丹麥週一(8/8)的早上,全國7-11門市緊急關閉。據悉,由於當天凌晨發生網路攻擊,丹麥7-11官方Facebook 帳號發文稱他們很可能受到駭客攻擊,其全國範圍的支付和結帳系統遭入侵,導致無法使用收銀台和付款,致使丹麥所有的 7-11暫停營業。
丹麥7-11表示,現階段他們正在了解受駭範圍,將盡快釐清並恢復。目前尚未透露何時重新營業。
根據BleepingComputer,現在被已刪除的 Reddit 發文中,一名據稱位於丹麥的 7-11 員工證實了網路攻擊,稱在結賬系統癱瘓後,被迫關店,7-11員工在 Reddit上說,我是在 Strøget 的 7-11 工作,我們的結賬系統無法使用,全國所有的 7-11 都使用相同的系統,所以丹麥的所有 7-11 現在都關店。
目前,官方丹麥7-11沒有透露關於這次攻擊的更多細節,包括是否涉及勒索軟體,這已成為導致大規模中斷的最常見網路攻擊。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
8月2日,美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台前夕,多家本地媒體報導,總統府官網遭受到境外DDoS(阻斷服務攻擊)攻擊,攻擊流量為平日的200倍,導致官網一度無法顯示,經緊急處置,20分鐘內恢復正常,總統發言人張惇涵在其官方Facebook帳號證實此攻擊。除此之外,政府入口網站以及外交部網站2日疑似同樣遭到攻擊癱瘓,一度無法連上。
外交部在聲明中指出,這兩個網站都收到「來自中國、俄羅斯等地大量IP」每分鐘多達850萬次流量的請求。
8月3日,上午全台有多間7-11門市電視螢幕顯示「戰爭販子裴洛西滾出台灣」消息一出,統一超商回應,廠商受不明來源干擾播放訊息,已立即請廠商修復,門市營運正常。
此外,中國駭客還瞄準了台鐵電視螢幕,畫面上可見竟以簡體字寫著,「老巫婆竄訪台灣,是對祖國主權的嚴重挑戰;那些積極迎接的人,終將受到人民的審判;同種同族的血親關係割捨不段;偉大華夏終將統一」的惡意假訊息。
對此,台鐵表示,此為高雄新左營站售票大廳的電子看板,為資產開發中心出租廣告看板,出租出去後,3日上午10時突然被駭客入侵,同仁發現後,第一時間就先切掉線路,馬上斷電處理,並通知廠商做後續防護。
8 月 3 日同一天,疑為中國駭客APT 27,在Twitter上建立了一個名為APT27_Attack的帳號,高調地公開1支影片宣布對台灣發動特別網路行動,影片中蒙面男生以英文說:「全世界的公民你們好,我們是APT 27。最近我們注意到,裴洛西不顧中國和台灣同胞的反對造訪台灣,台灣自古以來都是中國的領地,為了反制挑釁,我們將對台灣發動一個特別網路行動,攻擊對象包括台灣政府和所有基礎設施。讓我們拭目以待,祝你們好運!」影片字幕為簡體字。
https://twitter.com/APT27_Attack/status/1554773005586157568
此外,該用戶聲稱已經入侵六萬臺物聯網(iOT)設備,並在另1個推文寫道:「我們不屬於政府,我們來自全球各國,至於有人把我們和惡名昭彰的APT 27比較,我們要說的是,我們是27 Attack,也可以叫我們27,我們已經完成任務了。」
8 月 4 日晚,高市環保局網站遭駭客入侵,首頁遭惡意植入中國五星旗,環保局表示先行關閉網站,將持續積極修復。
直到目前為止,環保局網站仍未修復完畢,網站顯示「本網站維護中暫停服務,造成不便,請見諒!」
8 月 5日,Twitter用戶APT27_Attack聲稱將公佈他們對台灣發動過的攻擊,並發布台灣相關設備的零時差漏洞。
面對持續發生的駭客攻擊事件,組織應加強資安維運暨系統防護,持續監控,內、外網都應做好防範措施。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
根據多家資安外媒報導,總部位於盧森堡的兩家公司正在努力應對上周開始的勒索軟體攻擊,這是涉及歐洲能源公司的一系列事件中的最新一起。在 7 月 25 日Encevo Group 表示,其2間主要子公司Creos(管理電力與燃氣網)和Enovos Luxembourg(負責向盧森堡和德國的多元化投資組合客戶出售能源)是7 月 22 日晚,網路攻擊的受害者。Encevo Group指出此次攻擊中斷了兩家公司的客戶入口網站,但未影響電力和天然氣的供應,Encevo Group是由盧森堡政府和包括中國南方電網國際在內的其他幾家公司所有。Encevo Group在五個歐洲國家(盧森堡、德國、法國、比利時與荷蘭)擁有能源供應業務,是盧森堡最大的能源公司,為超過 285,000 名客戶提供電力,為 47,000 名客戶提供天然氣。
Creos在上週的一份聲明中證實,其電話線路及客戶管理系統無法使用,沒有進一步說明其他細節,然而其母公司Encevo Group在 7 月 28 日的新聞稿中寫道,“一定數量的數據從電腦系統中外洩露或因駭客攻擊無法存取。” 目前 Encevo Group無法估計影響的範圍,懇請客戶耐心等待調查結束,屆時將個別通知客戶,Encevo Group表示建立了一個專門的網頁,用於發佈消息,將隨著Creos 和Enovos發展的情況進行更新。Encevo保證用戶的供應不會因攻擊而中斷,但建議客戶盡快重置他們的登錄詳細資料。
現在,資安公司Emsisoft威脅分析師 Brett Callow 表示,攻擊者是BlackCat勒索軟體組織-也稱為 Alphv,據熟悉,BlackCat竊取了 150 GB 的數據,共18萬個檔案,從截圖顯示這些數據包括合約、護照、賬單和電郵等,BlackCat聲稱在周一(8 月1日) 公開所有數據,但截至目前,尚未公佈任何數據。
歐盟網路安全局在週五(7/29)發布了一份報告,其中分析了 2021 年 5 月至 2022 年 6 月期間在歐盟發生的 623 起資安事件。報告發現,在勒索軟體攻擊期間,每月有 10 TB 的數據被盜和外洩,而超過 60 % 的組織可能已經支付了贖金。
針對 Encevo Group 旗下實體的攻擊是最近針對歐洲能源公司的眾多攻擊之一,這些攻擊在去年顯著增加。德國風電場運營商 Deutsche Windtechnik於 4 月因網路攻擊而癱瘓,而德國風力渦輪機製造商 Nordex在 3 月 31 日遭受網路攻擊後被迫關閉其多個地點和業務部門的 IT 系統。Nordex 事件是在對衛星通信公司 Viasat 的網路攻擊之後發生的,該攻擊導致德國 5,800 台 Enercon 風力渦輪機無法使用。
2 月,歐洲檢察官和網路安全官員開始調查影響幾個主要石油港口碼頭的勒索軟體攻擊,目標是比利時、荷蘭和德國的組織,包括該地區一些最大的港口。
德國物流集團 Marquard & Bahls 旗下的石油公司 Oiltanking 和 Mabanaft在 2 月份遭受了網路攻擊,導致其裝卸系統癱瘓。Oiltanking表示,這是不可抗力的攻擊事件,迫使殼牌將石油供應改道至其他油庫。德國報紙 Handelsblatt稱,由於這次襲擊,德國各地的 233 個加油站現在不得不手動運行一些流程。德國聯邦資料安全辦公室的一份內部報告稱,BlackCat 勒索軟體組織是對石油公司的網路攻擊的幕後黑手。
美國FBI 在 4 月發布的警報稱,截至 3 月,執法機構已追踪到 BlackCat 組織發起的至少 60 次勒索軟體攻擊。 根據警報,BlackCat是第一個使用 RUST 成功攻擊這麼多受害者的勒索軟體組織,RUST是一種許多人認為比使用其他編程語言更安全的程式語言。
資安公司Emsisoft 表示,BlackCat 很可能是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand),而BlackMatter又是 DarkSide 的改名,該組織因去年攻擊美國美運油供應商 Colonial Pipeline而臭名昭著,更導致美國總統拜登宣布全國進入緊急狀態。
有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):
Domain:
sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion
id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion
SHA 256:
f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6
f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89
f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標,該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示, LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程式DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵,一旦運行惡意 DLL 以解密系統,就會將 Cobalt Strike 信標安裝到設備中。
在這種情況下,最初的網路入侵是通過未修補的 VMWare Horizon 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同,攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案,以感染潛在受害者的系統。
MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式,它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時,MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL,該 DLL 對於程序正常運行至關重要。
在 SentinelLabs 分析的案例中,攻擊者建立了自己的mpclient.dll武器化版本,並將其放置在優先載入惡意版本 DLL 檔案的位置,再將從 c0000015.log 檔案(加密的Beacon)載入加密的 Cobalt Strike 有效酬載。
在攻擊中使用的元件與Windows Defender命令行工具的相關:
雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon,但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍;因此,企業需檢查他們的安全控制,並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。
LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):
SHA1
729eb505c36c08860c4408db7be85d707bdcbf1b
091b490500b5f827cc8cde41c9a7f68174d11302
e35a702db47cb11337f523933acd3bce2f60346d
25fbfa37d5a01a97c4ad3f0ee0396f953ca51223
資安公司Kaspersky(卡巴斯基)的安全威脅研究團隊在 UEFI 韌體發現了一個名為“CosmicStrand”的rootkit惡意程式,卡巴斯基將其歸咎於會講中文的駭客。UEFI (Unified Extensible Firmware Interface) 即統一可延伸韌體介面,用來定義作業系統與系統韌體之間的軟體介面,作為BIOS的替代方案,負責啟動裝置,再將控制權交給載入作業系統的軟體,通常存放在主機板的快閃記憶體中。CosmicStrand 是在受感染的華碩(ASUS)和技嘉(Gigabyte)UEFI韌體中發現的 rootkit惡意程式,就算重新安裝Windows或換掉硬碟都無法刪除CosmicStrand,目前尚不清楚攻擊者如何將 rootkit 注入韌體image中。
Kaspersky研究人員在報告中表示,注意到所有這些image都與使用英特爾(Intel)的H81晶片組的設計有關,這表明可能存在一個漏洞,允許攻擊者將他們的 rootkit 注入UEFI韌體的image中。
據稱,確認的受害者是位於中國、越南、伊朗和俄羅斯的個人,與任何重要組織沒有明顯的關聯,Rootkit 是一種能夠將自身嵌入操作系統最深層的惡意軟體植入物,為攻擊者提供了長時間的隱身和持久性。
CosmicStrand 是一個只有 96.84KB 的檔案,儘管感染的初始存取向量有些神秘,但攻擊後的操作涉及對名為 CSMCORE DXE 的驅動程式進行更改,以將程式碼執行重定向到攻擊者控制的網段,該網段旨在系統啟動期間運行,最終導致在 Windows 中部署惡意軟體。攻擊的目標是篡改操作系統載入過程,在每次啟動時將內核級植入程式部署到 Windows 機器中,並使用這種根深蒂固的存取權限來啟動連接到遠程伺服器的 shellcode 以獲取要在系統上執行的實際惡意酬載。
雖然卡巴斯基發現的 CosmicStrand 變種是較新的,但奇虎 360 的研究人員在 2017 年披露了有關該惡意軟體早期版本的細節,認為這種惡意程式是2016-17 年就已經存在的Spy Shadow 特洛伊木馬的變種。根據奇虎 360的報告,受感染的系統運行在所有者從在線上購買的二手華碩主機板上,提出了程式碼修改可能是從二手經銷商處獲得存在後門的主機板的可能性。
另外,卡巴斯基發現CosmicStrand發現與早期的殭屍網路“MyKings” 的程式碼模式存在許多相似之處。My Kings起源於中國,因此卡巴斯基認為新的 CosmicStrand rootkit 也源於中國。
CosmicStrand惡意程式的部分入侵指標(Indicator of compromise -IOCs):
Hostname:
update.bokts.com
SHA 256:
951f74882c1873bfe56e0bff225e3cd5d8964af4f7334182bc1bf0ec9e987a0a
25969ab58383a5fdc53e9861a25c3ed90813e4e5fcc9d8a99df5e9f74b427474
SHA1:
ecbbded5b85f61686377f7592dacb25c264e9908
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
7月 25日,LockBit勒索軟體集團聲稱從意大利稅務局(Agenzia delle Entrate)竊取了 100GB 的數據,並威脅說如果在 8 月 1 日之前不支付贖金,就會洩露這些數據。在一份簡短的新聞稿中,意大利稅務局表示,已要求負責管理稅務局IT 基礎設施的國有公司 SOGEI (Società Generale d’Informatica) SPA調查這起宣稱入侵事件並提供反饋和澄清。SOGEI SPA隨後在一份聲明中告訴彭博社,稱從進行的技術調查來看,排除了對稅務局網站的網路攻擊可能性,也沒有發現有數據從金融管理部門的技術平台和基礎設施中的洩露跡象,並補充說正在與意大利國家網路安全局和警方合作,以持繼進行的調查,因此無法提供進一步的細節。
然而,LockBit提供了8張截圖作為攻擊的證明,聲稱從稅務局竊取了包括公司檔案、掃描檔案、財務報告和合約等資料。SOGEI SPA(即意大利通用電腦協會)還負責管理其他意大利機構使用的 IT 基礎設施,包括司法部、內政部和教育部、州檢察長和財政部。
根據資安供應商 Digital Shadows 的數據,LockBit是第二季度最活躍的勒索軟體組織,佔勒索軟體攻擊事件的 32.77%,有 231 名受害者。LockBit 的受害者人數是其他勒索軟體的三倍多,Conti勒索軟體則位居第二。
LockBit勒索軟體自2019 年以來一直活躍,今年 6月底發布了最新版本的LockBit 3.0,一個關鍵的變化是引入了漏洞賞金計劃,LockBit向發現其勒索軟體的漏洞,可以改善其網站或使用工具的建議人士提供 1,000 到 100 萬美元的獎賞。
LockBit 3.0 勒索軟體的部分入侵指標(Indicator of compromise -IOCs)
SHA 256:
506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51
d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee
a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e
80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
美國網路司令部(USCYBERCOM)周三(7/20)披露了數十種形式的惡意軟體,這些惡意軟體已被用於攻擊烏克蘭的網路,其中包括 20 個前所未見的惡意程式樣本。惡意軟體樣本是由烏克蘭安全局在該國的各種受感染網路上發現的,據信,自 2022 年 2 月俄羅斯入侵開始之前,網路活動就有所增加。
美國網路司令部指出,此次披露的入侵指標(Indicator of compromise -IOCs)是他們和其他美國機構定期努力的一部分,旨在突出俄羅斯、中國、伊朗和北韓等攻擊者用來削弱烏克蘭網路的駭客工具並旨在加強集體的網路安全,繼續在網路安全方面建立強有而力的伙伴關係。
美國網路司令部進一步解釋入侵指標的重要性,由於入侵指標是主機系統或網路被入侵的證據,能充當潛在漏洞的網路防禦者的數位取證,通過IOCs使用戶能夠在該主機系統或網路中搜索和識別惡意軟體。
根據 Mandiant的說法,烏克蘭的公共和私人實體都成為了幾個網路間諜組織的目標,這些組織使用網路釣魚和誘餌,並在入侵中使用的惡意軟體支援多種操作,而這些組織此前曾進行過間諜活動、假訊息操作和破壞性攻擊等。
一個針對烏克蘭的駭客組織是 UNC1151,與白俄羅斯情報部門有關連,並為Ghostwriter 的假訊息活動提供技術支援。UNC1151 一直針對烏克蘭、拉脫維亞、立陶宛、德國和波蘭的政府和媒體實體,自 2 月 24 日俄烏戰爭爆發以來,UNC1151 一直積極針對烏克蘭。據觀察,該網路間諜組織使用了 Cobalt Strike Beacon(一個具有檔案傳輸和shell 命令執行功能 )和 Microbackdoor (可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。
另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589,研究人員認為,該組織是 1 月份部署了WhisperGate 惡意軟體,對烏克蘭實體破壞性攻擊的幕後黑手。WhisperGate 被用於一系列入侵,影響了至少 70 個屬於烏克蘭政府的網站網域。在過去的幾個月中,還觀察到該駭客組織針對北美和歐洲的北約成員國。UNC2589 擅長網路釣魚,利用例如 Covid-19、政府相關誘餌、烏克蘭戰爭等主題來部署惡意軟體–Grimplant(一種基於 Go 的後門,用於執行系統監視和命令執行)和 Graphsteel (一種開源的滲透工具,可以從目標系統中收集各種類型的資料。)
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
加拿大的公民實驗室(Citizen Lab)最新的研究報告披露,泰國民運人士的手機成為備受爭議的以色列間諜軟體飛馬(Pegasus) 的入侵目標。據信,入侵發生在2020年10月至2021年11月在期間,至少有 30 人成為攻擊目標,其中包括活動人士、學者、律師和非政府組織工作人員,其中許多人此前曾因從事政治活動或批評政府而被拘留、逮捕和監禁。
泰國人權組織 iLaw、東南亞互聯網監管機構 Digital Reach 和位於多倫多的 Citizen Lab 展開調查,這是 Pegasus 間諜軟體首次被用於針對泰國公民,此前蘋果公司 11 月發布了大規模警報,通知包括泰國在內的數千名 iPhone 用戶,他們是國家級駭客攻擊者的目標。這些攻擊需要利用兩個零點擊(zero-click)漏洞攻擊程式——KISMET和FORCEDENTRY——來入侵受害者的手機並部署飛馬 (Pegasus),飛馬是以色列駭客公司NSO Group所開發的間諜程式,一種能夠攔截電話和短訊以及收集存儲在手機中的其他訊息的間諜軟體,同時,它也還可以將被入侵的手機用作為一個遠端監聽設備。攻擊者被授予對電話的完全控制權。它可以存取所有數據——照片、影音、短訊和通話記錄——還可以在主人不知情的情況下打開手機的攝像頭和麥克風,實時觀察周圍環境。
駭客利用KISMET 漏洞,能在目標用戶的iPhone並在用戶不知情的情況下開始上傳大量數據,有時總計達數百兆字節。上傳的數據可包括麥克風錄製的環境音頻、加密電話內容、攝像頭拍攝的照片、設備的位置以及可能存儲的任何密碼或帳戶憑證。另外,FORCEDENTRY漏洞是一種相當精密的威脅,能夠繞過 Apple 的 BlastDoor 沙箱保護機制,駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊,完全不需要與使用者互動。
KISMET漏洞針對沒有升級的 iPhone,最早的攻擊案例發生在 2020 年 10 月,然而,從 2021 年 2 月開始,駭客針對運行 iOS 版本 14.4、14.6 和 14.7.1 的 Apple 設備則部署FORCEDENTRY 漏洞。值得指出的是,Apple 在 iOS 14 中修補了 KISMET漏洞,也於 2021 年 9 月在iOS 14.8修補了FORCEDENTRY漏洞。
Citizen Lab這份研究報告沒有明確指名,誰是使用這款間諜軟體的幕後黑手,但它指出,以色列駭客公司NSO Group表示,他們只向政府出售這項技術。
有關Pegasus間諜軟體的”部分”入侵指標(Indicator of compromise -IOCs):
Domains:
thainews.asia
stayallalone.com
breakingnewsasia.com
IPv4:
69.28.93.2
200.7.111.156
103.199.16.12
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
Qakbot也稱為 QBot、QuackBot 和 Pinkslipbot,是一種自 2008 年以來一直活躍的資料竊取惡意軟體。根據資安公司Sophos ,Qakbot 是一種模組化且多用途的殭屍網路,它透過電子郵件傳播,可扮演成惡意軟體的傳遞網路,因此越來越受到駭客歡迎,以此投遞Trickbot 和 Emotet。與Qakbot惡意軟體有關的惡意網路的活動在上半年達到了高峰,根據Zscaler的資安研究人員發現,惡意軟體Qakbot背後的駭客正在改變他們的傳遞向量,試圖迴避檢測。
自2008 年以來,Qakbot一直是一個反復出現的威脅,從最初的銀行木馬演變為更複雜和模組化的資料竊取程式,能夠部署勒索軟體等下一階段的有效payloads。
2022年初,Qakbot通過惡意 Microsoft Office檔案中的 XLM 4.0 宏傳遞惡意軟體,這些檔案通過網路釣魚電子郵件傳遞,這些電子郵件通常包含用於財務和業務運營的關鍵字,試圖誘使用戶打開和執行它們。然而,在過去的幾個月裡,Qakbot 轉而選擇使用快捷方式 LNK 檔案作為惡意軟體的傳遞方式。這些最新的 LNK 有效payloads在執行 Qakbot DLL 的過程中也發生了變化,專家們還觀察到Qakbot會使用 PowerShell 下載惡意程式,並從 regsvr32.exe 切換到 rundlll32.exe 以載入惡意payloads試圖逃避檢測。
這些不同的方法是 Qakbot發展的一個明顯指標,它不僅可以規避防毒軟體偵測和防禦,還可以適應基礎設施中發生的重大變化。 此外,Zscaler研究人員表示 Qakbot 惡意軟體的操作者採用了程式碼混淆技術和新的攻擊鏈層,以及利用各種 URL 和副檔名(例如, .OCX、.ooccxx、.dat或 .gyp)進行投遞有效payloads,以更有效地隱藏其操作。
面對傳統的基於特徵碼的檢測,Qakbot 的模組化設計和彈性使其成為許多駭客組織的理想首選。
有關Qakbot的”部分”入侵指標(Indicator of compromise -IOCs):
Payload URLs:
anukulvivah.comnobeltech[.]com.pk
griffinsinternationalschool.intierrasdecuyo[.]com.ar
tajir[.]comdocumentostelsen[.]com
Hashes
XLSB:
58F76FA1C0147D4142BFE543585B583F
LNK:
54A10B41A7B12233D0C9EACD11036954
Qakbot:
529FB9186FA6E45FD4B7D2798C7C553C
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”
萬代南夢宮(Bandai Namco)是日本的大型電玩、手機與家用電子遊戲發行商,旗下擁有多款熱門遊戲的 IP與發行權,包含《艾爾登法環》、《航海王》、《火影忍者》、《七龍珠》等。近年來,大型電玩遊戲大廠遭網路攻擊變得普遍,在 2020 年卡普空(Capcom)遭Ranger Locker勒索軟體加密,被盜1TB 數據、法國電玩商Ubisoft(育碧)和德國Crytek遭 Egregor勒索軟體攻擊、日本特庫摩(Koei Tecmo) 遭駭,駭客將盜來的數據免費釋出。隨後 在2021 年 CD Projekt Red 遭駭客攻擊,內部數據流至網上;同年 美商藝電(EA)也遭到攻擊,780GB的遊戲原始碼及除錯工具被竊取等資安事件。
目前萬代南夢宮似乎是BlackCat勒索軟體的最新受害者,根據追踪惡意軟體的資安團隊vx-underground,勒索軟體集團BlackCat(也稱為ALPHV )已宣稱成功入侵遊戲發行商Bandai Namco。然而,BlackCat還沒釋出任何被盜數據的樣本,萬代南夢宮官方沒有出面證實消息或發表任何評論。
BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個以Rust程式語言撰寫的勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的緊急警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。BlackCat發動過的重大攻擊,包含 1 月份攻擊了德國燃料公司 OilTanking GmbH ,引起大約 200 個加油站的供應中斷,以及 2 月份攻擊瑞士航空企業Swissport 導致服務中斷、航班延誤和敏感數據洩露。最近,勒索軟體集團聲稱對美國佛羅里達國際大學的攻擊負責,竊取了 1.2TB數據。
勒索軟體的操作不斷演變,幾週前,LockBit 勒索軟體組織宣布漏洞賞金(Bug Bounty)計劃,視乎漏洞嚴重性,提供從1000 美元到100 萬美元不等的獎金。根據vx-underground,最近BlackCat建立了一個名為Alphv Collections的可搜索外洩數據的資料庫,使其他駭客也能有機會充分運用這些竊得的資料,值得一提的是, BlackCat 在6月中通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據。
有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):
Domain:
sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion
id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion
SHA 256:
f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6
f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89
f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”