路透社今報導Microsoft同樣遭使用SolarWinds作為攻擊的俄羅斯駭客入侵,微軟證實受到供應鏈攻擊,但否認駭客轉向生產系統並濫用其軟體來攻擊客戶。

Posted on by blogadmin

微軟已經證實他們在最近的SolarWinds供應鏈中遭到駭客攻擊,但否認他們的軟體在供應鏈攻擊中受到感染,從而感染了客戶。

在過去一週發現俄羅斯政府資助的駭客入侵了 SolarWinds,並使用其自動更新機制向客戶分發了惡意後門。該惡意軟體是一個名為Solarigate(Microsoft命名)或Sunburst(FireEye命名)的後門程式,更新到大約18,000個客戶的基礎架構中,包括美國財政部,美國NTIA和美國國土安全部等等同為受害者。

路透社在不久前於今天12月18日發布了一份報導,消息來源指出,微軟不僅在SolarWinds供應鏈攻擊受到入侵,同時也有軟體被修改為惡意檔案分發到客戶端。

微軟公司通信部副總Frank Shaw在推文中表示,”我們一直在積極尋找該攻擊者的入侵指標,可以確認的是我們在環境中檢測到到惡意的SolarWinds binary檔,並對其進行了隔離和刪除,我們未找到存取我們生產系統服務或客戶數據的證據。我們正在進行的調查也完全沒有發現我們的系統曾被用來攻擊他人的跡象。”

隨著Microsoft 證實受駭,成為另一了備受矚目的實體,實際上受害者中絕大多數是美國政府機構,例如:

美國財政部

美國商務部國家電信和信息管理局(NTIA)

衛生署國立衛生研究院(NIH)

網路安全和基礎設施局(CISA)

國土安全部(DHS)

美國國務院

國家核安全局(NNSA)(今天也已披露)

美國能源部(DOE)(今天也披露)

美國的三個州(今天也已披露)

奧斯丁市(今天也公開)

有關SolarWinds供應鏈的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

*****竣盟科技快報歡迎轉載,但請註明出處

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

另有關SolarWinds供應鏈的報導:

Microsoft(微軟) 宣布將隔離與APT駭客入侵相關的SolarWinds應用!!!
FireEye 攻擊事件後續追蹤, 證實為 SolarWinds 的供應鏈攻擊事件.
全球最大的資安公司之一FireEye披露內部資安事件,被APT駭客入侵,紅隊工具被偷取

#情資才是王道

Microsoft(微軟) 宣布將隔離與APT駭客入侵相關的SolarWinds應用!!!

Posted on by blogadmin

Microsoft今天宣布計劃開始強行阻止和隔離已知含Solorigate(SUNBURST)惡意軟體的SolarWinds Orion應用程式版本。

微軟的決定與上週末曝光的大規模供應鏈攻擊有關,該攻擊影響了IT軟體供應商SolarWinds。上週日一些新聞媒體報導說,與俄羅斯政府有聯繫的國家APT駭客入侵了SolarWinds,並在網路監視和庫存平台Orion的更新中插入了惡意軟體。通過SolarWinds的自動更新機制將惡意binary檔分發給大約18,000個客戶,其中包括許多美國政府機構。威脅參與者使用這些惡意binaries檔安裝了稱為Solorigate(Microsoft)或SUNBURST(FireEye)的後門

新聞報導發布後不久, SolarWinds確認 在2020年3月至2020年6月之間發布的Orion應用程式2019.4至2020.2.1版本已被惡意軟體篡改。

根據公司的正式聲明,Microsoft是最早確認SolarWinds事件的網路安全供應商之一。在同一天,該公司為SolarWinds Orion應用程式中包含的Solorigate惡意軟體添加了檢測規則 。

儘管Microsoft已經在檢測並隔離後門程式,但他們尚未隔離受感染的SolarWinds的binary檔,因為它可能會影響客戶使用的基本網路管理操作。

由於該木馬軟體帶來的威脅,Microsoft已宣布,從明天(太平洋標準時間)12月16日上午8:00開始,Microsoft Defender將開始隔離受損的SolarWinds的 binary檔。

Microsoft Defender將受感染的SolarWinds的 binary檔檢測為“ Trojan:MSIL / Solorigate.BR!dha”。

Microsoft還建議將所有運行SolarWinds軟體的

伺服器與其他環境隔離開來,並在重新使用之前徹底調查惡意軟體。

建議執行以下步驟:

*立即隔離受影響的設備。如果啟動了惡意程式,則設備很可能受到攻擊者的完全控制。

*確定受影響的設備上已使用的帳戶,並認為這些帳戶已被盜用。重置密碼或停用帳戶。

*調查受影響的端點可能是如何受到威脅的。

*使用受損帳戶之一調查設備時間軸以指示橫向運動活動。檢查攻擊者可能已放棄使用其他工具來啟用憑據訪問,橫向移動和其他攻擊活動。

有關SolarWinds供應鏈的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

*****竣盟科技快報歡迎轉載,但請註明出處

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

#情資才是王道

FireEye 攻擊事件後續追蹤, 證實為 SolarWinds 的供應鏈攻擊事件.

Posted on by blogadmin

美國資安大廠FireEye被駭後,現如雪球般愈滾越大,發現SolarWinds的Orion監控平台被攻擊者篡改,已知的受害者包括美國財政部,電信資訊署(NTIA)和FireEye本身。攻擊者利用SolarWinds供應鏈部署了SUNBURST後門攻擊全球多個目標!!!

美國安全公司FireEye今天(美國時間12月13日)表示,證實了先前的懷疑,在SolarWinds Orion發現了一個供應鏈攻擊,國家級駭客組織已將Orion的商業軟體更新並木馬化,以進行分發惡意軟體並感染多個美國公司和政府網路。FireEye 的報告是在路透社,華盛頓郵報和華爾街日報於週日報導美國財政部和美國商務部電信資訊署(NTIA)遭到入侵之後發布的。

一張含有 文字 的圖片 自動產生的描述

聯邦機構受害者使用的IT公司SolarWinds說,“一個國家級駭客組織對美國進行了高度複雜,有針對性的手動供應鏈攻擊”攻擊了今年早些時候其Orion IT監控平台發布的軟體更新。另FireEye說 ,SolarWinds供應鏈的攻擊也是駭客入侵FireEye的路徑。

SolarWinds總裁兼首席執行長Kevin Thompson的一份聲明說,該公司“意識到潛在的漏洞,目前認為該漏洞與2020年3月至2020年6月之間發布的Orion監控產品更新有關。”

路透社報導說,這一事件被認為非常嚴重,以至於美國國家安全委員會在星期六在白宮舉行罕見的會議。據路透社報導,美國政府機構,包括財政部和商務部,受到此嚴重的攻擊,以至於國家安全委員會在周六開會討論該事件。

華盛頓郵報還說,國家級駭客對SolarWinds產品的攻擊是由俄羅斯駭客組織APT29,又名舒適熊(Cozy Bear)犯下的。美國政府官員已承認這些攻擊事件,但未提供更多細節。

FireEye表示,它“已在全球多個實體中檢測到此活動”。受害者包括北美,歐洲,亞洲和中東的政府,諮詢,技術,電信等等實體。我們預計其他國家和地區還會有其他受害者。”

FireEye將這種惡意軟體命名為SUNBURST,並於今天早些時候發布了技術報告以及 GitHub上的檢測規則和反制措施

微軟將其命名為Solorigate惡意軟體, 並為其Defender防病毒軟體增加了檢測規則。

利用SolarWinds供應鏈和SUNWINRST後門來攻擊多個全球目標的有關情資: 
https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

全球最大的資安公司之一FireEye披露內部資安事件,被APT駭客入侵,紅隊工具被偷取

Posted on by blogadmin

FireEye是許多美國聯邦機構和州選擇的資安公司,並與FBI和美國國家安全局合作,在今天資安公司FireEye首席執行長Kevin Mandia表示其內部系統被一個擁有頂級進攻能力的威脅參與者針對性的攻擊。攻擊者鎖定了目標並竊取了FireEye用於測試其客戶網路的紅隊工具,並且有可能針對同一位客戶或其他客戶,在尋求與某些政府客戶有關的資料。

在FireEye攻擊中,駭客竭盡全力避免被人看見,建立了數千個IP address(其中許多在美國),以前從未在攻擊中使用過。利用這些IP address進行攻擊,可以使駭客更好地隱藏其下落。由於這種攻擊的複雜性,FireEye表示該攻擊“與多年來我們應對的數以萬計的事件有所不同” 。“

Mandia補充說:“攻擊者量身定制專門針對FireEye的攻擊,他們似乎在操作安全方面接受了嚴格的培訓,並表現出紀律與專心。他們秘密採取行動,使用應對資安工具和鑑識檢查的方法。他們使用了我們或我們的合作夥伴過去從未見過的新穎技術組合。”

FireEye沒有透露它認為哪個國家APT駭客攻擊了他們,但是《華盛頓郵報》 和《華爾街日報》 報導說,聯邦調查人員以不願透露姓名的消息來源為由認為是俄羅斯。

根據FireEye的說法,入侵者偷走了紅隊工具,並向FireEye的政府客戶(有很多)尋求資料。該公司表示,已發布了的IOC並還制定了對策,可以檢測或阻止被盜的Red Team工具的使用,這些對策也可以在GitHub上獲得,以防攻擊者決定重用它們。

關於FireEye紅隊工具對策的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fcfeee9a2d10a389ab72630

*****竣盟科技快報歡迎轉載,但請註明出處

#情資才是王道

國外資安媒體報導富士康遭駭,勒索金額又創新高,被DoppelPaymer勒索三千四百萬美元!!!

Posted on by blogadmin

在11月29日,感恩節週末,DoppelPaymer勒索軟體的背後駭客加密了富士康墨西哥工廠的系統(位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG MX設施)。該工廠於2005年開業,富士康將其用於向南美洲和北美洲的所有地區組裝和運輸電子設備,駭客聲稱在加密目標系統之前已經竊取了未加密的檔案。富士康在全球擁有80萬名員工,2019年的收入為1,720億美元。DoppelPaymer在其揭秘網站上聲稱:

-已加密約1,200台伺服器

-竊取了100 GB的未加密檔案

-刪除的20-30 TB備份

在DoppelPaymer的揭秘網站上已上載了部分富士康的數據,屬於富士康NA的檔案。

DoppelPaymer網站上富士康的頁面

DoppelPaymer對富士康的勒索信,勒索信說:“如果在3個工作日內沒有聯繫,則第一部分數據將被公開。” 鑑於最後期限是上週,富士康有可能已經聯繫了駭客。勒索信中包含一個指向DoppelPaymer Tor付款站,含富士康頁面的鏈接,DoppelPaymer索要1804.0955 BTC的贖金,按今天的比特幣價格計算,約為34,686,000美元。

資安媒體BleepingComputer報導了這次攻擊的消息並稱“洩漏的數據包括通用業務文檔和報告,但不包含任何財務資料或員工的個人詳細資料。” DoppelPaymer向媒體表示:“我們加密了北美廠區,並非整個Foxconn,大約是1200-1400台服務器,並且不只工作站,還有大約75TB的雜項備份,我們銷毀了大約20-30TB的數據。” 此次之前,DoppelPaymer也曾攻擊仁寶電腦

關於DoppelPaymer的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d9378b8f36a91c436c5f93c

https://otx.alienvault.com/pulse/5d2c622be8a567f673db85cd

*****竣盟科技快報歡迎轉載,但請註明出處

#情資才是王道

被形容為將是2021年最大威脅的勒索軟體Egregor又來了,加拿大的大溫哥華的公共交通系統TransLink遭到Egregor的攻擊導致服務和支付系統中斷!!!

Posted on by blogadmin

TransLink的CEO-Kevin Desmond在周四晚間的媒體發布中證實了這次的攻擊。Egregor勒索軟體的背後駭客聲稱他們已竊取了私人數據。這大有可能是Egregor首次攻進加拿大。

幾天來,TransLink的 IT系統一直出現問題,這已經影響了電話,線上服務以及不能使用信用卡/預付卡付款公交票價。

據當地媒體Global News獲得Egregor遠端控制印表機列印出給TransLink的勒索信,信中寫道:“您的網路已被攻擊,您的電腦和伺服器已被加密,您的私人數據已被下載….”

TransLink今天恢復了支付服務後,TransLink確認中斷是由勒索軟體攻擊引起的。Egregor是目前會遠端遙控受害企業的印表機, 並不斷印出勒索信的勒索軟體攻擊者。此次之前智利零售巨頭Cencosud也遭Egregor加密並被遠端控制在其下商店的印表機中不斷勒索信。

Translink不能使用電子支付(只接現金)的影片:

https://globalnews.ca/video/rd/f487672a-3502-11eb-be2d-0242ac110005/?jwsource=cl

關於Egregor的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載,但請註明出處

更新:Global News的記者Jordan Armstrong取得Egregor遠端控制印表機瘋狂列印給TransLink勒索信的影片:

https://twitter.com/i/status/1335007775437582336

研究人員發現了偽裝成合法工具的新型NPM惡意軟體包,安裝了njRAT遠端木馬程式能使駭客控制電腦

Posted on by blogadmin

JavaScript庫的NPM 儲存庫背後的安全團隊於本週一刪除了兩個NPM惡意軟體包,它們包含惡意程式碼,這些惡意程式在從事JavaScript項目的開發人員的電腦上安裝了遠端訪問木馬(RAT)。

這兩個軟體包的名稱分別為 jdb.js 和 db-json.js,它們都是由同一位作者建立的,並被描述為幫助開發人員處理通常由數據庫應用程式生成的JSON files的工具。

NPM上的JsonDB(db-json.js)軟體包

上週,這兩個軟體包都已上載到NPM儲存庫索引中,並在被Sonatype研究人員發現之前已下載了100多次。

該jdb.js軟體包,包括於執行被感染的機器和數據收集的基本偵察的腳本。該腳本嘗試下載並執行一個名為patch.exe的檔案,該檔案用於安裝 njRAT遠端木馬程式。

Sonatype的研究人員注意到,patch.exe加載程式還通過添加一條規則來修改本地Windows防火牆,該規則將其C2伺服器列入了白名單,然後再連接以下載最終的RAT。

第二個軟體jdb.js僅包含加載jdb.js的code。db-json.js軟體包加載了第一個軟體包, 以掩蓋其惡意行為。

安裝了上述軟體包之一的開發人員必須考慮其系統已完全受到威脅,建議立刻刪除。

在過去的一年中,找到安裝惡意軟體或執行惡意行為的NPM軟體包變得越來越普遍,開發人員必須密切注意其整合到項目中的軟體包,所幸的是NPM安全人員已刪除了兩個包含惡意程式碼的軟體包。

有關於新型NPM惡意軟體包的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc6ab6018f3df050d9019c6

*****竣盟科技快報歡迎轉載,但請註明出處

多間國外資安媒體爭相報導研華被Conti勒索軟體攻擊之事,被要脅750比特幣,約1300萬美元,並被公開部分數據,快來認識Conti!

Posted on by blogadmin
多間國外媒體報導研華科技

根據國外資安媒體報導,Conti勒索軟體的背後罪犯在2020年11月21日宣布,如果工業電腦大廠研華科技在第二天之內不支付贖金,則將洩露盜來的數據。在國外資安媒體看到的聊天記錄,Conti背後駭客設定750 比特幣為研華的贖金, 以用於完全解密數據並刪除盜來的數據, Conti的背後駭客還說,他們願意在支付贖金之前解密其中兩個加密檔案作為證據,以證明其解密工具是有效的。

在11月26日,Conti勒索軟體在其揭秘網站開始洩露研華的數據,該數據檔案的容量為3.03GB,佔竊取數據總量的2%,其中一個文本文檔,包含ZIP存檔中的文件列。

根據BleepingComputer,Conti勒索軟體的背後駭客還說,如果支付了贖金,他們將迅速刪除在其公司網路上部署的任何後門程式,刪除任何盜來的數據將,並將提供資安報告如何保護網路以防止之後再受駭 。

Conti被認為是Ryuk 勒索軟體的繼任者,於今年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案,讓防護系統來不及因應,附上我司於7月發佈有關Conti勒索軟體的介紹:

https://www.facebook.com/permalink.php?story_fbid=571099476886953&id=159047624758809

和8月發佈有關Conti勒索軟體架設了揭秘網站的介紹:

https://www.facebook.com/permalink.php?story_fbid=600010737329160&id=159047624758809

最後,有關 Conti 勒索軟體的入侵指標和最新情資,請參考 OTX 情資平台:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

*****竣盟科技快報歡迎轉載,但請註明出處

最值得您關注的勒索軟體Egregor,資安專家警告很可能成為各大公司的頭號威脅!

Posted on by blogadmin

資安專家警告說,一個新的勒索軟體組正在迅速升級威脅活動,到目前為止,第四季度已有數十名受害者受到勒索攻擊。

根據Digital Shadow,Egregor勒索軟體的背後網路罪犯最初是在10月份對Barnes&Noble以及視頻遊戲開發商Ubisoft和Crytek發起攻擊的。

實際上,該罪犯組織自9月以來就一直活躍,當時它使15名受害者受害。從9月25日(15個事件)到10月31日(51個事件),Egregor受害者增加了240%,到11月17日,該事件增加了43%,使事件總數達到71

Egregor的受害者按國家劃分

許多Egregor受害者來自工業品和服務業(38%),到目前為止,目前絕大多數(83%)都來自美國。

Digital Shadows稱,該惡意軟體本身為具有多種內置的反分析技巧,例如代碼混淆和打包payload。更具體地說,利用Windows的API 來加密payloads的數據。除非資安團隊可以提供正確command line的參數,否則無法解密數據,也無法分析惡意軟體。

“當提供正確的command line參數時,惡意軟體將通過注入iexplore.exe進程來執行,對所有文本文件和文檔進行加密並在加密文件的每個文件夾中放入勒索信,此過程包括遠端電腦和伺服器上的檔案,都是通過檢查LogMeIn事件日誌得來”

另外包括CybereasonSentinel One的報告都指出, Egregor除了使用滲透測試工具Cobalt Strike外,也同時利用RCLONE的Client端進行用戶數據滲透。

關於Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

*****竣盟科技快報歡迎轉載,但請註明出處

中國APT駭客組織TA416更新了工具,以Golang開發的PlugX惡意軟體載入器再度回歸

Posted on by blogadmin

Proofpoint的研究人員觀察到中國APT駭客組織TA416通過新的惡意軟體變種恢復了其惡意活動。該惡意活動的目標是在全球的外交使團收集數據和監視通信。

TA416,也稱為“Mustang Panda”和“RedDelta”,是中國國家級駭客組織,在針對性惡意的活動中使用其PlugX惡意軟體載入器。該組織因修改其工具庫以逃避檢測而使安全研究人員難以進行分析而聞名。

Proofpoint觀察到TA416發動了新的網路釣魚活動,該網路攻擊的對象是與梵蒂岡和中國共產黨(CCP)建交實體。TA416駭客組織同時還針對緬甸境內的實體以及在非洲努力進行外交的組織。攻擊者利用社交工程,引用了梵蒂岡與中國共產黨最近續簽的協議。研究人員還發現了欺騙性的電子郵件標頭,這些標頭看起來像是來自天主教亞洲新聞聯盟的記者所報導的。

更新後的PlugX惡意軟體的執行圖

PlugX惡意軟體

Proofpoint研究人員已經辨認了兩個RAR檔,可以用作為PlugX惡意軟體的droppers。TA416會在其網路釣魚電子郵件中添加Google Drive或Dropbox URL,這些電子郵件用於傳遞包含PlugX惡意軟體和相關的檔案。

據ThreatPost報導,PlugX遠端訪問工具(RAT)允許遠端用戶未經許可或授權竊取數據,甚至控制受影響的系統。PlugX使攻擊者能夠複製,移動,重命名,執行和刪除文件以及鍵盤側錄,對受感染系統進行特徵識別等等。

Proofpoint研究人員發現TA416工具集的更新,用於提供PlugX惡意軟體的payload。更具體地說,他們檢測到TA416的PlugX惡意軟體載入器的Golang變體,並注意到PlugX惡意軟體在針對性的活動中始終使用。研究人員說,這表明該組織持續改變其工具集以持續規避檢測。

關於中國APT駭客組織TA416的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fbc0c5ec4bfeaa7f7956ff4

Source:

https://www.proofpoint.com/us/blog/threat-insight/ta416-goes-ground-and-returns-golang-plugx-malware-loader

Reference:

https://www.recordedfuture.com/reddelta-targets-catholic-organizations/

*****竣盟科技快報歡迎轉載,但請註明出處