MITRE公布2021年前 25 名最危險的軟體安全缺陷-Top 25 Most Dangerous Software Weaknesses

2021年通用缺陷列表(Common Weakness Enumeration-CWE) 項目中,前 25 名最危險的軟體安全缺陷已出爐! 該項目是由美國國土安全部(Homeland Security)旗下的國土安全系統工程與發展研究所 (HSSEDI) 贊助,並交由非營利的研發機構MITRE負責管理。

MITRE參考了由2021 年 3 月 18 日下載到的美國國家漏洞資料庫 (NVD)的2019 年和 2020 年常見漏洞披露(Common Vulnerabilities and Exposures,CVE) 數據,分析了大約 32,500個 CVEs特性與CVSS(常見漏洞評分系統)分數後,公布了前 25 名最危險軟體安全缺陷的排名。第一名是編號CWE-787的越界寫入(Out-of-bounds Write)缺陷。

MITRE公布2021年最危險軟體安全缺陷排行

2021年列出的前三名最危險漏洞類別中,第1名是CWE-787的越界寫入(Out-of-bounds Write)缺陷,這缺陷在2020年時位列第2名。越界寫入指的是軟體在預期緩衝區的末尾或開頭之前寫入數據,這會導致數據損壞、當掉或允許程式執行,使軟體可修改index或執行指標運算(Pointer arithmetic)來引用緩衝區邊界之外的存儲位置,令隨後的寫入操作產生未定義或意外的結果。

今年的第二名是CWE-79,是在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation)而可能衍生出各種跨站程式攻擊(Cross-site scripting,XSS),CWE-79是在去年的第一名。

第三名缺陷是CWE-125的越界讀取(Out-of-bounds Read)指的是軟體讀取超出預期緩衝區末尾或開頭之前的數據,可允許攻擊者從其他內存位置讀取敏感資訊或導致當掉。

總體而言,前 25 名最危險的軟體安全缺陷可導致軟體中的嚴重漏洞,攻擊者通常可利用這些漏洞來控制受影響的系統、獲取敏感資料或導致阻斷服務的情況等,企業應在軟體開發流程中排除和解決這些缺陷。

Source: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

您的手機是否被以色列飛馬間諜軟體入侵?! 快~下~載檢測工具包

上週末,國際17家媒體聯合調查,披露了色列網路公司 NSO Group開發的間諜軟體飛馬(Pegasus),能夠入侵iPhone或Android系統,提取訊息、照片和電子郵件,對通話進行錄音,並在使用者不知情的情況下遠端啟動手機的話筒和攝像頭,進行即時監控。由國際特赦組織(Amnesty International)和法國非牟利新聞機構Forbidden Stories獲取的潛在監控清單上有5萬多個電話號碼,這些可能被監控的5萬多組手機號碼來自全球50多個國家地區。

飛馬惡意軟體起初是以網路釣魚方式,向用戶發放一條惡意鏈接,用戶只要一點擊就會中招,後來發現可通過開採iPhone中Zero- click iMessage漏洞,從遠端安裝就能直接控制手機,讓 iPhone 使用者即使沒點選不明連結也會中招。國際特赦組織Citizen Lab 研究員 Bill Marczak在一條推文中表示,NSO Group開採的Zero Click漏洞適用於 iOS 14.6,直到目前iOS 14.6 仍是最新版本的系統。

但國際特赦組織表示,可透過 Github 上發佈的 Mobile Verification Toolkit,來檢查自己的手機是否成為惡意軟體飛馬的入侵目標,國際特赦組織表示, iPhone 更比Android 設備易於發現的鑑識痕跡, Mobile Verification Kit可掃描 iPhone 以及 Android 手機的備份,再從中檢查是否有惡意軟體飛馬。為了調查惡意軟體飛馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs) 例如:有沒有用 NSO 網域名所發出的簡訊或信件等,如果您有加密的 iPhone 備份,您還可以使用 MVT 來解密您的備份,而無需製作全新的副本。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

Source:

https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

美國正式起訴中國政府資助的駭客組織APT 40的四名成員

7月19日美國聯合歐盟、英國、澳洲、加拿大、紐西蘭、日本與北大西洋公約組織(NATO)成員國,共同譴責中國發動惡意網路攻擊,以盜竊取智慧財產權、商業機密與傳染性疾病研究等,同時正式將3月初利用微軟Exchange Server的漏洞,對全球數以萬計的電腦及網路發動大型網路間諜行動歸咎於中國國家安全部,美國司法部今天同步公布5月一份起訴書,指控四名中國公民代表中國政府對世界各地的公司、政府機構和大學進行駭客攻擊。美國稱,這四名嫌疑人隸屬於中國國家安全部(China’s Ministry of State Security-MSS)下屬的海南省國家安全廳(Hainan State Security Department),並以一家名為海南仙盾科技的公司作為幌子公司從事駭攻,根據起訴書,至少自 2011 年以來,其中丁曉陽、程慶民與朱允敏3名被告為海南國安廳官員,負責協調、管理中共國安部旗下幌子公司內駭客,進行有利中國和相關企業的駭客行動。另一名被告吳淑榮則負責製造惡意軟體,對外國政府、企業與大學電腦系統進行網攻。

根據法庭文件,在APT40進行入侵時,常使用 Tor 網路來存取和操作他們的惡意軟體(BADFLICK, PHOTO, MURKYTOP, 和 HOMEFRY和駭客基礎設施(包含伺服器、網域、電子郵件、GitHub 和 Dropbox 帳戶。)該組織經常使用 GitHub 來存儲惡意軟體和被盜數據,並使用圖像隱碼術(Steganography)來隱藏程式碼,將數據隱藏在圖像中。由於大多數公司不會將 Dropbox 流量視為惡意流量,APT40還經常濫用 Dropbox 帳戶作為被盜數據的收集點。

起訴書指出,受害者遍及美國、英國、瑞士、奧地利、柬埔寨、加拿大、德國、印度尼西亞、馬來西亞、挪威、沙特阿拉伯等12國,遭鎖定產業也橫跨航空、國防、政府與生物製藥等,被盜的商業機密和數據包括用於潛水器(submersibles)和自動駕駛汽車的機密技術、特殊化學配方、商用飛機維修、專有基因定序技術等。APT40 還涉嫌從研究機構和大學竊取針對與伊波拉病毒中東呼吸症候群冠狀病毒、愛滋病、馬堡病毒和兔熱病等相關的傳染病研究數據。此外,美國調查人員表示,APT40 與海南和中國各地的多所大學密切合作。該組織利用他們的海南仙盾公司,與大學工作人員合作,從大學中招募駭客和語言學家,以助他們未來的入侵。

另外,在白宮宣布和司法部指控之後,CISA、國土安全部和聯邦調查局聯合發布了一份檢測 APT40 入侵和活動的技術指南,其中包含 50 多種觀察到中國網軍使用的網路攻擊戰術流程(Tactics, Techniques and Procedures),入侵指標( IOCs)和緩解措施。

有關情資:

Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department | CISA

Rewards for Justice! 美國反勒索軟體攻擊祭出1000萬美元懸賞

美國國務院(Department of State)今天宣布Rewards for Justice(正義獎勵) 計畫,為遏止重大基礎設施遭網攻和勒索軟體事件的激增,將懸賞最高1000萬美元(約新台幣2.79億元)給可以提供識別駭客身份、位置的資訊或線索的相關人士。

最近兩個月,美國最大肉類加工巨頭JBS Foods 和美運油公司Colonial Pipeline 遭駭攻,影響了美國的食品和燃料供應數天,甚至在某些地區引起美國民眾恐慌。許多資安公司和行業專家指責俄羅斯,指責克里姆林宮容忍並允許這些駭客在不攻擊俄羅斯組織的情況下從其他國家開展攻擊活動。

通過今天公告,可見國務院正在尋找證據,以證明這些駭客是在當地政權的某種幫助或指導下運作的。

懸賞的1000萬美元是通過國務院的正義獎勵 (Rewards for Justice) 計劃提供的,該計劃曾懸賞500萬美元以獲取有關北韓駭客及其正在進行的駭客活動的情報,並對有關任何國家資助的駭客干預美國大選提供資訊者予以最高1000 萬美元的獎勵。

為了保護潛在消息來源的安全,國務院表示願意以加密貨幣支付獎勵金,甚至建立了一個專門的暗網入口網站來接收匿名提示。

微軟稱中國駭客開採了SolarWinds Serv-U中的零時差漏洞,並將攻擊歸因於DEV-0322

微軟週二表示,中國駭客開採了SolarWinds Serv-U FTP 伺服器中的漏洞,並積極瞄準美國國防和軟體公司。今天,SolarWinds 再一次更新了針對其Serv-U FTP 伺服器中的零時差漏洞的安全更新, CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中。當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。

攻擊的消息於 7 月 9 日星期五首次浮出水面,SolarWinds 發布了一個安全更新,以修補Serv-U中的一個已被開採的零時差漏洞。當時,SolarWinds 表示是在收到微軟的通知之後才知道漏洞 (CVE-2021-35211)受到持續的攻擊,但沒有發布 Serv-U 修補 (v15.2.3 HF2) 以外的任何其他細節。今微軟透露,很有把握對將這些攻擊歸因於一個名為“DEV-0322”的中國駭客組織。微軟威脅情報中心(Microsoft Threat Intelligence Center -MSTIC)在部落格文章中說,DEV-0322經常依賴由路由器或其他類型的物聯網設備組成的殭屍網路。

“MSTIC 觀察到 DEV-0322 以美國國防工業基地部門實體和軟體公司公開暴露的 Serv-U FTP 伺服器為目標,並已觀察到DEV-0322在基礎架構中使用商業 VPN和受損的消費者路由器。”

這些攻擊也標誌著中國駭客組織第二次濫用 SolarWinds 軟體來破壞企業和政府網路,早在 2020 年 12 月,就在俄羅斯策劃的 SolarWinds 供應鏈攻擊曝光的同時,中國駭客組織SPIRAL也在忙著利用 CVE-2020-10148 漏洞在 SolarWinds Orion IT 監控平台上安裝 web shell。

另外根據 Censys 的search query,自上週Solarwinds發布修補以來仍有超過 8,200 個 SolarWinds Serv-U 系統將其 SSH 端口暴露在網上,總而言之,使用 SolarWinds Serv-U FTP 伺服器的公司應通過安裝Solarwinds發布的修補或關閉對伺服器的 SSH 存取來保護自己免受 DEV-0322 攻擊。

有關情資:

Serv-U Remote Memory Escape Vulnerability being exploited in the wild CVE-2021-35211

中國網軍濫用直播軟體OBS,在賭博網站上傳播 BIOPASS木馬程式

Key Points:

*研究人員在針對中國賭博網站用戶的攻擊中發現了新的RAT(遠端存取木馬程式) “BIOPASS”

*BIOPASS利用 OBS Studio 軟體向攻擊者直播受害者的螢幕

*已經發現 BIOPASS 惡意軟體與Winnti/APT41 的中國APT駭客組織之間存在聯繫

Trend Micro研究人員警告說,一種新的惡意軟體正在通過水坑攻擊(Watering hole)來入侵中國的線上賭博公司,以部署 Cobalt Strike beacon程式或新的Python 的後門程式BIOPASS RAT,該後門利用 Open Broadcaster Software(簡稱為OBS Studio) 的直播實況串流應用程式直播受害者的螢幕給攻擊者。研究人員指出RAT 已被偽裝在 Adobe Flash Player 或 Microsoft Silverlight 的合法安裝程式中(這兩種軟體已到產品生命週期終止End of Life),但在中國仍然使用。根據上週TrendMicro的研究報告,攻擊者在中國賭博網站的技術/聊天支援頁面上植入的惡意 JavaScript 程式將用戶重新導向到攻擊者用於感染受害者的頁面。

具體來說,那些安裝了惡意 Flash Player 和 Silverlight 應用程式的人,不止安裝了合法版本的軟體同時也將BIOPASS木馬程式安裝下去,從而使攻擊者可以完全控制他們的系統。

研究人員在分析中指出,BIOPASS具有在其他惡意軟體中發現的基本功能,例如檔案系統評估、遠端桌面存取、檔案外洩和 shell 命令執行。同時它還能夠通過竊取web browser和即時通訊客戶端數據來洩露受害者的私人資訊。

雖然 BIOPASS 看起來與任何其他遠端存取木馬程式一樣,但它還帶有任何其他惡意軟體中沒有的新功能——即它在受害者的系統上安裝 OBS Studio軟體。OBS Studio 是個免費且開放原始碼的影音串流直播工具,可支援 YouTube, YouTube Gaming, Twitch, Facebook Live, Smashcast, DailyMotion, Twitter…等三十多個影音平台與直播服務。

BIOPASS 除了具有運行典型間諜軟體範圍的一系列功能外,還配備通過即時通訊遞協定 (RTMP) 將即時串流流建立到攻擊者控制下的遠端服務,此外還可使用 Socket.IO 協定與C2伺服器通信。

趨勢科技的研究人員表示,他們發現 BIOPASS 與 Winnti Group(又名APT41)相關的 TTPs 之間存在重疊,Winnti Group是一個專門從事網路間諜攻擊的中國政府長期資助的對象,官方色彩非常濃厚。2020年5月中,法務部調查局曾就中油、台塑化及封測廠力成遭惡意程式攻擊,研判為Winnti Group所為。

Winnti除了發動的路間諜攻擊外,過去也曾對線上遊戲公司發動於經濟動機的攻擊,以謀取利益。

有關BIOPASS RAT的情資:

https://otx.alienvault.com/pulse/60ec06ea60906a8a9c69cf23

研究人員:微軟發布的緊急例外修補未能完整修補PrintNightmare漏洞

即使 Microsoft在7月6日為 Windows 10 版本 1607、Windows Server 2012 和 Windows Server 2016 的 PrintNightmare 漏洞發布了緊急例外修補KB5004945,隨著越來越多的研究人員開始修補他們的漏洞並測試修補,今確定漏洞可完全繞過整個修補來實現遠端程式碼執行(RCE)和本地特權升級(LPE)。

PrintNightmare 源於 Windows Print Spooler服務中的錯誤,該服務管理本地網路內的列印過程。該威脅的主要問題是非管理員用戶能夠load他們自己的列印機驅動程式,但這已得到糾正。微軟最新更新要求一般使用者僅能安裝經合法簽發的印表機驅動程式,管理員則可安裝經簽發或未經簽發的驅動程式。

在更新發布後,美國CERT/CC 漏洞分析師 Will Dormann 警告說,該補丁“似乎只解決​​了 PrintNightmare 的遠端程式碼執行(通過 SMB 和 RPC 的 RCE),而不是本地特權升級(LPE)”,因此允許攻擊者濫用後者以獲取易受攻擊系統的 SYSTEM 權限。現在,更新的進一步測試顯示,攻擊目標的漏洞可以繞過修補完全獲得遠端程式碼執行(RCE)和本地特權升級(LPE)。但是,要實現這一點,必須啟用Windows群組政策(Group Policy) 中名為“Point and Print Restrictions” 的政策(Computer Configuration\Policies\Administrative Templates\Printers: Point and Print Restrictions),使用該政策安裝惡意印表機驅動程式。

值得注意,Microsoft 為 CVE-2021-34527 更新並不能有效防止Point and Print政策中 “NoWarningNoElevationOnInstal”設置為 1 (set to 1)的系統開採。Dormann表示,就微軟而言,它在其公告解釋說,”Point and Print” 與此漏洞沒有直接關係,但該技術削弱了本地環境,從而使漏洞可被開採。”

雖然 Microsoft 已建議停止和關閉 Print Spooler 服務的核心選項,但另一種解法是啟用Point and Print,並通過配置”RestrictDriverInstallationToAdministrators”記錄檔,來限制管理員單獨安裝印表機驅動程式的權限以防止普通用戶在印表機伺服器上安裝驅動程式。

Microsoft緊急發布例外更新-KB5004945,以修補PrintNightmare 漏洞

Microsoft 敦促客戶立即安裝這些例外的安全更新以解決 PrintNightmare 漏洞,但有研究人員指出這次修補只補好RCE漏洞,本地權限升級(LPE)漏洞仍未修補好。

Windows PrintNightmare Vulnerability

今天微軟發布了緊急的例外(Out-of-band)安全更新,以修補以一個關鍵的零日漏洞(稱為“PrintNightmare”), 該漏洞影響Windows Print Spooler 服務,可讓攻擊者執行任意程式碼並接管易受攻擊的系統。

在上周微軟警告稱已檢測到攻擊者針對編號為CVE-2021-34527(CVSS 8.8)的開採,且該遠端程式碼執行缺陷影響所有市場上的Windows版本。

根據美國CERT協調中心(CERT Coordination Center),Windows Print Spooler 服務未能限制對允許用戶添加印表機和相關驅動程式功能的存取,這可允許遠端身份驗證的攻擊者以系統權限在易受攻擊的系統上執行遠端程式碼。

值得注意的是,PrintNightmare漏洞包括遠端程式碼執行(RCE)和本地特權升級(LPE) 向量,可在攻擊中被濫用以在目標 Windows 機器上運行具有系統權限的命令。

CERT/CC 漏洞分析師 Will Dormann說: 微軟針對 CVE-2021-34527 的更新似乎只解決​​了 PrintNightmare 的遠端程式執行(RCE),而不是本地特權升級(LPE)。這實際上意味著修補不全,攻擊者仍可以在本地利用該漏洞獲得系統(SYSTEM)權限。在微軟發布例外更新後,安全研究員 Matthew Hickey也證實該修補僅修復了 RCE 而不是 LPE 組件。

另外另一個變通方法,Microsoft 建議停止和關閉Print Spooler 列印緩衝處理服務或通過群組政策(Group Policy Object)關閉接收遠端列印以阻止遠端攻擊。CISA 上週也發布了關於 PrintNightmare 零日漏洞的通知,鼓勵管理員在不用於打印的服務器上關閉 Windows Print Spooler 服務。

Windows針對以下版本已發布了修補:

Windows Server 2019

Windows Server 2012 R2

Windows Server 2008

Windows 8.1

Windows RT 8.1, and

Windows 10 (versions 21H1, 20H2, 2004, 1909, 1809, 1803, and 1507)

微軟甚至採取了不常見的做法,為去年正式停止支援的Windows 7 發布修補。Windows 10 版本 1607、Windows Server 2016 或 Windows Server 2012 的安全更新尚未發布,但據微軟稱,它們也將很快發布。

瑞典連鎖超市Coop不是Kaseya VSA的客戶,卻遭到龐大的影響!被迫關閉800家門店!

史上最大規模的勒索軟體攻擊在全球蔓延,在7月2日Kaseya事件發生後,因為無法操作收銀機和自行付費結帳(self-check out)系統,迫使瑞典連鎖超市 Coop連鎖店於7月2日下午關閉其800 家門店。根據這家瑞典連鎖超市其網站上發布的消息,Coop 的 800商店中只有 5 家沒有受到影響,coop.se 的線上商店維持服務。

Coop承認因公司其中一個分包商遭網路攻擊,令其結帳系統無法運作,根據外媒報導,Coop 並未直接在其系統上使用 Kesaya VSA,但他們的軟體供應商之一Visma Esscom使用了 Kesaya, Visma Esscom也證實他們受到了 Kaseya 事件的影響。瑞典媒體 TT 稱,Visma Esscom為許多瑞典企業管理伺服器和設備,除了Coop外,瑞典國家鐵路服務和一家藥房連鎖店也同時受到了不同程度的影響。

雖然Kaseya執行長Fred Voccola曾在2日一份聲明中表示,使用其on-prem VSA 伺服器的客戶中只有不到40家客戶受到該事件的影響,並已經確定了漏洞的來源,將盡快發布修補,但目前連Kaseya 的 SaaS VSA(雲端)服務仍處於離線狀態,新的更新稱“維護期延長至另行通知”。

然而,Kaseya的40 家客戶大多是託管服務提供商 (MSP),這些公司使用 Kaseya 的 VSA 平台為自己的客戶管理 IT 基礎設施,因此目前認為該事件間接影響了全球上千家公司,而瑞典連鎖超市 Coop 似乎是目前受影響最大的公司。

另外根據ESET的遙測(telemetry)數據,全球多國家紛紛受到Kaseya事件的影響,受害公司有來自日本、印尼加拿大、德國、美國、哥倫比亞、瑞典等國

一些專家表示,REvil故意在美國7月4日獨立日假期前發動攻擊,目的是假期間企業的IT人手薄弱,以利其盡快傳播勒索軟體。

美國總統喬拜登週六宣布對這起國際勒索軟體攻擊展開調查,他已指示美國情報機構FBI著手調查,誓言揪出幕後黑手。

有關Kaseya VSA供應鏈勒索攻擊的最新情資:

Kaseya VSA Supply-Chain Ransomware Attack

Source:

https://www.reuters.com/article/us-usa-cyber-kaseya-sweden/cyber-attack-against-us-it-provider-forces-swedish-chain-to-close-800-stores-idUSKCN2E90F5

https://www.bbc.com/news/technology-57707530

https://www.theguardian.com/technology/2021/jul/03/kaseya-ransomware-attack-us-sweden

https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

SolarWinds事件2.0,REvil鎖定Kaseya VSA軟體發動大規模供應鏈勒索攻擊,過百間公司遭駭,全球客戶感染勒索軟體

美國CISA呼籲立即關閉Kaseya的VSA 伺服器

在美國迎來7/4國慶日之際,REvil 勒索軟體的幕後駭客投下震撼蛋,他們被發現通過IT供應商Kaseya的VSA軟體的自動更新,將其勒索軟體散播到最少8間MSP和200間企業的網路中,造成史上最大供應鏈勒索攻擊。

這起件事是REvil利用許多託管服務提供商 (MSP) 使用的Kaseya VSA 端點監控軟體進行廣泛的供應鏈攻擊。據知REvil獲得了Kaseya 基礎設施的存取權限,並使用受感染的Kaseya VSA軟體的更新在企業網路上部署勒索軟體藉以加密企業,勒索贖金。

外媒取得其中一封Kaseya事件中受害公司的贖索信,要求高達5百萬美元的贖金,目前不清楚是否每間受害公司需付同樣金額,或每個MSP是否有個別的勒索信

根據外媒報導,受感染的Kaseya惡意更新從VSA 的on prem伺服器,透過使用內部scripting引擎,將勒索軟體部署到所有連接的客戶端系統,Kaseya 敦促所有 IT 管理服務提供商 (MSP) 客戶立即關閉on prem設備,以防止攻擊在調查過程中蔓延。此外,除了建議客戶關閉他們的VSA伺服器之外,為了阻止惡意更新的傳播,並試圖將 REvil從其系統中剷除,Kaseya 還關閉了自己的雲端基礎設施。

投遞: REvil通過 Kaseya中的自動軟體更新

REvil立即停止管理員存取 VSA

再把這些檔案丟去客戶端的系統上:

Propagation

Kaseya VSA 的設計是以高管理員系統權限運行,REvil使用惡意動態連結程式庫,該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行,以加密受害者數據。作為攻擊鏈的一部分,惡意軟體執行代碼通過 PowerShell 腳本,禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控

檔案夾存取(勒索軟體防護功能)、入侵保護系統、雲端查找和樣本提交以及網路保護功能。

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

IoCs

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

美國網路安全和基礎設施安全局 (CISA) 表示,目前正在針對此攻擊採取行動,以了解並解決此事件。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Source:

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

https://old.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354