FBI 針對勒索軟體會員(Ransomware affiliate )首次發出警報,直接點名”OnePercent Group”

Posted on by blogadmin

美國聯邦調查局(Federal Bureau of Investigation;FBI) 在8月23日,針對勒索軟體會員的作案手法發布了其首個公開警報(警報編號為CU-000149-MW的FBI Flash )。勒索軟體會員(Ransomware affiliate) 一個相對較新的術語,是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。

美國聯邦調查局點名的勒索軟體會員為”OnePercent Group”,FBI表示該團體至少自 2020 年 11 月以來一直活躍,積極針對組織進行勒索軟體攻擊。根據 FBI 警報,該團體主要依靠以下策略進行攻擊:

*利用網路釣魚電子郵件活動用 IcedID 木馬感染受害者。

*利用 IcedID 木馬在受感染的網路上部署額外的payloads。

*利用 Cobalt Strike 滲透工具在受害者的網路中橫向移動。

*利用 Rclone 從受害者的伺服器中竊取敏感數據。

*加密數據並要求贖金。

*給受害者打電話或發電子郵件威脅說,如果他們不付款,就會在暗網上出售他們被盜的數據。

OnePercent Group是知名勒索軟體REvil、Maze 和 Egregor 的會員

雖然 FBI 沒有指出OnePercent Group哪一個勒索軟體的會員,但根據業內人士的消息,OnePercent Group與運作 REvil (Sodinokibi) 勒索軟體的駭客有長期合作,並且還與 Maze和 Egregor合作。雖然 FBI 沒有提供有關 OnePercent Group 過去攻擊的任何資訊,但 FBI 的 IOC 列表中提到的兩個C2伺服器(golddisco[.]top 和 june85[.]cyou)也出現在 FireEye 關於 UNC2198 駭客組織的報告中,該駭客組織利用IcedID 部署了 Maze 和 Egregor 勒索軟體。

有關 OnePercent Group的入侵指標(Indicator of compromise -IOCs):

Onion Domain:

5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad.onion

IPs and Domains

157.245.239.187

31.187.64.199

206.189.227.145

167.71.224.39

80.82.67.221

138.197.179.153

134.209.203.30

nix1.xyz

golddisco.top

delokijio.pw

june85.cyou

intensemisha.cyou

biggarderoub.cyou

d30qpb9e10re4o.cloudfront.net

SHA256

Rclone.exe (64 bit)

ECA9FAC6848545FF9386176773810F96323FEFF0D575C4B6E1C55F

8DB842E7FE

SHA1

Rclone.exe (64 bit)

C00CFB456FC6AF0376FBEA877B742594C443DF97

SHA256

Rclone.exe (32 bit)

E70ED531C8A12E7ECCE83223D7B9AA1895110DC140EDF85AFC31C

8C5CD580116

SHA1

Rclone.exe (32 bit)

A1D985E13C07EDDFA2721B14F7C9F869B0D733C9

TOR URL: http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty

3zad. Onion

日本加密貨幣交易所 Liquid的熱錢包遭駭客入侵,被盜約9700 萬美元

Posted on by blogadmin

Key Points:

* Liquid的新加坡子公司Quoine PTE疑是駭客攻進的破口

*Liquid 還公佈了攻擊者的錢包地址

8月19日,總部位於東京的加密貨幣交易所 Liquid 表示,駭客入侵了其伺服器並竊取了以今天的匯率估計至少價值約 9700 萬美元的加密資產,為了應對這次攻擊,交易所將資產轉移到離線存儲的冷錢包中,另外要求用戶不要將加密貨幣資產存入他們的 Liquid 錢包,暫停了存取款服務,這起攻擊事件目前仍然在調查中,但根據日本Liquid的部落格發文,此次攻擊追溯到 Liquid 的新加坡子公司 Quoine PTE,並表示是因Quoine PTE的多方計算(Multi-Party Computation,MPC)錢包遭駭客入侵所引起,但也沒有再透露更多細節。

區塊鏈分析公司Elliptic追踪到 Liquid被盜的資金,確定被盜貨幣價值將近 1 億美元,並表示駭客使用去中心化交易所(例如 Uniswap 和 SushiSwap)將其中有價值4500萬美元的加密貨幣,透過去中心化交易所轉換成以太幣,以避免資產被凍結。據了解,這已不是 Liquid 第一次遭到駭客攻擊,2020 年 11 月底,該交易所也曾遭駭客攻擊,雖然沒有任何加密資產的損失,但駭客成功盜取其顧客資料。

Liquid 還公佈了駭客的錢包地址,分別爲:

BTC 地址:1Fx1bhbCwp5LU2gHxfRNiSHi1QSHwZLf7q

ETH 地址:0x5578840aae68682a9779623fa9e8714802b59946

TRX 地址:TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

XRP 地址:rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

上週,另一起針對加密貨幣的攻擊,一名綽號為Mr. White Hat的駭客從 Poly Network竊取了價值 6 億美元的加密貨幣,後來表態歸還,並獲Poly Network邀他出任首席安全顧問。

新型勒索軟體Hive作惡,致使美國醫療連鎖機構使用的Memorial Health System的IT系統大當機,病患個資遭外洩。

Posted on by blogadmin

Key Points:

*Hive的攻擊使美國西維吉尼亞州及俄亥俄州的三家醫院,數十個門診,被迫取消預約的手術,患者被迫轉移至其他醫療機構。

*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等

*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構

Image

“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。

Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。

Hive是一種新型的勒索軟體,於2021年6月浮出水面,儘管活動時間很短,但已經發起多次攻擊,Hive跟其他勒索軟體一樣,在暗網設有揭秘網站,一個名為Hive Leaks的網站,用作公開受害者有關數據和資訊以作威脅與敲詐,勒索軟體攻擊導致醫療系統長時間當機和其他系統的中斷給醫護帶來了嚴峻的挑戰和驚人的影響。2021年 5 月份Scripps Health遭勒索軟體攻擊,長達一個月的網路中斷,醫院公布有14萬餘病人資訊被洩漏,6月份病患提告Scripps Health未能保護其個資,該事件總共造成1.127 億美元的損失。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain: hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion

SHA 1: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

SHA 256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA 256: fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

SHA 256: e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e

SHA 256: c04509c1b80c129a7486119436c9ada5b0505358e97c1508b2cfb5c2a177ed11

IT顧問巨頭埃森哲(Accenture)遭LockBit2.0勒索軟體攻擊,被盜6TB 數據,勒索5千萬美元

Posted on by blogadmin

財富 500 強公司埃森哲(Accenture)已成為LockBit2.0勒索軟體攻擊的受害者, 在8月11日表示,該事件並未影響其營運,並且已經從備份中恢復了受影響的系統。儘管埃森哲強調未受影響,但根據資安公司 Cyble,LockBit2.0取得了 6TB 的數據並要求 5,000 萬美元的贖金,同時也表示他們的入侵可能是在埃森哲的內鬼(insider)幫助下達成的, 外媒ZDnet還報導稱,網路犯罪情報公司 Hudson Rock表示,有 2,500 台員工和合作夥伴的電腦在此次LockBit2.0攻擊中遭到入侵, 另外根據Darkfeed,取得了有關LockBit2.0分享進入埃森哲網路的證據(包含帳號密碼等)。據Darkfeed的說法,LockBit2.0是從埃森哲旗下的子公司”Industry X”的雲端環境下進行入侵和加密的,同時也表示為內鬼通外鬼所作的。

8月初,BleepingComputer曾報導,LockBit2.0積極招募目標企業的內鬼,幫助他們入侵和加密企業的網路,並會以百萬美元作為報酬。

LockBit2.0是LockBit背後的駭客在今年6 月底升級的版本,主打各項性能提升,稱其最新的工具StealBit是世上最迅速盜竊數據的神器,包括加密 100 GB 的資料只要 4 分 30 秒、回傳資料速率高達 100GB/20 分鐘,表現的數據凌駕在其他知名的勒索軟體如 REvil、DarkSide、Ragnar Locker、Thanos等

LockBit2.0加密速度對比表

自7月至今,LockBit2.0攻擊的個案激增,澳洲的網路安全局(ACSC)亦於早前發布警告,提醒企業提防此勒索軟體的入侵。據觀察。據觀察,LockBit2.0沒有特定的攻擊國家,包含台灣某電阻公司也於七月份受其攻擊。另外東南亞國家如越南,馬來西亞,新加坡等也有LockBit2.0的受害者。

LockBit2.0自七月起,其揭秘網站上的受害者激增,附圖為一小部分
此日本公司也被LockBit2.0攻擊

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

研究人員發現了新的eCh0raix勒索軟體的變種,同時針對兩家NAS供應商威聯通與群暉發動攻擊

Posted on by blogadmin

根據Palo Alto Networks資安研究人員的一份報告,eCh0raix 勒索軟體,也稱為 QNAPCrypt,現在有一個新的變種,可同時感染 QNAP (威聯通)和 Synology(群暉) 網路附加存儲(NAS)設備。

eCh0raix 勒索軟體早在2019年以來就一直活躍,並以攻擊存儲大量數據的NAS為攻擊目標,eCh0raix利用已知的漏洞進行暴力攻擊針對QNAP製造的易受攻擊的NAS伺服器。該勒索軟體被Intezer追踪為“QNAPCrypt” 被 Anomali追踪為“eCh0raix”,是用Go語言編寫,並使用AES 加密演算法來加密檔案。

今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零時差漏洞,用eCh0raix勒索軟體攻擊其NAS設備。而安全專家也觀察到,4月19日至26日期間遭eCh0raix勒索軟體的攻擊激增。同時,QNAP還警告其用戶AgeLocker勒索軟體攻擊的爆發。

2019年,Anomali研究人員還報告了一波eCh0raix針對Synology NAS設備的攻擊,攻擊者利用了暴力破解的方式入侵。

近日,Palo Alto Networks的Unit 42的研究人員發現一種新的eCh0raix變種,是有史以來第一次支援同時攻擊上述兩家供應商NAS設備的勒索軟體。

“Unit 42研究人員發現了一種針對Synology NAS和QNAP NAS設備的eCh0raix勒索軟體的新變種。攻擊者還利用CVE-2021-28799向QNAP設備投遞新的eCh0raix勒索軟體變種。”報告指出:“雖然eCh0raix是已知的勒索軟體,它歷來在不同的活動中分別針對QNAP和Synology的NAS設備,但這個新變種是觀測到的,首次具備同時攻擊QNAP和Synology NAS設備的功能,這表明一些勒索軟體開發人員正在投資針對優化SOHO居家辦公環境中常見的設備。”

根據來自 Cortex Xpanse的數據,Palo Alto 研究人員表示,約有 250,000 台 QNAP 和 Synology NAS 設備暴露在互聯網上。攻擊者分別對於兩個廠牌的設備,利用了CVE-2021-28799漏洞攻擊與暴力破解的方式入侵。

研究人員為保護家庭辦公室免受勒索軟體攻擊提供了以下建議:

*更新設備韌體,防止此類攻擊

*採用複雜的登錄密碼

*允許特定IP位址的裝置才能連線

有關eCh0raix勒索軟體新的變體的入侵指標(Indicator of compromise -IOCs):

Domain: veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion

URL: http://2.37.149.230/1/crp_linux_arm

URL: http://2.37.149.230/1/crp_linux_386

IPv4: 98.144.56.47

IPv4: 64.42.152.46

IPv4: 183.76.46.30

SHA 256: fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349

fe4efccf56f989bf1b326dd9890681d21c97309fee61fdac8eb2081398e4d2b1

f6f6e34e93c4ec191807819bd0a3e18fe91bd390ec6c67fadc970d01c25f517b

d2ebe2a961d07501f0614b3ba511cf44cb0be2e8e342e464a20633ed7f1fc884

4691946e508348f458da1b1a7617d55d3fa4dc9679fff39993853e018fc28f8e

3c533054390bc2d04ba96089302170a806c5cdb624536037a38c9ecb5aeea75d

3b93b18ae4f3aad450897e7d02346b843e38358a0c51b834d1971824c0a30b97

奢侈品牌香奈兒南韓分公司被駭客入侵,客戶個資外洩,韓國香奈兒道歉並承諾防止再次發生

Posted on by blogadmin

Key Points:

*香奈兒韓國分公司發生了資料庫不法存取事件,造成客戶個資外洩。

*被洩露的數據將成為社交工程和網路釣魚攻擊者手中的豐富資源。

*受香奈兒事件影響的潛在受害者數量未被公開,韓國香奈兒未提供任何身份盜用保護服務

Photo Credit:Chanel

據外媒Korea Times的報導,國際奢侈品牌香奈兒(Chanel)韓國分公司公司傳出客戶資料遭外洩,由於銷售的是昂貴奢侈品,高端客戶和貴婦們對其個資看待尤其嚴謹,因此,此事件在當地引起極大的關注。目前尚不清楚受數據洩露影響的客戶是否會對這家法國奢侈品牌的韓國公司採取法律行動。

香奈兒通知其客戶稱,駭客在 2021 年 8 月 5 日至 8 月 6 日期間入侵韓國香奈兒(Chanel Korea)管理的數據中心,由於這是存儲客戶資料的地方,因此造成敏感資料被存取甚至複製。

據了解已洩露的個資包括:姓名、生日、電話號碼和產品購買清單,同時還包含同意提供其地址、性別和電子郵件的客戶個資也被竊取了,但這家法國奢侈品牌補充說,被盜數據不包括註冊會員的用戶名和密碼。

韓國香奈兒在6日發現事件後,立即封鎖了IP和非法存取路徑,修補了用於破壞網路的漏洞,目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局(Korea Internet & Security Agency,KISA) 和個人信息保護委員會 (PIPC) 進行調查,韓國香奈兒也稱,這次駭客入侵攻擊沒有對其他系統造成損害。

目前尚不清楚此事件是單一事件(只在南韓)或有機會影響全球香奈兒的客戶。今年6月麥當勞遭駭,台灣、南韓客戶及員工個資被竊。

駭客分贓鬧不和,Conti勒索軟體遭會員爆料公開其攻擊和培訓的技術手冊

Posted on by blogadmin

提供勒索軟體即服務(Ransomware-as-a-Service, RaaS)的組織Conti,其會員因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊。據了解,該技術手冊內容含如何在被駭公司內部存取、橫向移動和升級存取權限,同時還包含如何在加密檔案之前將數據盜取等。

心懷不滿的Conti RaaS會員在XSS論壇發布的帖子

一般來說,操作Conti勒索軟體的核心團隊在每次分贓可賺取贖金的20-30%,而其餘部分的則由其會員賺取。此次的爆料事件,疑是因為Conti會員只分到了$1500美元,而核心成員卻分到過百萬美元所引起的。這名深深不忿的Conti會員,今天將Conti的資訊包括Cobalt Strike C2伺服器的 IPs和包含大量工具和用於進行勒索軟體攻擊的培訓資料約 110 MB 的存檔,上傳到XSS駭客論壇,引起轟動。

快把Conti的IPs阻擋起來- 162.244.80.235/ 85.93.88.165/185.141.63.120/ 82.118.21.1

另外,根據國外資安媒體報導,外洩的手冊包含有關如何執行以下操作的指南:

*使用 MEGA 帳戶配置 Rclone軟體以進行數據洩露

*將AnyDesk 軟體配置作為受害者網路中的持久性和遠端存取的方法[一種已知的 Conti 策略

*配置和使用 Cobalt Strike

*使用 NetScan 工具掃描內部網路

 *在虛擬專用服務器 (VPS) 上安裝 Metasploit 滲透測試框架

*使用Ngrok 安全隧道通過 RDP 連接到被駭的網路

*在公司的被駭網路中提升並獲得管理員權限

*接管網域控制器

*從 Active Directory 轉儲密碼(NTDS 轉儲)

*執行 SMB 暴力攻擊

*強力路由器、NAS 設備和安全攝像頭

*使用 ZeroLogon 漏洞

*執行Kerberoasting攻擊

*禁用 Windows Defender 保護

*刪除卷影副本

*會員如何配置自己的操作系統以使用 Tor 匿名網路等

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

美國NSA和CISA聯合發布了有關 Kubernetes的安全性補強指南

Posted on by blogadmin

美國國家安全局 (NSA) 和網路安全與基礎設施安全局 (CISA)發布了一份 59 頁有關強化 Kubernetes 集群的安全技術指南,以加強組織的 Kubernetes 系統的安全性。

Kubernetes最初由 Google 工程師開發,後來在 Cloud Native Computing Foundation 下開源, 是一種流行的開源解決方案。Kubernetes 主要用於基於雲的基礎架構,允許系統管理員使用軟體容器輕鬆部署新的 IT 資源。它提供了更大的靈活性,但也經常成為攻擊者的目標,該報告建議對Kubernetes系統進行加固。

由於 Kubernetes與傳統的單體式軟體平台不同,因此許多系統管理員常遇到了安全性錯誤配置的問題。在過去幾年中,發現一些加密貨幣採礦殭屍網路營運組織針對這些錯誤配置,威脅參與者掃描互聯網上的 Kubernetes Management feature,這些功能在沒有身份驗證的情況下暴露在網上,或在大型 Kubernetes 集群上運行的應用程式(如 Argo Workflow或 Kubeflow),獲得對 Kubernetes 後端的存取權限,然後使用此存取權限在受害者的雲端基礎設施內部部署加密挖礦程式。這些攻擊在 2017 年初開始發生,但現在已到達多個威脅參與組織爭相在攻擊同一錯誤配置。

CISA 和 NSA 的聯合報告還詳細介紹了公司和政府機構可以實施的基本緩解措施,以防止或限制 Kubernetes 被入侵的嚴重程度。這些包括:

*掃描容器和 Pod 是否存在漏洞或錯誤配置。

*以盡可能最少的權限運行容器和 Pod。 

*使用網路分離來控制入侵可能造成的損害程度。

*使用防火牆限制不需要的網路連接和加密以保護機密性。

*使用強式身份驗證和授權來限制用戶和管理員存取以及限制攻擊面。

*使用日誌審核,以便管理員可以監控活動並就潛在的惡意活動收到警報。

*定期檢查所有 Kubernetes 設置並使用弱點掃描來幫助確保適當考慮風險並應用安全修補程式。

Source:

https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

研究人員發現Beijing One Pass應用程式存有間諜軟體的功能

Posted on by blogadmin

根據資安公司Recorded Future的研究報告,外國公司在中國必須使用的國家福利應用程式,一款名為 Beijing One Pass的應用程式被發現含間諜軟體的功能。目前,尚不清楚這些功能是否被故意添加到應用程式中的。但不可否認的是,該應用程式具有間諜軟體功能,可以秘密安裝在目標系統上。

Recorded Future公司旗下的研究部門Insikt Group,分析了客戶提供的Beijing One Pass應用程式,發現了幾個可疑的功能,其中一些包含通常在惡意軟體中發現的功能,例如:

*禁用主機設備上的安全和備份服務

*捕獲所有擊鍵

*錄製截圖

*從剪貼簿讀取數據

*嘗試讀取、建立或修改系統註冊表根憑證

*檔案運作時,會定期檢查與作業系統的人機互動

*允許列出 ActiveX 使用的網域,這將允許它連接到外部 Internet 資源

*在 Windows 啟動時自動運行(Autorun)的能力,以確保持久性

該可疑應用程是由北京數字認證股份有限公司(BJCA)開發的,是一家在中國提供證書授權服務的國有公司。

目前尚不清楚這些功能是由破壞應用程式開發過程的駭客添加的,還是該機構有意添加的。研究人員表示,雖然它們的來源尚不清楚,但不可否認應用程式中存在間諜軟體功能。

國外的公司如果想在中國經營,就必須安裝它。因此,為防止企業機密的資料外洩露,Insikt Group 建議企業僅在不存儲機密數據的系統上運作該應用程式。

2020年6月,Trustwave的研究人員發現中國銀行要求國外企業下載的報稅軟體藏惡意後門程式Golden Spy

有關情資:

“Beijing One Pass” Employee Benefits Software Exhibits Spyware Characteristics

Source: https://go.recordedfuture.com/hubfs/reports/cta-2021-0729.pdf

駭客化身有氧健身教練,鎖定航太國防業員工,利用惡意軟體LEMPO發動攻勢

Posted on by blogadmin

研究人員發現了一個長達數年的社交工程攻擊,一個伊朗網路間諜組織在Facebook上偽装成一名健美的有氧教練,發送惡意軟體給航太業承包商,以感染對方的電腦。據資安業者Proofpoint稱,這塲秘密攻擊行動是由他們追蹤的伊朗國家級駭客TA456發動的,TA456又名Imperial Kitten或Tortoiseshell。

虛假角色 Marcella Flores–Photo Credit: Proofpoint

根據Proofpoint最近的一份報告,TA456精心製作了一個虛假的角色 “Marcella Flores”,與一家航太國防承包商員工建立通訊關係,被發現追溯至2019年已向該員工進行交流,目的在於投遞一個名為的惡意軟體LEMPO。據了解,感染鏈是通過一封含有 OneDrive URL 的電子郵件觸發的,一份偽裝成飲食調查的嵌入式巨集Excel檔。打開後,惡意軟體LEMPO對目標電腦建立持久性,執行偵察,並竊取機密數據,再通過 SMTPS 將其發送到由攻擊者控制的電子郵件帳戶。最後,惡意軟體LEMPO通過刪除當天的主機證據來掩蓋其踪跡。

飲食調查– Photo Credit: Proofpoint

Marcella Flores 的角色背後,攻擊者花費了至少 18 個月的時間運作該帳戶並致力維護該虛假角色,加上攻擊者與受害者的互動, 這意味著國家級駭客願意為其間諜行動付出龐大的時間和人力,社交工程作為惡意駭客活動的一部分是有效的,因此社交媒體上與身份不明的人打交道時保持警惕尤其重要,也應注意勿在社交媒體上的”過度分享” 個人資訊。

有關情資:

TA456 Targets Defense Contractor with Alluring Social Media Persona

Source: https://www.proofpoint.com/us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media