專家警告,Qakbot 的惡意操作不斷發展,改進攻擊鏈,逃避檢測!

通過 LNK 檔案傳遞和執行 Qakbot

Qakbot也稱為 QBot、QuackBot 和 Pinkslipbot,是一種自 2008 年以來一直活躍的資料竊取惡意軟體。根據資安公司Sophos ,Qakbot 是一種模組化且多用途的殭屍網路,它透過電子郵件傳播,可扮演成惡意軟體的傳遞網路,因此越來越受到駭客歡迎,以此投遞Trickbot 和 Emotet。與Qakbot惡意軟體有關的惡意網路的活動在上半年達到了高峰,根據Zscaler的資安研究人員發現,惡意軟體Qakbot背後的駭客正在改變他們的傳遞向量,試圖迴避檢測。

自2008 年以來,Qakbot一直是一個反復出現的威脅,從最初的銀行木馬演變為更複雜和模組化的資料竊取程式,能夠部署勒索軟體等下一階段的有效payloads。

2022年初,Qakbot通過惡意 Microsoft Office檔案中的 XLM 4.0 宏傳遞惡意軟體,這些檔案通過網路釣魚電子郵件傳遞,這些電子郵件通常包含用於財務和業務運營的關鍵字,試圖誘使用戶打開和執行它們。然而,在過去的幾個月裡,Qakbot 轉而選擇使用快捷方式 LNK 檔案作為惡意軟體的傳遞方式。這些最新的 LNK 有效payloads在執行 Qakbot DLL 的過程中也發生了變化,專家們還觀察到Qakbot會使用 PowerShell 下載惡意程式,並從 regsvr32.exe 切換到 rundlll32.exe 以載入惡意payloads試圖逃避檢測。

這些不同的方法是 Qakbot發展的一個明顯指標,它不僅可以規避防毒軟體偵測和防禦,還可以適應基礎設施中發生的重大變化。 此外,Zscaler研究人員表示 Qakbot 惡意軟體的操作者採用了程式碼混淆技術和新的攻擊鏈層,以及利用各種 URL 和副檔名(例如, .OCX、.ooccxx、.dat或 .gyp)進行投遞有效payloads,以更有效地隱藏其操作。

Zscaler在過去 6 個月對Qakbot的監控

面對傳統的基於特徵碼的檢測,Qakbot 的模組化設計和彈性使其成為許多駭客組織的理想首選。

有關Qakbot的”部分”入侵指標(Indicator of compromise -IOCs):

Payload URLs:

anukulvivah.comnobeltech[.]com.pk

griffinsinternationalschool.intierrasdecuyo[.]com.ar

tajir[.]comdocumentostelsen[.]com

Hashes

XLSB:

58F76FA1C0147D4142BFE543585B583F

LNK:

54A10B41A7B12233D0C9EACD11036954

Qakbot:

529FB9186FA6E45FD4B7D2798C7C553C

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本遊戲大廠Bandai Namco(萬代南夢宮)疑遭駭,傳出幕後的黑手是它–BlackCat勒索軟體

萬代南夢宮(Bandai Namco)是日本的大型電玩、手機與家用電子遊戲發行商,旗下擁有多款熱門遊戲的 IP與發行權,包含《艾爾登法環》、《航海王》、《火影忍者》、《七龍珠》等。近年來,大型電玩遊戲大廠遭網路攻擊變得普遍,在 2020 年卡普空(Capcom)Ranger Locker勒索軟體加密,被盜1TB 數據、法國電玩商Ubisoft(育碧)和德國Crytek遭 Egregor勒索軟體攻擊、日本特庫摩(Koei Tecmo) 遭駭,駭客將盜來的數據免費釋出。隨後 在2021 年 CD Projekt Red 遭駭客攻擊,內部數據流至網上;同年 美商藝電(EA)也遭到攻擊,780GB的遊戲原始碼及除錯工具被竊取等資安事件。

目前萬代南夢宮似乎是BlackCat勒索軟體的最新受害者,根據追踪惡意軟體的資安團隊vx-underground,勒索軟體集團BlackCat(也稱為ALPHV )已宣稱成功入侵遊戲發行商Bandai Namco。然而,BlackCat還沒釋出任何被盜數據的樣本,萬代南夢宮官方沒有出面證實消息或發表任何評論。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個以Rust程式語言撰寫的勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的緊急警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。BlackCat發動過的重大攻擊,包含 1 月份攻擊了德國燃料公司 OilTanking GmbH ,引起大約 200 個加油站的供應中斷,以及 2 月份攻擊瑞士航空企業Swissport 導致服務中斷、航班延誤和敏感數據洩露。最近,勒索軟體集團聲稱對美國佛羅里達國際大學的攻擊負責,竊取了 1.2TB數據。

勒索軟體的操作不斷演變,幾週前,LockBit 勒索軟體組織宣布漏洞賞金(Bug Bounty)計劃,視乎漏洞嚴重性,提供從1000 美元到100 萬美元不等的獎金。根據vx-underground,最近BlackCat建立了一個名為Alphv Collections的可搜索外洩數據的資料庫,使其他駭客也能有機會充分運用這些竊得的資料,值得一提的是, BlackCat 在6月中通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據。

BlackCat(Alphv) 的公告

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

QNAP:Checkmate勒索軟體通過伺服器訊息區塊 (SMB) 來鎖定NAS用戶

又有勒索軟體攻擊台灣NAS供應商威聯通科技(QNAP)的用戶!週四(7/7)QNAP發出警告稱,一種名為 Checkmate 的新型勒索軟體以曝露在網際網路的伺服器訊息區塊 (Server Message Block -SMB) 服務來鎖定NAS用戶。

這家 NAS 製造商的在安全公告中表示,他們正在調查Checkmate勒索軟體,初步調查表明,Checkmate使用字典攻擊(Dictionary Attack)來破解密碼較弱的用戶,字典攻擊是一種暴力法攻擊,駭客將字典裡面所查的到的任何單字或片語都輸入程式中,然後使用該程式一個一個的去嘗試破解密碼。值得一提的,QNAP沒有進一步說明他們是怎麼知道駭客使用的是字典攻擊,而不是其他攻擊手法。

根據QNAP的說法,一旦駭客成功登錄到設備,就會對共享檔案夾中的數據進行加密,並在每個檔案夾中留下一個檔案名為!CHECKMATE_DECRYPTION_README”的勒索信。SMB 是一種客戶端-伺服器通訊協定,用於共享對各種設備、檔案等的存取,QNAP 建議其用戶斷開其 SMB 服務與互聯網的連接,並敦促其他使用者通過使用 VPN 服務來限制他們的曝露,目前QNAP沒有透露有多少設備被攻擊。

然而,幾位 QNAP 用戶在 BleepingComputer 論壇上表示,他們上個月受到了 Checkmate勒索軟體的攻擊,根據贖勒索信,受害者必須支付 15,000 美元的比特幣贖金才能獲得解密工具。

一名受害者在 BleepingComputer 論壇上公開了勒索信

為了因應Checkmate勒索軟體的攻擊,QNAP呼籲用戶採取以下步驟:

QNAP在過去兩年中一直在處理多個攻擊其用戶的勒索軟體組織,包含AgeLockerQlockereCh0raix和Deadbolt等勒索軟體,QNAP自2022年初以來自三次遭到DeadBolt 勒索軟體的攻擊,數千個NAS設備受感染。大約兩週前,該公司表示正在“徹底調查”一系列 Deadbolt針對其NAS設備用戶的新攻擊。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CISA下令聯邦機構在7 月 22 日前,完成修補Windows LSA 漏洞!

近日,美國網路安全暨基礎設施安全局(CISA) 下令,聯邦民事行政部(FCEB)必須在 7 月 22 日之前,對影響微軟設備的安全漏洞採取補救措施。該漏洞被跟踪為CVE-2022-26925,一個屬於Windows Local Security Authority(Windows LSA)的欺騙漏洞,並被確認為新的 PetitPotam Windows NTLM Relay 的攻擊向量。Windows LSA是一個受保護的Windows子系統,負責執行Windows系統的安全政策,會在用戶登入時驗證用戶身分,亦可處理密碼變更或產生存取權杖。Windows Local Security Authority(LSA) 存在的高風險漏洞,能影響多數 Windows 版本,未經身份認證的攻擊者可輕易利用此漏洞透過 NTLM 強制取得身份認證,以利進行後續攻擊 。

據悉在今年5月,CISA曾將CVE-2022-26925納入在已知遭開採漏洞(Known Exploited Vulnerabilities)目錄中,並發布了強制修補的命令,但很快CISA就將這條公告刪除。原因是微軟在2022年5月的修補星期二(Patch Tuseday) 中,雖然聲稱解決了CVE-2022-26925漏洞,但在安裝修補後該問題仍然沒有徹底解決,在 Windows Server 網域控制器上部署時也會觸發服務身份驗證的問題。

CISA 解釋說,在網域控制器部署上認證失敗的問題,可導致企業可能會在伺服器或客戶端遇到服務的認證失敗,如網路原則伺服器(NPS)、路由及遠端存取服務(RRAS)、Radius、擴展認證協議(EAP)和受保護可擴展認證協議(PEAP)都會受到影響。

隨後,微軟在6月向CISA通報了問題的解決方案,今天,CISA也發布了新的指南,其中包含必須遵循的 CVE-2022-26925 緩解步驟,以防止服務中斷。

根據美國聯邦約束性作業指引(binding operational directive,BOD)22-01,為了減少已知遭開採漏洞的重大風險,美國聯邦民事行政部(FCEB)必須在7月22日之前完成修補已發現的漏洞,以保護其網路。儘管該指令僅適用於聯邦機構,但 CISA 也強烈敦促美國私營和公共部門的所有組織優先修補這個被積極利用的漏洞。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

又見Hive勒索軟體入侵台灣,某知名鍛造輪圈大廠遭加密,被盜1.5TB數據,Hive稱在受害網路潛伏達21天之久!

竣盟科技在6月30日的觀察,台灣某一家鍛造輪圈大廠,被列入Hive勒索軟體的受害名單,從Hive釋放的資料來看,該公司是在6月21日被加密的,直到 6 月 28 日才被公開在Hive的揭秘網站Hive Leaks上,同時Hive給予受害大廠三天時間與其聯繫。

今天發現在DataBreaches網站,外媒已報導此資安事件,據了解,駭客被輪圈大廠已讀不回,故直接找上外媒公開入侵細節和電郵記錄,相信其目的是要施壓受害者,迫使他們付贖金。根據DataBreaches網站公開了4封電郵的內容,6月21日輪圈大廠被加密當天,駭客告知受害公司,他們已潛伏在受害網路達21天之久,已研究及熟悉受害公司並取得受害檔案及服務的存取權。駭客稱已下載了約1.5 TB的檔案包括合約、NDA、預算案、投資計劃、銀行數據、客戶的開發檔案、協議、設計圖、材料測試和升級檔案等。

由於得不到回覆,Hive在6月23日再發電郵給該公司,警告說如果受害公司沒有在6月27日9點前(受害公司的股東大會時間)向他們聯繫,他們將通知GreTai Securities Market(中華民國證券櫃檯買賣中心) 、 Mega Securities(兆豐證券) 即受害公司的證券agent、受害公司的投資人等,並表達索取贖金的金額會遠低於受害公司的罰款及名譽受損的價值,如下圖所示:

6月24日,Hive 再次發電郵給該輪圈大廠,並列出以下3點:

1.我們將通知您的所有員工和客戶,說明他們的個人數據外洩,

2.由於您尚未正式宣布數據外洩,我們將通知監管機構,您會被相應地罰款。

3.我們將從您的數據庫中收集您所有合作夥伴的電子郵件地址,並通知他們您不知道如何保存機密資料。

最後, 於6 月 28 日Hive在Hive Leaks上列出輪圈大廠是其受害者後,Hive 又向輪圈大廠的五位高層發了一封電郵,表示已經在網站上披露了這起消息並進一步說若在7 月 4 日前與他們達成協議,將不會外洩數據。

DataBreaches曾向該輪圈大廠確認是否發生這事故,但沒有收到任何回覆。此次之前,2021年9月竣盟科技發現Hive的揭秘網站,將某台灣上市鋼鐵公司列入其受害者名單。

有關Hive勒索軟體的”部分”入侵指標(Indicator of Compromise -IOCs):

Domain

hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

SHA256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

SHA1

ecf794599c5a813f31f0468aecd5662c5029b5c4

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

RansomHouse聲稱從美國晶片巨頭AMD竊得450GB 數據,AMD表示目前正在著手調查

昨天,一個相對較新的勒索組織RansomHouse,聲稱入侵了 Advanced Micro Devices (AMD )並竊取了約 450GB 數據,該組織還發布了一個數據樣本作為證據。

根據Restore Privacy, RansomHouse發布的數據包括網路檔案、系統資料以及 AMD 的密碼。以下是 RansomHouse在其暗網網站上發布樣本的目錄:

Photo : Restore Privacy

目前AMD對這一說法的回應是,知道有一名不法分子聲稱擁有來自 AMD 的被盜數據,目前正在進行調查。

“簡單的密碼” 是數據外洩的原因?!

RansomHouse的暗網網站上AMD頁面

根據 RansomHouse 的說法,AMD使用簡單、好猜的密碼,例如“password”、“P@ssw0rd” “amd!23”和“Welcome1”等來保護其網路。有趣的是,根據 RansomHouse向 BleepingComputer透露,其合作夥伴大約在一年前入侵了 AMD 的網路,RansomHouse進一步說, Data Leaked的日期2022 年 1 月 5 日,實際上是他們無法存取AMD網路的日期。另外,資訊科技網站Tom’s Hardware報導,此次AMD數據外洩事件,可能與之前技嘉遭RansomExx入侵其供應商及合作夥伴的資料外洩事件有關,推測RansomExx 勒索軟體與RansomHouse有關聯。

目前RansomHouse沒有聯繫 AMD 索要贖金,因為該勒索組織認為直接將資料出售給其他實體或駭客,可比等待AMD做出回應更有價值。

RansomHouse於2021年12月開始運營,該組織聲稱加拿大薩斯喀徹溫省酒類與賭博管理局(SLGA)是其第一個受害者,其後也陸續出現如非洲最大的連鎖超市Shoprite等的受害者,但目前RansomHouse只有6名受害者,如下圖所示:

與其他傳統的勒索軟體組織相比,RansomHouse 實際上並未聲稱自己是“勒索軟體”組織,他們的攻擊並不包含加密受害者系統上的檔案,而只是入侵受害組織並竊取機密資料,並再向受害者勒索。RansomHouse在其暗網”關於”即About頁面上將自己描述為專業調解員。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體集團LockBit打著“讓勒索軟體再次偉大”的口號,正式推出新版LockBit3.0,並啟動漏洞賞金計劃

LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

竣盟科技的觀察,LockBit勒索軟體集團已在上週日(6/26)推出了其惡意軟體的3.0 版本,LockBit自2019年9月開始運營以後來,發展成為最多產的勒索軟體之一,在Conti 勒索軟體關閉其運營後,2022年5月LockBit正式成為佔主導地位的勒索軟體,其攻擊佔勒索市場的 40%。

LockBit還啟動了一個漏洞賞金計劃(Bug Bounty Program),號召旗下成員(Affiliate)或全球的駭客菁英加入新擴展的漏洞賞金計畫,找出有關其加密程式碼漏洞、公共基礎設施漏洞或其他勒索軟體組織成員和幕後老闆的 PII 數據的資料。

LockBit在其揭秘網站LockBit3.0 Leak Data上表示,我們邀請地球上所有安全研究人員、道德和不道德的駭客參與我們的漏洞賞金計劃,報酬金額從 1000 美元到 100 萬美元不等。

Bug Bounty的介紹
Bug Bounty的介紹

自LockBit 3.0推出以來已經有受害者,分別是兩家美國公司Metro Appliance& More和Longseal flooring,為了讓受害者付贖金,LockBit還帶來新的敲詐技倆,任何人可以在受害者頁面,以LockBit提供的售價購買以下選項:

1. 延長談判時間( 24小時)

2銷毀從受害公司竊取到的所有資料。

3. .隨時下載從受害公司竊取到的所有資料。

選擇綠色按鈕,可以延長24小時,銷毀所有資料或下載所有資料

值得一提的是,這意味著LockBit受害公司的競爭對手可能會買下資料或直接銷毀資料,LockBit無疑將敲詐、威嚇的技倆,帶到另一個層次!

另外, LockBit新增加了一個How to buy Bitcoin頁面,教受害者如何使用不同的方式購買比特幣。

LockBit接受的加密貨幣: 門羅幣,比特幣和新增的隱私幣Zcash

據了解,LockBit還在準備大量新的備份站點,以提高其基礎架構的彈性。

備份站點包含: LockBit揭秘網站,帶備份的伺服器和與受害者通訊的聊天室

LockBit勒索軟體集團的經營已經達到了一定程度的成熟度,該集團如同在經營的正規企業般的策略,是當今的勒索軟體市場鮮有的。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

供應鏈攻擊又添一樁,證實汽車軟管製造廠商Nichirin遭勒索軟體攻擊,自動生產控制停罷

總部位於日本的汽車軟管製造商 Nichirin(株式會社日輪)週三(6/22)表示,其美國子公司Nichirin -Flex USA 在2022年6月14日遭勒索軟體攻擊,該公司在檢測到其網路上的未經授權存取並將操作切換到手動模式後立即做出反應,中斷了其電腦化生產控制,必須手動完成訂單,影響了產品分配及出貨。

勒索軟體攻擊說明了供應鏈安全在所有行業和部門中的重要性日益增加,在沒有日輪汽車零部件的情況下,可引起其他在供應鏈的企業無法完成訂單並滿足消費者的需求。

根據歐盟網路安全局 (European Union Agency for Cybersecurity-ENISA) 的數據,66%的供應鏈攻擊集中在供應商的程式碼上,其次是智慧財產權、個人識別資訊 (PPI)、內部流程圖和緊迫的生產時間線等,尤其吸引那些有經濟動機的駭客。

Nichirin在新聞稿中表示,承諾調查此次攻擊對合作夥伴和客戶的影響,並承諾及時披露任何必要的資訊。Nichirin 也在其官網上請求客戶提高警覺,留意聲稱與Nichirin有關的電子郵件,呼籲電郵收件人不要打開附件。

勒索軟體對汽車行業來說是一個日益嚴峻的挑戰,2021 年 2 月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,關鍵性IT被破壞,網路廣泛性斷線,影響其UVO link的行動應用程式,支付系統,電話服務及口網站等的運作; 2021 年 12 月Volvo富豪汽車疑遭Snatch勒索軟體加密; 2022 年 3 月 日本汽車零件大廠電裝公司(Denso) 遭潘朵拉勒索軟體攻擊;同月為美國生產汽車剎車管和燃油管的三桜工業遭Conti勒索軟體毒手,現代派沃特(Hyundai Powertech) 也遭Cuba勒索軟體入侵等,可見勒索軟體對瞄準汽車生產中必不可少的零部件供應商表現出越來越大的興趣。

最好的進攻是良好的防守,在管理供應鏈也是如此。在製定管理供應鏈中斷的策略時,建議考慮以下幾點:

*制定供應鏈應急計劃

*建立庫存

*進行供應鏈漏洞稽核

*確定備用供應商

*多元化供應基地

*與物流專家合作

*採用風險評估工具

竣盟科技已經檢查了幾個主要勒索軟體組織的揭秘網站,但目前沒有一個組織聲稱攻擊了Nichirin。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

ToddyCat 的工具–Samurai後門和 Ninja木馬旨在為攻擊者提供對入侵網路的持久性和深度存取

被稱為 ToddyCat的APT 駭客組織使用兩個以前不為人知的工具,分別稱為“Samurai backdoor”和“Ninja Trojan”。據Kaspersky的分析顯示,ToddyCat 的活動始於 2020 年 12 月,針對台灣和越南三個組織的未修補的 Exchange 伺服器進行了攻擊。攻擊者使用未知漏洞破壞 Exchange 伺服器並在系統上部署China Chopper Web shell,然後使用 Web shell 啟動了一個多階段的感染鏈,其中涉及自訂義入程式,最終以一種新型的惡意軟體工具一個名為“Samurai”的被動式後門程式,部署在被侵的系統上。

Samurai後門旨在讓攻擊者持續存取面向 Internet 的 Web 伺服器,後門經由在Port 80 和 443 上運作,主要用於在受感染的系統上遠端執行任意C#程式,可配合多種模組,允許攻擊者執行遠端程式並在目標網路內橫向移動。

2020 年 12 月至 2021 年 2 月是第一波攻擊的時期,ToddyCat鎖定了台灣和越南少數的Exchange伺服器, 隨後從 2 月 26 日到 3 月初,ToddyCat的攻擊迅速升級,開採Exchange Server的ProxyLogon漏洞攻擊歐洲和亞洲的多個高知名度組織,包括政府、軍事單位和軍方外包商。Kaspersky表示,ToddyCat的受害者包括俄羅斯、英國、斯洛伐克、印度、伊朗和馬來西亞的組織,能實現可能與地緣政治利益相關的關鍵目標,屬於傳統上中國APT駭客組織感興趣的行業和部門。

攻擊鏈,Photo Credit: Kaspersky

研究人員在調查攻擊中也發現,雖然第一波的攻擊,植入Samurai 後門針對 MS Exchange伺服器,但在隨後的一些攻擊中使用 Samurai 後門啟動“Ninja”木馬程式,另一種以前沒被發現過的攻擊工具。

Ninja 是一種類似Cobalt Strike 的惡意軟體,用於在已經受到攻擊的系統上執行後攻擊活動(post-exploitation)的工具,允許攻擊者控制遠端系統,操縱檔案系統,操縱進程,在其他進程中注入任意程式碼,轉發 TCP 數據包,還能修改HTTP header及URL 路徑,偽裝惡意流量,躲避偵測。從技術角度來看,Ninja是一種協作工具,允許多個攻擊者同時在同一台機器上操作。

總括而言,使 Samurai 和 Ninja 變得危險的原因在於惡意軟體中包含的反取證和反分析技術。例如Samurai 旨在與 Microsoft Exchange 共享 TCP 端口 80 和 443,無法通過監視端口來檢測,該惡意軟體還使用複雜的載入方式來避免檢測並保持持久性。此外,它使用一種稱為控制流扁平化的技術來避免被靜態分析工具檢測到。Ninja Trojan是一種模組化惡意軟體,攻擊者可以輕鬆擴展其功能,另外,由於Ninja Trojan僅在內存中運行,從未出現在檔案系統上,因此更難被檢測。

有關ToddyCat的”部分”入侵指標(Indicator of compromise -IOCs):

Hostname:

eohsdnsaaojrhnqo.windowshost.us

SHA 256:

e9bd74e4609cdcaf77e191628ccde2124be03a8daf38f1615df6fe7d096b0fba

be34b508eaf7d58f853fc912d43b0b51e6b963726742e383c2a8b2b0828a736f

8e2cd616286a13df82c9639d84e90a3927161000c8204905f338f3a79fe73d13

2b0e66bb1a4877cfe650a027754e18085d0e34ab73025d9458e6136560120ec5

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本德島縣鳴門市醫院遭LockBit 2.0 入侵,醫院網路異常,導致電子病歷無法存取,醫院緊急停收新病患

據多家日本媒體報導和德島縣鳴門山上醫院(Naruto Yamakami Hospital)的官網在6月20日的宣布,確認於6月19日晚,遭遇LockBit 2.0勒索攻擊,電子病歷和院內網路無法使用,醫院已緊急停止接收新的門診病人,但沒有影響住院患者的醫療和護理。

根據醫院的說法,攻擊發生在19日下午5點40分左右,醫院裡的一台連接網路的印表機印出大量英文的勒索信,同時電腦自動重啟,緊接著發現電子病歷系統無法使用。醫院聯繫縣警察和系統供應商。經過調查,確認感染LockBit 2.0勒索軟體,目前在政府和相關組織的支援下,正在檢查病患的個人資否外洩並努力恢復其系統。

鳴門山上醫院在官網宣布,遭LockBit 2.0勒索軟體攻擊

值得一提的是,據竣盟科技的觀察,LockBit2.0並沒有在其揭秘網站上,將德島縣鳴門山上醫院列為其受害者,推估雙方的談判可能仍在進行中。另外,如下圖所示,觀察到負責生產新幹線、日本航空和TOYOTA的座椅製造商TB川島株式會( TB TB kawashima Co Ltd.);新加坡的能源開發商Equis Development和印尼上市天然氣公司PT Medco Energi Internasional TBK(MEDC)出現在LockBit 2.0的受害者名單,顯示它們可能已被 LockBit 2.0 入侵。

由於TB川島株式會不僅是豐田的供應商,更是豐田附屬零部件製造商豐田紡織(Toyota Boshoku)的子公司,因此獲得媒體關注,日媒日経Tech就LockBit 2.0的攻擊提問TB川島株式會,但沒有得到回應。目前TB川島株式會的官網顯示維護中的狀態,如下圖:

日本德島縣鳴門市醫院遭LockBit 2.0入侵,是該縣第二起醫院資安事件,去年 10 月,在德島縣鶴木市半田醫院同樣遭受了LockBit 2.0勒索攻擊,導致電子病歷和會計等所有系統都處於中斷狀態,85,000名患者的數據及備份被加密,大約兩個月無法提供常規醫療服務。

有關LockBit 2.0的”部分”入侵指標(Indicator of compromise -IOCs):

IP address:

139.60.160.200

93.190.139.223

45.227.255.190

Hashes:

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”