竣盟科技 - Billows 技術/情資訊息分享

北韓APT駭客組織 Lazarus被發現利用Log4j漏洞部署新的 RAT 惡意軟體

Posted on 2023 年 12 月 13 日2023 年 12 月 13 日 by blogadmin

北韓APT 組織 Lazarus 是一場新的駭客活動的幕後黑手，該活動利用 Log4j 漏洞部署以前未記錄的遠端存取木馬 (RAT)。思科 Talos 研究人員將該活動追蹤為鐵匠行動Operation Blacksmith，該行動於 2023 年 3 月左右開始，針對全球製造、農業和實體安全公司。鐵匠行動代表了Lazarus所使用的戰術和工具的顯著轉變，再次證明了這個威脅組織不斷變化的戰術。據信，北韓駭客至少打造了三個基於DLang的新惡意軟體系列。其中包括一種名為NineRAT 的RAT（利用Telegram 進行命令和控制(C2)）、DLRAT 和一個名為BottomLoader 的下載程式。Talos 認為 NineRAT 於 2022 年 5 月左右打造成，但首次被發現是在 2023 年 3 月，當時是鐵匠行動的一部分。三月，駭客襲擊了南美洲的農業組織，專家在 2023 年 9 月左右觀察到 NineRAT 針對一家歐洲製造實體的使用情況。

新的惡意軟體工具

第一個惡意軟體 NineRAT 是 Lazarus兩種新型 RAT 中的第一種。它使用 Telegram API 進行命令和控制 (C2) 通信，包括從受攻擊的電腦接收命令和竊取檔案。

NineRAT 包含一個釋放器，它還負責建立持久性並啟動主要的二進位檔案。

該惡意軟體支援以下命令，這些命令透過 Telegram 接受：

info – 收集有關受感染系統的初步資訊。

setmtoken – 設定令牌值。

setbtoken – 設定新的機器人令牌。

setinterval – 設定惡意軟體輪詢 Telegram 頻道之間的時間間隔。

setsleep – 設定惡意軟體應休眠/休眠的時間段。

升級 – 升級到新版本的植入程式。

exit – 退出惡意軟體的執行。

卸載 – 從端點卸載自身。

sendfile – 從受感染端點將檔案傳送到 C2 伺服器。

第二個惡意軟體DLRAT是一種木馬和下載程式，Lazarus 可利用它在受感染的系統上引入額外的酬載。DLRAT 是 Lazarus 趨勢的另一個迭代，它始於MagicRAT，使用奇異/不常見的語言和框架，以及模組化惡意軟體以避免檢測

DLRAT 在設備上的第一個活動是執行硬編碼命令來收集初步系統資訊，如作業系統詳細資訊、網路 MAC 位址等，並將其發送到 C2 伺服器。

攻擊者的伺服器回應受害者的外部 IP 位址和以下命令之一，以便惡意軟體在本地執行：

deleteme – 使用 BAT 檔案從系統中刪除惡意軟體

下載 – 從指定的遠端位置下載檔案

重新命名 – 重新命名受感染系統上的檔案

iamsleep – 指示惡意軟體在設定的時間內進入休眠狀態

上傳-上傳檔案到C2伺服器

showurls – 尚未實施

最後，思科分析師發現了BottomLoader，這是一種惡意軟體下載程式，它使用PowerShell 從硬編碼URL 獲取並執行有效酬載，同時也透過修改啟動目錄來建立持久性。此外，BottomLoader 還為 Lazarus 提供了將檔案從受感染系統洩漏到 C2 伺服器的能力，從而提供了一定的操作多功能性。

Log4Shell 攻擊

Cisco Talos 觀察到的攻擊涉及利用Log4Shell，這是Log4j 中的關鍵遠端程式碼執行漏洞，大約在兩年前被發現並修復仍然是一個安全問題.

這些目標是面向公眾的VMWare Horizon伺服器，該伺服器使用易受攻擊的Log4j日誌庫版本，允許攻擊者執行遠端程式碼。

入侵後，Lazarus 設定了一個代理工具，用於在受攻擊的伺服器上進行持久訪問，運行偵察命令，創建新的管理員帳戶，並部署 ProcDump 和 MimiKatz 等憑證竊取工具。

在攻擊的第二階段，Lazarus 在系統上部署 NineRAT，該系統支援廣泛的命令。

Photo Credit: Operation Blacksmith attack chain (Cisco Talos)

思科的結論是，Lazarus 可能會向其旗下的其他 APT（進階持續性威脅）組織提供 NineRAT 收集的資料。

這個假設基於以下事實：NineRAT 執行系統re-fingerprinting，在某些情況下，這意味著它可能正在為多個參與者執行系統識別和資料收集。

Operation Blacksmith的部分入侵指標(Indicator of compromise -IOCs):

9b020978a1ddab1e949a631c4863e4a9d4328149

7f32ca98ce66a057ae226ec78638db95feebc59295d3afffdbf407df12b5bc79

a48abe2847e891cfd6c18c7cdaaa8e983051bc2f7a0bd9ef5c515a72954e1715

0d133dde99d883274bf5644bd9e59af3c54c2b3c65f3d1bc762f2d3725f80582

4f01ffe98009a8090ea8a086d21c62c24219b21938ea3ec7da8072f8c4dcc7a6

汽車製造商日產Nissan揭露澳洲、紐西蘭資料外洩的事故

Posted on 2023 年 12 月 8 日2023 年 12 月 8 日 by blogadmin

目前正在進行調查中以確認資料外洩的程度

12月7日(週四)日本汽車製造巨頭日產正在調查可能的資料外洩事件，並警告客戶警惕潛在的詐騙電子郵件和傳播惡意軟體的訊息。日產大洋洲(Nissan Oceania)在其公司網站主頁上發布了一份聲明，揭露了一次影響其內部系統的網路攻擊，即其在澳洲和紐西蘭的業務受到網路攻擊事件。Nissan Oceania負責上述國家的分銷、行銷、銷售和服務。

根據通知，有關該事件的詳細資訊很少，但該公司已啟動其全球事件回應團隊來解決該問題，日產正在與其全球事回件應團隊和相關利益相關者合作，調查事件的嚴重程度以確定日產資料外洩的程度以及是否有任何個人資訊受到存取。

該公司採取了積極主動的方式，向澳洲網路安全中心和紐西蘭國家網路安全中心通報了資料外洩事件，顯示了在解決潛在網路安全威脅方面對透明度和合作的承諾。在調查仍在進行的同時，日產敦促其客戶對其帳戶保持警惕。建議客戶留意任何異常或詐騙活動，並及時報告任何問題，該公司致力於讓客戶了解情況。

日產也指出，雖然其經銷商系統受到該事件的影響，但當地經銷商仍繼續運營，因此建議客戶直接聯繫當地日產經銷商以獲得協助。

日產還表示，它一直在努力恢復受該事件影響的系統，這表明勒索軟體攻擊可能迫使其關閉系統。關閉系統或斷開系統與網路的連接是對勒索軟體感染的典型回應，因為它有助於遏制攻擊並可能阻止廣泛的檔案加密，然而該公司沒有公開攻擊的類型或背後威脅者的身份。另外日產也計劃透過其網站 nissan.com.au 和 nissan.co.nz 提供有關事件的更新。在這之前，2023 年 1 月，日產北美公司通知客戶，一家第三方服務提供商發生資料外洩事件，該事件洩露了客戶資訊，影響了該公司近 18,000 名客戶。

竣盟科技已經檢查了幾個主要勒索軟體組織的揭秘網站，但目前沒有一個組織聲稱攻擊了Nissan Oceania。

過去曾遭勒索攻擊的汽車業者有:

2021年2月，起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月，本田汽車網路疑遭勒索軟體Snake攻擊，部份產線停工

2019年2月，豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月，汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

又傳台灣上市企業遭LockBit攻擊自動化設備大廠疑遭殃

Posted on 2023 年 12 月 6 日 by blogadmin

某台灣著名的智慧自動化設備大廠，據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日，操作LockBit勒索軟體的背後駭客在其揭秘網站上，發布了對有關自動化設備大廠網路攻擊的訊息，目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節，然而卻發出最後通牒，威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行，沒有明顯的網路攻擊跡象，攻擊是否針對的是該公司的資料庫，暫仍不得而知。

LockBit 勒索軟體組織是誰？

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織，因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據，除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明，LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體，佔44 %全球勒索軟體事件。光是在美國，2020 年 1 月至 2023 年 5 月期間，LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊，累積了高達 9,100 萬美元的贖金。值得注意的是，該組織仍然出於經濟動機，沒有正式歸屬於任何特定的國家，但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」（一種自動提取資料的惡意軟體工具）而引起關注。該工具與更版的LockBit 2.0 一起發布，具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外，LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍，目標是Linux主機，特別是 ESXi 伺服器。2022 年 6 月，LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號，推出3.0新版。

2023 年 11 月，美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966，CVSS風險評分為9.4）的零時差漏洞)，作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業，包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據，美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司，盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵，被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日， Desorden Group駭入宏碁台灣的系統，盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵，約1300萬美元

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 www.billows.tech , 以免觸法”

談判破裂美國醫療保健服務業者Henry Schein漢瑞祥兩度遭BlackCat勒索軟體攻擊

Posted on 2023 年 12 月 1 日2023 年 12 月 1 日 by blogadmin

#不到兩個月內遭受了兩次重大勒索軟體攻擊

美國醫療保健巨頭 Henry Schein漢瑞祥面臨自 10 月以來的第二次重大網路攻擊，勒索軟體組織 BlackCat聲稱對攻擊負責。根據BleepingComputer的報道，10 月 15 日，BlackCat（又名Alphv）首次宣布瞄準漢瑞祥。該勒索軟體組織表示，已準備好與這家醫療保健巨頭就被盜數據進行談判。據稱，漢瑞祥拒絕談判，並於 11 月 22 日再次成為攻擊目標。根據漢瑞祥的聲明，先前披露的網路事件的攻擊者已聲稱對此事負責。此外，11 月的勒索軟體攻擊迫使該公司關閉其電子商務平台和部分應用程式。「某些漢瑞祥的應用程式，包括其電子商務平台，目前無法使用。該公司繼續使用其他方式接受訂單並繼續向客戶發貨，」該公司在公告中表示。

在向客戶保證已找出問題原因的同時，漢瑞祥的電子商務平台已為美國客戶恢復。該公司還致力於為加拿大和歐洲的用戶恢復該平台。報道指出，該公司正在透過其他管道接收訂單。Henry Schein 目前在32個國家開展業務，年收入估計為 120 億美元。

然而BlackCat表示，它已從漢瑞祥竊取了35TB 數據，其中部分數據將每天發布。這對漢瑞祥的客戶來說無疑是個壞消息。BlackCat也在聲明中指出，儘管與漢瑞祥進行了談判，「我們還沒有收到任何跡象表明他們願意優先考慮客戶、合作夥伴和員工的安全，更不用說保護自己的網路了。」攻擊者添加了漢瑞祥內部薪資數據的部分內容，還聲稱每天將發布更多數據。

BlackCat 勒索軟體集團於 2021 年 11 月出現，據信是臭名昭著的 DarkSide/BlackMatter 勒索軟體組織的更名。2021 年5 月，該DarkSide以Colonial Pipeline為目標，導致整個美國東海岸的燃料供應中斷，後Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金，引起了全球關注。

汽車零部件大廠延鋒Yan Feng遭麒麟勒索軟體入侵克萊斯勒、道奇、吉普等汽車工廠遭影響生產線暫停

Posted on 2023 年 11 月 29 日2023 年 11 月 29 日 by blogadmin

中國汽車零部件供應商延鋒(Yan Feng)向通用汽車、大眾集團、福特、Stellantis（Fiat、克萊斯勒、吉普、道奇）、寶馬、戴姆勒、豐田、本田、日產和上汽集團銷售內裝零件，該公司是這些汽車製造商供應鏈的重要組成部分，在全球 240 個地點擁有超過 57,000 名員工。根據資安網站Cybernews麒麟(Qilin)勒索軟體組織聲稱對延鋒的網路攻擊負責。對這家中國供應商的攻擊對北美汽車製造供應鏈產生了連鎖反應，導致多家美國工廠中斷，其中包括全球汽車製造商 Stellantis 營運的工廠。

本月早些時候，有報導稱對延鋒網路攻擊的直接影響到Stellantis，迫使該汽車公司停止其北美工廠的生產。Cybernews 聯繫了延鋒，該公司沒有回應，也沒有就攻擊發表公開聲明。然而延鋒網站癱瘓了一個多星期，直到昨天它的主要網站才重新上線，但沒有任何有關斷網的聲明。另外吉普車主也報告說，客戶服務熱線癱瘓了好幾天。

Stellantis （原菲亞特克萊斯勒，2023 年與法國 PSA 集團合併）在美國擁有 22 家製造工廠，加拿大有 6 家，墨西哥有 7 家。

11 月 15 日，根據Stellantis的發言人，「由於外部供應商的問題，Stellantis 的一些北美組裝工廠的生產受到干擾。我們正在監控情況並與供應商合作，以減輕對我們營運的進一步影響。」

據威脅研究專家Kevin Beaumont指出，這次攻擊是駭客利用了名為Citrix Bleed（CVE-2023-4966，CVSS風險評分為9.4）的零時差漏洞。

Just to follow this up

Factory production of Chrysler, Dodge, Jeep etc is still paused in North America due to the hack of Yanfeng. Yanfeng’s website is still offline. Additionally Jeep has no phone system.

It’s ransomware, entry was via CitrixBleed. https://t.co/GJrm2IG4cJ
— Kevin Beaumont (@GossiTheDog) November 23, 2023

根據美國網路安全和基礎設施安全局(CISA) ，駭客利用Citrix Bleed漏洞入侵網路環境，可以繞過密碼和多因素身份驗證(MFA) 請求，從而成功劫持Citrix NetScaler Web 應用程式交付控制(ADC) 和網關設備上的合法用戶會話，一旦進入目標網路，駭客就會利用各種遠端和網路監控工具來獲得進一步的存取權並找到將使用勒索軟體加密的最終伺服器。

麒麟（又名 Agenda）於 11 月 27 日(星期一)在其揭秘網站上發布了延鋒頁面，並附上了23 張盜竊數據的截圖。麒麟稱，截圖證實我們擁有大量敏感資料，並將在未來幾天內發布這些資料。

另外Group-IB在上週發布其在3月秘密調查的報告，揭露了麒麟勒索軟體集團的內部運作。該組織於 2022 年首次被發現，經常使用網路釣魚電子郵件來瞄準受害者。Group-IB 研究人員被認為與俄羅斯有聯繫，他們發現了該集團的會員是如何佈局的。

「對於總額為 300 萬美元或以下的勒索金額，會員可以獲得 80% 付款項。對於超過 300 萬美元，他們則可以獲得 85%，」Group-IB 表示。

根據威脅情報公司 Cyble 發布的 2023 年第二季勒索軟體報告，2023 年上半年針對全球製造業的勒索軟體攻擊激增了 130%。

此次之前，2022年10月，麒麟勒索軟體曾入侵某台灣製藥大廠:

新加坡電信Singtel旗下第二家澳洲子公司發生資安事件，疑出自麒麟(Qilin)駭客組織之毒手；同時麒麟的揭秘網站上也驚見台灣受害企業

北韓駭客Diamond Sleet針對台灣訊連科技(CyberLink)用戶發動供應鏈攻擊

Posted on 2023 年 11 月 24 日 by blogadmin

在不斷發展的網路安全領域，出現了由北韓國家級駭客精心策劃的複雜供應鏈攻擊，他們將惡意檔案植入到合法的照片和影片編輯應用程式安裝檔案中。這次巧妙的攻擊涉及篡改合法的訊連科技應用程式，部署隱藏第二階段有效負載的惡意變體。11月23日，微軟透露，名為Diamond Sleet(又稱 Lazarus、Hidden Cobra)的北韓駭客入侵了台灣軟體開發商訊連科技，並對其一款合法應用程式進行木馬化，該應用程式被用作分發惡意軟體的管道。受感染的安裝程式雖然看起來合法並使用有效的訊連的憑證簽章，但隱藏了旨在下載和執行輔助負載的惡意程式碼。

該惡意軟體被稱為 LambLoad，既充當下載程式又充當載入程式。載入程式檢查以下進程名稱：

csfalconservice.exe （CrowdStrike Falcon）

xagt.exe （FireEye 代理程式）

taniumclient.exe （Tanium EDR 解決方案）

該惡意軟體經過編程，可在啟動任何惡意活動之前檢查系統的日期和時間，確保其在預先配置的執行期內運行。LambLoad 的目標是沒有FireEye、CrowdStrike和Tanium等公司安全軟體的企業環境。如果偵測到這些廠牌的端點防護系統，該惡意軟體就會中止其惡意操作，並允許合法的訊連科技軟體暢通無阻地運作。如果不存在端點防護，則從受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載，該有效酬載在記憶體中可以被提取、解密和啟動，並將從C2接收駭客的命令。

研究人員發現，自10 月20 日首次觀察到該惡意安裝程式以來，包括日本、台灣、加拿大和美國在內的多個國家/地區的100 多台設備已受到該惡意安裝程式的影響。儘管研究人員迄今尚未確認任何入侵後的目的，但資料外洩的可能性、進一步向供應鏈下游移動以及對受害者環境的持續存取仍然是一個重大問題。

微軟高度確信這次攻擊是由北韓Diamond Sleet 發起的，該組織以針對全球媒體、國防和資訊科技產業而聞名。據微軟稱，Diamond Sleet 的活動包括間諜活動、資料竊取、經濟利益和破壞企業網路。自從發現該攻擊以來，Microsoft 已通知訊連科技和 Microsoft Defender 受活動影響的 Endpoint 客戶。這次攻擊也報告給了 GitHub，後者刪除了第二階段的有效酬載。

訊連科技是一家台灣軟體公司，以開發多媒體軟體（包括 PowerDVD）以及人工智慧臉部辨識技術而聞名。訊連科技擁有 200 多項專利技術並在全球銷售了超過 4 億個應用程式。

對於研究人員的發現，11月23 日下午，訊連科技發佈公告指出，在其產品「Promeo」的安裝程式中發現惡意軟體，已經移除問題，他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品，確認其他產品不受此攻擊行動影響。

LambLoad的部分入侵指標(Indicator of compromise -IOCs):

166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8be

089573b3a1167f387dcdad5e014a5132e998b2c89bff29bcf8b06dd497d4e63d

915c2495e03ff7408f11a2a197f23344004c533ff87db4b807cc937f80c217a1

hxxps[:]//update.cyberlink[.]com/Retail/Promeo/RDZCMSFY1ELY/CyberLink_Pr omeo_Downloader.exe

hxxps[:]//update.cyberlink[.]com/Retail/Patch/Promeo/DL/RDZCMSFY1ELY/Cyb erLink_Promeo_Downloader.exe

加拿大政府因其外包商遭到駭客攻擊證實資料外洩

Posted on 2023 年 11 月 21 日2023 年 11 月 21 日 by blogadmin

屬於數量不詳的加拿大政府僱員的敏感資料因針對兩家政府外包商的網路攻擊而被外洩，據了解，入侵行為發生在上個月，為加拿大政府員工提供搬遷服務的供應商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services(SIRVA)成為網路攻擊的受害者。負責所有加拿大聯邦僱員的財政部在周五的聲明中披露了這一消息，聲明稱，加拿大政府正在分析「大量」數據，但初步調查顯示，洩露的資訊可能屬於早在 1999 年就使用過搬遷服務的任何人，當中包括加拿大武裝部隊成員、現任和前任聯邦員工以及加拿大皇家騎警人員的資料。

BGRS 為公家機關和私人企業提供搬遷服務，為調到新職位的員工提供協助。SIRVA Canada 系統處理實際的搬家服務。據 BGRS 網站稱，該機構每年監管超過 20,000 起搬遷案件。超過 8,000 家供應商支援其搬遷方案。兩家公司關係密切。去年，SIRVA Canada 的美國母公司 SIRVA Inc. 和 BGRS共同建立了一家新公司，名為 SIRVA BGRS Worldwide。

10月20日，CBC新聞報導稱，國防部已向員工發出內部說明，警告BGRS遭受了一起資安事件，該說明是在一些軍人發現BGRS線上入口網站不能使用。國防部的那份說明也被公開，稱9月29日，政府被告知發生了一起“事件”，但到10月19日，確認未經授權存取了BGRS持有的資訊。聲明稱，這些數據由 BGRS 和 SIRVA的IT 系統持有。

雖然加拿大政府尚未確定該事件的來源，但 LockBit 勒索軟體已聲稱對破壞 SIRVA 系統負責，並洩露了他們聲稱包含 1.5TB 盜竊資料的檔案。LockBit 也公開了與所謂的 SIRVA 代表談判失敗的內容。據LockBit稱，他們已洩露超過1.5TB 的資料，當中包括3 個SIRVA分公司（歐盟、北美和澳洲）的3 個CRM 完整備份。10 月 19 日，加拿大政府獲悉承包商的資安事故後，政府立即向加拿大網路安全中心和隱私專員辦公室等相關當局報告了該漏洞。

為了應對資安事故，加拿大政府正在採取積極主動的預防措施，上週五發表的一份聲明稱，加拿大政府不會靜待調查的結果，而是採取積極主動的預防措施來支持那些可能受到影響的人。政府為過去 24 年來隨 BGRS 或 SIRVA Canada 調動的現任和前任公務員、加拿大皇家騎警和加拿大武裝部隊成員提供信用監控或重新簽發有效護照。

以下是政府向可能受影響的個人提供的建議：

*更新可能與 BGRS 或 SIRVA Canada 使用的登入憑證類似的登入憑證

*對用於線上交易的帳戶啟用多重身份驗證

*監控財務和個人線上帳戶是否有任何異常活動

LockBit的部分入侵指標(Indicator of compromise -IOCs):

fb49b940570cfd241dea27ae768ac420e863d9f26c5d64f0d10aea4dd0bf0ce3

b3ea0f4f442da3106c0d4f97cf20e244b84d719232ca90b3b7fc6e59e37e1ca1

45c317200e27e5c5692c59d06768ca2e7eeb446d6d495084f414d0f261f75315

27b8ee04d9d59da8e07203c0ab1fc671215fb14edb35cb2e3122c1c0df83bff8

竣盟科技建議針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

Zimbra 電子郵件軟體中的零日漏洞已發現至少被四個駭客組織鎖定！

Posted on 2023 年 11 月 17 日 by blogadmin

Zimbra Collaboration電子郵件軟體中的零日漏洞被四個不同的駭客組織所利用，竊取大量使用者的電子郵件資料、使用者憑證和身分驗證權杖。

Zimbra Collaboration是一個全功能的協作平台，主要提供電子郵件、行事曆、任務管理、聯絡人管理等協作工具。這個平台的特點在於其開放原始碼的性質，讓使用者可以自由地搭建和管理自己的郵件和協作伺服器。

谷歌威脅分析小組（TAG）在一份報告中表示：“大部分活動都是在 GitHub 上公開最初的修復之後發生的。”

該漏洞被紀錄為CVE-2023-37580（CVSS 評分：6.1），是一個跨站腳本攻擊（XSS）漏洞，影響更新包41、 8.8.15之前的版本。Zimbra在 7 月 25 日發布的更新解決了這個問題。

透過該漏洞，攻擊者只需誘騙受害者點擊特製的 URL，即可在受害者的網路瀏覽器上執行惡意腳本。Google TAG 表示，從 2023 年 6 月 29 日開始，即發現了多個攻擊活動，至少比 Zimbra 發佈更新建議還提早了兩週。四個攻擊活動中的三個是在更新發布之前觀察到的，第四個活動是在發布一個月後發現的。

據稱，第一個活動以希臘的一個政府組織為目標，向其目標發送包含惡意連結的電子郵件，當用戶點擊這些URL 時，就會被安裝名為 EmailThief 的電子郵件竊取惡意軟體。

利用 CVE-2023-37580 的第二個威脅攻擊者是 Winter Vivern，該漏洞的修補程式於 7 月 5 日推送到 GitHub 後不久，Winter Vivern就馬上針對摩爾多瓦和突尼西亞的政府組織展開攻擊。

TAG 也發現到，在 7 月 25 日更新發布之前，有第三個身份不明的組織將該漏洞武器化，以竊取越南某政府組織的憑證。而巴基斯坦的一個政府組織於 8 月 25 日也遭到攻擊，導致 Zimbra 身份驗證權杖外洩。

TAG 進一步指出，威脅攻擊者經常利用郵件伺服器中的 XSS 漏洞，因此需要對此類應用程式進行徹底驗證。並表示，該漏洞首次公開後即發現至少四個利用 CVE-2023-37580 的活動，這表示組織需要盡快對其郵件伺服器進行修復的急切性。

部分入侵指標(Indicator of compromise -IOCs):

domain ntcpk.org

URL https://obsorth.opwtjnpoc.ml/pQyMSCXWyBWJpIos.js

URL https://applicationdevsoc.com/zimbraMalwareDefender/zimbraDefender.js

URL https://applicationdevsoc.com/tndgt/auth.js

Hunters International入侵台灣傳出上市生醫遭殃

Posted on 2023 年 11 月 15 日2023 年 11 月 15 日 by blogadmin

於 2023 年第三季才出現，名為Hunters International的新勒索軟體團隊已獲取了Hive勒索軟體（已遭美國FBI瓦解）的原始碼和基礎設施，並發起了屬於Hunters International的攻擊，最近(11月14日) 竣盟科技發現Hunters International的揭秘網站聲稱攻擊了台灣某大上市生醫集團，將其列入受害者名單，Hunter International稱已盜取約236GB的資料，約超過十萬個檔案，據稱當中檔案的範圍包含客戶投訴數據-資料庫備份檔（HR相關、CRM相關和其他）-財務數據（付款、報告、審計等）-營業單位數據（訂單，產品配方，實驗室測試，包裝等） – 美國子公司數據（網路設置、稽核、供應商、員工數據等）-客戶數據（訂單、混合配方、產品處方、實驗室測試、郵件等。

根據Bitdefender技術解決方案總監 Martin Zugec 在一份報告中表示：“ Hive 團隊的領導層已做出停止運營並將剩餘資產轉移給另一個團隊 Hunters International 的戰略決策。 ”為了保持連續性並避免執法調查，勒索軟體背後的駭客者經常進行品牌重塑、重組或重新定位其業務等變化。這項轉變非常重要，因為不僅是操作知識，連原始碼也被轉移，這毫無疑問為 Hunters International提供了一套完全開發的工具來啟動其惡意操作。上個月下旬，資安研究員@rivitna2率先偵測到 Hunters International 和 Hive 勒索軟體樣本之間的程式碼相似性。另一個資安研究員@BushidoToken還發現了多個程式碼重疊和相似之處，報告兩組碼程式碼之間至少有 60% 的匹配度。資安全產業最初的共識是 Hunters International 是 Hive 的更名版本，這是網路犯罪分子在重大破壞後經常觀察到的做法。

然而，Hunters International在一份不同尋常的聲明中回應了這些猜測，這是該組織迄今為止唯一的聲明。他們宣稱，他們不是 Hive 的更名版本，而是一個獨立的勒索軟體組織，只是從 Hive 獲取了原始碼和基礎設施。

Hunters International的聲明 Photo Credit: Bitdefender

值得指出的是Hunters International與其他勒索軟體組織的區別在於，即其主要重點是資料外洩。這個新組織的勒索軟體攻擊不僅涉及勒索，還涉及提取有價值的資訊。有趣的是，儘管所有受害者的資料都被盜取，迄今為止，資料從未被加密。程式碼分析也顯示 Hunters International 的開發人員簡化了程式碼。Hunters International 試圖透過減少命令列參數、更簡潔的惡意軟體和簡化的加密金鑰儲存方法來簡化其攻擊。不相關的檔案名稱、檔案副檔名或目錄不會被加密，該勒索軟體還專門攻擊備份和復原功能。目標是停用備份並停止復原。這種對勒索軟體概念的全新詮釋將Hunters International繪成一個更像敲詐勒索的組織。

Hunters International的部分入侵指標(Indicator of compromise -IOCs):

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

竣盟科技建議針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

開發人員請注意！PYPI中發現多個包含BlazeStealer惡意軟體的套件

Posted on 2023 年 11 月 10 日 by blogadmin

Photo credit: Checkmarx

根據Checkmarx 的報告一組新的惡意 Python 套件已進入 Python 套件儲存庫 (PyPI) ，其目的是從受感染的開發人員系統中竊取敏感資訊，這些軟體包偽裝成看似無害的混淆工具，但卻隱藏著名為BlazeStealer的惡意軟體。

此事件於 2023 年 1 月開始，總共涉及 8 個套件，名為 Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvance、Pyobfuse 和 pyobfgood，最後一個套件於 10 月發布。

這些模組附帶 setup.py 和 init.py 文件，旨在檢索 Transfer[.]sh 上託管的 Python 腳本，該腳本在安裝後立即執行。

該惡意軟體名為BlazeStealer，能使攻擊者能夠獲取大量資訊，包括來自Web 瀏覽器的密碼、執行任意命令、加密文件以及停用受感染主機上的Microsoft Defender 防毒軟體。

同時它會透過提高 CPU 使用率、在啟動目錄中插入 Windows 批次腳本來關閉電腦，甚至強制出現藍屏死機 (BSoD) 錯誤，從而導致使電腦無法使用。

與這些套件相關的下載多是在美國，其次是中國、俄羅斯、愛爾蘭、香港、克羅埃西亞、法國和西班牙。在被刪除之前，它們總共被下載了 2,438 次。

近年來，開源儲存庫已成為威脅行為者傳播惡意軟體的溫床。根據 Phylum 2023 年第三季軟體供應鏈安全演進報告，多個生態系統中總計 13,708 個套件被發現在安裝過程中執行可疑程式碼，有 1,481 個軟體包從遠端來源秘密下載並執行代碼，10,201 個套件引用了已知的惡意 URL。

開源領域是未來創新與進步的沃土，但開發者仍需要謹慎並保持警惕，並對不熟悉的套件進行檢查，確保其安全無虞。