利用該漏洞Akira勒索軟體，從初始登入到資料洩露的整個操作，僅花了 133 分鐘。

備份軟體Veeam Backup & Replication中的漏洞CVE-2023-27532（CVSS風險評為7.5分），此漏洞的根源發生在Veeam.Backup.Service.exe元件。網路攻擊者可以利用這個漏洞來取得組態資料庫(configuration database)中儲存的加密憑證，從中取得備份基礎設施主機(backup infrastructure hosts)的存取權限。

該漏洞已於2023年3月獲得修補，不久後該漏洞的PoC漏洞利用程式碼(PoC exploit code)也被公開發布。

有關專家觀察到，俄羅斯網路犯罪組織FIN7自2023年4月以來一直在利用該漏洞。

2023年8月，發現古巴勒索軟體集團利用該漏洞進行攻擊後不久，美國網際安全暨基礎設施安全局CISA將 CVE-2023-27532 增加到其已知遭濫用之漏洞清單中。

新加坡威脅情報公司Group-IB研究人員也發現了一個勒索軟體組織利用了 Veeam Backup & Replication中的漏洞。有關專家的報告指出，2024年4月，EstateRansomware勒索軟體集團使用PoC漏洞利用程式碼來攻擊漏洞CVE-2023-27532。

在網路安全公司BlackBerry 的報告中揭露，於2024年6月，網路攻擊團體利用Akira勒索軟體攻擊了一家拉丁美洲航空公司。對目標網路的初始存取是透過 Secure Shell (SSH) 協定進行的，攻擊者在第二天部署Akira勒索軟體之前竊取了關鍵資料。一旦資料外洩成功，攻擊者就會部署勒索軟體來加密受感染的系統。Akira是一種勒索軟體，利用CVE-2023-27532的漏洞來攻擊鎖定的目標、創建未授權帳戶並竊取受害者數據。一旦進入網絡，攻擊者就會創建一個名為“backup”的account，並將其增加到管理員群組中以確保提升的權限。攻擊者部署了合法的網路管理工具Advanced IP Scanner來掃描透過route print識別的本地子網路。整個操作，從初始入侵到資料洩露，僅花了 133 分鐘。

據了解，操作Akira的駭客團體可能利用企業尚未修補的Veeam Backup & Replication漏洞，進而執行初始存取、部署各種後脅迫(post-exploitation)工具、執行Active Directory偵察並癱瘓安全防護產品。

Veeam備份資料的所有權是透過Veeam備份資料夾取得的，而網路攻擊者則從其他系統壓縮和上傳資料。此備份中包含文件、圖像和電子表格等常見的文件類型，勒索軟體集團企圖藉由收集並利用機密和有價值的數據來獲取自己的經濟利益。

Veeam 漏洞事件的部分的入侵指標（IOCs）:

2c56e9beea9f0801e0110a7dc5549b4fa0661362                 

5e460a517f0579b831b09ec99ef158ac0dd3d4fa                 

107ec3a7ed7ad908774ad18e3e03d4b999d4690c

DodgeBox 是一個載入程式，它會載入名為 MoonWalk 的新後門

   知名資安外媒The Hacker News報導，中國駭客組織APT41使用已知惡意軟體StealthVector 的「高級升級版」來投放先前未紀錄過的後門名為MoonWalk。   

2024年4月Zscaler ThreatLabz 發現了 StealthVector的新變種，被Zscaler 認定為改進版本的DodgeBox。DodgeBox與StealthVector一樣，是一個用C語言編寫的Shell代碼載入器，可以配置各種功能——包括「解密和加載嵌入的DLL、進行環境檢查和綁定以及執行清理程式。」

然而與StealthVector相比，DodgeBox在其實施上有顯著改進。DodgeBox的一些功能包括加密——它使用AES密碼反饋（AES-CFB）模式加密其配置。它還進行一系列環境檢查，以確保它達到了正確的目標並擁有正確的權限，以確保最大限度地訪問受害者的系統。

安全研究人員表示，DodgeBox 是一個載入程式，它會載入一個名為MoonWalk的新後門。同時也結合了呼叫堆疊誘騙、DLL側載和DLL空洞等的各種技術。MoonWalk擁有DodgeBox的許多規避技術，並利用Google Drive 進行命令和控制通訊。目前尚不清楚惡意軟體傳播的確切方法。

研究人員表示， APT41採用DLL側載作為執行DodgeBox的一種方式。利用由Sandboxie簽署的合法可執行檔(taskhost.exe)來側載惡意DLL(sbiedll.dll)。”流氓DLL (即DodgeBox) 是一個用C語言編寫的DLL載入器，充當解密和啟動第二階段有效負載(MoonWalk 後門)的管道。

將DodgeBox 歸屬於APT41源自於DodgeBox與StealthVector的相似之處 ; 使用DLL側面加載，這是China-nexus組織廣泛使用的技術，用於傳播PlugX等惡意軟體 ; 事實上，DodgeBox樣本已從泰國和台灣提交給VirusTotal。

APT41自2007年來一直活躍至今，APT41也被稱為Barium、Wicked Panda、Wicked Spider和Earth Baku——與中國國家安全部有密切聯繫。除了數位間諜活動外，該組織還偶爾進行以金錢為目的的犯罪行為。Google的Mandiant安全單位認為這是該組織資助其間諜活動的方式。多年來，美國政府已指控APT41成員入侵全球超過100名受害多家公司的電腦網路。

2021年5月至2022年2月期間該威脅組織與對美國州政府網路的入侵有關，此外還使用名為Google Command and Control（GC2）的開源紅隊工具針對台灣媒體組織發動攻擊。

APT41相關的部分的入侵指標（IOCs）:

0d068b6d0523f069d1ada59c12891c4a                        

294cc02db5a122e3a1bc4f07997956da                                            

393065ef9754e3f39b24b2d1051eab61                                   

4141c4b827ff67c180096ff5f2cc1474                   

72070b165d1f11bd4d009a81bf28a3e5                         

b3067f382d70705d4c8f6977a7d7bee4     

bc85062de0f70afd44bb072b0b71a8cc

bcac2cbda36019776d7861f12d9b59c4

d72f202c1d684c9a19f075290a60920f                

f062183da590aba5e911d2392bc29181               

     美國雲端通訊巨頭Twilio週三向證實遭駭，根據TechCrunch的報導，名為ShinyHunters的駭客在知名駭客論壇上的貼文表示，他們入侵了Twilio，能夠識別與Authy (Twilio旗下流行的雙重認證應用程式) 帳戶相關的數據，並取得3,300萬名Authy用戶的電話號碼。Twilio強調Authy帳戶並未受到入侵，然而駭客可能嘗試使用與Authy帳戶關聯的電話號碼進行網路釣魚和簡訊攻擊。                              

     2022年，Twilio遭受了更大規模的資料洩漏，當時一群駭客存取了100多家公司的客戶資料。隨後，駭客發起了大規模的網路釣魚活動，導致至少130家公司的約10,000份員工憑證被盜。Twilio表示，作為當時入侵的一部分，駭客成功瞄準了93名Authy用戶，並能夠在這些受害者的Authy帳戶上註冊其他設備，使他們能夠有效竊取真正的雙因素代碼。

     網路安全專家Rachel Tobac向TechCrunch表示 : 「如果攻擊者可以列舉用戶的電話號碼列表，那麼這些攻擊者就可以對這些用戶冒充Authy / Twilio ，從而增加對該電話號碼進行網路釣魚攻擊的可信度。」

     Twilio發言人Kari Ramirez 告訴TechCrunch，該公司「已偵測到，由於端點未經身份認證，駭客能夠識別與Authy帳戶相關的數據，包括電話號碼。我們已採取措施保護此端點，不再允許未經身份驗證的請求。」

   7 月 1 日，Twilio也在其官方網站上發布了警告，其中包括一封電子郵件中相同的聲明:「我們沒有看到任何證據表明駭客獲得了Twilio系統或其他敏感資料的存取權限。作為預防措施，我們要求所有Authy用戶(在您運行的任何裝置上)更新到最新的Android和iOS應用程式以獲得最新的安全更新，我們鼓勵所有Authy用戶保持警惕，並對接收到的簡訊提高警覺。」

竣盟科技提醒Authy用戶，多種最佳實踐可以幫助降低因資料外洩而遭受網路釣魚攻擊的風險：

1. 定期更新軟體：定期更新應用程式可確保修補任何已知漏洞，從而更好地防止潛在的漏洞。
2. 對未經請求的訊息持懷疑態度：使用者應警惕未經請求的訊息，尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
3. 驗證真實性：如果訊息聲稱來自 Authy 或 Twilio 等合法服務，使用者應在採取任何操作之前透過官方管道驗證其真實性。
4. 啟用額外的安全措施：在可能的情況下，啟用額外的安全功能（例如生物辨識身分驗證或基於硬體的雙重認證）可以提供額外的保護層。
5. 自學網路釣魚策略：了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。

根據國外資安媒體TheHackerNews的報道，名為Velvet Ant的中國APT駭客組織利用Cisco交換機中NX-OS軟體的零時差漏洞，編號為CVS-2024-20399 (CVSS評分: 6.0) 的命令注入漏洞，允許經過驗證的攻擊者以root身份，在受影響設備的底層作業系統上執行任意命令，傳播惡意軟體。

     Velvet Ant於上個月首次被以色列網路安全公司紀錄在案，該事件涉及針對東亞一個未命名組織的網路攻擊，持續約三年，透過使用過時的F5 BIG-IP設備建立持久性，秘密竊取客戶和資料。

     網路安全公司Sygnia表示「透過利用此漏洞，Velvet Ant 成功執行了一種以前未知的自訂惡意軟體，該惡意軟體允許威脅組織遠端連接到受感染的Cisco Nexus、上傳其他文件並在設備上執行代碼。網路設備，特別是交換機，通常不受監控，它們的日誌也經常不會轉發到集中式日誌系統。」”缺乏監控給識別和調查惡意活動帶來了重大挑戰。”

     Cisco表示，該問題源於對傳遞給特定配置CLI命令的參數驗證不足，攻擊者可以透過精心設計的輸入作為受影響的配置CLI命令的參數來利用這些參數。更重要的是，它使具有管理員權限的使用者能夠在不觸發系統日誌訊息的情況下執行命令，從而可以隱藏被駭設備上shell命令的執行情況。

     以下為受到CVE-2024-20399影響的Cisco交換機設備 :

• MDS 9000 系列多層交換機
• Nexus 3000 系列交換機
• Nexus 5000 平台交換機
• Nexus 5600 平台交換機
• Nexus 6000 系列交換機
• Nexus 7000 系列交換機
• 獨立NX-OS模式的Nexus 9000系列交換機

竣盟科技的LogMaster巨量日誌搜尋管理系統，透過設定關鍵字可主動查覺異常日誌紀錄，定期的智能監控日誌內容與收容狀況，主動分析告警讓資安管理人員找出異常行為，從而降低企業資安風險及減輕監控負擔。

      據信中國國家級駭客越來越多地部署勒索軟體，以造成干擾並為其間諜活動提供掩護，美國網路安全公司SentineOne分享的一份報告中顯示，ChamelGang（又名CamoFei）在2022年使用CatB勒索軟體變種針對印度主要醫療機構 (All India Institute of Medical Sciences (AIIMS)和巴西總統辦公室發起的攻擊，以及在2023年針對東亞政府實體和印度次大陸航空組織的攻擊。研究人員表示，ChamelGang 組織反覆部署勒索軟體和加密器，「目的是獲取經濟利益、破壞、分散注意力、入侵歸屬或刪除證據」。 據稱，ChamelGang 先前曾針對多種組織發動攻擊，包括東亞政府、南亞航空組織以及美國、台灣和日本等其他國家的政府和私人組織。

      由於程式碼重疊，研究人員將CatB勒索軟體和BeaconLoader與ChamelGang關聯起來。進一步調查顯示，ChamelGang經常將BeaconLoader偽裝成Windows服務或軟體元件，例如TSVIPSrv.dll和TPWinPrn.dll並可能透過它部署Cobalt Strike來執行偵察命令、其他工具以及竊取NTDS.dit Active Directory等文件資料庫，儲存關鍵資訊。

      ChamelGang的武器庫中擁有許多工具，包括BeaconLoader、Cobalt Strike、AukDoor和DoorMe等後門，以及名為CatB的勒索軟體變種。根據其共通性，該勒索軟體已被確認用於針對巴西與印度的攻擊。

      研究人員還發現ChamelGang使用Jetico BestCrypt 和Microsoft BitLocker來加密端點並索取贖金的入侵，在2021年初至2023年中期影響了北美、南美和歐洲的各個垂直產業。據估計多達37個組織，主要是美國製造業，受到的影響最大。

      使用BestCrypt和BitLocker的入侵以及類似於LIFARS案例中的勒索紀錄，已歸因於名為TimisoaraHackerTeam和DeepBlueMagic的勒索軟體組織。這些組織與針對以色列HillelYaffe 醫療中心等醫療機構的攻擊有關，以色列當局表示懷疑是中國勒索軟體組織為幕後黑手。

      根據俄羅斯資安研究公司Positive Technologies於2021年首次紀錄，ChamelGang被評估為一個與中國有聯繫的組織，其運作動機多種多樣，包括情報收集、資料竊取、經濟利益、拒絕服務(DoS)攻擊和資訊操作。

      SentineOne的報告強調ChamelGang是一個持續存在的全球網路間諜組織，其目標是受戰略利益、區域競爭、地緣政治緊張局勢和技術競爭力驅動的印度和東亞等關鍵基礎設施部門(包含醫療保健、航空和製造業)。

      SentineOne進一步表示，不能排除這些活動是更廣泛的網路犯罪計畫的一部分的可能性，特別是考慮到國家級駭客也不時參與出於經濟動機的攻擊。

      安全研究人員Aleksander Milenkoski告訴  : 「我們觀察到的活動與過去的入侵重疊，涉及與疑似中國和北韓APT駭客組織相關的工作。」他表示，可見性限制可能導致無法檢測到惡意工具本身。偽裝成勒索軟體活動的網路間諜活動為敵對國家提供了一個機會，透過將這些行為歸咎於獨立的網路行為者而不是國家支持的駭客組織，從而聲稱可以進行合理的推諉。

      「網路間諜駭客組織使用勒索軟體模糊了網路犯罪和網路間諜活動之間的界線，從戰略和營運角度為對手提供了優勢。」

中國APT駭客ChamelGang相關的部分的入侵指標（IOCs）:

5a6baf931adad480b920394568c52a9d              

7b5bbc29e6addfa1fdaea839e500f995                          

88ef5955f8fa58e141da85580006b284                          

8dfeaaf7351f695024ed3604a4985e98                

b9337830c32f71a6ecccec60ba42de00              

edc87da8654e966bee0e5c9b92ed67cb                       

098e60cd5053ec9613d32a7ced68e44f1a417353             

09959be9b5f8ca21caa55577ce620034632a3f92              

0c762bff5b4a0bf5abbdf28afc15cfc6dce575b1

#BAN

美國政府宣布，由於來自俄羅斯的安全風險，禁止銷售卡巴斯基軟體，並敦促公民更換該軟體

美國政府週四(6/20)宣布禁止在該國銷售卡巴斯基防毒軟體，並且呼籲目前使用卡巴斯基相關產品的美國境內企業、消費者儘快更改到其他軟體服務。拜登政府宣布，由於俄羅斯對美國國家安全構成的風險，將禁止銷售卡巴斯基防病毒軟體。美國政府正在實施一項新規定，以俄羅斯構成國家安全風險為理由並利用在川普政府期間建立的權力來禁止銷售卡巴斯基軟體。美國商務部工業與安全局 (Bureau of Industry and Security，BIS) 宣布了一項最終裁決，禁止俄羅斯防毒軟體和網路安全公司的美國子公司卡巴斯基實驗室直接或間接提供防毒服務。美國商務部長吉娜·雷蒙多(Gina Raimondo)在周四的新聞發布會上告訴記者，當你想到國家安全時，你可能會想到槍支、坦克和飛彈，但事實是，它越來越與技術與軍民有關，而且與數據有關。 根據商務部長雷蒙，俄羅斯已經顯示出其有能力和意圖利用像卡巴斯基這樣的俄羅斯公司來收集和武器化美國人的個人資訊，因此美國政府必須採取行動的原因。

美國政府專家認為，俄羅斯克里姆林宮對卡巴斯基的影響構成了重大風險，據路透社報導，俄羅斯相關駭客可以濫用該軟體對電腦系統的特權存取權，從美國電腦中竊取敏感資料或散播惡意軟體。

這並不是西方政府首次禁止卡巴斯基，但該俄羅斯公司一直否認與俄羅斯政府有任何聯繫。 路透社報導稱，美國政府將採取另一項措施，將卡巴斯基的三個部門列入貿易限制名單。此舉將大大影響該公司在美國的銷售，並將打擊卡巴斯基的聲譽。據TechCrunch報導，該禁令將於7月20日開始，但該公司的活動，包括向其美國客戶提供軟體更新，將於9月29日被禁止。

「這意味著您的軟體和服務將降級。這就是為什麼我強烈建議您立即找到卡巴斯基的替代方案。」雷蒙多說。

雷蒙多呼籲卡巴斯基的客戶更換他們的軟體，並解釋說，已經使用卡巴斯基防病毒軟體的美國客戶並未違法。

「繼續使用或已有卡巴斯基產品和服務的美國個人和企業並未違法，您沒有做錯任何事，您也不會受到任何刑事或民事處罰。」雷蒙多補充說。「然而，我以最強烈的方式敦促您立即停止使用該軟體，並切換到其他替代方案，以保護自己、您的數據和您的家人。」

卡巴斯基回應指，他們相信美國的決定是基於當前地緣政治氣候和理論擔憂，而非對卡巴斯基產品和服務完整性的全面評估。

6月19日，美國晶片巨頭AMD( Advanced Micro Devices) 稱正在調查潛在的網路攻擊，根據BleepingComputer報道，化名為「IntelBroker」的駭客正在出售其聲稱是從本月在AMD.com 漏洞中獲得的數據，AMD在一份聲明中證實，他們正在調查這起資料被盜事件。

AMD 在給媒體聲明中表示：“我們發現一個網路犯罪組織聲稱擁有被盜的 AMD 資料。我們正在與執法官員和第三方託管合作夥伴密切合作，調查這一說法和數據的重要性。” 前一天(6月18日)，名為 IntelBroker 的網路犯罪組織在一個駭客論壇上發布該消息，聲稱6月某個時間點入侵了 AMD。被盜數據涉嫌包括即將推出的產品規格和計畫的數據，以及涵蓋員工和客戶資料的數據庫。其他被盜數據包括 AMD 的財務狀況、原始碼和韌體和ROM。為了增加駭客稱攻擊的可信度，IntelBroker 公佈了一些被盜數據的截圖，包括 AMD 員工的公司電子郵件地址和內部電話號碼。但顯示的員工資料均被標記為無效(Inactive)，可表明這些員工已經不再在公司工作，電子郵件已經失效。IntelBroker 也沒有公佈任何被盜的客戶資訊，因此不清楚具體被盜的資訊有哪些。但其他截圖顯示了似乎是 AMD 內部文件的內容。特別是，一個截圖文件提到了包括 Ryzen 和 EPYC 晶片系列在內的各種 AMD 晶片的規格發布。另外，2022 年勒索軟體組織RansomHouse曾聲稱從AMD竊得450GB 數據。

今天6月19日， IntelBroker在同一個駭客論壇聲稱入侵了Apple，並現已獲得了三種常用Apple 工具的原始碼，包含Apple Connect-SSO、 Apple -HWE-Confluence-advanced、Apple巨集插件。目前未看到Apple對駭客的聲稱有任何回應，IntelBroker的聲稱仍未獲得證實。根據CyberNews如果屬實，外洩的工具的名稱可表明Apple用於各種系統的單一登入驗證、協作和自動化，可能會危及公司的內部工作流程。然而，未經證實，其程度和影響仍不確定。另外值得注意的是IntelBroker對AMD及Apple的聲稱入侵都是發生在6月。

IntelBroker 以針對知名目標進行高調入侵而聞名，在過去，曾出售據稱從歐洲刑警組織、家得寶 (The Home Depot ) 、匯豐和健康保險市場 DC Health Link等竊取的數據。

    根據近期外媒CRN 和BleepingComputer相繼報導荷蘭軍事情報和安全局(The Dutch Military Intelligence and Security Service-MIVD)發現自2月以來，中國駭客威脅組織在2022年和2023年的幾個月內利用了一個關鍵的FortiOS和FortiProxy遠端程式碼執行零日漏洞CVE-2022-42475，部署於全球至少20,000個易受攻擊的FortiGate防火牆上。

在該活動期間內，Fortinet 於2022年12月披露遠端程式碼執行(REC)漏洞之前的兩個月內，有14000台設備受到滲透並發現西方政府、國防工業國家和國際組織都是目標之一。該活動中利用的RCE漏洞編號為 CVE-2022-42475（CVSS風險評為9.8分），該漏洞與今年早些時候與中國的APT駭客組織Volt Typhoon的攻擊有關。美國相關機構二月份表示，已知Volt Typhoon透過利用包括Fortinet在內的多家供應商的網路設備來獲得相關關鍵基礎設施IT系統的初步存取權限。

 美國機構當時表示，在美國機構分享的一個「已確認的入侵」案例中，Volt Typhoon「可能透過利用網路外圍FortiGate 300D防火牆中的CVE-2022-42475 漏洞獲得關鍵基礎設施IT系統的初始存取權限」。

MIVD表示：”攻擊中使用的Coathanger遠端存取木馬(RAT)惡意軟體也在用於非機密專案研發(R&D)的荷蘭國防部網路中被發現。儘管如此，由於網路分段，攻擊者仍被阻止轉移到其他系統。MIVD發現這種以前未知的惡意軟體可以在系統重啟和韌體升級後幸存下來，是由中國APT的駭客組織在針對荷蘭及其盟國的政治間諜活動中部署的。這使得駭客能夠永久存取系統，即使受害者安裝了FortiGate的安全更新，駭客仍可繼續保留這種存取權限。

Fortinet當時發佈了一篇博文，指出”組織需要制定強大的修補管理計畫，並遵循最佳實踐以確保基礎設施的安全”。Fortinet在2月向CRN提供的聲明中表示：”我們繼續督促客戶即時修補並持續監控其網路是否在異常活動，以幫助減輕網路風險。”

MIVD認為，中國駭客依然可以接觸到許多受害者，因為Coathanger木馬程式很難檢測，因為它會攔截系統呼叫以避免暴露其存在，而且由於它在韌體升級後仍然存在，因此很難將其刪除。

    2024年以來資安產品的CVE漏洞越來越頻繁，尤其以存取閘道資安漏洞最嚴重。所以全方位的存取閘道資安政策(情資)部署，包含身份認證辨識保護、威脅監控、威脅情資搜尋與事件比對、資安強度評估、全面性視覺化資安監控，是強化存取閘道安全最重要的資安防禦措施。竣盟科技的Billows UCM-資通安全威脅偵測管理平台，就是建立存取閘道的資訊安全高強度以及企業完善的資安防護運營。