超過 17,000 個 WordPress 網站受到 Balada Injector 的惡意攻擊!

Photo Credit:WordPress

在2023年9月,名為 Balada Injector 的惡意軟體對超過 17,000 個 WordPress 網站進行了攻擊,幾乎是8月份發現的攻擊數量的兩倍。

這其中有 9,000 個網站受到了最近披露的 tagDiv Composer 插件的安全漏洞(CVE-2023-3169,CVSS評分:6.1)的入侵。未經身份驗證的使用者可能會利用此漏洞執行儲存的跨站腳本(XSS)攻擊。

Sucuri 安全研究員 Denis Sinegubko 表示:“這並不是 Balada Injector 攻擊團體第一次針對 tagDiv 主題的漏洞進行攻擊。”

這類攻擊可以追溯到 2017 年夏季,當時針對 Newspaper 和 Newsmag WordPress 主題中披露的安全漏洞被瘋狂濫用。而 Balada Injector 是由 Doctor Web 在 2022 年 12 月首次發現的大規模入侵操作,其中攻擊者利用各種 WordPress 外掛漏洞在受影響的系統上部署 Linux 後門。

植入的主要目的是引導受感染網站的使用者前往偽冒的技術支援或是彩票中獎頁面。自 2017 年以來,已有超過 100 萬個網站受到該活動的影響。Balada Injector 涉及的攻擊以每幾週發生一次的頻率出現,通常是在週末的時候進行攻擊,而每週二檢測到的感染數量會急劇增加。最新一系列漏洞需要利用 CVE-2023-3169 注入惡意腳本,最終通過上傳後門、添加惡意外掛程式和建立惡意管理員來建立對網站的持續訪問。

從歷史上看,這些腳本的目標是 WordPress 網站管理員的登入權限,因為它們允許攻擊者通過管理介面提升的權限執行惡意操作,包括創建可用於後續攻擊的新管理員帳號。這些腳本能夠嵌入後門在網站的 404 錯誤頁面中,這些後門可以執行任意的 PHP 程式碼,或者使用嵌入到頁面中的程式碼來自動安裝惡意 wp-zexit 外掛。

Sucuri 將其描述為最複雜的腳本執行攻擊類型之一,因為它模仿了從 ZIP 檔案安裝外掛並啟動它的整個過程。該外掛的核心功能與後門相同,都是執行攻擊者遠端發送的PHP程式碼。

此外,在 9 月下旬觀察到新的攻擊模式,需要使用隨機程式碼注入來從遠端伺服器下載並啟動第二階段惡意軟體以安裝 wp-zexit 外掛。同時還使用模糊腳本將訪客的 cookie 傳輸到參與者控制的 URL ,並取得回傳的未定義 JavaScript 程式碼。

Sinegubko 解釋說:“攻擊者這次很明顯地沒有使用到 tagDiv Composer 漏洞,而是利用了在成功攻擊網站管理員後植入的後門與新創的惡意管理員。”

竣盟科技建議您,若使用 WordPress 設立網站,應注意以下五點安全措施:

保持WordPress及其插件和主題更新:

定期更新WordPress核心、插件和主題,以確保已修復已知的安全漏洞。

使用強密碼:

使用包含字母、數字和特殊字元的強密碼,定期更改密碼,為每個管理員和使用者分配唯一的憑證。

限制登入嘗試:

安裝登入嘗試次數限制的外掛程式,以防止暴力破解密碼,使用雙因素認證(2FA)增加額外層次的安全性。

備份網站:

定期備份整個網站,包括資料庫和檔案,確保備份存儲在安全的地方,並測試其可還原性。

安裝安全外掛程式:

安裝安全外掛程式,如Wordfence、Sucuri Security或iThemes Security,以監控和加固網站安全性。

未知攻擊者利用X發送間諜軟體Predator攻擊全球政要,蔡總統也遭鎖定!

據國際特赦組織稱,操作Predator(掠奪者)間諜軟體背後的攻擊者可能與越南政府有關

國際特赦組織(Amnesty International)的調查揭示了一個危險情勢,一名 X(曾用名Twitter)使用者,帳號名為@Joseph_Gordon16,試圖透過該平台的回覆功能來散播惡意連結。他的目標是感染美國政治家和台灣總統,利用間諜軟體進行資訊竊取。此帳號的回覆內容總是包含著似是真實新聞文章的連結,然而這些連結實際上導向一個惡名昭彰的間諜軟體 Predator 所設立的網域。Predator 專門針對智慧手機,輕易侵入受害者的裝置並竊取資訊。

Predator的背後攻擊者在X(該平台以前稱為 Twitter)以新聞報道為幌子,讓政客和其他目標存取網站。Photo Credit:國際特赦組織

從二月起,該帳號開始向報導越南相關新聞的記者發送間諜軟體的連結。後來開始轉向知名學者、歐洲和美國政府官員、參議員,甚至台灣總統蔡英文的 Twitter 帳號發送了間諜軟體的連結。值得一提的是,至少有兩條推文針對蔡總統、參議員克里斯墨菲(Chris Murphy)和加里彼得斯(Gary Peters)的帳號進行了回覆,每條回覆都包含之前提到的假冒新聞文章的惡意連結。

發送給美國官員與蔡總統的偽冒新聞連結 Photo Credit: 國際特赦組織

不僅僅是 Twitter,Facebook 上也有一個帳號名為「Anh Tran」,以相似的方式傳播這款間諜軟體的惡意連結。國際特赦組織報告指出,目前已發現至少有27個個人和23個機構的帳號成為攻擊目標,但是否成功感染這些帳號目前尚不清楚。

長期追蹤間諜軟體攻擊的監察組織,公民實驗室(Citizen Lab)確認了國際特赦組織的調查結果。他們強調公開發佈這些連結不僅會增加被發現和曝光的風險,也增加連結被不預期的目標點擊的可能性。這顯示散佈者可能缺乏駭客專業,或者對反追蹤的風險毫不警覺。

這樣的判斷是因為 Predator 間諜軟體的設計是專為精確目標的智慧手機而設,並旨在防止安全研究人員發現它的存在。舉例來說,該軟體在嘗試感染前至少會經過八次檢查,以確保目標是一個安全的感染環境。

國際特赦組織還懷疑 @Joseph_Gordon16 這個帳號或許與越南當局有關聯,因為一開始它的目標對象是越南政府感興趣的人物。德國的《明鏡周刊》的報導也指出,越南政府最近購買了使用 Predator 間諜軟體的兩年合約。

目前,@Joseph_Gordon16 這個帳號已經被封鎖,但製造 Predator 間諜軟體的監控公司 Cytrox 仍然相當活躍。在今年九月,蘋果公司才修復了與埃及政治家 iPhone 上 Predator 感染相關的三個 iOS 漏洞。

Predator的部分入侵指標(Indicator of compromise -IOCs):

ietnamnews[.]com

lnktonews[.]co

witteridea[.]co

caavn[.]org

xuatnhapcanhvn[.]info

https://southchinapost[.]net/fLwoASy X

http://caavn[.]org/news/china/military/article/south-china-seapla-forcces-tail-us-warship

http://caavn[.]org/news/china/military/article/south-china-seapla-forcces-tail-us-warship

http://caavn[.]org/news/china/military/article/south-china-seapla-forcces-tail-us-warship

https://southchinapost[.]net/WzMqB

更多關於間諜軟體利用的新聞:

iPhone上的 LightSpy 間諜軟體,被證實與中國駭客組織APT41有所關聯!

中國國家級駭客組織APT 15利用BadBazaar和MOONSHINE 間諜軟體,協助中國政府加大監控新疆維吾爾族

泰國民主活動人士被間諜軟體監控,幕後黑手指向以色列Pegasus「飛馬」間諜程式!

中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

iPhone上的 LightSpy 間諜軟體,被證實與中國駭客組織APT41有所關聯!

專注於銀行反詐騙的安全公司 ThreatFabric 近來提出證據表示,於2020年發現的 iPhone 間諜軟體 LightSpy 變得比以往更加難纏與複雜,並且可能與由中國所資助、惡名昭彰的駭客組織APT41有關。

在調查的過程中,ThreatFabric 的研究人員發現了 LightSpy間諜軟體的新功能。這個間諜軟體首次在2020年1月針對香港的 iOS 用戶發動攻擊,透過在討論區貼出偽造的惡意新聞連結,誘使按下連結的 iOS 用戶於裝置上安裝 LightSpy。

這種攻擊手法被稱為水坑攻擊( Watering-hole ),攻擊者會先複製知名網站的程式碼,並建立一個內含惡意程式碼的假冒網站,之後在網路熱門討論區貼出聳動標題與連結來吸引網路使用者按下連結。使用者只要造訪這些惡意新聞網站,不必點選網站上任何內容就會自動被植入惡意程式 LightSpy。

ThreatFabric 指出新的 LightSpy 增加了更多的新功能,這些新功能包括14個插件,負責私人數據外洩,以及一個支持24個指令的核心植入程式,其中包括收集設備指紋、建立與威脅行為者的惡意中繼站的完整連接,以及從伺服器檢索命令的能力。

這14個 LightSpy 插件中的3個引起研究人員的特別關注,分別是:

  1. 位置模組插件,負責透過在特定時間間隔內的快照來追蹤使用者當前位置。
  2. 錄音插件,即使在來電期間也可以進行麥克風錄音。此外,該外掛程式可以使用名為 libwechatvoipCoMm[.]so 的原生程式庫錄製微信 VoIP 音訊對話。
  3. 帳單外掛程式:此外掛程式負責竊取微信支付的支付歷史記錄,包括最後的帳單ID、帳單類型、交易ID、日期和支付處理標籤。

ThreatFabric 研究人員發現,這些新的更新證實了 LightSpy 與 2023 年 7 月發現的 Android 間諜軟體 DragonEgg 有關,自此循線而上發現中國網路間諜組織 APT41牽涉其中,這也是首次觀察到 LightSpy 和 APT41 之間存在關聯。

該組織主要的攻擊目標多位於亞太地區,而 LightSpy 的設施多位於包含中國大陸、香港、台灣、新加坡和俄羅斯在內的亞太地區,共計數十台伺服器。

Photo Credit: ThreatFabric

LightSpy 已經發展為一款功能齊全的模組化監控工具包,重點關注受害者的私人資訊洩露,例如精細位置資料,並且能夠精確到建築物樓層、VOIP 通話期間的錄音、以及從微信支付的支付數據。

誰是APT41?

APT41被認為是一個中國政府支持的駭客組織,但也進行一些自主網路犯罪活動。這個組織首次受到關注是在2012年左右。其攻擊目標廣泛,包括政府機構、軍事機構、大型企業、科技公司、能源公司和媒體機構等。他們的目標主要集中在亞洲地區,但也有國際性的攻擊活動。

APT41使用各種高度專業的攻擊手法,包括釣魚攻擊、惡意軟體入侵、社交工程、零日漏洞利用等。他們經常使用客製化的惡意軟體和工具以避免被資安設施檢測和防禦。一般認為APT41的主要活動是情報收集。他們盯上各種類型的機密資訊,包括政治、軍事、經濟和技術方面的數據。這些資訊可能用於政治或經濟競爭,也可能被轉售給其他國家或非國家行為者。

APT41是一個極具技術能力和高度專業化的駭客組織,其活動對全球資訊安全構成了一個重大挑戰。他們的活動不僅影響政府和企業,還可能對個人造成威脅。因此,防禦和追蹤APT41的活動一直是全球安全專家的重要關注點之一。

更多相關APT 41的資安新聞:

高通發布更新修補旗下產品漏洞資訊,其中包含三個危急等級的漏洞!

Photo Credit:高通

全球知名的晶片製造商高通日前針對旗下產品發布數則安全更新,用以解決產品各組件中的17個漏洞,同時發出警告表示,還有三個另外的零日漏洞目前正有心人士利用作為攻擊手段。

在這17個漏洞中,3個被評為危急,13個被評為高風險,一個被評為中風險。

該公司在一份聲明中表示:“根據Google威脅分析小組和Google Project Zero的資訊指出,CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063可能正受到有限、但針對性的利用。”

CVE-2022-22071(CVSS評分:8.4)是汽車操作系統平台中的漏洞,主要是影響Adreno GPU和Compute DSP驅動程式的問題,目前高通公司已在2022年5月更新時針對此項目進行了修補。此外,高通在2023年10月的更新解決了三個危急的漏洞,目前尚未發現此三個漏洞有任何被利用的跡象產生:

  1. CVE-2023-24855(CVSS評分:9.8) – 在 AS 安全交換之前處理安全相關設定時的Modem的記憶體損壞。
  2. CVE-2023-28540(CVSS評分:9.1) – 由於在TLS交握時進行不正確的驗證,導致Data Modem中的加密產生錯誤。
  3. CVE-2023-33028(CVSS評分:9.8) – 在進行pmk高速緩存的記憶體複製時,WLAN韌體中的記憶體損壞。

建議相關的設備製造商都應盡快執行全面的安全更新。

目前仍遭到利用的三個漏洞,預計將在2023年12月公開更多細節資訊,但消息公布的同時,Arm也發布了針對Mali GPU核心驅動程序的安全漏洞(CVE-2023-4211)的修補更新,該漏洞也受到了有限並針對的攻擊。可猜測或許前述三個漏洞也與此漏洞有相關聯。

高通安全性更新說明:

https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html

更多關於高通與半導體相關的資安新聞:

Lapsus$又出擊,科技巨擘三星Samsung疑遭殃,傳出被盜190GB原始碼,高通也被波及

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

傳出上市半導體企業遭勒索軟體攻擊,這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!

日商半導體材料公司兼台積電供應商Fujimi和其台灣子公司福吉米遭第三方未經授權存取,生產線停擺,官網無法進入

來自中國的BlackTech透過思科設備入侵各國企業與機關!

CISA 表示,BlackTech 透過使用各種工具和技術來修改甚至替換設備的韌體,從而瞄準了思科和其他路由器製造商

美國和日本的情報、執法和網路安全機構近日共同發出警告,指出一個來自中國、代號為BlackTech,也被稱為Palmerworm、Temp.Overboard、Circuit Panda和Radio Panda的進階持續性威脅組織(APT),曾經在思科(Cisco)路由器韌體中植入後門,以侵入跨國公司的網路系統。這項警告呼籲企業和機構加強網路安全,特別是在使用思科路由器等類似設備時,需謹慎保護其網路系統免受攻擊。

BlackTech是一個自2010年起就相當活躍的中國APT組織,以其在亞洲所進行的網路間諜活動而聞名,他們的目標包括國防、政府、電子、電信、技術、媒體和電信等多個部門,主要針對香港、日本和台灣進行攻擊。

此次的攻擊手法為修改思科路由器的韌體,使其在保持潛伏的狀態下,從海外子公司侵入日本和美國的總部。他們利用已建立的受害者與其他實體之間的可信任網路關係,逐步增強其在目標網路中的訪問權。一旦獲得初始進入點和對網路邊緣設備的管理訪問權,他們通常會進一步修改以隱藏其活動,確保在受害者的環境中能夠持續潛伏。

BlackTech的目標通常是分支路由器,這些路由器用於企業總部與外部辦事處的網路連接,他們使用客製的韌體後門,通過發送特別的TCP或UDP封包來啟用或禁用後門,這項入侵技術也會影響其他的網路設備,並不僅僅限於思科路由器。

為了入侵路由器,並在受害者的網路中進行移動,攻擊者使用遠程桌面協議(RDP),禁用受感染路由器上的記錄,以防止受害者透過路由器紀錄發現端倪。

BlackTech匯使用多個客製化的惡意軟體來針對不同的操作系統,包括Windows、Linux和FreeBSD。這些客製化的惡意軟體的名稱包括BendyBear、Bifrose、BTSDoor、FakeDead、FlagPro、FrontShell、IconDown、PLEAD、SpiderPig、SpiderSpring、SpiderStack和WaterBear。這些入侵工具不斷透過更新換版來逃避安全軟體的檢測,甚至使用竊取的程式碼簽章憑證來掩蓋。

思科對外宣稱以下數點聲明,並保證BlackTech並未成功利用其產品中的任何漏洞:


這些攻擊中最普遍的初始訪問途徑涉及被竊取或安全性不足的管理憑證。如報告中所述,某些配置更改,例如禁用記錄和下載韌體是需要透過管理憑證進行。

  • 沒有跡象表明思科的設備有任何漏洞被人利用。攻擊者是使用被竊取的憑證來執行管理級別的配置和韌體更改。
  • 現代思科設備包括安全啟動功能,不允許加載和執行修改後的軟體映像檔。
  • 報告中提到的被竊取的程式碼簽章憑證不是來自思科,沒有任何思科的程式碼簽章憑證被竊取以對思科基礎設施設備進行攻擊的情況。

然而發言人也表示,警報強調了公司​​迫切需要更新、修補和安全配置其網路設備,這是維護安全和實現整體網路彈性的關鍵步驟。

更多關於中國APT的資訊:

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ,以監視非營利組織

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

Acalvio 進駐 Google Cloud,大幅強化雲端平台安全!

雲端平台已經發展到十分成熟的地步,每位使用雲端平台進行作業的使用者,無論其技術水平是否初學者或專業使用者,都應將安全性視為優先且重要之議題。近日,三大雲端平台之一的Google Cloud發表了與業界領先的欺敵防禦廠商Acalvio的戰略合作,透過此項合作,Google Cloud得以向使用者提供積極主動的安全保障。這項服務的最大特色是極大地簡化欺敵管理以及部署過程,透過幾個簡短的啟動流程即可完成。

架構概述 

Acalvio 屢獲殊榮的主動防禦平台中包含了主動欺敵技術,使企業能夠識別、參與和應對潛藏在雲端、本地和混合網路中的惡意行為。

Acalvio ShadowPlex 是一個先進的威脅偽裝和欺敵平台,旨在提供高效的安全防護。它利用虛擬化技術,模擬潛在攻擊者的行為,能夠透過為敵對行為者提供絆線誘餌、包含虛假憑證的麵包屑以及潛在可攻擊系統或應用程式的誘餌來誤導他們,從而吸引攻擊並分析威脅,而與欺敵平台的任何接觸都會產生高可信度的警報,幫助組織提前發現和防止攻擊,保護其數據和資源免受風險。在本次的合作中,Acalvio 將在Google Cloud上為客戶提供企業級分散式欺敵誘捕。

ShadowPlex架構

圖片版權歸谷歌所有

Acalvio 的主動式防禦有兩個主要部分所組成,在 Google Cloud 上執行的 ShadowPlex 服務,以及部署在客戶端網路服務提供點的工作負載投影感測器。ShadowPlex 會集中管理所有的欺敵行為部署,並將其投射到分散式或混合式的企業網路中。 

ShadowPlex 所投影的誘餌可以透過感測器來啟用,感測器是輕量級元件,可以放置在本地和雲端工作負載的企業網路中。ShadowPlex 可以對未連接到公司網路的遠端電腦啟用欺敵服務,使在家工作的員工電腦也能受到保護。此一服務是利用了部署在Google Cloud上的全球感測器才得以實現。

Google Cloud 讓 ShadowPlex 更加強大

ShadowPlex 能夠利用Google Cloud高效實現數千個企業級欺敵服務,以實現大範圍的主動防禦。由Acalvio開發的專力流體欺敵技術增強了在受到嚴格限制的環境中的誘捕密度和互動。這使得在防禦攻擊的同時,能夠視清況優化資源的運用。

ShadowPlex 能夠通過與Google Cloud安全指揮中心(Security Command Center,SCC)的協處,來告知客戶相關的欺敵誘捕現況。Google Cloud的客戶還會收到SCC的電子郵件,建議他們考慮在未使用ShadowPlex的項目中添加主動防禦安全。

Google Cloud Chronicle安全運營平台也可以與ShadowPlex進行協處。Chronicle的客戶能夠設定欺敵事件的警訊發送,以及將這些事件與其他告警進行關聯性分析的能力。

ShadowPlex 使用其他 Google Cloud 服務進行內部安全管理與分析,例如使用VirusTotal中資訊豐富的欺敵事件資料、基於 Google 資料庫服務建構的資料管理和處理、以及 GKE 平台上的威脅分析。

谷歌雲上的 ShadowPlex圖片版權歸谷歌所有

1 + 1 大於 2

Acalvio 以欺敵誘捕為核心概念的主動式防禦已在Google Cloud Marketplace上提供,能夠幫助使用者以精確、迅速的方式檢測和應對最新的高級威脅。

此次合作也為Google Cloud帶來了更多的應用情境。Google Cloud上的Acalvio ShadowPlex服務不僅為Google Cloud工作負載提供了主動防禦,還將安全延伸到使用者的本地基礎設施,這是透過Google Cloud才得以實現在本地網路上部署和管理欺敵服務。

索尼再次遭到網路攻擊!Ransomed.vc宣稱已竊取大量數據

Ransomed.vc 勒索軟體集團宣稱已成功入侵日本跨國企業巨頭索尼集團,這是在這幾個月內針對索尼的第二次入侵事件,先前的入侵是遭受到俄羅斯的 Cl0p 勒索團體利用 MOVEit Transfer 漏洞的攻擊。與典型的勒索形式不同,該集團聲稱由於索尼不遵守他們的要求,因此該集團也不會提出贖金,而是打算以盜取來的數據從別的管道謀取利益。索尼並不是唯一一家在 Ransomed.vc 暗網的日本上市公司。該組織還聲稱對日本電信公司 NTT Docomo 進行了攻擊,並要求支付 101.5 萬美元的贖金,以免洩露被盜資料。

Ransomed.vc 集團自 2023 年以來一直積極動作,主要的勒索方式是威脅受害者支付贖金,否則將公開其機敏數據。該集團已被鏈結到多起知名的網路攻擊事件,包括 2023 年 9 月對夏威夷政府網站的攻擊,並且其攻擊目標橫跨多個產業領域,包括醫療、金融和高科技產業。

Ransomed.vc 在其網站上揭露了部分竊取來的數據樣本,包括來自索尼品管部門的 Power Point 文件、索尼內部登錄頁面的螢幕截圖、以及 Java 文件等6,000個文件。索尼集團由於其全球知名度和全球客戶數量的緣故,一直是網路犯罪集團的首要目標。。2011 年,PlayStation Network 遭遇重大漏洞,約 7,700 萬個註冊帳戶遭到洩露,線上功能完全中斷。 2014 年Sony成為與北韓APT駭客的攻擊目標,導致其推遲了一部有關北韓的電影的上映。這次駭客攻擊也導致了 網路問題、內部通訊和秘密曝光  , 包括財務和電影劇本 以及索尼集團高階管理層和員工的薪資以及個人機敏資訊。

Sony事件發生在聯邦調查局(FBI)和聯邦資訊安全局(CISA)發布關於 Snatch Ransomware 威脅的聯合警告後不久,恰恰印證了勒索軟體威脅的不斷升級和普遍性。由於各地法規林立,勒索團體也開始利用法規懲罰來要脅企業就範,因他們往往索取低於法規懲罰金額的贖金。然而支付贖金只是治標不治本的方式,也無法保證犯罪集團會遵守相關約定。因此,企業有必要重新審視並制定全面的網路安全策略,以保護自己免受此類攻擊,莫再為了追尋跟前的利益,而忽略了近在眼前奔馳而來的灰犀牛。

相關文章:

Snatch大活躍,FBI與CISA發出聯合聲明警示各方注意!

為美國政府提供IT服務的承包商Maximus,因MOVEit Transfer漏洞導致約1000 萬人的個資外洩

Snatch大活躍,FBI與CISA發出聯合聲明警示各方注意!

根據美國聯邦調查局(FBI)和網路安全及基礎設施安全局(CISA)的聯合警告,一個位於俄羅斯的駭客團體正在使用勒索軟體 Snatch 針對農業、資訊技術和國防等領域的組織發動攻擊。

據報告,截至今年六月為止, FBI 和 CISA 一直在調查與這個勒索團體的駭客活動有關的案件。勒索軟體 Snatch 自2018年開始活躍,主要使用位於俄羅斯的伺服器和其他虛擬私人網路(VPN)服務來連接 C2 伺服器發動攻擊。而最近對南非國防部的攻擊幾乎引發了一場國際事件,因為這次攻擊發生在約翰尼斯堡舉行的金磚國家領袖峰會期間。該團體曝光了該國總統的個人電話號碼和電子郵件,以及該國國防系統竊取的1.6TB數據的一部分。南非政府最初否認發生入侵事件,但隨後仍承認了此事件的發生。除此之外,該組織近期也針對了大都會歌劇院以及加利福尼亞州莫德斯托市政府發動入侵攻擊,因而引起相關部門與資安專家的注意。

以下是近年來與 Snatch 相關的勒索攻擊事件:

  1. 南非國防軍(Department of Defence South Africa)攻擊:Snatch 駭客針對南非國防軍進行了攻擊,竊盜了總計 1.6TB資料,包含軍事合約、內部呼叫和個人資訊並干擾了他們的網路運作。
  • 大都會歌劇院攻擊:美國大都會歌劇院也成為了Snatch 勒索軟體攻擊的受害者,導致了其系統無法正常運作,並被揭露了許多機敏資訊。
  • 莫德斯托警察局攻擊:美國加州莫德斯托警察局在一次攻擊中受到損害,因為勒索軟體對其IT系統造成了影響,迫使他們恢復使用傳統的紙筆記錄。
  • 威斯康辛學區攻擊:Snatch 對威斯康辛州的一個學區進行了攻擊,造成了嚴重的損害和數據損失。
  • 佛羅里達醫院攻擊:該組織試圖對佛羅里達最大的一家醫院進行勒索軟體攻擊,超過一百萬名患者的個人資訊可能已被洩露。

該組織除了自己會進行入侵行動外,也被發現購買了其他勒索軟體組織偷竊的數據,藉以勒索受害者支付更多贖金。報告指出,該組織最近在Databreaches.net 發表的評論中,試圖澄清一個名為 Snatch 的 Telegram 頻道並未與該組織相關。

雖然此刻該頻道已被關閉,但這個 Telegram 頻道在今年夏天連續數週洩露了從南非國防部竊取的高度機密文件,該頻道經常吹噓出現在 Snatch 勒索軟體組織的洩漏網站上的攻擊。FBI 指出,該頻道甚至掌握了其他勒索軟體組織如 Conti 和 Nokoyawa 偷竊的資訊。

警告中指出,使用 Snatch 的威脅攻擊者一直在不斷改進他們的戰術,以適應當前的網路安全解決方案,自2019年首次對ASP.NET託管服務商SmarterASP.NET發動攻擊以來,Snatch 的變種已經相當成熟且具有相當程度的破壞性,其特點之一是能夠將受感染設備重新啟動到安全模式,以繞過防毒軟體和端點保護機制。這種獨特的攻擊策略被稱為潛行惡意軟體,是利用許多Windows電腦通常不在安全模式下運行端點保護機制的盲點來避免被檢測,先強制感染的主機重啟進入安全模式,之後才進行一般的加密與竊取等勒索攻擊行為。在許多攻擊中,Snatch 操作者瞄準了遠端桌面協定 (RDP) 中的弱點,以獲得對目標網路的管理員等級存取權並在他們使用竊取或購買的憑證來獲得初步立足點。一旦進入網路,Snatch會花長達三個月的時間在網路中搜尋目標檔案和資料夾。FBI 和 CISA 通報 Snatch 業者在受感染的網路上結合使用合法和惡意工具。其中包括後脅迫工具,例如 Metasploit 開源滲透測試工具、用於後續移動的 Cobalt Strike,以及用於建立、查詢、添加和刪除服務以及執行其他任務的實用程式,例如 sc.exe

該警告包括一份附有與駭客相關的電子郵件地址和網域列表,並呼籲受害者在受到攻擊時聯繫執法機構。

FBI 和 CISA 的聯合警告可從下方連結取得:

https://www.cisa.gov/sites/default/files/2023-09/joint-cybersecurity-advisory-stopransomware-snatch-ransomware_0.pdf

更多 Snatch 相關報導:

美國坦帕綜合醫院逃過被勒索軟體加密,120萬名病患敏感資訊卻仍遭駭客盜取

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

Snatch 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f

1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d

5950b4e27554585123d7fca44e83169375c6001201e3bf26e57d079437e70bcd

7018240d67fd11847c7f9737eaaae45794b37a5c27ffd02beaacaf6ae13352b3

28e82f28d0b9eb6a53d22983e21a9505ada925ebb61382fabebd76b8c4acff7c

fc31043b5f079ce88385883668eeebba76a62f77954a960fb03bf46f47dbb066

物聯網誘發的DDoS進化,安全政策須重新思索

物聯網(IoT)正在改變我們各個行業的效率,包括醫療保健和物流,但也引入了新的安全風險,尤其是物聯網驅動的分散式阻斷服務(DDoS)攻擊,讓這項流傳已久的攻擊手法更加地強大且不受控制。

物聯網飛快發展的同時也忽略了安全性,這些安全性不佳的設備成為攻擊者眼中甜美的獵物,並將其納為殭屍網路的一部分。由攻擊者控制的殭屍網路可以迅速擴大並執行各種攻擊,包括DDoS、數據竊取、廣告欺詐、加密貨幣挖礦、垃圾郵件、釣魚、數據收集和竊聽等,而不被設備擁有者察覺。

雖然殭屍網路並不是什麼新鮮事物,但物聯網殭屍網路帶來了特定的威脅。物聯網設備的數量在2022年達到160億,預計到2025年將超過300億。這些設備鮮少更新安全漏洞、並且使用不安全的系統預設,能輕易地被攻擊者所控制。

殭屍網路攻擊單單在2023年上半年即增長了300%,造成全球金融損失估計達到25億美元。在2023年,90%的複雜DDoS攻擊都基於殭屍網路所發起,參與殭屍網路攻擊的物聯網設備數量估計在一年內從20萬增加到約100萬臺,同時受到殭屍網路攻擊的漏洞數量增加了一倍有餘。預計到2023年,物聯網設備將增長18%,達到144億臺,到2025年預計將增至270億臺,隨著物聯網和DDoS攻擊的同步上升,物聯網驅動的DDoS攻擊將在不久的將來成為越來越嚴重的威脅。

針對這樣的新型態攻擊,我們可以實施以下的措施來減緩該資安風險的發生與帶來的損失:

  • 制定基於物聯網設備的安全政策:更改預設密碼,並且定期更新韌體,提供有關物聯網安全和滲透測試的教育和培訓。
  • 威脅聯防:透過威脅情資的快速交換機制,第一時間進行設備快速檢測並消除新興威脅,強化全域防禦能力。
  • 定期更新設備:確保物聯網設備安裝了最新的韌體和軟體更新,防止已知漏洞被利用。
  • 實施縱深防禦策略:部署全面的安全策略,包括防火牆、入侵檢測系統和網路應用安全解決方案。

物聯網驅動的DDoS攻擊如同殭屍一般除之不盡,是一場需要持之以恆的長期戰鬥。但通過不屬完善的解決方案、建立良好的資安政策,企業就可以顯著地減少風險,降低實質上的金融損失。

更多關於DDoS的資訊都在竣盟科技:

微軟Outlook 在親俄駭客組織的DDoS攻擊後在周一當掉

大規模DDoS攻擊!烏克蘭國防部以及國營銀行的網站遭網攻,不排除源自俄羅斯!

新型殭屍網路Abcbot鎖定中國雲端供應商,會是日後DDoS攻擊的信號嗎?!

最新發現的 Kubernetes 安全漏洞將使企業的門戶大開!

Photo Credit: Kubernetes

在業界廣泛使用的容器管理應用程式 Kubernetes ,近來被披露有三個互相關聯的高嚴重性安全漏洞,可能被利用來對同一個集群中的 Windows 端點上實現帶有提升權限的遠程代碼執行。此三個安全漏洞的CVE編號分別為:CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,它們的 CVSS 評分為 8.8,影響所有帶有 Windows 端點的 Kubernetes 環境。

這些漏洞的主要威脅是它們允許攻擊者在 Kubernetes 集群中的 Windows 端點上執行遠程代碼,並進而獲得 SYSTEM 權限。具體來說,攻擊者需要將一個惡意的 YAML 文件於目標集群內執行,然後就可以在受害的 Windows 機器上執行任意代碼操作。

CVE-2023-3676 影響了所有版本低於 1.28 的 Kubernetes,能夠讓攻擊者以低權限進行攻擊,只需具有對端點的訪問權限和應用權限即可將惡意代碼在 Windows 端點上以 SYSTEM 權限執行。這樣的低門檻使得攻擊變得相對容易,大幅提升了組織受到攻擊的風險。另一方面,CVE-2023-3893 則涉及 Container Storage Interface (CSI) 代理中的特權升級,允許攻擊者獲得端點上的管理者訪問權限。

這些漏洞的共同性是在處理 Pod (Kubernetes的計算單元)時,對於使用者的輸入缺乏適當的驗證。這使得攻擊者能夠創建包含惡意代碼的 Pod,從而實現特權升級和遠程代碼執行。

這組漏洞對企業的安全性構成了嚴重威脅,特別是那些大量使用 Windows 端點設備的企業。因此,企業應該盡快採取必要的措施,包括更新和修補 Kubernetes,以確保其系統免受潛在的攻擊風險。

竣盟科技針對此項漏洞的建議如下:

立即進行版本更新:確保您正在使用已經修補這些漏洞的最新版本的 Kubernetes。

限制訪問權限:限制誰可以在您的集群中創建或修改 pod。實施嚴格的基於角色的訪問控制(RBAC)政策。

稽核與監控:密切關注您的日誌活動,標記和調查不尋常或未經授權的 pod 創建活動,特別是包含嵌入式 PowerShell 命令的項目,所有這些都是潛在攻擊的強烈徵兆。

Kubernetes是什麼?

Kubernetes是一個開源的容器管理平台,它用於自動化和管理應用程式的部署、維護和擴充。可以幫助開發人員和維運團隊更輕鬆地管理容器化的應用,提供了一個可擴充、高度可用的平台,支持應用程式在不同的環境中運行,包括本地、雲端和混合雲環境。Kubernetes提供了自動化的容器部署、擴充、故障恢復和負載平衡等功能,使應用程式更加穩定、可靠且易於管理。它已成為容器化應用程式的標準,被廣泛用於現代雲原生應用的開發和運營。