傳出清冠一號某製藥廠遭LockBit3.0勒索軟體加密

被設置需支付3佰萬台幣方可將數據銷毀或獨家下載

12月10日竣盟科技觀察到,LockBit 勒索軟體集團在其揭秘網站上張貼了位於桃園的某家製藥大廠成為其受害者的頁面,該製藥大廠在衛服部授權生產我國運用於治療新冠肺炎病毒的清冠一號及二號名單中,目前尚不清楚否是影響清冠配方及其他藥品的生產。LockBit稱在此次攻擊中取得大量數據包括藥物測試及分析資料、銷售數據合作顆伴協議及財務資訊等,LockBit稱為免受害藥廠不向其聯絡協商,將在12/20公佈盜來的數據。根據流出的樣本,LockBit在該藥廠頁面提供了三個方案: 

1. 支付5千美金,計時器將再延長 24 小時

2. 支付 99999美金(約台幣三佰萬元),有關藥廠的所有數據將被銷毀,並且從揭秘網站LockBit Leaked Data中刪除

3. 支付99999美金,獲得獨家下載藥廠數據的權限

LockBit自2022年6月份由LockBit2.0升級至現今的LockBit3.0(又稱LockBit Black) 以來,台灣也出現不少上市企業遭到入侵,當中也包括生技集團軟體系統整合商半導體IT代理商和某日本上市集團在台子公司等。根據以往的攻擊活動,LockBit 集團主要採用了三種策略以獲取初始存取權限:

  1. 透過暴力破解手法攻擊遠端桌面協定(RDP)或在黑市購買外洩RDP憑證,遠端存取目標用戶系統
  2. 通過網路釣魚活動,向目標用戶發送帶有惡意附件的電郵,冒充受信任的個人或機構請求存取憑證或間接誘導受害者下載可安裝其它惡意軟體的有效負載
  3. 通過利用流行的漏洞如Fortinet SSL VPN漏洞(漏洞編號:CVE-2018-13379)進行攻擊

以下提供LockBit三個版本的對比:

LockBit 3.0 的”部分”入侵指標(Indicator of compromise -IOCs):

bf331800dbb46bb32a8ac89e4543cafa

bf4d4f36c34461c6605b42c456fa4492

1690f558aa93267b8bcd14c1d5b9ce34

12eb4ca3ec5b7c650123c9053ea513260d802aa52486b7512b53fb7e86ec876b

URL:

hxxp://ppaauuaa11232[.]cc/aaa[.]exe

hxxp://ppaauuaa11232[.]cc/dlx5rc[.]dotm

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CMMC第三方評鑑機關Booz Allen Hamilton 與 Acalvio Technologies建立戰略合作夥伴關係,推動零信任環境採用欺敵策略

2022年7月22日,IT諮詢公司Booz Allen Hamilton( NYSE: BAH)獲得網路安全成熟度模型認證 (CMMC) 認證管理機關 (The Cyber AB) 的授權,成為 CMMC 第三方評鑑機關 (Third-Party Assessor Organization -C3PAO),加強了公司的能力提供全面的 CMMC 服務,使客戶能夠準備和獲得認證,Booz Allen 是首批成為 CMMC 生態系統中授權 C3PAO 的公司之一。為了協助國防部 (Department of Defense -DOD) 的主承包商和分包商準備和獲得認證,CMMC 認證管理機關建立了兩個非政府角色:註冊提供商組織 (RPO) 和第三方評鑑機關 (C3PAO),Booz Allen 自 2021 年 2 月起成為授權 RPO,為客戶準備獲得 CMMC 提供諮詢服務,現在是授權 C3PAO,評估客戶並授予他們證書。

除了提供CMMC諮詢服務,Booz Allen更於今年宣布與Acalvio Technologies合作,成為戰略合作夥伴關係,提供先進的網路欺敵技術,這將幫助政府和商業組織在面對日益動態的威脅形勢時建立更大的彈性,以應對及遏制高級網路安全挑戰,包括進階持續性威脅(APT)、勒索軟體和內部威脅的能力,通過主動性防禦改善國家的網路安全運營。這種合作夥伴關係為 Booz Allen 的網路支援平台增加了網路誘捕,並補充了現有的運營能力,例如威脅搜尋、檢測工程和零信任。Acalvio ShadowPlex是唯一經 FedRAMP 認證可用於美國政府環境的專利自主欺敵產品,使組織能夠檢測、調查和回應資訊科技 (IT) 和操作科技 (OT) 環境中惡意活動,支援落地和遠端部署。

“隨著網路威脅變得越來越先進,Booz Allen致力於開發安全、可信和有彈性的戰略,以增強國家的網路安全態勢。”Booz Allen國家網路解決方案總監 Garrettson Blight 說。為了超越攻擊者,政府和商業組織必須更好地整合和同步他們進行網路攻防的方式。Booz Allen 與 Acalvio 的合作實現了這一目標,利用進攻性洞察力為網路防禦提供資訊並解決當前市場上的差距。”

Acalvio Technologies聯合創辦人兼首席執行長Ram Varadarajan 表示:“我們很自豪能與 Booz Allen 合作,為政府和商業客戶提供創新的、隨時可以部署的網路欺敵技術。ShadowPlex將使政府和商業組織能夠通過在快速變化的環境中快速而大規模部署的解決方案來應對高級網路安全挑戰,通過對不懈創新的共同關注,這種合作將使客戶能夠在競爭中保持領先地位並保護他們最關鍵的資產。”

Booz Allen採用行業領先的零信任架構評估、戰略和工程支援,高級威脅搜尋技術和運營監控服務,以保護聯邦政府和商業企業。Acalvio的ShadowPlex產品提供了一組強大的欺敵技術,包括代表主機、應用程式和帳號的誘餌,旨在發現隱蔽的網路威脅。Acalvio 的標誌性 Deception Farm 工具利用假主機或蜜罐等誘餌來引誘和欺騙駭客以獲得更多洞察力,該工具將通過新的合作夥伴關係增加到 Booz Allen 強大的功能組合中。Booz Allen現有服務的包括逆向工程、防禦技術、預測分析、漏洞評估、主動威脅搜尋以及人工智能和機器學習以應對攻擊者。

關於 Booz Allen Hamilton

Booz Allen是美國的IT諮詢公司,提供跨管理諮詢、數位解決方案和工程以及數據分析的服務,擁有超過 5,000 名擁有成熟技能的網路專業人員來支援客戶,在全球擁有近 29,500 名員工,截至 2022 年 3 月 31 日的 12 個月收入為 84 億美元。

關於 Acalvio Technologies

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者,其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio 已被美國授予聯邦政府風險與授權管理計劃FedRAMP Ready的資格,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

FBI 及CISA: 古巴勒索軟體集團入侵了全球至少100個組織,贖金獲利超過6千萬美元

根據美國FBI及CISA的最新聯合警報(Alert AA 22-335A),截至2022年8月,古巴勒索軟體(Cuba Ransomware)在全球入侵了100多個組織(當中美國佔至少65個實體,其餘36個為其他國家,包含台灣一家受害上市半導體)後,索要超過1.45億美元的贖金,成功取得至少6千萬美元的贖金。報告指出,受古巴攻擊的美國實體的數量成長接近一倍,持續針對五個關鍵性基礎設施進行攻擊,當中包括金融業、政府部門、醫療保健產業、關鍵性製造業及IT產業。

在此次警報中,CISA 及FBI透露Cuba勒索軟體攻擊者與 RomCom Remote Access Trojan 和 Industrial Spy 勒索軟體等其他惡意工具的幕後黑手有關聯,並進一步指出自今年年初以擴充其新的戰術、技術與流程(TTPs) 來部署惡意軟體,據悉Cuba多數以寄生攻擊(Living Off-The-Land) 手法進行攻擊,依靠已知漏洞、網路釣魚活動、遠端桌面連線軟體和被盜憑證的組合來存取受害系統並部署惡意軟體。然而,這兩個機構引用 Palo Alto Networks 的研究稱,自 2022 年 5 月以來,觀察到攻擊手法起了些變化,包括使用 ROMCOM RAT 惡意軟體、ZeroLogon 漏洞、本地權限提升漏洞利用和專門針對安全產品kernel driver的工具。

發現 Cuba 勒索軟體攻擊者擅長利用的漏洞,包括CVE-2022-24521一個影響 Windows 通用日誌檔案系統驅動程式的漏洞 – 以及CVE-2020-1472,是2020 年最常被利用的漏洞之一。

另外,此次警報大部分包括 FBI 在 2021 年 12 月發布Flash Alert CU-000156-MW的資訊,包括Cuba通過 Hancitor分發勒索軟體的事實——Hancitor 是一種以向受害者網路投放或執行竊取程式而聞名的載入程式,如遠端訪問木馬 (RAT) 和其他類型的勒索軟體。在目標網內的受感染設備上站穩腳跟後,Cuba 勒索軟體威脅行為者使用合法的 Windows 服務(例如,PowerShell、PsExec 和各種其他未指定的服務)遠端部署有效負載並使用包含“.cuba” 副檔名的加密檔案。

在今天的聯合警報中,FBI 敦促曾在其企業或組織網路中檢測到Cuba 勒索軟體活動的人士,向其提供相關資料。

有助於識別勒索軟體組織成員和與他們合作的網路犯罪分子的有用資料包括:

*顯示與外國 IP address之間的通訊的boundary logs

*勒索信樣本

*與勒索軟體參與者的通訊

*比特幣錢包資料

*解密檔案和或加密檔案的良性樣本

警報中提供有關古巴勒索軟體的入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

新型勒索軟體PLAY來襲,揭秘網站首公開,18家受害公司名單中,驚見某台灣上市顯示卡公司疑遭鎖定

PLAY揭秘網站上的受害公司(頁面1)

竣盟科技於11月27日發現PLAY勒索軟體首度公開其揭秘網站PLAY NEWS,PLAY NEWS上已出現18家受害公司,目前只有八家公司名稱和資訊被披露,其餘10家公司名稱尚未公開,然而,受害名單中出現了台灣顯卡大廠的頁面,該大廠近幾來年積極布局智慧醫療領域,提供多元性的醫療解決方案。據觀察,目前該企業的網站運作正常,在公開資訊觀測站上沒有有關資安事件的重訊。但PLAY聲稱已盜取約355GB的數據,並已先公開外洩10GB數據作為入侵的證據,據PLAY稱,如該企業未在14天內付贖金,將發布所有盜來的數據。在外洩的數據中包含了合約,協議,研究數據及敏感資料的檔案,PLAY也在該顯卡大廠頁面中提供download link及密碼供任何人下載使用。

認識PLAY勒索軟體

PLAY勒索軟體於2022年 6 月首次出現,並因加密檔案後的.play副檔名而得名。有趣的是,操作PLAY勒索軟體的背後駭客並沒有像其他典型的勒索軟體一樣提供詳細的勒索信或說明,Play的勒索信異常的短且簡單。PLAY 的ReadMe.txt勒索信不會在每個檔案夾中建立,僅建立在硬碟的根目錄 (C:\) 中,並且只包含“PLAY”一詞和聯繫的Email地址,如下圖顯示:

2022 年 8 月中旬,當一名叫Luis Ernesto Zegarra的記者發現阿根廷科爾多瓦司法機構(Argentina’s Judiciary of Córdoba)受害時,宣布了第一起PLAY勒索軟體公開入侵事件,阿根廷司法部證實了這次

攻擊,並將其描述為有史以來對公共機構最嚴重的攻擊,司法部IT系統斷網及其數據庫被破壞,導致職員們被迫使用筆和紙來建立和處理法院的文件。據悉,PLAY使用常見的Big Game Hunting策略,例如利用保持連線的 SystemBC RAT 和Cobalt Strike的滲透工具,並使用自訂義 PowerShell 腳本和 AdFind 進行枚舉,使用 WinPEAS 進行權限升級,並使用 RDP或SMB 在目標網路內進行橫向移動。

PLAY是如何攻擊?

Play使用被入侵的有效帳戶、暴露的RDP 伺服器和 FortiOS 漏洞 CVE-2018-13379 和 CVE-2020-12812 來獲得對組織網路的初期存取。在獲得存取權限後,開始使用“ lolbins ”二進製檔案,將其用作攻擊的一部分,之後通過群組原則(GPO)在內部網路中分發可執行檔,然後運行任務排程的PsExec 或 wmic,在獲得對內部網路的完全存取權後,他們會使用“.play” 副檔名的加密檔。

值得指出的是,根據研究PLAY是擅長一個採取間歇性加密(Intermittent Encryption)的勒索軟體組織,間歇性加密是通過只加密部分檔案而非所有內容,可加速加密或是毀損資料的程序,也可躲避以統計分析為檢測方式的安全系統。另外, PLAY在常見問題中表示,會在收到贖金的一個小時內刪除盜來的數據及提供解密工具給受害者,然而根據PCrisk 的統計及評估,儘管受害者滿足贖金的要求,但通常不會收到解密數據的必要工具。

PLAY揭秘網站上的FAQ頁面

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55

fc2b98c4f03a246f6564cc778c03f1f9057510efb578ed3e9d8e8b0e5516bd49

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

首度出現遭ALPHV勒索軟體攻擊的台灣企業,上市不銹鋼公司疑遭殃!

根據APLHV勒索軟體(又稱BlackCat)的揭秘網站,竣盟科技發現某一家台灣上市不銹鋼大廠被列入受害者,該跨國企業總部位於南部,為不鏽鋼生產商與通路商,產品以外銷為主,大部份自製品及買賣產品的100%銷往美國子公司,ALPHV宣稱已盜取該企業的大量數據,當中包含內部文件、發票、個人資料、NDA、合約等,在張貼的告示中,ALPHV稱該企業的工廠在攻擊發生後,設備遇到問題,目前尚不清楚這說法是否屬實。

ALPHA/BlackCat被認為是 Darkside 和 BlackMatter 的繼任者,是最複雜、技術最先進的勒軟體即服務 (RaaS) 操作之一,ALPHV是第一支以Rust語言編寫的勒索軟體,相比C 或C++ 語言,用Rust 開發的程式更難找到常見的編程漏洞, Rust也可以更快速和穩定,允許更好的記憶體管理,並且能夠逃避現有的檢測功能。BlackCat勒索軟體允許高度可配置,它包括一個 JSON 檔案,允許用戶在四種不同的加密算法之間進行選擇,自定訂贖金記錄,指定要忽略哪些檔案、檔案夾和副檔名,並指定應該終止哪些服務和進程,以確保檔案被正確加密。BlackCat 還可以配置使用網域憑證,這將更好地使其傳播到其他系統。

另外,ALPHV採用“四重勒索”模式:

  1. 不僅會加密數據、感染網路和系統,還會通過其他的工具進行竊取敏感數據,以被盜數據勒索受害者支付贖金
  2. 在其揭秘網站上列出了部分受害者,如果不支付贖金,攻擊者將在揭秘網站上洩露盜取得來的數據。
  3. 如果受害者沒有在最後期限支付贖金,APLHV還會進行分散式阻斷服務攻擊(DDoS)。
  4. 騷擾受害者的客戶、合作夥伴和員工。

ALPHV勒索軟體在 2022 年初聲名狼藉,針對歐洲的燃料物流和運輸服務運營商以及美國的教育機構進行了一系列大膽的攻擊。

ALPHV自 2021 年 11 月浮出水面以來,一直持續使用名為Exmatter的工具,但於 2022 年 8 月進行了大量更新,使Exmatter更成熟,並具有以下變化:

*洩露的檔案類型為:PDF、DOC、DOCX、XLS、PNG、JPG、JPEG、TXT、BMP、RDP、SQL、MSG、PST、ZIP、RTF、IPT 和 DWG。

*添加 FTP 作為除 SFTP 和 WebDav 之外的滲透選項。

*添加“橡皮擦”功能,可以選擇損壞已處理的檔案

*如果在非有效環境中執行,添加“自毀”配置選項以退出並刪除自身

*刪除對 Socks5 的支援

*添加 GPO 部署選項

除了擴展的功能之外,最新的 Exmatter 版本還進行了大量程式碼重構,以更隱蔽的方式實現現有功能以逃避檢測,ALPHV的操作不斷演變,絕對是值得持續我們關注的勒索軟體。

根據資安公司 Resecurity,ALPHV勒索軟體集團將贖金要求提高到 2 至 250 萬美元,受害者通常會被要求在一周內付款,然而,贖金的增加並不令人意外,根據 Resecurity 的數據,2021 年上半年的平均贖金支付額達到 570,000 美元,到 2022 年幾乎翻了一倍,儘管主管機關有宣導不支付的贖金,但仍有約一半的受害者確實支付了恢復數據的費用。

有關ALPHV/BlackCat勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

兩家東南亞廉價航空遭勒索軟體攻擊,Daixin勒索團隊入侵了亞洲航空;皇雀航空則Black Cat勒索軟體入侵

根據竣盟科技的觀察,位於東南亞的兩家廉價航空公司遭勒索軟體列為受害者名單,分別是總部在馬來西亞的亞洲航空(AirAsia)和總部在泰國的皇雀航空(Nok Air)。

根據Daixin勒索團隊的揭秘網站,聲稱已盜取來自大馬亞航(AirAsia Malaysia)、印尼亞航(AirAisa Indonesia)和泰國亞航(AirAsia Thailand)的500萬乘客個人數據和所有員工的個人數據,資訊包括姓名、出生日期、醫療記錄號等個人識別資訊(PII )以及受保護的健康資訊(PHI),作為入侵證據,目前已經發布sample.7z的樣本。亞航是馬來西亞最大的航空公司,擁有來自 60 個國家約 22,000 名員工,總部位於吉隆坡,在全球的165 多個地區開展業務。根據CISA發布的資安警報 (AA22-294A),Daixin在過去幾個月裡一直在積極瞄準美國企業,尤其是醫療保健和公共衛生領域。Daixin 利用已知的 VPN 漏洞和網釣來存取受害者的網路,一旦獲得存取權限,他們就會提升權限並使用 RDP 和 SSH 在受害者網路內橫向移動。

另外,據外媒報導,Daixin 團隊向亞航集團提供了兩個.csv 檔案,據稱第一個檔案包含乘客的身份證件、全名、預訂 ID 等資料。第二個檔案則包含員工資料,照片、秘密問題和答案、出生城市等字段。

Daixin團隊的發言人向外媒表示,亞航對此次攻擊做出了回應,但亞航並未嘗試就金額進行談判,這表明未打算為數據支付贖金。據DataBreaches.net 報導,入侵發生於 11 月 11 日至 12 日,

目前仍不清楚Daixin要求的贖金金額。值得一提的是,Daixin表示在加密檔案時,已避免鎖定XEN、RHEL的雷達、空中交通管制等系統的飛行設備主機,Daixin 強調其團隊避免加密或銷毀任何將可能危及生命的檔案及系統。

Photo Credit : Databreach.net

Daixin進一步表示,亞航網路混亂且沒有任何標準,引起他們的憤怒和完全不願意重複攻擊(The chaotic organization of the network, the absence of any standards, caused the irritation of the group and a complete unwillingness to repeat the attack),根據此次的攻擊,表明Daixin本質上該是投機取巧的,他們會尋找任何對網路安全投資較低的目標。另外,Daixin是基於Babuk Locker 外洩的原始碼衍生出來的勒索軟體,該批原始源是在Babuk向華盛頓特區警察局發動攻擊後被外洩的。2021 年 5 月,Babuk 集團在暗網上發布了數千份警方的敏感檔案,2021 年 9 月,Babuk 原始源在俄語網路犯罪論壇上洩露。勒索軟體集團使用公開可用的原始碼,表明他們缺乏構建自己的工具的技能和能力。

本週,另一家遭勒索軟體入侵的廉價航空是泰國的Nok Air, BlackCat (Alphv)勒索軟體集團在其揭秘網站上發布了盜來的數據截圖,聲稱已經盜取超過 500GB 的數據。從截圖中發現了一些名為 refund to customers.ink、req invoice.pdf、refund.xlsx、DD SWOT ANALYSIS.ppt 和其他機密檔案的文件。航空公司很可能是駭客的下一個關鍵目標,2022年秋季,針對航空公司發生了許多此類攻擊,包括對美國機場網站的分散式拒絕服務 (DDoS) 攻擊,駭客暫時停頓了幾個美國機場網路服務。在類似事件中,波音子公司 Jeppesen 於 2022 年 11 月 2 日受到影響,當時該公司透露該攻擊可能會影響其部分產品和服務的準確性,這些服務包括接收和處理空中任務通知,這有助於告知飛行員飛行期間的任何潛在危險。航空業擁有高度敏感的數據和非常高的收入,使它們成為網路犯罪分子更有利可圖的目標。

Daixin的部分入侵指標(Indicator of compromise -IOCs):

9E42E07073E03BDEA4CD978D9E7B44A9574972818593306BE1F3DCFDEE722238

19ED36F063221E161D740651E6578D50E0D3CACEE89D27A6EBED4AB4272585BD

54E3B5A2521A84741DC15810E6FED9D739EB8083CB1FE097CB98B345AF24E939

EC16E2DE3A55772F5DFAC8BF8F5A365600FAD40A244A574CBAB987515AA40CBF

475D6E80CF4EF70926A65DF5551F59E35B71A0E92F0FE4DD28559A9DEBA60C28

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國駭客集團利用4.2萬個惡意網站開展大規模惡意網釣活動

Fangxiao利用 42,000 個網釣網站冒充 400 個品牌,詐騙What’s app的用戶以產生流量賺取網站廣告費及下載惡意軟體。

Photo Credit :Cyjax

根據資安公司Cyjax的發現,總部位於中國的一個出於經濟動機的駭客集團Fangxiao利用國際知名品牌的名義策劃了大規模網釣活動,該網釣活動可追溯到 2019 年,已持續了大約五年,迄今為止已識別出超過 42,000 個獨特的網域名稱。根據Cyjax的研究員 Emily Dennison 和 Alana Witten,當用戶以獲得一些免費優惠、現金獎勵等幌子被誘騙存取這些網站時,這些網域會為駭客帶來廣告收入。

駭客透過WhatsApp傳送訊息,包含一個或多個偽造的優惠來吸引用戶點選連結,並藉此導向各個網釣網站,這些冒充品牌網站包括阿聯酋航空、蝦皮、聯合利華、可口可樂、麥當勞等知名和值得信賴的品牌,受害者從那裡被分發到詐騙應用程式站點或虛假的優惠。這些網站會提示用戶完成一項調查以領取現金獎勵,同時,他們被要求將訊息轉發給五個群組或 20 個朋友。據了解,導向最終網釣網站取決於受害者的 IP 網址和瀏覽器的User-Agent 字符串。

Photo Credit :Cyjax

另外,據觀察,從 Android 設備點擊詐騙廣告的攻擊最終導致部署了名為Triada的行動木馬,該木馬最近也被發現通過假冒的 WhatsApp 應用程式進行傳播。

一旦受害者從Fangxiao賺取了錢並對網釣魚產生了投入,他們將被重定向到廣告公司旗下的一系列網站,包含銷售假冒的禮物卡、騙取使用者的憑證、各種投資詐騙,或者是用來下載惡意程式,受害者最終會進入各種危險的網站。

PhotoCredit: Cyjax

Fangxiao 是一個以盈利為動機的駭客集團,它會定期增加數百個新網域來保持流量。例如,該組織在 2022 年 10 月的某一天內添加了超過300個新的網域名稱,以躲避追蹤。根據Cyjax 的分析顯示,Fangxiao使用的網域名中,超過 67% 註冊了 .top,14% 以上註冊了 .cn,7.59% 註冊了 .cyou,2.9% 註冊了 .xyz,1.58% 註冊了 .work,1.04% 註冊了 .tech 和5.27% 與其他頂級網域名稱域名,Fangxiao透過89個網域名稱註冊商申請的數萬個網址,多數位於中國。另外,研究人員稱Fangxiao散布這些惡意連結的管道為WhatsApp,但中國禁用WhatsApp,這意味著攻擊是針對中國境外的用戶。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國國家級駭客組織APT 15利用BadBazaar和MOONSHINE 間諜軟體,協助中國政府加大監控新疆維吾爾族

PhotoCredit: Lookout

來自資安公司Lookout 的研究員揭露,發現了兩個針對維吾爾族的長期監控活動,活動背後的駭客使用兩個 Android 間諜軟體來監視受害者並竊取敏感資料。這些活動涉及一種名為 BadBazaar 的新惡意軟體,以及Citizen Lab 於 2019 年發現並用於攻擊西藏活動人士 的MOONSHINE 監控軟體的新變種。

根據Lookout的報告,針對BadBazaar 的活動調查始於 2021 年底,並基於資安團隊MalwareHunterTeam的研究,揭露駭客的間諜活動以偽裝成維吾爾字典App來監控用戶,研究人員將這些活動歸因於與中國政府支持的駭客組織APT15 (又名 Nickel、  Ke3chang、  Mirage、  Vixen Panda、 皇家 APT 和頑皮龍)有關。APT15 至少從 2010 年開始就一直活躍,它針對全球多個行業的目標開展了網路間諜活動,包括國防、高科技、能源、政府、航空航天和製造業。多年來,攻擊者的複雜程度越來越高,他們在攻擊中使用了自訂義惡意軟體和各種漏洞。BadBazaar 活動可追溯自 2018 年底,在此期間,研究人員獲取了 111 個Android的app,並發現都被植入這BadBazzar間諜軟體,這些app偽裝成無害的應用程式,種類涵蓋廣播應用程式、即時通、字典、提醒穆斯林禱告時間,甚至 TikTok等。

值得一提的是, Lookout研究員在 Apple App Store上發現了一個名為“Uyghur Lughat”的字典應用程式,該應用程式與Android應用程式使用的伺服器進行通信,以收集基本的iPhone資訊,此iOS 應用程式仍然可以從在 App Store 下載。研究人員指出,由於BadBazaar變體通常通過從其C2伺服器下載更新來獲取其監視功能,因此駭客可能之後更新具有類似監視功能的 iOS 樣本。

PhotoCredit:Lookout

BadBazaar 安裝後具有多項功能,可以收集通話記錄、GPS 位置、SMS 消息和感興趣的文件;記錄電話;拍照;並洩露大量設備元資料。Lookout表示對BadBazaar 基礎設施的進一步分析顯示,與 2020 年 7 月曝光的另一項針對少數民族的間諜軟體操作存在重疊,該操作使用了名為DoubleAgent的 Android 工具集。

另外,自 2022 年 7 月以來,使用 MOONSHINE 的攻擊已經使用了 50 多個惡意應用程式,這些應用程式旨在從受感染的設備中收集個人數據,包含用於通話和麥克風錄音、聯繫人數據收集、設備定位、攝像頭控制以及從後端 wcdb 數據庫檔案收集微信數據的 C2 命令。這些樣本中的大多數是流行社交媒體平台的木馬化版本,如 WhatsApp 或 Telegram,或穆斯林文化應用程式、維吾爾語工具或祈禱應用程式的木馬化版本,Moonshine毫無疑問是一種精心打造且功能齊全的監控工具。

PhotoCredit: Lookout

專家表示他們的MOONSHINE樣本是從多個維吾爾語交流群組獲得的,其中一些擁有數百名成員, Lookout 的報告表明,中國APT駭客組織繼續通過維吾爾語社交平台瞄準維吾爾和穆斯林行動設備用戶,儘管國際壓力越來越大,但代表中國政府開展活動的中國網路犯罪分子繼續針對該國的維吾爾族和穆斯林社區發起監視活動。用戶需要警惕通過社交媒體分發的任何應用程式,並避免從第三方應用程式商店下載app。

Moonshine的部分入侵指標(Indicator of compromise -IOCs):

8afe90ebb4666565891fcc33e12fad410996d4d1

ac235440a738938c2218e2608ea229dd3584701b

437f5e0aa400372a6e98de7aca32f6cf916040a0

16125c5ecd29bb1d359fdbbfc127341cafbae6bf

79fb6f43885df2a058a7aa9d60c88db6b44226dd

BadBazaar 的部分入侵指標(Indicator of compromise -IOCs):

64914dd41c052905c561a328654b63f4dc8c5d69

35a5e99e34d9f333a333f55b99b4b3b8ac75a7f6

4e4830857ed294d301494f0a39fc5a4571db879f

7adaa19388e9e2319b0281a15a15f7e80b21c8d7

0db9e300f43d7a500ae53ac76e0b8be50b0d74cc

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

大阪的大型醫院遭到Phobos勒索軟體攻擊,約1300台設備受影響,系統預計最快明年1月恢復

Photo Credit:日本头条

位於日本大阪市住吉區的大阪急症和綜合醫療中心(大阪急性期・総合医療センター)在10 月 31 日遭到勒索攻擊,醫院管理所必需的核心系統,如電子病歷、藥物處方和會計等,均被加密。醫療業務被迫停止,除停止接收常規門診以及急救服務外,截至11月9日,已取消近80台手術,部分患者已轉移至附近醫院。

根據多家日本媒體報導(NHK日本經濟新聞等)大阪急症綜合醫療中心在11月7日召開新聞發布會,公佈了當前情況,包括政府派出的專門小組的調查結果。據了解,入侵事件始於與該醫院相連的一家餐飲服務提供商(管理醫院要求的膳食)的伺服器上確認有大量可疑的數據通訊,勒索軟體由該公司與醫院伺服器連接的餐飲系統進行橫向移動,得已散播到醫院一半以上的設備,約1300台被加密,醫院系統出現問題,造成無法查看電子病歷,嚴重影響醫療服務。

目前已知道該餐飲服務商使用了與去年10月遭到LockBit 2.0勒索攻擊的德島縣鶴木市半田醫院同一家公司的VPN(虛擬網路)。據信該VPN軟體已過時並未更新,軟體中存在的漏洞沒有修補,使勒索軟體滲透成功,由於餐飲服務商及醫院收到大量來自Phobos勒索軟體的英文勒索信,證實Phobos正是此次資安事件的元兇。另外,大阪急症綜合醫療中心已向外界表示他們不會支付贖金,目前正在努力恢復系統,系統將在明年一月逐步恢復。

大阪急症綜合醫療中心是一家擁有約900張床位和約1500名員工的大型醫院,此外它還是大阪府唯一的核心災難醫療中心,也是縣內三個先進的重症監護中心之一,這次的資安事件使它暫時無法履行緊急和重症監護中心的角色。

Phobos一種基於Dharma (又名 CrySis) 惡意軟體的勒索軟體,於2019 年初首次出現,主要以遭到入侵的遠端桌面協定 (RDP) 連接傳播到多個系統,攻擊目標為醫療保健提供者,受害者分佈在美國、葡萄牙、巴西、印尼、德國、羅馬尼亞和日本。Phobos要求支付的贖金不高,增加了受害者支付贖金的機會,2021 年 7 月,Phobos 的平均贖金為 54,700 美元。

Phobos 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA-256

196c144fd6c99f115561e39bc233f56e174ef609625d088578f2cd7b05abad3b

e65778705e388300fd327bf330aa53ba61f139f4fc33e0eec9d062041318700e

e629c768101653789642f9f32a3b480a1fc58484e770a9dec732edf8787a7ba0

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

研究人員發現LockBit成員利用Amadey Bot惡意軟體,部署勒索軟體LockBit3.0

根據韓國資安公司 AhnLab,已確認攻擊者正在利用 Amadey Bot惡意軟體續進行 LockBit。研究人員表示用於安裝 LockBit 的惡意軟體 Amadey Bot 正在通過兩種方式分發:一種是使用惡意 Word 文檔文件,另一種則是偽裝成 Word 檔案圖示(icon)的可執行檔案,從電子郵件主題來看,攻擊是針對公司的,以工作申請或版權侵權通知作為誘餌,進行網路釣魚。

Amadey Bot於 2018 年首次被發現,是一個殭屍網路資料竊取工具(Infostealer),可在地下犯罪組織中以 600 美元的價格購買,Amadey的主要功能是從受感染的主機中收集敏感資料,並進一步兼作傳遞下一階段的渠道,如執行網路系統偵察、資料洩露和payloads的載入,今年 7 月初,被發現用於散布 SmokeLoader 惡意軟體。

在10月初,AhnLab的研究人員發現Amadey Bot惡意軟體以KakaoTalk(一種在韓國流行的即時通訊服務)為幌子傳播,作為網路釣魚活動的一部分。

PhotoCredit: AhnLab

第二個案例發生 10 月下旬,發現使用帶有名為“Resume.exe”(Amadey Bot) 的檔案的電子郵件附件,該檔案並偽裝成 Word 檔案圖示,誘使收件人打開,兩種分發路徑都會導致使用相同C2網址受Amadey Bot的感染。

AhnLab的最新分析基於 2022 年 10 月 28 日上傳到 VirusTotal 的 Microsoft Word 檔案(“ 심시아.docx ”),該檔案包含一個惡意 VBA 宏,當受害者啟用該宏時,它會運行 PowerShell 命令下載並運行 Amadey Bot。

在另一個攻擊鏈中,Amadey 偽裝成一個看似無害的Word 檔案圖示的文件,但實際上是一個通過網路釣魚傳播的可執行檔案Resume.exe。在成功執行 Amadey Bot後,惡意軟體會從遠端伺服器獲取並啟動其他命令,其中包括 PowerShell (.ps1) 或二進制 (.exe) 格式的 LockBit 勒索軟

研究人員總結說,由於 LockBit 勒索軟體正在通過各種方法傳播,用戶在打開附件前務必要格外謹慎,另外竣盟科技也觀察到某台灣上市生技集團於本週被列入LockBit3.0的受害名單中,勒索軟體集團給予7天的協商期限,若談判未果將於11/16發佈盜來的數據,該生技集團為在上海在海外生產基地,並為歐美地區國際性著名化妝品品牌生產製造化妝品,為國際性專業品牌做 O.E.M 或 O.D.M 服務等,目前尚未不淸楚所盜的資料量。

LockBit 3.0,也稱為LockBit Black,於 2022 年 6 月推出,同時推出了一個新的暗網入口網站和第一個針對勒索軟體操作的漏洞賞金計劃,承諾在其網站和軟體中發現漏洞可獲得高達 100 萬美元的獎勵。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

MD5

– 13b12238e3a44bcdf89a7686e7179e16: Malicious Word Document (Sia_Sim.docx)

– ae59e82ddd8d9840b79bfddbe4034462: Downloaded malicious VBA macro (v5sqpe.dotm)

– bf4d4f36c34461c6605b42c456fa4492: Downloader LNK (skeml.lnk)

– 56c9c8f181803ece490087ebe053ef72: Amadey (1234.exe)

– bf331800dbb46bb32a8ac89e4543cafa: Amadey (Resume.exe)

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”