竣盟科技 - Billows 技術/情資訊息分享

LockBit3.0又出手，台灣某上市軟體系統整合商遭殃;台灣跨國上市網通品牌疑遭駭客組織SiegedSec入侵

Posted on 2022 年 9 月 28 日2023 年 2 月 13 日 by blogadmin

上市公司資安事件頻傳，落實資安管理與防護為當務之急!

竣盟科技最近觀察到多起對台灣上市企業網路攻擊的情形，包含台灣某上市軟體系統整合商( System Integration-SI) 被勒索軟體LockBit3.0加密；上市網通大廠遭駭客組織SiegedSec攻擊，226份檔案遭外洩，及上週某上市半導體遭勒索軟體LockBit3.0入侵。

根據NCC 集團全球威脅情報團隊發布的研究，勒索軟體LockBit 3.0 佔 8 月份所有攻擊事件的40%，是當月威脅最大的勒索軟體，共涉及 64 起事件。

據觀察，典型的 LockBit 3.0 攻擊過程包括：

*透過受感染的電子郵件附件、種子網站或惡意廣告來散播勒索軟體 LockBit 3.0。

*LockBit 3.0 感染受害者的設備，加密檔案，並將加密檔案的副檔名改為“HLjkNskOq”。

*然後需要一個稱為“-pass”的命令行參數密鑰來執行加密。

*LockBit 3.0建立多個線程同時執行多個任務，從而可以在更短的時間內完成數據加密。

*LockBit 3.0 刪除了某些服務或功能，使加密和洩露過程變得更加容易。

*API用於隱藏服務控制管理器數據庫存取。

*受害者的Desktop桌布會更改，以便他們知道自己受到攻擊。

另外，本週觀察到某網通大廠遭SiegedSec攻擊，被盜兩百多個檔案，當中包含工具跟設定檔和韌體更新等檔案，SiegedSec在其Telegram頻道上發布從該網通大廠盜竊得來的資料的Mega連結，任何加入這個頻道的人，都可任意下載。根據The Tech Outlook的報導，SiegedSec 是一個很小且很新的駭客團體，但成員遍布全球。該團體成立於 2022 年初，以偷竊數據為目標，攻擊時不會佈勒索軟體加密受害系統，SiegedSec因攻擊韓國IT監控服務公司WhaTap並從WhaTap儀表板刪掉其項目而得外界關注，此次被SiegedSec攻擊的網通大廠為第二家台灣廠商，2022 年6月，一家台灣電信公司也曾遭SiegedSec入侵並外洩數據。

台灣上市公司遭受駭客攻擊的情況愈演愈烈，竣盟科技建議您:

*通過關閉或強化 RDP、計劃如何以及何時進行安全更新以及培訓用戶發現惡意電子郵件來避免最初的存取。

*通過使用最小權限原則、分割您的網路和部署 EDR，使權限升級和橫向移動盡可能困難。

*使用可以識別勒索軟體並有回滾保護機制的反惡意軟體解決方案。

*使用攻擊者無法觸及的異地離線備份確保數據安全。

*接受即使有最好的防禦，入侵行為仍然可能發生，而準備災難復原計畫

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

Posted on 2022 年 9 月 23 日2023 年 2 月 13 日 by blogadmin

竣盟科技在9月20日在LockBit的揭秘網站上，驚見又一台灣上市半導體被列為受害者，該企業位於新竹科學園區是我國半導體重鎮的知名廠商，以再生晶圓及晶圓薄化起家。

目前，LockBit勒索軟體集團聲稱在9/19成功加密該半導體大廠並給予8天的談判時間，如果在9/28前未付贖金將公布所有盜竊得來的數據。資安研究員 Dominic Alvieri也在其推特上公佈這家台灣半導體

最近，LockBit公告已發出第一筆Bug Bounty的獎金，據悉此筆金額為5萬美元，挖掘漏洞為一名暱稱叫Aussie的駭客，發現了LockBit加密算法存在漏洞可允許恢復特定檔案類型，主要是 VHDK、VMDK 和備份檔案，目前LockBit已修補好該漏洞。

本週，BleepingComputer報導，有人在Twitter上散布勒索軟體LockBit 3.0（又稱LockBit Black）的產生器(Builder)，該產生器包含受密碼保護的7z archive “LockBit3Builder.7z”，檔案包含：

Build.bat;

builder.exe;

config.json;

keygen.exe.

LockBit的產生器流程圖

Unknown person @ali_qushji said his team has hacked the LockBit servers and found the possible builder of LockBit Black (3.0) Ransomware. You can check it on the GitHub repository https://t.co/wkaTaGA8y7 pic.twitter.com/cPSYipyIgs
— 3xp0rt (@3xp0rtblog) September 21, 2022

根據Bleeping Computer，已證實此勒索軟體產生器確實是LockBit所持有的檔案，據悉是由對LockBit組織心懷不滿的開發者所外洩的。這些檔案在不久的將來很可能被其他駭客利用，對防守者將帶來更大的威脅。該產生器由四個檔案組成，其中之一是“config.json” 檔案。駭客可以通過多種方式存取它並自訂義加密器，包括修改贖金記錄、更改配置選項、決定停止哪些進程和服務，甚至指定加密器的C2伺服器。

BleepingComputer在測試產生器時，能夠輕鬆地對其進行修改，以利用他們的本地的C2伺服器，加密數據及解密數據。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Lorenz勒索軟體利用Mitel MiVoice VOIP中漏洞入侵企業網路

Posted on 2022 年 9 月 16 日2023 年 2 月 13 日 by blogadmin

根據ArcticWolf Labs的 IT 安全研究人員已發出警告，攻擊者可以利用廣泛使用的 VoIP 軟體中的漏洞來獲得對實體公司網路的初始存取權限。根據他們的研究，Lorenz勒索軟體通過利用 MiVoice Connect 的 Mitel Service Appliance設備來入侵企業網路。最初的惡意活動源自位於網路外圍的Mitel設備，Lorenz利用遠端程式碼執行漏洞（CVE-2022–29499）來獲取反向shell（reverse shell），然後使用Chisel作為隧道工具進入網路。

資安公司CrowdStrike 6 月份的一份Blog中，報告了相同的零時差漏洞，並還提供了觀察到的駭客攻擊手法的詳細說明。另外，根據安全研究員 Kevin Beaumont透露，Mitel VoIP 產品也一個有利可圖的切入點，因為有近 20,000 台Mitel VoIP設備暴露互聯網上，使它們容易受到惡意攻擊。

據ArcticWolf Labs研究人員稱，攻擊者在獲得初始存取權限後等待了近一個月的時間來執行後利用操作，包括通過 web shell 建立持久性、獲取憑據、網絡偵察和權限升級，然後進行了橫向移動。他們利用 FileZilla 進行數據洩露，並通過 BitLocker 執行加密。最後，他們在 ESXi 系統上啟動了 Lorenz 勒索軟體。與許多其他勒索軟體組織一樣，Lorenz 以通過在加密系統之前竊取數據進行雙重勒索而聞名，至少在2021 年 2 月以來，攻擊者針對位於美國的中小型企業 (SMB)，同時也攻擊中國和墨西哥的組織，根據HackRead的報導，包含上海美國商會、Fuji和 MagTek都被列為Lorenz勒索軟體的受害者。

駭客越來越多地針對鮮為人知/受監控的資產來逃避檢測。因此，在這種情況下，僅監控關鍵資產是不夠的，安全團隊必須應監控所有面向外部的設備以發現潛在的惡意活動，包括 VoIP 和物聯網設備。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

極端氣候導致Twitter 關鍵性數據中心暫時關閉

Posted on 2022 年 9 月 14 日2023 年 2 月 13 日 by blogadmin

加州的極端高溫使Twitter關掉了其在首府Sacramento的一個關鍵數據中心， CNN報導稱Twitter內部高層中警告說，如果還有其他數據中心斷網，可導致其用戶服務陷入困境。

與所有主要社交媒體平台一樣，Twitter 依賴數據中心，這些數據中心本質上是裝滿電腦設備如伺服器和存儲系統等的巨大倉庫。控制數據中心的溫度對於確保電腦不會過熱和故障至關重要。為了節省冷卻成本，一些科技公司將它們的數據中心建立在寒冷氣候的國家中。例如，Google於 2011 年在芬蘭開設了一個數據中心，Meta 自 2013 年以來在瑞典北部設立了一個數據中心。

9 月 5 日標誌著北加州歷史上最大熱浪的開始：Sacramento市中心達到 113華氏(攝氏45度)，隨後達到116 度(46. 7 攝氏度)，上週二成為該市有記錄以來最熱的一天。

“9 月 5 日，由於極端天氣，Twitter 失去了Sacramento 數據中心區域。史無前例的事件導致 SMF 的實體設備完全關閉。”該公司工程副總裁 Carrie Fernandez 在周五給 Twitter 工程師的內部消息中說。

根據Fernandez週五的通告，由於Sacramento的離線，Twitter 處於非冗餘狀態(non-redundant)。她進一步說，Twitter在亞特蘭大和波特蘭的數據中心仍在運行，但警告說”如果我們失去其中一個數據中心，我們可能無法為所有 Twitter 用戶提供流量。”

該通告同時禁止對 Twitter 產品進行非關鍵更新，直到該公司能夠完全恢復其Sacramento數據中心服務。Fernandez 寫道：”所有production的變更，包括行動平台的部署和發布，都需暫停，只有解決服務連續性或其他緊急運營需求所需的變更除外。”

據美國有線電視新聞網報導，Twitter 前安全負責人 Peiter Zatko 上個月在向包括證券交易委員會在內的多個聯邦政府機構的舉報稱，Twitter 的“數據中心冗餘不足”會增加短暫服務中斷的風險，甚至可能會導致 Twitter 永久下線。

Twitter 在給 CNN 的一份聲明中僅表示，目前沒有任何干擾影響人們存取和使用 Twitter。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

警訊響起了！兩天內4家台灣企業紛紛落入勒索軟體LockBit3.0毒手

Posted on 2022 年 9 月 7 日2023 年 2 月 13 日 by blogadmin

受害名單包括:

*某知名上市IT代理商

*某日本上市集團在台子公司(工廠自動化零件生產商)

*國際知名運動品牌成衣製造商

*精品磁磚建材供應商

根據竣盟科技的觀察，分別在9月5和6日，我國共有 4 家公司被列入為LockBit3.0的受害名單。當中值得注意，某名知上市IT代理商，主要針對企業網路之架設、網路系統安全、網路管理及備援系統等領域，提供整體性的規劃及系統整合服務，為各大小公司提供資安服務及產品，為專業網路系統加值代理商，在業界享譽盛名，LockBit 3.0聲稱將於9月16日發布所有從該公司盜竊得來的數據，懷疑談判破局。

針對日商在台子公司(專門生產螺絲･螺栓，FA・模具零件、工具・工場消耗品) 目前已設時間器(Timer)，摧毀資料Destory all information)及可下載數據(Download data at any moment)的按鈕，可供任何願意付錢的人仕延長24小時間及消毀或下載數據。有趣的是，LockBit 3.0給予日商在台子公司長達99天的協商期限。

根據日本共同社的報導，LockBit的幹部日前接受其採訪，表示擁有100人以上夥伴，其中包括多名日籍駭客，還將招募更多的日籍夥伴，該幹部稱，LockBit是“以金錢為目的的完全非政治組織”，“成員不僅來自前蘇聯國家，還有日本人、中國人及美國人”。該人表示勒索的金額因企業規模及加密數據的價值而異，大致是年銷售額或年收入的0.5%～10%。該人未透露迄今獲得的錢款總額。

針對語言而招募特定國籍的駭客似乎是一個趨勢，值得我們思量的是LockBit是否也已招募了台籍駭客，使其攻擊更加順利，然而就目前的觀察，仍不能太早下結論，但值得我們持續關注下去!

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

《財富》世界500強之一，家電巨擘美的集團遭REvil勒索軟體入侵!

Posted on 2022 年 9 月 2 日2023 年 2 月 13 日 by blogadmin

被推定已被美國與其它國家聯手殲滅的REvil勒索軟體集團，於 2022 年 4 月死灰復燃攻擊了印度國營石油公司Oil India，今又宣稱已入侵中國美的集團(Midea Group)。

REvil在其揭秘網站上聲稱從美的集團竊取了各種不同的數據，包括其產品生命週期管理 (PLM) 系統——包括藍圖和韌體來源，以及“準備出售”的財務資料，REvil還聲稱竊取了來自 Git 和 SVN 版本控制系統的大量原始碼數據。

根據勒索軟體集團發佈的螢幕截圖，似乎已竊取數TB的數據。

另外，據相信REvil已經將大量據稱從美的集團獲取的檔案發布在暗網，這些檔案包括數位身份證件的掃描，該公司VMware vSphere用戶端內部的螢幕截圖，大量壓縮的7zip存檔以及SSH密鑰。

美的集團擁有超過 15 萬員工，擁有 200 多家子公司，營業額超過 530 億美元。該公司在全球財富 500 強名單中排名第 245 位，美的集團擁有德國公司KUKA的多數股權，該公司是世界上最大的機器人和家用電器製造商。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Agenda Ransomware一種Go語言的新勒索軟體

Posted on 2022 年 9 月 1 日2023 年 2 月 13 日 by blogadmin

資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體，已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。

該勒索軟體以 Golang (Go) 跨平台編程語言編寫，從技術角度來看，Agenda 提供了多種功能，包括以安全模式重啟系統並停止特定於伺服器的進程和服務，以及運行多種模式。Agenda還具有檢測規避技術，更改使用者密碼並啟用自動登錄，Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案，並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示，觀察到的樣本都是客制化的，每個受害者要求的贖金金額也不同，介於 50,000 美元到 800,000 美元之間。

Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外，還具有感染整個網路及其共享驅動程序的功能。在一個案例中，作為一次攻擊的一部分，攻擊者利用面向公眾的 Citrix 伺服器作為切入點，在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。

“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案，如果登錄嘗試成功，則進一步加密其他機器。它還終止大量進程和服務，並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。

TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil（又名 Sodinokibi）之間的相似之處，具體來說，Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter，而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

密碼管理公司LastPass的開發系統被入侵，原始碼與專利技術資訊被竊取!

Posted on 2022 年 8 月 26 日2022 年 8 月 26 日 by blogadmin

密碼管理器供應商LastPass周四(8/25)表示，駭客入侵了其開發人員的一個帳號，利用該帳號存取了專有技術資訊與部分原始程式碼，然而LastPass稱其用戶的密碼仍然安全，表示沒有證據表明客戶數據或加密的密碼庫遭到破壞，稱其產品和服務運行正常。LastPass進一步說資安事件發生在兩週前，資安公告已通過電郵發送給其客戶。

LastPass表示為應對這一事件，已部署了遏制和緩解措施，並正在實施額外的增強安全措施，另外也聘請了外部的資安鑑識公司為事件進行調查。目前已達到遏制的狀態，沒有看到任何未經授權的活動的進一步證據。

值得一提的是 LastPass尚未提供有關攻擊的更多詳細資訊，例如駭客如何入侵開發人員的用戶帳號，以及哪些原始碼被盜。

LastPass 是世界上最大的密碼管理公司之一，聲稱被超過 3300 萬人和 100,000 家企業使用。由於消費者和企業使用該公司的軟體來安全地存儲他們的密碼，因此有人擔心該公司被駭客入侵，可能會允許攻擊者存取存儲的密碼。

然而LastPass 堅稱，事件並未危及管理其旗艦密碼管理軟體中加密保險庫(Encrypted vaults)存取權限的主密碼(Master Passwords)，LastPass將密碼存儲在加密保險庫中，只能使用客戶的主密碼進行解密，LastPass稱Master Passwords在此次網路攻擊中並未受到破壞。

去年，LastPass遭受了撞庫攻擊，攻擊者可以確認用戶的主密碼。據透露，LastPass主密碼是因為利用RedLine Stealer惡意軟體的駭客而被竊取。

因此，在您的 LastPass 帳戶上啟用多因素身份驗證至關重要，這樣即使您的密碼被洩露，駭客也無法存取您的帳戶。

CISA就Palo Alto防火牆的 PAN-OS漏洞的遭駭客積極開採，發出警告，並將其添加到已知遭濫用之漏洞清單

Posted on 2022 年 8 月 24 日2023 年 2 月 13 日 by blogadmin

美國網路安全暨基礎設施安全局（CISA）週一(8/22)將影響Palo Alto Networks PAN-OS 的安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities Catalog）中。漏洞編號CVE-2022-0028（漏洞風險值8.6）是一種URL 過濾政策錯誤配置的高嚴重性漏洞，可允許未經身份驗證的遠端攻擊者執行反射和放大的 TCP 阻斷服務（Reflected Amplification Denial-of-Service, RDoS）攻擊。針對攻擊者選擇的目標，DoS 攻擊似乎源自 Palo Alto Networks PA 系列設備、VM 系列（虛擬）和 CN 系列（容器式）防火牆。

該供應商表示最近獲悉，多家供應商的防火牆被濫用來進行分佈式阻斷服務 (DDoS) 攻擊，但它沒有透露受影響公司的名稱，Palo Alto的資安通告提及，這種企圖攻擊利用了來自多個供應商的易受攻擊的防火牆，包括Palo Alto Networks在內，Palo Alto的資安通告稱，儘管漏洞被利用，但這個問題不會影響其產品的機密性、完整性或可用性。然而，由此漏洞產生的阻斷服務 (DoS) 攻擊可能有助於混淆攻擊者的身份，並將防火牆作為攻擊的來源。

CVE-2022-0028這項漏洞影響適用於 PA 系列、VM 系列和 CN 系列設備的以下 PAN-OS 版本:

PAN-OS 10.2（10.2.2-h2 以前的版本）

PAN-OS 10.1（10.1.6-h6 以前的版本）

PAN-OS 10.0（10.0.11-h1 以前的版本）

PAN-OS 9.1（9.1.14-h4 以前的版本）

PAN-OS 9.0（9.0.16-h3 以前的版本）

PAN-OS 8.1（8.1.23-h1 以前的版本）

以及Cloud NGFW、Prisma Access

據 Palo Alto Networks 稱，漏洞並不影響 Panorama M 系列或 Panorama 虛擬機器，CVE-2022-0028也已作為Palo Alto本月發布的更新一部分得到解決。

鑑於駭客積極開採，CISA建議受影響產品的用戶應用相關修補以減輕潛在威脅，並下令美國聯邦民事行政部（FCEB）必須在 2022 年 9 月 12 日之前更新到最新版本。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日系產險公司-台灣佳朋保險經紀人SOMPO，公告遭網路攻擊

Posted on 2022 年 8 月 23 日2023 年 2 月 13 日 by blogadmin

日本母公司SOMPO Holding同時發出聲明，強調攻擊僅限於台灣子公司，不影響集團的其他公司

8月23日，台灣佳朋保險經紀人(SOMPO Taiwan Brokers-STB)在其官網宣布遭受網路攻擊，在發現攻擊後立即採取網路中斷措施，以防止損害擴大。目前，針對是否存有資料外洩，已委請外部機構進行調查及分析，並已通報政府機構與調查當局，STB承諾會與外部資安機構及調查單位作出最適當的應對。直至目前尚不清楚此起網路攻擊的性質，是否為勒索軟體攻擊。竣盟科技截至目前尚未在任何主流的勒索軟體揭秘網站上，看到任何勒索團體聲稱已入侵STB。

STB的日本母公司SOMPO Holdings同時在今天證實此次網路攻擊事件https://www.sompo-hd.com/

Sompo Holding的聲明與STB類似，但進一步強調稱攻擊僅限於台灣子公司，不影響集團的其他公司。

STB是日本SOMPO Holdings在台灣獨資之保險服務據點，總公司於1888年成立，在全球32個國家地區擁有據點。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”