Key Points:

*鈴木摩托車印度廠提供全球近一半的鈴木汽車產品，該國也是該品牌在 2023 財年增長最快的市場

*除了造成超過 20,000輛摩托車的生產損失外，該資安事件還迫使鈴木推遲其年度供應商大會

*該公司尚未透露攻擊的來源或何時恢復生產

負責製造鈴木摩托車的印度廠在遭受網路攻擊後被迫關閉，據印度媒體報導，由於營運受到網路攻擊，Suzuki Motorcycle India 的工廠被迫停產，自 5 月 10 日(星期六)以來，生產一直停滯不前，估計在此期間造成了至少 20,000 多輛摩托車的生產損失。鈴木摩托車稱已採取措施應對這一情況，包括因前所未有的業務需求(unprecedent business requirement)而推遲了原定於本週開始的年度供應商會議。該公司已將事件報告給有關政府部門，並正在配合調查。不過，該發言人補充說出於安全考慮，目前無法提供更多細節，因此並未透露此次攻擊的來源，也未提供恢復生產的具體時間表。如果該公司之後透露遭受到勒索軟體攻擊，相信任何人都不會感到驚訝。儘管如此，消息人士表示，該工廠將在未來幾天恢復營運。

據印度Acko Drive的報導，鈴木摩托車是 2023 財年該國第五大兩輪車生產商，產量接近 100 萬輛，就像其姊妹公司 Maruti Suzuki 一樣，印度是這家兩輪車製造商在日本以外的最大市場。它是日本鈴木汽車的主要出口中心，印度 20% 的產品供應全球主要市場。印度佔鈴木汽車公司全球產量的 50%，是上一財年增長最快的市場之一。鈴木的全球產量在 2023 財年增長了超過 22 萬輛，其中近 85% 的增量來自印度。

鈴木摩托車在競爭激烈的印度兩輪車市場中佔有接近 5% 的市場份額，其 Burgman Street 和 Access 踏板車系列享有很高的市場佔有率。踏板車佔其 2023 財年總產量的 90% 以上，該公司在該領域的市場份額為 14%。憑藉在踏板車領域 14% 的市場份額，鈴木計劃在其產品線中推出更多產品，但像這樣的資安事件肯定會破壞或延誤其一些計劃。

印度公司經常成為攻擊目標

此次鈴木遭攻擊前，在過去 3-4 年中，包括印度國家銀行 (SBI)、印度最大的電力公司Tata Power、印度最大的醫療機構全​​印度醫學科學研究所( AIIMS ) 、頂級醫院Safdarjung

印度香料航空SpiceJet、印度航空和達美樂印度等幾家大企業亦曾被網路或勒索軟體攻擊，在所有行業中，醫療保健受到網路攻擊的打擊最嚴重，其次是教育和政府。然而印度並不孤單，因為全球網路攻擊在2022年激增38%後達到歷史最高水平，隨著 ChatGPT 開啟了駭客快速生成程式碼的可能性，網路安全變得更具挑戰性。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

台灣成為了今年第一季度全球網路攻擊的頭號目標，根據Checkpoint，2023年第一季度全球每個組織每周遭受的平均網路攻擊次數較上年同期增長 7% 至 1,248 次，攻擊目標為政府和軍事機構、私營企業和教育機構。然而，在此期間，台灣每個組織每週的網路攻擊次數平均為 3,250 次，是全球平均水平的 2.6 倍。另外根據Trellix的一份資安報告<<China-Taiwan Tensions Spark Surge in Cyberattacks on Taiwan>>，中國與台灣的緊張局勢導致針對台灣的網絡攻擊顯著增加。特別是對其主要目標部署惡意軟體和竊取敏感資料。Trellix觀察到針對台灣政府官員的勒索郵件顯著增加，1 月份惡意郵件數量同比增長了30 倍。另外瞄准其他組織的攻擊，從 4 月 7 日開始一直持續到 4 月 10 日，在此期間，惡意電子郵件的數量猛增到平時數量的四倍。

Trellix 高級研究中心高級副總裁 Joseph Tal 在報告中表示，在過去幾年中，他們注意到地緣政治衝突是各種行業和機構遭受網路攻擊的主要驅動力之一，從惡意電子郵件和 URL 到惡意軟體。Trellix表示，在中國宣稱台灣是其領土的一部分與台灣保持獨立之間的緊張關係已經演變成令人擔憂的激增網路攻擊。在這種情況下，Trellix 觀察到網路釣魚攻擊帶有國家級駭客組織的特徵。

他們發現，在 4 月 7 日到 4 月 10的期間，惡意電子郵件的數量增加到平時數量的四倍多。這些活動針對政府機構以及 IT、製造和物流行業，駭客部署了被稱為PlugX的一種遠端存取特洛伊木馬程式(RAT)，這也是一種Windows 後門。PlugX被發現自2012 年以來已被許多中國APT駭客組織用來控制受害機器並使用DLL 側載技術來躲避被檢測。針對台灣的惡意電子郵件數量激增之後，Trellix檢測到PlugX惡意軟體的數量增加了 15 倍，這表明網路釣魚誘餌充當了初始存取向量以投遞額外的有效負載，使用 PlugX 的一些已知APT駭客包括 APT10、APT27、APT41、MustangPanda 和 RedFoxtrot。PlugX 以其逃避防毒軟體的能力而聞名，並使駭客能夠跟踪擊鍵、在受害者設備上螢幕截圖和存取檔案，一些 PlugX 插件包括磁碟枚舉、鍵盤記錄、網路資源枚舉、port mapping、進程終止、登錄檔編輯、服務控制和遠端 shell 存取等功能。

Photo Credit: Trellix

除了 PlugX，Trellix 表示還發現了其他惡意軟體的系列，例如混淆工具Kryptik 特洛伊木馬式以及針對國家的竊取程式FormBook 和 Zmutzy間諜軟體。在攻擊活動中發送的一些惡意電子郵件涉及來自律師事務所的虛假逾期付款通知，其中包含惡意附件，而另一些則是聲稱來自 DHL 的虛假發貨通知電子郵件，這些電子郵件包含指向網路釣魚頁面的連結，其他電子郵件在報價或採購訂單請求中則附加了惡意軟體。Trellix說，注意到許多不同主題針對台灣組織的的惡意網頁，如通過登錄頁面、目標公司特定頁面、多種品牌登錄頁面等，用於定位用戶以獲取憑證。

中國和台灣之間日益緊張的關係，加上越來越多的網路安全攻擊，引起了全球個人、企業和政府的關注。在中國外交部上個月發表戰狼言論言論後，美國國會參、眾兩院跨黨派議4月20日同步提出法案，要求美國政府協助強化台灣網路安全，因應中國的網路威脅，大幅擴大與台灣的網路安全合作。兩黨的《台灣網路安全韌性法案》Taiwan Cybersecurity Resiliency Act將授權美國國防部與台灣進行網絡訓練演習，保衛其軍事基礎設施和系統，並消除針對台灣的惡意數位活動。

Trellix 高級研究中心高級副總裁 Joseph Tal 最後表示，監控地緣政治事件可以幫助組織預測其運營所在國家/地區的網路攻擊。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

根據資安公司ESET 的研究，名為Evasive Panda 的中國APT駭客組織以中國非營利組織為目標，利用自訂義的自定義後門MgBot，作為騰訊QQ 即時通訊應用程式自動更新的一部分，來監視受害者並從他們的設備收集數據。研究指出該活動於 2020 年 11 月開始，攻擊鏈旨在分發 MgBot 惡意軟體的 Windows 安裝程式，大多數受害者是國際NGO（非政府組織）的成員，分佈在甘肅、廣東和江蘇等省份，顯示出相當具體和集中的目標。

中國國家級駭客組織Evasive Panda，也被稱為 Bronze Highland 和 Daggerfly，是一個至少從 2012年開始活躍的網路間諜組織，此前曾針對中國大陸、香港、澳門、尼日利亞以及東南亞和東亞多個國家的組織和個人發動攻擊。

ESET 報告稱，MsgBot惡意軟體負載作為騰訊 QQ 軟體更新從屬於軟體開發商的合法 URL 和 IP 地址傳遞給受害者，這意味著攻擊可能有兩種情況 – 供應鏈攻擊或中間人 (Adversary-in-the-middle AITM) 攻擊。

在第一種情況下，Evasive Panda 必須入侵騰訊 QQ 的更新分發伺服器，以合法軟體更新為幌子將木馬化應用程式“QQUrlMgr.exe”發送給受害者。ESET 注意到更新程式的木馬化版本從寫死 URL的（“update.browser.qq[.]com”）獲取惡意軟體，並使用與伺服器提供的MD5 哈希匹配的寫死解密密鑰，由於騰訊並未回應ESET的提問，該網址的合法性還有待確認。此外，分析人員無法從伺服器檢索 XML 更新數據的樣本，因此未能揭示惡意軟體的傳遞機制。

若在中間人攻擊情況下，ESET注意到與過去採用這種策略的活動，涉及名為 LuoYu 的中國駭客團隊， 卡巴斯基也在2022 年 6 月詳細報告了該活動，攻擊活動使用 “WinDealer”惡意軟體，從中國電信生成隨機 IP 地址來執行 AITM 或攻擊者端攔截。這些 IP 似乎與在 Evasive Panda 活動中傳送 MgBot 惡意軟體的 IP 範圍相同。

雖然根據觀察到的巧合和可能的解釋，這兩種情況都是合理的，但 ESET無法找到明確的證據，許多問題仍未得到解答。

在此活動中提供的 MgBot有效負載(Payloads)是 Evasive Panda 自 2012 年開始營運以來一直使用的 C++ Windows 後門。

ESET 報告稱，自Malwarebytes 在 2020 年對MgBot進行分析以來，該惡意軟體的安裝程式、後門、功能和執行鏈基本保持不變。

MgBot 使用模組化架構來擴充其功能，從執行專門功能的 C2 接收 DLL plugin 模組，包括：

*特定騰訊應用程式的keylogging記錄

*從硬碟和 USB筆型隨身碟中竊取檔案

*收集複製到剪貼板的文本

*收集輸入和輸出音頻流

*從 Outlook 和 Foxmail 電子郵件客戶端竊取憑證

*從 Chrome、Opera、Firefox、Foxmail、QQBrowser、FileZilla、WinSCP 等竊取憑證

*竊取存儲用戶歷史消息的騰訊QQ數據庫內容

*竊取騰訊微信資料

*從 Firefox、Chrome 和 Edge 竊取 cookies

Evasive Panda APT 被發現針對中國用戶，旨在從中國應用程式竊取數據，利用不明確的方法對騰訊 QQ 軟體執行供應鏈攻擊。這是該組織超越社交工程、網路釣魚、SEO 投毒等標準感染方法的最新的例子，ESET呼籲潛在目標需提高警惕。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

研究發現，一種名為 AuKill 的新型駭客工具因其隱蔽功能而越來越受到攻擊者的青睞，該工具旨在通過自帶驅動程式攻擊手法（Bring Your Own Vulnerable Driver，BYOVD）來關閉端點偵測和回應(EDR) 軟體。BYOVD 技術依賴於攻擊者濫用由 Microsoft 簽章的合法但過時且可利用的驅動程式（或使用被盜或外洩露的憑證）來獲得提升的特權並關閉安全機制。自今年年初以來，AuKill 已被用於至少三起勒索軟體攻擊。根據Sophos 報告，研究人員觀察到不同的攻擊者團體在各種惡意活動中使用 AuKill來關閉 EDR 進程:

*在 2023 年的首兩個月，觀察到兩起不同的Medusa Locker 勒索軟體攻擊活動。在 1 月 18 日和 2 月 14 日，攻擊者使用 AuKill 終止了 EDR進程，然後部署了 Medusa Locker 勒索軟體

*2 月的另一起活動則發現AuKill 被用來部署 LockBit 勒索軟體

AuKill是如何運作的？

AuKill 工具針對Process Explorer的 v16.32 (過時版本)透過自帶易受攻擊驅動程式攻擊 BYOVD的技術終止 EDR 進程。

*感染後，它在 Microsoft Process Explorer v16.32 使用的驅動程式旁邊放置一個易受攻擊的 Windows 驅動程式 procexp.sys。Process Explorer是一個非常流行且合法的實用程式，可幫助收集有關活動 Windows 進程的資料。

*接下來，AuKill會檢查它是否以 SYSTEM 權限運行。如果不是，它會嘗試通過模擬 TrustedInstaller Windows 模組安裝程序服務來升級到所需的權限。

*它啟動多個線程來掃描和終止與 EDR 相關的服務和進程。AuKill 針對的 EDR供應商和服務因樣本而異，包括 Microsoft、Sophos、Splashtop 和 Aladdin HASP Software。

在default情況下，Windows使用驅動程式簽章強制功能來確保內核模式驅動程式在操作系統允許其執行之前已由有效的程式簽章機構簽章。為了繞過安全措施，攻擊者需要找到一種方法讓惡意驅動程式通過受信任的憑證簽章，或者濫用合法的商業軟體驅動程式來達到他們的目標。在 Sophos 觀察到的攻擊中，攻擊者使用了由 Microsoft 建立並簽章的驅動程式。

Process Explorer 驅動程式是Windows Sysinternals開發的一套進階的系統管理工具套件的一部分，是一種進程檢視器和控制公用程式。 根據Sophos ，AuKill 將名為 PROCEXP.SYS 的驅動程序式（來自進程資源管理器的發行版 16.32）放入 C:\Windows\System32\drivers 路徑。合法的 Process Explorer 驅動程式名為 PROCEXP152.sys，通常位於同一位置。兩個驅動程式都可以存在於運行 Process Explorer 副本的機器上。AuKill 安裝程式還將其自身的可執行副本放入 System32 或 TEMP 目錄，作為服務運行。

AuKill 並不是第一個通過 Process Explorer 針對 EDR 服務的工具。過去，一個名為 Backstab 的開源工具執行了類似的操作。據信，AuKill 是使用與 Backstab 相同的核心技術開發的。Sophos 報告稱研究人員收集了 AuKill 惡意軟體的六種不同變種，這些變種與開源工具 Backstab 有多種相似之處。研究人員觀察到的相似之處包括debug字串，以及與驅動程式互動的幾乎相同的程式碼邏輯。

AuKill的部分入侵指標(Indicator of compromise -IOCs):

SHA 1

f7b0369169dff3f10e974b9a10ec15f7a81dec54

23b531ae8ca72420c5b21b1a68ff85524f36203a   

7f93f934b570c8168940715b1d9836721021fd41

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

攻擊者正在入侵安全性差且暴露於互聯網的微軟 SQL 伺服器以部署 Trigona 勒索軟體

Trigona勒索軟體的logo

4月17日，根據韓國資安公司 AhnLab，攻擊者正在侵入 Microsoft SQL (MS-SQL) 伺服器以安裝 Trigona 勒索軟體有效負載並加密檔案。由於這些伺服器沒有得到很好的保護並且暴露在互聯網上，攻擊者可通過使用易於猜測的帳號憑證，使用暴力或字典攻擊來存取 MS-SQL伺服器。在成功連接到伺服器後，攻擊者將部署名為CLR Shell的惡意程式，可允許攻擊者利用Windows 輔助登錄服務中的漏洞獲取系統資訊並將提升權限到 LocalSystem。CLR Shell 是一種 CLR 程式集惡意軟體，它接收來自攻擊者的命令並執行惡意行為，類似於 Web伺服器的 WebShell。

根據AhnLab 對ASD 日誌的分析顯示，MS-SQL 進程 sqlservr.exe 以啟動偽裝為svchost.exe的Trigona勒索軟體。當 svcservice.exe 作為服務執行時，它會執行 Trigona 勒索軟體，還會建立並執行用於執行勒索軟體的 svchost.bat，svchost.bat 再將 Trigona 二進製檔案註冊到 Run key以保持持久性。svchost.bat 還會刪除卷影副本並關閉系統恢復功能，以防止受害者恢復加密檔案。

勒索軟體通過添加 ._locked副檔名來重新命名加密檔案，並在每個檔案夾中建立名為“how_to_decrypt.hta”的勒索信，其中包含有關攻擊的資訊、指向 Trigona Tor協商網站的連結以及包含登錄協商站點所需的授權密鑰的連結，Trigona 勒索軟體操作於 2022 年 10 月首次被 MalwareHunterTeam發現，以僅接受全球受害者使用 Monero 加密貨幣支付的贖金而聞名。Trigona 勒索軟體組織一直是源源不斷的攻擊的幕後黑手，自今年年初以來，至少有 190 次提交給 ID Ransomware組織平台。

Ahn Lab敦促管理員必須使用不容易猜到的密碼，並定期更改它們，以保護資料庫伺服器免受暴力破解和字典攻擊。SQL server的 V3應更新到最新版本，以便防止惡意軟體感染。管理員還應使用安全程式（如防火牆）用於從外部存取的資料庫伺服器，以限制外部威脅參與者的存取。

Trigona勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

– 1cece45e368656d322b68467ad1b8c02 — Trigona Dropper (svcservice.exe)

– 530967fb3b7d9427552e4ac181a37b9a — Trigona Ransomware (svchost.exe)

– 1e71a0bb69803a2ca902397e08269302 — Batch Runner (svchost.bat)

– 46b639d59fea86c21e5c4b05b3e29617 — CLR Shell

– 5db23a2c723cbceabec8d5e545302dc4 — nt.exe

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”