資安研究人員近日揭露了針對“大型航空公司和軍事企業”的網路間諜釣魚和惡意軟體活動，相信該活動是由 2014 年攻擊 Sony Pictures 的同一北韓駭客集團 Lazarus Group 發起的.

網路資安研究人員周三表示，駭客冒充美國航空和國防巨頭 Collins Aerospace 和 General Dynamics 的 HR 招募人員，在 LinkedIn 上闖入歐洲的軍事承包商網路。

斯洛伐克的網路安全公司 ESET 說，在去年年底時, 網路間諜透過提供美國公司的工作機會來接觸受害者，從而破壞了中東和歐洲至少兩家國防和航空公司的系統。

ESET 威脅研究負責人 Jean-Ian Boutin 說，攻擊者利用 LinkedIn 的私人訊息功能，發送能誘騙受害者打開惡意代碼的文件。

ESET 以客戶機密為由，拒絕透露受害者的名字，也不透露是否有任何資料被盜。雷神科技公司 Raytheon Technologies Corporation 所擁有的 General Dynamics 和 Collins Aerospace 也拒絕評論。

ESET 無法 100% 確定駭客的身份，但表示此次攻擊與一個名為北韓駭客集團 Lazarus Group 有一定關聯，該組織被美國檢察官指控策劃了一系列針對性的網路攻擊，其中包括 Sony Pictures 和孟加拉中央銀行的搶案。

研究人員說，一旦進入目標網路，犯罪者將試圖強行使用他們可以找到的任何 Active Directory 管理員帳戶，通過將數據捆綁到 RAR 壓縮檔中，並試圖將其上傳到 Dropbox 帳戶中以竊取數據。

在受害者被捲入後，Lazarus 會試圖誘使他們下載受密碼保護的 RAR 存檔，其中包含“ LNK 文件”。一旦點擊該 LNK 文件包含工作資料的 PDF 就會出現在受害者面前。受害者其實是下載了一個惡意執行檔 (.EXE)，這個執行檔會建立許多文件夾，並在 Windows 工作排程器設定為每隔一段時間執行一次遠端腳本。

圖片來源: ESET , 這使攻擊者可以在目標公司內部獲得最初的立足點，並在受到感染的電腦上獲得持久性，圖片說明了導致入侵的步驟。

攻擊者要求受害者在使用 Internet Explorer 的 Windows 電腦上回應他們的工作機會。駭入後進到 Powershell，並利用了預設公開可用的 PowerShdll 執行 PowerShell 命令，這也間接證明 Lazarus Group 在嘗試進行暴力破解之前，會先透過連接的 domain 來列舉所有 Active Directory 帳戶，接下來就是暴力破解取得管理員權限。

另外，這些攻擊並不是 LinkedIn 首次被國際間諜活動所困擾，對手使用 LinkedIn 來挑選軍事和國防公司的目標，隨後向他們提供假的工作機會。攻擊者不怕直接接觸，並與受害者聊天，說服他們打開惡意文件。

LinkedIn表示已找出並刪除了攻擊者使用的帳戶。該公司的資安負責人 Paul Rockwell 說：“我們積極尋找平台上由國家級駭客的活動的跡象，並迅速採取行動對付不良行為者。

關於這起間諜攻擊的資安事件, OTX 的情資平台也有相關的 MITRE ATT&CK 攻擊手法和相關情資, 請點擊以下連結

https://otx.alienvault.com/pulse/5eea47f6776f5e41c8346a31

另外也附上Lazarus Group的相關情資

https://otx.alienvault.com/pulse/5ebaee4cb570b4824f773f44

參考來源:

https://www.welivesecurity.com/wp-content/uploads/2020/06/ESET_Operation_Interception.pdf

https://www.techtimes.com/articles/250404/20200617/hackers-hacking-campaign-targets-aerospace-and-military-staff-with-cyberattackers-posing-as-hr-offering-fake-jobs.htm

在吹哨人 Libertas 向 IT 部落客 Haschek 和德國媒體 Heise.de 投信揭發並曝光後，奧地利最大的網際網路服務提供商 A1 Telekom，本周承認存在安全漏洞。A1 Telekom 在去年 11月發現網路受惡意軟體感染, 但資安團隊在 12月才檢測到確切的惡意軟體, 同時發現該惡意軟體難以移除, 致使他們花了六個月才能將該惡意軟體連根拔起並取回 Web 伺服器的控制權。

A1 Telekom是奧地利最大的電信公司之一，他們擁有包括 FTTH 連接在內的各種 IT 基礎架構業務。他們的年收約為 25億歐元，擁有 8,300 多名員工。A1 Telekom 在向奧地利的多個偏遠地區提供行動電話連接和 Internet 服務, 實際上具有壟斷性的地位。

在 2019年 12發現了駭客透過利用未公開的 Microsoft 產品漏洞, 設法破壞了 A1 的企業網路。由於 A1 內部回應團隊未能及時做出有效回應，故當他們在2020年5月22日方能阻止漏洞時，時間已經過了六個月。據報導在 A1 Telekom 被駭客攻擊的事件中，駭客組織利用惡意軟體感染了 Web 伺服器並安裝了 Web Shell。 從此之後，他們就可以任意安裝其他工具，以便他們在 A1 網路探索游走。

A1 Telekom 在接受在德國新聞網站 Heise.de 的採訪中表示，儘管持續了六個多月相當嚴重的漏洞影響，但攻擊者”並未獲得任何客戶的敏感數據。” A1 稱內部網路的複雜性阻止了駭客訪問他們的其他系統，“因為成千上萬的數據庫及其關係對於外部人員而言並不容易理解”

至於被洩露了什麼樣的數據? 消息人士稱，駭客訪問了公司的內部和一些外部客戶數據庫。 吹哨者說，駭客總共可以訪問 12,000台伺服器，但遭 A1 否認並稱攻擊者只能訪問「一個不包含任何客戶數據的 SQL 數據庫」。 A1也聲稱儘管駭客在六個月內對系統持續不間斷的訪問，但從未訪問或洩露過任何敏感的客戶端數據。

後記: 相信是出自於外交的考慮，A1 Telekom 並未指明這次攻擊事件駭客的身份。但根據吹哨者透露這次資安漏洞是由中國國家級 Gallium 駭客組織引起, Microsoft 威脅情資中心(MSTIC) 在 2019年 12月 12日發佈了關於 Gallium 駭客組織的安全警報，警告電信業者提高警覺, 因為可能將要面臨著大規模的持續攻擊行動。而眾所周知，Gallium 駭客組織會在已被入侵的電信公司中, 搜尋所有範圍內的機密資料。

參考來源:

• https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/

• https://blog.haschek.at/2020/the-a1-telekom-hack.html

*****本文歡迎轉載，但請註明出處。

竣盟科技快報: Anonymous “匿名者”預警了?! 美國遭到 DDoS 重大攻擊 , T-Mobile, Verizon, Instagram, Facebook 呈現斷網狀態…

根據 ”匿名者” 在 Twitter 發佈的推文, 下圖可見, 代表全球駭客組織的匿名者, 認為美國正面臨大規模的 DDoS 攻擊, 情況也極為嚴重. 

美國時間 6月15日由於電信服務被中斷, 影響的範圍甚廣, 美國三大電信公司之一, T-Mobile 證實它們在全美國各地正處於斷網狀態, 客戶無法撥打電話或發簡訊。

上圖為 T-Mobile 的技術總監在 Twitter 推文上, 向客戶致歉。

另外, 在 Downdetector 的網站上,列出了正處於斷網狀態的一系列美國網站, 包括 T-Mobile, Metro, Verizon, AT&T, Sprint, Consumer Cellular, US Cellular, 網路提供商 Spectrum, Comcast, CenturyLink, Cox, 社交媒體平台 Facebook, Instagram, Twitter, Snapchat, Twitter, 遊戲和遊戲服務 Fortnite, Roblox, Call of Duty, Steam, Xbox Live, Playstation Network, 流行媒體服務 Netflix, Hulu, HBO Now, Twitch, 金融業如大通銀行, 美國銀行, 送貨服務 Doordash 和其他主要平台, 例如 Google 和 Zoom.

“匿名者” 也聲稱 DDoS 攻擊的來源仍然未知, 但推測可能是中國, 因為南北朝鮮之間的局勢目前正在惡化。

有趣的是 CloudFlare 的創辦人兼 CEO. Matthew Prince 似乎並不認為這些網路中斷與 DDos 攻擊有關, Matthew Prince 在他的推文寫道: 目前，針對美國的“大規模 DDoS 攻擊”引起了廣泛關注，並附有令人恐懼的圖表（請參閱下面的 Tweet）。 儘管在當前已經很戲劇化的時期成為了很好的頭條新聞，但這並不準確。 實際上可能只是個無趣的事件。

DDoS attack (distributed denial-of-service attack)，中文名稱為分散式阻斷服務攻擊，DDoS 攻擊是一種分散式阻斷攻擊，旨在破壞網頁或服務，並讓實際使用它的用戶無法訪問。與普通的直接阻斷服務攻擊不同，因為 DDoS 攻擊來自廣泛的來源，所以使得防止變得更加困難。這種攻擊經常使得伺服器因請求過載而無法提供服務。

#竣盟科技資安快報

#Billows #竣盟科技

#美國 DDoS 攻擊

#需要👽SIEM👽記得找竣盟科技唷

#資安交流 #誘捕專家Acalvio的ShadowPlex平台竣盟科技也有代理喔

#快follow竣盟科技的粉絲專頁吧^^

小編在週日看到東森新聞的節目”聚焦關鍵”討論了駭客入侵總統府的報導, 據知入侵的駭客團體為Naikon , 入侵的木馬為新型惡意程式Aria Body，台灣國安單位首次判定為認知攻擊, 小編在上週一已分享Aria body惡意程式的相關入侵指標和情資, 錯過的伙伴們請連結至我們的po

Aria Body惡意程式和Naikon駭客團體的OTX資訊

https://otx.alienvault.com/pulse/5eb2c66fa6da6120124cf84c

另外補充說明,據ThreatConnect的報告，Naikon駭客團體似乎隸屬於中國人民解放軍第二技術偵察局78020部隊，主要駐紮在中國南方城市昆明。據稱Naikon駭客團體負責中國在東南亞和南中國海的網路行動和技術間諜活動有理由相信駭客入侵總統府的動機為政治因素 。 

Aria-body旨在滲透任何用來打開嵌入它的文件的電腦，並馬上讓機器服從駭客的指令, 包括建立一條秘密的、難以查出的通信線路，讓目標電腦上的數據通過這條線路流向攻擊者使用的伺服器。Aria-body也可以像寄生蟲一樣附著在各種類型的文件上，因此它沒有固定的活動模式。操縱Aria Body的駭客可以遠端更改部分代程式碼，所以在攻擊了一台電腦後，Aria-body在入侵下一台機器時看上去可能會不同。

# 竣盟科技資安快報#駭客團體Naikon

#需要👽SIEM👽記得找竣盟科技唷

#誘捕專家Acalvio的 ShadowPlex平台竣盟科技也有代理喔

#資安情資請看OTX

#快follow竣盟科技的粉絲專頁吧^^

*****竣盟科技快報歡迎轉載，但請註明出處。