Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

11月30日,在勒索軟體Snatch的揭秘網站上,發布了富豪汽車Volvo Car頁面,表示Snatch已經攻擊了上市汽車公司Volvo,但Snatch沒有公開透露有關盜來數據容量的大小,目前也不清楚勒索的金額。

據了解,Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體,Snatch於2019年4 月開始活躍,大量發動攻擊,隨後於2020 年突然消失,但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密,以躲避防毒軟體的偵測的勒索軟體,Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊,透過暴力破解,利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路,之後會收集該企業相關的重要敏感資訊,上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄,可見自11月25日以來已有12名受害者,除了Volvo Cars外,還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導,在流出的螢幕截圖中,可看到富豪汽車虛擬的3D 建模檔案,然而富豪汽車沒有證實,或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道:“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論,但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721

美國和加拿大的關鍵基礎設施成為新型勒索軟體 Sabbath 的目標

Sabbath的勒索信

自 2021 年 6 月以來,一個名為 Sabbath 相對較新的勒索軟體組織一直針對美國和加拿大的關鍵基礎設施(包括教育、衛生和自然資源)為目標,根據Mandiant 研究員的調查結果,發現Sabbath之前以 Arcane 和 Eruption 的名義運作,後者於去年被觀察到部署 ROLLCOAST勒索軟體。ROLLCOAST能加載到memory內並會在硬碟上擦掉其踪跡。

Mandiant的報告,2021年10 月,Sabbath建立了揭秘網站54BB47h,推出租用勒索軟體即服務(Ransomware as a Service;RaaS)的平台並積極地尋找合作夥伴和會員。值得一提的是,Sabbath會向其會員提供預配置(Pre-configure)的Cobalt Strike有效荷載(payloads)。

在10 月首次曝光時,該組織通過 Reddit 公開勒索美國德州的一個學區,要求支付數百萬美元贖金。據了解,Sabbath採取了異常激進的方法,直接向教職員、家長甚至學生發送電子郵件,以進一步向學區施壓。

據觀察,作為品牌重塑(Rebrand)的一部分,Arcane不僅更改其名稱為Sabbath、其logo和配色也更改了,然而攻擊者在其揭秘網站上繼續犯同樣的語法錯誤,並保持Cobalt Strike的Beacon樣本和基礎設施不變,足以證明Sabbath與Arcane的關連。

Sabbath的揭秘網站
Arcane的揭秘網站

Mandiant 表示,自 2021 年 7 月以來,Sabbath一直在使用 Themida 來打包其惡意軟體樣本有助於它避免被 IPS、WAF 等網路安全工具檢測到。研究人員還指出,該組織自 6 月以來一直使用具有獨特性的 Cobalt Strike的Beacon樣本。Sabbath、Arcane和Eruption背後組織被追溯為駭客組織UNC2190,該組織擅長反復重新命名及包裝勒索軟體以避免被發現,另外雖然部署勒索軟體的範圍有限,但會以竊取大量數據進行勒索,並且威脅破壞備份。

Sabbath的入侵指標(Indicator of compromise -IOCs):

SHA 256

da92878c314307a5e5c9df687ec19a402d93126b3818e5fb6b7241ab375d1e12

0fb410b9a4d32a473b2ee28d4dc5e19a64524e107b980fc1ce8de2ad0dcc3302

298662f3fed24d757634a022c16f4124919b653f8bf7717e4f7a5b7d741729c0

a053408747e9b32721d25c00351c4ce9286208e8714780416f18cbe2536672a9

afd61168c1fae6841faa3860dca0e5839f1b7a3169184a1c04de5a9b88adfe5d

b2ffd7d83e004308a97355a18529fe3528dcbbd7901fb28aaad9d46194469947

e302a958856208adeab4ab3cd6d2991e644798fabd57bb187a0aede314a4baa0

8ddb23c90cb4133b4624127a1db75335a51e90d557c01e996ce33fe23f638e71

1bbb11e526141af7bafb5d4db3671b1a01bb277fda047920995c1f2a4cb6654c

不明駭客在日本電子巨頭松下的內部停留達快5個月,Panasonic始於雙十一發現系統被入侵

日本企業集團松下(Panasonic)在11 月 26 日的新聞稿中表示,發現其內部網路在11 月 11 日被第三方非法存取, 並證實檔案伺服器(File server)上的一些數據在入侵期間被存取過。

根據日本媒體每日新聞NHKSecurity Next報導,松下遭受了約五個月未被發現的入侵,入侵行為實際上始於 6 月 22 日,在11 月 3 日結束。松下於 11 月 11 日首次檢測到系統曾被入侵,被入侵的伺服器上存儲了有關客戶、員工的詳細資料Panasonic 的技術文件和業務文件等,目前松下尚未確認哪些數據已被盜,也不清楚駭客的身份。這不是松下第一次成為駭客組織的目標,松下印度子公司在 2020 年遭受了數據盜外洩和勒索,數據於 2020 年 10 月被盜,贖金為 50 萬美元,松下沒有付款,攻擊者隨後在 11 月發布了 4 GB 的公司數據。

資安公司Netenrich Inc.的首席威脅研究員John Bambenek,表示但最初的入侵發生在6月,直到11月才被發現,這一事實表明,該公司落後於攻擊者,Bambenek認為入侵行為需要在幾小時內被發現,而不是幾個月後。

在2021年,曾遭受網路攻擊的日本大型科技公司包括:

*Olympus的歐洲分公司2021年9月份遭到BlackMatter勒索軟體攻擊,10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

日前,新型勒索軟體Haron入侵了17家受害公司,驚見台灣、香港和中國公司亦紛紛上榜


一些Haron 勒索軟體的受害公司
Haron勒索軟體的簡介

新型勒索軟體Haron在2021年七月浮出水面,被資安研究員認為是已解散的勒索軟體Avaddon的品牌重塑(rebrand),並提供租用基礎設施(包含勒索軟體)的存取權限給其會員,是一個相對較新的勒索軟體即服務(Ransomware as a Service; RaaS)。Avaddon在解散時向BleepingComputer發布了其總共2,934個的解密密鑰,每個密鑰都屬於一個單獨的受害者。據執法部門稱,Avaddon要求的平均勒索費用約為 40,000 美元。

日前,勒索軟體Haron的揭秘網站上一口氣更新了17家受害公司的相關資訊,包括1家位於台北內湖的公司和5家中國公司(2家在上海、1家在廈門、1家在東莞、1家在香港)和1家新加坡公司,可見Haron的毒手已伸進亞洲市場,針對

據悉, Haron會通過設置下次數據更新的時間來誘導受害公司在該時間段內協商,這次遭駭的台灣受害公司被威脅需在72小時內與Haron聯繫,不然就會公開盜來的資料,目前仍沒看到勒索的金額,此台灣受害者為一家屬於網路相關的公司,該官網目前沒法運作。

台灣受害公司的官網目前沒法連上
Haron和Avaddon 的相似
Haron和Avaddon 的相似

根據韓國資安公司 S2W lab ,Haron和Avaddon之間有許多其他相似之處,包括:

1、兩個談判網站上有許多相似的措辭;

2、除了“Avaddon”的勒索軟體名稱被替換為“Haron”之外,談判網站的介面幾乎相同;

3、使用俄羅斯開發者論壇上釋出用於聊天的相同開源JavaScript程式碼;

4、兩個洩漏網站共享相同的結構

有關Haron勒索軟體的入侵指標:

MD5:

dedad693898bba0e4964e6c9a749d380

研究人員在華為的AppGallery中發現了190 多款包含Android.Cynos.7.origin木馬的遊戲,約930萬部Android手機受感染

安裝量超過 2,000,000 次的 “快點躲起來”遊戲
#drweb
安裝量超過 427,000 次的“Cat adventures”遊戲:

大約930個 Android木馬偽裝成190多個不同的應用程式,上架在華為 AppGallery,並已被大量下載作,成為大規模惡意軟體活動。俄羅斯防毒公司Dr. Web的報告,已將該木馬識別為Android.Cynos.7.origin,用途在收集的用戶敏感數據,該木馬程式為 Cynos惡意軟體的變種。

目前Dr.Web已經將此發現和報告通報給華為,並協助華為從他們的AppGallery中刪除了檢測到的應用程式,但在Android手機上已安裝應用程式的用戶還是需要手動進行刪除。

據了解在Android應用程式中,攻擊者將他們的惡意軟體偽裝成模擬器、街機遊戲、平台遊戲、RTS 策略遊戲以及分別為俄語、中文與國際用戶推出的射擊遊戲,受惡意軟體感染的熱門遊戲包括 Drive school 或 Cat Adventures等。在安裝這些應用程式後木馬的攻擊性就顯現出來,例如它會請求允許執行與遊戲無關的活動,撥打電話、偵測使用者位置等。該惡意軟體還允許攻擊者竊取以下數據:

電話號碼

地理位置數據

WiFi 網路的詳細資訊

行動網路參數和標識符

電話硬體和軟體規格

Dr.Web研究人員,乍一看,手機號碼外洩似乎是一個微不足道的問題。然而,實際上,它會嚴重傷害用戶,特別是考慮到兒童是遊戲的主要目標受眾。即使手機號碼是成人註冊的,但從下載的遊戲也很可能表明孩子是實際使用手機的人。值得思考的是,父母是否希望上述手機數據不僅傳到未知的外國伺服器,或發送到任何外人上。

此處提供了Dr.Web 歸類為感染了Cynos惡意軟體版本的所有遊戲

入侵指標(Indicator of compromise -IOCs):

URL | App name | Package name | SHA-1

http://appgallery.huawei.com/#/app/C102937601 | 3D City Hunting | com.sns.csls3d.huawei | 8b1de0c1fdea45ff8f4ae250307c0a8f69c3d426

http://appgallery.huawei.com/#/app/C103277985 | 3D Cartoon man Parkour | com.szlh.zhebushikualan.huawei | f70f195fd9deffbde2ee812c93b327d07e18443f

http://appgallery.huawei.com/#/app/C103662071 | 3D City Wild Racing | com.zjld.tejimotuoche.huawei | fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d

http://appgallery.huawei.com/#/app/C104481373 | 3d Man action run | com.zjld.zbsklmar.huawei | e6024ce99966f4ecaff0efdae7781d9d448b2c79

http://appgallery.huawei.com/#/app/C104633441 | Ace of sky hero | com.hsrj.zhandoujiash.huawei | e5ed0eda9513f41b5c9ebd7b14529180a4e5d822

http://appgallery.huawei.com/#/app/C104684815 | Acrobatics diving training | com.zjld.xytsadt.huawei | d4c1b4b2a65279b768338f2c0d12b695572b101b

http://appgallery.huawei.com/#/app/C103622351 | Adventures of Magical Girl | com.yly.mengdongjielong.huawei | 532b2d05f528ee68a1f89d02fa2477a8fac7c88b

http://appgallery.huawei.com/#/app/C104374449 | Airplane master | com.hxy.fzfjam.huawei | fec03ced8741a8241fcb5f272ede566a634ba539

http://appgallery.huawei.com/#/app/C103616693 | All-Star Basketball Championship  com.cchl.guanlandazuozhan.huawei | f4b9517b19f8c4cee7295f653dca4af8f9e62a13

http://appgallery.huawei.com/#/app/C103768237 | almighty carry company | com.ccsk.quannenglaosiji.huawei | d4a1e722adda57f72f9daafdfd338630b48ae55f

http://appgallery.huawei.com/#/app/C104284813 | Ancient escape | com.yly.ywscae.huawei | 5599dfea0b274e4edbfdabad72d68e271b99e72d

http://appgallery.huawei.com/#/app/C103895857 | Anti-terrorism actions | com.xstk.csata.huawei | aeb5f642538bfdf6b2a8eb5cf3214035a634506f

http://appgallery.huawei.com/#/app/C103562987 | Anti-terrorist police battle | com.sns.qingsongduobi.huawei | b1112a4847c4006f126f0a5ab08b191df039adb7

http://appgallery.huawei.com/#/app/C103623983 | Ants survive in the wilderness | com.cchl.mayishengcunmoniqi.huawei | fb1b5402a51ebc00b17670d6e6b49dba28d36704

http://appgallery.huawei.com/#/app/C103171043 | Armed air attack at sea | com.zjld.jisulingyun.huawei | f05119b12fc28aca89f48b5a939d6e1928c04bc6

http://appgallery.huawei.com/#/app/C103562027 | Armed escort prisoners | com.hs.wuzhuangyajieqiufan.huawei | 7bf6516b2176363de9d7a7993445ede9f697260d

http://appgallery.huawei.com/#/app/C104457167 | Armed shooting raid | com.hxy.csasr.huawei | c4f1405bba22826a69e94ef20763cb664bc3b44c

http://appgallery.huawei.com/#/app/C103233993 | Armed zombie Tower Defense | com.cchl.baoweixiangrikui.huawei | c30291b34ec74128196612b0a80034424de2ea67

http://appgallery.huawei.com/#/app/C104338383 | Army car transport prisoners | com.sns.wzyjqfactp.huawei | f56151b7fd4096f73574717075f6c08e32ff4765

http://appgallery.huawei.com/#/app/C104661821 | Assassination Sniper | com.xstk.yjbzas.huawei | fca6cb15168ac7b256da4bbb442cf93050981b61

http://appgallery.huawei.com/#/app/C104338933 | Assassination time 3D | com.hsrj.yjbzat.huawei | 78e48efac48d7ed9ea53a7a7df294da0a97de066

http://appgallery.huawei.com/#/app/C104143713 | Battle of tanks | com.zjld.xintankebot.huawei | c80fee5ffccf9ce85ff15b7d085d700ae70aef98

http://appgallery.huawei.com/#/app/C104694107 | Battlefield assault team | com.yly.csbat.huawei | 4a4abab1e69ef629c1c622fd3be280c013e4e9fd

http://appgallery.huawei.com/#/app/C104173375 | Beach ambulance | com.hsrj.htjydba.huawei | b860d5303d8921fed08c5e374483ac127ee2385e

http://appgallery.huawei.com/#/app/C104735997 | Beach Emergency team | com.cchl.htyjxz.huawei | b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1

http://appgallery.huawei.com/#/app/C104516919 | Beach rescue driving | com.sns.htjydbrd.huawei | 38ab82696f45fdf52c04d3ba760e8b752b07df6d

http://appgallery.huawei.com/#/app/C104151447 | Beat the buddy | com.szlh.mtcrbtb.huawei | a4dbe44e0cbef5db32651050189848e9207e28ed

http://appgallery.huawei.com/#/app/C103162445 | Brave Ninja saves Princess | com.zjld.jiantoudaren.huawei | 1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb

http://appgallery.huawei.com/#/app/C104859673 | Bumper Car Arena | com.hsrj.debibca.huawei | 81ae7a0fac2f385b2984669356d92cf7e807fbb7

http://appgallery.huawei.com/#/app/C104621857 | Busy road driving | com.cchl.jyztcbrd.huawei | 7795827b9feb3e6d8a86f30a48686d3fe816ab30

http://appgallery.huawei.com/#/app/C104276919 | Car battle ground | com.xstk.kbphwcng.huawei | 6c748786e3d18321b7e2f6c64b578ecb310d5b82

http://appgallery.huawei.com/#/app/C103920731 | Car destruction war | com.yly.kbphwcdw.huawei | 195bad41d7c0cee3a388ec072353e9b62c923c67

http://appgallery.huawei.com/#/app/C103920329 | Car drive master | com.zjld.jcddcdm.huawei | 664e47cebb0464339d5e75efb4279c1fa86e131a

http://appgallery.huawei.com/#/app/C103955065 | Car merge shooting | com.szlh.xxlpdcms.huawei | f57efc2ee390c43d42dde0e6dde81a2c5dd1958b

http://appgallery.huawei.com/#/app/C104402277 | Car shooting defend war | com.yly.xxlpdcsdw.huawei | 6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72

http://appgallery.huawei.com/#/app/C104114723 | Cat adventures | com.hxy.xmlxjca.huawei | 18558dca2734d6b098d91d570e0ca13623e0a851

http://appgallery.huawei.com/#/app/C104415377 | Cat cute diary | com.szlh.xmlxjccd.huawei | aa2f1784fe24b564fdeb577a340d439661db1571

http://appgallery.huawei.com/#/app/C103823729 | Cat game room | com.hs.xiaomaolixianji.huawei | 79ddb48ac25eb392c9e92dc44d32bbc522e19fae

http://appgallery.huawei.com/#/app/C104429049 | City car parking test | com.sns.jyztcccpt.huawei | 30abca107e63b3858bc661f27e2ab56ee3fbb471

全球最大網站代管暨網域名註冊商GoDaddy遭駭,WordPress逾120萬筆個資受影響

GoDaddy 週一(11/22)表示,一名駭客獲得了其代管服務WordPress超過 120 萬客戶個資的存取權,並向美國證券交易委員會提交了文件,GoDaddy證實於11 月17 日發現其代管的WordPress環境遭入侵,根據隨後的調查發現,入侵者早在9 月6 日就已在存取其內部的客戶數據,表示駭客存取其伺服器長達兩個多月,據悉,入侵者使用洩露的密碼存取了GoDaddy託管的WordPress舊的原始碼庫中的配置系統。WordPress 是一種基於 Web 的內容管理系統,數百萬人使用它來建立部落格或網站,GoDaddy 代管在他們的伺服器上WordPress。

GoDaddy證實WordPress遭入侵

根據目前的調查證據,駭客獲得了以下資料及GoDaddy的應對:

*其代管服務WordPress的平台上,多達120 萬的活躍和不活躍的客戶的電子郵件地址和客戶編號遭外洩。僅表示電子郵件地址的暴露存在網路釣魚攻擊的風險

*GoDaddy 在建立站點時向客戶發放的原始 WordPress 管理員密碼。如果這些憑證仍在使用中,我們將重置這些密碼

*活躍客戶的sFTP 和數據庫用戶名和密碼被洩露。我們重置了密碼

*一部分活躍客戶的 SSL 私鑰遭公開。我們為這些客戶頒發和安裝新的 SSL證書

GoDaddy目前仍在調查入侵者的身份,正在通知受影響的客戶。GoDaddy在去年5月也曾遭入侵,當時提醒客戶,網站代管的28,000 個客戶帳號遭不明人士透過SSH存取。

加密貨幣交易平台BTC-Alpha遭LockBit2.0勒索軟體入侵

由烏克蘭人 Vitaliy Bodnar 創立的加密貨幣交易所 BTC-Alpha 於 2021 年 11 月 1 日 成為大規模 DDoS 攻擊的受害者,11 月 1 日 為BTC-Alpha成立的5週年,根據Prleap的報導,網路犯罪分子試圖竊取BTC-Alpha用戶的資金但未果。在竊取失敗之後,BTC-Alpha創辦人Vitaliy Bodnar收到了來自不知名人士的威脅暗示,聲稱將對他進行暴力行動。Bodnar 認為這一切以及包含這次的DDoS攻擊都是其競爭對手的詭計。Bodnar說,”這是我們競爭對手的方法,我們拒絕與他們合作,添加他們的貨幣到我們的平台。當他們出貨幣時,在同一天,我們遭到大規模攻擊。我不相信這樣的巧合。”

LockBit 的揭秘網站上, BTC-Alpha 的頁面

然而根據LockBit2.0的揭秘網站,操作該勒索軟體的駭客已在11月17日將BTC-Alpha添加為受害者。 LockBit 2.0稱如果他們沒有收到贖金,將在 12 月 1 日公佈BTC-Alpha的數據,據了解雖然Lockbit 2.0 勒索軟體通過內神通外鬼的方式入侵了BTC-Alpha系統,駭客通過他們的電腦直接向BTC-Alpha的員工發送病毒,當中有員工讓這種病毒進入。在入侵過程,駭客更試圖竊取用戶的資金,但最終仍沒有成功,竊取了BTC-Alpha交易平台的原始碼及36.2萬名用戶的詳細資訊,LockBit2.0目前開價100 BTC 約1800 萬美元的贖金,但據了解BTC-Alpha拒絕談判。

值得一說,BTC-Alpha 於 2021 年 11 月 1 日,即公司成立 5 週年紀念日遭到攻擊。據Bodnar稱,這次襲擊是由半年前精心策劃的,目前仍有未解決的問題使公司無法對損害進行全面評估,但在未來幾天交易所全面恢復後,所有用戶都可以從他們的賬戶中自由提取資金。

BTC-Alpha為前100 大加密交易所之一

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

IPv4:

139.60.160.200

168.100.11.72

174.138.62.35

185.215.113.39

193.38.235.234

45.227.255.190

88.80.147.102

93.190.143.101

93.190.139.223

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

CISA制定了新的網路安全事件和漏洞回應手冊,旨在改進和標準化聯邦及民營機構在面臨威脅時的安全流程

Key Points:

*CISA 發布事件和漏洞回應手冊,以加強聯邦及民營機構的網路安全

*這是拜登總統改善國家網路安全頒布的行政命令的一部分

*CISA建議各機構應使用手冊來塑造整體防禦性網路行動

11月16日(週二)美國網路安全暨基礎設施安全局(CISA)發布了新的指導手冊,其中包括針對面臨全資威脅時聯邦及民營機構的標準化回應程序。新的指導方針是CISA根據拜登總統在5月份頒布的網路安全行政命令而制定的,據了解,指導手冊中的範例為聯邦及民營機構提供了一套標準程序,以應對影響它們網路的漏洞和資安事件,手冊涵蓋了機構應如何管理與事件和漏洞相關的網路安全流程——包括準備(preparation)、調查(investigation)、遏制(containment)、報告(reporting)和補救(remediation)。CISA 在宣布手冊時表示,聯邦及民營機構應該使用這些手冊來塑造他們的整體防禦網路行動。

手冊以CISA 約束性操作指令 22-01( Binding Operational Directive 22-01 ) 為基礎,標準化了在應對這些對聯邦政府、私營和公共部門構成重大風險的漏洞時應遵循的流程,CISA強烈建議公營和私營機構的合作夥伴檢閱手冊,以評估他們的漏洞和事件回應實踐。手冊內容包括事件回應手冊(Incident Response Playbook)適用於涉及已確認的惡意網路活動且已宣布或尚未合理排除的重大事件,漏洞回應手冊(Vulnerability Response Playbook ) 適用於任何被對手觀察到用於獲取未經授權進入電腦資源的漏洞。

CISA 敦促各機構應使用這些手冊來幫助塑造整體的防禦性網路行動,以提高整體彈性和確保一致性和有效的回應。

Emotet捲土重來並以Trickbot重建其殭屍網路!

Key Points:

*在歐洲刑警關閉Emotet殭屍網路及其C2伺服器的十個月後,Emotet再次活躍起來。

*今年 4 月 25 日,執法部門還從受感染的電腦上大規模移除了 Emotet。

*新的 Emotet 伺服器和惡意軟體樣本已於 11 月 14 日出現。

Emotet 惡意軟體曾被認為是傳播最廣泛的惡意軟體,它使用垃圾郵件活動和惡意附件來分發惡意軟體,Emotet 會使用受感染的設備來執行其他垃圾郵件活動並安裝其他payloads,例如 QakBot (Qbot) 和 Trickbot 惡意軟體。然後,這些payloads將用於向駭客提供部署包括 Ryuk、Conti、ProLock、Egregor 等勒索軟體的入侵初期的存取權限。

今年年初,由歐洲刑警組織和8國警方合作協調的一項國際執法行動接管了 Emotet 基礎設施並逮捕了兩名系統管理員,並為了預防Emotet起死回生,於4月25自遠端關閉了受害系統上的Emotet功能並自動執行程式,移除Emotet殭屍網路,從受感染的設備中移除了惡意軟體,但新的Emotet伺服器和惡意軟體樣本已於 11 月 15 日出現。

Photo Credit: Cryptolaemus
Emotet感染鏈, Photo Credit:SANS ISC

來自CryptolaemusGDataAdvanced Intel的研究人員已經開始看到 TrickBot 惡意軟體在受感染設備上投放Emotet的載入器(Loader),根據Cryptolaemus研究員,在過去駭客經常運用Emotet來在受害電腦下載TrickBot,但駭客現在使用一種稱為“Operation Reacharound”的方法,利用TrickBot 的現有基礎設施重建 Emotet 殭屍網路,研究員相信這可能是Emotet回歸的方式。

另外,Cryptolaemus的成員 Abuse.ch發布了新的Emotet殭屍網路C2伺服器列表,據了解,新的 Emotet 基礎設施正在迅速增長,已有超過 246 台受感染設備已經充當C2伺服器,強烈建議網路管理員封鎖以下相關的 IP 地址。

177.72.80.14

51.210.242.234

51.178.61.60

196.44.98.190

185.148.169.10

142.4.219.173

168.197.250.14

94.177.248.64

81.0.236.93

66.42.55.5

45.76.176.10

188.93.125.116

103.8.26.103

103.8.26.102

相關的Indicators of Compromise (IOCs)

SHA256 hash: 7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24

SHA256 hash: bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245

SHA256 hash: f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285

SHA256 hash: d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32

SHA256 hash: 88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9

SHA256 hash: 1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

URLs:

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/

製作TrickBot殭屍網路的駭客組織與釣魚郵件駭客Shatak聯手合作,在受害電腦上植入Conti勒索軟體

根據資安業者Cybereason最新的報告指出,TrickBot殭屍網路背後的駭客組織Wizard Spider目前正與 Shatak (TA551) 駭客組織合作,散布TrickBot 和 Bazar Backdoor 惡意軟體,以用於在受感染系統上部署 Conti 勒索軟體。研究人員發現,Shatak 和 TrickBot 於 2021 年 7 月開始合作,並取得了不錯的成果,

因此攻擊活動一直持續到今。

Shatak 的感染鏈
Photo Credit:Cybereason

Cybereason警告說Shathak 駭客組織正在大肆散佈惡意惡意垃圾郵件,這些郵件以受密碼保護的存檔檔案的形式附加到網路釣魚電子郵件中,檔案包含帶有macros的惡意檔案,這些macros可以下載和執行 TrickBot 或 BazarBackdoor,使駭客能進行包括偵察、橫向移動、竊取憑證和數據外洩。

據了解,製作TrickBot殭屍網路的駭客組織Wizard Spider(或被稱為ITG23),除通過勒索軟體即服務 ( Ransomware as a Service;RaaS ) 運作模式將惡意軟體的存取權出租給會員之外,還負責開發和維護Conti勒索軟體。

Cybereason 的研究人員說,他們觀察到駭客獲得初始入侵到企業網路,再到駭客實際部署勒索軟體的平均時間為兩天,可見這聯手合作發揮了相當大程度的功效。美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 警報,截至 2021 年 9 月,Conti 勒索軟體針對美國和其他國際企業的攻擊已發生超過 400 起。

為了保護系統免受 Conti 勒索軟體的入侵,CISA和FBI建議實施的緩解措施,包括多重身份驗證 (MFA)、禁用未使用的 RDP 服務、實施網路分段以及使操作系統和軟體保持最新狀態等。