駭客組織 Evasive Panda 的活動主要針對台灣、香港等地的各類目標

台灣的一個政府機構和宗教組織早前曾遭到與中國有關聯的 APT (進階持續性威脅) 組織「Evasive Panda」攻擊，該組織使用一套代號為「CloudScout」的全新入侵後 (post-compromise) 工具組進行滲透。

電腦安全軟體公司 ESET 安全研究員 Anh Ho表示，CloudScout 工具組能夠利用竊取的網路工作階段 (web session) cookie 來從不同的雲端服務獲取資料。透過外掛程式，CloudScout 更能與 Evasive Panda 的代表性惡意軟體框架「MgBot」，進行天衣無縫的搭配運作。

根據 ESET 的發現，這個基於 .NET 的惡意軟體工具是在 2022 年 5 月至 2023 年 2 月期間被偵測到，其中包含 10 個不同的模組，主要以 C# 程式編寫，其中三個模組專門用於從 Google Drive、Gmail 和 Outlook 之中竊取資料。

「Evasive Panda」，又稱「Bronze Highland」、「Daggerfly」和「StormBamboo」，是一個專門進行網路間諜活動的組織，自2012年以來陸續被發現其活動，主要針對台灣、香港等地的各類目標，並且以對西藏流亡組織發動「水坑攻擊」（watering-hole attack）和供應鏈攻擊而聲名大噪。

ESET解釋道：「Evasive Panda一路以來積累了多樣化的攻擊手法。我們觀察到該組織運用了像是供應鏈攻擊、水坑攻擊以及DNS劫持 (DNS hijacking) 等複雜技術，同時也利用了針對Microsoft Office、Confluence及網路伺服器應用程式的最新CVE漏洞。」

「該組織也展現了極強大的惡意軟體開發能力，這方面特別體現於他們一系列適用於Windows、macOS及Android平台上的後門程式（backdoors）。」

CloudScout之中已辨識的三個模組——CGD、CGM及COL——各有不同的用途：CGD針對Google Drive，CGM針對Gmail，而COL則是以Outlook 為目標。每個模組皆是利用盜取的Cookie繞過雙重身份驗證，以便能直接存取雲端儲存的資料。

CloudScout的主要功能包括：

• 無縫整合 Evasive Panda 的主要惡意軟體框架 MgBot。
• 透過模仿已驗證的 user session (伺服器上儲存的使用者操作的資訊) 來存取目標雲端服務。
• 無需使用者憑證，就能自動地從 Google Drive、Gmail 及 Outlook 中提取資料。

CloudScout的內部框架經過精密設計，能夠執行複雜的任務，包括調整組態 (configuring)、管理以及解密各模組所需的Cookie，以建立網路請求。

CloudScout的CommonUtilities套裝軟體也讓其運作更加地順利，這個套裝軟體負責管理HTTP請求以及Cookie語法解析，使這個工具能適應各個標的服務的不同結構。此惡意軟體能夠自動地監控目錄中是否有新的組態設定檔，並觸發資料提取循環，並在每個循環後即刪除掉之前的活動痕跡。

研究人員也觀察到，CloudScout採用了專門針對台灣用戶的特定手法，這可從其模組內嵌的語言偏好及區域特定設置中看出端倪。

分析還指出，CloudScout可能還具備額外的模組，目標鎖定Facebook以及Twitter等社群媒體，雖然現階段這些模組並未在活動部署中被發現。

Evasive Panda駭客組織相關的部分的入侵指標（IOCs）:

be17d056039267973e36043c678a5d56

c02b6a7cc4f4da2d6956049b90ff53ba

4a5bcdaac0bc315edd00bb1fccd1322737bcbeeb

621e2b50a979d77ba3f271fab94326cccbc009b4

67028aeb095189fdf18b2d7b775b62366ef224a9

84f6b9f13cdcd8d9d15d5820536bc878cd89b3c8

93c1c8ad2af64d0e4c132f067d369ecbebae00b7

b3556d1052bf5432d39a6068ccf00d8c318af146

c058f9fe91293040c8b0908d3dafc80f89d2e38b

73d50eabd0b377e22210490a06ecf2441191558d97ce14ba79517c0e7696318b

親俄駭客組織 NoName057(16) 以發動分散式阻斷服務（DDoS）攻擊而聞名

繼上個月親俄羅斯駭客對台灣證交所及金控公司發動一系列攻擊之後，沒有平靜多少時日，東亞地區的網路環境又起漣漪。

上週以來，兩個親俄羅斯的駭客組織—「NoName057(16)」和「Russian Cyber Army Team」，對日本的物流、造船公司，以及政府和政治機構，發動了分散式阻斷服務（DDoS）攻擊。專家認為，這些攻擊的目的是施壓日本政府。這些攻擊發生的近因是日本國會增加國防預算，以及日本軍隊與區域盟國進行聯合軍事演習。

這兩個親俄羅斯的駭客組織自10月14日起，開始對日本的目標發動攻擊。根據網路監控公司 Netscout 的報告，超過一半的攻擊目標是物流、造船和製造業廠商。這些駭客組織，尤其是 NoName057(16)，自俄羅斯入侵烏克蘭後，已經因為屢次攻擊烏克蘭以及其他歐洲的目標而聲名大噪。

而日本執政的自民黨的網站在上週二 (10/15) 遭受到 DDoS 攻擊，此次攻擊發生的時間恰逢為期 12 天的眾議院選舉競選期開始。眾議院在日本的議會制度中扮演著關鍵角色。

根據地方媒體的報導，包括地方政府網站在內的其他政府機構，也在同一天遭遇了DDoS攻擊，有些甚至造成系統斷線。

在這波最新的攻擊中，這些駭客組織將日本的工業和政府機構列為目標。Netscout 的威脅情報總監 Richard Hummel 談到，這些攻擊發生在俄羅斯外交部表達對日本軍事擴張態勢感到擔憂之後。

Hummel 說到：「日本上週剛進行完選舉，而新上任的領導人對俄羅斯持反對立場，並且明確表達支持烏克蘭，以及提供援助。日本也正在與美國軍隊進行聯合演習和導彈試射，這些都是會引起 NoName057 採取相應行動的區域性事件。」

隨著與中國和俄羅斯的地緣政治競爭加劇，日本正處於自二戰以來最大規模的軍事擴張中。2022年12月，日本公布了一個為期五年、總值3200億美元的軍事計畫，計畫中包含可直接攻擊中國、北韓和俄羅斯目標的遠程巡弋飛彈。這意味著日本已大幅移轉原先自我防衛之軍事政策，並且今年的國防支出增加了16%。

10月17日，日本副內閣官房長官青木一彥表示，政府正在著手調查這些 DDoS 攻擊事件。

根據 Netscout 的分析，超過一半的攻擊是針對物流業和製造業，同時有將近三分之一則是鎖定日本的政府機構和政治組織。

該分析指出，這些俄羅斯駭客組織利用 DDoSia 殭屍網絡全部的攻擊能力，針對多個目標使用多種的攻擊向量進行攻擊。截止目前為止，已有約40個日本網域被鎖定，每個網域平均遭受到三波攻擊侵襲，而每次攻擊使用到四種不同的 DDoS 攻擊向量。

駭客活動與 DDoS 攻擊的復甦標示著最近攻擊形態上的轉變。過去，85%至90%的 DDoS 攻擊發生在遊戲領域，玩家會對其他玩家發動攻擊。然而，近幾年來，DDoS 攻擊被愈加地被用來支持某些政治目的或是獲取金錢利益，有時甚至同時兼具。

雖然 NoName057(16) 和 Russian Cyber Army Team 的行動目標明顯符合俄羅斯政府的優先考量，但這並不一定意味著他們直接受到俄羅斯軍事或情報機構的指揮。然而，這些攻擊多半針對那些對俄羅斯不友好的國家或組織，這倒是與這些駭客組織一貫的行動模式相符。

NoName057(16) 駭客組織相關的部分的入侵指標（IOCs）:

09537f309659b85ad0b381b91411d073

0e1841b248ac882653a609b9f4299145

1cd8d1073dc4e1f5c7265e6658f32544

21efcdc2b49555540a61031d2d1a039b

275e1780aa1c02ca25e207be8af7e947

2e0cac71005bfb4ff3c984a1a1c24ab4

2f0cf3f278f4cbd7c871c0024bc2dd84

3bbe3f11899ed4b828f2c83644d7c04d

3e9f1400381037283004a1e982e23b1e

5850a3e79b615587a5efcba2a07cf0d8

最新的 FASTCash 惡意軟體攻擊事件係針對 Linux 作業系統平台

北韓駭客近期透過一個新的 Linux 版本的 FASTCash 惡意軟體，針對金融機構的支付系統進行攻擊，未經授權地從 ATM 提款。這種攻擊手法是透過入侵支付交換系統，操縱交易訊息，使本應被拒絕的交易成功通過，從而實現非法提款。

FASTCash 惡意軟體自 2016 年起發現被用來攻擊 ATM 提款系統，駭客透過操控交易請求，竊取全球多國金融機構的資金。過去，這種惡意軟體主要針對 Windows 和 IBM AIX 作業系統，然而最新的攻擊事件則是鎖定 Linux 平台，特別是 Ubuntu 22.04 LTS 系統。

Linux 的 Ubuntu 22.04 (Focal Fossa) 作業系統，是採用 C++ 程式語言所開發，資料加密方式為 AES-128 CBC 加密。組態設定檔案 (configuration file) 受到硬式編碼金鑰 (hardcoded key) 的保護，以增加攻擊上的難度。

駭客攻擊的重點是金融機構的支付交換系統，這些系統負責處理 ATM 和銀行之間的交易請求。Linux 版本的FASTCash偽裝成名為「libMyFc.so」的共享物件檔案，專門針對 ISO 8583 訊息進行攻擊，ISO 8583 是支付網路中通信用的標準格式。針對特定的持卡人帳戶清單，這個惡意軟體會攔截那些由於持卡人帳戶餘額不足而被拒絕的交易訊息，將「拒絕」訊息改為「批准」訊息，以達成非法提款的目的。

這些攻擊通常依賴於高度精細的技術手段，駭客首先將惡意軟體注入支付交換伺服器中，然後攔截並操縱金融交易訊息。透過竄改訊息中的交易金額和批准代碼，攻擊者成功地欺騙銀行系統核准這些本應被拒絕的交易。

由這次攻擊中發現的新型 Linux 版本惡意軟體所示，北韓駭客正試圖擴展他們的攻擊目標至不同的作業系統平台。這不僅增加了其攻擊的靈活性，也讓網路安全專家面臨更嚴峻的挑戰，因為不同平台的安全漏洞和防護機制存在顯著的差異。

這類的攻擊事件並非針對單一地區，而是對全球多個國家的金融系統造成威脅。根據過去的經驗，FASTCash 攻擊每次都能造成數千萬美元的損失，而此次攻擊可能會影響更多國家的金融機構，尤其是那些使用 Linux 系統的機構。

國際安全機構也對這類攻擊表達了高度關注，並警告金融單位要加強對支付交換系統的安全防護。美國網路司令部（US Cyber Command）已多次發布警告，指出這些攻擊活動與北韓國家支持的駭客組織 Lazarus (又名 Hidden Cobra) 集團有關。

Linux 系統通常被認為是安全性較高的作業系統，但這次的攻擊事件顯示出，即便是 Linux 系統也無法完全地避免網路攻擊。FASTCash 的攻擊手法利用了 Linux 中的 ptrace 系統呼叫功能，將惡意軟體以共享函式庫的形式注入到支付交換伺服器的執行程序中，藉以攔截並操縱金融交易訊息。

隨著駭客工具的不斷演進，FASTCash 不僅持續更新，還不斷推出適用於不同作業系統的新版本。資安研究員 HaxRob 的報告指出，除了 Linux 版本外，駭客還在積極開發新的 Windows 版本，這顯示出駭客集團對於攻擊技術的持續投入和精進。

為了防範類似攻擊，金融機構需要加強對 ATM 和支付系統的監控，並採用更嚴格的驗證機制來確保交易安全。此外，應限制對關鍵伺服器的存取權限，並定期進行安全審核和系統更新，以降低遭受攻擊的風險。

北韓駭客透過新型 Linux 版本的 FASTCash 惡意軟體再次展示了他們在網路犯罪領域的高度威脅性。隨著他們的攻擊面向不斷地擴張，全球的金融機構和資安專家必須更加警覺，採取積極措施來防範這類高階技術性的攻擊。這次攻擊再次凸顯了網路安全的重要性，並喚起各國政府和企業機構共同應對日益嚴峻的網路安全威脅。

FASTCash 惡意軟體相關的部分的入侵指標（IOCs）:

03e6496b8a0187d0265b64612ec85291

14d72896e174c0601d5d9ee4a5976ea5

46b318bbb72ee68c9d9183d78e79fb5a

4ce9d999e0656fafab9d53e4a6b306a3

518acee0cc61041709e9ebb38169bea0

7bae539b25bed652540a4792d32c7909

a97920557623296123d961f72e164513

ac057094659b056c68360eb6665e4ace

c4141ee8e9594511f528862519480d36

d1bb81f507a697548e1acbce814904de

Ivanti Cloud Service Appliance (CSA) 的三個零日漏洞遭到駭客利用

Fortinet (網路安全公司) FortiGuard Labs 的研究人員警告，疑似國家支持的網路威脅者正在利用 Ivanti (IT軟體公司) 雲端服務設備 Cloud Service Appliance (CSA) 中的三個零日漏洞來進行惡意活動。

這三個漏洞分別是：

• CVE-2024-9380 (CVSS 分數：7.2) – Ivanti CSA 5.0.2 之前版本的管理員網頁控制台中存在的作業系統指令注入漏洞。具有管理員權限的遠端身份驗證攻擊者可利用該漏洞執行遠端程式碼。
• CVE-2024-8190 (CVSS 分數：7.2) – Ivanti CSA 4.6 Patch 518 及之前版本中的指令注入漏洞。具備管理員權限的遠端身份驗證攻擊者可利用此漏洞進行遠端程式碼的執行。
• CVE-2024-8963 (CVSS 分數：9.4) – Ivanti CSA 4.6 Patch 519 之前的版本存在路徑遍歷 (path traversal) 漏洞。未經身份驗證的遠端攻擊者可利用此漏洞存取部分功能。

而其中最主要的漏洞是 CVE-2024-8190，它允許遠端執行程式碼。然而，利用該漏洞需要更高的權限，攻擊者將此漏洞與其他 CSA 漏洞（例如 CVE-2024-8963、CVE-2024-9379 和 CVE-2024-9380）聯合起來利用，以達到認證所需。

根據網路安全公司 Fortinet 的分析，攻擊者利用這些 CSA 零日漏洞入侵系統，然後進行橫向移動、部署 web shell (一種網頁惡意程式)、蒐集資訊、進行掃描和暴力破解攻擊 (Brute-force attack)，並利用被駭的 Ivanti 設備來代理流量 (proxying traffic)。

Fortinet 的公告指出：「我們觀察到有高階網路攻擊者利用這三個影響 Ivanti CSA 的漏洞。在我們著手調查時，這其中的兩個漏洞還尚未被公開。此次事件顯示了網路威脅者如何串聯多個零日漏洞以取得目標網路的初始存取權。」

網路攻擊者利用零日漏洞獲取未經身份驗證的 CSA 存取權，列舉 (enumerate) CSA 設備中的用戶，並試圖取得他們的憑證。一旦攻擊者取得了 gsbadmin 和 admin 憑證後，便可利用 /gsb/reports.php 中的指令注入漏洞，並且部署一種web shell「help.php」。

2024 年 9 月 10 日，Ivanti 針對 CVE-2024-8190 發布了通報，遭駭網路中的威脅攻擊者「修補」了在 DateTimeTab.php 和 reports.php 中被利用的指令注入漏洞，其原因可能是為了防範其他入侵者也利用這些漏洞。攻擊者將參數 TW_ID 和 TIMEZONE 中的分號替換為底線，致使這些漏洞無效。此技術已經過測試證實，由此可以看出網路攻擊者試圖獨佔侵入環境的存取權。

Fortinet 的研究人員在進行記憶體分析時發現，網路威脅者使用了一種名為 ReverseSocks5 的代理工具，透過 CSA 設備發動內部網路攻擊。2024 年 9 月 7 日的日誌顯示，攻擊者試圖在受感染的系統上部署 Linux 核心模組 rootkit (偽裝成驅動程式載入到作業系統核心中的惡意軟體)，可能是為了即使設備恢復出廠設置，依舊能夠維持持續性的存取權限。這部分也與之前 Ivanti CSA 設備遭入侵的報告內容一致。

報告總結道：「我們觀察到有高階的網路攻擊者利用並串聯零日漏洞，藉以建立進軍目標網路的前哨站。更多關於 Ivanti CSA 零日攻擊的詳情可參閱我們的威脅信號報告https://www.fortiguard.com/threat-signal-report/5556。」

Fortinet 也提到，這次攻擊可能是由某個國家支持的駭客組織所發動的，目前尚未確認具體的威脅組織身份。然而，有研究人員指出，Fortinet 公布的一個作為入侵指標 (IoC) 的 IP，先前曾被歸咎於 UNC4841，這是一個與中國有關聯的駭客組織，該組織在 2023 年末被發現到他們利用網路設備廠商 Barracuda 產品的零日漏洞進行活動。

眾所周知，中國支持的駭客組織會在其行動中利用 Ivanti 產品的零日漏洞。另外值得注意的是，Fortinet 的最新報告中提到，部分觀察到的惡意活動與之前中國有關聯的 Ivanti 網路攻擊事件非常類似。

Ivanti CSA零日漏洞相關的部分的入侵指標（IOCs）:

64efc1aad330ea9d98c0c705e16cd4b3af7e74f8

beb723a5f20a1a2c4375f9aa250d968d55155689

6edd7b3123de985846a805931ca8ee5f6f7ed7b160144aa0e066967bc7c0423a

8d016d02f8fbe25dce76481a90dd0b48630ce9e74e8c31ba007cf133e48b8526

d57a2cac394a778e19ce9b926f2e0a71936510798f30d20f207f2a49b49ce7b1

Fortinet 的遠端程式執行 (RCE) 漏洞被網路攻擊者利用

10/9 (週三) 美國網路安全暨基礎設施安全局 CISA 發出公告，駭客正在積極利用 FortiOS 作業系統中一個嚴重的遠端程式執行 (RCE) 漏洞。

這個漏洞（CVE-2024-23113）是由於 fgfmd 常駐程式接受了外部控制的格式字串作為引數 (argument) 所引發，讓未經授權的網路威脅者可以在未作程式修補的設備上執行指令或任意程式碼 (arbitrary code)。這類攻擊的複雜性較低，且不需要與使用者互動。

CVE-2024-23113 漏洞影響到 FortiOS 7.0 及其後的版本、FortiPAM 1.0 及更高階版本、FortiProxy 7.0 及以上版本，還有 FortiWeb 7.4 版本。

Fortinet (美國網路安全公司) 於今年二月份揭露並修補了這個安全漏洞，當時建議網路管理者移除所有介面中對 fgfmd 常駐程式的存取，來作為一種緩解措施，藉以阻擋潛在的攻擊行為。

該公司也建議道，「另外需注意的是，僅允許特定 IP 與 FGFM 連接的區域性策略雖然可以減少攻擊層面，不過還是無法完全防止這個漏洞從該 IP 被利用。因此，這僅能作為一種緩解措施，並不是完備的解決方案。」

儘管 Fortinet 尚未更新其二月的公告並確認 CVE-2024-23113 漏洞遭到利用，CISA 已於10/ 9 (週三) 將此漏洞新增到「已知被利用漏洞目錄」之中。

美國聯邦機構現在也被要求在三週內（即 10 月 30 日之前）確保其網路中的 FortiOS 設備安全無虞，以防範這些持續性的攻擊，這是根據 2021 年 11 月發佈的強制命令 (BOD 22-01) 所要求的。

CISA 警告道，「這類型的漏洞經常是惡意網絡攻擊者的攻擊向量 (attack vector)，並且對聯邦機構造成重大風險。」

荷蘭軍事情報和安全局 (MIVD) 在今年 6 月警告稱，中國駭客在 2022 年至 2023 年期間利用另一個 FortiOS 嚴重的 RCE 漏洞 (CVE-2022-42475) 發動攻擊，植入惡意軟體並且感染了至少 20,000 台 FortiGate 網絡安全設備。

Palo Alto Networks 揭露 Expedition 中的嚴重漏洞

此外，網路安全公司 Palo Alto Networks 也公佈了其 Expedition 軟體中的多個安全漏洞，這些漏洞可以允許攻擊者讀取資料庫內容與任意檔案 (arbitrary files)，並將任意檔案寫入系統的臨時儲存位置。

Palo Alto Networks 在週三 (10/ 9) 的警告中表示，「這些漏洞可能洩露包括使用者名稱、明文密碼、裝置組態和 PAN-OS 防火牆的 API 金鑰等資訊。」

影響 Expedition 1.2.96 之前所有版本的漏洞包括有：CVE-2024-9463（CVSS 評分：9.9）、CVE-2024-9464（CVSS 評分：9.3）、CVE-2024-9465（CVSS 評分：9.2）、CVE-2024-9466（CVSS 評分：8.2）、CVE-2024-9467（CVSS 評分：7.0）。

Cisco 修復 Nexus Dashboard Fabric Controller 漏洞

上週，Cisco (思科) 釋出了修補程式，修復 Nexus Dashboard Fabric Controller (NDFC) 網路管理平台之中一個嚴重的指令執行漏洞。該漏洞是由於不當的使用者授權和指令引數的驗證不足所導致。

該漏洞編號為 CVE-2024-20432，CVSS 評分為 9.9，它允許通過驗證的低權限遠端攻擊者對受影響的設備進行指令注入攻擊。此漏洞已在 NDFC 12.2.2 版本中修復。需要注意的是，11.5 及更早的版本並未受到該漏洞影響。

Fortinet 安全性漏洞相關的部分的入侵指標（IOCs）:

0f76936e237bd87dfa2378106099a673

1079d416e093ba40aa9e95a4c2a5b61f

129ba90886c5f5eb0c81d901ad10c622

1b7aee68f384e252286559abc32e6dd1

1d89b48548ea1ddf0337741ebdb89d92

2716c60c28cf7f7568f55ac33313468b

2bade2a5ec166d3a226761f78711ce2f

2c28ec2d541f555b2838099ca849f965

381b7a2a6d581e3482c829bfb542a7de

3a8a60416b7b0e1aa5d17eefb0a45a16