竣盟科技 - Billows 技術/情資訊息分享

法國國防巨擘達利思集團Thales Group疑遭LockBit 2.0攻擊

Posted on 2022 年 1 月 5 日2022 年 1 月 5 日 by blogadmin

Thales Group稱沒有遭攻擊的跡象，也沒有收到勒索信

2021年是勒索軟體肆虐，駭客相當忙碌的一年，這樣的狀況，在2022年也不太可能中斷。昨天Lockbit 2.0宣布其2022年第一個受害者為Thales Group，在其揭秘網站上透露它們已入侵法國航空與國防產業領導集團達利思的網路，並給出約 13 天時間用於協商贖金，若在1月17日仍沒達成協商即公開從Thales Group竊得的數據，目前仍沒釋出任何數據的樣本或截圖，也不清楚盜來數據量。

但據法國媒體Lemonde Infomatique的報導，他們取得Thales Group的回應， Thales Group表示知道Lockbit2.0勒索軟體聲稱針對屬於其數據進行了所謂的攻擊，但沒有收到任何直接的勒索通知，Thales Group更進一步表示，出於謹慎的處理態度，仍對這毫無根據的指控認真看待，並已安排資安專家正在調查，但在現階段沒有看到關於這次攻擊的具體證據。儘管如此，由於以考慮的數據安全為前提，他們仍會繼續進行調查。

Thales Group是法國的一家專注於航空航天、國防、地面交通運輸、安全和製造電氣系統的電子集團，在56個國家和地區有業務，並有80000名員工。

LockBit 2.0在2021年曾攻擊了多家有名的企業，包括大型IT顧問公司Accenture，曼谷航空，加密貨幣交易平台BTC-Alpha，意大利能源公司ERG，丹麥大型風力發電機製造商Vestas等，國內企業日勝生公司在2021年10月底亦曾遭LockBit2.0攻擊，被竊141 GB資料。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體，能自動加密Windows 網域下所有電腦，駭客不必寫程式進行勒贖軟體部署，只要取得 Windows Server 網域控制器的存取權，就能自動進行傳播，並在網域控制器上建立新的群組原則，將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施，例如 Microsoft Defender 和警報，並阻止操作系統向 Microsoft 提交樣本以避免檢測，以實現持久性。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”，稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威，繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後，台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊，今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411

汽車零件供應商巨頭日本Denso（電裝公司），疑遭新型勒索軟體Rook入侵，駭客稱已盜1.1TB數據

Posted on 2021 年 12 月 29 日2021 年 12 月 29 日 by blogadmin

12月27日，新型勒索軟體Rook在其揭秘網站宣稱已攻陷日本最大、世界第二大汽車零部件供應商Denso，並竊得1.1TB資料，目前這個操作Rook的背後駭客並未透露更多細節，所以無法得知贖金金額，或駭客給予Denso多久的交涉時間等。

名為 Rook 的新型勒索軟體，前不久才浮出水面，於 11月26日首次在VirusTotal發現其樣本，Rook勒索軟體的背後駭客在其揭秘網站的直白簡介，引起資安界的關注，Rook稱他們迫切需要大量的錢並吹噓一定能滲透目標系統，Rook於 11 月 30 日宣布第一個受害者為一家哈薩克的銀行Zilstroysber Bank。除了加密該組織的檔案外，Rook還竊取了大約1123GB 的數據，用於敲詐勒索。

據了解，Rook勒索軟體是通過第三方滲透框架Cobalt Strike散布的，並使用UPX、VMProtect封裝，根據 SentinelOne研究人員表示，也觀察到挾帶了 Rook的網路釣魚電子郵件。一旦Rook在受害者的機器上執行，惡意軟體會嘗試終止所有可能阻礙加密過程的進程。攻擊者還試圖禁用安全產品，以及刪除卷影副本，以防止受害者恢復他們的數據。在加密過程中，勒索軟體會將 .ROOK 的副檔名附加到加密文件中，一旦該過程完成，它會從機器中自我刪除。另外，由於Rook 使用與Babuk勒索軟體相同的 API 調用來檢索每個正在運行的服務的名稱和狀態，並使用相同的函數來終止它們。研究人員相信Rook是來自Babuk勒索軟體的最新產物，據信，是以Babuk原始碼修改而成的新勒索軟體，而該原始碼源於 6月在俄語論壇上洩露的，專家普遍認為之後也會陸續有其他新型勒索軟體的出現，因此企業應準備好有可靠的網路防禦和定期的備份。

Rook勒索軟體的IOCs:

SHA1

104d9e31e34ba8517f701552594f1fc167550964

19ce538b2597da454abf835cff676c28b8eb66f7

36de7997949ac3b93b4b88600

SHA256

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789

c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac

96f7df1c984c1753289600f7f373f3a98a4f09f82acc1be8ecfd5790763a355b

美國CISA發布”Log4j-Scanner”掃描工具以識別受 Apache Log4j漏洞影響的Web服務;美國CISA、FBI、國安局和五眼聯盟同時發布旨在減緩 Log4Shell攻擊的指南

Posted on 2021 年 12 月 23 日2021 年 12 月 23 日 by blogadmin

美國網路安全及基礎設施安全局（CISA）發布了一個開源的掃描工具(Scanner)，企業可以使用它來查找易受Log4j漏洞CVE-2021-44228 和 CVE-2021-45046 攻擊的Web 服務，名為Log4jScanner的掃描器在Github存儲庫上，為log4j 遠端程式碼執行漏洞（CVE-2021-44228 和 CVE-2021-45046）提供了掃描解決方案，Log4j-scanner是CISA的快速行動小組和開源社區的成員衍生出來的一個項目，該存儲庫中的資訊和程式碼是“按原樣”提供的。

CISA 在log4j-scanner 的項目頁面上強調了以下功能：

*支援lists of URLs

*對 60 多個 HTTP Request Headers進行模糊測試

*對 HTTP POST 數據參數進行模糊測試

*對 JSON 數據參數進行模糊測試

*支援用於漏洞發現和驗證的 DNS callback

*繞過WAF的有效載荷

同時，網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、國家安全局 (NSA)、澳洲網路安全中心 (ACSC)、加拿大網路安全中心 (CCCS)、新西蘭電腦危機處理應急小組(CERT NZ)、新西蘭國家網路安全中心 (NZ NCSC) 和英國國家網路安全中心 (NCSC-UK) 發布了聯合諮詢，以提供有關解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 的Log4j漏洞緩解指南。“CISA 主任Jen Easterly聲明中說，Log4j 漏洞對世界各地的組織和政府構成了嚴重且持續的威脅；我們懇請所有實體立即採取行動，實施最新的緩解指南，以保護他們的網路。”

據了解，指南側重於保護面向 Internet 的設備和系統免受與 Log4Shell 相關的攻擊。然而， Java 在 IT 和 OT 系統中也無處不在，未分段的網路存在入侵者在系統之間橫向移動的風險。該警報警告組織將任何使用 Log4j 的產品視為可疑產品，並保留詳細的修補記錄以監控異常行為。

CISA、五眼聯盟評估對這些漏洞的利用，尤其是 Log4Shell，可能會持續增加並

維持很長一段時間，它們強烈敦促所有組織應用這些建議，以識別、減輕和更新受影響的資產。

Apache軟體基金會釋出Log4j 的2.17版為目前最新的修補，建議使用Log4j框架者立即下載更新。

有關Apache Log4j重大的漏洞 Log4Shell的更新的入侵指標(Indicator of compromise -IOCs):

Hostname:

agent.apacheorg.xyz

URLs:

http://agent.apacheorg.xyz:1234/v

http://93.189.42.8/kinsing

http://92.242.40.21/lh2.sh

http://82.118.18.201/kinsing

http://45.137.155.55/kinsing2

http://45.137.155.55/kinsing

http://80.71.158.44/kinsing

http://198.98.60.67/lh.sh

http://185.250.148.157:8005/index

SHA 256:

f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc

e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82

bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b

bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2

95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512

SHA1:

f568eb59fd37b2fe37db730292594d875d3a11e8

c927738922b87802cc75697dd99dd8c7d8cfdf1e

b21aa1107ecc79f4ad29f68a026a02e2abc952ef

9edd5d86fbb0236625c1c533e85d2fe76901979f

8d692f73e5b6c3309568a3f488a93f8685c6661a

8611063eefa5cc2bbec29870fb56779192eed454

82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4

其他相關Log4j的報導:

專家警告說，駭客火力全開積極利用第二個Log4j的漏洞，然而第三個漏洞也出現了!

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施

新型殭屍網路Abcbot鎖定中國雲端供應商，會是日後DDoS攻擊的信號嗎?!

Posted on 2021 年 12 月 22 日2021 年 12 月 23 日 by blogadmin

惡意指令列腳本(shell script)以騰訊、百度和阿里雲、華為雲等的雲端伺服器為目標，旨在消除其他競爭惡意軟體並連接到Abcbot殭屍網路。

資安研究人員發現了一個新的惡意軟體殭屍網路，在過去幾個月中，它專門針對中國雲端託管服務提供商的基礎設施。資安公司Cado Security 在今天的一份報告中表示，名為 Abcbot的殭屍網路的目標是阿里雲、百度、騰訊和華為雲等公司託管的伺服器，而這報告正與TrendMicro和奇360 Netlab之前的調查結果相呼應。

CADO資安研究員Matt Muir表示，不論是華為雲，騰訊雲和百度雲等新一代雲端供應商都沒有像AWS的發展成熟。Muri進一步解釋，AWS的發展其中包括一個示警機制，即如果以不安全的方式部署雲端instance時，即會自動產生警報。

研究員表示，Abcbot殭屍網路的攻擊通常針對這些公司託管的 Linux 伺服器，這些伺服器使用弱密碼保護或運行未修補的應用程式。根據 Cado Security的說法，在找到初始入口點後，Abcbot會部署一個 Linux bash 腳本，該腳本禁用 SELinux 安全保護，為攻擊者建立一個後門，然後掃描受感染的主機以查找其他惡意軟體殭屍網路的跡象。有趣的是，如發現競爭的惡意軟體，Abcbot 會终止已知與其他殭屍網路相關的進程以及與加密挖礦操作相關的進程。Abcbot還採取了其他殭屍網路未曾見過的步驟，即刪除SSH密鑰，僅保留自己的密鑰。

研究員說從對這個指令列腳本的分析中可以明顯看出，Abcbot 背後的威脅參與者投入了大量資金，以保持他們對雲端安全威脅形勢的了解。該惡意軟體包含從主機中刪除加密挖礦和以雲為中心的惡意軟體的特定命令，例如 WatchDog 和 Kinsing。研究還指出，攻擊者針對和騰訊使用的監控解決方案，指向駭客針對特定雲端供應商。Cado研究人員分析的Abcbot樣本包含將受感染系統進行圍堵的功能， TrendMicro分析的Abcbot樣本有包括用於加密貨幣挖礦的模組，Netlab 分析的樣本有包括用於 DDoS 攻擊的功能。

研究人員綜合Abcbot採取的步驟和功能，認為其最終目的是為攻擊者創造加密貨幣的利潤。目前Abcbot殭屍網路的規模仍然未知，但相信鑒於惡意軟體針對特定的雲端供應商，這表明傳播有限。但認為Abcbot的不斷發展，可用於在未來發動DDoS攻擊。

殭屍網路(Botnet)也稱機器人網路(RobotNetwork)，病毒通常會隨著 e-mail、即時通訊軟體或電腦系統漏洞，入侵電腦，再藏身於任何一個程式裡。

殭屍網路與木馬程式的使用方式相仿，但木馬只會攻擊特定目標，較不會藉由被植入木馬的電腦主機，再去攻擊其他電腦。反觀殭屍網路不但會攻擊其他電腦，且具有蠕蟲的特性，會慢慢在網路空間中爬行，一遇到有漏洞的電腦主機，就自行展開攻擊。

Abcbot 殭屍網路的入侵指標(Indicator of compromise -IOCs):

SHA256:
56d677ed192b5010aa780d09c23b8ee8fdff94d39b20a07c7de76705e5f8c51f
22b521f8d605635e1082f3f33a993979c37470fe2980956064aa4917ea1b28d5
IPs:
http://103[.]209[.]103[.]16:26800/ff.sh
http://103[.]209[.]103[.]16:26800/xlinux

專家警告說，駭客火力全開積極利用第二個Log4j的漏洞，然而第三個漏洞也出現了!

Posted on 2021 年 12 月 17 日2021 年 12 月 28 日 by blogadmin

資安公司 Cloudflare 警告說，攻擊者正積極嘗試利用第二個Log4j的漏洞(CVE-2021-45046， CVE-2021-45046 的 CVSS 得分為 3.7，影響從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0（已發布以修補 CVE-2021-44228）的 Log4j 版本。可使攻擊者有進行分散式阻斷服務攻擊(DDoS)，建議用戶必須迅速採取行動安裝最新版本，因為一連串的攻擊繼續攻擊未修補的系統各種惡意軟體。

Cloudflare認為即使之前已經更新到 2.15.0的 Log4j 版本，現在也應該盡快更新到 2.16.0 版本。2.16.0版本取消對訊息查找模式的支援並默認禁用 JNDI 功能來解決 CVE-2021-45046。

但更令人不安的是，緊隨 CVE-2021-45046 之後，根據資安公司 Praetorian 的研究人員警告說，發現2.15.0的 Log4j 版本中存在第三個單獨的安全漏洞，該漏洞可以在某些情況下洩露敏感數據。該漏洞的其他技術細節已被保留以防止進一步利用，但目前尚不清楚這是否已在 2.16.0 版中解決。目前Praetorian已將該問題的技術細節滙報給Apache軟體基金會。

全球基礎設施持續受到攻擊，已記錄了超過180 萬次嘗試Log4j 漏洞的利用，微軟研究人員報告說，來自中國、伊朗、北韓和土耳其的國家級駭客正在他們的活動中濫用Log4J的Log4Shell漏洞 (CVE-2021-44228)。據了解，一些利用該漏洞的組織是與中國有關的 Hafnium駭客組織和與伊朗有關的 Phosphorus駭客組織，前者利用該漏洞攻擊虛擬化基礎設施，後者部署勒索軟體。

微軟專家還表示，多個訪問代理已經開始使用 Log4Shell 漏洞來獲得對目標網絡的初始訪問權限，然後將其出售給勒索軟體即服務的附屬公司。

微軟專家還表示，多個access broker駭客服務業者已經開始使用Log4Shell漏洞來獲取對目標網路的初始存取權，然後將其出售給勒索軟體附屬會員。

專家建議立即安裝 Log4j的2.16.0 版本

其他相關Log4j的報導:

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

Posted on 2021 年 12 月 15 日2021 年 12 月 15 日 by blogadmin

隨著 Log4j攻擊活動的增加，CrowdStrike週二表示，觀察到有一個伊朗國家級的駭客組織NEMESIS KITTEN正瞄準Log4Shell漏洞並部署到一個可以由伺服器觸發Log4j的類檔，另外Bitdefender 也表示，其研究人員已經觀察到攻擊者試圖利用該漏洞來分發名為Khonsari的新型勒索軟體。此攻擊涉及使用惡意 .NET 檔，該檔案一旦執行，就會列出易受攻擊系統上的所有硬碟，並對除C槽之外的所有硬碟進行加密，然而會在C槽中加密特定的檔案夾，包括文檔、視頻和下載。除了勒索軟體，Bitdefender還觀察到攻擊者試圖在企業網路的易受攻擊系統上部署一種名為 Orcus 的已知遠端存取木馬（RAT）。Bitdefender進一步說，攻擊者使用這種技術在系統中站穩腳跟，在這些易受攻擊的伺服器上部署反向Bash shell相對簡單，並且很可能在未來進行更全面的攻擊。

與此同時，物聯網安全供應商 Armis 發現目標設備（上圖）的種類涵蓋各種設備，攻擊活動針對伺服器佔 42%，虛擬機佔 27%，連接互聯網的攝像機佔 12%。Armis 還發現了針對 HMI 面板和控制器等製造設備以及考勤系統的攻擊企圖。

據Check Point的研究，試圖利用該漏洞的攻擊數量持續上升，從 12 月 11 日的 40,000 次攻擊到 12 月 13 日的超過 800,000 次攻擊，用於利用該漏洞的變種數量也增加到60個。對於攻擊者來說，該漏洞提供了一個幾乎前所未有的機會，可以嘗試攻擊和破壞全球數十億台設備。Akamai 是跟踪攻擊活動的幾家供應商之一，週二表示，它已經觀察到多個變體試圖以每小時250,000個漏洞利用請求的持續攻擊量來利用該漏洞。Akamai 表示，迄今為止，超過 50% 的攻擊來自已知的威脅行為者，並且新的漏洞利用變體的發展速度是前所未有的。

由於攻擊的數量加上漏洞的嚴重性，促使美國國土安全部的網路安全和基礎設施局(CISA)發出多次警告，並下令所有聯邦機構在 12 月 24 日之前完成修補漏洞。Log4j的2.15.10版本中的修補程式解決了常見漏洞和披露資料庫中已知的 CVE-2021-44228 漏洞。CISA 指出，要修補使用受影響版本的 Log4j 的產品和服務中的漏洞，這些產品和服務的維護人員必須實施此安全更新。該機構敦促供應商立即識別、緩解和修補受Log4j影響的產品，將包含該漏洞的產品告知最終用戶，並強烈敦促他們優先考慮軟體更新。據了解，如果無法更新，在 Log4j 配置中將log4j2.formatMsgNoLookups 選項設置為true也可以防止漏洞利用。

另外，如果您想查看資安供應商的產品是否仍然是易受攻擊，或使用易受攻擊版本的Log4j，或已完成修補，可參考以下連結:

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

有關Log4j漏洞的Indicators of Compromise (IOCs):

Hostname:

vyvdsvh.x.i.yunzhanghu.co

lnc7vvhztmjdfm221sdp76xnze5atz.burpcollaborator.net

jjug8i.xaliyun.com

e86eafcf9294.bingsearchlib.com

4568-3409-8076-3389.service.exfil.site

3be6466b6a20.bingsearchlib.com

0384eb5a.probe001.log4j.leakix.net

SHA 256:

fe98548300025a46de1e06b94252af601a215b985dad31353596af3c1813efb0

e20806791aeae93ec120e728f892a8850f624ce2052205ddb3f104bbbfae7f80

c38f0f809a1d8c50aafc2f13185df1441345f83f6eb4ef9c48270b9bd90c6799

c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a

c154d739cab62e958944bb4ac5ebad6e965a0442a3f1c1d99d56137e3efa8e40

b55ddbaee7abf1c73570d6543dd108df0580b08f730de299579570c23b3078c0

a3f72a73e146834b43dab8833e0a9cfee6d08843a4c23fdf425295e53517afce

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

776c341504769aa67af7efc5acc66c338dab5684a8579134d3f23165c7abcc00

6a8965a0f897539cc06fefe65d1a4c5fa450d002d1a9d5d69d2b48f697ee5c05

63d43e5b292b806e857470e53412310ad7103432ba3390ecd4f74e432530a8a9

6370939d4ff51b934b7a2674ee7307ed06111ab3b896a8847d16107558f58e5b

3f6120ca0ff7cf6389ce392d4018a5e40b131a083b071187bf54c900e2edad26

19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d

0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049

IPv4:

80.71.158.12

45.137.155.55

109.237.96.124

URL: http://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=

MD5:

648effa354b3cbaad87b45f48d59c616

6cead82e17c2dacbb83998cfe3841704

550f9f929bcb99aeaa3821779d8dea62

40e3b969906c1a3315e821a8461216bb

3dfbe75871e218d08328a01c56e1bb42

1db40b7e18cf228169d2f5d73bf27ef7

1348a00488a5b3097681b6463321d84c

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施

Posted on 2021 年 12 月 14 日2021 年 12 月 14 日 by blogadmin

上周末，被全球企業、組織應用到不同網路服務的日誌框架Apache Log4j曝出一個重大風險漏洞，名為Log4Shell( CVE-2021-44228)，影響包括Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft、Cloudflare、ElasticSearch、Red Hat、Twitter、百度、騰訊等科技公司和大型網站，Apache Log4j是一個基於Java的紀錄檔記錄工具，保存執行活動的過程，方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄，使得Log4j這類受歡迎的日誌框架影響廣泛。據了解，攻擊者只需傳送一則特殊的訊息到伺服器（含$的字串）就能觸發漏洞，遠端執行任意程式碼來控制目標伺服器，已出現攻擊行動的情況，漏洞波及面和危害程度均堪比2017年的永恆之藍(Eternal blue)漏洞，Apache軟體基金會也將Log4j漏洞的嚴重程度，評為最高的10分，任何人都可以從存在該漏洞的服務獲得電腦的完整存取權限。

事件時間軸：

11月24日，開源日誌資料庫Log4j的一個遠端程式碼執行（remote code execution，RCE）漏洞CVE-2021-44228被提交。

12月7日上午，Apache釋出了2.15.0-rc1版本更新。

12月9日晚，漏洞的利用細節被公開，影響範圍幾乎橫跨Log4j整個版本（從2.0到2.14.1-rc1）。

當大家紛紛升級到2.15.0-rc1之後發現，該修補依然可以被攻擊者繞過。

12月10日凌晨，Apache Log4j2緊急更新了2.15.0-rc2版本。

聯邦網路安全和基礎設施安全局 (CISA) 主任 Jen Easterly 在一份聲明中表示：這一漏洞正被越來越多的攻擊者廣泛利用，鑑於其廣泛使用，對網

路防禦者提出了緊迫挑戰。該漏洞已經影響到 Apache Log4j 的 2.0 到 2.14.1 版本，建議組織盡快更新到 2.15.0 版本。

Photo Credit : GovCert.ch

Log4Shell 漏洞出於 Log4j 裡有一個JNDI Lookup 功能，它是用來在執行階段對日誌中的文字紀錄進行加工後輸出，這本來在分析系統問題時很有用，不過同時也可以讓攻擊者有機可乘，例如刻意輸入下載軟體來執行的文字讓日誌記錄下來，就可以遠端執行任意程式碼。受影響的 Log4j 版本由 2.0 – 2.14 ，雖然版本 1.0 也受影響，不過由於版本 1.0 沒有「 JNDI Lookup 」功能，所以就無法執行惡意程式碼。故資安公司Cybereason認為只要關掉「 JNDI Lookup 」功能，就可緩解漏洞的影響，並推出名為Logout4Shell的疫苗程式。它的原理就是利用「 Log4Shell 」漏洞注入程式去修改 Log4j 的設定，關閉「 JNDI Lookup 」功能。

Cybereason 聯合創辦人兼首席技術官 Yonatan Striem-Amit 表示，雖然更新到最新版本的 Log4j 無疑是最好的解決方案，但修補通常很複雜，需要一個發布週期和測試週期。許多公司發現很難去部署緊急修補，故Logout4Shell“疫苗”本質上為安全團隊爭取了一些時間，因為他們正在努力推出修補。他說，該修補程式禁用了該漏洞，並允許組織在更新伺服器時保持受到保護。

有關Log4j漏洞的IOCs:

Hostname: log.exposedbotnets.ru

URL: http://62.210.130.250:80/web/admin/x86_g

http://62.210.130.250/lh.sh

http://45.130.229.168:9999/Exploit.class

http://62.210.130.250:80/web/admin/x86

IPv4:

159.89.182.117

45.130.229.168

210.141.105.67

MD5:

d4cf8e4ab26f7fd15ef7df9f7937493d

f6e51ea341570c6e9e4c97aee082822b

ceb9a55eaa71101f86b14c6b296066c9

c717c47941c150f867ce6a62ed0d2d35

1718956642fbd382e9cde0c6034f0e21

Domain:

nazi.uy

Emotet 改變策略，跳過中間的木馬程式，直接投放Cobalt Strike的Beacon

Posted on 2021 年 12 月 10 日2021 年 12 月 10 日 by blogadmin

Emotet的回歸是一個巨大的威脅，同時它的發展也令人擔憂，在過去Emotet會在受感染的設備上安裝TrickBot或Qbot木馬，進而在受感染的系統上部署 Cobalt Strike。在典型的攻擊中，受害者在最初感染和被部署勒索軟體之間會有大約一個月的時間。但現在研究人員發現由於Emotet跳過了中間木馬TrickBot 和 Qbot 的初始有效負載，駭客將可立即存取網路、橫向傳播、快速部署勒索軟體並竊取數據，這自然意味著從 Emotet 感染到勒索軟體攻擊的時間大大縮短。據悉，Emotet的捲土重來，是由操作Conti勒索軟體的駭客推波助瀾的，而Cobalt Strike的Beacon快速安裝有望加速勒索軟體的部署。

🚨🚨WARNING 🚨🚨 We have confirmed that #Emotet is dropping CS Beacons on E5 Bots and we have observed the following as of 10:00EST/15:00UTC. The following beacon was dropped: https://t.co/imJDQTGqxV Note the traffic to lartmana[.]com. This is an active CS Teams Server. 1/x
— Cryptolaemus (@Cryptolaemus1) December 7, 2021

減少攻擊鏈將使駭客能夠速進入攻擊的第二階段，例如在受感染的網路上安裝勒索軟體。

🚨🚨WARNING 🚨🚨 We have confirmed that #Emotet is dropping CS Beacons on E5 Bots and we have observed the following as of 10:00EST/15:00UTC. The following beacon was dropped: https://t.co/imJDQTGqxV Note the traffic to lartmana[.]com. This is an active CS Teams Server. 1/x
— Cryptolaemus (@Cryptolaemus1) December 7, 2021

資安公司 Cofense 與Bleeping Computer共享的 Flash Alert中證實了攻擊中使用的新手法。當 Cobalt Strike 樣本運行時，它試圖聯繫lartmana[.]com的網域。不久之後，Emotet投放了Cobalt Strike的執行檔案

This is a big deal. Typically Emotet dropped TrickBot or QakBot, which in turn dropped CobaltStrike. You'd usually have about a month between first infection and ransomware. With Emotet dropping CS directly, there's likely to be a much much shorter delay. https://t.co/QHGU4oq9Zi
— Marcus Hutchins (@MalwareTechBlog) December 7, 2021

Cofense 研究人員推測，新的攻擊鏈可能是一次測試，甚至是無意的，然而Emotet 的重新出現和隨後的策略變化預示著更多的勒索軟體攻擊。隨著攻擊手法上的新變化，Emotet 縮短了感染和最終勒索軟體部署之間的時間，目前專家們將繼續監測事態的發展。

Emotet相關的Indicators of Compromise (IOCs):

SHA256 hash: 7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24

SHA256 hash: bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245

SHA256 hash: f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285

SHA256 hash: d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32

SHA256 hash: 88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9

SHA256 hash: 1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

URLs:

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/

IP:

177.72.80.14

51.210.242.234

51.178.61.60

196.44.98.190

185.148.169.10

142.4.219.173

168.197.250.14

94.177.248.64

81.0.236.93

66.42.55.5

45.76.176.10

188.93.125.116

103.8.26.103

103.8.26.102

台灣網路設備供應商威聯通QNAP警告，比特幣礦工正針對其NAS設備發動攻擊

Posted on 2021 年 12 月 8 日 by blogadmin

台灣網路設備供應商威聯通(QNAP) ， 12 月 7 日在其網站發布安全公告(Advisory)，警告用戶一種新的加密挖礦惡意軟體正針對其網路附加儲存設備 (NAS)。

QNAP沒有分享有關設備如何被入侵的任何資訊，但表示一旦 NAS 被感染，CPU 使用率會變得異常的高，據了解，其中名為[oom_reaper]的進程將挖礦比特幣，該進程更會佔總 CPU 使用率的 50% 左右。QNAP進一步表示，在運行時該進程更會模仿成一個核心進程，但它的 PID 通常高於1000 。據信攻擊活動中使用的挖礦似乎缺乏持久性機制，這意味著重新啟動設備可刪除惡意軟體。

現階段QNAP正在調查有關感染的過程，並呼籲客戶採取主動措施應對攻擊，例如更新其設備的操作系統（稱為 QTS 或 QuTS）和所有 QNAP 附加應用程式。

此外，該公司還告訴用戶更改他們所有的 NAS 帳戶密碼，因為它不確定攻擊者是否利用了漏洞，或是暴力破解了使用弱密碼的連接互聯網的QNAP系統。

QNAP建議客戶，如懷疑他們的 NAS 感染了這個比特幣礦工的惡意軟體，應重新啟動他們的設備，以刪除惡意軟體。

QNAP 還建議客戶採取以下措施來保護他們的設備：

*將 QTS 或 QuTS hero 更新到最新版本。

*安裝 Malware Remover 並將其更新到最新版本。

*為您的管理員和其他用戶帳戶使用更強的密碼。

*將所有已安裝的應用程式更新到最新版本。

*不要將您的 NAS 暴露在互聯網上，或避免使用default的系統端口443 和 8080。

在過去幾年中，Muhstik、 Qlocker、eCh0raix和 AgeLocker等勒索軟體亦曾針對 QNAP 設備，駭客可以存取客戶的NAS 系統，加密用戶數據，然後索要小額贖金。雖然加密挖掘惡意軟體比較少見，但以前也曾發生過。在 2020 年底和 2021 年初，QNAP NAS 設備成為Dovecat 加密挖礦惡意軟體的目標，該惡意軟體濫用弱密碼在QNAP系統上獲得切入點。

Volvo富豪汽車疑遭加密，Snatch勒索軟體再度回歸

Posted on 2021 年 12 月 6 日2021 年 12 月 6 日 by blogadmin

11月30日，在勒索軟體Snatch的揭秘網站上，發布了富豪汽車Volvo Car頁面，表示Snatch已經攻擊了上市汽車公司Volvo，但Snatch沒有公開透露有關盜來數據容量的大小，目前也不清楚勒索的金額。

據了解，Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體，Snatch於2019年4 月開始活躍，大量發動攻擊，隨後於2020 年突然消失，但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密，以躲避防毒軟體的偵測的勒索軟體，Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊，透過暴力破解，利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路，之後會收集該企業相關的重要敏感資訊，上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄，可見自11月25日以來已有12名受害者，除了Volvo Cars外，還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導，在流出的螢幕截圖中，可看到富豪汽車虛擬的3D 建模檔案，然而富豪汽車沒有證實，或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道：“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論，但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月，起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月，本田汽車網路疑遭勒索軟體Snake攻擊，部份產線停工

2019年2月，豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月，汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721