竣盟科技 - Billows 技術/情資訊息分享

法國達利思集團Thales Group二次遇駭，再一次遭LockBit勒索軟體集團入侵!

Posted on 2022 年 11 月 1 日2023 年 2 月 13 日 by blogadmin

#時隔九個月又被同一勒索軟體集團入侵

#第一次中LockBit2.0第二次中LockBit 3.0

2022 年 1 月，法國Thales Group遭LockBit2.0攻擊，LockBit勒索軟體集團將其相關資訊公開在暗網中，然而Thales Group對外聲稱沒有遭攻擊的跡象，也沒有收到勒索信，最終其數據在倒數計時結束後(1月17日)即被公開，如下圖所示:

今早，LockBit在其揭秘網站上透露，6天後將公佈Thales的數據，顯然Thales Group又遭到了LockBit勒索軟體集團的入侵，而這次是已經升級至3.0版本的LockBit勒索軟體；又稱為LockBit Black。

LockBit稱將在11 月 7 日公開從Thales Group盜來的數據，當中包括公司運營、商業文件、會計記錄、客戶檔案、客戶結構計劃和軟體資訊等。值得一提的是，LockBit在Thales Group的貼文中，鼓勵Thales的客戶對該公司採取法律途徑，表示就客戶而言，應聯繫相關組織，對這家嚴重忽視保密規定的公司採取法律行動。

LockBit是目前其中最成功的勒索軟體即服務（Ransomware-as-a-Service；RaaS）之一，持續修補及更版，LockBit於 2019 年 9 月以 ABCD 的名義開始運營，在2021年6月推出升級版 LockBit 2.0帶來了多項新功能，號稱是史上加密速度最快的勒索軟體，可於3小時內加密25台伺服器與225個work stations，並在2022年 6 月打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號，推出3.0新版。

LockBit 3.0 引入了幾個新功能，可概括為：

延長倒時計：可以花錢延長數據公佈的時間

銷毀所有數據：可以付費銷毀受害者組織中洩露的所有數據；

隨時下載數據：可以付費下載從受害公司竊取到的所有資料。

顯然地，每種“服務”的成本是不同的，可使用比特幣或門羅幣支付。

Thales集團是位居全球技術領先的國際集團，領域橫跨航太、地面交通運輸、國防科技、安全、數位科技暨服務等各方面，Thales遍佈全球68個國家總計捌萬多名員工。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Hive勒索軟體聲稱對印度最大的電力公司Tata Power進行了攻擊，並開始外洩數據

Posted on 2022 年 10 月 26 日2023 年 2 月 13 日 by blogadmin

#基礎建設

#TataPower支付系統出現問題

#無法完成支付賬單

10 月 14 日，印度最大的電力公司 Tata Power宣布遭到網路攻擊，Tata Power向印度證交所發出通報並指出，入侵影響了其部分 IT 系統，已採取措施來復原相關系統，10 月 24 日，Hive勒索軟體組織聲稱為這次攻擊負責。

據說該入侵事件發生在 2022 年 10 月 3 日，作為其雙重勒索的一部分，Hive已在10其揭秘網站Hive Leaks上外洩盜來的數據，這包括簽署的客戶合約、協議以及其他敏感資料，例如電子郵件、地址、電話號碼、護照號碼、納稅人數據等。

這家總部位於孟買的公司是印度最大的綜合電力公司，隸屬於塔塔集團(Tata Group)，根據安全研究人員 Rakesh Krishnan 分享的進一步細節，外洩包含個人身份資料 (PII)，包括 Aadhaar 身份號碼、永久帳號 (PAN)、駕駛執照、工資細節和工程圖紙。

最新發展也表明，塔塔電力可能已拒絕支付贖金，促使Hive勒索軟體組織在其暗網網站上發布竊取的數據。

直到10月20-22日，仍出現許多客戶在 Tata Power 官方的Twitter 上報告了無法支付賬單，其中一些人表示他們因無法完成支付，一些人還報告說他們已經付款，但仍然接到電話說他們的賬單還沒有支付。

Hive 勒索軟體自 2021年 6 月以來一直處於活躍狀態，提供勒索軟體即服務(Ransomware As a Service)，並採用雙重勒索模式威脅受害者在Hive Leaks上發布從受害者那裡竊取的數據。2021 年 8 月，聯邦調查局 (FBI) 發布了關於 Hive 勒索軟體攻擊的緊急警報，其中包括與Hive活動相關的技術細節和入侵指標。根據區塊鏈分析公司 Chainalysis 發布的一份報告，Hive 勒索軟體是 2021 年收入排名前 10 位的勒索軟體之一。該組織使用了多種攻擊方法，包括惡意垃圾郵件活動、易受攻擊的 RDP 伺服器和外洩的 VPN 憑證。

6 月，微軟威脅情報中心 (MSTIC) 研究人員在分析勒索軟體用於刪除 .key檔案的新技術時發現了Hive的新變種。Hive 勒索軟體的新變種與舊變種之間的主要區別在於使用的程式語言，舊的變體是用 Go 語言編寫的，而新的 Hive 變體是用 Rust 編寫的。

Rust 語言具有以下優點：

*它提供記憶體、數據類型和線程安全性

*對底層資源有深度控制

*具有用戶友好的語法

*它具有多種並行機制，從而實現快速安全的檔案加密

*它有各種各樣的密碼庫

*逆向工程相對更困難

最新的 Hive 變種中最重要的變化是它採用的加密機制。新變種於 2022 年 2 月 21 日首次上傳到 VirusTotal，在幾天後，韓國國民大學的一組研究人員分享了有關如何解密受 Hive 勒索軟體感染的系統的數據的研究細節。

有關Hive勒索軟體的”部分”入侵指標(Indicator of Compromise -IOCs):

Domain

hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

SHA256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

SHA1

ecf794599c5a813f31f0468aecd5662c5029b5c4

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

新加坡電信Singtel旗下第二家澳洲子公司發生資安事件，疑出自麒麟(Qilin)駭客組織之毒手；同時麒麟的揭秘網站上也驚見台灣受害企業

Posted on 2022 年 10 月 12 日2023 年 2 月 13 日 by blogadmin

繼澳洲的第二大電信業者Optus坦承上月被駭，近1000萬人個資外洩後，新加坡電信公司(Singtel) 於10/10表示，旗下第2家澳洲子公司也遭駭客入侵，Singtel向新加坡交易所（Singapore Exchange）遞交文件，其中包括該公司4月收購的澳洲IT 服務提供商 Dialog的聲明，證實有一個未經授權的第三方恐已取得Dialog的資料。根據外媒報導，針對Dialog的攻擊是來自僅在 Windows 系統上運作的 Agenda 勒索軟體。

Dialog 在澳洲的客戶包括新南威爾士州選舉委員會、公共服務部、昆士蘭衛生局、澳洲維珍航空、澳洲國民銀行(NAB)、Suncorp、阿爾弗雷德衛生局、塔斯馬尼亞大學等，作為IT服務提供商，Dialog擁有1000 多名 IT 專家。Agenda 於2022年8月被發現，是相對較新的勒索軟體，Agenda具有多種功能，包括以安全模式重啟系統並停止特定於伺服器的進程和服務，以及運行多種模式。Agenda還具有檢測規避技術，更改使用者密碼並啟用自動登錄，Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現，根據TrendMicro資安研究報告，麒麟駭客組織是分發Agenda勒索軟體的幕後黑手。

Singtel表示，Dialog的資安事件恐對1000名Dialog現有及前員工，以及約20名客戶造成影響。據悉，首次發現遭駭客攻擊是在9月10日，之後在10月7日再度發現Dialog的小規模資料外洩，其中包括部分員工的個資被公布在麒麟(Qilin)的揭秘網站上。

另外，根據竣盟科技的觀察，麒麟的揭秘網站上，也出現台灣受害企業，該企業為國內上市製藥大廠，麒麟於9月15日公開該受害企業，並於9月22日發布盜竊得來的相關資料。

Agenda勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

E4a319f7afafbbd710ff2dbe8d0883ef332afcb0363efd4e919ed3c3faba0342

28aeb2d6576b2437ecab535c0a1bf41713ee9864611965bf1d498a87cbdd2fab

117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府分享了自 2020 年以來中國國家級駭客最常利用的主要漏洞

Posted on 2022 年 10 月 7 日2023 年 2 月 13 日 by blogadmin

今天美國NSA、CISA 和 FBI這三個聯邦機構在一份聯合諮詢中，詳細說明了自 2020 年以來，最常被中國政府支持的駭客來攻擊別國政府和關鍵基礎設施網路的主要安全漏洞。

該諮詢報告旨在向所有聯邦和州政府機構，特別是涉及關鍵基礎設施的機構和私營部門組織通報顯著的趨勢和常用策略、技術，以及作業程序 (TTPs)，並表示美國國家安全局、中央情報局和聯邦調查局繼續評估中國國家支持的網路活動是對美國政府和民用網路的最大和最具活力的威脅之一。

以下是諮詢中一些細節：

中國國家級駭客正在瞄準美國及其盟國的網路和及關鍵基礎設施網路為目標，以一系列新技術和適應性技術——其中一些對資訊科技部門組織（包括電信提供商）、國防工業基礎 (DIB) 部門組織和其他關鍵基礎設施組織構成重大風險。

中國國家級駭客繼續利用已知漏洞並使用公開可用的工具來瞄準感興趣的網路。NSA、CISA 和 FBI 評估中國政府支持的網絡行為者積極瞄準美國和盟國網路以及軟體和硬體公司，以竊取智慧財產權並開發對敏感網路的存取權。有關最常被利用的CVEs漏洞，請參見下表。

在開採這些漏洞時駭客者常以VPN來隱藏其活動，並針對面向Web的應用程式以獲取初步存取權。上面列出的大多數漏洞都允許駭客悄悄地存取網路，以建立持久性並在其他連接的網路中橫向移動。

那麼，您能做些什麼來更好地保護您的組織免受中國國家級駭客的攻擊呢？該諮詢提供了六種緩解措施：

*盡快更新和修補系統，優先修補本諮詢中發現的漏洞和其他已知的被利用漏洞。

*盡可能使用抗網路釣魚的多因素身份驗證，要求所有使用密碼登錄的帳戶都擁有強大、獨特的密碼，如果有跡象表明密碼可能已被洩露，請立即更改密碼。

*在網路邊緣阻止過時或未使用的協議。

*升級或更換報廢設備。

*轉向零信任安全模型。

*啟用面向 Internet 的系統的強大日誌記錄並監控日誌中的異常活動。

CISA、NSA 和 FBI 強烈鼓勵所有組織審查並應用這些緩解措施，以改善其網路安全狀況並最大程度地降低洩露風險。

了解更多，請參閱完整的公告”Top CVEs Actively Exploited By People’s Republic of China State-Sponsored Cyber Actors”

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CISA 下達命令，要求聯邦機構定期追踪及維護網路資產和漏洞

Posted on 2022 年 10 月 5 日2023 年 2 月 13 日 by blogadmin

10月3日，美國網路安全和基礎設施安全局(CISA) 發布了一項新的約束性作業指引 (Binding Operational Directive-BOD)，指示聯邦政府旗下各單位在未來六個月內必須實現追踪其網路上的資產和漏洞，以提高聯邦網路上的資產可見性和漏洞檢測能力。

BOD 23–01 旨在通過了解其網路中的所有資產以及影響它們的漏洞來幫助聯邦機構提高其網路安全管理能力。聯邦機構有六個月的時間來識別其環境中網路上的 IP 資產以及相關的 IP 網址（主機），並發現和報告這些資產上的可疑漏洞，包括錯誤配置、過時的軟體和缺乏的修補。

名為 BOD 23–01 並於 2023 年 4 月 3 日生效的新指引要求聯邦民事行政部 (FCEB) 機構每 7 天執行一次自動資產發現，此發現必須涵蓋該機構使用的整個IPv4空間，此外，該指令要求FCEB機構每14天對所有發現的資產（包括所有發現的nomadic/roaming設備）啟動漏洞枚舉，CISA 了解，在某些情況下，可能無法在 14 天內完成對整個企業的全面漏洞發現。但是，它補充說，仍應定期啟動枚舉過程，以確保能定期掃描機構內的所有系統，並在發現後的72小時內自動將漏洞枚舉結果導入在機構的連續診斷和緩解（Continuous Diagnostics and Mitigation-CDM）儀表板，以利向CISA提供有關資產和漏洞資訊。根據指引，由於已得到Improving the Nation’s Cybersecurity(改善國家網路安全)行政命令的授權，到 2023 年 4 月 3 日，聯邦機構和 CISA 將通過 CDM 計劃部署更新的 CDM 儀表板配置，使 CISA 分析師能夠存取漏洞枚舉數據。

CISA 表示BOD 23–01指引，可確保資產管理和漏洞檢測實踐，從而增強其組織的網路彈性，並補充說這將有助於縮小攻擊面的差距。 BOD 23–01的目標是維護最新的網路資產清單，識別軟體漏洞，跟踪機構的資產覆蓋範圍和漏洞徵，並在規定的時間間隔內將該資料分享給 CISA。CISA主任 Jen Easterly在一份聲明中說，威脅行為者繼續瞄准我們國家的關鍵基礎設施和政府網路，以利用未知、未受保護或保護不足的資產中的弱點，Easterly表示了解網路上的內容是任何組織降低風險的第一步。

雖然該指令是對聯邦民事機構的授權，但 CISA仍敦促所有企業，包括私營實體和州政府，審查和實施嚴格的資產和漏洞管理計劃。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

研究人員警告Microsoft Exchange Server中存有新的零時差漏洞，並已被駭客實際開採

Posted on 2022 年 9 月 30 日2023 年 2 月 13 日 by blogadmin

越南資安公司 GTSC 警告說，在Microsoft Exchange Server 中發現了新的零時差漏洞，這可導致遠端程式碼執行(RCE)，GTSC 的 SOC 團隊在周四的一篇博客文章中詳細介紹了先前未披露的Exchange 漏洞及其臨時遏制計劃，以幫助其他人在微軟提供官方修補之前阻止攻擊。GTSC在8月份為客戶提供服務時，首次發現該漏洞在 IIS 日誌中以與ProxyShell 漏洞相同的格式發出漏洞利用嘗試。雖然該公司在發現零時差漏洞後不久就聯繫了Zero Day Initiative (ZDI) 漏洞懸賞計畫，以便與微軟合作，盡快準備好修補，然而到目前為止，GTSC 已經看到其他客戶系統正在被這個 0-day 漏洞攻擊。另外，這兩個漏洞尚未正式分配CVE標識符（CVE ID），但被ZDI跟踪為ZDI-CAN-18333（CVSS 分數：8.8）和ZDI-CAN-18802（CVSS 分數：6.3）。

GTSC表示，成功利用這些漏洞可能會被濫用以在受害者的系統中建立立足點，從而使攻擊者能夠投放Web shell並在受感染的網路中進行橫向移動

GTSC 的紅隊確認如何利用該漏洞存取 Exchange後端的組件並執行 RCE，但並未公佈這些技術的細節。然而，GTSC確實表示它記錄了攻擊以收集資料並在受害者系統中建立立足點，檢測到大部分被混淆的 Web shell 被採用到 Exchange伺服器，同時GTSC檢測到攻擊者使用了Antsword，這是一個基於中文的開源跨平台網站管理工具，支援 Web shell 管理。GTSC推測，由於 Web shell 的簡體中文編碼，攻擊可能源自中國駭客組織。攻擊中還部署了China Chopper web shell，這是一個輕量級後門，可以授予持久遠端存取權限，並允許攻擊者隨時重新連接以進行進一步利用。

值得注意的是，去年ProxyShell 漏洞遭到廣泛開採時，Hafnium 也部署了China Chopper web shell ，Hafnium 是一個在中國境外運營的APT駭客組織。

GTSC 觀察到的進一步利用後活動包括將惡意 DLL 注入內存，使用 WMI 命令行 ( WMIC ) 實用程式在受感染的伺服器上丟棄和執行額外的payloads。

據悉該漏洞利用分為兩個階段：

1.與 ProxyShell 漏洞格式類似的request： autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com。

2.使用上面的連結存取可以實現 RCE 的後端組件。

研究人員說：“這些 Exchange 伺服器的版本表明已經安裝了最新的更新，因此不可能利用 ProxyShell 漏洞進行利用。

可用的臨時緩解措施:

在 Microsoft 發布安全更新以解決這兩個零時差漏洞之前，GTSC共享臨時緩解措施，通過使用 URL 重寫規則模組添加新的 IIS 伺服器規則來阻止攻擊嘗試：

1. 在前端的自動發現中，選擇選項卡 URL 重寫，然後選擇請求阻止。

2. 將字串“ .*autodiscover\.json.*\@.*Powershell.* ”添加到 URL 路徑。

條件輸入：選擇 {REQUEST_URI}

3. GTSC 補充說：“我們建議全球所有使用 Microsoft Exchange Server 的組織/企業盡快檢查、審查和應用上述臨時補救措施，以避免潛在的嚴重損害。”

想要使用此漏洞檢查其 Exchange伺服器是否已被入侵的管理員可以操作以下 PowerShell 命令來掃描 IIS 日誌檔案以查找入侵指標：

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0又出手，台灣某上市軟體系統整合商遭殃;台灣跨國上市網通品牌疑遭駭客組織SiegedSec入侵

Posted on 2022 年 9 月 28 日2023 年 2 月 13 日 by blogadmin

上市公司資安事件頻傳，落實資安管理與防護為當務之急!

竣盟科技最近觀察到多起對台灣上市企業網路攻擊的情形，包含台灣某上市軟體系統整合商( System Integration-SI) 被勒索軟體LockBit3.0加密；上市網通大廠遭駭客組織SiegedSec攻擊，226份檔案遭外洩，及上週某上市半導體遭勒索軟體LockBit3.0入侵。

根據NCC 集團全球威脅情報團隊發布的研究，勒索軟體LockBit 3.0 佔 8 月份所有攻擊事件的40%，是當月威脅最大的勒索軟體，共涉及 64 起事件。

據觀察，典型的 LockBit 3.0 攻擊過程包括：

*透過受感染的電子郵件附件、種子網站或惡意廣告來散播勒索軟體 LockBit 3.0。

*LockBit 3.0 感染受害者的設備，加密檔案，並將加密檔案的副檔名改為“HLjkNskOq”。

*然後需要一個稱為“-pass”的命令行參數密鑰來執行加密。

*LockBit 3.0建立多個線程同時執行多個任務，從而可以在更短的時間內完成數據加密。

*LockBit 3.0 刪除了某些服務或功能，使加密和洩露過程變得更加容易。

*API用於隱藏服務控制管理器數據庫存取。

*受害者的Desktop桌布會更改，以便他們知道自己受到攻擊。

另外，本週觀察到某網通大廠遭SiegedSec攻擊，被盜兩百多個檔案，當中包含工具跟設定檔和韌體更新等檔案，SiegedSec在其Telegram頻道上發布從該網通大廠盜竊得來的資料的Mega連結，任何加入這個頻道的人，都可任意下載。根據The Tech Outlook的報導，SiegedSec 是一個很小且很新的駭客團體，但成員遍布全球。該團體成立於 2022 年初，以偷竊數據為目標，攻擊時不會佈勒索軟體加密受害系統，SiegedSec因攻擊韓國IT監控服務公司WhaTap並從WhaTap儀表板刪掉其項目而得外界關注，此次被SiegedSec攻擊的網通大廠為第二家台灣廠商，2022 年6月，一家台灣電信公司也曾遭SiegedSec入侵並外洩數據。

台灣上市公司遭受駭客攻擊的情況愈演愈烈，竣盟科技建議您:

*通過關閉或強化 RDP、計劃如何以及何時進行安全更新以及培訓用戶發現惡意電子郵件來避免最初的存取。

*通過使用最小權限原則、分割您的網路和部署 EDR，使權限升級和橫向移動盡可能困難。

*使用可以識別勒索軟體並有回滾保護機制的反惡意軟體解決方案。

*使用攻擊者無法觸及的異地離線備份確保數據安全。

*接受即使有最好的防禦，入侵行為仍然可能發生，而準備災難復原計畫

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

Posted on 2022 年 9 月 23 日2023 年 2 月 13 日 by blogadmin

竣盟科技在9月20日在LockBit的揭秘網站上，驚見又一台灣上市半導體被列為受害者，該企業位於新竹科學園區是我國半導體重鎮的知名廠商，以再生晶圓及晶圓薄化起家。

目前，LockBit勒索軟體集團聲稱在9/19成功加密該半導體大廠並給予8天的談判時間，如果在9/28前未付贖金將公布所有盜竊得來的數據。資安研究員 Dominic Alvieri也在其推特上公佈這家台灣半導體

最近，LockBit公告已發出第一筆Bug Bounty的獎金，據悉此筆金額為5萬美元，挖掘漏洞為一名暱稱叫Aussie的駭客，發現了LockBit加密算法存在漏洞可允許恢復特定檔案類型，主要是 VHDK、VMDK 和備份檔案，目前LockBit已修補好該漏洞。

本週，BleepingComputer報導，有人在Twitter上散布勒索軟體LockBit 3.0（又稱LockBit Black）的產生器(Builder)，該產生器包含受密碼保護的7z archive “LockBit3Builder.7z”，檔案包含：

Build.bat;

builder.exe;

config.json;

keygen.exe.

LockBit的產生器流程圖

Unknown person @ali_qushji said his team has hacked the LockBit servers and found the possible builder of LockBit Black (3.0) Ransomware. You can check it on the GitHub repository https://t.co/wkaTaGA8y7 pic.twitter.com/cPSYipyIgs
— 3xp0rt (@3xp0rtblog) September 21, 2022

根據Bleeping Computer，已證實此勒索軟體產生器確實是LockBit所持有的檔案，據悉是由對LockBit組織心懷不滿的開發者所外洩的。這些檔案在不久的將來很可能被其他駭客利用，對防守者將帶來更大的威脅。該產生器由四個檔案組成，其中之一是“config.json” 檔案。駭客可以通過多種方式存取它並自訂義加密器，包括修改贖金記錄、更改配置選項、決定停止哪些進程和服務，甚至指定加密器的C2伺服器。

BleepingComputer在測試產生器時，能夠輕鬆地對其進行修改，以利用他們的本地的C2伺服器，加密數據及解密數據。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Lorenz勒索軟體利用Mitel MiVoice VOIP中漏洞入侵企業網路

Posted on 2022 年 9 月 16 日2023 年 2 月 13 日 by blogadmin

根據ArcticWolf Labs的 IT 安全研究人員已發出警告，攻擊者可以利用廣泛使用的 VoIP 軟體中的漏洞來獲得對實體公司網路的初始存取權限。根據他們的研究，Lorenz勒索軟體通過利用 MiVoice Connect 的 Mitel Service Appliance設備來入侵企業網路。最初的惡意活動源自位於網路外圍的Mitel設備，Lorenz利用遠端程式碼執行漏洞（CVE-2022–29499）來獲取反向shell（reverse shell），然後使用Chisel作為隧道工具進入網路。

資安公司CrowdStrike 6 月份的一份Blog中，報告了相同的零時差漏洞，並還提供了觀察到的駭客攻擊手法的詳細說明。另外，根據安全研究員 Kevin Beaumont透露，Mitel VoIP 產品也一個有利可圖的切入點，因為有近 20,000 台Mitel VoIP設備暴露互聯網上，使它們容易受到惡意攻擊。

據ArcticWolf Labs研究人員稱，攻擊者在獲得初始存取權限後等待了近一個月的時間來執行後利用操作，包括通過 web shell 建立持久性、獲取憑據、網絡偵察和權限升級，然後進行了橫向移動。他們利用 FileZilla 進行數據洩露，並通過 BitLocker 執行加密。最後，他們在 ESXi 系統上啟動了 Lorenz 勒索軟體。與許多其他勒索軟體組織一樣，Lorenz 以通過在加密系統之前竊取數據進行雙重勒索而聞名，至少在2021 年 2 月以來，攻擊者針對位於美國的中小型企業 (SMB)，同時也攻擊中國和墨西哥的組織，根據HackRead的報導，包含上海美國商會、Fuji和 MagTek都被列為Lorenz勒索軟體的受害者。

駭客越來越多地針對鮮為人知/受監控的資產來逃避檢測。因此，在這種情況下，僅監控關鍵資產是不夠的，安全團隊必須應監控所有面向外部的設備以發現潛在的惡意活動，包括 VoIP 和物聯網設備。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

極端氣候導致Twitter 關鍵性數據中心暫時關閉

Posted on 2022 年 9 月 14 日2023 年 2 月 13 日 by blogadmin

加州的極端高溫使Twitter關掉了其在首府Sacramento的一個關鍵數據中心， CNN報導稱Twitter內部高層中警告說，如果還有其他數據中心斷網，可導致其用戶服務陷入困境。

與所有主要社交媒體平台一樣，Twitter 依賴數據中心，這些數據中心本質上是裝滿電腦設備如伺服器和存儲系統等的巨大倉庫。控制數據中心的溫度對於確保電腦不會過熱和故障至關重要。為了節省冷卻成本，一些科技公司將它們的數據中心建立在寒冷氣候的國家中。例如，Google於 2011 年在芬蘭開設了一個數據中心，Meta 自 2013 年以來在瑞典北部設立了一個數據中心。

9 月 5 日標誌著北加州歷史上最大熱浪的開始：Sacramento市中心達到 113華氏(攝氏45度)，隨後達到116 度(46. 7 攝氏度)，上週二成為該市有記錄以來最熱的一天。

“9 月 5 日，由於極端天氣，Twitter 失去了Sacramento 數據中心區域。史無前例的事件導致 SMF 的實體設備完全關閉。”該公司工程副總裁 Carrie Fernandez 在周五給 Twitter 工程師的內部消息中說。

根據Fernandez週五的通告，由於Sacramento的離線，Twitter 處於非冗餘狀態(non-redundant)。她進一步說，Twitter在亞特蘭大和波特蘭的數據中心仍在運行，但警告說”如果我們失去其中一個數據中心，我們可能無法為所有 Twitter 用戶提供流量。”

該通告同時禁止對 Twitter 產品進行非關鍵更新，直到該公司能夠完全恢復其Sacramento數據中心服務。Fernandez 寫道：”所有production的變更，包括行動平台的部署和發布，都需暫停，只有解決服務連續性或其他緊急運營需求所需的變更除外。”

據美國有線電視新聞網報導，Twitter 前安全負責人 Peiter Zatko 上個月在向包括證券交易委員會在內的多個聯邦政府機構的舉報稱，Twitter 的“數據中心冗餘不足”會增加短暫服務中斷的風險，甚至可能會導致 Twitter 永久下線。

Twitter 在給 CNN 的一份聲明中僅表示，目前沒有任何干擾影響人們存取和使用 Twitter。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”