正在與法國國家網路安全局(ANSSI)一起調查此事件，該機構目前正在評估該漏洞對政府系統的影響。這起惡意攻擊，揭示駭客發現了防火牆的漏洞，而這些漏洞可能會在以後的攻擊中被利用，或者用於建立惡意更新。Stormshield事件目前被視為法國政府內部的重大安全漏洞。ANSSI官員在新聞稿中表示，在調查期間以及作為預防措施，他們已決定對Stormshield SNS和SNI產品的資格和認可進行觀察。

該公司同時表示，駭客在獲得了客戶和合作夥伴使用的portal的存取後，設法竊取了數據，從而有可存取support ticket裡員工和客戶技術交流的相關內容。儘管Stormshield尚未共享有關該漏洞影響了多少客戶的詳細資料，但確實表示已通知所有可能受到影響的客戶，並且所有帳戶的密碼均已重置。此外，Stormshield也更改了用於對韌體更新的數位憑證。

據了解，Stormshield事件目前正朝向由國家級駭客攻擊進行調查。

今曝出中國駭客利用SolarWinds漏洞監視美國聯邦發薪機構，攻進了美政府系統

Posted on 2021 年 2 月 3 日 by blogadmin

據路透社報導，聯邦調查局發現，隸屬於美國農業部 (USDA) 的聯邦發薪機構國家財務中心 (National Finance Center) 是受SolarWinds事件影響的政府機構之一，報導說中國駭客利用了SolarWinds Corp去年製造的軟體中存在的漏洞來入侵美國政府的電腦。

自1973年以來，美國國家財務中心(NFC)為大約170個聯邦機構和65萬名聯邦僱員提供了人力資源和薪資服務，令人憂慮數以萬計的政府員工數據可能已被盜。

美國農業部確認數據外洩

據報導，用來入侵NFC系統的漏洞與可疑的俄羅斯國家級駭客用來破壞Orion軟體的更新機制以將Sunburst後門部署到SolarWinds客戶系統上的漏洞不同。這起由疑似中國的駭客集團，利用軟體漏洞展開的行動，則是另一起攻擊事件。儘管FBI和美國農業部(USDA)均拒絕提供進一步評論，但後者證實遭受了數據洩露。

農業部發言人在一封電子郵件中說：“美國農業部已通知所有客戶（其個人和組織）其數據已受到SolarWinds Orion Code Compromise的影響。”

在《路透社》報道後，農業部再發聲明表示，國家財務中心未有被入侵，且無與 SolarWinds 相關的資料數據外洩，但未有作進一步解釋。

據路透社消息人士稱，由於駭客使用的電腦基礎設施和工具與先前由中國政府支持的網路間諜相同，美國農業部機構駭攻背後的威脅者被懷疑是中國國家級的駭客組織的一部分，並認為攻擊者是在中國。

另外，確認在SolarWinds供應鏈攻擊中受到打擊的美國政府機構名單包括：

美國財政部

美國國家電信和信息管理局（NTIA）

美國國務院

美國國立衛生研究院（NIH）（美國衛生部的一部分）

美國國土安全部（DHS）

美國能源部（DOE）

美國國家核安全局（NNSA）

AT&T Alien Labs研究人員警告說，TeamTNT駭客集團已通過新增開源檢測逃避功能來升級對Linux平台的挖礦操作。

Posted on 2021 年 1 月 29 日 by blogadmin

擅長挖礦蠕蟲的TeamTNT駭客集團新增了一個利用開源程式庫中複製的檢測逃避工具。自2020年4月以來，TeamTNT一直活躍，眾所周知以Docker系統為目標。TeamTNT通常會掃描Internet以查找配置錯誤的Docker容器，鎖定Docker傳輸埠的分散式阻斷服務攻擊（DDoS）殭屍網路並植入惡意挖礦程式，它還可以從受感染的伺服器竊取憑証，在去年8月更發現該殭屍網路擴大範圍到配置錯誤的Kubernetes系統。

現在根據AT&T Alien Labs的研究人員的發現，TeamTNT已新增了另一個工具。該工具名為libprocesshider，是自2014年以來在GitHub上可用的開源工具，libprocesshider旨在從處理程序查詢工具（例如ps和lsof）中隱藏惡意程序，有效地作為防禦規避技術。

Alien Labs研究員Ofer Caspi補充說“libprocesshider可在ld預先載入器的幫助下用於隱藏任何Linux程序，執行readdir（）函數，該函數被”ps”等程序用於讀取 /proc 目錄以查找正在運行的程序，並在找到的程序與隱藏所需的程序之間存在匹配的情況下修改回應值。

Libprocesshider部署在在TeamTNT ircbot或cryptominer二進位檔案中並隱藏在base64編碼script中，在二進位檔執行後，bash腳本將執行許多任務，包括：

修改網路DNS配置。

通過systemd設置持續性。

投放並啟用新工具作為服務。

下載最新的IRC bot配置。

清除活動證據，使潛在的防禦行動變得困難。

首先將新工具設為磁碟上隱藏的tar檔案，然後透過script解壓縮，並寫入“ /usr/local/lib/systemhealt.so”，然後添加到“‘/etc/ld.so.preload”這樣就實現了預先載入技術，這使攻擊者可以覆蓋某些常用功能。

研究人員補充：“雖然libprocesshider的功能是逃避檢測和其他基本功能，但它可以作為在主機上搜尋惡意活動時要考慮的指標。”

有關TeamTNT新增逃避檢測工具的情資: https://otx.alienvault.com/pulse/5fc7e6165ab5e91b7c87aea3

SolarWinds事件又延伸，包括Qualys，Fidelis，Palo Alto Networks 和Mimecast的四家資安廠商披露因SolarWinds事件受駭

Posted on 2021 年 1 月 27 日 by blogadmin

SolarWinds供應鏈攻擊的後果比最初想像的要糟，最新的受害者Qualys，Fidelis，Palo Alto Networks 和Mimecast證實安裝了SolarWinds Orion應用程式的惡意木馬更新。

NETRESEC的資安專家本周透露，資安供應商Qualys也是SolarWinds事件的受害者。富比士雜誌報導資安公司Netresec的創辦人Erik Hjelmvik的調查結果，詳細描述了SolarWinds背後的駭客將第二階段payloads部署到他們認為價值很高的受感染網路的23個新domains。

這23個新domains中有2個corp.qualys.com，表明Qualys也是攻擊者的目標。

在Qualys在向富比士發表的聲明中，Qualys說入侵沒有看上去那麼大，聲稱其工程師在實驗室環境中安裝了一個木馬化版本的 SolarWinds Orion 應用程式，用於測試目的，與其主要網路分開。Qualys也說，隨後的調查沒有發現任何進一步惡意活動或數據洩露的證據。

然而，一些資安研究員並不認同Qualys的聲明，暗示”corp.qualys.com”的domain表明，駭客確實能存取其主網路，而不是像該公司聲稱的那樣進入實驗室環境。

Fidelis網路安全公司的首席信息安全官Chris Kubic在部落格說，他們也在2020年5月安裝了一個木馬化版本的SolarWinds的 Orion 應用程式，作為軟體評估(software evaluation)。Kubic 說，儘管攻擊者努力升級他們在Fidelis內部網路的存取許可權，但惡意軟體安裝被追溯到一台配置為測試系統的機器，它與核心網路隔離，並且”很少打開電源”，所以攻擊者無法部署第二階段payloads。但根據NETRESEC的調查，Fidelis的HQ.FIDELIS domain也在受感染網路的23個新domains中。

Mimecast是上述Mimecast是上述資安公司中第一個披露重大資安漏洞的，它透露威脅者破壞了其內部網路，並利用其產品之一使用的數位驗證來存取其某些客戶的Microsoft 365帳戶。

Microsoft 通知Mimecast，他們用於對Microsoft 365 Exchange Web Services的Mimecast同步和恢復，連續性監視器和IEP產品進行身份驗證的憑證已被

入侵破壞。Mimecast表示大約 10% 的客戶使用這種連接，有跡象表明在我們客戶的 M365 租戶中，有少數人成為攻擊的目標。

“我們的調查現已證實，這一事件與 SolarWinds Orion 軟體的有關，並且是由同一組駭客所為。

Mimecast調查還顯示，駭客存取並可能滲透某些由美國和英國託管的客戶創建的加密服務帳戶憑證。

Palo Alto Networks的代表告訴富比士，它發現了2020年9月和2020年10月發生的兩起與SolarWinds相關的事件。據富比士報導，“ Palo Alto說，它自己的工具通過查看其異常行為來檢測到該惡意軟體，因此被阻止了。”。“我們的安全運營中心隨後立即隔離了伺服器，進行了調查並驗證了我們的基礎架構是安全的。此外，我們的SOC將觀察到的活動通知了SolarWinds。我們的SOC進行的調查得出的結論是，嘗試的攻擊未成功，並且沒有數據受到破壞。”

之前有被報導受到SolarWinds供應鏈攻擊影響的其他資安公司包括FireEye（最初揭露了整個 SolarWinds 供應鏈攻擊的初始入侵）， Microsoft（入侵者訪問了公司的一些原始程式碼）， CrowdStrike（攻擊者入侵失敗）和 Malwarebytes （由SolarWinds攻擊者在另一事件中入侵，訪問了公司的一些電子郵件帳戶）。

深入了解Solorigate(Sunburst)第二階段活動：從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

Microsoft 詳述了 SolarWinds 事件的駭客，如何透過OpSec 和反鑑識技巧的最佳實踐，以避免被發現和檢測。

Posted on 2021 年 1 月 21 日 by blogadmin

微軟今天分享了有關SolarWinds駭客，如何透過將其惡意活動隱藏在受攻擊公司的網路內而不被發現的相關詳細資訊。

微軟安全分析師的研究表明，SolarWinds的背後駭客至少經過兩週的精心選定目標，並內置獨特的Cobalt Strike網路滲透工具，對每一個受害者系統的進行一個月左右的攻擊。

微軟的報告分享了有關Solorigate(又名Sunburst)第二階段啟動的新細節-在植入Solorigate（Sunburst）的DLL後門之後，部署並植入自定義Cobalt Strike loader（Teardrop，Raindrop等）的步驟和工具。

微軟並重點介紹了SolarWinds供應鏈的背後駭客逃避策略：

＊透過為每台電腦上部署不同的客製化Cobalt Strike DLL植入程式，以有條不紊地避免每個受感染主機的IOC被分享而攔阻

*透過重新命名工具和二進位檔案偽裝並融入環境，以避免受感染的設備上的檔案和應用程式被透過特徵比對偵測。，

*在使用鍵盤操作之前透過AUDITPOL停用事件日誌記錄，事後再啟用

*在開始進行網路活動之前, 會為某些通訊協定建立防火牆規則, 以減少對外的連線封包 (在完成工作後即被移除)

*首先在目標主機上禁用安全服務，再仔細計劃橫向移動

* 同時也被認為使用時間管理程式來更改物件的時間戳記，並利用移除程式和工具來避免在受影響的環境中被惡意程式偵測機制發現。

供應鏈攻擊時程

這些攻擊的詳細時間顯示，Solorigate (Sunburst) DLL後門已於2月部署，並在3月下旬部署在受感染的網路中。在此階段之後，威脅行動者選擇了感興趣的目標並準備了將植入的特製 Cobalt Strike，直到5月初開始動手攻擊。

“ 6月時，SolarWinds就從二進製檔案中刪除了後門生成功能並發佈並發修補程式，這指出攻擊者已經蒐集到足夠數量的目標，其目標從部署和啟動後門(階段1)轉移到操作已被選定的受害者網路，然後再通過鍵盤操作繼續植入Cobalt Strike，進行攻擊(階段2)。”

深入了解Solorigate(Sunburst)第二階段活動：從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

Source:

https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/

資安廠商Malwarebytes遭駭，幕後黑手同為入侵SolarWinds供應鏈的駭客組織，Malwarebytes稱它們並沒使用SolarWinds產品，另在SolarWinds供應鏈攻擊中發現第四種新的惡意軟體Raindrop的出現!

Posted on 2021 年 1 月 20 日2021 年 1 月 20 日 by blogadmin

Key Points:

＊Malwarebytes揭露遭攻擊SolarWinds供應鏈的同一駭客組織入侵

＊Malwarebytes表示入侵與SolarWinds供應鏈無關，因為該其公司內網未使用任何SolarWinds軟體。

＊SolarWinds供應鏈事件中發現了第四種惡意軟體變種Raindrop

＊目前僅有四件 Raindrop 樣本，專家發現它跟另一款惡意軟體Teardrop 分工

反惡意軟體資安廠商Malwarebytes在其周二的blog文章中，證實遭SolarWinds供應鏈攻擊的駭客組織入侵，入侵不是通過SolarWinds的IT軟體發生的，相反，攻擊者利用了其公司Office 365和Microsoft Azure的帳戶作為切入點。

駭客通過Microsoft的Azure Active Directory入侵，公司可用於確保員工訪問公司 IT 系統。在12月15日（即SolarWinds駭客事件公開後的第二天），Microsoft告訴Malwarebytes，它注意到了來自Malwarebytes的Office 365系統內第三方應用程式的可疑活動並利用了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品。

Malwarebytes表示“在特定的情況下，威脅參與者將帶有憑證的自簽名證書添加到服務主體帳戶。從那裡，他們可以使用密鑰進行身份驗證並進行呼叫API，以透過MSGraph（Microsoft Graph）請求電子郵件。

Malwarebytes聯合創始人兼CEO， Marcin Kleczynski今天說： “經過全面廣泛的調查，我們確定攻擊者僅能訪問公司內部電子郵件的一部分。我們的內部系統沒有任何證據表明在任何就地部署和生產環境中都有未經授權的存取或損害，且我們的軟體仍然可以安全使用。＂

另外，在SolarWinds供應鏈攻擊中，Symantec資安人員發現第四種新的惡意體Raindrop，並表示Raindrop與Teardrop惡意軟體類似，在很少數的入侵攻擊中被用作第二階段payload，目前為止僅發現了4個樣本。研究人員已將Raindrop認定為用於滲透後（post-compromise）活動的攻擊工具。根據賽門鐵克分析師的說法，這是一種後門安裝了Cobalt Strike，以幫助攻擊者更有效地通過受害者網路橫向移動攻擊。Raindrop似乎已被用來在受害者的網路中傳播。目前賽門鐵克尚未發現Sunburst直接分發Raindrop的證據。取而代之的是，它出現在已被Sunburst破壞的電腦網路上。

雖然Raindrop與Teardrop類似，但是Symantec表示他們使用不同的 packers，並且Cobalt Strike配置有所不同。在一個Raindrop的實例中，Cobalt Strike被配置為使用SMB命名管道作為通信協議，而不是HTTPS，這使專家們認為，受損的設備無法直接存取網路，迫使攻擊者透過網路上的另一台電腦路由 C&C 連線。在目前Symantec僅發現有四件 Raindrop 樣本，並相信Raindrop 跟Teardrop 分工合作散佈Cobalt Strike。

有關Raindrop的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/6007149a5ff246c7c18229c1