中國國家級駭客利用VMware 關鍵漏洞長達兩年 CISA將此越界寫入漏洞增至其已知遭濫用之漏洞清單

1 月 18 日,VMware 確認 CVE-2023-34048被利用後,Mandiant 將該活動歸因於一個與中國關係密切的駭客組織,並透露該攻擊活動至少從 2021 年底開始。根據 Mandiant 的最新研究,至少自 2021 年底以來,與中國相關的 APT 組織UNC3886一直在利用一個編號為vCenter Server 的零日漏洞CVE-2023-34048 。vCenter Server 是 VMware 虛擬化和雲端運算軟體套件中的關鍵元件。它作為VMware虛擬化資料中心的集中式綜合管理平台。Mandiant在周五的一份報告中表示:“UNC3886 擁有利用零日漏洞在不被發現的情況下完成攻擊任務的記錄,而這個最新的例子進一步證明了它們的能力。

Photo Credit: Mandiant

另外,Critical Start網路威脅研究資深經理Callie Guenther表示:「CVE-2023-34048 的利用反映了深厚的技術敏銳度,顯示在識別和利用VMware 等廣泛使用的軟體中的複雜漏洞方面具有高水平的熟練程度。 」

去年10 月 25 日,VMware 首次揭露了一個編號為 CVE-2023-34048 的越界寫入漏洞(Out-of-bounds Write)以及一個編號為 CVE-2023-34056 的部分資訊外洩漏洞,這些漏洞影響了 vCenter Server。該供應商警告說,利用越界寫入漏洞(CVSS評分為 9.8)可使攻擊者能夠在易受攻擊的電腦上遠端執行程式碼。Mandiant 的研究人員於 2022 年 9 月首次 詳細介紹了該組織的活動,當時他們在 VMware ESXi Hypervisor 中發現了一種新穎的惡意軟體持久性技術。惡意軟體作者使用該技術在 VMware ESXi Hypervisor 中實現管理訪問,並接管適用於 Windows 和 Linux 的 vCenter 伺服器和虛擬機器。

這次攻擊的高度針對性和規避性使專家們相信,攻擊是由中國國家級駭客 UNC3886出於網路間諜目的而實施的。

在 Mandiant 於 2022 年 9 月調查的攻擊中,攻擊者依靠惡意 vSphere 安裝套件 (VIB)在 ESXi 虛擬機器管理程式上安裝兩個後門,分別為 VIRTUALPITA 和 VIRTUALPIE。 VIB 是設計用於管理虛擬系統的檔案集合,它們可用於建立啟動任務、自訂防火牆規則或在 ESXi 電腦重新啟動時部署自訂二進位。Mandiant 進行的進一步調查顯示,UNC3886 組織使用了其他技術來針對多個組織以避免 EDR 解決方案。

Mandiant 和 VMware Product Security 對“vmdird” 核心崩潰檔案的分析表明,進程崩潰與 CVE-2023-34048 的利用密切相關,

2023年末,Mandiant 注意到 VMware vmdird 服務在部署後門前幾分鐘就當機。Mandiant 和 VMware Product Security 對「vmdird」核心崩潰檔案的分析表明,進程當機與 CVE-2023-34048 的利用有密切的關係。Mandiant 觀察到 2021 年底至 2022 年初期間發生了多起 UNC3886 事件。研究人員還注意到,在觀察到這些崩潰的大多數環境中,日誌條目被保存了下來,但『vmdird』核心崩潰檔案本身卻被刪除

“VMware 的預設配置會將核心崩潰檔案無限期地保留在系統上,這表明攻擊者故意刪除了核心崩潰檔案,以試圖掩蓋其踪跡。”報告總結道。 “正如 VMware 通報中提到的,此漏洞已在 vCenter 8.0U2 中得到修補,Mandiant 建議 VMware 用戶更新到最新版本的 vCenter,以應對此漏洞被廣泛利用的情況。”週三,VMware 以新資訊更新該通報,警告客戶越界寫入漏洞正受到攻擊。

根據Shadowserver Foundation 的數據,目前有數百個暴露於網際網路的 VMware vCenter Server 執行個體可能存在漏洞。

Photo Credit: CISA

VMware 產品成為惡意攻擊者攻擊目標的情況並不少見。美國安全機構 CISA 維護的已知遭濫用之漏洞清單目前包括 21 個VMware 產品漏洞。今天(1月24日)CISA在其已知遭濫用之漏洞清單(KEV)中新增了CVE-2023-34048漏洞,並下令聯邦機構在 2024 年 2 月 12 日之前修復此漏洞,也建議私人機構審查該清單並解決其基礎設施中的漏洞。

美國CISA和FBI警告 惡意軟體AndroxGh0st攻擊Laravel和Apache HTTP伺服器 鎖定竊取 AWS、Azure 和 Office 365 憑證

美國網安全與基礎設施安全局 (CISA) 和聯邦調查局 (FBI)警告,部署AndroxGh0st惡意軟體的攻擊者正在建立一個殭屍網路,用於「在目標網路中識別和利用受害者」。AndroxGh0st是一種基於 Python 的惡意軟體, 於 2022 年 12 月首次被記錄。

此雲端攻擊工具能夠滲透易受已知安全漏洞影響的伺服器,以存取 Laravel 環境檔案並竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

CISA 和 FBI 指出,該威脅還濫用簡單郵件傳輸協定 (SMTP) 進行掃描、利用被盜憑證和 API 以及 Web shell 部署。根據該通報,Androxgh0st 操作背後的網路犯罪分子也被發現使用腳本掃描特定漏洞的網站,其中包括CVE-2017-9841,這是一個 PHPUnit 漏洞,導致透過 HTTP POST 請求執行 PHP 程式碼。這些攻擊的目標是將 /vendor 資料夾暴露在網路上的網站。警報稱:「惡意行為者使用 Androxgh0st 將惡意檔案下載到託管網站的系統。威脅參與者還能夠設定可透過 URI 存取的虛假(非法)頁面,以提供對網站的後門存取。這使得威脅行為者能夠為其操作下載額外的惡意檔案並存取資料庫。」。

該通報稱,Androxgh0st 殭屍網路使用 Laravel 框架掃描網站,尋找包含附加服務憑證的公開在根目錄的.env檔案。然後惡發出請求以檢索儲存在這些文件中的敏感資訊。

「Androxgh0st 惡意軟體還可以存取網站上 Laravel 應用程式的應用程式金鑰。如果威脅者成功識別 Laravel 應用程式金鑰,他們將嘗試使用該金鑰加密 PHP 程式碼來進行利用。”

作為此活動的一部分,威脅行為者利用 CVE-2018-15133,這是一種不受信任資料的反序列化,允許他們將檔案上傳到易受攻擊的網站,CISA週二(1/16)將該安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities (KEV) catalog)中。

操作Androxgh0st的攻擊者也針對CVE-2021-41773,這是 Apache HTTP Server 版本 2.4.49 和 2.4.50 中的路徑遍歷,導致執行遠端程式碼。如果攻擊者使用上述方法獲得任何服務的憑證,他們可能會使用這些憑證存取敏感資料或使用這些服務進行其他惡意操作。

不到一週前,SentinelOne 揭露了一種名為FBot的相關但獨特的工具,攻擊者正在利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。表示:“雲端威脅格局將繼續借用其他工具的程式碼,並將它們整合到一個整體生態系統中,這就是我們看到的 AlienFox 和 Legion 分別與 AndroxGh0st 和 FBot 所做的事情。

“隨著攻擊者找到利用雲端服務獲利的新方法,我們預計會看到針對這些服務的定制工具的出現,就像這些工具專注於利用郵件服務進行垃圾郵件攻擊一樣。NETSCOUT 也發出警報,表示自 2023 年 11 月中旬以來殭屍網路掃描活動大幅增加,並於 2024 年 1 月 5 日達到近 130 萬個不同設備的峰值。大多數來源 IP 位址與美國、中國相關、越南、台灣、俄羅斯。

這些機構發布了與 Androxgh0st 惡意軟體操作相關的入侵指標(IoCs)以及建議的緩解措施,敦促組織盡快應用它們。除了更新作業系統、軟體和韌體之外,也要確保所有URI預設配置為拒絕所有請求,並且所有Laravel應用不應處於除錯或是測試模式。

Androxgh0st 惡意軟體的的部分入侵指標IoCs:

hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt 59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4 

hxxps://chainventures.co[.]uk/.well-known/aas

dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6  hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066 

hxxps://pastebin[.]com/raw/zw0gAmpC ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72  hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php

京鼎遭LockBit勒索軟體攻擊

1 月 16 日,鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持,顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵,駭客挾持京鼎公司網站

根據聯合報的報導,操作勒索軟體LockBit的 駭客還直接在網頁上留下兩大段訊息,第一段訊息是告知客戶,駭客集團已拿下京鼎的客戶資料,如果京鼎不付錢,那麼,客戶的所有個人資料都將被公開在網路上,第二段訊息則是告知員工,如果京鼎管理階層不與駭客集團聯繫,那麼,駭客將會摧毀京鼎所有的資料,而且這些資料將不能恢復,這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示,在檢測到攻擊後不久,該公司於下午恢復了其網站,並補充說正在與安全專家合作。京鼎在聲明中表示,該公司的初步評估顯示,該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示,去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區,平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

美國CISA將 Ivanti Connect Secure 和 Microsoft SharePoint 漏洞新增至其已知遭濫用之漏洞清單 聯邦機構須於2024 年 1 月 31 日前修補這些漏洞

Photo Credit: CISA

1 月 11 日,美國網路安全與基礎設施安全局 (CISA) (Known Exploited Vulnerabilities (KEV) catalog)新增了 Ivanti Connect Secure 和 Policy Secure 漏洞(編號為CVE-2024-21887CVE-2023-46805)以及 Microsoft SharePoint Server 漏洞(編號為CVE- 2023-29357) 在其已知遭濫漏洞清單中。

1 月 10 日,軟體公司 Ivanti報告稱,駭客在利用其 Connect Secure (ICS) 和 Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。漏洞編號為 CVE-2023-46805,嚴重程度評分為 8.2。它允許駭客「透過繞過控制檢查來存取受限資源」。另一個漏洞 CVE-2024-21887 可協助攻擊者向設備發送命令,嚴重程度為 9.1。攻擊者可以連結這兩個漏洞,向未修補的系統發送特製請求並執行任意命令。

Ivanti 發布的公告,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用漏洞可不需要身份驗證,並使駭客能夠製作惡意請求並在系統上執行任意命令。該公司正在提供緩解措施,並確認正在開發安全修補程式,最終修補將於 2 月 19 日內發布。

另外,資安公司Volexity 研究人員觀察到駭客已積極在利用這兩個零日漏洞。2023 年 12 月,Volexity 調查了一次攻擊,攻擊者利用這些漏洞在多個內部和面向外部的 Web 伺服器上放置 Webshel​​l。

此外新增至 CISA KEV 清單的第三個漏洞是 Microsoft SharePoint Server 權限升級漏洞CVE-2023-29357,未經身份驗證的攻擊者獲得偽造 JWT (JSON Web Token)身份驗證令牌存取權限,使用它們來執行繞過身份驗證的網路攻擊,並允許他們獲得經過身份驗證的用戶的權限。漏洞可允許未經身份驗證的攻擊者在成功利用不需要使用者互動的低複雜度攻擊後獲得管理權限。

根據約束性操作指令22-01( Binding Operational Directive 22-01 ) ,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB),都必須針對相關漏洞進行處理,在截止日期前解決已識別的漏洞,以保護其網路免受利用清單中的漏洞攻擊,專家也建議私人機構審查KEV清單並解決其基礎設施中的漏洞。

CISA 命令聯邦機構在 2024 年 1 月 31 日之前修復以上三個漏洞。

Ivanti Connect Secure漏洞的部分入侵指標(Indicator of compromise -IOCs):
206.189.208.156
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
75.145.243.85
71.127.149.194
173.53.43.7

BlackCat對Ultra Intelligence & Communications的攻擊 造成瑞士空軍大量敏感資訊外洩

一家為全球國防公司提供通訊技術的美國安全公司Ultra Intelligence & Communications(簡稱ULTRA)成為勒索軟體攻擊的受害者,ULTRA是一家全球領先的科技公司,總部位於英國。該公司提供先進的情報、通訊和安全技術解決方案,服務的客戶包括美國國防部、聯邦調查局(FBI)、緝毒局、北約、美國電話電報公司、瑞士聯邦國防部和國防承包商RUAG 等,這一廣泛的客戶群突顯了此次外洩事件對全球潛在的影響。

據稱在攻擊事件發生後,瑞士聯邦國防部證實瑞士空軍受到了攻擊的影響並確認有資料外洩,瑞士當局隨即對此事件展開了調查。

根據瑞士廣播電視台 (SRF) 報道,駭客竊取了美國著名國防公司ULTRA的數萬份文件,大約 30 GB 的部分敏感和機密瑞士空軍文件已上傳到暗網,可供公眾存取。

Photo Credit: https://securityaffairs.com/

DDPS 對暗網外洩的回應

在這一重大事件發生後,瑞士聯邦國防部民防及體育部(Federal Department of Defense, Civil Protection and Sport-DDPS) 一直在積極應對這一情況。發言人告訴 Keystone-SDA 通訊社,瑞士武裝部隊和國防部立即收到了有關網路攻擊的通知。DDPS 認為,瑞士武裝部隊的作業系統並未受到此次惡意軟體攻擊的影響。

暗網上外洩的價值數百萬美元的合約

外洩的資料中包括 DDPS 和 Ultra 之間價值近 500 萬美元的重要合約等文件。該合約對於瑞士空軍的加密通訊技術至關重要。

此外,在暗網上還發現了與這些交易相關的電子郵件通訊和付款收據。

對暗網資料外洩的持續調查

雖然 DDPS 發言人提供的細節有限,但他們承認瑞士武裝部與Ultra 公司之間存在業務關係。迄今為止,外洩的數據主要類型是商業數據,但對事件全面範圍的調查仍在進行中。

BlackCat聲稱對資料被盜負責

BlackCat勒索軟體聲稱對這次攻擊負責,據報導該攻擊發生在 2023 年 12 月底。BlackCat於2021年11月中旬首次被Malwarehunterteam研究人員揭露,是第一個基於RUST語言編寫的專業勒索軟體系列,並因其高度客製化和個人化的攻擊而迅速氾濫。BlackCat攻擊過知名企業包括高梅國際酒店集團(MGM Resorts International)、Bandai Namco(萬代南夢宮)、台灣上市不銹鋼Henry Schein漢瑞祥等等。網路安全專家認為BlackCat起源於俄羅斯,是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand),而BlackMatter又是 DarkSide 的改名,該組織因2021年攻擊美國美運油供應商Colonial Pipeline而臭名昭著。2023 年 12 月FBI查封BlackCat的線上基礎設施,瓦解多個BlackCat經營的網站,然而這次針對ULTRA的入侵並盜取其商業客戶的機密資料攻擊證實BlackCat勒索軟體已成功另起爐灶。

瑞士聯邦數據網路攻擊的最新歷史

此事件標誌著過去六個月內針對瑞士聯邦數據的第三次重大網路攻擊。先前的事件涉及針對瑞士公司 XplainConcevis 的勒索軟體攻擊,這兩家公司都與 DDPS 和其他聯邦組織有聯繫。

總而言之,最近對 Ultra 的網路攻擊導致瑞士空軍資料在暗網上未經授權發布,這清楚地提醒人們國家安全基礎設施面臨持續的網路威脅。正在進行的調查強調了加強網路安全措施以保護敏感國防資訊的重要性。

美國資安公司 Mandiant的X(Twitter)帳號遭到駭客入侵6小時

週三,Google旗下的美國資安公司Mandiant 的 X(前身為 Twitter)帳號被身份不明的攻擊者入侵了六個多小時,以傳播加密貨幣騙局。駭客劫持了Mandiant的 X 帳號,並利用該帳號傳播了一個連結,試圖從點擊該帳號的人那裡竊取加密貨幣。該騙局虛假承諾向 25 萬名用戶免費提供 $PHNTM 代幣,甚至轉發真實 Phantom 帳號的貼文以顯得可信。

Mandiant在一份聲明中寫道:“我們意識到該事件影響了Mandiant的 X 帳號,並正在努力解決該問題。”“我們已經重新獲得了對該帳號的控制權,目前正在努力恢復它。”該聲明沒有回答有關該公司是否已確定該帳號是如何被盜用的問題。

目前尚不清楚該帳號是如何被盜用的,猜測是透過社群工程進行網路釣魚,或是利用社群媒體平台中的漏洞。

但據一直在監視事件的MalwareHunterTeam 的研究人員指出,被駭的 Mandiant帳號最初被重新命名為“@phantomsolw”,以冒充 Phantom 加密錢包服務。具體來說,該帳號的詐騙貼文宣傳了空投詐騙,敦促用戶點擊虛假連結並賺取免費代幣,隨後被駭的帳號後來被用來攻擊Mandiant,要求其更改密碼。但在許多情況下,社群媒體帳號劫持涉及濫用第三方服務,而不是直接攻擊帳號。Mandiant採取行動恢復帳號,但駭客在復原過程中一度重新獲得了控制權,MalwareHunterTeam指出考慮到一些 X 用戶在遭受駭客攻擊後花了幾天甚至更長的時間才重新完全控制其帳號,Mandiant 並沒有花很長時間來恢復該帳號。

Mandiant 並不是第一個帳號被劫持的知名組織或個人。2020 年亞馬遜創辦人 Jeff Bezos、微軟聯合創辦人Bill 、美國前總統歐巴馬和特斯拉執行長馬斯克(在他購買該網站之前)的帳號被接管以宣傳比特幣騙局。另外,加拿大參議員阿米娜·格巴 (Amina Gerba) 的 X 帳號也發生過類似的入侵事件,該帳號也被用來宣傳詐欺計劃。

這些攻擊的性質突顯了網路犯罪分子利用政府和商業機構的社群媒體平台進行加密貨幣詐騙的手段日益複雜。

截至撰寫本文時,Mandiant帳號已在社交媒體平台上恢復。

麒麟勒索軟體攻擊澳洲法院系統 聽證紀錄遭竊

法院稱首次檢測到攻擊是在12月21日,但根據事後的調查,入侵發生於12月8日。

1月2日,澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露,法院案件和法庭受到網路安全事件的影響,造成法庭內視聽技術網路被中斷,影響錄音和轉譯服務,攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的,當時工作人員的電腦被鎖定,螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示,需要時間來確定哪些錄音和筆錄受到影響,Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊,該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下,受影響的系統立即被隔離和停用,然而根據隨後的調查顯示,該入侵發生在更早的日期,即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊;11月1日之前的一些聽證會錄音已在網路攻擊中被存取,據信,一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說,以下法院和司法管轄區受到了安全事件的影響:

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會,並於 2023 年 11 月舉行兩次地區聽證會。

縣法院-2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院-2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭-2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知,並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件,他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統,但維多利亞州法院的運作不會受到影響,預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字,但接受 澳洲 ABC News採訪的消息人士稱,此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。2022 年 10 月,台灣某上市製藥大廠也被列為其受害者。2023 年 11 月,一般來說,麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者,以存取其網路並竊取敏感數據,一旦麒麟完成初始存取,它通常會在受害者的基礎設施中橫向傳播,試圖找到要加密的關鍵統計數據。加密資料後,麒麟留下勒索字條“您的網路/系統已加密,加密的檔案具有新的檔案副檔名”,並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

中國APT駭客利用Barracuda電子郵件安全閘道器中的零日漏洞 鎖定美國、亞太及日本的政府、科技組織

#CVE-2023-7102

Photo Credit: Barracuda

美國資安廠商Barracuda 透露,中國國家級駭客利用其電子郵件安全網關(ESG)設備中的零日漏洞在「有限數量」的設備上部署後門,ESG漏洞(編號為 CVE-2023-7102)是一個影響「Spreadsheet::ParseExcel」的任意程式碼執行漏,「Spreadsheet::ParseExcel」是 ESG 裝置用來檢查 Excel 電子郵件附件是否有惡意軟體的開源程式庫。攻擊者可以在特製的 Excel 檔案中植入惡意程式碼,並將其作為附件發送給目標組織。當 ESG 裝置掃描電子郵件時,惡意程式碼會在沒有任何使用者互動的情況下執行,使攻擊者能夠存取系統並竊取有價值的資料。

Barracuda將該活動歸因於Mandiant 追踪的中國APT駭客UNC4841,該組織此前曾積極利用Barracuda 設備中另一個零日漏洞(CVE-2023-2868,CVSS 評分:9.8 )。UNC4841於12 月20 日被發現利用零日漏洞CVE-2023-7102,但有證據表明該活動於11 月30 日左右開始。駭客利用 CVE-2023-7102 向 Barracuda 客戶提供 SeaSpy 和 SaltWater 惡意軟體的新變種。這些攻擊是 UNC4841 網路間諜活動的一部分,針對的是政府、IT 和高科技組織,主要位於美國以及亞太和日本 (APJ) 地區。

Barracuda迅速做出回應,部署更新來修復漏洞以及可能受到新發現的惡意軟體變體危害的 ESG 設備。Barracuda發布了一個安全更新,該更新已於 2023 年 12 月 21 日“自動應用”,客戶無需採取進一步行動。Barracuda還進一步指出,它一天後「部署了一個修補來修復受入侵的 ESG 設備,該設備顯示出與新識別的惡意軟體變體相關的入侵跡象」,然而它沒有透露入侵的規模。也就是說,Spreadsheet::ParseExcel Perl 模組(版本 0.65)中的原始漏洞仍未修補,並已被指派 CVE 識別碼CVE-2023-7101,需要下游使用者採取適當的補救措施。

據一直在調查該組織活動的 Mandiant 稱,自 2022 年 10 月以來,估計至少有 16 個國家的一些私營和公共部門組織受到了影響。Google Cloud 表示,不早於 2023 年 11 月 30 日,它觀察到針對高科技、資訊科技供應商和政府實體的 CVE-2023-7102 漏洞利用,這些實體主要位於美國和亞太地區。最新的發展再次證明了UNC4841 的適應性,利用新的策略和技術在現有漏洞被堵住的情況下保留對高優先目標的存取權。Mandiant 預計,UNC4841未來可能會將其目標攻擊面擴大到其他設備,並利用更多種類的漏洞。

Barracuda電子郵件安全閘道設備(ESG)漏洞的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

803cb5a7de1fe0067a9eeb220dfc24ca 56f3f571a986180e146b6cf387855bdd  

952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd

118fad9e1f03b8b1abe00529c61dc3edf da043b787c9084180d83535b4d177b7

IP

23.224.99.242

23.225.35.238

107.148.41.146

三家德國醫院在平安夜遭到LockBit勒索軟體的攻擊

Photo Credit: KHO

德國東威斯特法倫天主教醫院協會(Katholische Hospitalvereinigung Ostwestfalen-KHO) 已證實由其經營的三家醫院Franziskus Hospital Bielefeld、Sankt Vinzenz Hospital Rheda-Wiedenbrück和 Mathilden Hospital Herford在2023 年 12 月 24 日凌晨遭到網路攻擊,造成整個 IT 系統中斷。KHO發布的公告中寫道:“身份不明的攻擊者已經存取了醫院 IT 基礎設施的系統,並加密了數據。初步調查表明,這可能是 Lockbit 3.0 的網路攻擊,目前無法預見解決時間。出於安全原因,所有系統一經發現立即關閉,並通知所有必要的各方和機構。”由於目前,調查正在進行中,入侵程度以及攻擊者是否竊取資料尚未確定。

根據BleepingComputer的報道,KHO營運的以下三家醫院受到了網路攻擊的影響:

Franziskus Hospital Bielefeld 醫院 – 614 床、10 個專科科室、390 名醫生和工作人員

Sankt Vinzenz Hospital Rheda-Wiedenbrück 醫院 – 614床,5個專科室,200名醫生和工作人員

Mathilden Hospital Herford 醫院 – 614 床、8 間專科室、230 位醫生和工作人員

上述醫院在德國的所在地提供醫療保健服務方面發揮著關鍵作用,因此影響其 IT 系統的網路攻擊會給處於醫療緊急情況的人帶來可怕的影響。

根據KHO的聲明,受影響醫院的患者治療繼續正常進行,所有診所業務仍然可用,但存在一些技術限制。透過成功恢復備份,仍然可以存取重要的患者資訊。然而,KHO 的三家醫院無法提供緊急護理,因此急需醫療護理的人員被轉移到其他地方,可能會導致嚴重的延遲。

截至本文撰寫時,LockBit 勒索軟體集團尚未將 KHO 添加到在其暗網揭秘網站中,因此網路犯罪分子是否竊取了患者資料或其他敏感資訊尚未確定。

Black Basta攻擊已過兩個月 多倫多公共圖書館至今仍是犯罪現場 對外服務將於明年一月逐步恢復?!

Photo Credit: TripWire

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中,Black Basta攻擊限制了其服務,令TPL的運作方式大規模的改變。圖書館人員以手工核對材料,任何退回的書本或物品都無法重新登入系統中,,大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉,無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿,解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示,該圖書館擁有 100 個分館,擁有 5,000 多名員工,其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務,但圖書館的線上帳戶仍然無法使用,公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示,雖然許多圖書館服務仍在繼續運營,但隨著調查的繼續,圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜,我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道,我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求,這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說,家庭、研究人員和其他人告訴圖書館,他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示,儘管遇到了困難,圖書館仍能允許顧客借閱 50 萬個實體資料,仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說,漫長的恢復過程需要幾個月的時間,因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長,但我們期待著全面回歸,」Bowles說。“儘管這些犯罪分子傷害了我們,但他們當然沒有阻止我們履行我們的使命,即提供免費和公平的圖書館服務,以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織,已被用來攻擊全球超過 329 個組織,並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體,Black Basta 沒有採用激進的前端策略,而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前,Conti的線上聊天內容被洩露,暗示其與俄羅斯政府有聯繫,並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現,自 2022 年以來,Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略,先竊取被害者敏感檔案和資訊,並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體,同時也有感染 Windows 系統的版本。此外,許多攻擊都利用 Qakbot(也稱為 QBot)來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年,多個城市圖書館系統面臨攻擊,其中包括涉及大英圖書館(世界上最大的圖書館之一、英國國家圖書館)的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32                

104.194.10.130                      

104.243.38.65                

105.111.60.60