起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元,關鍵性IT被破壞,網路廣泛性斷線,影響其UVO link的行動應用程式,支付系統,電話服務及入口網站等的運作

Posted on by blogadmin

Kia汽車製造商似乎陷入了困境,Kia的線上服務已與外界隔離開來,客戶無法通過起亞的應用程式遠端啟動汽車,甚至無法登錄該公司的繳費網站來支付賬單,所有跡像都表明很可能已遭勒索軟體攻擊,而這正是外媒BleepingComputer的報導,起亞汽車美國公司遭受了DoppelPaymer勒索軟體的入侵,使用DoppelPaymer的駭客組織要求支付2000萬美元的贖金,並換取不洩漏盜來的數據。

起亞的關鍵連接服務呈現離線狀態,起亞汽車用戶受到影響

起亞對用戶道歉,承認登錄UVO應用或發送command受影響

BleepingComputer的報導指出,駭客其實針對起亞的母公司現代汽車,但到目前為止,現代汽車似乎未傳出受到影響。

DoppelPaymer對起亞汽車公司的勒索信

在一個Tor受害者付款頁面上,駭客稱從起亞汽車美國盜竊了大量數據,如果該公司不進行談判,它將在2-3週內發布。

對起亞勒索軟體的Tor 付款頁面

據報導,為了防止起亞的數據外洩並提供解密工具,DoppelPaymer目前要求贖金為2000萬美元;如果沒有在特定時間範圍內支付贖金,金額將增加到600比幣,即3000萬美元。

另外,起亞汽車美國公司對Bleeping Computers的報導發布了聲明說:

“ KMA意識到涉及內部,經銷商和面向客戶的系統(包括UVO)的IT中斷。對於給客戶帶來的任何不便,我們深表歉意,並致力於解決問題並儘快恢復正常的業務運營。” –起亞汽車美國公司。”

過去受DoppelPaymer攻擊的其他知名受害者包括富士康, 仁寶,  PEMEX(墨西哥石油公司),  加利福尼亞的托倫斯市City of Torrance, 紐卡斯爾大學Newcastle University, 喬治亞州的霍爾縣(Hall County),Banijay Group SAS和不列塔尼(Bretagne)電信公司等

起亞汽車美國公司的全國性斷網從美國時間上禮拜六開始直至目前其網站仍未回復正常

關於DoppelPaymer的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc942dcf06229396d3afec0

https://otx.alienvault.com/pulse/5d9378b8f36a91c436c5f93c

https://otx.alienvault.com/pulse/5d2c622be8a567f673db85cd

*****竣盟科技快報歡迎轉載,但請註明出處

#情資才是王道

Source: https://www.bleepingcomputer.com/news/security/kia-motors-america-suffers-ransomware-attack-20-million-ransom/

Accellion安全檔案傳輸服務商的客戶被CL0P勒索軟體入侵,包含新加坡電信公司SingTel,美國驗船協會,法律事務所Jones Day等被CLOP列為最新受害公司!

Posted on by blogadmin

CL0P勒索軟體揭秘網站上的五個最新受害者有兩個共同點。第一,最明顯的是,他們被CL0P勒索。第二,他們使用了Accellion安全檔案傳輸服務,以傳送分享大型檔案。

Accellion Inc.在2月1日宣布,其Accellion FTA是一個複雜的網路攻擊的目標。該公司表示,所有FTA客戶都已在12月23日立即收到攻擊通知。

上週,新加坡國有電信公司SingTel,美國驗船協會( American Bureau of Shipping),律師事務所Jones Day總部位於荷蘭的Fugro和生命科學公司Danaher被添加到CL0P的揭秘網站。以上五家被駭公司都使用web portal讓客戶或第三方使用Accellion檔案傳輸服務發送或接收大型檔案。

CL0P勒索軟體公開有關Singtel資料的頁面,紅下劃線為五個最新受害公司,他們同時為Accellion的客戶。

目前還不知道CL0P勒索軟體在對Accellion客戶的攻擊中起了什麼作用。或是Clop勒索軟體的駭客可能只是在幫助其他攻擊者從而盜竊數據來獲利。另外,CLOP的背後駭客告訴《華爾街日報》,它直接入侵了律師事務所Jones Day的伺服器,並且沒有參與Accellion的攻擊。

Screenshot Credit: DataBreaches.net

Screenshot credit: DataBreaches.net

Screenshot Credit: DataBreaches.net

無論哪種方式,對於Accellion客戶來說都是一個不好的兆頭。本週,新加坡電信美國科羅拉多大學 澳洲昆士蘭醫學研究組織QIMR Berghofer Medical Research Institute公開披露了其為Accellion檔案傳輸服務漏洞的受害者。

在2020年10月攻擊了德國企業軟體巨頭Software AG ,在11月加密韓國零售巨頭E-Land,勒索了龐大的贖金。

CLOP勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

法國政府網路安全設備的主要供應商Stormshield遭駭,揭露包含防火牆原始碼被盜

Posted on by blogadmin

Key Points:

  • 法國防火牆廠商Stormshield透露他們的系統遭到了駭客攻擊
  • 攻擊者不法存取了該公司技術支援的portal權限
  • 竊取了客戶的數據
  • 還竊取了其Network Security防火牆的原始碼
Stormshield的公告

Stormshield公告遭駭客入侵,作為入侵的一部分,攻擊者設法竊取了Stormshield Network Security(SNS)防火牆的部分原始碼,該產品是獲經認證可在法國政府的敏感網路中使用的。該公司表示,正在與法國國家網路安全局(ANSSI)一起調查此事件,該機構目前正在評估該漏洞對政府系統的影響。這起惡意攻擊,揭示駭客發現了防火牆的漏洞,而這些漏洞可能會在以後的攻擊中被利用,或者用於建立惡意更新。Stormshield事件目前被視為法國政府內部的重大安全漏洞。ANSSI官員在新聞稿中表示,在調查期間以及作為預防措施,他們已決定對Stormshield SNS和SNI產品的資格和認可進行觀察。

法國政府認證Stormshield 防火牆產品

該公司同時表示,駭客在獲得了客戶和合作夥伴使用的portal的存取後,設法竊取了數據,從而有可存取support ticket裡員工和客戶技術交流的相關內容。儘管Stormshield尚未共享有關該漏洞影響了多少客戶的詳細資料,但確實表示已通知所有可能受到影響的客戶,並且所有帳戶的密碼均已重置。此外,Stormshield也更改了用於對韌體更新的數位憑證。

據了解,Stormshield事件目前正朝向由國家級駭客攻擊進行調查。

今曝出中國駭客利用SolarWinds漏洞監視美國聯邦發薪機構,攻進了美政府系統

Posted on by blogadmin

據路透社報導,聯邦調查局發現,隸屬於美國農業部 (USDA) 的聯邦發薪機構國家財務中心 (National Finance Center) 是受SolarWinds事件影響的政府機構之一,報導說中國駭客利用了SolarWinds Corp去年製造的軟體中存在的漏洞來入侵美國政府的電腦。

自1973年以來,美國國家財務中心(NFC)為大約170個聯邦機構和65萬名聯邦僱員提供了人力資源和薪資服務,令人憂慮數以萬計的政府員工數據可能已被盜。

美國農業部確認數據外洩

據報導,用來入侵NFC系統的漏洞與可疑的俄羅斯國家級駭客用來破壞Orion軟體的更新機制以將Sunburst後門部署到SolarWinds客戶系統上的漏洞不同。這起由疑似中國的駭客集團,利用軟體漏洞展開的行動,則是另一起攻擊事件。儘管FBI和美國農業部(USDA)均拒絕提供進一步評論,但後者證實遭受了數據洩露。

農業部發言人在一封電子郵件中說:“美國農業部已通知所有客戶(其個人和組織)其數據已受到SolarWinds Orion Code Compromise的影響。”

在《路透社》報道後, 農業部再發聲明表示,國家財務中心未有被入侵,且無與 SolarWinds 相關的資料數據外洩,但未有作進一步解釋。

據路透社消息人士稱,由於駭客使用的電腦基礎設施和工具與先前由中國政府支持的網路間諜相同,美國農業部機構駭攻背後的威脅者被懷疑是中國國家級的駭客組織的一部分,並認為攻擊者是在中國。

另外,確認在SolarWinds供應鏈攻擊中受到打擊的美國政府機構名單包括:

美國財政部

美國國家電信和信息管理局(NTIA)

美國國務院

美國國立衛生研究院(NIH)(美國衛生部的一部分)

美國國土安全部(DHS)

美國能源部(DOE)

美國國家核安全局(NNSA)

AT&T Alien Labs研究人員警告說,TeamTNT駭客集團已通過新增開源檢測逃避功能來升級對Linux平台的挖礦操作。

Posted on by blogadmin

擅長挖礦蠕蟲的TeamTNT駭客集團新增了一個利用開源程式庫中複製的檢測逃避工具。自2020年4月以來,TeamTNT一直活躍,眾所周知以Docker系統為目標。TeamTNT通常會掃描Internet以查找配置錯誤的Docker容器,鎖定Docker傳輸埠的分散式阻斷服務攻擊(DDoS)殭屍網路並植入惡意挖礦程式,它還可以從受感染的伺服器竊取憑証,在去年8月更發現該殭屍網路擴大範圍到配置錯誤的Kubernetes系統。

現在根據AT&T Alien Labs的研究人員的發現,TeamTNT已新增了另一個工具。該工具名為libprocesshider,是自2014年以來在GitHub上可用的開源工具,libprocesshider旨在從處理程序查詢工具(例如ps和lsof)中隱藏惡意程序,有效地作為防禦規避技術。

Alien Labs研究員Ofer Caspi補充說“libprocesshider可在ld預先載入器的幫助下用於隱藏任何Linux程序,執行readdir()函數,該函數被”ps”等程序用於讀取 /proc 目錄以查找正在運行的程序, 並在找到的程序與隱藏所需的程序之間存在匹配的情況下修改回應值。

Libprocesshider部署在在TeamTNT ircbot或cryptominer二進位檔案中並隱藏在base64編碼script中,在二進位檔執行後,bash腳本將執行許多任務,包括:

  • 修改網路DNS配置。
  • 通過systemd設置持續性。
  • 投放並啟用新工具作為服務。
  • 下載最新的IRC bot配置。
  • 清除活動證據,使潛在的防禦行動變得困難。
經過Alien Labs分析的解碼bash腳本

首先將新工具設為磁碟上隱藏的tar檔案,然後透過script解壓縮,並寫入“ /usr/local/lib/systemhealt.so”,然後添加到“‘/etc/ld.so.preload”這樣就實現了預先載入技術,這使攻擊者可以覆蓋某些常用功能。

研究人員補充:“雖然libprocesshider的功能是逃避檢測和其他基本功能,但它可以作為在主機上搜尋惡意活動時要考慮的指標。”

有關TeamTNT新增逃避檢測工具的情資: https://otx.alienvault.com/pulse/5fc7e6165ab5e91b7c87aea3

更多內容,請參閱: https://cybersecurity.att.com/blogs/labs-research/teamtnt-delivers-malware-with-new-detection-evasion-tool

SolarWinds事件又延伸,包括Qualys,Fidelis,Palo Alto Networks 和Mimecast的四家資安廠商披露因SolarWinds事件受駭

Posted on by blogadmin

SolarWinds供應鏈攻擊的後果比最初想像的要糟,最新的受害者Qualys,Fidelis,Palo Alto Networks 和Mimecast證實安裝了SolarWinds Orion應用程式的惡意木馬更新。

NETRESEC的資安專家本周透露,資安供應商Qualys也是SolarWinds事件的受害者。富比士雜誌報導資安公司Netresec的創辦人Erik Hjelmvik的調查結果,詳細描述了SolarWinds背後的駭客將第二階段payloads部署到他們認為價值很高的受感染網路的23個新domains。

這23個新domains中有2個corp.qualys.com,表明Qualys也是攻擊者的目標。

在Qualys在向富比士發表的聲明中,Qualys說入侵沒有看上去那麼大,聲稱其工程師在實驗室環境中安裝了一個木馬化版本的 SolarWinds Orion 應用程式,用於測試目的,與其主要網路分開。Qualys也說,隨後的調查沒有發現任何進一步惡意活動或數據洩露的證據。

然而,一些資安研究員並不認同Qualys的聲明,暗示”corp.qualys.com”的domain表明,駭客確實能存取其主網路,而不是像該公司聲稱的那樣進入實驗室環境。

Fidelis網路安全公司的首席信息安全官Chris Kubic在部落格說,他們也在2020年5月安裝了一個木馬化版本的SolarWinds的 Orion 應用程式,作為軟體評估(software evaluation)。Kubic 說, 儘管攻擊者努力升級他們在Fidelis內部網路的存取許可權,但惡意軟體安裝被追溯到一台配置為測試系統的機器,它與核心網路隔離,並且”很少打開電源”,所以攻擊者無法部署第二階段payloads。但根據NETRESEC的調查,Fidelis的HQ.FIDELIS domain也在受感染網路的23個新domains中。

Mimecast是上述Mimecast是上述資安公​​司中第一個披露重大資安漏洞的,它透露威脅者破壞了其內部網路,並利用其產品之一使用的數位驗證來存取其某些客戶的Microsoft 365帳戶。

Microsoft 通知Mimecast,他們用於對Microsoft 365 Exchange Web Services的Mimecast同步和恢復,連續性監視器和IEP產品進行身份驗證的憑證已被

入侵破壞。Mimecast表示大約 10% 的客戶使用這種連接,有跡象表明在我們客戶的 M365 租戶中,有少數人成為攻擊的目標。

“我們的調查現已證實,這一事件與 SolarWinds Orion 軟體的有關,並且是由同一組駭客所為。

Mimecast調查還顯示,駭客存取並可能滲透某些由美國和英國託管的客戶創建的加密服務帳戶憑證。

Palo Alto Networks的代表告訴富比士,它發現了2020年9月和2020年10月發生的兩起與SolarWinds相關的事件。據富比士報導,“ Palo Alto說,它自己的工具通過查看其異常行為來檢測到該惡意軟體,因此被阻止了。”。“我們的安全運營中心隨後立即隔離了伺服器,進行了調查並驗證了我們的基礎架構是安全的。此外,我們的SOC將觀察到的活動通知了SolarWinds。我們的SOC進行的調查得出的結論是,嘗試的攻擊未成功,並且沒有數據受到破壞。”

之前有被報導受到SolarWinds供應鏈攻擊影響的其他資安公司包括FireEye(最初揭露了整個 SolarWinds 供應鏈攻擊的初始入侵),  Microsoft(入侵者訪問了公司的一些原始程式碼),  CrowdStrike(攻擊者入侵失敗)和 Malwarebytes  (由SolarWinds攻擊者在另一事件中入侵,訪問了公司的一些電子郵件帳戶)。

深入了解Solorigate(Sunburst)第二階段活動:從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

Microsoft 詳述了 SolarWinds 事件的駭客,如何透過OpSec 和反鑑識技巧的最佳實踐,以避免被發現和檢測。

Posted on by blogadmin

微軟今天分享了有關SolarWinds駭客,如何透過將其惡意活動隱藏在受攻擊公司的網路內而不被發現的相關詳細資訊。

微軟安全分析師的研究表明,SolarWinds的背後駭客至少經過兩週的精心選定目標,並內置獨特的Cobalt Strike網路滲透工具,對每一個受害者系統的進行一個月左右的攻擊。

微軟的報告分享了有關Solorigate(又名Sunburst)第二階段啟動的新細節-在植入Solorigate(Sunburst)的DLL後門之後,部署並植入自定義Cobalt Strike loader(Teardrop,Raindrop等)的步驟和工具。

微軟並重點介紹了SolarWinds供應鏈的背後駭客逃避策略:

*透過為每台電腦上部署不同的客製化Cobalt Strike DLL植入程式,以有條不紊地避免每個受感染主機的IOC被分享而攔阻

*透過重新命名工具和二進位檔案偽裝並融入環境,以避免受感染的設備上的檔案和應用程式被透過特徵比對偵測。,

*在使用鍵盤操作之前透過AUDITPOL停用事件日誌記錄,事後再啟用

*在開始進行網路活動之前, 會為某些通訊協定建立防火牆規則, 以減少對外的連線封包 (在完成工作後即被移除)

*首先在目標主機上禁用安全服務,再仔細計劃橫向移動

* 同時也被認為使用時間管理程式來更改物件的時間戳記,並利用移除程式和工具來避免在受影響的環境中被惡意程式偵測機制發現。

供應鏈攻擊時程

Solorigate持續攻擊的時程

                                                       

這些攻擊的詳細時間顯示,Solorigate (Sunburst) DLL後門已於2月部署,並在3月下旬部署在受感染的網路中。在此階段之後,威脅行動者選擇了感興趣的目標並準備了將植入的特製 Cobalt Strike,直到5月初開始動手攻擊。

“ 6月時,SolarWinds就從二進製檔案中刪除了後門生成功能並發佈並發修補程式,這指出攻擊者已經蒐集到足夠數量的目標,其目標從部署和啟動後門(階段1)轉移到操作已被選定的受害者網路,然後再通過鍵盤操作繼續植入Cobalt Strike,進行攻擊(階段2)。”

深入了解Solorigate(Sunburst)第二階段活動:從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

Source: 

https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/

資安廠商Malwarebytes遭駭,幕後黑手同為入侵SolarWinds供應鏈的駭客組織,Malwarebytes稱它們並沒使用SolarWinds產品,另在SolarWinds供應鏈攻擊中發現第四種新的惡意軟體Raindrop的出現!

Posted on by blogadmin

Key Points:

*Malwarebytes揭露遭攻擊SolarWinds供應鏈的同一駭客組織入侵

*Malwarebytes表示入侵與SolarWinds供應鏈無關,因為該其公司內網未使用任何SolarWinds軟體。

*SolarWinds供應鏈事件中發現了第四種惡意軟體變種Raindrop

*目前僅有四件 Raindrop 樣本,專家發現它跟另一款惡意軟體Teardrop 分工

反惡意軟體資安廠商Malwarebytes在其周二的blog文章中,證實遭SolarWinds供應鏈攻擊的駭客組織入侵,入侵不是通過SolarWinds的IT軟體發生的,相反,攻擊者利用了其公司Office 365和Microsoft Azure的帳戶作為切入點。

駭客通過Microsoft的Azure Active Directory入侵,公司可用於確保員工訪問公司 IT 系統。在12月15日(即SolarWinds駭客事件公開後的第二天),Microsoft告訴Malwarebytes,它注意到了來自Malwarebytes的Office 365系統內第三方應用程式的可疑活動並利用了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品。

Malwarebytes表示“在特定的情況下,威脅參與者將帶有憑證的自簽名證書添加到服務主體帳戶。從那裡,他們可以使用密鑰進行身份驗證並進行呼叫API,以透過MSGraph(Microsoft Graph)請求電子郵件。

Malwarebytes聯合創始人兼CEO, Marcin Kleczynski今天說: “經過全面廣泛的調查,我們確定攻擊者僅能訪問公司內部電子郵件的一部分。我們的內部系統沒有任何證據表明在任何就地部署和生產環境中都有未經授權的存取或損害,且我們的軟體仍然可以安全使用。"

另外,在SolarWinds供應鏈攻擊中,Symantec資安人員發現第四種新的惡意體Raindrop,並表示Raindrop與Teardrop惡意軟體類似,在很少數的入侵攻擊中被用作第二階段payload,目前為止僅發現了4個樣本。研究人員已將Raindrop認定為用於滲透後(post-compromise)活動的攻擊工具。根據賽門鐵克分析師的說法,這是一種後門安裝了Cobalt Strike,以幫助攻擊者更有效地通過受害者網路橫向移動攻擊。Raindrop似乎已被用來在受害者的網路中傳播。目前賽門鐵克尚未發現Sunburst直接分發Raindrop的證據。取而代之的是,它出現在已被Sunburst破壞的電腦網路上。

雖然Raindrop與Teardrop類似,但是Symantec表示他們使用不同的 packers,並且Cobalt Strike配置有所不同。在一個Raindrop的實例中,Cobalt Strike被配置為使用SMB命名管道作為通信協議,而不是HTTPS,這使專家們認為,受損的設備無法直接存取網路,迫使攻擊者透過網路上的另一台電腦路由 C&C 連線。在目前Symantec僅發現有四件 Raindrop 樣本,並相信Raindrop 跟Teardrop 分工合作散佈Cobalt Strike。

Raindrop受害者的時間線

有關Raindrop的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/6007149a5ff246c7c18229c1

中國的APT駭客組織Winnti針對俄羅斯和香港的公司發動了一系列的攻擊,發現台灣某研發線上遊戲公司的代碼簽名憑證被駭客組織濫用,利用一個未被記錄的後門程式”FunnySwitch”來攻擊香港的公司

Posted on by blogadmin

資安人員披露了來自中國的APT駭客組織Winnti的一系列攻擊,攻擊者利用惡意軟體,包括一個未被記錄的後門程式”FunnySwitch”。Positive Technologies資安公司發現,第一次攻擊可追溯到2020年5月12日,當時Winnti使用LNK shortcuts提取並運行操作惡意軟體payload。5月30日檢測到的第二次攻擊使用了一個惡意RAR存檔檔案,該檔案由指向兩個誘餌的PDF文檔shortcuts組成,這些文檔據稱是履歷和雅思證書(IELTS certificate)。

Shortcuts本身包含指向Zeplin(是設計師和前端開發人員之間的協作溝通工具)託管的頁面的連結,駭客用於獲取最終階段的惡意軟體,該惡意軟體反過來又包含shellcode loader(svchast.exe)和稱為Crosswalk的後門程式(3t54dE3r.tmp)。

Crosswalk後門於2017年首次被FireEye記錄,是一個陽春型模組化後門,能執行系統偵察,並接收來自攻擊者控制伺服器的其他模組。

這種作案手法與韓國APT組織Higaisa相似,Higaisa被發現利用電子郵件中附加的LNK檔於2020年對毫無戒備的受害者發動襲擊,但研究人員表示,使用Crosswalk後門,表明Winnti參與其中。因樣本的網路基礎結構與以前已知的 Winnti基礎結構重疊,其中一些domains可追溯到 2013 年 Winnti 對線上遊戲業者的攻擊。

在新一波的攻擊中,值得注意的是其中的目標包括Battlestate Games,一個俄羅斯聖彼德堡(St. Petersburg)Unity3D遊戲研發商。此外,研究人員還發現了更多的攻擊樣本,以RAR檔的形式,包含Cobalt Strike信標作為payload,駭客在一個案例中使用了美國黑人George Floyd逝世有關的抗議作為誘餌。

在另一個例子中,台灣某研發線上遊戲公司的代碼簽名憑證被濫用,駭客利用Crosswalk後門和Metasploit工具,以及 ShadowPad、Paranoid PlugX和名為FunnySwitch新的.NET後門攻擊香港的公司。

某台灣研發線上遊戲公司的網站

      

某台灣研發線上遊戲公司的憑證

據相信,後門程式仍在開發中,能夠收集系統資訊並運行任意的JScript程式碼。它還與Crosswalk後門分享了許多共同功能,使研究人員相信它們是由相同的Winnti開發人員編寫的。

此前,Paranoid PlugX 與 2017 年對遊戲行業公司的攻擊有關,通過 Winnti 的網路基礎結構部署惡意軟體增加了兩組之間的關係。研究人員總結說,從該組織的攻擊中可以看到Winnti擁有大量惡意軟體。Winnti 使用廣泛可用的工具(Metasploit、Cobalt Strike、PlugX)和客製化開發的工具,這些工具的數量不斷增加。到 2020 年 5 月,該組織開始使用其新的後門 Funny Switch,它具有不尋常的訊息中繼功能,另外Winnti繼續在俄羅斯和其他地方追擊遊戲開發商也是不爭的事實。

ShadowPad和PlugX的基礎結構

有關Winnti的APT駭客組織情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f62318a419e133716eca72d 

https://otx.alienvault.com/pulse/5f7b4e23628671de975542ed

https://otx.alienvault.com/pulse/5f64c60b933db16a4f43dffb     

Source: https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/higaisa-or-winnti-apt-41-backdoors-old-and-new/

美國國安局(National Security Agency) 公布最新DNS指南,建議僅使用“指定的”DNS解析器,並提供有關DNS over HTTPS的安全部署準則

Posted on by blogadmin
NSA企業建議建立具有DoH的DNS結構的示意圖

美國國家安全局建議將企業網路的DNS流量(無論是否經過加密)僅發送到指定的企業DNS解析,避免使用第三方DNS解析器,來阻止威脅行為者對DNS流量竊聽和竄改,並阻止對內部網路數據的存取。

DNS over HTTPS(DoH)是一個以HTTPS加密解析網域名稱的協定,NSA表示如果未在企業中正確部署加密的DNS技術,即DNS over HTTPS,則攻擊者可能會濫用它。最安全的方法是僅使用公司自己指定的企業DNS伺服器進行加密或未加密的DNS流量。

NSA補充說,如果企業 DNS 解析器不支援 DoH,則仍應使用企業 DNS 解析器,並且應禁用和阻止所有加密 DNS,直到加密 DNS 功能能夠完全整合到企業 DNS 基礎結構中。NSA還建議在管理員禁用其網路上的DoH,也要阻止“已知的DoH解析器上IP地址和網域”,防止客戶端嘗試使用自己的DoH解析器而不是使用DHCP分配的DNS解析器。

NSA的指南還提供了有關DoH用途以及正確配置DoH以增強企業DNS的安全性的控制。

更多有關NSA指南的內容,請至以下連結:

https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF