竣盟科技 - Billows 技術/情資訊息分享

SolarWinds供應鏈攻擊的後遺症，駭客設網站高調出售來自Microsoft，Cisco， FireEye和SolarWinds的原始碼。

Posted on 2021 年 1 月 13 日2021 年 1 月 13 日 by blogadmin

駭客建立了一個全新的網站solarleaks.net，公開出售在SolarWinds供應鏈攻擊中竊取得來的原始碼。網站所有者聲稱他們是入侵SolarWinds的駭客組織，並正在拍賣從Microsoft，Cisco，SolarWinds和FireEye竊取到的原始碼，眾所周知，所有這些公司都在供應鏈攻擊中遭到入侵。據了解SolarLeaks網站所有者在模仿Shadow Brokers的方式，聲稱將分批出售盜來的數據，並將在以後發布更多資料。

Solarleaks.net網域名只有1天的歷史，在2021年1月11日註冊，並使用瑞典的隱私託管服務商Njalla來註冊。Njalla是APT駭客組織Fancy Bear和Cozy Bear的首選註冊商。僅此一項就已經表明，該網站背後的人們至少對俄羅斯作案手法（Modus operandi）是有所了解的。當然，這也可能是一個騙局（Scam）。

目前尚不清楚Solarleaks網站販售的數據的真實性，但相信由於Infosec的目光都在看著這事件的發展，值得我們持續關注。

目前Solarleaks網站以60萬美元的價格出售Microsoft原始碼和存儲庫，以50萬美元價格出售Cicso原始碼和內部的bugtracker dump，以50萬美元價格出售Fireye的紅隊工具原始碼，和以25萬美元的價格出售SolarWinds原始碼和客戶的portal dump。

該網站說，只要花費100萬美元，就可以獲得所有洩露的數據！

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局（FBI）發布了對私人企業的通知，警告Egregor勒索軟體積極瞄準私人企業進行攻擊。

Posted on 2021 年 1 月 8 日 by blogadmin

2021年1月7日-FBI敦促所有私人企業警惕Egregor勒索軟體背後駭客組織的潛在惡意活動。FBI的最新警報說，自9月該組織成立以來，Egregor已在全球入侵了150間企業。已知的受害者名單包括 Cencosud， Crytek， Kmart，Ubisoft，Barnes and Noble和大溫哥華運輸公司TransLink等。

美國情報與安全服務局(US intelligence and security service)說：“由於部署Egregor勒索軟體涉及的駭客眾多，因此部署Egregor時所採用的戰術、技術和流程(TTP可能會截然不同，給防禦和緩解帶來了重大挑戰。”

“ Egregor勒索軟體利用多種機制來破壞企業網路，包括針對與企業網路或設備共享存取權限的企業網路和員工個人帳戶。” 一旦獲得對目標網路的存取權限，駭客便會使用Cobalt Strike，Qakbot / Qbot，Advanced IP Scanner和AdFind來提升特權並橫向移動，使用Rclone和7zip等工具來竊取數據。

FBI官員表示：“一旦受害公司的網路遭到破壞，Egregor的背後駭客就會竊取數據並加密網路上的檔案。” “勒索軟體在電腦上留下勒索信，指示受害者通過線上聊天與駭客進行通信。”FBI補充說：“Egregor經常利用受害者的印表機來列印勒索信。” “如果受害者拒絕付款，Egregor會將受害者數據發佈到公共站點上。”

FBI還分享了一系列建議的緩解措施，這些措施應有助於抵禦Egregor的攻擊：

＊離線備份重要數據。

＊確保關鍵數據的副本位於雲中或外部硬碟或存儲設備上。

＊保護您的備份，並確保無法從數據所在的系統存取該數據以進行修改或刪除。

＊在所有主機上安裝並定期更新防病毒或防惡意軟體。

＊僅使用安全網路，避免使用公共Wi-Fi網路。

＊使用雙因素認證，請勿點擊電子郵件中未經請求的附件或連結。

＊優先修補面向公眾的遠端訪問產品和應用程式的修補，包括最近的RDP漏洞（CVE-2020-0609，CVE-2020-0610，CVE-2020-16896，CVE-2019-1489，CVE-2019-1225，CVE-2019 -1224，CVE-2019-1108）。

＊查看可疑的.bat和.dll檔案，具有偵察數據的檔案（例如.log檔案）和滲透工具。

＊使用多因素驗證或強密碼，通過限制訪問來安全地配置RDP。

有關Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載，但請註明出處

美國聯邦調查局（FBI），美國網路安全和基礎設施安全局（CISA），國家情報總監辦公室（ODNI）和國家安全局（NSA）發布聯合聲明，美國政府將SolarWinds的供應鏈攻擊正式歸咎於俄羅斯。

Posted on 2021 年 1 月 6 日 by blogadmin

包括FBI，CISA，ODNI和NSA在內，這四個機構都是網路統一協調小組（Cyber Unified Coordination Group）的成員，該小組是由白宮國家安全委員會成立的聯合工作組，負責調查和處理SolarWinds攻擊的後果。今天（1月5日）發表了一份聯合聲明，正式指控俄羅斯政府策劃了SolarWinds供應鏈攻擊。聯合聲明將此次攻擊描述為“起源可能是俄羅斯”和“情報蒐集”。

據國外媒體報導，聯合聲明半證實了上個月《華盛頓郵報》的一份報導，該報導將SolarWinds供應鏈攻擊與歸咎於APT29， APT29是俄羅斯外國情報服務（Russian Foreign Intelligence Service）相關駭客的代號。

網路統一協調小組說：“國家級駭客組織可能來自俄羅斯，是危害政府網路和非政府網路的大部分或全部原因。” 該聲明還正式將SolarWinds背後駭客活動描述為“情報蒐集”。我們正在採取一切必要步驟來了解這項活動的全部範圍，並做出相應的回應。”

UCG在FBI，CISA，ODNI和NSA的聯合聲明中還補充說，在最初的入侵事件發生後，只有10個美國政府機構受到其他駭客活動的攻擊。

聲明說：“ UCG相信，使用Solar Winds Orion產品的大約18,000名受影響的公共和私營部門客戶中，只很少一部分受到其系統後續活動的損害。”

“到目前為止，我們在少於十個美國政府機構的網路上發現了惡意軟體活動，正在努力識別並通知也可能受到影響的非政府實體。” 並強調網路攻擊活動仍然持續，警告駭客對美國構成的威脅尚未結束，UCG補充說：“這是一個嚴重的入侵，需要持續不懈的補救。”

上個月《華盛頓郵報》報導後不久，俄羅斯官員對報導的發現提出了質疑。今俄羅斯官員尚未正式回應今天的FBI-CISA-ODNI-NSA聯合聲明。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

大溫哥華交通運輸公司TransLink警告，駭客在網路攻擊中非法存取了員工的銀行個人資訊，敦促員工使用信用卡監控服務!

Posted on 2021 年 1 月 5 日2021 年 1 月 5 日 by blogadmin

加拿大的大溫哥華公共交通TransLink的員工被告知，在12月初的網路攻擊中駭客存取了個人銀行資訊和其他檔案，建議員工使用信用卡監控服務。TransLink於2020年12月1日宣布遭網路攻擊後，交通網路的電腦系統出現問題。IT技術問題影響了公司的電話和線上服務，以及客戶用信用卡或預付卡付款的功能。但TransLink的運輸服務不受勒索軟體攻擊引起的IT問題所影響。

事件發生後，TransLink在一份聲明中透露： “我們現在可以確認TransLink的某些IT基礎設施已經成為勒索軟體的攻擊目標。”“此攻擊包括通過印表機與TransLink通信。” 在攻擊期間，從印表機印出的勒索信，辨識到為Egregor勒索軟體。

由《Global News》在上週三獲得並看到TransLink的內部電子郵件中，告訴員工攻擊者“已存取並可能已從受限制的網路磁碟機複製了檔案”，

所存取的磁碟機包含TransLink，Coast Mountain Bus Company（CMBC）和大溫哥華交通警察的員工薪資資訊。電子郵件說：“那些受限制的網路磁碟機包括含有銀行資訊和一些社會保險號的檔案。”

Global News的記者Jordan Armstrong在推特上關於TransLink最新進展的推文:

The internal email “strongly” urges all staff to sign up for two-year credit monitoring, as previously offered to employees by the company. pic.twitter.com/gtHsWf82Ny
— Jordan Armstrong (@jarmstrongbc) December 31, 2020

截至目前，在Egregor勒索軟體攻擊之後，大多數TransLink的系統仍處於關閉狀態，包括實時GPS數據，追踪(tracking)和報告(reporting)系統，其公司技術人員仍正在努力盡快恢復它們。

TransLink建議想要追踪公車時程的客戶“暫時”使用Google trip planner，直到追踪系統重新上線。

另外，儘管有證據顯示駭客在攻擊過程中存取了它們的磁碟機，但TransLink表示目前仍在確定受影響的員工數目以及攻擊者打開或複制的檔案。TransLink還敦促所有員工盡快註冊為所有員工免費提供的兩年信用卡監控。

關於Egregor的情資就在竣盟科技代理的 AlienVault OTX 情資平台上：

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

日本川崎重工在內部稽核時，發現遭未經授權第三方存取日本的伺服器，駭客的入侵很可能針對川崎持有與日本國防相關的數據

Posted on 2020 年 12 月 30 日 by blogadmin

川崎重工株式會社Kawasaki Heavy Industries於12月28日宣布，由於未經授權從其海外基地存取了日本數據中心，一些資料可能已經外洩。

今年6月，內部系統稽核時發現，泰國基地未經授權即可訪問日本伺服器。陸續也確認了從印尼，菲律賓和美國基地對日本伺服器未經授權的存取，並且發現數據從泰國基地外洩，因此川崎重工加強了對海外基地存取權限的監控和限制，以阻止未經授權的存取。川崎也切斷了站點之間的所有通信。在實施網路通信限制，並對日本和泰國網路上大約30,000個的終端進行安全審核。川崎證實，八月之後沒有與日本伺服器建立未經授權的連接，通信渠道於11月30日恢復。

另外，似乎有人非法獲取了內部系統的ID和密碼，但尚不知道可能洩露了多少數據。日本傳媒報導駭客入侵的可能是川崎重工持有與日本國防相關資料的細節，川崎重工為日本自衛隊生產飛機和潛艇，是日本軍工産業核心之一，並支援與盟國的一系列國防合同，例如在美國，與波音公司professional jets有緊密的合作關係，第三方外部人員對其發動了駭客攻擊可能致有關軍事機密外泄。

川崎重工表示：“對於給我們的客戶和其他相關方帶來的不便，我們深表歉意。”

*****竣盟科技快報歡迎轉載，但請註明出處.

美國家電製造巨頭惠而浦(Whirlpool) 遭 Nefilim勒索軟體入侵，數據被公開!

Posted on 2020 年 12 月 29 日 by blogadmin

惠而浦公司將以一種不愉快的方式結束2020年，這家市值數十億美元的電器製造商已成為臭名昭著的Nefilim勒索軟體的受害者。

自從Covid 19大流行初期以來，Nefilim一直很活躍，並因揚言在發出勒索信後一周內釋放受害者的數據而聲名狼藉。

雖然Nefilim對惠而浦的攻擊在聖誕節後第二天就曝光了，但據外媒報導最初的攻擊發生在12月的第一周。然而根據惠而浦的一份聲明，入侵可能發生在11月。聲明說：“上個月在我們的環境中發現了勒索軟體，該惡意軟體被檢測到並被迅速遏制。” Whirlpool確認了攻擊，並稱其系統已從攻擊中完全恢復。惠浦的聲明斷言，在公司繼續調查和實施補救措施的過程，沒有發現消費者數據受到影響，也沒有影響任何營運。

Nefilim與惠而浦的談判失敗後，洩漏了從該公司盜來的第一批數據，其中包括員工福利，住宿和醫療資料申請，背景調查等有關檔案。

洩漏數據並不是Nefilim背後駭客進行報復的唯一方式。駭客稱惠而浦的網路防禦能力不足，誇口說他們能第二次滲透到該公司的網路中。

十月份，Nefilim勒索軟體的背後駭客洩露了屬於意大利眼鏡和眼保健巨頭Luxottica的檔案。另外其他受害者包括法商電信巨擘Orange，德國最大的私人多服務提供商 Dussman Group和 Toll Group等。

有關Nefilim勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

繼卡普空後，日本電子遊戲製作發行商”光榮”也受駭，駭客將盜來的數據免費釋出! 光榮的歐洲和美國網站，目前仍斷網。

Posted on 2020 年 12 月 28 日 by blogadmin

光榮特庫摩(Koei Tecmo) 在聖誕節了發布一份新聞稿，宣布了其子公司KOEI TECMO EUROPE LIMITED（KTE）遭受了駭客非法侵入。發布的公告是針對已確認KTE在歐洲網站上收集的用戶數據遭洩漏的問題。

據國外媒體報導，在12月20日一名駭客聲稱通過發給員工的魚叉式網路釣魚活動在12月18日入侵了koeitecmoeurope.com網站。作為此次攻擊的一部分，該駭客聲稱已在該站點上植入了Web Shell以便繼續存取。並盜取一個擁有65,000個用戶的論壇數據庫。

在駭客論壇上，該駭客試圖以0.05比特幣（約合1,300美元）的價格出售一個光榮論壇的數據庫，並以0.25（約合6,500美元）的價格出售Web shell訪問權限。但在12月23日，同一駭客在同一論壇上免費洩漏了該數據庫。外媒報導，數據庫樣本包括論壇成員的電子郵件地址，IP地址，Hash密碼，用戶名，出生日期和國家等等。

光榮指出，入侵行為僅影響論壇，而未影響網站的其他部分。他們還說，該數據庫中沒有存儲財務資料。出於謹慎考量，光榮在調查此次攻擊時已將其英國子公司KTE與內部網路斷開。但光榮的歐洲和美國網站，目前無法連接，仍在斷網中。光榮在這兩個網站上，公告”由於此網站上可能發生外部網路攻擊，因此我們正在調查並暫時關閉此網站。”

光榮特庫摩並不是今年首位受到網攻的遊戲開發商。今年早些時候， Crytek和Ubisoft受到Egregor勒索軟體的攻擊，Capcom遭受了Ragnar Locker勒索軟體攻擊，其中1 TB的數據被盜。

光榮有名的遊戲代表作：《三國志》系列、《信長之野望》系列、《真・三國無雙》系列、《戰國無雙》系列、《NINJA GAIDEN》系列、《DEAD OR ALIVE》系列、《鍊金工房》系列….等。

Resource: https://www.koeitecmo.co.jp/news/docs/news_20201225_2.pdf

隨著COVID-19疫情持續蔓延，有證據發現北韓APT組織Lazarus Group(拉撒路小組)試圖竊取COVID-19研究和疫苗開發，攻擊研究實體!

Posted on 2020 年 12 月 25 日 by blogadmin

於2020年秋季，卡巴斯基的全球研究與分析團隊（GReAT）發現了兩個針對與COVID-19的研究組織被國家級駭客組織攻擊（APT）。駭客的攻擊目標是一個國家的中央衛生部和製藥公司，GReAT研究人員追踪臭名昭著的北韓APT組織Lazarus Group(拉撒路小組) 發動了這次的攻擊，攻擊了參與COVID-19研究和疫苗開發的組織，以加快其國疫苗開發的速度。

研究專家Seongsu Park在APT報告中說，拉撒路小組分別於9月和10月滲透了一家製藥公司和政府衛生部的網路，但沒有透露具體的目標實體，僅表示該製藥公司於2020年9月25日遭到入侵，一個月後的10月27日政府衛生部遭到攻擊。

值得注意的是，拉撒路小組部署的“ BookCodes ”惡意軟體，該惡意軟體最近在韓國軟體公司WIZVERA的供應鏈攻擊中被用於安裝在目標系統的遠端管理工具（RAT）上。 BookCodes為Lazarus專門使用的惡意軟體，在進入受害者的網路後，北韓的駭客部署了BackCodes和具有後門功能的wAgent惡意軟體。

這兩種攻擊利用了重疊程度不大的不同惡意軟體，但研究專家可以確認他們都與拉撒路小組有聯繫，並且在post-exploitation中發現了重疊。

攻擊衛生部的最終payload是wAgent惡意軟體，它是一種旨在從C2部署其他payload，包括持久的後門並將其加載到受感染系統的內存中。在10月27日發生的攻擊中，使用的wAgent惡意軟體“具有與拉撒路小組先前用於攻擊加密貨幣搶劫案的相同惡意軟體的程式語言”。

在9月25日針對製藥公司的攻擊中，拉撒路小組使用Bookcode惡意軟體收集系統資訊，包含Sam dump中密碼的hash和AD資訊。

即使在過去，駭客組織在供應鏈攻擊和通過魚叉式網路釣魚部署惡意軟體，但沒有發現其初始的攻擊媒介。

Kaspersky沒有透露遭受攻擊的製藥公司的身份，但他們確實透露了該公司有參與COVID-19疫苗的開發，並且也“被授權生產和分發COVID-19疫苗”。目前只有在美國，英國，俄羅斯，中國等國家的製藥組織開發的COVID-19疫苗達到授權/批准狀態（因此受害製藥公司必在其中）：

輝瑞-BioNTech

莫德納 Moderna

武漢生物製品研究所

Gamaleya研究所

北京生物製品研究所

俄羅斯聯邦預算研究機構病毒與生物技術國家研究中心

Kasperky安全專家Park補充說：“這兩個事件表明拉撒路小組對與COVID-19有關的情報感興趣。” “我們認為，目前參與疫苗研究活動的所有實體都應高度警惕網路攻擊。”

Lazarus Group針對COVID-19相關研究發動的攻擊有關情資，就在竣盟科技代理的 AlienVault OTX 情資平台上：

https://otx.alienvault.com/pulse/5fe36c30dbe6a83c04783415

Resource: https://securelist.com/lazarus-covets-covid-19-related-intelligence/99906/

*****竣盟科技快報歡迎轉載，但請註明出處

美國參議員Ron Wyden在其Twitter上表示，美國數十個財政部(US Treasury) 的Email帳戶已被攻擊SolarWinds的背後駭客入侵。

Posted on 2020 年 12 月 23 日2020 年 12 月 23 日 by blogadmin

I am extremely concerned about the breach at Treasury. Hackers accessed dozens of email accounts, and the full extent of the damage is still unknown. It's time to get serious about cybersecurity, and put an end to any plan that weakens encryption. https://t.co/fqQpFGjKVO
— Ron Wyden (@RonWyden) December 22, 2020

參議員Ron Wyden“我非常擔心財政部被入侵事件。駭客存取了數十個電子郵件帳戶，其破壞程度尚不清楚。現在該認真考慮網路安全，並結束任何削弱加密的計劃。”該Twitter發文是在美國財政部和美國國稅局（Internal Revenue Service）向委員會通報SolarWinds供應鏈攻擊事件後發布的。雖然沒有證據表明美國國稅局本身或任何納稅人的數據在這次持續的攻擊活動中遭到破壞，但這位參議員說，“財政部被駭客入侵意味相對重大。”

數十個美國國庫電子郵件帳戶被盜

“根據財政部的工作人員，該機構遭受了嚴重的入侵，在7月開始，但其深度尚不清楚”，Wyden說: “Microsoft通知財政部，發現它們有數十個email帳戶被盜。”

這位參議員還補充說，SolarWinds供應鏈攻擊的背後駭客還入侵了美國財政部部門最高官員辦公室的系統，Wyden說：“財政部仍然不知道駭客的所有入侵行動，也不知道什麼資料被盜。”

在發現SolarWinds供應鏈被入侵後，多個組織包括FireEye，Microsoft，Cisco和VMware等披露了同樣遭駭客攻擊被植入了木馬程式。

微軟還透露，這一系列持續的攻擊破壞了其40多個客戶的網路，其中80％來自美國，44％來自IT部門。

FireEye更成為了攻擊者第二階段的目標，策劃攻擊的國家級駭客組織從其系統中盜取了紅隊工具。

自攻擊以來，已知受SolarWinds Orion平臺波及的組織不斷增加，目前已確認其網路遭到破壞的美國各州和政府機構：

美國財政部

美國國家電信和信息管理局（NTIA）

美國國務院

美國國立衛生研究院（NIH）（美國衛生部的一部分）

美國國土安全部（DHS）

美國能源部（DOE）

美國國家核安全局（NNSA）

美國的某些州（未披露的特定州）

有關SolarWinds供應鏈攻擊的情資，就在竣盟科技代理的 AlienVault OTX 情資平台上：

*****竣盟科技快報歡迎轉載，但請註明出處

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

貨運巨頭Forward Air遭到名為Hades的新型勒索軟體入侵，目前資安專家仍沒發現該惡意軟體的樣本。

Posted on 2020 年 12 月 22 日 by blogadmin

上週卡車和物流業巨頭Forward Air遭受了勒索軟體攻擊，迫使他們中斷了網路。資安媒體BleepingComputer得知Forward Air被名為Hades的新型勒索軟體所攻擊，該勒索軟體被發現於本月初才開始運作。

上週Forward Air遭受了一次網路攻擊，迫使他們使系統中斷以防止攻擊蔓延。Forward Air隨後在聲明中確認了此攻擊。

在12月15日的聲明中，該公司的發言人表示，“Forward Air發現了影響某些計算機系統功能的IT安全事件。根據我們的信息安全協議，我們立即將系統下線，通知了執法部門，並聘請了一些第三方專家來協助我們進行內部調查。我們的IT團隊正在努力恢復受影響的系統和服務，並使它們盡快恢復。”

消息人士對資安媒體表示，Forward Air遭受了名為Hades新的勒索軟體的攻擊。於美國東部時間12/21/20 ，Forward Air向美國證券交易委員會提交了8-K表格，披露他們遭受了勒索軟體攻擊並稱這次攻擊背後的Hades勒索軟體大約在一周前開始以人為操縱的攻擊模式攻擊其企業。

Hades加密受害者時，建立了一個名為“ HOW-TO-DECRYPT- [extension] .txt”的勒索信，類似REvil勒索軟體使用的勒索信，如下圖。

目前仍不知道需要多少錢來恢復檔案，也沒有找到勒索軟體的樣本。Forward Air是一家位於美國田納西州的領先貨運和空運物流公司。該公司2019年的收入為14億美元，擁有4300多名員工。