台灣照明控制領域製造商遭 RansomHub 攻擊,揭示企業資安風險與挑戰

2024年1月16日,竣盟科技在RansomHub的暗網揭密網站上發現,台灣一家知名照明控制系統製造商遭受勒索軟體集團RansomHub的攻擊。RansomHub聲稱已獲取該企業46 GB的敏感數據,並威脅將於1月24日公開這些資料,這些資料包括客戶資料、設計文件及財務資訊。此次攻擊對該企業的運營及聲譽造成了嚴重影響,凸顯了在數位轉型過程中對資安防護的迫切需求。

RansomHub 的攻擊模式與策略

RansomHub 以其高效的「雙重勒索」策略而著名:

  • 加密數據:攻擊者鎖定企業的關鍵數據,要求高額贖金以解鎖。
  • 洩露威脅:若受害企業拒絕支付,攻擊者將公開機密資料,增加壓力。

RansomHub 通常針對技術密集型產業進行攻擊,利用釣魚郵件、弱密碼漏洞及不當配置進行滲透,並利用橫向移動技術擴大對系統的控制。

傳統製造業的資安挑戰

此次事件暴露了傳統製造業在數位轉型過程中對資安的重視不足。儘管該企業在技術研發方面領先市場,但其資安防護能力顯然未能應對日益複雜的網路威脅。

應對RansomHub攻擊的策略建議

建議企業採取以下策略來加強防禦:

  1. 強化員工教育與終端防護
    定期進行資安培訓,幫助員工識別釣魚攻擊和社交工程手段,並部署端點偵測與回應工具(EDR),即時偵測並回應可疑活動。
  2. 採用零信任架構(Zero Trust Architecture)
    實現強化的身份驗證和最低權限訪問原則,確保即便攻擊者成功滲透系統,也無法在內部橫向移動,擴大對其他資源的控制。
  3. 資料加密與離線備份策略
    對所有敏感資料進行強加密,並確保備份系統與主網隔離,定期測試備份恢復流程,確保業務能夠在遭受勒索攻擊後迅速恢復。
  4. 規劃前瞻性資安技術
    企業應評估並規劃採用後量子密碼學(PQC)等技術,提前做好準備以應對未來可能出現的高級加密破解威脅,確保在面對新型攻擊時保持競爭力。
  5. 引入欺騙技術(Deception Technology)
    部署欺騙技術,在企業內部設置假目標或虛擬資源,誘使攻擊者進行錯誤的行動或揭示其入侵路徑。這樣的策略能有效迷惑攻擊者,減少實際資源的暴露風險,並為安全團隊爭取更多反應時間。

台灣製造業的資安危機與未來展望

2024 年,RansomHub 頻繁鎖定台灣企業,以下是一些主要攻擊事件:

  1. 2024 年 6 :攻擊台灣一家電腦大廠,造成數據洩露。
  2. 2024 年 8 :攻擊台灣知名教科書大廠,竊取敏感資料。
  3. 2024 年 9 :入侵台灣日系電機廠商,疑似竊取機密資料。
  4. 2024 年 10 :攻擊台灣被動元件大廠,洩露核心技術資料。

攻擊頻率和規模顯著上升,特別是針對照明控制領域巨頭的攻擊,進一步提醒企業,網絡安全不僅是技術問題,更是企業治理和風險管理的核心議題。資安專家強調,企業必須將資安納入整體數位轉型戰略,建立全面的防禦體系,以應對日益複雜的跨境威脅,保護數據資產與競爭力。

結語:未來行動的迫切性

RansomHub 的持續活動顯示,全球網路威脅正在快速演變。對台灣企業而言,這既是警示,也是機遇。加強資安投入,提升風險抵禦能力,將是未來避免類似事件發生的關鍵。

有關RansomHub勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

5089fd6ce6d8c0fca8d9c4af7441ee9198088bfba6e200e27fe30d3bc0c6401c

3e2272b916da4be3c120d17490423230ab62c174

b2a2e8e0795b2f69d96a48a49985fb67d22d1c6e8b40dadd690c299b9af970d4

173.44.141.226

185.174.101.240

38.180.81.153

104.238.61.144

88.119.175.65

23.227.193.172

CISA 警告 Fortinet 漏洞被攻擊利用;微軟釋出歷來最重磅修補更新

近期,FortiGate 防火牆的一個零日漏洞(CVE-2024-55591)引發了網路安全領域的廣泛關注。美國網路安全與基礎設施安全局(CISA)發布緊急指令,要求所有聯邦機構在 1 月 21 日之前完成漏洞修補。這一命令顯示了漏洞的嚴重性,並對網路安全團隊提出了更高的應對要求。

漏洞概述與威脅特徵

Fortinet 在公告中確認,該漏洞已在現實中被積極利用。攻擊者利用此漏洞創建了管理員賬戶並修改防火牆政策設置,從而進一步侵入目標網路環境。這些攻擊活動具有以下顯著特徵:

  • 進階存取權限:攻擊者利用漏洞獲得管理員級別的控制,從而改變防火牆行為,為後續攻擊創造條件。
  • 快速擴展的攻擊面:Arctic Wolf 提供的報告顯示,此漏洞已在暴露於公共互聯網的 FortiGate 設備中被利用,且零日漏洞的可能性非常高。
  • 隨機目標攻擊:攻擊行為並未針對特定行業或規模的組織,顯示出攻擊者的機會主義特徵,通過掃描和自動化工具選擇攻擊目標。

網路安全公司watchTowr 的執行長警告,這一漏洞是「典型的高級持續性威脅(APT)組織利用的零日漏洞」,其高風險性應引起所有組織的重視。

防禦建議與應對措施

網路安全團隊應立即採取行動,重點執行以下應對策略:

快速部署修補:按照 Fortinet 的公告指導,確保設備在最短時間內完成修補。

全面檢查入侵跡象:根據公告中提供的 IOC(攻擊指標),對防火牆日誌和設備行為進行排查。

隔離受影響設備:對存在異常行為的設備進行隔離,以防止進一步橫向滲透。

加強暴露面管理:確保所有設備的管理界面和 API 僅限於內部訪問,並禁止未經授權的外部連接。

舊漏洞再現與安全壓力

除了 CVE-2024-55591,2022 年 FortiGate 防火牆的一個舊漏洞(CVE-2022-40684)再次成為焦點。據知名安全研究員 Kevin Beaumont 表示,一組駭客最近洩露了約 15,000 台設備的完整配置數據,包括用戶名、密碼、防火牆規則和管理憑證等。

即便早期完成了漏洞修補的組織,仍需檢查數據是否在攻擊中被盜,因為這些配置數據可能被滲透者在數年前獲取。

威脅分析建議:網路安全團隊應回溯修補記錄,確認設備是否在修補部署之前已被攻擊,並重新審查防火牆規則與配置的完整性。

微軟 Patch Tuesday 的影響

微軟在 2025 年首個 Patch Tuesday 中修補了 157 個漏洞,創下歷史記錄。值得關注的是,其中 8 個漏洞為零日漏洞,包括影響 Windows Hyper-V 的 CVE-2025-21333 和 CVE-2025-21334。這些漏洞對依賴 Hyper-V 的組織構成嚴重威脅,潛在影響包括:

  • 獲取虛擬機訪問權限並篡改配置。
  • 竊取敏感數據或憑證。
  • 在網路內橫向移動,進一步攻擊其他系統。

CISA 強烈建議各個組織優先修補這兩個漏洞,尤其是針對數據中心、雲服務提供商和大型企業 IT 環境。

行動重點

網路安全專業人士需要同時應對多重威脅,以下是當前的行動重點:

  • 優先修補 CVE-2024-55591 和 CVE-2025-21333 等高危漏洞。
  • 密切監控防火牆及虛擬化平台的安全狀態,檢查是否存在異常登錄、配置更改等攻擊跡象。
  • 強化內部與外部攻擊面的防護,限制設備的公共暴露。

透過及時回應和全面檢查,企業可有效降低漏洞帶來的安全風險,維護業務的穩定運行。

美國司法部與FBI聯手清除PlugX惡意軟體,打擊高階持續性威脅

Photo Credit: FBI

美國司法部1月14日宣布,聯邦調查局(FBI)成功完成了一項大規模的網路安全行動,從全美超過4,200台電腦中移除了由中國APT駭客組織「Mustang Panda」(又稱Twill Typhoon)部署的PlugX惡意軟體。此行動代表針對高階持續性威脅(APT)之國際合作的又一次重要成功。


PlugX:多功能惡意軟體的滲透與威脅

PlugX是一種模組化的遠端存取木馬(RAT),以其隱蔽性與持續性著稱,長期被用於網路間諜與滲透活動。此次揭露的PlugX變種具有蠕蟲功能,可透過USB隨身碟快速傳播,感染範圍可迅速擴大至數千台設備。

此惡意軟體的攻擊目標反映出攻擊者的高精準策略,包括:

  • 2024針對歐洲航運業;
  • 2021年至2023攻擊多個歐洲政府機構;
  • 全球範圍內的中國異見團體
  • 印太地區多國政府機構,包括台灣、香港、日本、印度、越南等地。

PlugX的活動展現了Mustang Panda精心策劃的網路間諜策略,並將目標範圍擴大至戰略性地區與行業,對國際網路安全構成嚴峻挑戰。


行動詳情:精準清除與多國合作

這次行動由法國執法機構與網路安全公司Sekoia於2024年7月率先發起。他們成功從法國感染設備中移除了PlugX,並於同年8月將行動範圍擴大至美國。FBI隨後獲得九份法院授權令,對美國境內感染設備進行清理。

FBI採取了精確的技術步驟來刪除PlugX,包含:

  1. 刪除惡意文件:清除PlugX在設備上創建的所有檔案;
  2. 移除自動啟動機制:刪除PlugX的相關註冊表鍵,阻止其自啟動;
  3. 徹底清理系統:執行腳本刪除PlugX應用程式及其殘留檔案與目錄。

行動於2025年1月3結束,成功清除了超過4,258台受感染設備。FBI強調,該行動對設備功能與數據完整性未造成任何影響。


全球威脅應對典範

此次行動展現了國際網路安全合作的重要性。Sekoia於2024年4月接管PlugX的指揮與控制(C2)伺服器,監測到來自170個國家的2,500,000次連接,為行動提供了關鍵情報支持。

行動結束後,FBI正透過網路服務供應商通知受影響設備的擁有者,並重申行動僅限於刪除惡意軟體,未收集或干擾合法數據。


從PlugX中學到的啟示

PlugX案例展示了APT攻擊的複雜性與全球性,其威脅提醒所有企業與機構需採取以下措施:

  1. 提升威脅監測能力:部署能識別並阻止多層威脅的安全解決方案;
  2. 管控外部設備使用:限制USB與其他外部儲存設備的使用;
  3. 強化國際情報分享:參與跨國威脅情報合作,快速應對全球威脅;
  4. 提高員工安全意識:培訓員工識別APT技術與入侵方式,降低人為風險。

此次PlugX清除行動證明,高階威脅需要技術、法律與國際合作的全面應對。APT攻擊已超越單一國家的問題,成為全球數位生態共同面對的挑戰。唯有持續創新並深化合作,我們才能捍衛未來的網路安全。

Ivanti 漏洞成為攻擊焦點,Connect Secure 和 Policy Secure 面臨高風險

# CVE-2025-0282

# CVE-2025-0283

Photo credit: Ivanti

概述
1 月 8 日Ivanti 發布重要公告,指出 Connect SecurePolicy SecureZTA Gateways 產品中的安全漏洞自 2024 年 12 月中旬起已遭到積極利用。被利用的關鍵漏洞為 CVE-2025-0282,這是一個基於堆疊的緩衝區溢出,CVSS 分數為 9.0,影響以下版本:

  • Ivanti Connect Secure:22.7R2.5 之前的版本
  • Ivanti Policy Secure:22.7R1.2 之前的版本
  • Ivanti Neurons for ZTA Gateways:22.7R2.3 之前的版本

成功利用 CVE-2025-0282 可能導致 未經身份驗證的遠端代碼執行(RCE。Ivanti 的 Integrity Checker Tool (ICT) 在攻擊當天偵測到惡意活動,從而能迅速回應並開發修補程式。

其他漏洞:CVE-2025-0283

另一個高危漏洞 CVE-2025-0283(CVSS 分數:7.0)允許 本地特權提升,目前已修補。以下版本受影響:

  • CVE-2025-0282:影響 Ivanti Connect Secure 22.7R2 至 22.7R2.4、Policy Secure 22.7R1 至 22.7R1.2,以及 ZTA Gateways 22.7R2 至 22.7R2.3。
  • CVE-2025-0283:影響 Ivanti Connect Secure 22.7R2.4 及更早版本、9.1R18.9 及更早版本,Policy Secure 22.7R1.2 及更早版本,以及 ZTA Gateways 22.7R2.3 及更早版本。

Ivanti 確認有限數量的客戶因 CVE-2025-0282 遭受攻擊,尚未發現 CVE-2025-0283 被武器化的跡象。

威脅行為者歸因與利用細節

Mandiant 的調查將 CVE-2025-0282 的利用活動歸因於 UNC5337,這是一個與中國相關的威脅行為者,評估為 UNC5221 的一部分。攻擊鏈涉及在受損設備中部署 SPAWN 惡意軟體生態系統,並使用其他惡意軟體系列,如 DRYHOOKPHASEJAM,這些均為首次記錄的惡意軟體家族。

主要的漏洞利用策略包括:

  1. 停用 SELinux 並重新掛載檔案系統。
  2. 植入和執行網頁後門以維持訪問權限。
  3. 修改系統日誌(例如刪除 SELinux 核心訊息和系統崩潰痕跡)以逃避檢測。
  4. 劫持關鍵程序以實現重啟和升級後的持久性。

PHASEJAM 的功能包括:

  • 在關鍵檔案(getComponent.cgi、restAuth.cgi)中插入網頁後門。
  • 通過修改 DSUpgrade.pm 檔案阻止合法的系統升級。
  • 覆蓋 remotedebug 可執行檔案,以執行任意命令。

高級攻擊能力

  • 網路偵查:使用工具(如 nmap 和 dig)進行內部網路地圖繪製。
  • 憑證提取:部署如 DRYHOOK 的腳本,從會話快取和目錄中提取敏感資料。
  • 橫向移動:利用 LDAP 服務帳戶進行查詢,並通過 SMB 或 RDP 攻擊內部網路中的其他系統。

Mandiant 還發現攻擊者使用公開可用的隧道工具(如 SPAWNMOLE)進行指揮與控制(C2)通信。威脅行為者的高度複雜性體現在其系統性刪除日誌痕跡的能力上,包括核心訊息、崩潰記錄和命令歷史記錄。

戰略影響

美國網路安全與基礎設施安全局(CISA)已將 CVE-2025-0282 列入「已知被利用漏洞目錄」(KEV),要求聯邦機構在 2025 年 1 月 15 之前完成修補。CISA 呼籲所有組織:

  • 立即升級受影響的 Ivanti 產品版本。
  • 搜索環境中是否存在被攻擊的跡象,包括異常活動日誌和未經授權的腳本。
  • 報告任何事件並升級受感染系統以進行深入取證分析。

建議

  1. 修補管理:迅速應用修補程式並測試修復效果。
  2. 加強監控:部署工具監控 SELinux 或 syslog 的異常行為。
  3. 日誌分析:回顧日誌檔案,搜尋利用步驟的證據(例如 SELinux 變更或可執行檔案被修改)。
  4. 網路分段:隔離 Ivanti 設備,減少對敏感資源的潛在影響,並實施最小權限原則。
  5. 事件回應:制定並測試針對勒索軟體和網頁後門部署的事件回應計畫。

鑒於此次攻擊的持久性,優先解決這些漏洞是保護關鍵基礎設施免受進一步威脅的關鍵措施。

SpaceBears 勒索軟體稱入侵台灣某 CRM 系統大廠:威脅8天後公開資料

SpaceBears的暗網網站

太空熊(Space Bears)是一個相對較新的勒索軟體組織,於 2024 年 4 月首次出現,其背後的駭客採用雙重勒索策略,竊取受害者的敏感資料,藉此向受害者施壓要求支付贖金。若受害者拒絕支付,他們則威脅將這些被竊資料公開於暗網上。自 2024 年 4 月 5 日起,Spacebears已將來自全球不同產業(包括醫療、科技、汽車、電信、航太及航空業)的 45 名受害者 添加至其洩密網站,藉此進一步施壓並迫使受害者支付贖金。1 月 8 日,竣盟科技在SpaceBears經營的暗網網站上 ,發現SpaceBears 公開宣稱已成功滲透並入侵台灣某知名 CRM 系統大廠的核心系統,並聲稱將於 8 天後(1 月 16 日)公開所竊取的資料。目前,SpaceBears 尚未透露所竊取資料的具體數量與種類,受害企業也尚未對外發表任何聲明。

攻擊細節仍待查明
SpaceBears 在暗網平台上發布了一則公告,宣稱此次攻擊的目的是揭示企業對數據保護的疏忽,並威脅若不滿足他們的要求(可能涉及贖金支付),將公開敏感數據。然而,公告未透露進一步技術細節,如攻擊手法或已竊取的資料範圍。據推測,此次攻擊可能涉及以下步驟:

  • 初始滲透: 利用針對性的魚叉式網絡釣魚或社交工程獲取系統的初步存取權限。
  • 橫向移動: 利用未修補漏洞或憑證竊取技術,攻擊者可能進一步進入關鍵系統。
  • 數據外洩: 竊取包括客戶名單、交易記錄等高價值資料作為談判籌碼。

勒索與恐嚇策略

SpaceBears以其雙重勒索策略聞名,通常在加密企業資料的同時,外洩部分數據作為威脅。本次行動中,攻擊者選擇設下「8天期限」,以壓力逼迫受害企業妥協。此策略旨在:

• 製造輿論壓力: 通過公開威脅,進一步損害企業的商譽。

• 增強談判籌碼: 在未來的贖金要求中佔據優勢。

企業需重視連帶影響

1. 潛在數據外洩風險: 如果所盜資料涉及用戶個人資訊或商業機密,可能對企業客戶及其合作夥伴造成重大影響,包括商業競爭力下降、用戶信任流失及可能的法律責任。

2. 供應鏈效應: 作為 CRM 系統大廠,其客戶多為其他企業,若相關數據外洩,可能引發連鎖反應,波及多家產業鏈上下游夥伴。

3. 勒索支付與未來攻擊風險: 一旦企業選擇支付贖金,不僅難以確保資料不被公開,還可能讓攻擊者認為該企業為「易受攻擊目標」,成為後續攻擊的重點對象。

立即應對與長期策略

1. 強化內部溝通與風險評估: 企業應立即組建資安應變小組,針對資料被竊取的可能範圍進行內部調查,並快速評估潛在影響。

2. 對外危機管理: 主動公開事件進展並透明溝通,避免造成客戶與公眾的不信任,同時降低攻擊者透過輿論製造壓力的效果。

3. 提高資安防護層級:

• 立即檢查與封鎖可疑的入侵路徑,並修補所有已知漏洞。

• 部署零信任架構,限制內部系統的橫向存取能力。

• 建立即時威脅偵測與回應機制,以快速攔截未來可能的攻擊行為。

 4. 與資安專業機構合作: 聯繫資安服務商或執法機構,獲取技術支援與威脅情報,並探索破解勒索軟體或遏制外洩資料的方案。

結語

SpaceBears 的此次行動展現了勒索軟體組織日益精密的攻擊手法與心理壓力策略。對企業而言,資安已不僅是技術議題,更是商譽與生存的關鍵。企業應藉此事件重新審視自身資安防護機制,強化系統韌性,以應對不斷升級的威脅。

有關SpaceBears勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
8c69830a50fb85d8a794fa46643493b2
bbcf7a68f4164a9f5f5cb2d9f30d9790

中國APT駭客如何滲透美國財政部系統

Photo Credit: Getty Image

事件概述

美國財政部近日揭露了一起嚴重的網路攻擊事件,攻擊者疑似為中國國家支持的高級持續性威脅(APT)組織。此攻擊透過入侵第三方供應商 BeyondTrust 的 API 金鑰,成功取得遠端工作站的控制權,並存取財政部內部未分類文件。這一事件不僅突顯了供應鏈漏洞的危險性,更對全球資安體系敲響警鐘。


攻擊手法與細節

關鍵漏洞:API 金鑰管理不足
2024 年 12 月 8 日,BeyondTrust 通知美國財政部,攻擊者已取得其雲端遠端支援系統的 API 金鑰。此金鑰被用於:

  1. 繞過服務安全機制:攻擊者利用金鑰,直接存取系統內部資源。
  2. 遠端存取終端設備:成功操控部分財政部工作站。
  3. 檔案存取:檢索並可能洩露未分類的內部文件。

此類攻擊手法展現了駭客如何透過供應鏈薄弱環節滲透高價值目標,並利用信任機制在不被偵測的情況下執行惡意行動。


專業分析:供應鏈與系統風險

  1. 供應鏈的脆弱性
    BeyondTrust 作為領先的遠端支援解決方案提供商,其安全漏洞對多個關鍵客戶造成潛在影響。攻擊者的策略顯然針對供應鏈核心節點,進一步放大攻擊範圍與影響力。
  2. API 安全性不足
    API 金鑰的洩漏,顯示業界在敏感憑證管理上的重大缺陷。API 金鑰若無妥善設置存取範圍或定期輪替,將成為攻擊者進行橫向移動的有效工具。
  3. 事件回應與透明性欠缺
    財政部並未公開具體的入侵指標指標(IOCs),如攻擊行為模式、惡意 IP 地址或相關流量特徵,導致其他受影響的潛在目標無法即時應對,延誤整體防禦部署。
  4. 監控機制不足
    此次事件凸顯出對第三方供應商的行為監控缺失,尤其是 API 層級的日誌分析與異常偵測,這是供應鏈攻擊中常見的盲點。

強化供應鏈與憑證管理

  1. 加強 API 金鑰管理
    • 推行 零信任架構,確保敏感金鑰洩漏後仍有多重機制進行防護。
    • 利用 硬體安全模組(HSM)密鑰管理服務(KMS) 管理 API 金鑰,並設定更細緻的使用權限。
    • 定期審計 API 使用情況,並進行金鑰輪替以降低風險。
  2. 供應鏈安全優化
    • 要求供應商遵守更高安全標準,例如實施多因素驗證(MFA)與更強的存取控制機制。
    • 在採購階段進行嚴謹的安全評估,並定期審查供應商的安全政策和事件回應能力。
  3. 提升異常監控能力
    • 部署基於行為分析的偵測工具,針對 API 活動異常進行即時告警。
    • 加強第三方服務的日誌紀錄分析,並設定異常流量的自動化應對措施。
  4. 促進情報共享與透明化
    • 與國內外資安組織建立情資共享機制,確保攻擊模式能被快速識別並回應。
    • 公開具體的妥協指標,協助業界和相關機構快速防禦類似攻擊。

戰略意涵與國際影響

事件進一步揭露了中國 APT 在網路空間的情報蒐集能力與戰略意圖。攻擊目標包括美國財政部的外國資產控制辦公室(OFAC)及財政部長辦公室,顯示中國致力於滲透美國核心經濟與政策制定機構。

對台灣來說,這一事件提供了重要的資安教訓:

  1. 供應鏈風險需高度重視
  2. 加強與國際情報機構的合作
  3. 強化敏感系統的異常偵測能力

結論是,網路攻擊已不僅是技術層面的挑戰,更是國家安全的重要課題。唯有全面提升資安能力,才能在這場資訊戰中立於不敗之地。

Reference links:

https://twitter.com/jsrailton/status/1873869371829084484

https://www.bleepingcomputer.com/news/security/us-treasury-department-breached-through-remote-support-platform

https://www.beyondtrust.com/remote-support-saas-service-security-investigation

CVE-2024-3393 緊急警告:漏洞恐致防火牆重啟,立即更新 PAN-OS!

12月27日,Palo Alto Networks 公布了一個高危漏洞 CVE-2024-3393(CVSS 評分:8.7),該漏洞可能導致防火牆進入服務阻斷(DoS)狀態,對網路防護造成重大威脅。漏洞影響 PAN-OS 10.X 和 11.X 版本,以及 Prisma Access(使用 PAN-OS 10.2.8 或低於 11.2.3 版本)。

Photo Credit: Palo Alto Networks

漏洞概要

該漏洞存在於 DNS Security 功能中,攻擊者可藉由傳送惡意封包,觸發防火牆重新啟動。若攻擊持續,設備可能進入維護模式,必須人工干預才能恢復正常運作。

特別注意:僅啟用了 DNS Security 日誌記錄 的防火牆會受到影響。

重要修補版本:

• PAN-OS 10.1.14-h8

• PAN-OS 10.2.10-h12

• PAN-OS 11.1.5 • PAN-OS 11.2.3

• 以及所有後續版本。

注意:PAN-OS 11.0 已於 2024 年 11 月 17 日停止支援(EOL),無法獲得修補,務必升級至更新版本!

如何應對?

優先選擇:升級! 立即更新至上述修補版本,以完全解決漏洞問題。 暫時措施(適用於無法立刻升級的情況):

1.手動禁用 DNS Security 日誌記錄(適用於未受管理或由 Panorama 管理的防火牆)

    • 導覽至:Objects > Security Profiles > Anti-spyware > DNS Policies > DNS Security。

    • 將所有 DNS Security 分類的 Log Severity 設為「none」。

    • 提交更改,待升級完成後恢復設定。

    2. 由 Strata Cloud Manager (SCM) 管理的防火牆或 Prisma Acces

    • 開啟支援案件,請求在所有設備上暫時停用 DNS Security 日誌記錄,並視情況要求加速升級進度。

    竣盟科技的建議

    1. 優化網路防護能力:防火牆是網路安全的核心設備,漏洞可能使攻擊者輕易癱瘓防護系統,升級至最新版本是當務之急。

    2. 立即執行暫時措施:對於無法即時升級的設備,請依照官方建議禁用相關日誌功能,以降低被攻擊的風險。

    3. 強化安全監控:建議加強對網路流量的即時監控,快速辨識並阻擋可能的攻擊行為。

    4. 建立漏洞管理流程:定期檢視設備軟體版本與支援狀態,確保即時更新,避免使用已達生命週期(EOL)的版本。

    結論:

    CVE-2024-3393 是一個具有高危險性的漏洞,可能對企業的網路防護造成重大威脅。請立即升級受影響的 PAN-OS 版本,或採取暫時措施進行風險控制,以確保組織網路安全性與業務穩定性。

    回顧2024年:十大網路安全事件盤點

    2024年是網路安全領域極具挑戰的一年。
    我們目睹了多起重大資安事件,包括全球性IT中斷、史上最高額的勒索金支付、政府機構數據被駭以及私人對話資料遭到全面曝光。這些事件不僅對企業和個人造成了深遠影響,也徹底改變了對資安威脅的認知與應對模式。

    以下是2024年十大網路安全事件的詳細解析,涵蓋事件背景、駭客使用的技術與手法,並探討對未來可能帶來的影響。

    1.克諾司行( Cronos Operation)動重創網路犯罪與LockBit

    2024年2月20日國國家犯罪局(NCA)發起的克諾司行動,成功打擊全球網路犯罪,特別針對 LockBit 勒索軟體集團重拳出擊。行動成就包括: 1. 瓦解犯罪基礎設施,癱瘓多個非法平台。 2. 逮捕超過50名嫌疑人,包括 LockBit 核心成員。 3. 凍結數百萬英鎊非法資產,削弱資金流動。 4. 阻止多起高風險勒索攻擊,曝光 LockBit源始碼與獲得上千個解密金鑰。

    技術分析:

    • 伺服器去中心化打擊: 全球定位並關閉34台用於洩密與協調攻擊的伺服器,成功削弱其營運能力。
    • 解密工具發布: 將駭客內部代碼逆向工程,提供免費解密工具,幫助受害企業恢復資料。
    • 假網站誘捕: 透過模仿駭客官方網站,引發內部混亂,削弱其可信度與組織凝聚力。

    此次行動導致多名成員被捕,對勒索軟體生態系統形成重創。


    2. 醫療巨頭Change Healthcare遭勒索攻擊——弱點配置的重大代價

    2024年2月,Alphv/BlackCat勒索軟體組織利用Change Healthcare遠端存取系統中的身份驗證漏洞,成功滲透其內部系統。攻擊導致多家醫療機構的業務中斷,包括藥房、醫院及保險索賠平台,全面癱瘓超過48小時。

    攻擊手法:

    弱點滲透: 鎖定未啟用多因素驗證(MFA)的Citrix遠端portal,使用暴力破解攻擊登入系統。

    雙重勒索策略: 攻擊者在加密資料之前,先將敏感數據外洩到私人伺服器,作為勒索威脅的籌碼。

    橫向擴展攻擊:駭客利用內網特權進行橫向移動,快速感染其他醫療合作夥伴的系統。

    該事件揭示了醫療產業資安防護的脆弱性,也再度強調MFA及網路分段的重要性。


    3. 中國駭客Salt Typhoon入侵多家美國主要電信公司,揭示國家級網路間諜活動的新高度

    2024年11月13日,美國CISA和FBI聯合確認,中國國家支持的駭客Salt Typhoon成功滲透多家美國主要電信公司的核心系統,執行了一系列高度精密的網路間諜行動。這些駭客利用攻擊奪取了大量敏感數據,包括客戶的通話記錄、與政府或政治活動相關人士的私人通信,甚至複製了部分受美國執法請求保護的關鍵信息。這類數據對間諜活動和國家安全威脅具有極高價值,可能被用於進一步的定向攻擊或政治操縱。《華爾街日報》進一步披露,受害者包括知名電信企業AT&T、Verizon和Lumen Technologies,T-Mobile隨後也承認遭受攻擊。值得注意的是,攻擊背後可能涉及利用電信網路的漏洞及高階的持續滲透技術(APT)。

    此次事件中,攻擊者可能採用了以下技術與策略:

    • 供應鏈攻擊:透過攻擊電信供應商的關鍵設備或服務,獲取持久性的後門訪問權限。
    • 憑證竊取與濫用:利用已洩露或非法取得的管理憑證進行未授權訪問,繞過傳統安全機制。
    • 隱匿性高的持久滲透:在電信基礎設施內維持長期隱蔽的存在,收集高價值數據並將其悄悄滲出。

    4. CrowdStrike更新失誤引發IT中斷

    2024年7月,由於CrowdStrike Falcon的更新引發內核衝突,導致超過850萬台Windows設備陷入系統崩潰,造成企業業務中斷並引發大規模用戶投訴。

    技術細節:

    • 更新驗證不足: 更新檔未經完整性檢查,包含的錯誤文件直接部署到客戶端。
    • 系統內核錯誤: 更新與部分驅動程式不相容,觸發藍屏及無限重啟問題。

    該事件再次提醒企業供應鏈安全的重要性,也強調了對更新流程的嚴格管控需求。


    5. Dark Angels勒索集團創下7500萬美元贖金紀錄

    今年夏季,Zscaler 的 ThreatLabz 團隊揭露了一起重大的勒索軟體案件:一名未具名的受害者向「黑暗天使」(Dark Angels)勒索軟體支付了高達 7500 萬美元的贖金<該組織自 2022 年 5 月以來一直是網路安全界的關注對象。

    根據 ThreatLabz 在 7 月發佈的《2024 年勒索軟體報告》,這筆付款刷新了公開記錄中最高的勒索金額。研究人員指出,這筆巨款代表了勒索軟體攻擊者的一項「成就」,可能會激發其他網路犯罪組織效仿,進一步助長勒索軟體威脅的蔓延。Zscaler 隨後在 X(前 Twitter)上的貼文披露,受害組織是一家位列財富 50 強的企業。

    隨後在 9 月,彭博社的報導指向一家上市製藥巨頭 Cencora,稱其因「黑暗天使」攻擊而支付了這筆創紀錄的贖金。Cencora 是 2024 年《財富》500 強排名第 18 的企業,儘管該公司未明確承認支付贖金,但早在 2 月便披露了一起資料外洩事件。此次攻擊導致攻擊者洩露了個人識別信息 (PII) 和個人健康信息 (PHI)。

    行動建議
    企業應迅速審查其安全防禦措施,定期更新員工培訓以提高對社交工程攻擊的警惕,並考慮部署全面的勒索軟體防禦策略,以防範未然。


    6. 美國總統競選遭駭,突顯選舉網路安全挑戰

    2024年8月,伊朗國家支持的駭客成功滲透川普競選團隊內部系統,意圖利用網路攻擊煽動政治分裂,削弱公眾對民主制度的信任。

    CISA指出,雖然此次攻擊未對選舉結果構成實質威脅,但事件凸顯了國家級威脅行為者對選舉基礎設施的持續關注與攻擊企圖。攻擊可能涉及魚叉式網路釣魚、零日漏洞利用和社交工程等技術,表明對手正以更複雜手段影響民主進程。

    這起事件警示各方需持續強化選舉安全,包括加強攻擊面管理、實施零信任策略,以及強化選舉系統的威脅檢測與事件應對能力,以捍衛選舉完整性。


    7. 23andMe 資料外洩:責任推諉是否掩蓋了更深層的安全漏洞?

    基因檢測巨頭 23andMe 去年遭受大規模資料外洩,近 700 萬客戶的基因與血統數據 被攻擊者竊取。駭客通過 暴力破解 方式入侵數千帳戶,進一步擴大資料洩露範圍。然而,該公司直到事件發生後才推出 多重身份驗證(MFA),這項本可顯著降低攻擊風險的基本安全措施。

    事件後,23andMe 將責任轉嫁給用戶,聲稱受害者未能妥善保護帳戶安全。此舉遭到廣泛批評,代表數百名受害者的律師稱其指控「毫無根據」,強調企業應承擔其安全防護不力的責任。同時,英國與加拿大監管機構宣布展開聯合調查,以釐清 23andMe 是否在數據保護義務上存在重大疏漏。

    事件的影響不僅限於數據外洩。23andMe 在今年進一步裁減 40% 員工,凸顯公司在財務和聲譽上的嚴峻挑戰。更令人關注的是,其龐大的基因資料庫,作為醫療研究和個人隱私的核心資產,也可能成為惡意行為者的目標。

    此次事件揭示了基因檢測產業面臨的網路安全挑戰:

    • 零信任架構:加強內部與外部訪問控制,限制數據不必要的共享與存取。
    • 強化帳戶安全:強制實施 MFA、監測異常活動並提供安全教育。
    • 快速應對漏洞威脅:縮短補救延遲,積極協助受害者減輕影響

    8. Ivanti零日漏洞引發的國家級威脅——CISA遭駭風波

    2024年1月10日,Ivanti Connect Secure產品爆出兩個零日漏洞,被中國國家級駭客迅速武器化。甚至連美國網路安全與基礎設施安全局(CISA)也因該漏洞遭受攻擊,洩露多項敏感數據。

    攻擊技術解析:

    • 漏洞武器化:利用CVE-2024-21887實現命令注入與身份繞過,迅速獲取高權限控制權。
    • 資料竊取: 應用隧道協議進行流量隱藏,持續抽取敏感信息至外部伺服器。
    • 建立後門: 植入永久性木馬,確保後續操作不受干擾。

    此事件再次證明零日漏洞的高度危險性,並強調資安威脅的國際性與複雜性。


    9. 微軟Recall功能的隱私爭議——科技便利的兩面刃

    2024年5月,微軟推出新功能Recall,允許用戶快速回顧屏幕操作記錄。然而,由於類似鍵盤側錄的特性,資安專家對其可能被濫用或造成數據洩露提出了強烈批評。

    風險評估:

    • 數據集中化問題: 雖然微軟聲稱採用加密存儲,但任何數據集中化的架構都容易成為攻擊目標。
    • 潛在濫用: 該功能可能被用作監控工具,侵犯用戶隱私。

    該事件引發社會對隱私權與科技進步間平衡的深刻討論。


    10. Synnovis 勒索軟體攻擊:NHS 長期中斷與數據洩露危機

    今年 6 月,英國病理學服務提供商 Synnovis 遭到 Qilin 勒索軟體組織攻擊,導致倫敦東南部的國民醫療服務(NHS)遭遇數月中斷,嚴重影響醫療服務。此次攻擊造成 數千名患者無法接受血液檢測,並導致 1,700 多次外科手術取消 及數千個門診預約推遲。

    專家指出,此次攻擊可能因缺乏基本的雙重身份驗證(MFA)而得以成功,暴露了 Synnovis 在關鍵基礎設施安全管理上的漏洞。 Unite 工會 指出,事件期間員工被迫超時工作且長期無法使用基本電腦系統,對其心理健康和工作條件造成極大壓力,並宣布於 12 月進行為期五天的罷工。

    據 Qilin 勒索軟體組織聲稱,其竊取了 400 GB 的敏感數據,包括患者姓名、醫療系統註冊號碼以及血液檢測相關詳細信息。雖然受影響患者的具體數量尚未完全披露,但數據洩露的潛在影響可能進一步擴大,對患者隱私和信任構成威脅。

    此次攻擊凸顯醫療機構在網絡安全方面的不足,也對 NHS 的運營穩定性提出了警示。事件的延續影響表明,增強關鍵基礎設施的安全措施、部署多層防護機制,以及提升員工網絡安全意識已刻不容緩。


    結語
    2024年的資安事件帶給我們的不僅是震撼,更是一堂深刻的教訓。面對持續升級的威脅,企業與個人必須正視自身的資安策略。這是一場與時間的競賽,而我們每一位都無法置身事外。

    “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

    Clop 勒索軟體利用 Cleo 檔案傳輸漏洞進行大規模攻擊 至少 66 家公司數據外洩

    近期,Clop 勒索軟體集團再次展開攻擊,聲稱成功利用 Cleo 檔案傳輸工具的安全漏洞,竊取至少 66 家企業的敏感數據。本次攻擊主要針對 Cleo 的企業級 MFT(Managed File Transfer)解決方案,包括旗下系統 Harmony、VLTrader 和 LexiCom,此事件迅速引發全球網路安全領域的高度警戒。Clop 在其暗網的勒索網站上曝光部分受害企業名單,並威脅在 48 小時內公開完整名單,除非企業支付贖金以阻止數據外洩。

    2024 年 12 月 13 日,CISA(美國網路安全與基礎設施安全局)證實,攻擊者利用 Cleo MFT 軟體中的關鍵漏洞 CVE-2024-50623,該漏洞允許未經身份驗證的攻擊者在受害主機上執行任意的 Bash 或 PowerShell 指令。此漏洞源自自動運行目錄的預設配置,導致攻擊者能遠端部署惡意程式,並在網路中建立持久化訪問通道。CISA 更在其公告中警告,此漏洞已被實際用於勒索軟體攻擊,對企業安全構成重大威脅。

    資安公司 Huntress 於 12 月 9 日首次發出警告,表示從 12 月 3 日開始偵測到針對 Cleo 系列 MFT 工具的攻擊活動,並懷疑攻擊者正在利用未修補的漏洞進行大規模入侵行動。隨後,Huntress 進一步披露,Cleo 曾於 10 月份針對該漏洞發布修補,但修補措施不完整,可能間接導致此次事件的發生。


    Clop 勒索軟體的手法分析

    1. 攻擊技術與漏洞利用

    Clop 展現了高超的漏洞挖掘與攻擊技巧,針對 Cleo 檔案共享系統中的安全漏洞發起精準攻擊。這些工具廣泛應用於企業的大型敏感數據傳輸,其漏洞一旦被利用,便可能對數據安全造成嚴重影響。

    此次攻擊的技術特徵包括:

    • 針對未修補漏洞的高效利用:攻擊者可能掌握零日漏洞,並迅速部署攻擊工具。
    • 廣泛但有針對性的目標選擇:Clop 聚焦於依賴 Cleo 工具的企業,目標明確且具有高價值。

    2. 雙重勒索策略

    Clop 採用了熟練的雙重勒索模式,威脅受害者若不支付贖金,將公開其敏感數據。他們在公告中提到:

    「我們擁有許多使用 Cleo 的公司的數據。我們的團隊正在聯繫貴公司,並提供專屬秘密聊天。如果您不確定我們是否擁有您的數據,請通過以下郵件聯繫:
    unlock@he1p-me[.com
    unlock@cl-leaks[.com
    support@he1p-center[.com
    您有 48 小時時間,否則我們將公佈受害公司的名稱!」


    Huntress 和資安業界的初步應對

    Huntress 於 12 月 9 日提醒業界注意 Cleo 檔案傳輸工具中的可疑活動,並呼籲企業立即採取行動修補漏洞。此外,資安專家建議受影響企業採取以下措施:

    1. 漏洞修補:檢查 Cleo 檔案傳輸工具的版本,並應用供應商最新的安全更新。
    2. 數據分類與加密:將最敏感的數據進行加密處理,即使被竊取也難以利用。
    3. 多因素身份驗證(MFA:提高檔案傳輸工具的使用安全性,降低帳戶被攻破的風險。
    4. 網路隔離:對受影響系統進行隔離,防止進一步的攻擊蔓延。

    Clop攻擊模式的長期影響

    Clop 對 Cleo 工具的攻擊延續了其針對檔案傳輸工具的戰略。在過去數年內,Clop 也曾利用 Accellion、GoAnywhere 和 MOVEit 的漏洞發起類似攻擊,影響數百家企業。此次事件再次強調了以下風險:

    • 供應鏈安全挑戰:企業使用的第三方工具漏洞可能成為重大威脅。
    • 文件傳輸工具的關鍵性:這類工具在數據交換中的核心角色使其成為高價值攻擊目標。

    結論與建議

    本次 Clop 勒索軟體針對 Cleo檔案傳輸漏洞的攻擊,對全球企業敲響了警鐘。企業應立即加強對檔案傳輸工具的安全監控,並建立完備的應急回應計劃。同時,網路安全業界需要加強威脅情報共享,推動供應商加速漏洞修補流程,以降低此類事件重演的可能性。

    對於受影響的組織而言,應保持警惕,與法律機構和資安專家合作,採取全面的應對措施,最大程度減輕攻擊帶來的影響。

    有關Clop勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

    LockBit 勒索軟體組織透過 4.0 版本策劃強勢回歸

    全新 4.0 版本的計劃與背景

    2024年12月19日,竣盟科技的暗網研究發現,LockBit 勒索軟體組織宣布計劃於2025年2月3日推出全新版本 LockBit 4.0,預示其試圖重新進入網路犯罪市場,並恢復因全球執法行動而大幅削弱的影響力。

    此次 LockBit 4.0 版本的推出,距離 2024 年初的全球執法行動(Cronos Operation)已近一年。該行動對 LockBit 造成了重大打擊,導致其核心成員被捕,並成功追回近 7,000 把解密密鑰,這在一定程度上為許多受害者帶來了救助。隨著此行動的發生,競爭對手如 RansomHub 等迅速崛起,並迅速成為當前市場中最活躍的勒索軟體組織。

    LockBit 在其公告中以挑釁的語氣宣稱:“想擁有蘭博基尼、法拉利,甚至更多……女孩嗎?立即加入我們,僅需五分鐘便可開始你的『滲透測試億萬富翁之路』。” 這種言辭不僅凸顯其對受害者的冷酷態度,也揭示了該組織對新成員的招募策略,藉由誘惑與極端的暴利承諾來吸引更多人加入其犯罪行列,進一步擴大其影響力。

    LockBit 4.0 的會員平台

    該平台提供了一個簡潔且高效的登入介面,用戶可透過幾個簡單的步驟註冊。登入過程中,用戶需輸入使用者名稱、密碼及驗證碼以完成身份驗證。

    此登入過程支援兩種主要的付款方式:

    1. 比特幣 (BTC) — 最常用於暗網交易的加密貨幣,具備廣泛的接受度和流通性。
    2. 門羅幣 (XMR) — 以其卓越的匿名性而聞名,使得交易較比特幣更難以追蹤,增強了隱私保護。

    這一雙重支付選項為有意參與的附屬會員提供了更大的靈活性,並顯示出 LockBit 集團在確保交易匿名性與安全性方面的高度重視。

    存取費用:777美元

    要完全存取 LockBit 4.0 平台並掌握勒索軟體的操作,會員需支付 0.007653 BTC,約合 777 美元。LockBit向任何願意付費的人開放 LockBit 4.0 代表著勒索軟體商業模式的徹底轉變。過去,此類先進工具的存取權限僅限於少數經過挑選且值得信賴的附屬會員。

    LockBit 4.0 平台提供什麼?

    一旦付款並完成註冊,用戶立即可以存取勒索軟體控制面板。從這個平台可以:

    • 為 Windows、ESXi 和 Linux 系統建立自訂勒索軟體版本。
    • 以有組織且自動化的方式管理勒索軟體攻擊活動。
    • 與受害者溝通協商贖金並處理付款請求。
    • 下載高級加密工具以快速有效地鎖定受害者的系統。

    挑戰與不確定性:LockBit 能否重振旗鼓?

    LockBit 能否成功以 4.0 版本重返網路犯罪的主導地位仍然存在諸多不確定性。該組織過去一年遭遇的重大打擊,包括成員被捕、執法機構的持續追蹤以及解密密鑰的外洩,已經大幅削弱其信譽和市場影響力。

    自 LockBit 3.0 推出以來已超過兩年時間。根據執法行動的時點推測,4.0 版本的開發可能涉及對其技術架構的重大改動,尤其是如果執法機構曾獲得部分源代碼,則可能進一步限制其技術迭代的能力。

    LockBit 的回歸之路並不平坦,該組織的可信度因與其他勒索軟體即服務(RaaS)組織的激烈競爭而進一步下降。目前市場中,RansomHub、 Hunters International、PLAY等競爭對手已明顯佔據主導地位。

    未來展望:是否轉變策略?

    隨著 RaaS 模式的擴展,LockBit 的未來行動策略將受到威脅研究員的密切關注,包括其可能選擇改變目標或攻擊地區以減少國際執法機構的壓力。

    LockBit 4.0 的推出標誌著其試圖回歸市場的重大一步。然而,面對激烈的競爭環境以及執法機構的不斷施壓,其能否重新獲得市場主導地位,仍需要時間來觀察。

    “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”