資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體，已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。

該勒索軟體以 Golang (Go) 跨平台編程語言編寫，從技術角度來看，Agenda 提供了多種功能，包括以安全模式重啟系統並停止特定於伺服器的進程和服務，以及運行多種模式。Agenda還具有檢測規避技術，更改使用者密碼並啟用自動登錄，Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案，並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示，觀察到的樣本都是客制化的，每個受害者要求的贖金金額也不同，介於 50,000 美元到 800,000 美元之間。

Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外，還具有感染整個網路及其共享驅動程序的功能。在一個案例中，作為一次攻擊的一部分，攻擊者利用面向公眾的 Citrix 伺服器作為切入點，在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。

“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案，如果登錄嘗試成功，則進一步加密其他機器。它還終止大量進程和服務，並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。

TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil（又名 Sodinokibi）之間的相似之處，具體來說，Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter，而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

密碼管理器供應商LastPass周四(8/25)表示，駭客入侵了其開發人員的一個帳號，利用該帳號存取了專有技術資訊與部分原始程式碼，然而LastPass稱其用戶的密碼仍然安全，表示沒有證據表明客戶數據或加密的密碼庫遭到破壞，稱其產品和服務運行正常。LastPass進一步說資安事件發生在兩週前，資安公告已通過電郵發送給其客戶。

LastPass表示為應對這一事件，已部署了遏制和緩解措施，並正在實施額外的增強安全措施，另外也聘請了外部的資安鑑識公司為事件進行調查。目前已達到遏制的狀態，沒有看到任何未經授權的活動的進一步證據。

值得一提的是 LastPass尚未提供有關攻擊的更多詳細資訊，例如駭客如何入侵開發人員的用戶帳號， 以及哪些原始碼被盜。

LastPass 是世界上最大的密碼管理公司之一，聲稱被超過 3300 萬人和 100,000 家企業使用。由於消費者和企業使用該公司的軟體來安全地存儲他們的密碼，因此有人擔心該公司被駭客入侵，可能會允許攻擊者存取存儲的密碼。

然而LastPass 堅稱，事件並未危及管理其旗艦密碼管理軟體中加密保險庫(Encrypted vaults)存取權限的主密碼(Master Passwords)，LastPass將密碼存儲在加密保險庫中，只能使用客戶的主密碼進行解密，LastPass稱Master Passwords在此次網路攻擊中並未受到破壞。

去年，LastPass遭受了撞庫攻擊，攻擊者可以確認用戶的主密碼。據透露，LastPass主密碼是因為利用RedLine Stealer惡意軟體的駭客而被竊取。

因此，在您的 LastPass 帳戶上啟用多因素身份驗證至關重要，這樣即使您的密碼被洩露，駭客也無法存取您的帳戶。

美國網路安全暨基礎設施安全局（CISA）週一(8/22)將影響Palo Alto Networks PAN-OS 的安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities Catalog）中。漏洞編號CVE-2022-0028（漏洞風險值8.6）是一種URL 過濾政策錯誤配置的高嚴重性漏洞，可允許未經身份驗證的遠端攻擊者執行反射和放大的 TCP 阻斷服務（Reflected Amplification Denial-of-Service, RDoS）攻擊。針對攻擊者選擇的目標，DoS 攻擊似乎源自 Palo Alto Networks PA 系列設備、VM 系列（虛擬）和 CN 系列（容器式）防火牆。

該供應商表示最近獲悉，多家供應商的防火牆被濫用來進行分佈式阻斷服務 (DDoS) 攻擊，但它沒有透露受影響公司的名稱，Palo Alto的資安通告提及，這種企圖攻擊利用了來自多個供應商的易受攻擊的防火牆，包括Palo Alto Networks在內，Palo Alto的資安通告稱，儘管漏洞被利用，但這個問題不會影響其產品的機密性、完整性或可用性。 然而，由此漏洞產生的阻斷服務 (DoS) 攻擊可能有助於混淆攻擊者的身份，並將防火牆作為攻擊的來源。

CVE-2022-0028這項漏洞影響適用於 PA 系列、VM 系列和 CN 系列設備的以下 PAN-OS 版本:

PAN-OS 10.2（10.2.2-h2 以前的版本）

PAN-OS 10.1（10.1.6-h6 以前的版本）

PAN-OS 10.0（10.0.11-h1 以前的版本）

PAN-OS 9.1（9.1.14-h4 以前的版本）

PAN-OS 9.0（9.0.16-h3 以前的版本）

PAN-OS 8.1（8.1.23-h1 以前的版本）

以及Cloud NGFW、Prisma Access

據 Palo Alto Networks 稱，漏洞並不影響 Panorama M 系列或 Panorama 虛擬機器，CVE-2022-0028也已作為Palo Alto本月發布的更新一部分得到解決。

鑑於駭客積極開採，CISA建議受影響產品的用戶應用相關修補以減輕潛在威脅，並下令美國聯邦民事行政部（FCEB）必須在 2022 年 9 月 12 日之前更新到最新版本。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本母公司SOMPO Holding同時發出聲明，強調攻擊僅限於台灣子公司，不影響集團的其他公司

8月23日，台灣佳朋保險經紀人(SOMPO Taiwan Brokers-STB)在其官網宣布遭受網路攻擊，在發現攻擊後立即採取網路中斷措施，以防止損害擴大。目前，針對是否存有資料外洩，已委請外部機構進行調查及分析，並已通報政府機構與調查當局，STB承諾會與外部資安機構及調查單位作出最適當的應對。直至目前尚不清楚此起網路攻擊的性質，是否為勒索軟體攻擊。竣盟科技截至目前尚未在任何主流的勒索軟體揭秘網站上，看到任何勒索團體聲稱已入侵STB。

STB的日本母公司SOMPO Holdings同時在今天證實此次網路攻擊事件https://www.sompo-hd.com/

Sompo Holding的聲明與STB類似，但進一步強調稱攻擊僅限於台灣子公司，不影響集團的其他公司。

STB是日本SOMPO Holdings在台灣獨資之保險服務據點，總公司於1888年成立，在全球32個國家地區擁有據點。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”