美國正式將SolarWinds事件歸咎俄羅斯對外情報局,驅逐10名外交官,制裁六家俄羅斯科技公司,知名資安公司Positive Technologies也上榜

Posted on by blogadmin

4月15日-在白宮週四一份聲明中稱,俄羅斯對外情報局(Sluzhba Vneshney Razvedki,SVR)要為SolarWinds事件負責。該事件導致九家聯邦機構和數百家私營企業數據外洩。白宮的新聞稿證實了過去的媒體報導,俄羅斯對外情報局SVR是SolarWinds事件的幕後黑手,正式指責SVR通過其部門的特工駭客(通常稱為APT29,The Dukes或Cozy Bear) 開展廣泛的網路間諜活動。

通過破壞SolarWinds供應鏈,SVR存取全球超過16,000台電腦,能監視或潛在破壞那些電腦,多個美國政府機構是這場廣泛的網路間諜活動的受害者,國務院,司法部,能源部,網路安全和基礎設施局以及財政部是披露被入侵的最大機構。資安公司如FireEye,Malwarebytes,Microsoft,Mimecast等也是針對特定目標。白宮的摘要指出:“美國情報界對SVR的歸因評估充滿高度信心。” 根據美國政府的說法,這種入侵的範圍涉及國家安全和公共安全。而且給大多數私營機構的受害者帶來了不適當的負擔,俄羅斯須承擔這一事件的異常高昂的代價。

目前許多政府已經出來支持美國對SolarWinds的歸因評估。英國也同時發布了歸因評估目前,14個國家政府在其官方網站上發布了支持性推文,另有7個發布了支持性書面聲明和推文。

此外,國家安全局(NSA),網路安全和基礎設施安全局(CISA)和聯邦調查局(FBI)共同發布了一份諮詢報告,警告企業SVR積極利用五個已知的漏洞進行初步攻擊立足於受害設備和網路:

CVE-2018-13379 -Fortinet FortiGate VPN

CVE-2019-9670 – Synacor Zimbra Collaboration Suite

CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN

CVE-2019-19781 – Citrix Application Delivery Controller and Gateway

CVE-2020-4006 – VMware Workspace ONE Access

企業應注意該警告,並採取必要的步驟來識別和防禦SVR進行的惡意活動。

根據拜登總統今天發布的行政命令,美國財政部對以下俄羅斯科技公司已實施制裁,六家科技公司被指控幫助SVR,俄羅斯聯邦安全局(FSB)和俄羅斯主要情報局(GRU)對美國進行惡意網路活動。

被制裁的六家科技公司或機構包括:

ERA Technopolis  –由俄羅斯國防部資助和運營的研究中心和技術園區。ERA Technopolis擁有並支持俄羅斯主要情報局(GRU),負責進攻性網路和資訊作戰,並利用俄羅斯技術部門的人員和專業知識來開發軍事和雙重用途技術。

Pasit  –位於俄羅斯的IT公司,進行研究和開發以支持俄羅斯對外情報局服務(SVR)的惡意網路操作。

SVA  –俄羅斯國有研究機構,專門研究位於俄羅斯的先進資訊安全系統,進行研究和開發,以支持SVR的惡意網路操作。

Neobit  –位於俄羅斯聖彼得堡的IT安全公司,其客戶包括俄羅斯國防部,SVR和俄羅斯聯邦安全局(FSB)。Neobit進行研究和開發,以支持由FSB,GRU和SVR進行的網路運營。Neobit還根據與網路相關的EO 13694(經EO 13757,與WMD相關的EO 13382和由《打擊制裁的美國對手》(CAATSA)修訂)的指定,為GRU提供物質支援。

AST  –俄羅斯IT安全公司,其客戶包括俄羅斯國防部,SVR和FSB。AST為FSB,GRU和SVR進行的網路運營提供了技術支持。AST還根據EO 13694,EO 13382和CAATSA被指定為FSB提供支援。

Positive Technologies  –一家俄羅斯資安全公司,為包括FSB在內的俄羅斯政府客戶提供支援。Positive Technologies為俄羅斯企業,外國政府和國際公司提供電腦網路安全解決方案,並舉辦大型會議,這些會議被用作FSB和GRU的招募活動。Positive Technologies還根據EO 13694,EO 13382和CAATSA被指定為FSB提供支援。

值得注意的是,美國財政部的制裁名單還包括俄羅斯資安公司Positive Technologies,該公司以其在網路安全漏洞研究方面的工作而聞名全球。

美國公司和金融機構不再能夠與上述的公司或機構開展業務,除非獲得美國的外國資產管制處(Office of Foreign Assets Control,OFAC)申請的許可。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/60413cd1bb43dcf1d22c274b

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局(FBI)從被駭客入侵的Microsoft Exchange伺服器移除Web Shell,該FBI行動是在未事先通知伺服器擁有者的情況下進行的。

Posted on by blogadmin

美國司法部周二宣布一項法院授權聯邦調查局(FBI)的行動,從美國數百台Microsoft Exchange電子郵件伺服器中“複製並刪除”後門,以清除先前入侵該系統的駭客留下的Web Shell,同時也宣布了該項行動成功。

在美國司法部發布新聞稿中,FBI獲得搜查令可存取仍然受到威脅的Exchange伺服器,複製Web Shell作為證據,然後從伺服器中刪除Web Shell,同時因受害者不願或無法迅速修補其系統,執法部門在面對大規模駭客行動時能會採取一些更積極的步驟。該行動是回應在3月時駭客利用Microsoft Exchange 伺服器中的漏洞入侵還竊取受害者的電子郵件。由於其中一些Web Shell沒有得到妥善保護,使中國駭客可重複使用相同的密碼來存取被入侵的Exchange伺服器的權限, 聲明寫道,在這種情況下,聯邦調查局“刪除了一個較早時候駭客組織剩餘的Web Shell,這些Web Shell可以用來維持和升級對美國網路未經授權存取的持久性。”

為了清理已識別的Microsoft Exchange伺服器,FBI使用駭客也使用的已知密碼存取了Web Shell,將Web Shell複製為證據,然後執行命令從受感染的伺服器上移除Web Shell。

FBI說:“ FBI人員存取Web Shell,輸入密碼,製作Web Shell證據的副本,然後通過Web Shell向伺服器發出命令以刪除Web Shell本身。” 。

從受感染的Exchange Server中刪除Web Shell的命令

FBI 補充說,Web Shell是駭客打開的界面,以便他們可以在以後與易受攻擊的系統進行通信,聯邦調查局通過Web Shell向伺服器發出命令進行了刪除,該命令旨在使伺服器僅刪除Web Shell,但是FBI指出,行動並未修補基礎系統本身,也未刪除可能已安裝在伺服器上的任何其他惡意軟體。

相關法院記錄的一部分
法院對搜查令的批准

FBI現在將通知他們在該行動中存取的Exchange伺服器的擁有者,將通過官方FBI.gov電子郵件帳戶發送電子郵件發通知,或使用服務提供商(ISP)與擁有者聯繫。

關於Exchange伺服器的情資:

https://otx.alienvault.com/pulse/603eb1abdd4812819c64e197

*****竣盟科技快報歡迎轉載,但請註明出處

美國商務部將七個中國超級電腦實體列入美國出口管制的黑名單

Posted on by blogadmin

美國以違反美國國家安全或外交政策利益的活動為由,將七家中國超級電腦公司和機構列入美國出口管制的實體清單(黑名單)。

根據商務部新聞稿,七個實體包括:

天津飛騰信息技術有限公司

上海集成電路技術與產業促進中心

信維微電子

國家超級計算濟南中心

國家超級計算深圳中心

國家超級計算無錫中心

國家超級計算鄭州中心

商務部在周四的一份新聞聲明中表示,這些實體參與的活動與美國的國家安全或外交政策利益背道而馳而被列入出口管制的實體清單,禁止美國企業在未先獲得美國政府許可的情況下與其開展業務往來。這些實體被指參與了中國軍方使用的超級電腦的製造、參與軍事現代化、或研發大規模殺傷性武器計劃(weapons of mass destruction programs)。

The Washington Post報導指出,在中國西南部的隱密軍事設施,中國正使用天津飛騰信息技術公司設計的超級電腦,模擬極音速導彈穿越大氣層的高熱與阻力,中國可能使用這種導彈對付美國船艦或台灣。據指中國飛騰的超級電腦是利用美國軟體設計出的晶片驅動,並在台灣的台積電以美國的機密機械製造完成。飛騰自稱是民間企業,立志成為像Intel一樣的全球晶片巨頭,該企業隱瞞了與解放軍研究部門的關聯。

另外,2021年3月,喬治城大學(Georgetown University)的學者發表了一份報告,揭示了幾所已知與中國政府資助的駭客組織合作的中國大學目前正在對網路安全,人工智能和機器學習的交集進行廣泛的研究。

商務部對七個實體出口管制的補充:

https://public-inspection.federalregister.gov/2021-07400.pdf

REvil又來了,印度最大鋼鐵生產商塔塔鋼鐵,遭REvil勒索軟體入侵,藍圖被公開

Posted on by blogadmin

Key Points:

*塔塔鋼鐵(Tata Steel) 沒有與駭客談判,也沒有支付贖金

*由於沒有談判,駭客已公開了塔塔鋼鐵生產線機器的Autocad技術圖紙

*據稱加密發生在2021年3月25日,所以已經有十多天了

塔塔鋼鐵在REvil的Happy Blog中的頁面

REvil勒索軟體的背後駭客與塔塔鋼鐵的線上聊天,塔塔沒有任何回應

根據LeMagIT,最初的贖金需求為400萬美元,後來又增加了一倍,變成相當於800萬美元的門羅幣,在贖金的網頁上已經沒有其他可加倍的金額,據相信下一階段駭客將發布樣本的檔案,並將其餘竊取到的檔案出售給其他駭客或感興趣的買家。

REvil勒索軟體最近特別活躍, 繼先前3月20日宏碁集團中REvil勒索軟體遭勒索5000萬美元後,在4月5日,日月光代子公司環旭電子公告,其控股子公司Asteelflash Group有部分伺服器也感染REvil勒索軟體。

在過去的幾年中,REvil(又名Sodinokibi)一直是最泛濫的勒索軟體即服務(RaaS)之一,藉由招募合作夥伴,以提供勒索軟體為手法,於獲得贖金後再拆帳的模式經營。REvil曾利用Pulse Secure VPN漏洞,入侵倫敦外匯交易公司Travelex的網路而聞名。

在3月29日The DFIR Report的資安研究員觀察到REvil入侵始於惡意垃圾郵件,該惡意垃圾郵件將含有IcedID(Bokbot)丟到受害環境中,以允許隨後存取分發REvil勒索軟體。在入侵過程中,威脅參與者將權限提升為Domain Administrator,竊取數據,並使用REvil加密所有的系統。根據該研究報告:

*REvil的攻擊勒索時間Time to Ransom(TR): 4小時

*入侵初期Initial Access使用: IcedID

*Discover使用: nltest, net, wmic, AdFind, BloodHound, etc.

*權限提升使用: UAC-TokenMagic & Invoke-SluiBypass

*逃避偵測使用: Safe Mode & new GPO

*滲透使用: Rclone

*C2使用: CobaltStrike

攻擊時程如下:

Credit to The DFIR Report

更多有關報告的資訊,請參見: https://thedfirreport.com/2021/03/29/sodinokibi-aka-revil-ransomware/

有關REvil的情資,請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

日月光旗下環旭電子的法國子公司Asteelflash也中了 REvil 勒索軟體

Posted on by blogadmin

Key Points:

*日月光旗下子公司環旭電子持股100%的控股公司 Asteelflash Group  於 4月2日 公佈在IT團隊的例行檢查中發現部分伺服器感染REvil勒索軟體。

*根據TechNadu 的報導切入點疑是Microsoft RPC遠端程式呼叫服務

*根據BleepingComputer的報導, 勒索金高達2400萬美元

*此次之前,Acer也被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

REvil對Asteelflash集團的勒索贖金約2400萬美元 (Photo credit:BleepingComputer)

根據BleepingComputer的報導,REvil最初索要1200萬美元的贖金,但隨著時間過去,贖金加倍,達到2400萬美元。BleepingComputer取得了REvil與Asteelflash在Tor付款頁面上的談判對話,REvil為了證明攻擊成功,分亨了一份名為asteelflash_data_part1.7z的檔案。至此兩方之間的對話陷入僵局,沒有更多有關對贖金部分的資訊。

另外,根據TechNews,環旭電子對此一資安事件也發布聲明,指出 Asteelflash發現伺服器被感染後,及時啟動應急回應措施,避免進一步傳播擴散。雖有部分生產據點的產能受到影響,但經過 IT 人員和外部安全顧問的努力,目前 Asteelflash集團的訊息系統已恢復正常,而受影響的生產據點已全部恢復正常運營。

Revil 也稱為Sodinokibi,於2019年4月問世,成為當今世界上危害最大的和最多產和的勒索軟體之一, 根據日本資安研究員辻伸弘的統計 ,由2019年12月直至2021年3月REvil共加密了193受害公司。

另外,值得關注的是,REvil勒索軟體已演變能通過網路將目標電腦重啟動到安全模式 (Safe mode) 來運作以逃避/disable EDR,附上Malware Hunter team研究人員發現 REvil 的最新sample如下 :

Argument: -smode

有關REvil的情資,請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Google揭露北韓駭客再次瞄準攻擊安全研究人員

Posted on by blogadmin

Google的威脅分析團隊(Threat Analysis Group,TAG)表示,北韓國家級駭客再次使用假Twitter和LinkedIn社交媒體帳戶將安全研究人員作為攻擊目標,他們會使用瀏覽器的漏洞在研究人員的電腦植入惡意軟體。

TAG團隊於3月17觀察到駭客還為一家名為SecuriElite(位於土耳其)的假公司建立了一個網站,並據稱提供了攻擊性安全服務如滲透測試,軟體安全評估和漏洞利用等。

由於北韓國家級駭客使用了他們在第一次攻擊中也使用的公共PGP密鑰,因此Google能夠將先前的攻擊活動與SecuriElite公司聯繫起來,就像在2021年1月期間檢測到的攻擊一樣,SecuriElite網站還託管了攻擊者的PGP公鑰,作為誘餌,在打開頁面後觸發瀏覽器漏洞後,以使安全研究人員感染惡意軟體。

Google表示,即使在發現之時SecuriElite網站的內容並不是惡意,但它仍將其URL(securielite [.] com)添加到安全瀏覽API中,以防止用戶輕易訪問該網站,甚至是意外訪問。

此外, TAG團隊還表示,他們向Twitter和LinkedIn舉報了攻擊者的社交媒體帳戶,Twitter和LinkedIn也已暫停了他們的帳戶。

SecuriElite的推文

儘管我們可能永遠不確定這些攻擊背後的原因和動機,但是有兩種理論解釋了為什麼北韓政府支持的駭客會在這種活動中投入如此多的精力。

第一個理論是,北韓駭客可能試圖在安全研究人員管理的系統上立足,以便在漏洞被公開和修補之前獲得零時差的研究機會。

第二種理論是,攻擊者可能希望在安全公司的網路上站穩腳跟,從那裡他們可以收集有關受害者的客戶及其網路中的弱點的數據。

Facebook爆中國國家級駭客利用其平台監控海外維吾爾族人,Facebook封殺Evil Eye設的約百個帳號!!!

Posted on by blogadmin
Facebook表示,中國駭客利用偽造賬戶和建立仿冒網站來鎖定維吾爾族人的手機,以便進行監控

Key Points:

*中國國家級駭客Evil Eye(邪惡之眼)利用臉書,鎖定中國境外,包含美國、澳洲、土耳其、敘利亞、 加拿大、土耳其、哈薩克等國家的維吾爾族等少數民族之維權人士、記者或異議人士,透過發送指向惡意軟體的連結,用惡意軟體感染設備並實現監控。

* Facebook指Android惡意軟體由兩間中國公司,北京畢思特聯合科技有限公司(Beijing Best United Technology)和大連9Rush科技有限公司(9Rush) 所開發,偽裝成維吾爾語鍵盤和祈禱應用程式,實則上存有ActionSpy或PluginPhantom等木馬惡意程式,有些惡意網站則直接嵌入了iOS間諜程式Insomnia。

*利用社交工程:Evil Eye使用Facebook上的假帳戶創建虛構的角色,冒充人權倡導者,記者,維吾爾族成員或學生,以建立與目標人群的信任,並誘使他們點擊惡意連結。

Facebook在3月24日宣布,已對利用假賬戶監視維吾爾族穆斯林的中國駭客組織Evil Eye採取了行動,阻止了Evil Eye濫用其平台和架構,發佈惡意程式和入侵其他用戶。

Facebook 表示Evil Eye的手法十分高明,他們會檢查目標對象的iOS,是否使用指定的語言、國家、系統版本、瀏覽器、IP位址等,駭客只會對符合相關條件的用戶下手,避免了大規模攻擊而太早被發現。駭客亦會製作一些假網站,偽裝像真的維吾爾族或土耳其的新聞網站,當目標不小心瀏覽時,就會在其iOS裝置上安裝一些監控程式。而且中國駭客們為了監控維吾爾族人士亦相當用心,會製作一些假帳戶,而這些假帳戶會慢慢向目標建立信任,最終被選中的目標因為以為這些假帳戶是真朋友,而不小心按入有關網站,令自己的手機或電腦被監控。Facebook亦發現有不少由了製作的Android apps,以維吾爾族的主題做包裝,例如維吾爾語鍵盤和祈禱應用程式,這些apps都藏有惡意程式。Facebook續指有兩間中國公司涉及在內,由他們開發相關惡意程式。

路透社報導,Facebook表示與駭客組織相關的目標少於500個,帳戶約於100個。

相關情資:

https://otx.alienvault.com/pulse/605caf0881cf2953063d2fab

回顧之前有關Evil Eye的報導: 

https://www.facebook.com/BillowsTechTW/posts/526372064693028

加拿大無線設備商司亞樂(Sierra Wireless)遭勒索軟體入侵,造成其生產線停頓!另美國保險業巨頭CNA Financial公司亦遭網路攻擊,影響業務營運被迫關閉特定系統!

Posted on by blogadmin

Key Points:

*勒索軟體對司亞樂的內部IT網路進行了加密,阻止了員工存取與製造和計劃相關的內部檔案和系統

*大部分工廠需要對客戶訂單和產品規格的取得最新的存取,無法存取導致司亞樂關閉了其製造工廠的生產線

*目前司亞樂沒有傳出歸因是哪一支勒索軟體

*CNA的員工透露他們的網站已斷網,連電話也無法接通,造成業務已停頓至少48小時了

*根據保險業新聞媒體The Insurer,  CNA金融公司的網站和某些系統出現故障懷疑是勒索軟體造成。

根據司亞樂提交給美國證券交易委員會(SEC) 的一份文件中,司亞樂在2021年3月20日(星期六)遭勒索軟體攻擊。“目前司亞樂認為攻擊的影響僅限於司亞樂系統,因為該公司在其內部IT系統與面向客戶的產品和服務之間保持了明確的隔離,” 司亞樂發言人說。由於勒索軟體攻擊,司亞樂停止了其生產基地的生產。該公司的網站和其他內部運營也受到了攻擊的干擾,但司亞樂沒有透露生產系統何時會重新上線。

目前尚不清楚攻擊者是否從司亞樂網路中竊取了敏感資料,但大多數勒索軟體攻擊傾向於這樣做,還不清楚公司是否向攻擊者支付了解密檔案並恢復網路的費用,或者司亞樂是否正在從備份中恢復。

另外,美國最大的保險提供商之一CNA金融公司,目前正遭受廣泛的網路中斷,原因是這家總部位於芝加哥的保險公司受到可疑的網路攻擊,由於系統無法使用造成其承保和理賠方面的業務已停頓。

CNA金融公司在其網站上的最新聲明中確認,網路攻擊正在造成包括公司電子郵件在內的網路中斷。為了安全起見,CNA還確認他們已斷開系統與網路的連接。

根據CNA金融公司聲明,目前已聘請第三方鑑識團隊來調查此事,並已通報執法部門和配合調查。

LockBit勒索軟體中存有錯誤,可被濫用允許無限次免費解密,無需與駭客談判了?!

Posted on by blogadmin

一個勒索軟體研究員發現並披露了LockBit勒索軟體中的一個錯誤(bug),該錯誤可已被用於免費解密。該錯誤影響了 LockBit的勒索軟體即服務(RaaS)中的運作方式,LockBit的勒索軟體即服務於2020年1月啟動,通過該操作,LockBit的背後駭客出租了他們勒索軟體的使用權。

一般來說, LockBit的RaaS的客戶(也稱為會員)執行對受害公司網路的入侵,他們在受害公司網路中部署LockBit勒索軟體以加密檔案,並要求受害者提供贖金以換取解密工具。LockBit通過留在desktop上的勒索信,告訴受害人連接一個暗網的入口網站(即LockBit揭秘網站),他們可以在其中協商和付贖金。該揭秘網站還允許受害者試用一次免費的解密操作(trial decryptor),因此受害者可以確認駭客擁有有效的解密密鑰。

免費試用一次的解密

關於LockBit勒索軟體被發現的錯誤,是經由一個地下網路犯罪論壇發佈的,LockBit的錯誤是在讓受害者試用一次免費解密機制中被發現的,它可用來作無限地免費解密。儘管此發現未包括其他證據,但該錯誤是由著名的俄羅斯駭客Bassterlord確認和公開的,該披露的可信性極高。 Bassterlod曾與多個勒索軟體組織合作,包括LockBit,REvil,Avaddon和RansomExx。

儘管受害者很難恢復其被加密所有的資料,但肯定會被大量受害者大量使用LockBit此錯誤。 對於該勒索軟體的受害者而言,肯定有所得益。通過以公開方式發布有關該錯誤的資訊,Bassterlord的舉動還引發了安全專家之間討論關於通報勒索軟體漏洞的正確方法。

McAfee安全研究總監John Fokker表示,正確的方法是向安全供應商或No More Ransom報告與勒索軟體相關的錯誤,安全供應商和No More Ransom項目均已建立了完善的機制,可以利用這些資料並幫助勒索軟體受害者,而不會提醒勒索軟體開發者,還適用於希望破壞競爭對手的駭客們。

根據ID Ransomware平台提供的數據 ,LockBit勒索軟體仍在每週加密大約數十名受害者。

2021年被LockBit勒索軟體加密的報告

據相信由於LockBit的錯誤被公諸於世,該勒索軟體的背後駭客正忙於修補該錯誤,安全公司Malwarebytes的惡意情資分析師Marcelo Rivero說,LockBit的入口網站正在處於關閉狀態,這可表明駭客正在實施修補程式碼。

相關情資:

https://otx.alienvault.com/pulse/5ff7560e8ebcdf1d6e6201f9

中國APT駭客組織針對電信公司進行有關5G的網路間諜活動,旨在竊取與5G技術相關的數據

Posted on by blogadmin

McAfee的報告中稱,這項名為”Operation Diànxùn電信行動”的活動是由於在多個國家/地區禁止在5G推廣中使用中國技術而引起的。據安全廠商稱,活動背後的威脅者正在使用中國APT野馬熊貓(Mustang Panda) 在攻擊中使用的策略和相關手法,研判該行動出自他們之手,該組織先前已被多家安全廠商確認為中國政府資助的駭客。

根據McAfee的研究,攻擊的目標位於美國,歐洲和東南亞,特別針對德國和越南的電信公司。資料顯示受害者會被誘騙到一個偽裝成是華為求職的釣魚網站,從網站上研究員發現了偽裝為Flash應用程式的惡意軟體,這些惡意軟體會連接到受駭客控制下的網域“ hxxp:/ /update.careerhuawei.net”,hxxp://career.huawei.com” 這些惡意網址經過精心設計,看起來像極合法的華為求職網站。研究員在12月還觀察到此行動中使用新的網址:“hxxp://update.huaweiyuncdn.com。”

攻擊目標的分散圖

儘管數十個政府最初對華為和中興等中國公司建立5G感興趣,但近幾個月來,美國和一些歐洲國家已敦促各國對中國政府在一定程度上的封殺,華為被廣泛認為是5G領域的中國領導者,但包括美國、澳洲、日本、英國、法國等在內的國家的政府都禁止使用華為的5G技術,因為擔心華為的5G技術可能包含可以進行廣泛間諜活動的後門,但McAfee也補充說,沒有任何跡象顯示華為與當前的威脅活動有任何關連。

據安全廠商稱,目前尚不清楚攻擊者最初是如何誘騙受害者到釣魚網站的,但受害者一旦連接就會到一個與華為的求職網站非常相似的網頁。攻擊者使用虛假網站下載了偽裝成Flash應用程式的惡意軟體,還精心設計了從中下載的Flash應用程式的網站,使其外觀類似於Flash在中國的官方網頁,該惡意軟體還可以在受感染系統上下載Cobalt Strike滲透工具。

報告稱由於攻擊者利用虛假的華為網站,提供了更多有關行動的線索,相信該行動旨在竊取敏感數據與監視5G技術相關的電信公司,McAfee研究員Thomas Roccia又稱,觀察到大多數組織都是對中國推出的5G技術表示擔心的,這表明電信行動(Operation Diànxùn)與全球部署下一代通信技術(next-gen communications)息息相關。

相關情資:

https://otx.alienvault.com/pulse/6050e65d389812e02dfca3c3

Source:

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-dianxun.pdf