竣盟科技 - Billows 技術/情資訊息分享

中國國家級駭客組織RedAlpha針對全球人道主義、智囊團和政府發動大規模憑證盜竊活動

Posted on 2022 年 8 月 18 日2023 年 2 月 13 日 by blogadmin

研究稱RedAlpha對台灣非常關注，包含民進黨、美國在台協會、國防安全研究院和外交部等都是其目標。此APT駭客組織擅長利用假冒但逼真的登入網頁進行釣魚攻擊，達到竊取帳號憑證的目的。

RedAlpha製做假冒我國外交部的登入網頁進行釣魚攻擊 Photo Credit: Insikt Group

根據Recorded Future旗下Insikt Group的研究指出，中國APT客組織RedAlpha至少自 2015 年以來一直以”高速”運作，但直到 2018 年才引起資安全人員的注意，RedAlpha專門從事大規模憑證收集，通過令人信服的網路釣魚電子郵件和附加的 PDF檔案來實現，將受害者導入假冒但逼真的登錄頁面，以竊取用戶名和密碼等登陸憑證。分析師稱，自 2019 年以來該活動進一步增加，在過去三年中，觀察到 RedAlpha 註冊和武器化350個網域名，以進行網路間諜活動，欺騙各大組織，利用大量網域名仿冒人道主義、智庫和政府組織當中包括：

自由亞洲電台(Radio Free Asia)

德國墨卡託中國研究所( Mercator Institute for China Studies)

大赦國際(Amnesty International)

國際人權聯合會International Federation for Human Rights

美國商會（包括台灣美國商會）American Chamber of Commerce( including AmCham Taiwan)

普渡大學(Purdue University )

印度國家資料中心(India’s National Informatics Centre)

台灣民進黨(Taiwan’s Democratic Progressive Party)

美國在台協會(American Institute in Taiwan)

全球多個國家的外交部(Ministries of foreign affairs in multiple countries globally)

值得注意的是，報告指出，隨著在過去一年美中在台灣問題上關係日益緊張，RedAlpha對台灣的機構特別感興趣，包含民進黨、美國在台協會，國防安全研究院和外交部等都是其目標。此外還發現，RedAlpha還對巴西、越南和葡萄牙的外交部以及印度國家資料中心進行了憑證盜竊攻擊，RedAlpha使用以下與台灣組織有關的假冒網域名:

根據Insikt Group的分析，RedAlpha維護著龐大的運營基礎設施，目的是針對與這些組織直接相關的個人，而不是簡單地模仿這些組織來針對其他第三方。據信RedAlpha與一家名為江蘇君立華域信息安全技術股份公司（前身為南京青苜信息技术有限公司）的中國信息安全公司有關聯，RedAlpha用來註冊假冒的惡意域名的一個電郵地址與此公司有關聯，而江蘇君立華域信息公司正與多家中國政府所有的企業有業務往來，突顯了RedAlpha 活動與中國政府有關聯。

有關RedAlpha的”部分”入侵指標(Indicator of compromise -IOCs):

SHA 256

ff1b335b8c25f5879935933b05a4ae0d3a424f3c6f797dbe9b3d93f5e67cc055

fe93dc40b80e7a5f5ca35f5efdeefe043caffe20befaa3345ffe3560fe54518d

f3384e36784f88f2c83ff524f99accbc7bb3b2804a936c0d9cf10da749eca10d

d1deb6661df0414663012dac208bda9db1a6ed964d6da022ab8b4763cbb37f48

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體搞烏龍，錯認受害者?! Clop駭入英國供水商South Staffordshire Water卻稱Thames Water是其受害者

Posted on 2022 年 8 月 17 日2023 年 2 月 13 日 by blogadmin

英國South Staffordshire Water是一家每天為160萬名消費者提供 3.3 億升飲用水的公司，證實遭受網路攻擊，導致 IT 中斷。

8 月 15 日，South Staffordshire Water公告遭網路攻擊，IT系統中斷但沒有影響向其客戶或其子公司Cambridge Water 和 South Staffs Water的客戶供水，表示安全和配水系統仍在運行，該公司表示正在與英國政府和監管機構合作解決IT 中斷這一事件。

與此同時，Clop勒索軟體組織開始威脅Thames Water，聲稱已告知Thames Water其網路安全漏洞，雖然沒有加密他們的數據，但從其系統中盜取 5TB，並公佈了第一個被盜數據樣本，其中包括護照，水處理SCADA系統的螢幕截圖，駕駛執照等。Thames Water 是英國最大的水供應商和廢水處理供應商，服務於大倫敦地區和泰晤士河周邊地區。

然而，Thames Water今天通過一份聲明正式駁斥這些說法，稱有關Clop入侵其網路的報導是網路騙局。

根據BleepingComputer，在取得的證據樣本中，Clop 提供了一個包含用戶名和密碼的電子表格，其中包含 South Staff Water 和 South Staffordshire 的電郵address，如下所示:

另外，其中一份發送給目標公司的外洩檔案明確寫給了 South Staffordshire PLC。因此，相信Clop錯誤地識別了他們的受害者，或者試圖使用虛假證據敲詐一家更大的公司。

隨後，Clop糾正了他們的錯誤，現將 South Staffordshire Water 列為其受害者。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國CISA和FBI對針對醫療機構的勒索軟體Zeppelin發出警報，並發布有關緩解指南

Posted on 2022 年 8 月 12 日2023 年 2 月 13 日 by blogadmin

美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 發布了關於 Zeppelin 勒索軟體即服務 (RaaS) 操作的聯合安全警報，根據統計自2019年到 2022 年 6 月間，該操作除了廣泛針對醫療保健和醫療領域的組織之外，也發現攻擊包括國防承包商、教育機構、製造商、技術公司等組織。

Zeppelin勒索軟體是基於 Delphi 的 Vega 惡意軟體的變種，已觀察到攻擊者使用各種向量來獲得對受害者網路的初始存取權限，尤其是利用遠端桌面協議 (RDP)、SonicWall 設備中的漏洞、面向 Internet 的應用程式中的漏洞以及網路釣魚電子郵件，基於網路釣魚的攻擊結合使用惡意鏈接和包含惡意宏的附件。

在部署勒索軟體有效酬載之前，攻擊者通常會在受害者的網路中花費大約 1-2 週的時間。在此期間，他們枚舉受害者的網路，識別感興趣的資料，包括備份和雲端存儲服務，並洩露敏感數據，然後發出贖金要求，通常以比特幣形式發出，要求從幾千美元到超過一百萬美元不等。

FBI 觀察到多次攻擊，Zeppelin在受害者的網路中多次執行惡意軟體的情況，這意味著受害者擁有多個 ID 和副檔名，導致需要多個不同的解密工具來恢復他們的檔案，這增加了從攻擊中恢復的複雜性。

CISA 和 FBI 共享了入侵指標 (IoC) 和 Yara rules，以幫助網路防禦者識別正在進行的攻擊並在檔案加密之前阻止攻擊，還共享了緩解措施以降低妥協的風險，其中包括：

*根據美國國家標準與技術研究院（NIST）發佈的最新標準為所有帳戶制定和管理密碼策略

*為所有數據制定可靠的備份計劃 – 創建數據和伺服器的多個備份，將這些備份存儲在單獨的、分段的和安全的位置，加密備份並測試備份以確保可以進行檔恢復

為所有服務（尤其是用於訪問關鍵系統的 Web 郵件、VPN 和帳戶）實施多因素身份驗證。

*確保所有軟體和韌體保持最新

*在所有主機上安裝防病毒軟體並定期更新軟體

*對所有具有管理員許可權的用戶帳戶進行定期審核

*應用最小特權原則

*為管理員級別及更高級別的帳戶實施基於時間的控制

*禁用所有未使用的埠

*禁用收到的電子郵件中的超連結，併為來自外部來源的所有電子郵件添加橫幅

*禁用命令行和腳本活動和許可權，以防止橫向移動。

FBI鼓勵受害者與其分享資訊，敦促如在企業網路中檢測到 Zeppelin 勒索軟體活動的 IT 管理員，應與其共享任何相關攻擊的資訊。有助於識別該勒索軟體背後攻擊者的有價值數據包括“顯示與外國 IP 地址之間的通信的邊界日誌、勒索信樣本、與Zeppelin參與者的通訊、比特幣錢包資訊、解密檔案和/或一個良性樣本的加密檔案。”

最後，FBI 補充說，它不鼓勵向 Zeppelin 支付贖金，並建議受害者不要這樣做，因為他們無法保證支付贖金會防止數據洩露或未來的攻擊。

有關Zeppelin的”部分”入侵指標(Indicator of compromise -IOCs):

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

發現不同的 網 路犯罪集團對數家知名中國企業出手，上海復星集團，中國電信等紛紛上榜

Posted on 2022 年 8 月 10 日2023 年 2 月 13 日 by blogadmin

竣盟科技最近觀察到一系列對中國企業的網攻情形，包含中國跨國集團上海復星遭LockBit3.0的入侵、中國電信(China Telecom)遭網路僱傭軍集團Atlas Intelligence Group攻擊、中國最大的民營能源公司新奧集團ENN Group遭Hive勒索軟體加密。

上海復星集團

8 月 9 日，操作勒索軟體LockBit 3.0 駭客，在其揭秘網站LockBit Leaked Data上宣稱已入侵中國復星集團，並同時發佈多達11個檔案作為入侵證據，公佈已盜200+ GB 的數據。值得一提的是LockBit聲稱以密碼123456闖入復星的網路，並嘲諷他們不應使用該組容易被破解的弱密碼。此外， LockBit 給復星長達33天的期限，來談判有關支付贖金的事宜。

中國電信

8 月 7日，Atlas Intelligence Group(A.I.G)，也被稱為亞特蘭蒂斯網軍，在其 Telegram頻道上，公佈已成功入侵中國電信，隨後在8 月 9 日，即公開中國電信約6Gb/122 json 檔案作為證據樣本，猜測外洩的數據來自未被保護Elastic cluster。

被懷疑是A.I.G.的首腦Mr. Eagle在Telegram上提供中國電信的樣本

根據Cyberint的一份報告，網軍A.I.G於今年五月浮出水面，銷售的服務包括數據洩露、分佈式拒絕服務(DDoS)、遠端桌面 (RDP) 連線劫持和其他網路滲透服務。

新奧集團

另外，8 月 4日，Hive勒索軟體披露加密了中國最大的民營能源公司新奧集團(ENN Group)，ENN Group是中國最大的清潔能源分銷商，主要業務爲在中國投資、建設、經營及管理燃氣管道基礎設施、車船用加氣站及綜合能源項目，銷售與分銷管道燃氣、液化天然氣及其他多品類能源，集團在中國擁有187 個城市燃氣項目。Hive公佈加密日期為2022 年 7 月 6 日，目前仍未沒有看到任何數據的樣本，估計如果雙方的談判破裂，ENN Group被盜的數據將很快被公佈。

不能不提的是，2022 年6 月底韓國網絡安全機構 KISA，針對Hive勒索軟體v1-v41版本 4發布了一個免費的解密工具。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

駭客攻擊導致丹麥全國7-11無法使用收銀機及支付系統，約175家門市緊急關店

Posted on 2022 年 8 月 9 日2023 年 2 月 13 日 by blogadmin

丹麥週一(8/8)的早上，全國7-11門市緊急關閉。據悉，由於當天凌晨發生網路攻擊，丹麥7-11官方Facebook 帳號發文稱他們很可能受到駭客攻擊，其全國範圍的支付和結帳系統遭入侵，導致無法使用收銀台和付款，致使丹麥所有的 7-11暫停營業。

丹麥7-11表示，現階段他們正在了解受駭範圍，將盡快釐清並恢復。目前尚未透露何時重新營業。

根據BleepingComputer，現在被已刪除的 Reddit 發文中，一名據稱位於丹麥的 7-11 員工證實了網路攻擊，稱在結賬系統癱瘓後，被迫關店，7-11員工在 Reddit上說，我是在 Strøget 的 7-11 工作，我們的結賬系統無法使用，全國所有的 7-11 都使用相同的系統，所以丹麥的所有 7-11 現在都關店。

目前，官方丹麥7-11沒有透露關於這次攻擊的更多細節，包括是否涉及勒索軟體，這已成為導致大規模中斷的最常見網路攻擊。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

裴洛西訪台前後，疑為中國駭客對台灣進行網路攻擊之概況

Posted on 2022 年 8 月 5 日2023 年 2 月 13 日 by blogadmin

8月2日，美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台前夕，多家本地媒體報導，總統府官網遭受到境外DDoS（阻斷服務攻擊）攻擊，攻擊流量為平日的200倍，導致官網一度無法顯示，經緊急處置，20分鐘內恢復正常，總統發言人張惇涵在其官方Facebook帳號證實此攻擊。除此之外，政府入口網站以及外交部網站2日疑似同樣遭到攻擊癱瘓，一度無法連上。

外交部在聲明中指出，這兩個網站都收到「來自中國、俄羅斯等地大量IP」每分鐘多達850萬次流量的請求。

8月3日，上午全台有多間7-11門市電視螢幕顯示「戰爭販子裴洛西滾出台灣」消息一出，統一超商回應，廠商受不明來源干擾播放訊息，已立即請廠商修復，門市營運正常。

此外，中國駭客還瞄準了台鐵電視螢幕，畫面上可見竟以簡體字寫著，「老巫婆竄訪台灣，是對祖國主權的嚴重挑戰；那些積極迎接的人，終將受到人民的審判；同種同族的血親關係割捨不段；偉大華夏終將統一」的惡意假訊息。

對此，台鐵表示，此為高雄新左營站售票大廳的電子看板，為資產開發中心出租廣告看板，出租出去後，3日上午10時突然被駭客入侵，同仁發現後，第一時間就先切掉線路，馬上斷電處理，並通知廠商做後續防護。

8 月 3 日同一天，疑為中國駭客APT 27，在Twitter上建立了一個名為APT27_Attack的帳號，高調地公開1支影片宣布對台灣發動特別網路行動，影片中蒙面男生以英文說：「全世界的公民你們好，我們是APT 27。最近我們注意到，裴洛西不顧中國和台灣同胞的反對造訪台灣，台灣自古以來都是中國的領地，為了反制挑釁，我們將對台灣發動一個特別網路行動，攻擊對象包括台灣政府和所有基礎設施。讓我們拭目以待，祝你們好運！」影片字幕為簡體字。

https://twitter.com/APT27_Attack/status/1554773005586157568

此外，該用戶聲稱已經入侵六萬臺物聯網(iOT)設備，並在另1個推文寫道：「我們不屬於政府，我們來自全球各國，至於有人把我們和惡名昭彰的APT 27比較，我們要說的是，我們是27 Attack，也可以叫我們27，我們已經完成任務了。」

8 月 4 日晚，高市環保局網站遭駭客入侵，首頁遭惡意植入中國五星旗，環保局表示先行關閉網站，將持續積極修復。

直到目前為止，環保局網站仍未修復完畢，網站顯示「本網站維護中暫停服務，造成不便，請見諒！」

8 月 5日，Twitter用戶APT27_Attack聲稱將公佈他們對台灣發動過的攻擊，並發布台灣相關設備的零時差漏洞。

面對持續發生的駭客攻擊事件，組織應加強資安維運暨系統防護，持續監控，內、外網都應做好防範措施。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

BlackCat勒索軟體入侵了歐洲能源供應商，Encevo Group旗下兩家子公司受影響，數據外洩露，電話線路及客戶管理系統無法使用

Posted on 2022 年 8 月 3 日2023 年 2 月 13 日 by blogadmin

根據多家資安外媒報導，總部位於盧森堡的兩家公司正在努力應對上周開始的勒索軟體攻擊，這是涉及歐洲能源公司的一系列事件中的最新一起。在 7 月 25 日Encevo Group 表示，其2間主要子公司Creos（管理電力與燃氣網）和Enovos Luxembourg(負責向盧森堡和德國的多元化投資組合客戶出售能源)是7 月 22 日晚，網路攻擊的受害者。Encevo Group指出此次攻擊中斷了兩家公司的客戶入口網站，但未影響電力和天然氣的供應，Encevo Group是由盧森堡政府和包括中國南方電網國際在內的其他幾家公司所有。Encevo Group在五個歐洲國家(盧森堡、德國、法國、比利時與荷蘭)擁有能源供應業務，是盧森堡最大的能源公司，為超過 285,000 名客戶提供電力，為 47,000 名客戶提供天然氣。

Creos在上週的一份聲明中證實，其電話線路及客戶管理系統無法使用，沒有進一步說明其他細節，然而其母公司Encevo Group在 7 月 28 日的新聞稿中寫道，“一定數量的數據從電腦系統中外洩露或因駭客攻擊無法存取。” 目前 Encevo Group無法估計影響的範圍，懇請客戶耐心等待調查結束，屆時將個別通知客戶，Encevo Group表示建立了一個專門的網頁，用於發佈消息，將隨著Creos 和Enovos發展的情況進行更新。Encevo保證用戶的供應不會因攻擊而中斷，但建議客戶盡快重置他們的登錄詳細資料。

現在，資安公司Emsisoft威脅分析師 Brett Callow 表示，攻擊者是BlackCat勒索軟體組織-也稱為 Alphv，據熟悉，BlackCat竊取了 150 GB 的數據，共18萬個檔案，從截圖顯示這些數據包括合約、護照、賬單和電郵等，BlackCat聲稱在周一(8 月1日) 公開所有數據，但截至目前，尚未公佈任何數據。

歐盟網路安全局在週五(7/29)發布了一份報告，其中分析了 2021 年 5 月至 2022 年 6 月期間在歐盟發生的 623 起資安事件。報告發現，在勒索軟體攻擊期間，每月有 10 TB 的數據被盜和外洩，而超過 60 % 的組織可能已經支付了贖金。

針對 Encevo Group 旗下實體的攻擊是最近針對歐洲能源公司的眾多攻擊之一，這些攻擊在去年顯著增加。德國風電場運營商 Deutsche Windtechnik於 4 月因網路攻擊而癱瘓，而德國風力渦輪機製造商 Nordex在 3 月 31 日遭受網路攻擊後被迫關閉其多個地點和業務部門的 IT 系統。Nordex 事件是在對衛星通信公司 Viasat 的網路攻擊之後發生的，該攻擊導致德國 5,800 台 Enercon 風力渦輪機無法使用。

2 月，歐洲檢察官和網路安全官員開始調查影響幾個主要石油港口碼頭的勒索軟體攻擊，目標是比利時、荷蘭和德國的組織，包括該地區一些最大的港口。

德國物流集團 Marquard & Bahls 旗下的石油公司 Oiltanking 和 Mabanaft在 2 月份遭受了網路攻擊，導致其裝卸系統癱瘓。Oiltanking表示，這是不可抗力的攻擊事件，迫使殼牌將石油供應改道至其他油庫。德國報紙 Handelsblatt稱，由於這次襲擊，德國各地的 233 個加油站現在不得不手動運行一些流程。德國聯邦資料安全辦公室的一份內部報告稱，BlackCat 勒索軟體組織是對石油公司的網路攻擊的幕後黑手。

美國FBI 在 4 月發布的警報稱，截至 3 月，執法機構已追踪到 BlackCat 組織發起的至少 60 次勒索軟體攻擊。根據警報，BlackCat是第一個使用 RUST 成功攻擊這麼多受害者的勒索軟體組織，RUST是一種許多人認為比使用其他編程語言更安全的程式語言。

資安公司Emsisoft 表示，BlackCat 很可能是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand)，而BlackMatter又是 DarkSide 的改名，該組織因去年攻擊美國美運油供應商 Colonial Pipeline而臭名昭著，更導致美國總統拜登宣布全國進入緊急狀態。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

Posted on 2022 年 8 月 2 日2022 年 8 月 3 日 by blogadmin

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標，該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示， LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程式DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵，一旦運行惡意 DLL 以解密系統，就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下，最初的網路入侵是通過未修補的 VMWare Horizon 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同，攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案，以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式，它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時，MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL，該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中，攻擊者建立了自己的mpclient.dll武器化版本，並將其放置在優先載入惡意版本 DLL 檔案的位置，再將從 c0000015.log 檔案（加密的Beacon）載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon，但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍；因此，企業需檢查他們的安全控制，並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

專家在技嘉和華碩 主機板UEFI韌體上發現名為「CosmicStrand」的惡意程式

Posted on 2022 年 7 月 29 日2023 年 2 月 13 日 by blogadmin

資安公司Kaspersky(卡巴斯基)的安全威脅研究團隊在 UEFI 韌體發現了一個名為“CosmicStrand”的rootkit惡意程式，卡巴斯基將其歸咎於會講中文的駭客。UEFI (Unified Extensible Firmware Interface) 即統一可延伸韌體介面，用來定義作業系統與系統韌體之間的軟體介面，作為BIOS的替代方案，負責啟動裝置，再將控制權交給載入作業系統的軟體，通常存放在主機板的快閃記憶體中。CosmicStrand 是在受感染的華碩（ASUS）和技嘉（Gigabyte）UEFI韌體中發現的 rootkit惡意程式，就算重新安裝Windows或換掉硬碟都無法刪除CosmicStrand，目前尚不清楚攻擊者如何將 rootkit 注入韌體image中。

Kaspersky研究人員在報告中表示，注意到所有這些image都與使用英特爾(Intel)的H81晶片組的設計有關，這表明可能存在一個漏洞，允許攻擊者將他們的 rootkit 注入UEFI韌體的image中。

據稱，確認的受害者是位於中國、越南、伊朗和俄羅斯的個人，與任何重要組織沒有明顯的關聯，Rootkit 是一種能夠將自身嵌入操作系統最深層的惡意軟體植入物，為攻擊者提供了長時間的隱身和持久性。

CosmicStrand 是一個只有 96.84KB 的檔案，儘管感染的初始存取向量有些神秘，但攻擊後的操作涉及對名為 CSMCORE DXE 的驅動程式進行更改，以將程式碼執行重定向到攻擊者控制的網段，該網段旨在系統啟動期間運行，最終導致在 Windows 中部署惡意軟體。攻擊的目標是篡改操作系統載入過程，在每次啟動時將內核級植入程式部署到 Windows 機器中，並使用這種根深蒂固的存取權限來啟動連接到遠程伺服器的 shellcode 以獲取要在系統上執行的實際惡意酬載。

雖然卡巴斯基發現的 CosmicStrand 變種是較新的，但奇虎 360 的研究人員在 2017 年披露了有關該惡意軟體早期版本的細節，認為這種惡意程式是2016-17 年就已經存在的Spy Shadow 特洛伊木馬的變種。根據奇虎 360的報告，受感染的系統運行在所有者從在線上購買的二手華碩主機板上，提出了程式碼修改可能是從二手經銷商處獲得存在後門的主機板的可能性。

另外，卡巴斯基發現CosmicStrand發現與早期的殭屍網路“MyKings” 的程式碼模式存在許多相似之處。My Kings起源於中國，因此卡巴斯基認為新的 CosmicStrand rootkit 也源於中國。

CosmicStrand惡意程式的部分入侵指標(Indicator of compromise -IOCs):

Hostname:

www.erda158.top

update.bokts.com

SHA 256:

951f74882c1873bfe56e0bff225e3cd5d8964af4f7334182bc1bf0ec9e987a0a

25969ab58383a5fdc53e9861a25c3ed90813e4e5fcc9d8a99df5e9f74b427474

SHA1:

ecbbded5b85f61686377f7592dacb25c264e9908

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit勒索軟體集團聲稱入侵了意大利稅務局，並竊取了100MB數據!

Posted on 2022 年 7 月 27 日2023 年 2 月 13 日 by blogadmin

7月 25日，LockBit勒索軟體集團聲稱從意大利稅務局(Agenzia delle Entrate)竊取了 100GB 的數據，並威脅說如果在 8 月 1 日之前不支付贖金，就會洩露這些數據。在一份簡短的新聞稿中，意大利稅務局表示，已要求負責管理稅務局IT 基礎設施的國有公司 SOGEI (Società Generale d’Informatica) SPA調查這起宣稱入侵事件並提供反饋和澄清。SOGEI SPA隨後在一份聲明中告訴彭博社，稱從進行的技術調查來看，排除了對稅務局網站的網路攻擊可能性，也沒有發現有數據從金融管理部門的技術平台和基礎設施中的洩露跡象，並補充說正在與意大利國家網路安全局和警方合作，以持繼進行的調查，因此無法提供進一步的細節。

然而，LockBit提供了8張截圖作為攻擊的證明，聲稱從稅務局竊取了包括公司檔案、掃描檔案、財務報告和合約等資料。SOGEI SPA(即意大利通用電腦協會)還負責管理其他意大利機構使用的 IT 基礎設施，包括司法部、內政部和教育部、州檢察長和財政部。

根據資安供應商 Digital Shadows 的數據，LockBit是第二季度最活躍的勒索軟體組織，佔勒索軟體攻擊事件的 32.77%，有 231 名受害者。LockBit 的受害者人數是其他勒索軟體的三倍多，Conti勒索軟體則位居第二。

LockBit勒索軟體自2019 年以來一直活躍，今年 6月底發布了最新版本的LockBit 3.0，一個關鍵的變化是引入了漏洞賞金計劃，LockBit向發現其勒索軟體的漏洞，可以改善其網站或使用工具的建議人士提供 1,000 到 100 萬美元的獎賞。

LockBit 3.0 勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

SHA 256:

506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51

d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e

80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”