中國APT駭客組織Winnti的分支Grayfly來襲!利用”SideWalk” 後門鎖定北美亞洲等地,台灣也榜上有名

Posted on by blogadmin

引言: 還記得中油、台塑化、封測廠力成遭惡意程式攻擊事件嗎? 另外在2020總統就職典禮前夕,發生了假冒總統府寄釣魚信件給立委的資安事件。中國APT 駭客組織對台灣的攻擊,從不間斷。尤其耳熟能詳的Winnti Group更是赫赫有名, 最近包含ESET和賽門鐵克的研究人員對SideWalk後門發表了研究報告。當中驚見台灣已被鎖定成為攻擊對象。

Photo Credit: ESET

背景:

2020 年 9 月,美國司法部起訴 5 名中國公民,他們被指控為國家資助的駭客組織Winnti(又名APT41)的成員。他們三人(蔣勵志、錢川和傅強)參與了Winnti 分支小隊Grayfly(又名 GREF 和 Wicked Panda)的工具開發和攻擊策略。據了解,攻擊者擅長透過Exchange、SQL Server、MySQL入侵受害組織。最近發現Grayfly利用一個名為SideWalk的後門集中攻擊多國的電信公司、IT產業、媒體和金融機構等,台灣也是受害者之一。SideWalk後門與該分隊使用的另一個Crosswalk後門(Backdoor.Motnug )有很多相似之處,SideWalk 是一個模組化後門,可以動態載入從其 C&C 伺服器發送的附加模組,使用 Google Docs 作為情報投放點解析器(Drop Dead Resolver),並使用 Cloudflare Workers作為C2中繼站,它還有處理透過代理伺服器(Proxy)連線的通訊能力。

一旦網路遭到Grayfly入侵,Grayfly會將其自訂的後門安裝到其他系統上,允許他們全面遠端存取網路和代理伺服器連線,從而允許他們存取目標網路中難以到達的部分。Grayfly將裝載定製版本的Mimikatz 憑證刪除工具,該工具使攻擊者能夠從遠端存取系統和代理伺服器連線,使攻擊者能夠存取目標網路的任何部分。除了Trojan木馬自定義裝載機之外,Grayfly 還使用SideWalk後門。

研究人員發現,Grayfly最近的活動利用SideWalk特別著重於攻擊 MySQL 伺服器,有許多警報說明此類 ProxyShell 攻擊的數量不斷增加。另外在針對近 2000 個易受攻擊的 Microsoft Exchange 伺服器至少啟動了 140 個 web shell。

根據研究報告,ESET歸納的受害組織如下:

*澳門、香港、台灣學術界

*台灣的宗教組織

*台灣某電腦及電子產品製造商

*東南亞的政府機構

*韓國的電子商務平台

*加拿大的教育部門

*印度、巴林和美國的媒體公司

*一家位於美國的電腦零售業者

* 喬治亞(格魯吉亞)當地政府

*韓國和新加坡尚未確認的組織

與 CROSSWALK 一樣,在初始化期間,SideWalk 在執行開始時使用循環的ROR4計算 shellcode 的32位hash值。

報告顯示 SideWalk 後門收集類似的產出物(目標數據): –

*IP 配置

*操作系統版本

*使用者名

*電腦名稱

*檔名

*Current process ID

*Current time

中國對台灣的威脅早已跨入網路攻擊,攻擊對象從科技業、政府機關至油水電等民生基礎設施無所不在,因此近年來台灣的企業及政府部門對資安的意識也不斷提高,然而攻擊事件仍頻頻傳出,那麼該如何防範?根據美國的MITRE ATT&CK框架,旗下的Mitre Engage(Shield) ,企業應反被動為主動,改善作戰計畫,在防守者可防禦範圍之內,進一步控制對手,使用網路欺敵(Deception) 至關重要,透過亦真亦假的欺敵手段,來誤導對手,藉由隱瞞關鍵事實與虛構環境和系統,讓攻擊者無法分辨和評估,或繼續進行行動。縱深防禦不是一站式服務,企業必須具有欺騙能力才能實現主動防禦覆蓋。Mitre Engage強調的是,欺敵可以說是Mitre主動防禦方法的核心。

另外,積極修補系統弱點、佈署資安偵測防禦系統以及存取政策緊縮,仍是應對針對性攻擊的最佳實踐方式,除了減低被攻擊成功的機率,在事故發生時更能及早發現,降低損害與衝擊;而系統與檔案備份則是事故發生後唯一的善後方法

有關SideWalk後門的入侵指標(Indicator of compromise -IOCs):

SHA 256:

b732bba813c06c1c92975b34eda400a84b5cc54a460eeca309dfecbe9b559bd4

b3eb783b017da32e33d19670b39eae0b11de8e983891dd4feb873d6e9333608d

25a7c1f94822dc61211de253ff0a5805a0eb83921126732a0d52b1f1967cf079

SHA 1:

9d1940ed48190277c9d98ddbd7e4ea63ade5ceae

8c877f583dd1e317af4eb9e15c2d202f2f63e0d1

4c8194c94e25d51a062fab3e0a3edcec349fe914

MD 5:

7007877ec8545265722325231b434c79

5251b3f47b1ae8feb79642011b3a925b

Source:

https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayfly-china-sidewalk-malware

BlackMatter勒索軟體攻擊了日本的跨國企業 Olympus

Posted on by blogadmin

日本Olympus在一份聲明中表示,正在調查上週影響其部分 EMEA(歐洲、中東、非洲)IT系統的網路安全事件,Olympus在全球擁有 31,000 多名員工,是一家跨國公司,專門銷售攝影設備、錄音設備和一系列科學和醫療技術,如超聲波和顯微鏡工具等。

據知情人士透露,Olympus在 9 月 8 日凌晨開始,發現了被感染的電腦上留下來自 BlackMatter 勒索軟體組織的勒索信。信中寫道:“您的網路已加密,目前無法運行,如果您付費,我們將為您提供解密程式。” 勒索信上還包括一個通過 Tor 瀏覽器訪問的網站的網址,根據資安公司Emsisoft的威脅分析師 Brett Callow,勒索信中的網站與 BlackMatter 組織有關,已知的是BlackMatter 使用該瀏覽器與受害者進行通訊。

BlackMatter 是一個相對較新的勒索軟體即服務(Ransomware as a Service; RaaS)組織,於 2021 年 7 月底浮出水面,被認為是 DarkSide 勒索軟體的更名(Rebrand)提供租用基礎設施(包含勒索軟體)的存取權限給其會員。根據研究人員在BlackMatter的一些攻擊後收集到的樣本,隨後得以證實 BlackMatter 勒索軟體的加密程式與 DarkSide 使用的自訂的程式相同。

BlackMatter的勒索信樣本

自BlackMatter出現以來,資安公司Emsisoft 已記錄了 40 多起歸因於 BlackMatter 的勒索軟體攻擊,相信實際的數字可能更多。BlackMatter 勒索軟體組織的操作與其他勒索軟體無異,通常會先從受害公司網路中竊取數據,再對其進行加密,如果受害公司不付贖金或談判破裂,就會威脅在暗網上發佈從受害公司盜來的數據和檔案。但目前在BlackMatter的揭秘網站上仍未看到有關Olympus 的頁面。

有關BlackMatter勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

51.79.243.236

206.188.197.206

Domain:

paymenthacks.com

SHA 1:

379ebd1eff6f8685f4ff72657626bf6df5383d87

72ed32b0e8692c7caa25d61e1828cdb48c4fe361

10d6d3c957facf06098771bf409b9593eea58c75

MD5:

ba375d0625001102fc1f2ccb6f582d91

a55bc3368a10ca5a92c1c9ecae97ced9

3f9a28e8c057e7ea7ccf15a4db81f362

SHA 256:

6a7b7147fea63d77368c73cef205eb75d16ef209a246b05698358a28fd16e502

e48c87a1bb47f60080320167d73f30ca3e6e9964c04ce294c20a451ec1dff425

2c323453e959257c7aa86dc180bb3aaaa5c5ec06fa4e72b632d9e4b817052009

注意了~REvil正式回歸!研究人員已發現REvil的最新樣本,最新害者只有6天時間與REvil聯繫進行談判

Posted on by blogadmin

Key Points:

*Virus Total上已出現REvil的最新惡意樣本

*不僅伺服器重新上線,已出現最新受害者,被勒索60萬美元

*為何消失了兩個月,REvil稱他們只是放假去

9月8日REvil在暗網重新上上線,今天,捷克資安公司Avast的惡意軟體研究總監Mr. Kroustek表示, 在9月9日,在免費線上病毒分析服務平臺VirusTotal上,出現了一支的勒索軟體REvil最新的樣本(SHA-256: ab0aa003d7238940cbdf7393677f968c4a252516de7f0699cd4654abd2e7ae83)

此外,Mr. Kroustek也公開了有關REvil最新受室者的勒索信和贖金頁面的截圖,據了解,受害者系統的檔案已被加密成.qt1b68hi6e的副檔名。此次受害者有6天的時間決定是否付60萬美元的贖金,如逾時未付,則贖金會在9月16日漲價一倍,目前沒有看到有關受害在REvil支援的聊天室與其進行對話談判的資訊。

Photo Credit: Mr. Kroustek

此次回歸,REvil的勒索金額比以往低許多而引起熱議,過去REvil以勒索天價而臭名遠播,當中包括:

*日月光集團旗下子Asteelflash Group曾遭勒索2400萬美元

*Acer曾遭勒索5千萬美元

*廣達曾遭勒索5千萬美元

*美國JBS Food承認支付1100 萬美元

*Kaseya被REvil勒索7千萬美元

另外,根據DarkFeed取得REvil與某資安人員的對話,REvil的operator 表示,他們安然無恙 ,沈寂了2個月只是去休息 ,現在要重回工作, 從9月8日發現REvil的基礎建設重新啟動起,不到兩天已出現新的受害者,相信REvil的回歸值得我們持續的密切關注。

在消失兩個月後,REvil 勒索軟體的伺服器神秘地重新上線

Posted on by blogadmin

今日較早時候,REvil勒索軟體操作的暗網伺服器在沈寂近兩個月後突然重新啟動,目前尚不清楚這是否標誌著REvil勒索軟體的回歸或是執法部門正在打開伺服器。REvil在美國 7 月 4日的國慶假期期間針對 Kaseya 伺服器的大規模勒索軟體攻擊,利用 Kaseya VSA 遠端管理軟體中的零時差漏漏洞對大約 60 家託管服務提供商(MSP) 及其 1,500 多家企業客戶進行加密,這一事件引起了白宮官員的高度注意,在Kaseya事件後,操作REvil 勒索軟體的幕後駭客進入了”休眠狀態”,關閉了包括其揭秘網站Happy Blog在內的基礎設施。當時,許多業內人表示REvil已經解散,並準備改頭換面,重新出發,試圖甩掉美國執法調查人員。

現在,根據Emsisoft資安公司的研究員Brett Callow的觀察,REvil的Happy Blog重新在暗網上上線。

據 Brett Callow 稱,REvil今年至少攻擊了 360 家美國組織,帶來了超過 1100 萬美元的收入, 當中包括對Acer、JBS Food、廣達電腦等的高調攻擊最熟為人知。

在撰寫本文時,REvil 在Happy Blog列出的受害者與REvil 在7 月 13 日關閉時列出的受害者相同。

此外,REvil 的支付入口網站(Payment portal) ,一個受害者被告知去與REvil談判的網站,也已在同一個暗網網址上恢復。目前,安全研究人員尚未發現新的 REvil 樣本,也尚不清楚 REvil是否也發起了新的攻擊。

Conti勒索軟體的會員借助 ProxyShell漏洞,攻擊 Microsoft Exchange伺服器,在不到一分鐘取得權限!

Posted on by blogadmin
Conti 在攻擊中使用的工具

安全研究人員警告說,Conti 勒索軟體組織的會員(Affiliate) 正在利用Microsoft Exchange Server 中的ProxyShell漏洞來攻擊並破壞企業網路。ProxyShell實際上是由3個漏洞所串連的漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207),分別屬於遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,它們同時影響Microsoft Exchange Server 2013、2016與2019,串連這些漏洞將允許駭客於系統上執行任意程式。

根據資安公司Sophos的觀察,攻擊以極快的速度發生,在一個事件回應案例中,研究人員在對攻擊進行分析後,發現Conti的會員用不到一分鐘就取得對目標網路的使用權限,在安裝了第一個 web shell 幾分鐘後,攻擊者便安裝了第二個 web shell。在不到 30 分鐘的時間內建立了一份完整份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後,Conti的會員就取得網域系統管理員帳戶的憑證並開始執行命令。Sophos研究人員發現攻擊者在獲得存取權限後的 48 小時內竊取了大約 1 TB 的數據。五天後,他們將 Conti 勒索軟體部署到網路上的每台電腦,尤其針對它們的網路共用區。

在攻擊期間,Conti 的會員還在網路上安裝了不少於 7 個後門:兩個 web shell、Cobalt Strike 和四個AnyDesk、Aterta、Splashtop 和 Remote Utilities 的商用遠端存取工具。Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率,因此安裝修補程式絕對是不可或缺的。

ProxyShell 和其他針對已知 Microsoft Exchange 漏洞的攻擊會帶來重大的風險。研究人員敦促使用 Microsoft Exchange Server的企業應盡快更新和修補伺服器的緊急建議。

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

135.181.10.218

SHA1:

59e2d227bf8499d1d28116f922925980774ebf96

Source: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/?cmp=30728

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中鏢!

Posted on by blogadmin

竣盟科技在9月1日發現LockBit2.0的揭秘網站上,刊登了台灣某製造業的資料,根據描述,該公司為亞洲最大的成衣副料商之一,提供知名戶外運動品牌各種輔料及配件,根據受害公司的官網,其營業據點包含台北、台中、北京,在桃園,蘇州及越南也有設廠。操作LockBit2.0的背後駭客將於9月7日在其揭秘網站上發佈從該公司盜來的資料,但未有透露竊取的資料量和勒索贖金額。

LockBit 2.0勒索軟體最近異常的活躍

2021年6月,LockBit大改版升級為LockBit 2.0,瞄準的企業數量比以往更多,攻擊的地區和產業別也更廣泛,在受害企業中當中不泛一些國外資安媒體沒有報導的台灣鄰國,如日本、馬來西亞、星加坡、越南等,可見LockBit2.0對亞洲區不斷伸出毒手。

8月初IT顧問公司Accenture和近日泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心(ASCS) 在8月發布警報,已觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動。LockBit 2.0為了與其他勒索軟體即服務(Ransomware-as -a -Service;RaaS) 的競爭對手相比,新增了名為StealBit的竊密功能,將自己定位為當今加密最快、最有效率的勒索軟體,可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據。此外,LockBit 常利用被外洩的遠端桌面協定(RDP)或 VPN 賬戶進入企業內部網路。在7月份,BleepingComputer的報導中,指出研究人員已發現,LockBit 2.0能利用Windows 群組原則(Group Policy),自動感染 Windows 網域控制站旗下所有電腦的功能,不必額外寫程式碼進行勒索軟體部署,只要取得 Windows Server 網域控制器的存取權,勒索軟體就能夠在網域內傳播。LockBit 2.0在執行時,會自動産生新的群組原則設定檔,並能禁用 Microsoft Defender 的即時防護功能,以逃避檢測。

LockBit 2.0 攻擊過程(Photo Credit: Trend Micro)

另外,LockBit2.0的背後駭客為了提高他們的形象並吸引更多的會員(Affiliate),其發言人“LockBitSupp”在最近接受了俄羅斯OSINT的 YouTube 頻道採訪,在採訪過程中,不斷讚揚他們的營運計劃,並表示每筆贖金的 80% 是用來支付給會員的。LockBitSupp 還進一步表示,他們會持續研發、改進惡意軟體和其他工具,使攻擊不僅更快,而更自動化。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

CISA、FBI: 勒索軟體傾向於在假期和周末發動攻擊

Posted on by blogadmin

美國網路安全和基礎設施安全局 (CISA)和聯邦調查局(FBI)今天向美國政府和私營企業發布了一份聯合安全警告,敦促組織在假期和周末持續並積極地監控勒索軟體的威脅,並建議確認 IT人員在這些時間”隨叫隨到”,以應對勒索軟體攻擊。由於攻擊者意識到,如果他們在 IT或資安團隊下班或人數較少時進行破壞並在公司內部網路中移動,他們更有可能不被發現。即使他們的入侵被檢測到,但一些警報可能不會被及即時讀取或注意到,讓攻擊者在入侵時占得先機。

再加上大多數勒索軟體都更新了他們的程式碼以加快加密程式,大多數攻擊通常只需要幾個小時就能從最初的破壞到加密公司的伺服器,這讓 IT團隊幾乎沒有時間做出反應。

CISA和FBI表示,網路犯罪分子和APT駭客傾向在假期期間不休息而進行攻擊,勒索軟體在母親節、美國陣亡將士紀念日(Memorial Day)和美國獨立日假期等各大節慶的週末發動攻擊的趨勢在今年飆升,組織得思量相對應的營運模式以對抗及防禦勒索攻擊。他們敦促組織採取措施保護他們的系統,減少他們的暴露,並可能“在他們的網路上進行先發制人的威脅搜尋,以尋找威脅行為者的跡象”。

CISA和 FBI 點名3起在周末和假期發生的知名勒索軟體事件:

*操作Darkside 勒索軟體組織於 5 月 7 日(星期六)攻擊了美國最大燃油管道公司Colonial Pipeline。Colonial Pipeline 還向 DarkSide支付了 440 萬美元的贖金,(美國司法部後來沒收了一個 DarkSide 加密貨幣錢包,收回了大部分已支付的贖金)。

*REvil 勒索軟體對JBS Foods的攻擊發生在美國陣亡將士紀念週末假期,JBS向 REvil付了 1100 萬美元的贖金。

*REvil 勒索軟體對IT軟體製造商Kaseya的攻擊發生在 7 月 4 日美國假期期間,攻擊了數十名 Kaseya 客戶和多達 1,500 家其他下游企業。

另外,CISA和FBI建議組織可採取多種措施來保護他們的系統,包括:

*對數據進行離線備份

*避免點擊可疑的連結

*保護和監控遠端桌面協議的端點

*更新操作系統和軟體

*使用高強度密碼

*使用多因素身份驗證

CISA和FBI還建議在週末讓IT人員輪班並敦促組織適應這種新的營運模式並相應地改變他們的防禦措施, 根據 FBI 網路犯罪投訴中心 (IC3) 的數據,在過去一個月裡,發現以下勒索軟體的攻擊最活躍:

*Conti

*PYSA

*LockBit

*RansomEXX/Defray777

*Zeppelin

*Crysis/Dharma/Phobos

CISA 和 FBI補充說,即使他們今天發布了這份聯合公告,但沒跡象表明即將到來的美國勞動節(Labor Day)周末會發生重大勒索軟體攻擊。

勒索軟體LockBit2.0攻擊泰國的曼谷航空,乘客的個人識別資訊(PII)遭外洩, 200多GB的數據被公開

Posted on by blogadmin
Photo Credit: The record future

曼谷航空(Bangkok Airways)公司在8 月26 日給客戶的一份聲明中,就涉及護照資訊和其他個人數據的外洩發表道歉,該公司表示最初的入侵發生在 8 月 23 日,到目前為止,調查發現攻擊者可能已經存取了一些個人數據,但未說明有多少乘客受到影響。

操作LockBit2.0勒索軟體的背後駭客聲稱他們是這次攻擊曼谷航空的肇事者,並在其揭秘網站上發布消息,威脅該公司如果不支付高額贖金,就會洩露數據。LockBit2.0給了該航空公司五天的時間來付贖金,但很明顯的曼谷航空沒有乖乖就範而自行公開被入侵的情況,因此Lockbit2.0也在週六(8月28日)公佈了從曼谷航空盜來的200多GB的數據。

雖然大部分被盜資料似乎是與其業務有關的檔案,但曼谷航空公司表示,駭客仍設法竊取了包含部分乘客個人識別資訊的檔案。根據航空公司的說法,被盜檔案中包含的一些個人數據包括乘客姓名、姓氏、國籍、性別、電話號碼、電子郵件、地址、聯繫資訊、護照資訊、歷史旅行資訊,部分信用卡資訊和特殊餐飲資訊等數據,根據曼谷航空新聞稿,該公司在發現事件後,立即採取行動,在網路安全團隊的協助下調查並遏制該事件。目前,該公司正在緊急進行調查,核實洩露的數據和受影響的乘客,並採取相關措施加強其IT系統,並已將入侵行為通知了當地執法部門。

該公司建議乘客留意要警惕任何聲稱來自該航空公司的電子郵件或電話,因為這些可能是使用被盜數據進行的網路釣魚。曼谷航空公司還建議乘客盡快聯繫他們的銀行或信用卡提供商並更改密碼。

LockBit2.0是在 REvil、DarkSide 和 Avaddon 等競爭對手在今年夏天退出勒索市場之後,當今發動最多攻擊的勒索軟體之一。

本月早些時候,澳洲網路安全中心發布了一項警報,指出該LockBit勒索軟體在中斷其活動後重新啟動,並在第二波中以更大的力度回歸成為新的LockBit 2.0,其攻擊的特點是利用 CVE-20218-13379,這是 Fortinet FortiOS 和 FortiProxy 中的一個已知漏洞,允許駭客獲得對受感染網路的初始存取控制權。另外,LockBit2.0稱其工具StealBit是世上最迅速盜竊數據的神器,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

在美國西維吉尼亞州及俄亥俄州的連鎖醫療系統遭到Hive攻擊後,FBI發布了針對 Hive 勒索軟體的警報

Posted on by blogadmin

自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已付Hive贖金以換取解密金鑰

在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。

FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,

FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:

*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver

*7zG.exe – version 19.0.0 of the 7-Zip file archiver

*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt

Photo Credit: BleepingComputer

到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。

美國醫院協會網路安全高級顧問 John Riggi表示,Hive是醫療機構特別關注的勒索軟體。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

ALTDOS 駭客組織在東南亞肆虐,新加坡、泰國和孟加拉國首當其衝

Posted on by blogadmin

新加坡電腦網路危機處理暨協調中心(SingCert)已針對ALTDOS發出警報

Key Points:

*已知受害目標包括新加坡房地產商OrangeTee、泰國互聯網服務提供商3BB、孟加拉跨國企業集團BEXIMCO、Audio House、Vhive、CGSEC 等公司

* 自 2020 年 12 月以來,ALTDOS 駭客組織對孟加拉、新加坡和泰國的公司進行攻擊和勒索

*已看到該組織部署勒索軟體,用被盜數據勒索公司,或在駭客論壇上出售數據。

*傳出最新的受害者寫信給駭客:“你們複雜的攻擊讓我們筋疲力盡,不論在精神上還是經濟上。”

在過去的八個月裡,一個自稱為 ALTDOS 的網路犯罪組織在東南亞肆虐,對企業發動攻擊,以竊取他們的數據並勒索贖金或在暗網論壇上出售。該組織於 2020 年 12 月首次被發現,對孟加拉、新加坡和泰國等地的公司遭入侵有關。與俄羅斯駭客組織要求的高額贖金,ALTDOS要求的金額相對地低,據了解,已有70%受害企業願意支付贖金,據外媒報導,ALTDOS的作案手法只能用混亂來形容,他們沒有特定的方式,該組織有時候被發現部署勒索軟體來加密受害者的數據,有時候也被發現只竊取機密資訊。此外,在某些案例,ALTDOS聯繫受害者並要求支付贖金,但也發現在另外一些案例,ALTDOS只是直接在網上拍賣或發布受害者的數據。

受害者之一的新加坡Audio House 曾告訴《海峽時報》,其數據庫包含大約 180,000 名客戶的資訊被竊,並說 ALTDOS曾通過電子郵件威脅他們。
受害者之一的新加坡房地產商OrangeTee曾通知 ALTDOS,他們不會支付任何贖金,因為他們的董事會沒有批准,ALTDOS威脅公開OrangeTee的資訊

就在本月,ALTDOS仍在繼續製造新的受害者,新加坡今天發布了一份警報,說明了該組織最常見的策略。根據這份的警報,ALTDOS 入侵通常發生在該組織開採面向公眾的 Web 伺服器中的漏洞之後,他們最常見的目標是 Apache Web 伺服器。

一旦他們獲得初步立足點,該組織就會部署後門以建立持久性,然後部署 Cobalt Strike 滲透工具以擴展他們對其他系統的存取。

在該組織竊取受害者的數據後,也看到 ALTDOS也曾見過他們以硬碟抹除方式, 擦去可供鑑識的足跡。

一旦入侵進入最後階段,如果該組織尚未部署勒索軟軟體,他們通常會使用電子郵件聯繫受害者並要求支付贖金。如果受害者不付款,他們通常會在暗網上洩露數據。對於大型的企業,ALTDOS還會利用 DDoS 攻擊來施壓力。

ALTDOS曾入侵的公司包括: