沈寂一年多的FritzFrog殭屍網路今再度回歸,鎖定醫療、教育和政府部門發動攻擊

一個大型殭屍網路重新浮出水面,並準備對世界各地的系統造成損害,根據Akamai 的研究人員表示,在低調 16 個月後,被稱為 FritzFrog 的殭屍網路又度回歸,擁有新的功能及比以往更高的傳播力,大幅度的感染受害機器,據悉其傳播力增長了約10 倍之多, 並以攻擊醫療保健、教育和政府系統為目標。

FritzFrog是一個採用點對點(P2P) 網路的設計,不需仰賴 C&C 伺服器,以Golang語言編寫的殭屍網路,FritzFrog於 2020 年 8 月由 Guardicore首次記錄,說明了該殭屍網路自當年 1 月以來攻擊和感染橫跨歐洲和美國的 500 多台伺服器的能力,當時也發現,大量感染機器集中在中國。但由於不明原因,

FritzFrog殭屍網路的活動在當年年底突然間停止。

在今天一份最新的報告中,Akamai 表示,FritzFrog現在已經全面回歸,改進了程式碼和發起的攻擊比比2020 年時更加激烈,雖然FritzFrog仍然依靠SSH暴力攻擊來感染新系統,並且仍然使用點對點(P2P)架構來控制受感染的主機,但也進行了一些改進,例如:

*增加對Tor的 proxy網路的支援以掩蓋暴力攻擊

*使用SCP協定將自己複製到入侵系統內

*合併黑名單系統以排除某些伺服器免受感染

*以及添加程式碼,以殭屍網路攻擊WordPress網站等。

另外,一旦伺服器被FritzFrog感染,攻擊者將使用存取權限來挖礦門羅幣(Monero)加密貨幣。Akamai 表示,在這一波攻擊中其系統已檢測到 24,000 次攻擊,目前每天發生大約 500 起與 FritzFrog 相關的事件,並已確認有1,500 多個系統受FritzFrog殭屍網路感染了。Akamai進一步說,受感染的系統是來自屬於各種規模和部門的組織的伺服器,包括在歐洲的電視頻道網路、俄羅斯醫療設備製造商和東亞的多所大學中發現了受感染的機器。

Akamai 補充說,大約 37% 的受感染節點位於中國,但受害者也分佈在世界各地,表明這種傳播是隨機的。另根據研究人員發現的其他線索,他們目前認為 操作FritzFrog殭屍網路的駭客組織可能位於中國或試圖偽裝成居住在中國。

請參考以下防禦技巧來保護系統;

*啟用帶有警報的系統登錄審核

*監控 Linux 上authorized_hosts 的檔案

*配置顯式 SSH 登錄的允許清單

*禁用 root SSH存取

*啟用基於雲的 DNS 保護,以阻止威脅和不相關的業務應用程式(如加密貨幣挖礦設置為阻擋)

有關FritzFrog殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://192.115.164.0

IPv4:

98.14.171.84

96.57.208.2

Domain:

files.md

SHA 256:

f453c851e560a80d90cd16e9f6106f63bb5fa379475ddeb2bd7f47bd17e8ae59

e12c8e17fce9af1ace54d3569fb8adb12aa9950c68cc1329a2977ded9050b87f

d9e8d9187fdd5a6682cc3b55076fe48bc8743487eb4731f669a7d591d3015ce5

d1e82d4a37959a9e6b661e31b8c8c6d2813c93ac92508a2771b2491b04ea2485

bb567e390df119c84eb8687bf260bb746c713d1d37f787e78f04ff5b4ccb3807

985ffee662969825146d1b465d068ea4f5f01990d13827511415fd497cf9db86

SHA1:

f93772038406f28fa4ca1cfb23349193562414b2

f3aff7e1c44d21508eb60797211570c84a53597a

ee5db9590090efd5549e1c17ec1ee956ef1ed3d1

da090fd76b2d92320cf7e55666bb5bd8f50796c9

d7df26bf57530c0475247b0f3335e5d19d9cb30d

沃達豐葡萄牙(Vodafone Portugal)遭受重大網路攻擊,導致4G/5G網路、短訊、語音和電視等服務中斷

沃達豐葡萄牙(Vodafone Portugal)遭受重大網路攻擊,導致4G及5G網路,行動通訊和電視等服務中斷,沃達豐葡萄牙公司今天表示,2022年2月7日晚在旨在造成損害和破壞的蓄意和惡意網路攻擊(a deliberate and malicious cyberattack intended to cause damage and disruption)之後,其大部分客戶數據服務在一夜之間中斷,該攻擊主要影響數據網路上的業務提供,包括4G/5G網路、固定語音、電視、短訊和語音/數位應答服務。

目前,只有 3G 網路可用(最大 3MB/秒),並如新聞稿所解釋的,恢復其他服務需要長時間而謹慎的操作。

沃達豐葡萄牙在該國擁有超過 400 萬手機用戶,另有340 萬家庭和企業互聯網用戶,因此網路攻擊造成了大規模的問題。沃達豐葡萄牙向其客戶保證,沒有證據表明客戶數據已被存取或洩露,該攻擊事件正在調查中。

Publico報紙報導,由葡萄牙最大銀行SIBS營運的ATM網路,報告了由於對沃達豐葡萄牙的網路攻擊而導致的問題。沃達豐發言人證實,由於SIBS的ATM 網路由沃達豐網路支援,並指出ATM連接到其4G服務,攻擊事件導致ATM暫時無法進行操作。

雖然沃達豐沒有透露這次攻擊的細節,但有資安研究員告訴資安媒體BleepingComputer,他們認為這是一次勒索軟體攻擊。這些謠言目前正在網上掀起波瀾,因為在 2022 年 1 月,一個名為Lapsus$的勒索軟體攻擊了葡萄牙最大的兩家新聞媒體Impresa Cofina ,Impresa其主要網站現在仍處於離線的狀態,Cofina的網站,也就是攻擊事件發生近一個月後,在上週日才重新上線,然而目前仍未有證據證明攻擊沃達豐葡萄牙的幕後黑手為勒索軟體Lapsus$。

中國國家級駭客組織Antlion利用客製化後門xPack攻擊台灣金融業實體,在目標網路停留了長達 250天之久

Photo Credit:BleepingComputer

根據資安業者Symantec的報告,被追踪為Antlion的一個中國國家級駭客集團使用了一個名為xPack 的客製化後門,在 2020 年至 2021 年期間,針對台灣實體的網路間諜活動中鎖定了金融組織和製造業來發動攻擊,以竊取機密資料,該後門至少數月來未被發現。Symantec研究人員的分析,攻擊者在受感染的系統上部署的xPack後門,能廣泛地存取受害機器,允許攻擊者遠端執行WMI指令,也有證據表示攻擊者在後門中同時利用了EternalBlue的漏洞。

據悉,xPack後門允許攻擊者遠端執行 WMI 命令並通過 SMB 掛載共用,以便將數據從 C2 伺服器回傳到他們。攻擊者還使用該惡意軟體來瀏覽網頁,將其用作proxy來掩蓋他們的 IP 地址。

研究人員發現Antlion在攻擊在一家台灣製造業時,駭客在受感染的網路中停留了 175 天,另一次在攻擊金融業組織時停留了長達 250天之久,雖然目前尚不清楚駭客最初的感染途徑,但由於研究人員在一次攻擊中觀察到攻擊者利用 MSSQL服務執行系統命令,故推測攻擊者利用了 Web應用程式或服務進入受害組織。

xPack 後門是一個 .NET程式啟動器,可獲取並執行 AES 加密的有效負載並支援多個命令。xPack後門可以作為獨立應用程式或服務(xPackSvc變種)來執行。Symantec進一步說,在針對臺灣的攻擊行動中,xPack惡意軟體及其相關有效負載用於初始存取;執行系統命令、刪除後續惡意軟體和工具,以及暫存數據以進行資料竊取。據了解,攻擊者還使用了一個客製化鍵盤記錄器(keylogger)和三個客製化下載器。

Symantec研究人員發現 Antlion 在針對臺灣活動中使用了以下客製化工具:

*EHAGBPSL下載器–用 C++ 編寫的客製化下載器——由 JpgRun下載器加載

*JpgRun loader: 用 C++ 編寫的客製化下載器– 似於xPack,從命令行讀取解密密鑰和檔名 – 解碼檔並執行它

*CheckID – 用 C++ 編寫的客製化下載器– 基於 BlackHole RAT 使用的下載器

*NetSessionEnum – 客製化 SMB期間枚舉工具

*ENCODE MMC – 客製化綁定/反向檔案傳輸工具

*基於 Mimikatz 憑證竊取器的 Kerberos golden ticket工具,用來偽造用戶

專家們還注意到,Antlion還使用了幾個受害電腦裡現成的工具(Living -off -the -land)包括PowerShell、WMIC、ProcDump、LSASS 和 PsExec等,並同時開採CVE-2019-1458權限擴張漏洞,進行權限提升和遠端計劃任務來執行他們的後門,或藉由開採WinRAR 的合法版本來竊取資料,並定期返回受感染的網路以再次啟動 xPack,從受感染的組織竊取用戶憑證。

據信 Antlion駭客組織至少從 2011 年起就參與了多種網路間諜活動,因此十多年來,一直對各組織構成威脅。

有關Antlion使用客製化後門xPack瞄準台灣金融機構的情資:

SHA 256: f7cab241dac6e7db9369a4b85bd52904022055111be2fc413661239c3c64af3d

f4534e04caced1243bd7a9ce7b3cd343bf8f558982cbabff93fa2796233fe929

f01a4841f022e96a5af613eb76c6b72293400e52787ab228e0abb862e5a86874

eb7a23136dc98715c0a3b88715aa7e936b88adab8ebae70253a5122b8a402df3

e968e0d7e62fbc36ad95bc7b140cf7c32cd0f02fd6f4f914eeb7c7b87528cfe2

e5259b6527e8612f9fd9bba0b69920de3fd323a3711af39f2648686fa139bc38

e4a15537f767332a7ed08009f4e0c5a7b65e8cbd468eb81e3e20dc8dfc36aeed

e488f0015f14a0eff4b756d10f252aa419bc960050a53cc04699d5cc8df86c8a

e1a0c593c83e0b8873278fabceff6d772eeaaac96d10aba31fcf3992bc1410e5

dfee6b3262e43d85f20f4ce2dfb69a8d0603bb261fb3dfa0b934543754d5128b

de9bd941e92284770b46f1d764905106f2c678013d3793014bdad7776540a451

a74cb0127a793a7f4a616613c5aae72142c1166f4bb113247e734f0efd48bdba

SHA 1:

ea39084f647ce3c9f2892118d850a05dd65d750b

d7b0ba4958f88b3e7606ee536c90cb08ac258815

ca3b0cbff477bc67d2a71731d93a420f2e298be0

MD5:

b51aa600db0615a4971ce75919a93f4f

4a448d283c8b112115a8e3807fa3744a

0ee7731c202b82c1822e563428a51da4

CVE:

CVE-2019-1458

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

外媒取得Conti勒索軟體向台達電發出的ransom note,Conti再度攻擊台灣上市企業

Conti向台達電發出的ransom note(勒索信)檔案 Photo Credit: BleepingComputer

事源於6天前(1月22日)台達電發布重大訊息,證實遭駭客網路攻擊,台達電指出在21 日早上 6 點左右,公司偵測到伺服器遭受海外駭客攻擊,自偵測部份資訊系統遭受駭客網路攻擊,也立即啟動資安應變及防禦機制,同時協調外部資安專業公司共同處置,進行復原作業,並稱受影響之資訊系統陸續回復運作中,評估對營運無重大影響。就於攻擊手法、入侵指標、實際受損程度或是否被勒索攻擊等,無法完全從重訊得知。

然而,據觀察台達電官網在駭攻之後原本無法開啟,現顯示為維護中的狀態,同時發現已使用備用網域,重新上線。

台達電官網https://www.deltaww.com
台達電備用網域(https://www.deltapowersolutions.com)

同時台達電旗下的被動元件子公司乾坤科技的官網(https://www.cyntec.com) 也無法連上。

乾坤科技的官網

今綜合國內國外報導,台達電遭駭客攻擊事件的幕後黑手為Conti勒索軟體,Conti聲稱已經加密了台達電網路中共65,000台設備中的 1,500 台伺服器和 12,000 台電腦。Conti要求台達電支付 1500 萬美元(約新台幣4.12億元)的贖金來換取解密工具,還承諾如果台達電願意迅速付款,將給予折扣並不會公開從台達電網路竊取到的檔案,目前無法得知被竊檔案數量。在撰寫本文時,Conti勒索軟體在暗網的揭秘網站(Conti News)上,並沒有屬於台達電(Delta Electronics)為受害者的頁面,這可意味著雙方仍在就攻擊事件和贖金進行談判。

Conti在台達電的攻擊中有其特定的模式,據了解是以利用滲透工具Cobalt Strike搭配Atera來實現持久性,在此次事件中,已流出部署在台達電屬於Conti勒索軟體樣本的Hash值:

5ace33358a8b11ae52050d02d2d6705f04bd47a27c6c6e28ef65028bbfaf5da9

Conti勒索軟體於2020 年首次出現,在過去也曾攻擊過台灣上市企業研華科技,並入侵了多過國外大型企業及機構,如印尼央行愛爾蘭衛生健康署、遊戲公司卡普空Capcom、VOIP 硬體和軟體製造商Sangoma Technologies以及佛羅里達州和德州的醫院等。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

印尼中央銀行-Bank Indonesia證實遭到勒索軟體攻擊,16台電腦遭殃,目前已有13.88 GB數據被駭客掌握,幕後黑手指向Conti

印尼中央銀行-印度尼西亞銀行(Bank Indonesia-BI)今天證實,上個月勒索軟體攻擊襲擊了其網路。據 CNN Indonesia報導,在此次事件中,攻擊者竊取了屬於印尼銀行員工的“非關鍵數據”,然後在該銀行網路上的16個系統上部署了勒索軟體有效負載 ,BI發言人 Erwin Haryono表示,我們的網路遭到了襲擊,但到目前為止,我們採取了預期措施,最重要的是Bank Indonesia的公共服務沒有受到影響,此次攻擊的風險已得到緩解,正從網路攻擊中復原。

印尼銀行


雖然BI發言人 Erwin Haryono 沒有將這次攻擊歸咎於特定的勒索軟體,但Conti在其揭秘網站聲稱成功攻擊了BI並從BI網路竊取了17034份檔案,如果BI不付贖金,該勒索軟體組織將外洩13.88 GB 的數據。

Conti是一項勒索軟體即服務 (Ransomware as a Service-RaaS)操作,與Wizard Spider俄羅斯網路犯罪組織有關聯,該組織也以其他臭名昭著的惡意軟體而聞名,包括 Ryuk、TrickBot和BazarLoader。在今天FBI發布的新Flash諮詢公告中,FBI 已正式將 Diavol勒索軟體與Wizard Spider組織聯繫起來,表明Wizard Spider在攻擊中會利用Conti和Diavol這兩支勒索軟體。據了解,研究人員在2021年6月初的同一勒索軟體攻擊中看到了Diavol和Conti勒索軟體有效負載部署在網路上。在分析了兩個勒索軟體樣本後,發現了相似之處,例如它們使用異步I / O操作進行檔案加密,以及為相同功能使用幾乎一致的命令列參數,由此可見,Wizard Spider犯罪組織的發展及動態是值得注意的。

Conti以攻擊知名及企業組織而聞名,在過去其受害者包括台灣研華科技,日本JVC KENWOOD愛爾蘭衛生健康署,遊戲公司卡普空Capcom

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain:

sammitng.com

SHA 256:

c867fbc963c6975918f6744e196e0cc648777c7252ca740254e6eed9918c6fd1

bea4dcabc10ad8b7ef79579a1c511ec42cb98ddd1cf607a5a5ee369b28aa144b

a290ce75c6c6b37af077b72dc9c2c347a2eede4fafa6551387fa8469539409c7

63de40c7382bbfe7639f51262544a3a62d0270d259e3423e24415c370dd77a60

9d63a34f83588e208cbd877ba4934d411d5273f64c98a43e56f8e7a45078275d

5c649554d9ea77e98dbf0df0d4010255075c6c5324fc7526c667a180c06a050a

37b264e165e139c3071eb1d4f9594811f6b983d8f4b7ef1fe56ebf3d1f35ac89

31f8ad3f818ef0635109cecfff8f2e03f5e47a9a62a2fe548bc10393e3318d4f

24f692b4ee982a145abf12c5c99079cfbc39e40bd64a3c07defaf36c7f75c7a9

SHA 1:

e115f1be72f730bf3a7b7d9e2ec9e4b7b7a4b5e7

c07dbec39149a3bb20a54b9eeb2e453a7c5bdd2f

856366815cac27775b944a236ad3a6f523a4136d

bf92ce7c065568c1b893c1ababa04eeffedadcca

7ed8d5a2e09d48ccb84d790abfa7a1556b9d4990

6a31edc3e73957bb25e51abfd4efb4fd5eb51dbc

4ff45fb8003ab1075bdbbc9d044b7c31374f3cdb

092ac6f8d072c4cf045e35a839d5bb8f1360f1ae

MD5

e35df3e00ca4ef31d42b34bebaa2f86e

b656845e2755920db24364b42ce2ea18

abbbd0e30c4e66ad59518b9460dbcdfd

72296b01b37d6baefaecbc5bdecfadb6

29154f55df2171ccfe6316a77496d451

215e0accdf538d48a8a7bf79009e8f9b

a0e9f5d64349fb13191bc781f81f42e1

Yara:

ca8476a53823a9644533a81cb37c52d4eb22750e

901a241c9bbd91aadda3ee7ed4cdc96eaa27d03a

d6a13a17c05f84c20b699785efba7b7af4b8cb7f

e458fa0d1dfe88ada943c9c77c7a17c938f30a2b

IPv4:

82.118.21.1

185.141.63.120

162.244.80.235

162.244.83.216

CVE:

CVE-2021-34527

CVE-2020-1472

1月24日更新:

最新消息,操作Conti的駭客組織持續公開印尼央行的內部資料,由原先的13.88 GB增加到74.82GB, 根據資安業者DarkTracker稱,遭入侵電腦從原本的16台增加到237台。

Honeywell宣布採用Acalvio欺敵技術,推出共享解決方案以遏阻零時差攻擊

Honeywell和 Acalvio推出了一種新的解決方案,旨在檢測 (OT) 環境中的已知漏洞和未知的零時差(Zero Day)攻擊,由 Acalvio 提供支援的Honeywell威脅防禦平台(Honeywell Threat Defense Platform -HTDP) 採用主動防禦,自主欺敵策略來智取攻擊者,並提供高保真威脅檢測。HTDP 是業界第一個專注於保護企業用於管理OT系統的主動防禦解決方案,主動防禦是網路安全中一個全新且強大的概念,它提供了一種積極主動的方法來保護免受從惡意軟體到進階持續性滲透攻擊(Advanced Persistent Threat, APT)的各種威脅。

所有現有的 OT 網路安全解決方案都基於預防(防火牆、存取管理等)和基於日誌(網路流量、端點事件等)分析的被動檢測來保護系統。然而,根據Honeywell Constructing Applied Sciences 進行的一項最新調查,超過四分之一 (27%) 的受訪設施管理人員在過去 12 個月內經歷了其 OT 系統的網路入侵,他們認為管理 OT 網路安全是他們最困難的職責之一,攻擊者以針對性攻擊和勒索軟體攻擊來瞄準構建系統。這些攻擊不僅可以存取私人客戶數據,還可能破壞公共基礎設施、數據中心、醫院和機場等關鍵設施的營運。

Honeywell威脅防禦平台-HTDP 使用欺敵策略來混淆和誤導關鍵資產和設備的威脅,這種方法可以實現高檢測率和低誤報率,新產品還提供用於確認和調查威脅的分析功能,並旨在引導、誘騙攻擊者來攻擊看似有價值的 IT 和 OT 設備的誘餌資產,使他們無法存取企業資產和更難識別真實系統,以減緩攻擊者的速度並使資安團隊更快地採取行動。

Honeywell Building Technologies的全球網路資安全總監 Mirel Sehic 說:“不幸的是,網路攻擊的數量和複雜的性每天都在增加,這加強了營運商嚴格監控、維護和保護其 OT 環境的需求,將 Acalvio 的自主欺敵技術整合到我們的 OT 網路安全工具中,提供了一種高效的解決方案,有助於保護我們客戶的OT環境免受日益複雜的攻擊。”

在 Acalvio的欺敵技術的支援下,HTDP 將設計、理念和行業特定知識整合到工作流中,以在分散式企業OT 網路中部署有效的欺敵。使用特製的欺敵元素,有助HTDP準確快速地檢測勒索軟體甚至零時差漏洞,HTDP 使用高級分析來確認和調查威脅。

Acalvio Technologies 聯合創辦人兼首席執行長Ram Varadarajan表示: 我們很高興與Honeywell合作,確保OT系統的安全並保持其正常運作,同時保護整個組織的人員和數據,重要的是,這項技術可以使每座建築和設施受益,尤其是那些沒有網路專家團隊的建築和設施。它不需要事先了解攻擊者的策略,無需特殊培訓或修改現有的OT環境即可部署。Acalvio表示,HTDP 解決方案包括部署和持續監控,從而釋放內部安全團隊資源,先進的人工智慧使服務更簡單且可伸展。HTDP 可以作為本地產品或雲端服務部署在IT 和 OT 環境中。這項新產品還可以幫助客戶提高彈性和業務連續性,以滿足ESG(Environment, Social, Governance)的相關指標。

關於 Acalvio Technologies 

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者。其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio 已被美國授予聯邦政府風險與授權管理計劃FedRAMP Ready的資格,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

Acalvio新聞稿: https://www.acalvio.com/honeywell-expands-ot-cybersecurity-portfolio-with-active-defense-and-deception-technology-solution/

竣盟科技官網:

https://www.billows.com.tw/

注意了! 繼去年四月的攻擊後,新的一波 QLocker勒索軟體再度針對 QNAP NAS 設備發動攻擊!!

專家警告稱,新一波Qlocker勒索軟體針對全球的 QNAP NAS 設備來襲,新的攻擊活動於 1 月 6 日開始,發現駭客在受感染的設備上放置名為 !!!READ_ME.txt 的勒索信。回顧去年5 月,台灣供應商威聯通QNAP警告其客戶更新在其網路附加存儲 (NAS) 設備上運行的 HBS 3 災難恢復應用程式,以防止 Qlocker 勒索軟體感染。

自2021年 4月19日那週開始,駭客大規模勒索軟體活動中針對 QNAP 的客戶,在破壞他們的 NAS 設備後,透過名為Qlocker的勒索軟體將檔案加密,檔案的副檔名全部變成7Z。QNAP 警告說,攻擊者正在利用 HBS 3 Hybrid Backup Sync 應用程式中寫死在韌體的硬式編碼漏洞CVE-2021-28799入侵用戶的設備並加密他們的檔案。

根據勒索軟體識別服務 ID-Ransomware的創建者Michael Gillespie提供的統計數據,這些攻擊於去年4月20 日首次被發現,感染數量每天飆升至數百次 。一旦勒索軟體感染了設備,它會將 NAS 上的所有文件移動到受密碼保護的7Z 檔案中,並要求支付 550 美元的贖金,並刪除snapshots以防止從備份中恢復數據,並在每個受影響的檔案夾中放置的勒索信(名為 !!!READ_ME.txt)。勒索信中包含通過 Tor 站點與Qlocker勒索軟體操作者取得聯繫的說明。

據BleepingComputer報導,2022 年 1 月 6日出現了新版本的 QLocker 勒索軟體稱為 QLocker2,並將舊的Qlocker勒索軟體稱為 QLocker1。目前還不確定,QLocker2與原始版本有什麼不同,但據悉用戶在感染後無法連接到 NAS。勒索信還包括 Tor 站點地址 ( gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion ),受害者會被提示存取以獲取有關他們需要支付多少費用才能重新存取其檔案的有關的資料。自這一系列新的 Qlocker 攻擊開始以來,BleepingComputer 看到的 Tor 受害者頁面顯示贖金在 0.02 到 0.03 比特幣之間即$840-$1300 美元。

QLocker的勒索信

不幸的是,不論Qlocker 1 或Qlocker 2並不是唯一針對 QNAP NAS 設備的勒索軟體,QNAP 去年還通知客戶保護他們的設備免受AgelockereCh0raix勒索軟體的攻擊。

本月早些時候,QNAP 還建議其客戶通過停用路由器上的端口轉發和機器上的 UPnP 功能來保護其連接 Internet 的 NAS 系統免受持續的勒索軟體和暴力攻擊。

您可以檢查NAS 並按照建議配置系統設置,以更好地保護您的設備並保護您的數據:

*刪除未知或可疑帳戶。

*刪除未知或可疑的應用程式。

*在 myQNAPcloud 中禁用自動路由器配置並設置設備訪問控制。

*禁用路由器上的端口轉發,使用 myQNAPcloud Link 或 QVPN 服務進行遠端連接。

*如果 NAS 直接連接到 Internet,請更改系統端口號。

*安裝並運行最新版本的 Malware Remover。

*更改所有帳戶的密碼。

*將已安裝的 QTS 應用程式更新至最新版本。

*將 QTS 更新到最新的可用版本。

*安裝 QuFirewall。

如何透過欺敵技術(Deception Technology)針對Log4j作主動式防禦

Apache Log4j是一個基於Java的紀錄檔記錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。

Log4Shell(CVE-2021-44228)是Log4j在Java工具中被發現的漏洞,它是Log4j的JNDI API未能驗證遠端攻擊者由惡意LDAP或其他端點發送修改過參數的log訊息。漏洞可利用 JNDI 查找通過 LDAP、RMI 和 DNS 等遠端服務竊取數據或執行任意程式碼,從而使攻擊者可以完全控制易受攻擊的系統。

Log4j被廣泛應用於各種應用程式和網路服務,用於記錄服務中各種系統活動,

可以說是一款無處不在的軟體,Log4Shell這個遠端程式碼碼執行漏洞影響數百萬的消費產品、企業軟體與網頁應用程式,還影響企業網路內部的許多系統,已經出現APT駭客網路在企業內部運用這項漏洞。由於Log4j 也是許多基於 Java 的 OT/ICS 硬體和軟體組件的嵌入式組件。數十億基於 Java 構建的物聯網設備也可能受到影響,許多網路設備也是如此。

該漏洞嚴重到 CISA、FBI 和 NSA 發布聯合公告,指出“Log4j 漏洞對世界各地的組織和政府構成嚴重且持續的威脅;並懇請所有實體立即採取行動,實施最新的緩解指南,以保護其網路”。

Acalvio ShadowPlex 提供主動防禦功能以有效對抗 Log4Shell 漏洞。ShadowPlex 具有以下內置功能:

*提供對 Log4Shell 易受攻擊資產的可見性

*主動保護 Log4Shell 易受攻擊的資產

*生成威脅情資

Visibility可見度

對抗 Log4Shell 漏洞的第一步是受影響系統的可見性。Acalvio ShadowPlex 提供可靠、安全且易於部署的功能,可在您的 IT、雲、物聯網和 OT 環境中自動發現 Log4Shell 易受攻擊的資產。從 ShadowPlex 管理控制台單擊即可發現 Log4Shell 易受攻擊的資產。無需手動撰寫腳本,也不需要雲端setup的服務。

與傳統的漏洞掃描程式不同,Acalvio ShadowPlex 不需要存取資產的檔案系統。Acalvio 的discovery approach適用於任何類型的遠端服務、設備或應用程式,無需任何特殊的資產存取、防火牆更改或敏感的登錄憑證。Acalvio 對Log4Shell 可見度旨在安全地運用於 IT、OT 和 IoT 環境。

Asset Protection資產保護

供應商通常需要時間來建立和測試 Log4Shell 漏洞修補。在 OT/ICS 網路等許多關鍵設施環境中,修補的應用非常具有挑戰性的。Acalvio 提供在易受攻擊的資產上和周邊環境,使用欺敵部署來快速檢測和回應 Log4Shell 漏洞利用嘗試的能力。

攻擊者/惡意軟體需要嘗試利用以確定系統是否易受攻擊。這為利用主動防禦和即時欺敵平台檢測和回應來自組織 IT、OT、IoT 或雲端環境內部的攻擊企圖提供了絕佳的機會。

Generate Threat Intelligence生成威脅情資

可以利用 Acalvio ShadowPlex 平台使用欺敵技術生成威脅情資。威脅情資專門針對 Log4Shell 漏洞利用,包括新的混淆技術和可以阻擋由攻擊者控制的 IP。這樣的威脅情資對 MDR 解決方案和大型企業非常有用,可以領先於快速發展的 Log4Shell 漏洞利用嘗試。

ShadowPlex 提供全面的主動防禦解決方案來抵禦Log4Shell漏洞,提供受影響系統的更高的可見性和不需要signatures有效基於欺敵的檢測。這些功能包含在 ShadowPlex 解決方案中,無需額外費用即可使用。

Acalvio是第一個也是目前唯一一個獲得 FedRAMP Ready資格的欺敵技術廠商,同時也榮獲KuppingerCole評選為欺敵技術(Deception technology)領導廠商,Acalvio 取得FedRAMP 與KuppingerCole的認可,證明了客戶在企業範圍內部署 Acalvio時,無需額外的保護措施。

微軟警告:中國駭客正在利用 Log4Shell漏洞攻擊VMware Horizon來部署Night Sky勒索軟體

微軟發布了一條警告,稱其追踪為 DEV-0401 的中國駭客組織發起了一項新活動,開採Log4j軟體中的重大漏洞CVE-2021-44228來部署Night Sky新型勒索軟體。微軟分析師的報告,這種新型勒索軟體專門攻擊面向互聯網的虛擬化服務平台VMware Horizon。根據報告,調查結果指向對 VMWare Horizon​​的攻擊,VMware Horizon是一個允許遠端用戶存取虛擬電腦和伺服器的應用程式,是一款多雲桌面與應用程式虛擬化平台,微軟的報告指出,早在 1 月 4 日,攻擊者就開始在運作 VMware Horizon 面向互聯網的系統中利用 CVE-2021-44228 漏洞,並在成功的入侵中部署Night Sky 勒索軟體。目前,除微軟在其 Windows 系統中使用 Horizo​​n外,macOS 和 Linux系統也有使用VMware Horizo​​n 平台。

Photo Credit: Microsoft

據了解,在過去的攻擊中, DEV-0401駭客組織不僅曾部署過其他勒索軟體包括 LockFile、AtomSilo和Rook,DEV-0401也曾利用了面向 Internet 的系統中的安全漏洞,例如 Confluence ( CVE-2021-26084 ) 和Microsoft Exchange 伺服器 (CVE-2021-34473 – ProxyShell ),據信,Night Sky是上述勒索軟體操作的延續。

另外,根據Microsoft的說法,操作Night Sky勒索軟體的中國駭客,使用C2伺服器來冒充合法公司(如網路安全公司Trend Micro,Sophos)和IT公司(如Nvidia和Rogers Corporation)使用的網域。

微軟的調查結果為英國衛生服務部(NHS)上週發布的一份報告添加了更多細節,該報告稱,攻擊者的目標是鎖定尚未修補的遠端工作平台VMware Horizon而來的,該報告指出,攻擊者安裝了一個惡意 Java 檔案,該檔案將 Web shell 注入VM Blast Secure Gateway服務當中,但當時沒有表明是否部署了勒索軟體。 

Night Sky勒索軟體於 2021年12 月27日開始運作,已經分別入侵了孟加拉和日本兩個企業的網路,並在Tor 網路上建立了一個揭秘網站,在那裡將發布不付贖金的受害者的被盜數據。

新的一年,新的勒索軟體Night Sky來報到!日本和孟加拉已出現受害企業

2022年是新的一年,隨之而來的是另一種新型勒索軟體,資安研究員MalwareHunterteam警告稱,發現一種名為“Night Sky”的新型勒索軟體在攻擊企業時使用雙重勒索手法,加密檔案後,勒索軟體會加上 ‘ . nightsky ‘的副檔名。

勒索軟體會加上 ‘ . nightsky ‘的副檔名

據MalwareHunterteam稱,Night Sky勒索軟體的攻擊行動於 12 月 27 日開始,已經分別入侵了孟加拉的”AKIJ Group”和日本的”東京コンピュータサービス(東京計算機服務株式會社)”的企業網路,Night Sky 跟其他勒索軟體無異,同樣在Tor 網路上建立了一個揭秘網站,在那裡將發布不付贖金的受害者的被盜數據。1月4日,東京計算機服務株式會社在其官網發佈新聞稿公開被勒索軟體攻擊的事件,據了解,該公司在2021 年 12 月 31被入侵,發現後,已斷開連接到公司網路的電腦和伺服器,也證實客戶資料可能已在攻擊事件中被盜。

BleepingComputer 稱,Night Sky要求其中一名受害者支付 80 萬美元贖金以恢復加密數據。研究人員注意到,Night Sky 勒索軟體不會加密 .dll 或 .exe 檔案,也不會針對以下檔案或檔案夾:

AppData

Boot

Windows

Windows.old

Tor Browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

Program Files

Program Files (x86)

#recycle

勒索軟體會在每個檔案夾中放置一個名為NightSkyReadMe.hta的勒索信,該檔案包括聯繫的電子郵件、受害者協商頁面寫死的憑證以及登錄 Rocket.Chat 以聯繫操作員的憑證。

Night Sky沒有使用 Tor 站點與受害者交流,而是使用電子郵件地址和運行表層網路 Rocket.Chat 的網站,憑證用於登錄勒索信中提供的 Rocket.Chat 網址。

雖然目前Night Sky沒有很多攻擊活動,但相信它是值得我們在2022年關注的勒索軟體。