#情資才是王道

ESET的資安研究員發現了一種新型針對銷售點（POS）的惡意軟體，他們將其稱為ModPipe。 ModPipe能影響Oracle的MICROS RES 3700 POS系統，該系統已被全球成千上萬的酒吧，餐廳和酒店業使用。

Oracle將RES 3700描述為“當今業界安裝最廣泛使用的餐營管理軟體”。該軟體套件用於管理PoS，會員計劃，報告，庫存，促銷和行動支付。

ModPipe後門以其模組化結構而著稱，可實現進階功能。由專家分析的模組之一，名為GetMicInfo，使用了一種演算法可允許操作員通過從Windows註冊表中解密密碼來收集數據庫密碼。

“讓該後門程式與眾不同的是它的可下載模組及其功能，它包含一種自定義演算法，該演算法旨在通過從Windows註冊表值中解密來收集RES 3700 POS數據庫密碼。”ESET的分析:“這表明後門的作者對目標軟體有深入的了解，並選擇了這種複雜的方法，而不是通過諸如鍵盤記錄之類的更簡單的方法來收集數據。”

ModPipe過濾的憑證允許操作員訪問數據庫內容，包括各種定義和配置，狀態表以及有關POS交易的資料。

儘管財務數據（例如信用卡號和有效期）受到RES 3700 POS系統中實施的加密的保護，但威脅執行者可以使用另一個可下載的模組來解密數據庫的內容。

ModPipe的模組化體系結構由基本組件和可下載模組組成：

• Initial dropper 其中包含下一階段持久性加載程式的二進位檔（32位和64位），並將適當的版本安裝到受感染的電腦上。

• Persistent loader，可解壓縮並加載主模組的下一個階段。

• Main module是執行惡意軟體主要功能的核心組件。它能建立與其他惡意模組進行連線的管道，卸載或安裝這些模組，並充當處理模組與攻擊者的C&C伺服器之間的連線調度。

• Networking module 用於與C&C連線。

• Downloadable modules是旨在向後門添加特定功能的組件，例如能夠竊取數據庫密碼和配置資料，掃描特定IP地址或獲取正在運行的進程及其加載的模組的列表功能。

ESET也詳細介紹的其他模組包含“ ModScan 2.20”，用於收集有關已安裝的POS系統的其他數據（例如版本，數據庫伺服器數據），以及“ Proclist”，用於收集有關當前正在運行的進程的詳細資料。

研究人員總結說：“ ModPipe的體系結構，模組及其功能也表明其編寫者對目標RES 3700 POS軟體具有廣泛的了解。” “編寫者的熟練程度可能來自多種情況，包括竊取專有軟體產品並對其進行反向工程，濫用其洩漏的零件或從暗網市場購買程式碼。

有關ModPipe後門的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fad7ec43bd4572731eec59d

Source: https://www.welivesecurity.com/2020/11/12/hungry-data-modpipe-backdoor-hits-pos-software-hospitality-sector/

*****竣盟科技快報歡迎轉載，但請註明出處

資安研究員發現首次一種規模比較大的 Windows 勒索軟體被移植到 Linux 系統，以進行有針對性的入侵，卡巴斯基的研究人員分析了Linux版本的RansomExx勒索軟體，RansomExx也被稱為Defray777，是一種相對較新的勒索軟體，於今年6月初首次被發現，同時也是一種人為操作勒索軟體(Human-operated ransomware)，這意味著攻擊者在獲得對目標網路的訪問權限後便得手動感染系統。

RansomExx於2020年6月對德州運輸部的發動了攻擊； 8月攻擊了柯尼卡美能達（Konica Minolta）；9月對美國政府承包商泰勒技術公司(Tyler Technologies) 發動了攻擊；以及最近對巴西法院系統（STJ）的攻擊。

最近發現當針對Linux伺服器時，RansomExx會部署一個名為“ svc-new”的ELF可執行檔，用於加密受害者的伺服器。

根據卡巴斯基:經過初步分析，我們注意到Trojan木馬的程式碼，勒索信件的文字和勒索方法的相似之處，這表明我們已經遇到了以前已知的勒索軟體家族RansomEXX的Linux版本。研究員說在啟動後該木馬會生成一個256位密鑰，並使用它來加密屬於受害者的所有檔案，這些檔案可以使用ECB模式下的AES分組密碼來訪問。AES密鑰通過嵌入特洛伊木馬程式中的公共RSA-4096密鑰進行加密，並附加到每個加密檔案中。

但專家指出，RansomEXX缺乏Trojan木馬的其他功能，如C2通信，反分析功能以及殺死進程的功能，也與Windows版本不同，Linux版本不會擦除可用空間。

專家注意到，當受害者支付贖金時，他們將同時獲得Linux和Windows解密工具，以及相應的RSA-4096私鑰和嵌入在執行檔中的加密文件副檔名。

最近Linux版本的IOC:

aa1ddf0c8312349be614ff43e80a262f

早期Windows版本的IOC:

fcd21c6fca3b9378961aa1865bee7ecb

RansomExx勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa577b4aa9de26c3b347142

Source: https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/?es_p=12938065

*****竣盟科技快報歡迎轉載，但請註明出處

日本遊戲開發商遭受了勒索軟體攻擊，Ragnar Locker勒索軟體的背後操作駭客稱他們是從在卡普空美國，日本和加拿大的公司網路中竊取了1TB敏感數據。

昨天，Capcom宣布他們在2020年11月2日遭受了網路攻擊，導致其部分公司網路暫停以防止攻擊蔓延。據了解，昨天卡普空並未透露網路攻擊的詳細資訊，今在資安研究員pancak3lullz發現了勒索軟體樣本，證實操作Ragnar Locker的駭客對卡普空進行了攻擊。BleepingComputer也取得了Ragnar Locker對卡普空勒索的信件。如下圖:

勒索信中包含七個print.sc 的URL，顯示被盜檔案的截圖，包括員工離職協議，日本護照，八月份的Steam銷售報告，銀行對賬單，承包商協議以及AA用戶和卡普空Windows網域的電腦MMC的截圖。下圖為被盜的卡普空2020年8月Steam銷售報告:

勒索信也包含Ragnar Locker Tor談判站點的連結，卡普空可以在該站點與攻擊者討論贖金。目前卡普空尚未使用聊天頁面，另資安研究員pancak3lullz對BleepingComputer表示，Ragnar Locker聲稱已經在Capcom的網路上加密了2,000台設備，並要求提供1100萬美元的比特幣作為交換解密工具。贖金還包括承諾刪除所有被盜數據以及提供網路滲透安全報告。

Ragnar Locker今年4月攻擊了包括對葡萄牙跨國能源巨頭Energias de Portugal，要求1090萬美元的贖金。9月，他們攻擊了了法國海上運輸和物流公司CMA CGM，導致網路和運營大量停工。另今也傳出意大利飲料供應商Campari受到Ragnar Locker攻擊，並已關閉了很大一部分IT網路。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

#情資才是王道

*****竣盟科技快報歡迎轉載，但請註明出處