竣盟科技 - Billows 技術/情資訊息分享

Salt Typhoon 狂襲：美國 8 家電信巨頭與數十國深陷駭客風暴

Posted on 2024 年 12 月 6 日2024 年 12 月 6 日 by blogadmin

中國駭客組織「Salt Typhoon」已入侵數十個國家的電信公司，範圍涵蓋美國、印太地區、歐洲和其他地方

在週三（12月4日）的白宮記者會上，美國總統拜登的副國家安全副顧問安妮·紐伯格（Anne Neuberger）警告，中國國家支持的駭客組織「Salt Typhoon」已經成功入侵數十個國家的電信公司，並對全球通訊基礎設施造成嚴重威脅。Neuberger透露，其中包括美國的八家主要電信公司，當中有四家公司此前未被公開報導過，突顯攻擊的廣泛性與隱蔽性。

她表示：「這些駭客活動可能已經持續了一至兩年，其影響範圍不僅限於印太地區，還波及歐洲及其他地區的電信企業。」她強調：「這是一項針對性極強的間諜行動，目標直指政府官員的敏感通訊，以及企業的核心智慧財產權。」

加密技術成為應對核心建議
在週二（12月3日），CISA 和 FBI 的高級官員共同建議美國民眾立即採用加密技術來保護通訊安全。他們指出，加密是應對此類網路攻擊的關鍵手段：「無論是文字訊息還是語音通訊，加密都能有效阻止駭客攔截後解讀信息。」這一建議不僅針對個人用戶，也適用於企業和政府部門，旨在大幅降低敏感數據被利用的風險。

T-Mobile與其他電信企業遭受攻擊
T-Mobile的資安長上週表示，公司的系統是透過一個有連接的有線網路供應商而被攻擊，但目前已經看不到任何駭客活動的跡象。Salt Typhoon這個駭客組織也被稱為FamousSparrow、Earth Estries、Ghost Emperor和UNC2286，自2019年起便針對東南亞的政府機構與電信公司進行入侵活動。CISA和FBI在10月底證實了這次駭客攻擊，Salt Typhoon入侵了多家電信公司的網路，包括T-Mobile、Verizon、AT&T和Lumen Technologies。

攻擊的規模與隱患
聯邦調查揭示，Salt Typhoon 不僅成功侵入部分美國政府官員的私人通訊平台，甚至深入竊取了政府執法部門的監聽平台數據，包括特定執法記錄與客戶通話詳情。這些行動表明駭客已在美國的關鍵基礎設施內部取得立足點，並可能進行長期的情報蒐集。

根據《華爾街日報》的分析，中國駭客可能已控制這些網路數月甚至更長時間，竊取包括企業與個人數據流量在內的海量資料，對國家安全與商業機密構成雙重威脅。

國際合作與防禦升級
為應對這次攻擊，CISA 聯合 FBI、國家安全局（NSA）及多個國際合作機構於週二（12月3日）發佈了專門針對 Salt Typhoon 的防禦指南。指南針對通訊基礎設施提出多項強化建議，包括：

*立即修補漏洞：要求企業和機構更新所有系統軟體，避免利用已知漏洞的攻擊。
*提升通訊保密性：鼓勵部署端到端加密的通訊方案，防止數據攔截。
*強化網路分段與監控：加強內部網路隔離，縮小駭客可能擴散的範圍。
*定期安全評估：要求系統管理員定期進行漏洞掃描和滲透測試，以提高網路防禦的敏捷性。

國際上，相關受害國家也加強了情報共享，並呼籲對中國的網路間諜行為採取更強有力的外交回應。這起事件可能推動更多國家參與制定全球網路安全協議，加強跨境協作應對日益頻繁的國家級網路攻擊。

對未來的影響與啟示
Salt Typhoon 的攻擊揭示了現代電信基礎設施的潛在風險，也暴露出全球在應對網路間諜行為上的防禦漏洞。以下是可行的下一步措施：

全球網路安全標準化：在國際層面推動建立統一的網絡安全規範，增強全球一致性。
技術創新投入：加速部署人工智能驅動的威脅檢測技術，探索量子密碼學應用，構建更加安全的通訊環境。
建立常態化聯合演習機制：促進政府、企業與技術專家的合作，模擬與測試應對大規模網路攻擊的能力。
Salt Typhoon 的事件不僅是一場網路安全危機，也是一個重要的警鐘，提醒全球必須更加專注於數位基礎設施的長期韌性與安全性。

Salt Typhoon駭客組織相關的部分的入侵指標（IOCs）:

505b55c2b68e32acb5ad13588e1491a5

9218e2c37c339527736cdc9d9aad88de728931a3

25b9fdef3061c7dfea744830774ca0e289dba7c14be85f0d4695d382763b409b

2b5e7b17fc6e684ff026df3241af4a651fc2b55ca62f8f1f7e34ac8303db9a31

44ea2e85ea6cffba66f5928768c1ee401f3a6d6cd2a04e0d681d695f93cc5a1f

6d64643c044fe534dbb2c1158409138fcded757e550c6f79eada15e69a7865bc

b63c82fc37f0e9c586d07b96d70ff802d4b707ffb2d59146cf7d7bb922c52e7e

SmokeLoader 惡意軟體重出檯面，針對台灣的製造業和 IT 產業

Posted on 2024 年 12 月 4 日2024 年 12 月 4 日 by blogadmin

SmokeLoader 惡意軟體因其多功能性與進階的規避技術而聞名，台灣企業成為最新目標

台灣的製造業、醫療保健及資訊科技等領域的企業，近日成為新的 SmokeLoader 惡意軟體攻擊活動的目標。SmokeLoader 是一款以其適應性和規避技術聞名的模組化惡意軟體。在此次攻擊中，它被用來直接執行惡意程式及指令，而非僅作為其他惡意軟體的下載媒介。

網路安全公司 Fortinet FortiGuard Labs 在一份報告中指出：「SmokeLoader 因其多功能性與高階的規避技術而聞名，其模組化的設計使它能執行廣泛的攻擊模式。」「雖然 SmokeLoader 主要是作為下載器來傳送其他惡意軟體，但在此案例中，它是從指令與控制（C2）伺服器下載外掛程式來自行執行攻擊。」

SmokeLoader 是一款於 2011 年首次在網路犯罪論壇上公開的惡意軟體下載器，主要用途是執行後續的惡意程式及指令。此外，它還能下載更多模組，擴充其功能以竊取資料、發動分散式阻斷服務（DDoS）攻擊，以及進行加密貨幣挖礦。

雲端運算安全公司 Zscaler ThreatLabz 對該惡意軟體的分析表示：「SmokeLoader 會偵測分析環境，生成假的網路流量，並混淆程式碼來規避偵測及阻礙分析。」「該惡意軟體系列的開發者持續提升其功能，透過引入新功能及混淆技術來阻礙分析工作。」

在 2024 年 5 月下旬，由歐洲刑警組織（Europol）主導的 Operation Endgame 行動中，與數個惡意軟體家族（例如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot）相關的基礎設施被拆除，導致 SmokeLoader 的活動大幅減少。

多達 1,000 個與 SmokeLoader 連結的 C2 網域被移除，超過 50,000 個受感染系統經由遠端清理。然而，該惡意軟體仍舊被網路威脅團體利用，透過新的 C2 基礎設施散發惡意程式及指令。Zscaler 表示，這主要歸因於網路上公開流通的許多破解版本，使得該惡意軟體仍具有活躍性。

根據 FortiGuard Labs 的發現，最新攻擊鏈的起點是一封帶有微軟 Excel 附件的網路釣魚電子郵件。當附件被開啟時，利用了多年前的安全漏洞（例如 CVE-2017-0199 和 CVE-2017-11882），挾帶一個名為 Ande Loader 的惡意軟體載入器，隨後將 SmokeLoader 部署到受感染的主機上。

SmokeLoader 包含兩個元件：stager 和主模組。

Stager 的目的是解密、解壓縮並將主模組注入到 explorer.exe 程序中執行。
主模組則負責建立並維續持續性、與 C2 基礎設施通訊並執行指令。

該惡意軟體支持數種外掛程式，可以竊取登錄憑證、FTP 驗證資料、電子郵件地址、Cookie，以及來自網頁瀏覽器、Outlook、Thunderbird、FileZilla 和 WinSCP 的其他資訊。

FortiGuard Labs 提出幾項防禦措施以應對如 SmokeLoader 的威脅：

防毒軟體保護： 確保防毒軟體的特徵碼是最新版本，以有效偵測及阻絕惡意軟體。
網路釣魚攻擊意識培訓： 鼓勵企業組織利用免費資源來進行資訊安全意識的培訓。
內容拆解與重建（CDR）：建置 CDR 服務，能使檔案文件中嵌入的惡意巨集失效。

Fortinet 解釋：「SmokeLoader 是一種能適應不同需求的模組化惡意軟體。在此案例中，SmokeLoader 是透過其外掛程式來執行攻擊，而非下載完整檔案來完成最後階段。這展現了 SmokeLoader 的靈活度，同時也警示分析人員，即使面對像這樣的知名惡意軟體，也需要特別謹慎小心。」

SmokeLoader 惡意軟體相關的部分的入侵指標（IOCs）:

15b00779bb5d457e76712ec3dd196c46

5fc6f24d43bc7ca45a81d159291955d1

89212a84f1b81d0834edb03b16a9db49

9ac835c38d4d0c6466e641427a2cf8f1

9edbf77e52249cc7c179ed1334847cdb

d0c53c25e4814001be39bd8e1d19e1f2

d20d31a0e64cf722051a8fb411748913

108a8b5f1eaf9ef078a3dc0210e6aa961d6b3787

431d44995111a40b0f8934c2f6e2406119ceeb92

4b37270aedc88397c027703f444ccaed9c23b862

Argonauts Group 勒索軟體現形：三家台灣企業受害，揭開暗網新危機

Posted on 2024 年 11 月 29 日2024 年 11 月 30 日 by blogadmin

隨著新的勒索軟體集團如Chort、Termite 、Kairos等的揭秘網站近期陸續在暗網上出現，竣盟科技注意到另一個名為「Argonauts Group」的勒索軟體組織也悄然浮現。截至目前，他們在其暗網揭秘網站中聲稱已經攻擊了 10 名受害者，其中包括 3 家台灣企業，涉及關鍵產業。

台灣是其攻擊行動中的重要目標之一，截至目前，Argonauts已揭露 10 起攻擊案例，其中包含 3 家台灣企業，涉及醫療、半導體和安全監控產業。這些攻擊表明，台灣的核心產業正面臨日益嚴峻的網路威脅，且勒索軟體集團的行動日益精準化。

台灣受害者概況

從目前揭露的資訊來看，Argonauts Group 針對台灣的攻擊明顯帶有策略性：

2024 年 9 月 15 日：某台灣領先的醫學研究公司，顯示該集團對醫療數據的高需求。被盜200GB的數據，目前Argonauts已放出截圖，聲稱已取得該單位的細胞療法、專利科技、用戶數據及合作的醫院單位的資料等等
2024 年 10 月 6 日：南台灣半導體零組件大廠，暗示對科技供應鏈的針對性滲透。目前未被公開任何盜來的資料，須輸入密碼以得到其他資訊，硏判仍在判中。
2024 年 11 月 8 日：某上市安全監控大廠，突顯該集團可能針對智慧城市或安防技術的興趣。目前未被公開任何盜來的資料，須輸入密碼以得到其他資訊，硏判仍在判中。

新型勒索軟體的精確攻擊策略

Argonauts Group 的攻擊方式已不再是隨機發作，而是針對特定目標，尤其是涉及敏感數據和關鍵基礎設施的企業。他們使用勒索軟體即服務（RaaS）模式，通過合作夥伴擴大攻擊規模。手法包括：

初步入侵：利用釣魚郵件、公共系統漏洞或未更新的應用程式進行入侵。
內網滲透與持續性攻擊：一旦入侵，便利用工具進行內網橫向移動。
雙重勒索策略：先竊取機密信息，再威脅公開資料以逼迫受害者支付贖金。
防禦規避：使用 BYOVD 技術禁用防毒軟體並清除系統日誌，增加防禦難度。

強化台灣企業防禦措施的緊迫性

Argonauts Group 的崛起提醒我們，台灣作為關鍵產業聚集地，必須加強資安防護。以下措施尤為重要：

漏洞管理與更新：定期更新系統，修補漏洞，減少攻擊面。
多重身份驗證：啟用多重身份驗證，增加攻擊者滲透的難度。
數據備份：定期進行數據備份並測試恢復流程，確保在勒索攻擊後能夠迅速恢復。
網絡異常監控：加強網絡檢測系統，快速識別潛在威脅。

隨著 Argonauts Group 的持續擴展及其針對台灣的精確攻擊，台灣企業必須高度警覺，提升資安防禦，確保數據與業務運營不成為下個勒索的目標。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/ 以免觸法”

星巴克因其供應鏈管理軟體廠商 Blue Yonder 遭到勒索軟體攻擊而受影響

Posted on 2024 年 11 月 27 日2024 年 11 月 27 日 by blogadmin

針對 Blue Yonder 的勒索軟體攻擊破壞了星巴克用於追蹤員工工時的平台，該公司正在恢復手動追蹤

供應鏈管理軟體供應商 Blue Yonder 遭受勒索軟體攻擊，導致部分客戶業務受到嚴重干擾，其中包括多家大型企業。

位於亞利桑那州的 Blue Yonder 於 11 月 21 日表示，其托管服務環境因遭受到勒索軟體攻擊而導致中斷。公司立即展開調查並開始修復受影響的服務。在 11 月 24 日公司網站發布的最新消息中，Blue Yonder 表示修復工作進展順利，但尚未提供完整恢復服務的時間。

Blue Yonder 表示已聘請一家資安公司協助進行調查和修復，但未透露有關此次攻擊的其他細節。

目前尚無任何已知的勒索軟體組織承認對此次攻擊負責。不過，這類網路犯罪團體通常僅在受害者拒絕支付贖金或談判破裂時，才會公佈受害者的名稱並洩露資料。

Blue Yonder 提供一個端到端 (end-to-end) 的供應鏈平台，公司聲稱擁有來自 76 個國家、超過 3,000 家客戶，其中包括零售商、製造商和物流服務供應商。

多家知名客戶已確認因 Blue Yonder 的服務中斷而受到影響，其中一家是星巴克（Starbucks）。星巴克表示，針對 Blue Yonder 的勒索軟體攻擊致使該公司用於管理員工排班和工時記錄的平臺運作中斷。不過，星巴克計劃採取一切必要措施，以確保員工薪資不受影響。

星巴克發言人表示，公司正在與該供應商 (Blue Yonder) 密切合作，以解決平臺中斷問題。然而，公司已向門市經理及員工提供指導，教授如何手動記錄相關資訊。根據公司聲明指出，此次攻擊並未影響星巴克的一般顧客服務，因此行動點單與門市運作均照常進行。

根據《The Grocer》報導，在英國，兩大超市連鎖品牌 Morrisons 和 Sainsbury’s 也受到影響。

Morrisons 使用 Blue Yonder 的倉庫管理解決方案，因中斷而採用手動備援系統。該公司表示，此事件影響了供應商的交貨以及某些產品的供應情況。Sainsbury’s 也確認受到影響，但他們表示已啟動緊急應對措施以減輕此次事件的影響。

根據 CNN 的報導，Blue Yonder 的解決方案同樣被美國的超市連鎖品牌（例如 Albertsons 和 Kroger）以及其他類型的公司（例如 福特 Ford、寶僑 Procter & Gamble 和 百威 Anheuser-Busch）使用，但目前尚不確定這些公司是否有受其影響。

穆迪（Moody’s）供應鏈策略資深總監 John Donigian 表示，此次攻擊凸顯出這些技術在全球供應鏈管理中的重要性。

他指出：「當這些系統中斷時，重要的工作流程（例如庫存管理、需求預測、倉庫管理和運輸規劃等）將會受到干擾，進而使整個供應鏈陷入停頓。」他認為這次事件強調了此類技術在零售、物流等行業中的不可或缺的地位。

企業或連鎖零售商在面對勒索軟體組織的網路攻擊時，竣盟科技建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟：

資料備份與復原計畫：定期備份重要資料於與主系統隔離的安全位置。
更新軟體與弱點掃描：定期更新所有系統的作業系統、應用程式和防毒軟體；另外應定期檢查系統中可能存在的安全漏洞。
多因子身份驗證 (MFA)：限制未經授權的使用者進入關鍵系統。
網路分段 (Network Segmentation)：通過將網路進行分段，限制惡意軟體在被攻擊系統中的橫向移動。
行為監控與威脅偵測：使用端點偵測與回應 (EDR) 工具，以及威脅情報分享。
與外部專業團隊合作：與專業的資安公司合作，進行資訊安全評估、滲透測試等服務，以提升企業的資安防禦能力。

中國支持的駭客 Liminal Panda 滲透南亞及非洲電信網路

Posted on 2024 年 11 月 22 日2024 年 11 月 27 日 by blogadmin

Liminal Panda 自 2020 年起就開始滲透南亞和非洲的電信網路

自 2020 年起，一個新的中國關聯的網路間諜團體被發現持續瞄準南亞與非洲的電信企業發動一系列針對性網路攻擊，其目的是進行情報蒐集。根據網路安全公司 CrowdStrike 的分析，該團體被命名為 Liminal Panda，其成員對於電信網路的運作模式、底層協定，以及不同電信服務供應商之間的互聯結構擁有深入了解。

Liminal Panda 是 CrowdStrike 所追蹤的 63 個不同的「Panda」之一。「Panda」是該網路安全公司用來指涉及中國內部或與中國有聯繫的網路入侵者的命名方式。自 2020 年起，Liminal Panda 就開始滲透南亞和非洲的電信網路。

CrowdStrike 指出，Liminal Panda 使用一系列專門設計的惡意工具來實現隱匿訪問、指令及控制（C2）和資料外洩。這些工具被用於滲透受害者的電信伺服器，並將攻擊範圍擴大至其他地區的服務供應商。該團體還利用支援行動通訊的協定，例如模擬全球行動通訊系統（GSM）協議進行 C2 操作，並開發工具來檢索行動用戶資訊、通話詮釋資料 (call metadata) 和簡訊（SMS）。

值得注意的是，部分與 Liminal Panda 有關的滲透活動早在 2021 年 10 月就已被記錄，但當時被錯誤地歸咎於另一個威脅團體 LightBasin（又名 UNC1945）。LightBasin 自 2016 年起便以攻擊電信企業而惡名昭彰，這次錯誤主要是因為有多個駭客團體都在同一受感染網路中進行惡意活動所導致。經過深入分析，CrowdStrike 確認這是一個全新的威脅團體，並揭露其專屬的工具組和攻擊模式。

Liminal Panda 的工具組包括數款專門針對電信協定設計的惡意軟體。例如，SIGTRANslator 是一個 Linux ELF 二進位檔案，能透過 SIGTRAN 協定進行資料傳輸；CordScan 是一款具備封包攔截與網路掃描功能的工具，專門用於辨識和檢索與電信協定相關的資料；PingPong 則是一個後門程式，能監聽特殊的 ICMP 回應請求，並建立反向的 TCP 殼層連結。這些工具展現了該團體對電信網路基礎設施的深厚理解。

該團體還採用開源後門工具 TinyShell 和公開的 SGSN 模擬器（稱為 sgsnemu）來進行指令與控制 (C2) 通訊。攻擊者常利用密碼噴灑攻擊法 (password spraying) 滲透外部 DNS（eDNS）伺服器，特別針對使用極弱密碼或與第三方相關的密碼進行攻擊。攻擊的最終目標是蒐集網路遙測資料與用戶資訊，或是利用電信業者之間的互聯需求，進一步滲透其他電信服務提供者。

Liminal Panda 的活動利用電信業者之間的信任關係，以及許多網路安全政策的漏洞。藉此由外部主機進而取得核心基礎設備的存取權限，進一步滲透受害者的網路。

CrowdStrike已追蹤中國關聯的網路威脅超過 20 年，據內部人員表示，這些攻擊行動已經從早期的「搶劫式突襲」進化為針對高價值目標個體和資訊的精準活動。這通常意味著鎖定能提供政治和軍事機密的來源，或者可能增進中國國家利益的智慧財產。

與此同時，法國網路安全公司 Sekoia 強調，中國的網路攻擊生態系統是一個由多方組成的合作體系，包括國家支持單位（如國家安全部 MSS 和公安部 MPS）、民間駭客以及民營機構。這些單位組織共同參與漏洞研究與攻擊工具開發，形成了一個緊密的合作網路。Sekoia 進一步指出，這種生態系統不僅涵蓋了攻擊的操作執行，還涉及販賣被盜資訊、提供攻擊服務與工具等多種業務，展現了國家與民間之間複雜而互補的協同關係。

這些針對電信業的攻擊行動，包括 Liminal Panda 以及其他如 Salt Typhoon 的中國相關威脅團體，突顯了電信業及其他關鍵基礎設施面臨的國家支持攻擊威脅。在這樣的背景下，強化通訊協定安全與防護電信供應商間信任模式下的漏洞成為各大電信業者的當務之急。

Liminal Panda 駭客組織相關的部分的入侵指標（IOCs）:

3a5a7ced739923f929234beefcef82b5

9728cd06b3e5729aff1a146075d524c34c5d51df

05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006

16294086be1cc853f75e864a405f31e2da621cb9d6a59f2a71a2fca4e268b6c2

4480b58979cc913c27673b2f681335deb1627e9ba95073a941f4cd6d6bcd6181

6d3759b3621f3e4791ebcd28e6ea60ce7e64468df24cf6fddf8efb544ab5aec0

78c579319734a81c0e6d08f1b9ac59366229f1256a0b0d5661763f6931c3b63c

917495c2fd919d4d4baa2f8a3791bcfd58d605ee457a81feb52bc65eb706fd62

97d4c9b5750d614face73d11ba8532e53594332af53f4c07c1543195225b76eb

9973edfef797db84cd17300b53a7a35d1207d166af9752b3f35c72b4df9a98bc

中國關聯的駭客組織利用 Fortinet VPN 零日漏洞竊取憑證

Posted on 2024 年 11 月 20 日2024 年 11 月 20 日 by blogadmin

Fortinet VPN 客戶端的零日漏洞被利用來提取憑證及 VPN 伺服器資訊

中國政府有關聯的駭客組織正在利用 Fortinet 的 Windows VPN 客戶端中的零日漏洞來竊取憑證和其他資訊。這個零日漏洞使得網路威脅者在可以在用戶透過 VPN 裝置進行身份驗證後，從記憶體中竊取憑證資訊。

Volexity 威脅情報團隊指出，他們於今年夏天稍早發現了此漏洞並向 Fortinet 報告，目前該問題尚未被修復，亦未被給予 CVE 編號。

報告解釋道，「Volexity 在 2024 年 7 月 18 日將此漏洞向 Fortinet 報告，Fortinet 在 2024 年 7 月 24 日確認了這個問題，截至目前為止該問題尚未解決。」

此攻擊是由北京支持的駭客團體「BrazenBamboo」發起，他們素以開發和部署針對 Windows、macOS、iOS 和 Android 系統的高階惡意程式而著名，主要用於監視行動。

Volexity 解釋，網路威脅者在其攻擊中使用了多種惡意程式，包括 LightSpy 和 DeepPost。

LightSpy 惡意程式主要在記憶體中執行。它包含外掛程式來記錄按鍵、音訊和影像；收集 Cookies、存儲的憑證，以及已安裝軟體和服務的詳細資訊。
DeepPost 惡意程式則用於從受感染系統中竊取檔案。

Volexity 的報告重點介紹了 DeepData，一款用於 Windows 的模組化後滲透工具，具備多個外掛程式，專門用於竊取目標資料。

最新版本的DeepData於去年夏天被發現，內含一個專為 FortiClient 設計的外掛程式，利用產品中的零日漏洞來提取憑證（帳號、密碼）及 VPN 伺服器資訊。

DeepData 定位並解密 FortiClient 處理程序記憶體中的 JSON 物件，由於憑證會存留於記憶體中，便可透過 DeepPost 將資料外傳至攻擊者的伺服器。

透過入侵 VPN 帳戶，BrazenBamboo 能夠獲取企業網路的初始存取權，然後進行橫向移動、駭入敏感系統，並擴張其間諜活動。

Volexity 發現 DeepData 在 2024 年 7 月中旬利用了 FortiClient 零日漏洞，並指出它與 2016 年的一個漏洞相似（該漏洞亦未有 CVE 編號），該漏洞係因硬編碼 (hardcoded) 記憶體致使憑證暴露而遭利用。然而，2024 年的漏洞則是全新且不同以往的，僅出現於包括最新版本 v7.4.0 在內的近期釋出版本。

Volexity 解釋，問題出在 FortiClient 未能從記憶體中清除敏感資訊，包括帳號、密碼、VPN gateway (閘道器)，這些資訊仍以 JSON 物件形式存於記憶體中。

在 Fortinet 確認漏洞並釋出修復更新之前，建議限制 VPN 存取權並監控不尋常的登入活動。與最新 BrazenBamboo 活動相關的入侵指標（IoC）可在此處查閱。

Fortinet VPN 零日漏洞相關的部分的入侵指標（IOCs）:

707d410a72a630d61168593f17116119

7efb1bc15ee6e3043f8eaefcf3f10864

a2fee8cfdabe4fdeeeb8faa921a3d158

cad4de220316eebc9980fab812b9ed43

ef92e192d09269628e65145070a01f97

f162b87ad9466381711ebb4fe3337815

fb99f5da9c0c46c27e17dc2dc1e162d7

0563225dcc2767357748d9f1f6ac2db9825d3cf9

174519da762cf673051ed1c02a6edb9520886fec

30e33f1188ca4cffc997260c9929738594e7488c

Hunters International捲土重來傳出台灣上市網通設備大廠成為最新攻擊目標

Posted on 2024 年 11 月 15 日2024 年 11 月 15 日 by blogadmin

近日，台灣一家知名電信寬頻設備大廠被勒索軟體駭客組織 Hunters International 鎖定為攻擊目標。11 月 14 日，竣盟科技觀察到 Hunters International的揭露網站上列出了這家大廠為其受害者之一。值得注意的是，目前尚未發現任何竊取資料被公開，顯示攻擊行動仍處於談判或威脅階段。

Hunters International 因其高技術滲透能力而聞名，主要目標為高價值科技企業，透過資料竊取及勒索牟利，對產業安全構成重大威脅，並反映出台灣企業面臨日益升級的資安挑戰。

根據硏究，Hunters International的攻擊手法包括結合了零日漏洞（Zero-Day Exploit）、社交工程手法，以及自訂的多階段惡意程式，使得入侵難以察覺。攻擊一開始，駭客透過精心設計的網路釣魚（Phishing）攻勢，誘騙特定人員下載惡意檔案，成功獲取初始存取權限。隨後，他們運用零日漏洞在短時間內提升權限，取得對企業內部網絡的高階權限，並深度滲透至關鍵系統中。

在攻擊過程中，Hunters使用的多階段惡意程式具備自我掩蔽和逆向分析防禦功能，能有效躲避傳統的防毒軟體及行為分析系統。該程式一旦部署成功，會進行橫向移動（Lateral Movement），藉由破解內部憑證和提權工具，持續擴展感染範圍，並搜集公司敏感資料。攻擊的目標包括技術文件、客戶資料，以及供應鏈合約資訊等高度機密的商業資料。

Hunters並非首次鎖定台灣企業，該組織過去曾多次針對台灣的重要企業進行網路攻擊，企圖竊取核心資料並施壓勒索。曾遭攻擊的台灣企業包括電子製造龍頭、半導體供應鏈關鍵廠商及高科技研發公司，這些企業均承擔著台灣高價值技術資產的重任。

此事件突顯出台灣高科技產業在面對國際性駭客組織的威脅下，必須迅速提升資安防護能力。建議企業應部署針對零日漏洞的快速應變機制、強化多層次的資安偵測架構，並提升員工的資安意識，以應對新一代攻擊手法的挑戰。

Hunters International的部分的入侵指標（IOCs）:

09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264

d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6

b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722

9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021

3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f

223aa5d93a00b41bf92935b00cb94bb2970c681fc44c9c75f245a236d617d9bb

亞馬遜遭受 MOVEit Transfer 駭客攻擊而造成重大資料外洩

Posted on 2024 年 11 月 13 日2024 年 11 月 13 日 by blogadmin

MOVEit Transfer 資料洩露事件中，亞馬遜受到的影響最大

去年發生的 MOVEit Transfer 資料洩露事件，是近年來規模最大的事件之一，如今對各大企業仍存在深遠影響。最近一位自稱「資料激進駭客分子」的駭客將數百萬筆用戶資料公佈於資料洩露論壇。

亞馬遜是這次洩露中影響最大的公司，約有近 300 萬筆紀錄被洩露。亞馬遜證實，這次資料外洩中暴露了員工的電話號碼、電子郵件地址和辦公地點等資訊。然而，亞馬遜和 AWS 系統並未遭遇到資安事件的影響。

據網路安全公司 Hudson Rock 稱，其他受影響的公司還包括銀行巨頭匯豐（HSBC）、瑞銀集團（UBS）、City National Bank，還有科技大廠 HP 和聯想（Lenovo）。甚至連速食連鎖店麥當勞（McDonald’s）也在名單上。

攻擊者可能利用洩露的資訊來進行社交工程、網路釣魚攻擊和憑證填充攻擊(credential-stuffing attack)，從而導致這些公司內部出現進一步的資料外洩事件。

有趣的是，發布這個龐大資料集的攻擊者自稱為「資料安全佈道者」，並且在知名資料洩露論壇上宣稱此舉是為了提高安全意識。

據 Hudson Rock 稱，數十家公司受影響，洩露了數百萬筆紀錄。但並非所有企業組織受影響的程度皆相同，有些公司僅有數千筆紀錄被洩露，而其他公司則從 50 萬筆到 280 萬筆不等。受影響的主要公司名單包括有 Amazon，MetLife，HSBC，U.S. Bank，HP，Delta Airlines 等。

根據 Hudson Rock 的資料，上週洩露的資訊包括 25 家「主要企業組織」的員工目錄。Hudson Rock 指出，「這些目錄包含詳細的員工資訊，包括姓名、電子郵件地址、電話號碼、成本中心代碼，甚至某些還包含完整的組織架構資訊。」「這樣的資料對於尋求進行網路釣魚、身份盜竊甚至大規模社交工程攻擊的網路犯罪分子來說，無疑是個金庫。」

去年，已解散的勒索軟體組織 Clop 利用 MOVEit Transfer（一種管理檔案傳輸的軟體）中的零日漏洞進行了攻擊。該漏洞現已修補，但之前攻擊者能夠進入 MOVEit Transfer 的伺服器，存取並下載公司客戶儲存於其中的資料。

據估計，Clop 在 MOVEit 攻擊行動中透過勒索贖金就賺取了 7500 萬到 1 億美元的收益。

Clop的一系列攻擊影響了多家公司，包括殼牌、荷蘭國際集團（ING Bank）、德意志銀行、Postbank、美國航空、Radisson Americas 等。根據網路安全公司 Emisoft 的資料，有超過 2700 家企業組織受到影響，而且多達 9500 萬用戶的資料遭暴露。

MOVEit Transfer攻擊相關的部分的入侵指標（IOCs）:

c82059564d6e7a6f56d3b1597cdfe98dfc4e30a2050024bd744f12a3ef237bb5

d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899

f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7

2931994f3bde59c3d9da53e0062e4d993dc6fc655a1bd325e90af6dc494ed1fa

3ff0719da7991a38f508e72e32412a1ee498241bf84f65e973d6e93dc8fd1f66

bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b

6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d

c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4

3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b

de4ad0052c273649e0aca573e30c55576f5c1de7d144d1d27b5d4808b99619cd

與中國結盟的 MirrorFace 駭客組織利用 2025 年世博會誘餌攻擊歐盟外交機構

Posted on 2024 年 11 月 8 日2024 年 11 月 8 日 by blogadmin

MirrorFace是隸屬於APT10的一個分支組織，又名Earth Kasha

根據網路安全公司ESET最新發布的報告，中國政府支持的駭客組織正在利用合法的VPN工具來隱藏他們在受害者網路中的活動。

ESET於週四 (11/7) 發布的報告中詳述了這些國家支持的資安威脅的最新狀況，並指出隨著受害目標清單的不斷增加，專家們認為這個計劃的用意，是進一步實現北京方面蒐集情報的目的。

該中國相關組織被稱為「MirrorFace」，通常是針對日本地區，但最近被觀察到針對歐盟的一個外交機構進行攻擊，這是該駭客組織首次針對歐洲地區的目標。

ESET在2024年4月至9月期間的APT活動報告中表示，「在此次攻擊中，網路威脅者以即將於2025年在日本大阪舉辦的世界博覽會為誘餌進行攻擊。」「這顯示即使擴展到新的地理區域，MirrorFace仍專注於日本及其相關的活動。」

MirrorFace，又稱為 Earth Kasha，被認為是隸屬於APT10的一個分支組織，其他分支組織還包括像Earth Tengshe和Bronze Starlight等。自2019年以來，MirrorFace主要是針對日本的機構，但在2023年初有觀察到新的攻擊活動延伸至台灣和印度地區。

多年以來，這個駭客組織的惡意軟體工具不斷地演進，包括後門程式如ANEL（又稱UPPERCUT）、LODEINFO和NOOPDOOR（又稱HiddenFace），以及一款名為MirrorStealer的憑證竊取工具。

ESET表示，MirrorFace的攻擊具有高度針對性，每年通常只有少於10次的攻擊事件。這些入侵的最終目標是進行網路間諜活動和資料竊取。而且，這並非首次有外交機構遭該駭客組織鎖定。

在ESET偵測到的最新攻擊中，受害者收到了一封魚叉式網路釣魚電子郵件，內含一個指向名為「The EXPO Exhibition in Japan in 2025.zip」ZIP壓縮檔案的連結，該壓縮檔案是適用於Microsoft OneDrive應用程式。

該壓縮檔案包含一個Windows捷徑檔案「The EXPO Exhibition in Japan in 2025.docx.lnk」，當啟動時會觸發一系列的感染，其最終目的是部署ANEL和NOOPDOOR等惡意軟體。

「ANEL在2018年底或2019年初左右就消聲匿跡，當時一般認為它已被LODEINFO取代，當時LODEINFO是在2019年後出現。」ESET表示，「因此，看到ANEL在將近五年後重新浮出檯面是值得深思細究。」

中國支持的駭客組織，例如Flax Typhoon、Granite Typhoon和Webworm等，日益依賴開源和多平台的SoftEther VPN軟體，以維持對目標網路的存取權，這樣的發展走向，也在近期的事件中得到印證。

此事件的消息緊隨著彭博社的另一篇報導之後，據報導中國關聯的 Volt Typhoon 曾入侵新加坡電信公司（Singtel）當作「測試回合」，這是針對電信公司和其他關鍵基礎設施的更大規模行動的一部分。消息人士指出，這起網路入侵事件於2024年6月被發現。

此外，美國的電信業者和網路服務供應商如AT&T、Verizon和Lumen Technologies也成為另一個中國國家級駭客組織「Salt Typhoon」（又稱FamousSparrow和GhostEmperor）的攻擊目標。

MirrorFace駭客組織相關的部分的入侵指標（IOCs）:

0d59734bdb0e6f4fe6a44312a2d55145e98b00f75a148394b2e4b86436c32f4c

43349c97b59d8ba8e1147f911797220b1b7b87609fe4aaa7f1dbacc2c27b361d

4f932d6e21fdd0072aba61203c7319693e490adbd9e93a49b0fe870d4d0aed71

572f6b98cc133b2d0c8a4fd8ff9d14ae36cdaa119086a5d56079354e49d2a7ce

5e7cd0461817b390cf05a7c874e017e9f44eef41e053da99b479a4dfa3a04512

7a7e7e0d817042e54129697947dfb423b607692f4457163b5c62ffea69a8108d

93af6afb47f4c42bc0da3eedc6ecb9054134f4a47ef0add0d285404984011072

9590646b32fec3aafd6c648f69ca9857fb4be2adfabf3bcaf321c8cd25ba7b83

b07c7dfb3617cd40edc1ab309a68489a3aa4aa1e8fd486d047c155c952dc509e

bcd34d436cbac235b56ee5b7273baed62bf385ee13721c7fdcfc00af9ed63997

台灣企業的FB粉專成為駭客的目標遭受散佈竊資軟體的攻擊威脅

Posted on 2024 年 11 月 6 日2024 年 11 月 6 日 by blogadmin

Infostealer Phishing 攻擊正瞄準台灣企業的粉絲專頁管理員及廣告管理員

一個尚未辨識的網路威脅者正在針對台灣企業粉絲專頁或是廣告管理員用戶進行網路釣魚攻擊，其目的是散布像是 Lumma 或 Rhadamanthys 這樣的資訊竊取惡意軟體。

這些誘餌訊息內含一個連結，當受害者點擊後，便會被引導至Dropbox或Google Appspot網域，進而觸發下載動作，下載的是包裹著假PDF執行檔的RAR壓縮檔，藉而由此傳送資訊竊取惡意軟體。

誘餌電子郵件和偽造的PDF檔名假冒公司法律部門的樣子，試圖引誘受害者下載並執行惡意軟體。

此外，這些不法行為者還以台灣一家知名工業馬達製造商和另一家知名網路商店的名義發送網路釣魚郵件，聲稱受害者的業務上有侵犯版權的行事。

根據威脅情資團隊 Cisco Talos 研究人員表示：「這些郵件要求受害者在24小時內移除侵權內容，停止未經授權的使用，並警告倘若不遵循，將會面臨可能的法律行動和賠償索求。」

他們還指出，這些網路威脅者還使用了多種的技術和工具，以規避防毒軟體偵測和沙箱分析，例如Shellcode加密、程式碼混淆，並將LummaC2和Rhadamanthys等資訊竊取惡意軟體嵌入合法的系統程式之中。

Lumma Stealer 是一種專門從被入侵系統中竊取資訊的惡意軟體，其目標包括系統詳細資訊、網頁瀏覽器及瀏覽器擴充功能等資料。

Rhadamanthys 是一種在地下論壇出售的高階資訊竊取工具，首次浮出檯面是在兩年前，這支惡意軟體專門用來蒐集系統資訊、帳戶憑證、加密貨幣錢包、密碼、Cookies以及其他應用程式中的資料。

這次的網路釣魚行動至少自7月以來持續進行中，最初的攻擊手法是透過網路釣魚郵件附帶的惡意軟體下載連結。這些郵件中使用繁體中文的誘騙內容，由此可推斷其目標對象為使用中文的用戶。

另外，也有觀察到一些網路釣魚活動是假冒OpenAI來進行，其目標指向全球的企業，指示他們點擊令人混淆的超連結以更新付款資訊。

「這次攻擊事件是由單一網域向超過1000位收件者發送的」，根據Barracuda的報告指出：「郵件內容使用了不同的超連結，可能是為了規避偵測。這些郵件通過了DKIM和SPF驗證，表示郵件是從該網域授權的郵件伺服器發出的。然而，該網域本身卻是非常可疑。」

LummaC2 和 Rhadamanthys相關的部分的入侵指標（IOCs）:

03ed5c2b3a8b34f8c7ef110f78926c42

ff1156ab3a8226f8ac89bae78c990ebb85f3138b

1b80e9c51d418ce5ac3a6741e70a6a0235b43bb7548299278865f604d41d7675

1ccf7f8b3a9b20bb87bc18a3fcfb41948f65dfb43b2fad1440a0eaef2656f414

213c8a51972fdd17d3f8c20a94e76123004d4e8f21a4a06d50f87d2c65379ac0

2175a1f8f798b0daf05965eb860166c65a8d227d1309cd3545dba3174fd2292f

33aaf3109c1c8a477cbcdd942a9b60acc236fe56ddd8d0262d7ad63d9434e12f

51c1e25a546dbf2d9a17ccd1f0e95cff68ead96d4dc77c995fe3d9cb67d4ee17

76c711c56c95009506347691c44ba9cc61ce0056e47784799f6429642c224d3a

80231f19168b5f326bd1fbcd7a093aeb0415c84e5036c7991b3eaef2f9be77a2