Lorenz勒索軟體利用Mitel MiVoice VOIP中漏洞入侵企業網路

Posted on by blogadmin

根據ArcticWolf Labs的 IT 安全研究人員已發出警告,攻擊者可以利用廣泛使用的 VoIP 軟體中的漏洞來獲得對實體公司網路的初始存取權限。根據他們的研究,Lorenz勒索軟體通過利用 MiVoice Connect 的 Mitel Service Appliance設備 來入侵企業網路。最初的惡意活動源自位於網路外圍的Mitel設備,Lorenz利用遠端程式碼執行漏洞(CVE-2022–29499)來獲取反向shell(reverse shell),然後使用Chisel作為隧道工具進入網路。

資安公司CrowdStrike 6 月份的一份Blog中,報告了相同的零時差漏洞,並還提供了觀察到的駭客攻擊手法的詳細說明。另外,根據安全研究員 Kevin Beaumont透露,Mitel VoIP 產品也一個有利可圖的切入點,因為有近 20,000 台Mitel VoIP設備暴露互聯網上,使它們容易受到惡意攻擊。

據ArcticWolf Labs研究人員稱,攻擊者在獲得初始存取權限後等待了近一個月的時間來執行後利用操作,包括通過 web shell 建立持久性、獲取憑據、網絡偵察和權限升級,然後進行了橫向移動。他們利用 FileZilla 進行數據洩露,並通過 BitLocker 執行加密。最後,他們在 ESXi 系統上啟動了 Lorenz 勒索軟體。與許多其他勒索軟體組織一樣,Lorenz 以通過在加密系統之前竊取數據進行雙重勒索而聞名,至少在2021 年 2 月以來,攻擊者針對位於美國的中小型企業 (SMB),同時也攻擊中國和墨西哥的組織,根據HackRead的報導,包含上海美國商會、Fuji和 MagTek都被列為Lorenz勒索軟體的受害者。

Photo Credit: HackRead

駭客越來越多地針對鮮為人知/受監控的資產來逃避檢測。因此,在這種情況下,僅監控關鍵資產是不夠的,安全團隊必須應監控所有面向外部的設備以發現潛在的惡意活動,包括 VoIP 和物聯網設備。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

極端氣候導致Twitter 關鍵性數據中心暫時關閉

Posted on by blogadmin

加州的極端高溫使Twitter關掉了其在首府Sacramento的一個關鍵數據中心, CNN報導稱Twitter內部高層中警告說,如果還有其他數據中心斷網,可導致其用戶服務陷入困境。

與所有主要社交媒體平台一樣,Twitter 依賴數據中心,這些數據中心本質上是裝滿電腦設備如伺服器和存儲系統等的巨大倉庫。控制數據中心的溫度對於確保電腦不會過熱和故障至關重要。為了節省冷卻成本,一些科技公司將它們的數據中心建立在寒冷氣候的國家中。例如,Google於 2011 年在芬蘭開設了一個數據中心,Meta 自 2013 年以來在瑞典北部設立了一個數據中心。

9 月 5 日標誌著北加州歷史上最大熱浪的開始:Sacramento市中心達到 113華氏(攝氏45度),隨後達到116 度(46. 7 攝氏度),上週二成為該市有記錄以來最熱的一天。

“9 月 5 日,由於極端天氣,Twitter 失去了Sacramento 數據中心區域。史無前例​​的事件導致 SMF 的實體設備完全關閉。”該公司工程副總裁 Carrie Fernandez 在周五給 Twitter 工程師的內部消息中說。

根據Fernandez週五的通告,由於Sacramento的離線,Twitter 處於非冗餘狀態(non-redundant)。她進一步說,Twitter在亞特蘭大和波特蘭的數據中心仍在運行,但警告說”如果我們失去其中一個數據中心,我們可能無法為所有 Twitter 用戶提供流量。”

該通告同時禁止對 Twitter 產品進行非關鍵更新,直到該公司能夠完全恢復其Sacramento數據中心服務。Fernandez 寫道:”所有production的變更,包括行動平台的部署和發布,都需暫停,只有解決服務連續性或其他緊急運營需求所需的變更除外。”

據美國有線電視新聞網報導,Twitter 前安全負責人 Peiter Zatko 上個月在向包括證券交易委員會在內的多個聯邦政府機構的舉報稱,Twitter 的“數據中心冗餘不足”會增加短暫服務中斷的風險,甚至可能會導致 Twitter 永久下線。

Twitter 在給 CNN 的一份聲明中僅表示,目前沒有任何干擾影響人們存取和使用 Twitter。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

警訊響起了!兩天內4家台灣企業紛紛落入勒索軟體LockBit3.0毒手

Posted on by blogadmin

受害名單包括:

*知名上市IT代理商

*某日本上市集團在台子公司(工廠自動化零件生產商)

*國際知名運動品牌成衣製造商

*精品磁磚建材供應商

根據竣盟科技的觀察,分別在9月5和6日,我國共有 4 家公司被列入為LockBit3.0的受害名單。當中值得注意,某名知上市IT代理商,主要針對企業網路之架設、網路系統安全、網路管理及備援系統等領域,提供整體性的規劃及系統整合服務,為各大小公司提供資安服務及產品,為專業網路系統加值代理商,在業界享譽盛名,LockBit 3.0聲稱將於9月16日發布所有從該公司盜竊得來的數據,懷疑談判破局。

某知名上市IT代理商
某日本上市集團在台子公司(工廠自動化零件生產商)

針對日商在台子公司(專門生產螺絲・螺栓,FA・模具零件、工具・工場消耗品) 目前已設時間器(Timer),摧毀資料Destory all information)及可下載數據(Download data at any moment)的按鈕,可供任何願意付錢的人仕延長24小時間及消毀或下載數據。有趣的是,LockBit 3.0給予日商在台子公司長達99天的協商期限。

國際知名運動品牌成衣製造商
精品磁磚建材供應商

根據日本共同社的報導,LockBit的幹部日前接受其採訪,表示擁有100人以上夥伴,其中包括多名日籍駭客,還將招募更多的日籍夥伴,該幹部稱,LockBit是“以金錢為目的的完全非政治組織”,“成員不僅來自前蘇聯國家,還有日本人、中國人及美國人”。該人表示勒索的金額因企業規模及加密數據的價值而異,大致是年銷售額或年收入的0.5%~10%。該人未透露迄今獲得的錢款總額。

針對語言而招募特定國籍的駭客似乎是一個趨勢,值得我們思量的是LockBit是否也已招募了台籍駭客,使其攻擊更加順利,然而就目前的觀察,仍不能太早下結論,但值得我們持續關注下去!

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

《財富》世界500強之一,家電巨擘美的集團遭REvil勒索軟體入侵!

Posted on by blogadmin

被推定已被美國與其它國家聯手殲滅的REvil勒索軟體集團,於 2022 年 4 月死灰復燃攻擊了印度國營石油公司Oil India,今又宣稱已入侵中國美的集團(Midea Group)。

REvil揭秘網站美的集團的頁面

REvil在其揭秘網站上聲稱從美的集團竊取了各種不同的數據,包括其產品生命週期管理 (PLM) 系統——包括藍圖和韌體來源,以及“準備出售”的財務資料,REvil還聲稱竊取了來自 Git 和 SVN 版本控制系統的大量原始碼數據。

根據勒索軟體集團發佈的螢幕截圖,似乎已竊取數TB的數據。

另外,據相信REvil已經將大量據稱從美的集團獲取的檔案發布在暗網,這些檔案包括數位身份證件的掃描,該公司VMware vSphere用戶端內部的螢幕截圖,大量壓縮的7zip存檔以及SSH密鑰。

美的集團擁有超過 15 萬員工,擁有 200 多家子公司,營業額超過 530 億美元。該公司在全球財富 500 強名單中排名第 245 位,美的集團擁有德國公司KUKA的多數股權,該公司是世界上最大的機器人和家用電器製造商。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Agenda Ransomware一種Go語言的新勒索軟體

Posted on by blogadmin

資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體,已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。

該勒索軟體以 Golang (Go) 跨平台編程語言編寫,從技術角度來看,Agenda 提供了多種功能,包括以安全模式重啟系統並停止特定於伺服器的進程和服務,以及運行多種模式。Agenda還具有檢測規避技術,更改使用者密碼並啟用自動登錄,Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案,並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示,觀察到的樣本都是客制化的,每個受害者要求的贖金金額也不同,介於 50,000 美元到 800,000 美元之間。

Photo Credit: TrendMicro

Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外,還具有感染整個網路及其共享驅動程序的功能。在一個案例中,作為一次攻擊的一部分,攻擊者利用面向公眾的 Citrix 伺服器作為切入點,在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。

“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案,如果登錄嘗試成功,則進一步加密其他機器。它還終止大量進程和服務,並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。

TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil(又名 Sodinokibi)之間的相似之處,具體來說,Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter,而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

密碼管理公司LastPass的開發系統被入侵,原始碼與專利技術資訊被竊取!

Posted on by blogadmin

密碼管理器供應商LastPass周四(8/25)表示,駭客入侵了其開發人員的一個帳號,利用該帳號存取了專有技術資訊與部分原始程式碼,然而LastPass稱其用戶的密碼仍然安全,表示沒有證據表明客戶數據或加密的密碼庫遭到破壞,稱其產品和服務運行正常。LastPass進一步說資安事件發生在兩週前,資安公告已通過電郵發送給其客戶。

LastPass通知客戶的Email

LastPass表示為應對這一事件,已部署了遏制和緩解措施,並正在實施額外的增強安全措施,另外也聘請了外部的資安鑑識公司為事件進行調查。目前已達到遏制的狀態,沒有看到任何未經授權的活動的進一步證據。

值得一提的是 LastPass尚未提供有關攻擊的更多詳細資訊,例如駭客如何入侵開發人員的用戶帳號, 以及哪些原始碼被盜。

LastPass 是世界上最大的密碼管理公司之一,聲稱被超過 3300 萬人和 100,000 家企業使用。由於消費者和企業使用該公司的軟體來安全地存儲他們的密碼,因此有人擔心該公司被駭客入侵,可能會允許攻擊者存取存儲的密碼。

然而LastPass 堅稱,事件並未危及管理其旗艦密碼管理軟體中加密保險庫(Encrypted vaults)存取權限的主密碼(Master Passwords),LastPass將密碼存儲在加密保險庫中,只能使用客戶的主密碼進行解密,LastPass稱Master Passwords在此次網路攻擊中並未受到破壞。

去年,LastPass遭受了撞庫攻擊,攻擊者可以確認用戶的主密碼。據透露,LastPass主密碼是因為利用RedLine Stealer惡意軟體的駭客而被竊取。

因此,在您的 LastPass 帳戶上啟用多因素身份驗證至關重要,這樣即使您的密碼被洩露,駭客也無法存取您的帳戶。

CISA就Palo Alto防火牆的 PAN-OS漏洞的遭駭客積極開採,發出警告,並將其添加到已知遭濫用之漏洞清單

Posted on by blogadmin

美國網路安全暨基礎設施安全局(CISA)週一(8/22)將影響Palo Alto Networks PAN-OS 的安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities Catalog)中。漏洞編號CVE-2022-0028(漏洞風險值8.6)是一種URL 過濾政策錯誤配置的高嚴重性漏洞,可允許未經身份驗證的遠端攻擊者執行反射和放大的 TCP 阻斷服務(Reflected Amplification Denial-of-Service, RDoS)攻擊。針對攻擊者選擇的目標,DoS 攻擊似乎源自 Palo Alto Networks PA 系列設備、VM 系列(虛擬)和 CN 系列(容器式)防火牆。

該供應商表示最近獲悉,多家供應商的防火牆被濫用來進行分佈式阻斷服務 (DDoS) 攻擊,但它沒有透露受影響公司的名稱,Palo Alto的資安通告提及,這種企圖攻擊利用了來自多個供應商的易受攻擊的防火牆,包括Palo Alto Networks在內,Palo Alto的資安通告稱,儘管漏洞被利用,但這個問題不會影響其產品的機密性、完整性或可用性。 然而,由此漏洞產生的阻斷服務 (DoS) 攻擊可能有助於混淆攻擊者的身份,並將防火牆作為攻擊的來源。

CVE-2022-0028這項漏洞影響適用於 PA 系列、VM 系列和 CN 系列設備的以下 PAN-OS 版本:

PAN-OS 10.2(10.2.2-h2 以前的版本)

PAN-OS 10.1(10.1.6-h6 以前的版本)

PAN-OS 10.0(10.0.11-h1 以前的版本)

PAN-OS 9.1(9.1.14-h4 以前的版本)

PAN-OS 9.0(9.0.16-h3 以前的版本)

PAN-OS 8.1(8.1.23-h1 以前的版本)

以及Cloud NGFW、Prisma Access

據 Palo Alto Networks 稱,漏洞並不影響 Panorama M 系列或 Panorama 虛擬機器,CVE-2022-0028也已作為Palo Alto本月發布的更新一部分得到解決。

鑑於駭客積極開採,CISA建議受影響產品的用戶應用相關修補以減輕潛在威脅,並下令美國聯邦民事行政部(FCEB)必須在 2022 年 9 月 12 日之前更新到最新版本。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日系產險公司-台灣佳朋保險經紀人SOMPO,公告遭網路攻擊

Posted on by blogadmin

日本母公司SOMPO Holding同時發出聲明,強調攻擊僅限於台灣子公司,不影響集團的其他公司

8月23日,台灣佳朋保險經紀人(SOMPO Taiwan Brokers-STB)在其官網宣布遭受網路攻擊,在發現攻擊後立即採取網路中斷措施,以防止損害擴大。目前,針對是否存有資料外洩,已委請外部機構進行調查及分析,並已通報政府機構與調查當局,STB承諾會與外部資安機構及調查單位作出最適當的應對。直至目前尚不清楚此起網路攻擊的性質,是否為勒索軟體攻擊。竣盟科技截至目前尚未在任何主流的勒索軟體揭秘網站上,看到任何勒索團體聲稱已入侵STB。

STB的日本母公司SOMPO Holdings同時在今天證實此次網路攻擊事件https://www.sompo-hd.com/

Sompo Holding的聲明與STB類似,但進一步強調稱攻擊僅限於台灣子公司,不影響集團的其他公司。

STB是日本SOMPO Holdings在台灣獨資之保險服務據點,總公司於1888年成立,在全球32個國家地區擁有據點。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國國家級駭客組織RedAlpha針對全球人道主義、智囊團和政府發動大規模憑證盜竊活動

Posted on by blogadmin

研究稱RedAlpha對台灣非常關注,包含民進黨、美國在台協會國防安全研究院和外交部等都是其目標。此APT駭客組織擅長利用假冒但逼真的登入網頁進行釣魚攻擊,達到竊取帳號憑證的目的。

RedAlpha製做假冒我國外交部的登入網頁進行釣魚攻擊 Photo Credit: Insikt Group

根據Recorded Future旗下Insikt Group的研究指出,中國APT客組織RedAlpha至少自 2015 年以來一直以”高速”運作,但直到 2018 年才引起資安全人員的注意,RedAlpha專門從事大規模憑證收集,通過令人信服的網路釣魚電子郵件和附加的 PDF檔案來實現,將受害者導入假冒但逼真的登錄頁面,以竊取用戶名和密碼等登陸憑證。分析師稱,自 2019 年以來該活動進一步增加,在過去三年中,觀察到 RedAlpha 註冊和武器化350個網域名,以進行網路間諜活動,欺騙各大組織,利用大量網域名仿冒人道主義、智庫和政府組織當中包括:

自由亞洲電台(Radio Free Asia)

德國墨卡託中國研究所( Mercator Institute for China Studies)

大赦國際(Amnesty International)

國際人權聯合會International Federation for Human Rights

美國商會(包括台灣美國商會)American Chamber of Commerce( including AmCham Taiwan)

普渡大學(Purdue University )

印度國家資料中心(India’s National Informatics Centre)

台灣民進黨(Taiwan’s Democratic Progressive Party)

美國在台協會(American Institute in Taiwan)

全球多個國家的外交部(Ministries of foreign affairs in multiple countries globally)

值得注意的是,報告指出,隨著在過去一年美中在台灣問題上關係日益緊張,RedAlpha對台灣的機構特別感興趣,包含民進黨、美國在台協會,國防安全研究院和外交部等都是其目標。此外還發現,RedAlpha還對巴西、越南和葡萄牙的外交部以及印度國家資料中心進行了憑證盜竊攻擊,RedAlpha使用以下與台灣組織有關的假冒網域名:

Photo Credit: Insikt Group

根據Insikt Group的分析,RedAlpha維護著龐大的運營基礎設施,目的是針對與這些組織直接相關的個人,而不是簡單地模仿這些組織來針對其他第三方。據信RedAlpha與一家名為江蘇君立華域信息安全技術股份公司(前身為南京青苜信息技术有限公司)的中國信息安全公司有關聯,RedAlpha用來註冊假冒的惡意域名的一個電郵地址與此公司有關聯,而江蘇君立華域信息公司正與多家中國政府所有的企業有業務往來,突顯了RedAlpha 活動與中國政府有關聯。

有關RedAlpha的”部分”入侵指標(Indicator of compromise -IOCs):

SHA 256

ff1b335b8c25f5879935933b05a4ae0d3a424f3c6f797dbe9b3d93f5e67cc055

fe93dc40b80e7a5f5ca35f5efdeefe043caffe20befaa3345ffe3560fe54518d

f3384e36784f88f2c83ff524f99accbc7bb3b2804a936c0d9cf10da749eca10d

d1deb6661df0414663012dac208bda9db1a6ed964d6da022ab8b4763cbb37f48

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體搞烏龍,錯認受害者?! Clop駭入英國供水商South Staffordshire Water卻稱Thames Water是其受害者

Posted on by blogadmin

英國South Staffordshire Water是一家每天為160萬名消費者提供 3.3 億升飲用水的公司,證實遭受網路攻擊,導致 IT 中斷。

8 月 15 日,South Staffordshire Water公告遭網路攻擊,IT系統中斷但沒有影響向其客戶或其子公司Cambridge Water 和 South Staffs Water的客戶供水,表示安全和配水系統仍在運行,該公司表示正在與英國政府和監管機構合作解決IT 中斷這一事件。

與此同時,Clop勒索軟體組織開始威脅Thames Water,聲稱已告知Thames Water其網路安全漏洞,雖然沒有加密他們的數據,但從其系統中盜取 5TB,並公佈了第一個被盜數據樣本,其中包括護照,水處理SCADA系統的螢幕截圖,駕駛執照等。Thames Water 是英國最大的水供應商和廢水處理供應商,服務於大倫敦地區和泰晤士河周邊地區。

Cl0p聲稱入侵Thames Water,實情並非如此

然而,Thames Water今天通過一份聲明正式駁斥這些說法,稱有關Clop入侵其網路的報導是網路騙局。

根據BleepingComputer,在取得的證據樣本中,Clop 提供了一個包含用戶名和密碼的電子表格,其中包含 South Staff Water 和 South Staffordshire 的電郵address,如下所示:

另外,其中一份發送給目標公司的外洩檔案明確寫給了 South Staffordshire PLC。因此,相信Clop錯誤地識別了他們的受害者,或者試圖使用虛假證據敲詐一家更大的公司。

隨後,Clop糾正了他們的錯誤,現將 South Staffordshire Water 列為其受害者。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”