研究人員發現了新的eCh0raix勒索軟體的變種,同時針對兩家NAS供應商威聯通與群暉發動攻擊

Posted on by blogadmin

根據Palo Alto Networks資安研究人員的一份報告,eCh0raix 勒索軟體,也稱為 QNAPCrypt,現在有一個新的變種,可同時感染 QNAP (威聯通)和 Synology(群暉) 網路附加存儲(NAS)設備。

eCh0raix 勒索軟體早在2019年以來就一直活躍,並以攻擊存儲大量數據的NAS為攻擊目標,eCh0raix利用已知的漏洞進行暴力攻擊針對QNAP製造的易受攻擊的NAS伺服器。該勒索軟體被Intezer追踪為“QNAPCrypt” 被 Anomali追踪為“eCh0raix”,是用Go語言編寫,並使用AES 加密演算法來加密檔案。

今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零時差漏洞,用eCh0raix勒索軟體攻擊其NAS設備。而安全專家也觀察到,4月19日至26日期間遭eCh0raix勒索軟體的攻擊激增。同時,QNAP還警告其用戶AgeLocker勒索軟體攻擊的爆發。

2019年,Anomali研究人員還報告了一波eCh0raix針對Synology NAS設備的攻擊,攻擊者利用了暴力破解的方式入侵。

近日,Palo Alto Networks的Unit 42的研究人員發現一種新的eCh0raix變種,是有史以來第一次支援同時攻擊上述兩家供應商NAS設備的勒索軟體。

“Unit 42研究人員發現了一種針對Synology NAS和QNAP NAS設備的eCh0raix勒索軟體的新變種。攻擊者還利用CVE-2021-28799向QNAP設備投遞新的eCh0raix勒索軟體變種。”報告指出:“雖然eCh0raix是已知的勒索軟體,它歷來在不同的活動中分別針對QNAP和Synology的NAS設備,但這個新變種是觀測到的,首次具備同時攻擊QNAP和Synology NAS設備的功能,這表明一些勒索軟體開發人員正在投資針對優化SOHO居家辦公環境中常見的設備。”

根據來自 Cortex Xpanse的數據,Palo Alto 研究人員表示,約有 250,000 台 QNAP 和 Synology NAS 設備暴露在互聯網上。攻擊者分別對於兩個廠牌的設備,利用了CVE-2021-28799漏洞攻擊與暴力破解的方式入侵。

研究人員為保護家庭辦公室免受勒索軟體攻擊提供了以下建議:

*更新設備韌體,防止此類攻擊

*採用複雜的登錄密碼

*允許特定IP位址的裝置才能連線

有關eCh0raix勒索軟體新的變體的入侵指標(Indicator of compromise -IOCs):

Domain: veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion

URL: http://2.37.149.230/1/crp_linux_arm

URL: http://2.37.149.230/1/crp_linux_386

IPv4: 98.144.56.47

IPv4: 64.42.152.46

IPv4: 183.76.46.30

SHA 256: fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349

fe4efccf56f989bf1b326dd9890681d21c97309fee61fdac8eb2081398e4d2b1

f6f6e34e93c4ec191807819bd0a3e18fe91bd390ec6c67fadc970d01c25f517b

d2ebe2a961d07501f0614b3ba511cf44cb0be2e8e342e464a20633ed7f1fc884

4691946e508348f458da1b1a7617d55d3fa4dc9679fff39993853e018fc28f8e

3c533054390bc2d04ba96089302170a806c5cdb624536037a38c9ecb5aeea75d

3b93b18ae4f3aad450897e7d02346b843e38358a0c51b834d1971824c0a30b97

奢侈品牌香奈兒南韓分公司被駭客入侵,客戶個資外洩,韓國香奈兒道歉並承諾防止再次發生

Posted on by blogadmin

Key Points:

*香奈兒韓國分公司發生了資料庫不法存取事件,造成客戶個資外洩。

*被洩露的數據將成為社交工程和網路釣魚攻擊者手中的豐富資源。

*受香奈兒事件影響的潛在受害者數量未被公開,韓國香奈兒未提供任何身份盜用保護服務

Photo Credit:Chanel

據外媒Korea Times的報導,國際奢侈品牌香奈兒(Chanel)韓國分公司公司傳出客戶資料遭外洩,由於銷售的是昂貴奢侈品,高端客戶和貴婦們對其個資看待尤其嚴謹,因此,此事件在當地引起極大的關注。目前尚不清楚受數據洩露影響的客戶是否會對這家法國奢侈品牌的韓國公司採取法律行動。

香奈兒通知其客戶稱,駭客在 2021 年 8 月 5 日至 8 月 6 日期間入侵韓國香奈兒(Chanel Korea)管理的數據中心,由於這是存儲客戶資料的地方,因此造成敏感資料被存取甚至複製。

據了解已洩露的個資包括:姓名、生日、電話號碼和產品購買清單,同時還包含同意提供其地址、性別和電子郵件的客戶個資也被竊取了,但這家法國奢侈品牌補充說,被盜數據不包括註冊會員的用戶名和密碼。

韓國香奈兒在6日發現事件後,立即封鎖了IP和非法存取路徑,修補了用於破壞網路的漏洞,目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局(Korea Internet & Security Agency,KISA) 和個人信息保護委員會 (PIPC) 進行調查,韓國香奈兒也稱,這次駭客入侵攻擊沒有對其他系統造成損害。

目前尚不清楚此事件是單一事件(只在南韓)或有機會影響全球香奈兒的客戶。今年6月麥當勞遭駭,台灣、南韓客戶及員工個資被竊。

駭客分贓鬧不和,Conti勒索軟體遭會員爆料公開其攻擊和培訓的技術手冊

Posted on by blogadmin

提供勒索軟體即服務(Ransomware-as-a-Service, RaaS)的組織Conti,其會員因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊。據了解,該技術手冊內容含如何在被駭公司內部存取、橫向移動和升級存取權限,同時還包含如何在加密檔案之前將數據盜取等。

心懷不滿的Conti RaaS會員在XSS論壇發布的帖子

一般來說,操作Conti勒索軟體的核心團隊在每次分贓可賺取贖金的20-30%,而其餘部分的則由其會員賺取。此次的爆料事件,疑是因為Conti會員只分到了$1500美元,而核心成員卻分到過百萬美元所引起的。這名深深不忿的Conti會員,今天將Conti的資訊包括Cobalt Strike C2伺服器的 IPs和包含大量工具和用於進行勒索軟體攻擊的培訓資料約 110 MB 的存檔,上傳到XSS駭客論壇,引起轟動。

快把Conti的IPs阻擋起來- 162.244.80.235/ 85.93.88.165/185.141.63.120/ 82.118.21.1

另外,根據國外資安媒體報導,外洩的手冊包含有關如何執行以下操作的指南:

*使用 MEGA 帳戶配置 Rclone軟體以進行數據洩露

*將AnyDesk 軟體配置作為受害者網路中的持久性和遠端存取的方法[一種已知的 Conti 策略

*配置和使用 Cobalt Strike

*使用 NetScan 工具掃描內部網路

 *在虛擬專用服務器 (VPS) 上安裝 Metasploit 滲透測試框架

*使用Ngrok 安全隧道通過 RDP 連接到被駭的網路

*在公司的被駭網路中提升並獲得管理員權限

*接管網域控制器

*從 Active Directory 轉儲密碼(NTDS 轉儲)

*執行 SMB 暴力攻擊

*強力路由器、NAS 設備和安全攝像頭

*使用 ZeroLogon 漏洞

*執行Kerberoasting攻擊

*禁用 Windows Defender 保護

*刪除卷影副本

*會員如何配置自己的操作系統以使用 Tor 匿名網路等

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

美國NSA和CISA聯合發布了有關 Kubernetes的安全性補強指南

Posted on by blogadmin

美國國家安全局 (NSA) 和網路安全與基礎設施安全局 (CISA)發布了一份 59 頁有關強化 Kubernetes 集群的安全技術指南,以加強組織的 Kubernetes 系統的安全性。

Kubernetes最初由 Google 工程師開發,後來在 Cloud Native Computing Foundation 下開源, 是一種流行的開源解決方案。Kubernetes 主要用於基於雲的基礎架構,允許系統管理員使用軟體容器輕鬆部署新的 IT 資源。它提供了更大的靈活性,但也經常成為攻擊者的目標,該報告建議對Kubernetes系統進行加固。

由於 Kubernetes與傳統的單體式軟體平台不同,因此許多系統管理員常遇到了安全性錯誤配置的問題。在過去幾年中,發現一些加密貨幣採礦殭屍網路營運組織針對這些錯誤配置,威脅參與者掃描互聯網上的 Kubernetes Management feature,這些功能在沒有身份驗證的情況下暴露在網上,或在大型 Kubernetes 集群上運行的應用程式(如 Argo Workflow或 Kubeflow),獲得對 Kubernetes 後端的存取權限,然後使用此存取權限在受害者的雲端基礎設施內部部署加密挖礦程式。這些攻擊在 2017 年初開始發生,但現在已到達多個威脅參與組織爭相在攻擊同一錯誤配置。

CISA 和 NSA 的聯合報告還詳細介紹了公司和政府機構可以實施的基本緩解措施,以防止或限制 Kubernetes 被入侵的嚴重程度。這些包括:

*掃描容器和 Pod 是否存在漏洞或錯誤配置。

*以盡可能最少的權限運行容器和 Pod。 

*使用網路分離來控制入侵可能造成的損害程度。

*使用防火牆限制不需要的網路連接和加密以保護機密性。

*使用強式身份驗證和授權來限制用戶和管理員存取以及限制攻擊面。

*使用日誌審核,以便管理員可以監控活動並就潛在的惡意活動收到警報。

*定期檢查所有 Kubernetes 設置並使用弱點掃描來幫助確保適當考慮風險並應用安全修補程式。

Source:

https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

研究人員發現Beijing One Pass應用程式存有間諜軟體的功能

Posted on by blogadmin

根據資安公司Recorded Future的研究報告,外國公司在中國必須使用的國家福利應用程式,一款名為 Beijing One Pass的應用程式被發現含間諜軟體的功能。目前,尚不清楚這些功能是否被故意添加到應用程式中的。但不可否認的是,該應用程式具有間諜軟體功能,可以秘密安裝在目標系統上。

Recorded Future公司旗下的研究部門Insikt Group,分析了客戶提供的Beijing One Pass應用程式,發現了幾個可疑的功能,其中一些包含通常在惡意軟體中發現的功能,例如:

*禁用主機設備上的安全和備份服務

*捕獲所有擊鍵

*錄製截圖

*從剪貼簿讀取數據

*嘗試讀取、建立或修改系統註冊表根憑證

*檔案運作時,會定期檢查與作業系統的人機互動

*允許列出 ActiveX 使用的網域,這將允許它連接到外部 Internet 資源

*在 Windows 啟動時自動運行(Autorun)的能力,以確保持久性

該可疑應用程是由北京數字認證股份有限公司(BJCA)開發的,是一家在中國提供證書授權服務的國有公司。

目前尚不清楚這些功能是由破壞應用程式開發過程的駭客添加的,還是該機構有意添加的。研究人員表示,雖然它們的來源尚不清楚,但不可否認應用程式中存在間諜軟體功能。

國外的公司如果想在中國經營,就必須安裝它。因此,為防止企業機密的資料外洩露,Insikt Group 建議企業僅在不存儲機密數據的系統上運作該應用程式。

2020年6月,Trustwave的研究人員發現中國銀行要求國外企業下載的報稅軟體藏惡意後門程式Golden Spy

有關情資:

“Beijing One Pass” Employee Benefits Software Exhibits Spyware Characteristics

Source: https://go.recordedfuture.com/hubfs/reports/cta-2021-0729.pdf

駭客化身有氧健身教練,鎖定航太國防業員工,利用惡意軟體LEMPO發動攻勢

Posted on by blogadmin

研究人員發現了一個長達數年的社交工程攻擊,一個伊朗網路間諜組織在Facebook上偽装成一名健美的有氧教練,發送惡意軟體給航太業承包商,以感染對方的電腦。據資安業者Proofpoint稱,這塲秘密攻擊行動是由他們追蹤的伊朗國家級駭客TA456發動的,TA456又名Imperial Kitten或Tortoiseshell。

虛假角色 Marcella Flores–Photo Credit: Proofpoint

根據Proofpoint最近的一份報告,TA456精心製作了一個虛假的角色 “Marcella Flores”,與一家航太國防承包商員工建立通訊關係,被發現追溯至2019年已向該員工進行交流,目的在於投遞一個名為的惡意軟體LEMPO。據了解,感染鏈是通過一封含有 OneDrive URL 的電子郵件觸發的,一份偽裝成飲食調查的嵌入式巨集Excel檔。打開後,惡意軟體LEMPO對目標電腦建立持久性,執行偵察,並竊取機密數據,再通過 SMTPS 將其發送到由攻擊者控制的電子郵件帳戶。最後,惡意軟體LEMPO通過刪除當天的主機證據來掩蓋其踪跡。

飲食調查– Photo Credit: Proofpoint

Marcella Flores 的角色背後,攻擊者花費了至少 18 個月的時間運作該帳戶並致力維護該虛假角色,加上攻擊者與受害者的互動, 這意味著國家級駭客願意為其間諜行動付出龐大的時間和人力,社交工程作為惡意駭客活動的一部分是有效的,因此社交媒體上與身份不明的人打交道時保持警惕尤其重要,也應注意勿在社交媒體上的”過度分享” 個人資訊。

有關情資:

TA456 Targets Defense Contractor with Alluring Social Media Persona

Source: https://www.proofpoint.com/us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media

在REvil和Darkside消聲匿跡後,BlackMatter勒索軟體來接班

Posted on by blogadmin

Key Points:

*BlackMatter聲稱結合了Darkside、REvil和LockBit勒索軟體的最佳功能

*攻擊目標為收入超過 1 億美元或以上的公司

*願意支付高達十萬美元購買大型企業的網路存取權

*BlackMatter表示不會攻擊醫院、關鍵基礎設施、非營利組織和政府組織

在本周才開始運作的BlackMatter,其揭秘網站目前仍是空的,尚無受害者

在DarkSide 和 REvil消失後,又一個新的勒索軟體出現了,名為BlackMatter的勒索軟體的誕生是由 Recorded Future 的研究人員發現,BlackMatter將自己宣傳為DarkSide和REvil的精神延續,雖稱其唯一的興趣是錢,但聲稱不會攻擊屬於以下六個行業:

* 醫院

* 關鍵基礎設施(核電站、發電廠、水處理設施)

* 石油和天然氣工業(管道、煉油廠)

* 國防工業

* 非營利公司

* 政府部門

並承諾如果這些行業的任何公司受到他們的攻擊,將免費向受害實體提供解密工具。

據報導,BlackMatter的背後駭客已在兩個俄羅斯駭客論壇Exploit 和 XSS上發布招募會員的廣告。儘管自5月以來兩個論壇上都禁止了勒索軟體的廣告,但 BlackMatter並未直接以勒索軟體即服務(RaaS)做廣告,而是發布了招募Initial access broker的駭客服務廣告,Initial access broker用於描述擁有被駭企業網路存取權的人,BlackMatter 提供 3,000 至 100,000 美元的價格買企業的網路存取權。一旦獲得此類網路存取權限,BlackMatter將接管目標的內部系統以運作其檔案加密的payload。

BlackMatter招募initial access broker的廣告

根據廣告,BlackMatter想與可以提供企業網路入侵初期(Initial Access)存取權的經紀人(broker)合作,條件是目標企業的年收入須為 1 億美元或以上,目標網路須有 500 到 15,000 台主機,並且位於美國、英國、加拿大或澳洲。

據報導BlackMatter的背後駭客吹噓他們能夠加密不同的操作系統版本和架構。這包括 Windows 系統(via SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虛擬端點、NAS設備(如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS)等。根據Recorded Future的研究人員觀察到的證據,認為 BlackMatter 與 Darkside 之間存在關聯,但BlackMatter是否也與REvil有的關聯,仍需要更多的時間去調查和研究。

我國百名政要的LINE驚傳遭駭,進階加密的Letter Sealing功能被關,是間諜軟體飛馬Pegasus作惡?! 還是…?

Posted on by blogadmin
LINE for iPad 正式亮相!電腦版、手機、平板三方一起 LINE!
Photo Credit: LINE

根據國內媒體報導,府院、軍方、縣市長及朝野政黨等100多位高層政要,驚傳通訊軟體LINE遭駭客入侵,且鎖定的對象非常精準,看起來是遭有心人士駭入,意圖竊取資料。對此,LINE台灣總公司上週發現有用戶的相關內容遭擷取外流後,立即著手清查所有用戶,據報導駭客入侵的管道有用戶端與主機兩種途徑,要鎖定特定的用戶端、植入惡意程式並不容易。但LINE主要是綁定手機號碼,若有心要取得政要高層的號碼,是否是以此破壞安全機制,登入主機系統入侵,須由資安人員再進一步調查查驗。因事涉國安,LINE已緊急強化本身系統安全機制、提醒可能的受害用戶,近日也赴總統府向國安會報告,國安會目前正著手進行調查。

本次之所以會有政要 LINE 遭到入侵,疑似是Letter Sealing被駭客設定為關閉,懷疑是駭客使用間諜軟體飛馬Pegasus所致,亦可能是有內鬼通外鬼,詳細原因尚在調查。可以確定的是,若能確保訊息保護 Letter Sealing功能處於開啟狀態,Letter Sealing為LINE開發的點對點加密(End-to-End Encryption)就能降低訊息外流可能,建議您在LINE的隱私設定中檢查Letter Sealing設定是否為開啟。另外,可用工具包檢測手機是否被飛馬Pegasus入侵國際特赦組織(Amnesty International)透過 Github 上發佈的 Mobile Verification Toolkit工具包,來檢查手機是否成為惡意軟體飛馬的入侵目標,為了調查間諜軟馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs),IOCs亦可在 GitHub 下載

據目前自由時報報導所知,國安高層證實說,確實有公部門人員接獲LINE示警資安風險的訊息,但包括蔡英文總統及副總統賴清德等政府高層,不用LINE傳遞重要訊息,更不會在這類通訊軟體傳輸政府重要文件。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

Source:

https://news.ltn.com.tw/news/politics/paper/1463246

https://news.ltn.com.tw/news/politics/breakingnews/3618756

https://www.ctwant.com/article/130982

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

MITRE公布2021年前 25 名最危險的軟體安全缺陷-Top 25 Most Dangerous Software Weaknesses

Posted on by blogadmin

2021年通用缺陷列表(Common Weakness Enumeration-CWE) 項目中,前 25 名最危險的軟體安全缺陷已出爐! 該項目是由美國國土安全部(Homeland Security)旗下的國土安全系統工程與發展研究所 (HSSEDI) 贊助,並交由非營利的研發機構MITRE負責管理。

MITRE參考了由2021 年 3 月 18 日下載到的美國國家漏洞資料庫 (NVD)的2019 年和 2020 年常見漏洞披露(Common Vulnerabilities and Exposures,CVE) 數據,分析了大約 32,500個 CVEs特性與CVSS(常見漏洞評分系統)分數後,公布了前 25 名最危險軟體安全缺陷的排名。第一名是編號CWE-787的越界寫入(Out-of-bounds Write)缺陷。

MITRE公布2021年最危險軟體安全缺陷排行

2021年列出的前三名最危險漏洞類別中,第1名是CWE-787的越界寫入(Out-of-bounds Write)缺陷,這缺陷在2020年時位列第2名。越界寫入指的是軟體在預期緩衝區的末尾或開頭之前寫入數據,這會導致數據損壞、當掉或允許程式執行,使軟體可修改index或執行指標運算(Pointer arithmetic)來引用緩衝區邊界之外的存儲位置,令隨後的寫入操作產生未定義或意外的結果。

今年的第二名是CWE-79,是在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation)而可能衍生出各種跨站程式攻擊(Cross-site scripting,XSS),CWE-79是在去年的第一名。

第三名缺陷是CWE-125的越界讀取(Out-of-bounds Read)指的是軟體讀取超出預期緩衝區末尾或開頭之前的數據,可允許攻擊者從其他內存位置讀取敏感資訊或導致當掉。

總體而言,前 25 名最危險的軟體安全缺陷可導致軟體中的嚴重漏洞,攻擊者通常可利用這些漏洞來控制受影響的系統、獲取敏感資料或導致阻斷服務的情況等,企業應在軟體開發流程中排除和解決這些缺陷。

Source: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

您的手機是否被以色列飛馬間諜軟體入侵?! 快~下~載檢測工具包

Posted on by blogadmin

上週末,國際17家媒體聯合調查,披露了色列網路公司 NSO Group開發的間諜軟體飛馬(Pegasus),能夠入侵iPhone或Android系統,提取訊息、照片和電子郵件,對通話進行錄音,並在使用者不知情的情況下遠端啟動手機的話筒和攝像頭,進行即時監控。由國際特赦組織(Amnesty International)和法國非牟利新聞機構Forbidden Stories獲取的潛在監控清單上有5萬多個電話號碼,這些可能被監控的5萬多組手機號碼來自全球50多個國家地區。

飛馬惡意軟體起初是以網路釣魚方式,向用戶發放一條惡意鏈接,用戶只要一點擊就會中招,後來發現可通過開採iPhone中Zero- click iMessage漏洞,從遠端安裝就能直接控制手機,讓 iPhone 使用者即使沒點選不明連結也會中招。國際特赦組織Citizen Lab 研究員 Bill Marczak在一條推文中表示,NSO Group開採的Zero Click漏洞適用於 iOS 14.6,直到目前iOS 14.6 仍是最新版本的系統。

但國際特赦組織表示,可透過 Github 上發佈的 Mobile Verification Toolkit,來檢查自己的手機是否成為惡意軟體飛馬的入侵目標,國際特赦組織表示, iPhone 更比Android 設備易於發現的鑑識痕跡, Mobile Verification Kit可掃描 iPhone 以及 Android 手機的備份,再從中檢查是否有惡意軟體飛馬。為了調查惡意軟體飛馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs) 例如:有沒有用 NSO 網域名所發出的簡訊或信件等,如果您有加密的 iPhone 備份,您還可以使用 MVT 來解密您的備份,而無需製作全新的副本。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

Source:

https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/