美國CISA和FBI對針對醫療機構的勒索軟體Zeppelin發出警報,並發布有關緩解指南

美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 發布了關於 Zeppelin 勒索軟體即服務 (RaaS) 操作的聯合安全警報,根據統計自2019年到 2022 年 6 月間,該操作除了廣泛針對醫療保健和醫療領域的組織之外,也發現攻擊包括國防承包商、教育機構、製造商、技術公司等組織。

Zeppelin勒索軟體是基於 Delphi 的 Vega 惡意軟體的變種,已觀察到攻擊者使用各種向量來獲得對受害者網路的初始存取權限,尤其是利用遠端桌面協議 (RDP)、SonicWall 設備中的漏洞、面向 Internet 的應用程式中的漏洞以及網路釣魚電子郵件,基於網路釣魚的攻擊結合使用惡意鏈接和包含惡意宏的附件。

在部署勒索軟體有效酬載之前,攻擊者通常會在受害者的網路中花費大約 1-2 週的時間。在此期間,他們枚舉受害者的網路,識別感興趣的資料,包括備份和雲端存儲服務,並洩露敏感數據,然後發出贖金要求,通常以比特幣形式發出,要求從幾千美元到超過一百萬美元不等。

FBI 觀察到多次攻擊,Zeppelin在受害者的網路中多次執行惡意軟體的情況,這意味著受害者擁有多個 ID 和副檔名,導致需要多個不同的解密工具來恢復他們的檔案,這增加了從攻擊中恢復的複雜性。

CISA 和 FBI 共享了入侵指標 (IoC) 和 Yara rules,以幫助網路防禦者識別正在進行的攻擊並在檔案加密之前阻止攻擊,還共享了緩解措施以降低妥協的風險,其中包括:

*根據美國國家標準與技術研究院(NIST)發佈的最新標準為所有帳戶制定和管理密碼策略

*為所有數據制定可靠的備份計劃 – 創建數據和伺服器的多個備份,將這些備份存儲在單獨的、分段的和安全的位置,加密備份並測試備份以確保可以進行檔恢復

為所有服務(尤其是用於訪問關鍵系統的 Web 郵件、VPN 和帳戶)實施多因素身份驗證。

*確保所有軟體和韌體保持最新

*在所有主機上安裝防病毒軟體並定期更新軟體

*對所有具有管理員許可權的用戶帳戶進行定期審核

*應用最小特權原則

*為管理員級別及更高級別的帳戶實施基於時間的控制

*禁用所有未使用的埠

*禁用收到的電子郵件中的超連結,併為來自外部來源的所有電子郵件添加橫幅

*禁用命令行和腳本活動和許可權,以防止橫向移動。

FBI鼓勵受害者與其分享資訊,敦促如在企業網路中檢測到 Zeppelin 勒索軟體活動的 IT 管理員,應與其共享任何相關攻擊的資訊。有助於識別該勒索軟體背後攻擊者的有價值數據包括“顯示與外國 IP 地址之間的通信的邊界日誌、勒索信樣本、與Zeppelin參與者的通訊、比特幣錢包資訊、解密檔案和/或一個良性樣本的加密檔案。”

最後,FBI 補充說,它不鼓勵向 Zeppelin 支付贖金,並建議受害者不要這樣做,因為他們無法保證支付贖金會防止數據洩露或未來的攻擊。

有關Zeppelin的”部分”入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

發現不同的犯罪集團對數家知名中國企業出手,上海復星集團,中國電信等紛紛上榜

竣盟科技最近觀察到一系列對中國企業的網攻情形,包含中國跨國集團上海復星遭LockBit3.0的入侵、中國電信(China Telecom)遭網路僱傭軍集團Atlas Intelligence Group攻擊、中國最大的民營能源公司新奧集團ENN Group遭Hive勒索軟體加密。

上海復星集團

8 月 9 日 , 操作勒索軟體LockBit 3.0 駭客, 在其揭秘網站LockBit Leaked Data上宣稱已入侵中國復星集團,並同時發佈多達11個檔案作為入侵證據,公佈已盜200+ GB 的數據。值得一提的是LockBit聲稱以密碼123456闖入復星的網路,並嘲諷他們不應使用該組容易被破解的弱密碼。此外, LockBit 給復星長達33天的期限,來談判有關支付贖金的事宜。

LockBit揭秘網站-復星的頁面

中國電信

8 月 7日,Atlas Intelligence Group(A.I.G),也被稱為亞特蘭蒂斯網軍,在其 Telegram頻道上, 公佈已成功入侵中國電信, 隨後在8 月 9 日,即公開中國電信約6Gb/122 json 檔案作為證據樣本,猜測外洩的數據來自未被保護Elastic cluster。

被懷疑是A.I.G.的首腦Mr. Eagle在Telegram上提供中國電信的樣本

根據Cyberint的一份報告,網軍A.I.G於今年五月浮出水面,銷售的服務包括數據洩露、分佈式拒絕服務(DDoS)、遠端桌面 (RDP) 連線劫持和其他網路滲透服務。

新奧集團

另外,8 月 4日,Hive勒索軟體披露加密了中國最大的民營能源公司新奧集團(ENN Group),ENN Group是中國最大的清潔能源分銷商,主要業務爲在中國投資、建設、經營及管理燃氣管道基礎設施、車船用加氣站及綜合能源項目,銷售與分銷管道燃氣、液化天然氣及其他多品類能源,集團在中國擁有187 個城市燃氣項目。Hive公佈加密日期為2022 年 7 月 6 日,目前仍未沒有看到任何數據的樣本,估計如果雙方的談判破裂,ENN Group被盜的數據將很快被公佈。

不能不提的是,2022 年6 月底韓國網絡安全機構 KISA,針對Hive勒索軟體v1-v41版本 4發布了一個免費的解密工具。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

駭客攻擊導致丹麥全國7-11無法使用收銀機及支付系統,約175家門市緊急關店

丹麥週一(8/8)的早上,全國7-11門市緊急關閉。據悉,由於當天凌晨發生網路攻擊,丹麥7-11官方Facebook 帳號發文稱他們很可能受到駭客攻擊,其全國範圍的支付和結帳系統遭入侵,導致無法使用收銀台和付款,致使丹麥所有的 7-11暫停營業。

客人發現無法在7-11購買而離開
丹麥7–11貼出公告-暫停營業
丹麥7-11官方聲明發佈到Facebook

丹麥7-11表示,現階段他們正在了解受駭範圍,將盡快釐清並恢復。目前尚未透露何時重新營業。

根據BleepingComputer,現在被已刪除的 Reddit 發文中,一名據稱位於丹麥的 7-11 員工證實了網路攻擊,稱在結賬系統癱瘓後,被迫關店,7-11員工在 Reddit上說,我是在 Strøget 的 7-11 工作,我們的結賬系統無法使用,全國所有的 7-11 都使用相同的系統,所以丹麥的所有 7-11 現在都關店。

目前,官方丹麥7-11沒有透露關於這次攻擊的更多細節,包括是否涉及勒索軟體,這已成為導致大規模中斷的最常見網路攻擊。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

裴洛西訪台前後,疑為中國駭客對台灣進行網路攻擊之概況

8月2日,美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台前夕,多家本地媒體報導,總統府官網遭受到境外DDoS(阻斷服務攻擊)攻擊,攻擊流量為平日的200倍,導致官網一度無法顯示,經緊急處置,20分鐘內恢復正常,總統發言人張惇涵在其官方Facebook帳號證實此攻擊。除此之外,政府入口網站以及外交部網站2日疑似同樣遭到攻擊癱瘓,一度無法連上。

外交部在聲明中指出,這兩個網站都收到「來自中國、俄羅斯等地大量IP」每分鐘多達850萬次流量的請求。

8月3日,上午全台有多間7-11門市電視螢幕顯示「戰爭販子裴洛西滾出台灣」消息一出,統一超商回應,廠商受不明來源干擾播放訊息,已立即請廠商修復,門市營運正常。

此外,中國駭客還瞄準了台鐵電視螢幕,畫面上可見竟以簡體字寫著,「老巫婆竄訪台灣,是對祖國主權的嚴重挑戰;那些積極迎接的人,終將受到人民的審判;同種同族的血親關係割捨不段;偉大華夏終將統一」的惡意假訊息。

對此,鐵表示,此為高雄新左營站售票大廳的電子看板,為資產開發中心出租廣告看板,出租出去後,3日上午10時突然被駭客入侵,同仁發現後,第一時間就先切掉線路,馬上斷電處理,並通知廠商做後續防護。

8 月 3 日同一天,疑為中國駭客APT 27,在Twitter上建立了一個名為APT27_Attack的帳號,高調地公開1支影片宣布對台灣發動特別網路行動,影片中蒙面男生以英文說:「全世界的公民你們好,我們是APT 27。最近我們注意到,裴洛西不顧中國和台灣同胞的反對造訪台灣,台灣自古以來都是中國的領地,為了反制挑釁,我們將對台灣發動一個特別網路行動,攻擊對象包括台灣政府和所有基礎設施。讓我們拭目以待,祝你們好運!」影片字幕為簡體字。

https://twitter.com/APT27_Attack/status/1554773005586157568

此外,該用戶聲稱已經入侵六萬臺物聯網(iOT)設備,並在另1個推文寫道:「我們不屬於政府,我們來自全球各國,至於有人把我們和惡名昭彰的APT 27比較,我們要說的是,我們是27 Attack,也可以叫我們27,我們已經完成任務了。」

8 月 4 日晚,高市環保局網站遭駭客入侵,首頁遭惡意植入中國五星旗,環保局表示先行關閉網站,將持續積極修復。

直到目前為止,環保局網站仍未修復完畢,網站顯示「本網站維護中暫停服務,造成不便,請見諒!」

8 月 5日,Twitter用戶APT27_Attack聲稱將公佈他們對台灣發動過的攻擊,並發布台灣相關設備的零時差漏洞。

面對持續發生的駭客攻擊事件,組織應加強資安維運暨系統防護,持續監控,內、外網都應做好防範措施。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

BlackCat勒索軟體入侵了歐洲能源供應商,Encevo Group旗下兩家子公司受影響,數據外洩露,電話線路及客戶管理系統無法使用

根據多家資安外媒報導,總部位於盧森堡的兩家公司正在努力應對上周開始的勒索軟體攻擊,這是涉及歐洲能源公司的一系列事件中的最新一起。在 7 月 25 日Encevo Group 表示,其2間主要子公司Creos(管理電力與燃氣網)和Enovos Luxembourg(負責向盧森堡和德國的多元化投資組合客戶出售能源)是7 月 22 日晚,網路攻擊的受害者。Encevo Group指出此次攻擊中斷了兩家公司的客戶入口網站,但未影響電力和天然氣的供應,Encevo Group是由盧森堡政府和包括中國南方電網國際在內的其他幾家公司所有。Encevo Group在五個歐洲國家(盧森堡、德國、法國、比利時與荷蘭)擁有能源供應業務,是盧森堡最大的能源公司,為超過 285,000 名客戶提供電力,為 47,000 名客戶提供天然氣。

Creos在上週的一份聲明中證實,其電話線路及客戶管理系統無法使用,沒有進一步說明其他細節,然而其母公司Encevo Group在 7 月 28 日的新聞稿中寫道,“一定數量的數據從電腦系統中外洩露或因駭客攻擊無法存取。” 目前 Encevo Group無法估計影響的範圍,懇請客戶耐心等待調查結束,屆時將個別通知客戶,Encevo Group表示建立了一個專門的網頁,用於發佈消息,將隨著Creos 和Enovos發展的情況進行更新。Encevo保證用戶的供應不會因攻擊而中斷,但建議客戶盡快重置他們的登錄詳細資料。

現在,資安公司Emsisoft威脅分析師 Brett Callow 表示,攻擊者是BlackCat勒索軟體組織-也稱為 Alphv,據熟悉,BlackCat竊取了 150 GB 的數據,共18萬個檔案,從截圖顯示這些數據包括合約、護照、賬單和電郵等,BlackCat聲稱在周一(8 月1日) 公開所有數據,但截至目前,尚未公佈任何數據。

BlackCat/Alphv 揭秘網站

歐盟網路安全局在週五(7/29)發布了一份報告,其中分析了 2021 年 5 月至 2022 年 6 月期間在歐盟發生的 623 起資安事件。報告發現,在勒索軟體攻擊期間,每月有 10 TB 的數據被盜和外洩,而超過 60 % 的組織可能已經支付了贖金。

針對 Encevo Group 旗下實體的攻擊是最近針對歐洲能源公司的眾多攻擊之一,這些攻擊在去年顯著增加。德國風電場運營商 Deutsche Windtechnik於 4 月因網路攻擊而癱瘓,而德國風力渦輪機製造商 Nordex在 3 月 31 日遭受網路攻擊後被迫關閉其多個地點和業務部門的 IT 系統。Nordex 事件是在對衛星通信公司 Viasat 的網路攻擊之後發生的,該攻擊導致德國 5,800 台 Enercon 風力渦輪機無法使用。

2 月,歐洲檢察官和網路安全官員開始調查影響幾個主要石油港口碼頭的勒索軟體攻擊,目標是比利時、荷蘭和德國的組織,包括該地區一些最大的港口。

德國物流集團 Marquard & Bahls 旗下的石油公司 Oiltanking 和 Mabanaft在 2 月份遭受了網路攻擊,導致其裝卸系統癱瘓。Oiltanking表示,這是不可抗力的攻擊事件,迫使殼牌將石油供應改道至其他油庫。德國報紙 Handelsblatt稱,由於這次襲擊,德國各地的 233 個加油站現在不得不手動運行一些流程。德國聯邦資料安全辦公室的一份內部報告稱,BlackCat 勒索軟體組織是對石油公司的網路攻擊的幕後黑手。

美國FBI 在 4 月發布的警報稱,截至 3 月,執法機構已追踪到 BlackCat 組織發起的至少 60 次勒索軟體攻擊。 根據警報,BlackCat是第一個使用 RUST 成功攻擊這麼多受害者的勒索軟體組織,RUST是一種許多人認為比使用其他編程語言更安全的程式語言。

資安公司Emsisoft 表示,BlackCat 很可能是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand),而BlackMatter又是 DarkSide 的改名,該組織因去年攻擊美國美運油供應商 Colonial Pipeline而臭名昭著,更導致美國總統拜登宣布全國進入緊急狀態。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標,該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示, LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵,一旦運行惡意 DLL 以解密系統,就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下,最初的網路入侵是通過未修補的 VMWare Horizo​​n 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同,攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案,以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式,它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時,MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL,該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中,攻擊者建立了自己的mpclient.dll武器化版本,並將其放置在優先載入惡意版本 DLL 檔案的位置,再將從 c0000015.log 檔案(加密的Beacon)載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

Photo credit: Sentinel Labs

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon,但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍;因此,企業需檢查他們的安全控制,並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1      

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302 

e35a702db47cb11337f523933acd3bce2f60346d 

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

專家在技嘉和華碩主機板UEFI韌體上發現名為「CosmicStrand」的惡意程式

資安公司Kaspersky(卡巴斯基)的安全威脅研究團隊在 UEFI 韌體發現了一個名為“CosmicStrand”的rootkit惡意程式,卡巴斯基將其歸咎於會講中文的駭客。UEFI (Unified Extensible Firmware Interface) 即統一可延伸韌體介面,用來定義作業系統與系統韌體之間的軟體介面,作為BIOS的替代方案,負責啟動裝置,再將控制權交給載入作業系統的軟體,通常存放在主機板的快閃記憶體中。CosmicStrand 是在受感染的華碩(ASUS)和技嘉(Gigabyte)UEFI韌體中發現的 rootkit惡意程式,就算重新安裝Windows或換掉硬碟都無法刪除CosmicStrand,目前尚不清楚攻擊者如何將 rootkit 注入韌體image中。

Kaspersky研究人員在報告中表示,注意到所有這些image都與使用英特爾(Intel)的H81晶片組的設計有關,這表明可能存在一個漏洞,允許攻擊者將他們的 rootkit 注入UEFI韌體的image中。

據稱,確認的受害者是位於中國、越南、伊朗和俄羅斯的個人,與任何重要組織沒有明顯的關聯,Rootkit 是一種能夠將自身嵌入操作系統最深層的惡意軟體植入物,為攻擊者提供了長時間的隱身和持久性。

Photo Credit:卡巴斯基

CosmicStrand 是一個只有 96.84KB 的檔案,儘管感染的初始存取向量有些神秘,但攻擊後的操作涉及對名為 CSMCORE DXE 的驅動程式進行更改,以將程式碼執行重定向到攻擊者控制的網段,該網段旨在系統啟動期間運行,最終導致在 Windows 中部署惡意軟體。攻擊的目標是篡改操作系統載入過程,在每次啟動時將內核級植入程式部署到 Windows 機器中,並使用這種根深蒂固的存取權限來啟動連接到遠程伺服器的 shellcode 以獲取要在系統上執行的實際惡意酬載。

雖然卡巴斯基發現的 CosmicStrand 變種是較新的,但奇虎 360 的研究人員在 2017 年披露了有關該惡意軟體早期版本的細節,認為這種惡意程式是2016-17 年就已經存在的Spy Shadow 特洛伊木馬的變種。根據奇虎 360的報告,受感染的系統運行在所有者從在線上購買的二手華碩主機板上,提出了程式碼修改可能是從二手經銷商處獲得存在後門的主機板的可能性。

另外,卡巴斯基發現CosmicStrand發現與早期的殭屍網路“MyKings” 的程式碼模式存在許多相似之處。My Kings起源於中國,因此卡巴斯基認為新的 CosmicStrand rootkit 也源於中國。

Photo Credit: 卡巴斯基

CosmicStrand惡意程式的部分入侵指標(Indicator of compromise -IOCs):

Hostname:

www.erda158.top

update.bokts.com

SHA 256:

951f74882c1873bfe56e0bff225e3cd5d8964af4f7334182bc1bf0ec9e987a0a

25969ab58383a5fdc53e9861a25c3ed90813e4e5fcc9d8a99df5e9f74b427474

SHA1:

ecbbded5b85f61686377f7592dacb25c264e9908

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit勒索軟體集團聲稱入侵了意大利稅務局,並竊取了100MB數據!

7月 25日,LockBit勒索軟體集團聲稱從意大利稅務局(Agenzia delle Entrate)竊取了 100GB 的​​數據,並威脅說如果在 8 月 1 日之前不支付贖金,就會洩露這些數據。在一份簡短的新聞稿中,意大利稅務局表示,已要求負責管理稅務局IT 基礎設施的國有公司 SOGEI (Società Generale d’Informatica) SPA調查這起宣稱入侵事件並提供反饋和澄清。SOGEI SPA隨後在一份聲明中告訴彭博社,稱從進行的技術調查來看,排除了對稅務局網站的網路攻擊可能性,也沒有發現有數據從金融管理部門的技術平台和基礎設施中的洩露跡象,並補充說正在與意大利國家網路安全局和警方合作,以持繼進行的調查,因此無法提供進一步的細節。

然而,LockBit提供了8張截圖作為攻擊的證明,聲稱從稅務局竊取了包括公司檔案、掃描檔案、財務報告和合約等資料。SOGEI SPA(即意大利通用電腦協會)還負責管理其他意大利機構使用的 IT 基礎設施,包括司法部、內政部和教育部、州檢察長和財政部。

根據資安供應商 Digital Shadows 的數據,LockBit是第二季度最活躍的勒索軟體組織,佔勒索軟體攻擊事件的 32.77%,有 231 名受害者。LockBit 的受害者人數是其他勒索軟體的三倍多,Conti勒索軟體則位居第二。

Photo Credit: Digital Shadows

LockBit勒索軟體自2019 年以來一直活躍,今年 6月底發布了最新版本的LockBit 3.0,一個關鍵的變化是引入了漏洞賞金計劃,LockBit向發現其勒索軟體的漏洞,可以改善其網站或使用工具的建議人士提供 1,000 到 100 萬美元的獎賞。

LockBit 3.0 勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

SHA 256:

506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51

d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e

80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國網路司令部 (USCYBERCOM) 發布了,最近針對烏克蘭攻擊中發現的惡意軟體相關的入侵指標!

美國網路司令部(USCYBERCOM)周三(7/20)披露了數十種形式的惡意軟體,這些惡意軟體已被用於攻擊烏克蘭的網路,其中包括 20 個前所未見的惡意程式樣本。惡意軟體樣本是由烏克蘭安全局在該國的各種受感染網路上發現的,據信,自 2022 年 2 月俄羅斯入侵開始之前,網路活動就有所增加。

美國網路司令部指出,此次披露的入侵指標(Indicator of compromise -IOCs)是他們和其他美國機構定期努力的一部分,旨在突出俄羅斯、中國、伊朗和北韓等攻擊者用來削弱烏克蘭網路的駭客工具並旨在加強集體的網路安全,繼續在網路安全方面建立強有而力的伙伴關係。

美國網路司令部進一步解釋入侵指標的重要性,由於入侵指標是主機系統或網路被入侵的證據,能充當潛在漏洞的網路防禦者的數位取證,通過IOCs使用戶能夠在該主機系統或網路中搜索和識別惡意軟體。

根據 Mandiant的說法,烏克蘭的公共和私人實體都成為了幾個網路間諜組織的目標,這些組織使用網路釣魚和誘餌,在入侵中使用的惡意軟體支援多種操作,而這些組織此前曾進行過間諜活動、假訊息操作和破壞性攻擊等。

一個針對烏克蘭的駭客組織是 UNC1151,與白俄羅斯情報部門有關連,並為Ghostwriter 的假訊息活動提供技術支援。UNC1151 一直針對烏克蘭、拉脫維亞、立陶宛、德國和波蘭的政府和媒體實體,自 2 月 24 日俄烏戰爭爆發以來,UNC1151 一直積極針對烏克蘭。據觀察,該網路間諜組織使用了 Cobalt Strike Beacon(一個具有檔案傳輸和shell 命令執行功能 )和 Microbackdoor (可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。

另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589,研究人員認為,該組織是 1 月份部署了WhisperGate 惡意軟體,對烏克蘭實體破壞性攻擊的幕後黑手。WhisperGate 被用於一系列入侵,影響了至少 70 個屬於烏克蘭政府的網站網域。在過去的幾個月中,還觀察到該駭客組織針對北美和歐洲的北約成員國。UNC2589 擅長網路釣魚,利用例如 Covid-19、政府相關誘餌、烏克蘭戰爭等主題來部署惡意軟體–Grimplant(一種基於 Go 的後門,用於執行系統監視和命令執行)和 Graphsteel (一種開源的滲透工具,可以從目標系統中收集各種類型的資料。)

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

泰國民主活動人士被間諜軟體監控,幕後黑手指向以色列Pegasus「飛馬」間諜程式!

加拿大的公民實驗室(Citizen Lab)最新的研究報告披露,泰國民運人士的手機成為備受爭議的以色列間諜軟體飛馬(Pegasus) 的入侵目標。據信,入侵發生在2020年10月至2021年11月在期間,至少有 30 人成為攻擊目標,其中包括活動人士、學者、律師和非政府組織工作人員,其中許多人此前曾因從事政治活動或批評政府而被拘留、逮捕和監禁。

Photo Credit: The Citizen Lab

泰國人權組織 iLaw、東南亞互聯網監管機構 Digital Reach 和位於多倫多的 Citizen Lab 展開調查,這是 Pegasus 間諜軟體首次被用於針對泰國公民,此前蘋果公司 11 月發布了大規模警報,通知包括泰國在內的數千名 iPhone 用戶,他們是國家級駭客攻擊者的目標。這些攻擊需要利用兩個零點擊(zero-click)漏洞攻擊程式——KISMET和FORCEDENTRY——來入侵受害者的手機並部署飛馬 (Pegasus),飛馬是以色列駭客公司NSO Group所開發的間諜程式,一種能夠攔截電話和短訊以及收集存儲在手機中的其他訊息的間諜軟體,同時,它也還可以將被入侵的手機用作為一個遠端監聽設備。攻擊者被授予對電話的完全控制權。它可以存取所有數據——照片、影音、短訊和通話記錄——還可以在主人不知情的情況下打開手機的攝像頭和麥克風,實時觀察周圍環境。

駭客利用KISMET 漏洞,能在目標用戶的iPhone並在用戶不知情的情況下開始上傳大量數據,有時總計達數百兆字節。上傳的數據可包括麥克風錄製的環境音頻、加密電話內容、攝像頭拍攝的照片、設備的位置以及可能存儲的任何密碼或帳戶憑證。另外,FORCEDENTRY漏洞是一種相當精密的威脅,能夠繞過 Apple 的 BlastDoor 沙箱保護機制,駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊,完全不需要與使用者互動。

KISMET漏洞針對沒有升級的 iPhone,最早的攻擊案例發生在 2020 年 10 月,然而,從 2021 年 2 月開始,駭客針對運行 iOS 版本 14.4、14.6 和 14.7.1 的 Apple 設備則部署FORCEDENTRY 漏洞。值得指出的是,Apple 在 iOS 14 中修補了 KISMET漏洞,也於 2021 年 9 月在iOS 14.8修補了FORCEDENTRY漏洞。

Citizen Lab這份研究報告沒有明確指名,誰是使用這款間諜軟體的幕後黑手,但它指出,以色列駭客公司NSO Group表示,他們只向政府出售這項技術。

有關Pegasus間諜軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domains:

thainews.asia

stayallalone.com

breakingnewsasia.com

IPv4:

69.28.93.2

200.7.111.156

103.199.16.12

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”