竣盟科技 - Billows 技術/情資訊息分享

MacOS使用者注意！又一針對macOS的惡意軟體－MetaStealer

Posted on 2023 年 9 月 13 日2023 年 9 月 13 日 by blogadmin

最新一款針對Mac使用者的資訊竊取惡意軟體MetaStealer已經現身，攻擊者專門瞄準企業用戶。這種惡意軟體通常偽裝成Adobe應用程式或檔案，或者隱藏在一般的檔案文件之中。SentinelOne的研究人員表示，目前發現的MetaStealer樣本多數都是隱藏在使用.dmg副檔名的檔案之中，這種直接挑明了針對macOS的惡意軟體是相當罕見的，因此也被猜測可能有要針對某些特定的企業用戶。

MetaStealer專為搭載Apple M1和M2處理器的Mac設計，其代碼經過重重隱藏跟混淆，企圖令人看不清他的用意為何。儘管如此，研究人員還是發現到MetaStealer能夠竊取已保存的密碼、iCloud鑰匙圈的功能、以及多數的文件檔案，甚至有些變種是專門瞄準Telegram和Meta應用程序。

MetaStealer首次於2023年3月被發現，此後不斷更新、進化、並發展不同變種。最近，蘋果公司已將該惡意軟體增加到macOS的XProtect防惡意軟體系統中。儘管一些版本中嵌入了蘋果開發者代碼簽名，但多數樣本未使用簽名，這代表攻擊者會透過各種方式來引導受害者進行一系列操作，藉以繞過Gatekeeper等保護機制。

MetaStealer並非首款針對Mac使用者的資訊竊取惡意軟體，研究單位還發現了一款稱為Atomic Stealer的惡意軟體，與MetaStealer相同，是針對macOS的使用者所設計，但目前為止尚不清楚兩者之間是否有任何關聯。MetaStealer等惡意軟體的出現，代表惡意軟體作者正積極瞄準MacOS的使用者，特別是那些慣以macOS進行日常作業的企業用戶，藉此竊取更多機敏資訊。

這一趨勢令安全人員感到擔憂，當這些惡意軟體開始橫跨到不同系統並且積極開發之時，意味著針對不同作業系統的設備都需要有相應的解決方案，這使得原先就已捉襟見肘的資安預算更加顯得不足。

更多關於針對macOS惡意軟體之消息：

LockBit 勒索軟體組織轉向以mac電腦為目標？！專家發現首款針對macOS 機器的 LockBit 加密工具！
https://blog.billows.com.tw/?p=2593

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

MetaStealer的部分入侵指標(Indicator of compromise -IOCs):

SHA256 ef0dd9ee92148dfc1d731d42812688f28dd276c2307ac8674a216a2371d156cd

SHA256 8dd5bcc737e7b4bf98db09b082c34469b7095da3a4d314b1ca9b43316340da20

SHA256 7344c02c3c366be28df78afb2df87a02a96f82d6fce1df8604067dcb02363dc8

SHA256 50427037543eb5d8be12940c8fac6b4710e15125ee2b77b0743b017eafd8af9f

SHA256 3725b015c4d5e5632e2ab87327f5f20733fc5d821ce500725b6d6c84694de670

SHA256 2d70d5965f201d97f4a763e95c7074dfd7ddbf9b7118e79ebf79c13235e1d821

五大家族甫成立，觸角已然伸入台灣高科技產業！

Posted on 2023 年 9 月 8 日2023 年 9 月 8 日 by blogadmin

駭客界的紐約黑手黨翻版，五大家族於上月下旬宣布結盟，旨在共享駭客團體間的資訊，宣稱是為了網路地下世界中的每一個人建立更好的聯繫與團結，一時間造成資安界人心惶惶。正當眾人還在猜測，究竟是西方世界的哪一個企業會成為這個網路黑手黨的目標時，不曾想到台灣的高科技企業竟然已經成為第二名受害者。。

就在今天9月8日，五大家族的聯繫網路裡已經流傳著一份台灣某上市主機板大廠的客戶與員工的敏感資訊，該公司主要生產並供應電腦主機板、顯示卡、固態硬碟等等硬體設備。該份資料是由五大家族之一的GhsotSec提供，該組織在烏克蘭戰爭期間也積極針對俄羅斯軍隊進行網路滲透攻擊。

此駭客聯盟透過Telegram分享了兩個連結，其中就包括從此次攻擊中竊取的數據檔案下載網址，同時也批評了該公司薄弱、甚至是毫無保護的安全基礎設施。更多關於五大家族的訊息，請參閱竣盟科技先前的報導，可以獲得更多詳細資訊。

效仿五眼聯盟交流情報?!駭客聯手組成“五大家族”犯罪聯盟

台灣高科技產業絕對是駭客的攻擊目標:

2023年4月微星(MSI)遭Money Message 勒索軟體入侵，被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日， Desorden Group駭入宏碁台灣的系統，盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵，約1300萬美元

竣盟科技建議針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

效仿五眼聯盟交流情報?!駭客聯手組成“五大家族”犯罪聯盟

Posted on 2023 年 9 月 7 日2023 年 9 月 7 日 by blogadmin

近期才成立的五大家族(Five Families)網路犯罪聯盟是由四個駭客組織和一個暗網論壇組織組成，其目標是為暗網世界中的每個人建立更好的團結和聯繫並擴大和發展他們的業務。這個自稱為“五大家族”的聯盟旨在類似於五眼情報聯盟，旨在情報收集和共享方面進行合作。五眼聯盟是美國、英國、加拿大、澳洲和紐西蘭這五個英語圈國家組成的情報聯盟機構。

五大家族這個名字的靈感來自於 20 世紀 50 年代和 1960 年代五個主要在紐約市的義大利裔美國黑手黨。五大宣布其首名受害者為巴西軟體開發公司“Alpha Automation”(http[:]//Alfacomercial[.]com[.]be)，盜竊了總計 230GB 的數據。

網路犯罪分子變得越來越有組織性，一個新的駭客聯盟”五大家族”已經出現了，由五個知名網路犯罪組織相互勾結的情況被曝光，引起國際社會關注，下面我們提共同組成這個新犯罪聯盟的背後5團體。

ThreatSec – 行動通常在 Twitter 和 Telegram 上公佈和展示目標如何遭受 DDoS 攻擊、系統入侵、篡改以及洩露或被盜資料的公開曝光。
GhostSec – 自 2015 年以來活躍的駭客組織，被發現旨在打擊ISIS 伊斯蘭恐怖主義的反恐駭客組織。
SiegedSec – 是一個很小且很新的駭客團體，但成員遍布全球。該團體成立於 2022 年初，以偷竊數據為目標，由一名為YourAnonWolf的成員領導。自 2 月份成立以來，SiegedSec 組織已獲取了至少 30 家受害公司的敏感數據、洩露的電子郵件或被盜的數據庫。
Stormous –駭客組織於 2021 年成立，旨在針對安全性較弱的網站。這個阿拉伯語組織聲稱已經危害了大量受害者，在許多情況下據稱使用勒索軟體，2022年，攻擊了可口可樂，竊走161GB資料。值得一提的是，2023年8月下旬，Stormous在揭秘網站上聲稱攻擊了台灣某上市安控大廠，並上傳了多張截圖作為證據。

Blackforums –暗網上的一個論壇，用於發布有關駭客攻擊和數據洩露的資料。於去年蓬勃發展。眾所周知，它會執行與建立惡意軟體相關的操作。

據相信，上述4個駭客組織通過駭客Blackforums論壇，讓買家可以聯繫到他們購買數據；這次的結盟讓ThreatSec、GhostSec、Stormous、BlackForums 和 SiegedSec 等組織能夠方便地根據可用的工具和資源來調整網路攻擊，然後在 Blackforums 上推銷他們的行動。共享資源、戰術甚至共同敵人等因素推動了這個聯盟的形成。

這些組織可能專門從事不同形式的網路犯罪，從勒索軟體到數據盜竊和網路間諜活動，現在能夠分享他們的知識。值得注意的是，這並不是第一起有記錄的網路犯罪集團之間相互勾結合作的案例。2020年三大勒索軟體—Maze, LockBit 和 Ragnar Locker 組成敲詐勒索聯盟 (Extortion Cartel) ，互惠分享他們的攻擊經驗和數據洩漏。

這種聯盟的直接影響是什麼？

攻擊增加：這些團體之間的合作可能會利用每個實體的綜合經驗和資源，導致攻擊數量和複雜性的增加。
更大的目標：憑藉更多的資源和更好的協調，這些犯罪分子可以追求更大、更有利可圖的目標，例如金融機構、關鍵基礎設施甚至政府。
大規模勒索軟體：最令人擔憂的問題之一是大規模勒索軟體攻擊的蔓延，可能導致整個城市或重要工業部門的癱瘓。

不滿日本排核廢水，Vulz Sec Team發動攻擊日本的行動

Posted on 2023 年 8 月 30 日 by blogadmin

親印尼駭客組織Vulz Sec Team，因不滿日本排放福島核廢水，於8月28日發動稱為OpJapan的攻擊日本的行動，攻擊了多家政府機構並聲取得有關政府部門職員的個資。當中包括日本的厚生勞働省、國土交通省、金融廳和國立國會圖書館等。Vulz Sec Team在其Twitter表示，「日本在公海處理核廢料的不光采行動的後果。這是日本政府和聯合國在這種情況下表現出自私的本性，沒有與其他國家進行任何協調。海洋是一種豐富的自然資源，有很多好處。除了在食物方面是自然資源外，它還是一個充滿魅力的旅遊景點。對於這種浪費，即使他們提供了大約二億美元的賠償，也沒有人可以承擔責任，這並不能保證更換資源。」因此我們特此聲明發動OpJapan的行動。」並於2023年8月28日至9月5日對日本組織發動網路攻擊。

據了解，除了Vulz Sec Team宣布的OpJapan之外，其他駭客組織如Anonymous宣布了OpTEPCO和OpFukushima等網路攻擊行動的消息，向日本政府發出威脅，聲稱日本政府網站和與福島設施相關的其他網站遭到網路攻擊。該消息談到了核廢料傾倒對環境和人類的影響。在一項名為“Tango Down”的行動中，聲稱攻擊了與福島核電站相關的21個政府網站和其他網站。

據《日本時報》報導，Anonymous組織的一名成員最近告訴共同社，日本政府釋放處理過的水的政策缺乏透明度，因為公民無法參與其決策過程。

微軟警告: 中國國家級駭客亞麻颱風瞄準數十個台灣政府機構以及教育、關鍵製造業與資訊技術組織恐進行監控活動

Posted on 2023 年 8 月 26 日2023 年 8 月 26 日 by blogadmin

自 2021 年中期以來，發現與中國政府有關聯的駭客組織鎖定數十個台灣組織發起間諜活動，微軟(Microsoft)週四(8/24)將此次活動歸咎於被命名為亞麻颱風(Flax Typhoon) 的APT 組織。Microsoft表示，該活動的不僅是對台灣實體進行間諜活動，而是長時間地持續保持對各機構的存取權限。微軟觀察到Flax Typhoon的惡意行動幾乎只針對台灣組織包括台灣的政府機構以及教育、關鍵製造和IT機構，但微軟在東南亞、北美和非洲也發現了受害者。Flax Typhoon通過利用面向公眾的伺服器中的已知漏洞，針對的目標服務包括 VPN、Web、Java 和 SQL 應用程序，使用 China Chopper Web shell 來獲得初始存取權限從而入侵組織。China Chopper是一種在中國網路犯罪分子中流行的 Web shell。Flax Typhoon 還使用特權升級工具，例如 Juicy Potato 和 Bad Potato。一旦進入網路，Flax Typhoon就會使用命令行工具通過遠端桌面協議建立持久存取，並將 VPN 連接部署到駭客控制的網路基礎設施，以從受感染的系統收集憑證。駭客會尋找 Windows 操作系統存儲哈希密碼的位置，包括本地安全機構子系統服務進程內存和安全帳戶管理器登錄檔的配置。研究人員表示，密碼哈希可以離線破解，也可以用於哈希傳遞攻擊，以存取受感染網路上的其他資源。

微軟週四表示，Flax Typhoon 依靠操作系統內置的工具以及一些通常正版的軟體悄悄地保留在這些網路中，以最少的惡意軟體使用獲得保持了對台灣組織網路的長期存取權限。但是，微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標

自北京加強有關台灣與中國大陸統一的言論以來，資安人員發現了幾項的行動，一些證據表明，Flax Typhoon 與 CrowdStrike 識別為Ethereal Panda的駭客組織重疊。他們補充說，Flax Typhoon對台灣機構的攻擊中使用了“一種獨特的惡意活動模式”，這些活動可以在針對其他國家的行動中重複使用。微軟表示，選在此時發布公告是擔心Flax Typhoon接下來有可能對客戶造成重大影響，並警告說該組織正在進行寄生攻擊（LOLBins）和有效帳號針對微軟系統部署的策略，因此檢測和減輕此攻擊可能具有挑戰性。微軟解釋說，這些策略使得檢測和緩解變得極其困難，因需要關閉或更改遭入侵的帳號，受到入侵的系統也需要隔離和調查。

這些攻擊技術可以很容易地在有針對性的攻擊中重複使用，並敦促防禦者尋找入侵的跡象，並徹底刪除惡意工具和 C2 基礎設施。此外，APT攻擊者瞄準的企業應檢查日誌中是否存在可能被用於惡意目的的入侵帳的跡象。

微軟警告稱：“觀察到的行為表明，攻擊者打算進行間諜活動，並儘可能長時間地保持對各行各業組織的存取權限，並指出該駭客組織至少自2021 年中期以來就一直活躍並針對台灣的政府機構以及教育、關鍵製造和資訊技術組織。該公司表示，在東南亞其他地方以及北美和非洲都發現了受害者。

微軟的威脅情報團隊在公告中，也發布有關 Flax Typhoon 使用命令行工具首先通過遠端桌面協議建立持久存取、部署與攻擊者控制的網絡基礎設施的 VPN 連接以及從受感染系統中竊取憑證的詳細資料。

5月份，資安公司Trellix的研究人員表示，他們觀察到針對台灣政府官員的勒索電子郵件大幅增加，比1月份的惡意電郵的數量增加了30倍。上週，Lumen Black Lotus Labs的研究人員表示，他們發現了一場複雜的活動，利用HiatusRAT惡意軟體感染了台灣組織和美國軍事網站使用的企業級路由器。

中國駭客活動越趨頻繁，資安防護意識不可輕忽。為了避免Flax Typhoon的入侵，組織應確保所有面向公眾的伺服器都已打修補並保持最新狀態，並具有額外的監控和安全功能，如用戶輸入驗證、檔案完整性監控、行為監控和Web 應用程序防火牆。

管理員還可以監控 Windows 登錄檔是否有未經授權的更改；監控任何可能被視為未經授權的 RDP 流量；並通過多因素身份驗證和其他預防措施強化帳號的安全性。

HiatusRAT惡意軟體再現：針對台灣組織和美國軍事採購系統發起了新一波攻擊

Posted on 2023 年 8 月 24 日2023 年 8 月 24 日 by blogadmin

2023 年 3 月，Lumen Black Lotus Labs 的研究人員發現了名為HiatusRAT 的攻擊活動，該活動感染了全球 100 多個網路邊際設備，它的目標是中型企業通常使用的頻寬路由器，允許攻擊者運行命令、竊取數據並建立隱蔽的代理網路。在 2023 年 6 月觀察到的攻擊中，研究人員發現攻擊者改變了策略，將目標轉向臺灣及美國，對美國軍事採購系統進行偵察並針對台灣組織。根據Lumen 的一份新報告，攻擊者不受公開曝光的阻礙，繼續進行操作，並為新架構（包括Arm、Intel 80386 和x86-64）重新編譯了惡意軟體二進製檔案，並將它們託管在新採購的虛擬專用伺服器(VPS) 上。

針對台灣公司和至少一個政府組織的網路攻擊早在 2023 年 8 月就被發現。Lumen 研究人員過去研究了 HiatusRAT 建立的殭屍網絡，注意到來自台灣 IP 地址區域的新連接流。不久之後，針對化學生產設施、半導體製造商和一個城市的網路攻擊被發現。

美國國防部的情況有些不同。同一研究小組檢測到流向與殭屍網路相關的 IP 地址的流量不僅來自台灣，還來自美國。具體來說，他們發現HiatusRAT背後的攻擊者使用其中一台 2 級伺服器連接到專門處理國防合同的國防部伺服器。幸運的是，這裡沒有發生深度滲透，攻擊者很可能是在進行偵察，然後再採取進一步行動。

Lumen 還發現了一個不同的 VPS 節點，用於與美國國防部用於合約提案和提交的伺服器傳輸數據。Lumen 指出：“鑑於該網站與合約提案相關，我們懷疑攻擊者可以收集有關軍事需求的公開資料，或搜索參與國防工業基地 (DIB) 的組織。”

新觀察到的惡意軟體樣本使用與之前的二進製檔案相同的心跳和上傳伺服器進行通信。從本月開始，攻擊者一直在先前識別的 VPS 上託管有效負載。

對惡意軟體伺服器通信的分析顯示，超過 91% 的入站連接來自台灣，主要來自 Ruckus 製造的邊緣設備。

據 Lumen 稱，觀察到的 HiatusRAT 活動似乎與已知的攻擊者沒有重疊，儘管最近目標的轉變與最近針對美國實體的針對中國的行動的報告一致。我們懷疑操作HiatusRAT的攻擊者是另一個用來攻擊美國國防工業基地的網路間諜手段。Lumen 建議國防承包商謹慎行事，並監控其網路設備是否存在 HiatusRAT。

針對美國能源機構的網路釣魚攻擊利用了惡意二維條碼(QR code)

Posted on 2023 年 8 月 18 日2023 年 8 月 18 日 by blogadmin

利用惡意二維條碼的廣泛網路釣魚活動已經攻擊了各個行業的組織，包括美國的一家大型能源公司。研究員觀察到攻擊者發送的 1,000 多封網路釣魚電郵，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電郵

8 月 16 日，根據資安公司Cofense觀察到，網路釣魚活動主要針對美國一家著名能源公司，利用二維條碼將惡意電子郵件放入收件箱並繞過安全措施。Cofense 解釋說，網路釣魚連結隱藏在二維碼中利用嵌入 PNG 圖像或 PDF檔案中的惡意 QR code，旨在在攻擊中獲取目標機構員工的 Microsoft 帳號憑證。與直接嵌入電子郵件中的網路釣魚連結相比，使用二維條碼的優點是，最重要的是能繞過反網路釣魚解決方案，因為網路釣魚連結隱藏在 QR code中。研究人員觀察到該活動的平均月增長率超過 270%。自 2023 年 5 月以來，整體的活動增加了 2,400% 以上。研究人員表示，這是 Cofense 觀察到的有史以來最大規模的利用二維條碼的攻擊活動，這種情況表明攻擊者正在測試二維條碼攻擊的功效。

作為該活動的一部分，攻擊者發送了 1,000 多封網路釣魚電子郵件，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電子郵件。

Cofense觀察到的電子郵件一直在偽冒Microsoft安全通知，大多數已識別的網路釣魚連結是 Bing 重定向 URL (26%)，其次是與 Salesforce 應用程式 (15%) 和 Cloudflare 的 Web3 服務相關的兩個網域，分別是krxd[.]com和cf-ipfs[.]com。Cofense 指出，觀察到的攻擊數量每月增長約 270%，其中 5 月至 6 月期間觀察到的峰值最高。然而，經過 7 月份長達數週的攻擊活動後，8 月份觀察到的攻擊數量有所減少。大多數電子郵件包含涉及更新帳號資料的誘餌，包括雙因素和多因素身份驗證或一般帳戶安全詳細資訊。利用Bing URL 重定向，加上隱藏圖像或文檔中嵌入的二維條碼中的網路釣魚連結以及其他混淆策略，有助於惡意資源繞過安全控制並進入收件人的收件箱。

據 Cofense 稱，儘管攜帶二維條碼的網路釣魚電子郵件能夠進入收件箱，但完成攻擊的效率可能不那麼高，因為它們需要用戶掃描條碼（通常使用手機）並點擊網路釣魚連結。

該公司還指出，雖然二維條碼掃描儀和圖像識別系統可以自動識別惡意二條維碼，但教育員工避免掃描電子郵件中的此類條碼也很重要。 2022 年 1 月，聯邦調查局 (FBI)發布公共服務公告 (PSA)，警告網路犯罪分子正在使用二條維碼竊取他們的憑證和財務資料。FBI 的公告包括保護人們免受此類攻擊的提示，建議檢查通過掃描二維條碼獲得的 URL，以確保它是預期網站並且看起來是真實的。攻擊者可能會使用與預期 URL 類似但有拼寫錯誤或字母放錯位置的惡意網域名。在提供登錄資料、個人資料或財務資料之前，請仔細檢查通過二條維碼導航到的任何網站。

不要從非官方商店下載二維條碼掃描儀應用程式，以免感染受污染的應用程式，現在大多數手機都通過相機應用程式內置了掃描儀。如果用戶從他們認識的人那裡收到二維條碼，可通過其他渠道聯繫他們，以驗證該條碼是否來自他們，切勿通過二維條碼導航的網站進行支付，建議手動輸入已知且可信的 URL 來完成支付。11 月，FBI 互聯網犯罪投訴中心 (IC3) 發布警報，警告公眾注意利用加密貨幣 ATM 和快速回應QRcode完成支付交易的詐欺活動。

勒索軟體NoEscape作惡!首見台灣上市電子公司遭殃

Posted on 2023 年 8 月 16 日2023 年 8 月 16 日 by blogadmin

2023 年 8 月8日，竣盟科技在NoEscape的揭秘網站上發現國內某上市連接器元件大廠的頁面，NoEscape勒索軟體宣稱，已在該公司盜取約50GB的數據，當中包括公司 2023 年度的會計帳簿、協議檔案、保密協定、機密協定和合約、客戶數據以及公司的許多其他機密和敏感檔案。根據該頁面的描述，NoEscape疑似在7月27日已入侵該公司，在8月8日首次在暗網公開入侵該公司的消息然而又設下另一更新日，即8月17日，屆時是否有更多資料或公開贖金價格，有待進一步確認。一般來說，駭客通過設置下次數據更新的時間來誘導及向受害公司施加壓力在該時間段內協商，不然就會公開盜來的資料。

勒索軟體組織NoEscape也被稱為“N0_Esc4pe”，觀察到由 2023 年 5 月底出現在網路犯罪論壇上，提供勒索軟體即服務(RaaS) 的犯罪商業模式，並積極招募會員，為其會員提供一個完全自動化的Leak 網站，託管在 Tor 上的管理員界面提供自動化功能。會員可以創建私人聊天室，以便與受害公司進行秘密通訊。同時也建立聊天支援，支援24/7 查詢和存取等。值得注意的是，操作NoEscape駭客還以 500,000 美元的價格提供DDoS/垃圾郵件攻擊的附加服務，該服務為網路犯罪分子提供了另一種威脅和強迫目標公司支付所需贖金的方法。

作為攻擊的一部分，NoEscape會竊取 Windows、Linux 和 VMware ESXi伺服器上的數據並加密檔案。資安媒體BleepingComputer 稱，NoEscape 勒索軟體的勒索金額從數十萬美元到超過 1000 萬美元不等。與其他勒索軟體組織一樣，NoEscape避免感染來自俄羅斯和其他屬於蘇聯的國家的電腦。根據報導，新的 NoEscape 勒索軟體操作被認為是勒索軟體Avaddon 的品牌重塑，該勒索軟體組織於 2021 年6月中旬，因美國政府大刀掃盪勒索軟體，而決定收山，關閉其業務並釋出少有2,934個受害者的解密金鑰。

根據ID-Ransomware 創辦人兼勒索軟體專家 Michael Gillespie 指出，NoEscape 勒索軟體的加密器與 Avaddon軟體使用的加密器相同，但有一些顯著的變化。Avaddon使用 AES 算法，而 NoEscape 則改用 Salsa20 進行檔案加密。BleepingComputer 的進一步檢查顯示，兩個加密器使用了相同的配置檔案和指令，這表明 Avaddon 加密器的原始碼可能已被 NoEscape購買。此外，一些研究人員也注意到關鍵的 Avaddon 成員加入了NoEscape操作。目前NoEscape已導致 10 家組織遭受勒索或資料外洩，該勒索軟體旨在危害企業網路並獲取 Windows 域管理員憑證，以促進網路範圍內的勒索體傳播。

Encryption Details:

*執行時，NoEscape 會運行一組命令來刪除 Windows 卷影副本和本地 Windows 備份目錄。

*在啟動加密過程之前，它會關閉 Windows 自動修復並終止與安全軟體和備份應用程式相關的進程。

*它加密具有特定副檔名的檔案，例如 .accdb、.edb、.mdb、.mdf、.mds、.ndf 和 .sql。

*每個受害者的 10 個字元的副檔名都是唯一的，副檔名被附加到加密的檔案中，並且會留下一條勒索字條，指示受害者如何恢復其檔案。

美國FBI、CISA 和 NSA 以及五眼聯盟發布 2022 年12 個最常被駭客開採的漏洞清單

Posted on 2023 年 8 月 5 日 by blogadmin

8月3日，美國CISA、NSA 和 FBI 與五眼聯盟的網路機構合作，共同發布了2022年前12名最常被駭客開採的漏洞清單，其中許多漏洞出現在上一年的清單中，鑑於這些機構對針對美國、澳洲、加拿大、新西蘭和英國組織的攻擊的所有了解，聯合諮詢警告稱，攻擊者更喜歡舊的漏洞，而不是新的漏洞。該清單與去年發布的清單沒有什麼不同，包括常被駭客開採的 Log4Shell（追踪為 CVE-2021-44228）和 Zoho 漏洞（CVE -2021- 40539）等。英國國家網路安全中心 (NCSC) 表示，清單上重新出現的漏洞數量突顯了，攻擊者持續針對先前披露的面向互聯網的系統中的漏洞。去年被開採最多的頭號漏洞實際上早在 2018 年就已披露，各大組織和企業已有四年的時間來修補，該漏洞並且一直是CISA，FBI和NCSC重複警告的漏洞為FortiOS SSL VPN Web中的路徑漏洞，此漏洞讓攻擊者可以透過下載FortiOS系統檔案來竊取VPN憑據。世界各地有關部門已留意到這個漏洞可被利用的情況，這漏洞更可包括使用Fortinet VPN設備的機構的VPN網路，該漏洞編號為CVE-2018-13379，長期以來，這是一個眾所周知的漏洞，西方當局警告稱，該漏洞被與俄羅斯 SVR 外國情報服務機構有關聯的駭客組織 APT29 以及其他惡意組織所利用。

最常被駭客開採的漏洞清單中的第2, 3和4名是Microsoft Exchange 伺服器的一系列漏洞，通常稱為ProxyShell（漏洞編號為 CVE-2021-34473、CVE-2021-31207、CVE-2021-34523），分屬遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞，影響Microsoft Exchange Server 2013、2016與2019。微軟已在今年4、5月修補，這些漏洞於2021年發現。

NCSC 表示：“攻擊者通常會在公開披露的頭兩年內利用已知漏洞取得最大成功，並可能將其利用目標最大化，從而強調組織及時應用安全更新的好處。”

儘管截至 2022 年底，通用漏洞揭露(CVE)計畫發布了超過 25,000 個新安全漏洞，以下是去年前12個最容易被利用的安全漏洞:

這個漏洞清單提供了對網路犯罪活動背後策略的深入了解，新西蘭國家網路安全中心副主任 Lisa Fong 表示，這一建議強化了網路安全的一個基本方面，惡意行為者繼續一遍又一遍地使用相同的技術取得成功，通過了解您的資產並在修補可用時快速應用修補。強調做好基本面的重要性。Fong進一步說，由於攻擊者通常在漏洞公開披露後的頭兩年內獲得最大的利用成功，及時修補會降低已知、可利用漏洞的有效性，可降低惡意網路行為者的行動速度，並迫使攻擊者尋求成本更高、更耗時的方法（例如開發零日漏洞或進行軟體供應鏈操作）

該聯合諮詢還包括 2022 年另外 30 個經常被利用的漏洞，此外該諮詢還為供應商和開發人員提供了緩解措施。

中國惡意軟體已滲透美國基礎設施，恐成干擾美軍行動的定時炸彈

Posted on 2023 年 8 月 2 日2023 年 8 月 2 日 by blogadmin

Key Points:

*美國在多個軍事系統中發現了中國惡意軟體

*與之前監控來自中國的惡意軟體不同，其用途是破壞而不是監視

*惡意軟體還可能會擾亂正常的平民生活和和商業

據《紐約時報》報導，美國政府認為中國已將惡意軟體隱藏在控制美國和世界各地軍事基地的電網、通信系統和供水系統的深處，旨在發生衝突時激活的惡意軟體來擾亂軍隊，美國將該惡意軟體形容為“定時炸彈”。紐約時報指出，該惡意軟體的發現引發了人們的擔憂，即中國駭客為中國政府工作，他們插入了旨在在發生衝突時擾亂美國軍事行動的程式，包括北京在未來幾年對台灣採取行動的情況。美國情報和軍事官員正在搜尋和追縱中國惡意軟體，專家們認為該惡意軟體可能會在美「中」爆發衝突時，恐在關鍵時刻切斷美軍基地的水電與通信，從而減緩補給與部署行動；加以美國許多軍事基地與民宅及民間企業，使用相同的供應基礎設施，因此，許多民用水電通信亦可能遭波及與影響。

《紐時》的報導，與今年 5 月間微軟(Microsoft)的公開警告相呼應，微軟揭露，中國APT駭客組織 Volt Typhoon 滲透到了美國和關島的關鍵基礎設施組織中，該組織設法盡可能長時間地保持存取而不被發現。Volt Typhoon 組織至少自 2021 年中期以來一直活躍，針對關鍵基礎設施開展網路行動。在最近的攻擊活動中，該組織將通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門的組織作為目標。Volt Typhoon主要運用就地取材（Living off the Land）技術發動攻擊，在受害者裝置上安裝惡意程式以便遠端手動控制，之後將檔案壓縮外傳，蒐集到的網路存取憑證則使其得以長期潛伏。同時，以hands-on-keyboard輸入命令的攻擊模式，以躲避防毒軟體的偵測。

報道指，美國當局發現這款中國惡意軟體後，白宮戰情室最近幾個月就事件召開了一系列會議，來自國家安全委員會、國防部及國土安全部等高層官員，正努力追查並旨在將其剷除。然而美國對該軟體的辨識、追查與消除工作，已進行一段時間，但截至目前，仍無法完整得知中共駭客植入惡意軟體的範圍與深度，因為其「隱藏得非常好」。

同時，拜登政府官員開始向國會議員、一些州州長和公用事業公司通報調查結果，並在接受《紐約時報》採訪時證實有關這次行動的一些結論，美國總統拜登的一位最高級顧問解釋說，所謂的惡意軟體的存在引發了一個問題：他們到底在做什麼準備。該程式碼可以用來減緩美國在中國軍隊入侵台灣時的反應，但另一種理論認為該程式碼的目的是為了轉移注意力。美國情報機構評估稱，中國官員可能認為，在攻擊台灣或其他行動期間，美國基礎設施的任何中斷都可能會吸引美國公民的注意力，以至於他們很少考慮海外衝突。

白宮國家安全會議（National Security Council）的發言人Adam Hodge在28日發布的聲明稱，拜登政府正努力保護美國關鍵基礎設施免受任何干擾，這包括跨部門協調工作，以保護供水系統、管線、鐵路和航空系統等，並首度透過一系列行政命令強制要求採取嚴格的網路安全措施，但聲明並未提到中國或美軍基地。

中國國家級駭客的網路行動似乎出現轉變，美國官員表示，最近的入侵與過去的入侵不同，因為目標似乎是破壞，而不是監視。

有關中國惡意軟體操作的報導在中美關係緊張時期浮出水面，中國聲稱台灣是其領土的一部分，而美國則旨在禁止向北京出售先進半導體。