中國APT駭客Mustang Panda 憑藉新的PlugX變種DOPLUGS 瞄準亞洲

中國國家級駭客組織 Mustang Panda 利用名為 DOPLUGS 的 PlugX後門變種針對多個亞洲國家,PlugX 是Mustang Panda的主要工具,該工具也被追蹤為 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416 和 TEMP.Hex。據了解,它至少從 2012 年就開始活躍,儘管它是在 2017 年首次曝光的。

根據Trend Micro研究人員Sunny Lu 和 Pierre Lee在報告中表示,他們發現了與中國的APT組織Mustang Panda發起的網路間諜活動,目標是台灣、越南和馬來西亞等亞洲國家。Mustang Panda 至少從 2012 年就開始活躍,其目標是 美國 和 歐洲的實體,例如政府組織、智庫、 非政府組織,甚至梵蒂岡的天主教組織。過去的活動主要集中在亞洲國家,包括台灣、香港、蒙古、西藏和緬甸。在 2022 年的活動中,駭客利用歐盟關於烏克蘭衝突的報告和烏克蘭政府報告作為誘餌。開啟報告後,感染過程開始導致惡意軟體在受害者的系統上部署。在最近的活動中,駭客者使用了客製化的 PlugX 惡意軟體,其中包含完整的後門命令模組,研究人員將其命名為 DOPLUGS。

「這種客製化的 PlugX 惡意軟體自 2022 年以來一直很活躍,  Secureworks、  Recorded Future、  Check Point和 Lab52發布了相關研究報告。在分析過程中,我們觀察到該客製化的PlugX惡意軟體與 包含完整後門命令模組的普通 PlugX惡意軟體不同,前者僅用於下載後者。”Trend Micro發布的報告中寫道。 “由於其功能不同,我們決定給這款定制的 PlugX 惡意軟體一個新名稱DOPLUGS。”

包含台灣城市更新計畫訊息的網路釣魚電子郵件的螢幕截圖 Photo Credit : Trend Micro

DOPLUGS 充當下載器並支援四個後門命令。其中一個指令允許惡意軟​​體下載 PlugX 惡意軟體的通用版本。DOPLUGS的目標主要位於台灣和越南,其次是香港、印度、日本、馬來西亞、蒙古,甚至中國。

DOPLUGS 的感染流程 Photo Credit: Trend Micro

攻擊鏈利用一組不同的策略,使用網路釣魚訊息作為管道來傳遞第一階段的有效負載,在向收件人顯示誘餌文件的同時,秘密地解壓一個容易受到DLL 側面加載攻擊的合法、簽署的可執行檔,以便旁加載動態連結庫 (DLL),該動態連結庫反過來解密並執行 PlugX。PlugX 惡意軟體隨後獲得Poison Ivy遠端存取木馬 (RAT) 或 Cobalt Strike Beacon,以與 Mustang Panda 控制的伺服器建立連線。

2023 年 12 月,Lab52 發現了一場針對台灣政治、外交和政府實體的 Mustang Panda 活動,該活動使用 DOPLUGS,但有顯著差異。Lab52表示: “惡意 DLL 是用 Nim 程式語言編寫的。 ” “這個新變種使用自己的 RC4 演算法實現來解密 PlugX,這與使用 Windows Cryptsp.dll 庫的先前版本不同。”DOPLUGS於 2022 年 9 月首次由 Secureworks 記錄,是一個具有四個後門命令的下載程序,其中一個命令用於下載一般類型的 PlugX 惡意軟體。另外值得注意的是,Avira 早在 2020 年 1 月就發現了一個包含 KillSomeOne 模組並設計用於透過 USB 傳播的客製化 PlugX 變種,這是針對香港和越南的攻擊的一部分。

惡意軟體分析揭示了支援 USB 蠕蟲功能的 KillSomeOne 模組的使用。 KillSomeOne 於 2020 年 11 月由Sophos 報告首次揭露  。發現威脅行為者利用與時事相關的文件作為誘餌,例如 2024 年 1 月舉行的台灣總統選舉,進行魚叉式網路釣魚攻擊。

DOPLUGS 樣本包含KillSomeOne模組,並使用啟動器元件來執行合法的可執行檔以執行 DLL 側面載入。啟動器也會從遠端伺服器下載下一階段惡意軟體。

根據研究人員的表示,Mustang Panda主要針對世界各地的政府實體,特別是亞太地區和歐洲的政府實體,並在報告總結中道, “根據我們的觀察,我們認為Mustang Panda傾向於在攻擊中使用網路釣魚電子郵件和中嵌入Google Drive 連結。”

DOPLUGS的部分入侵指標(Indicator of compromise -IOCs):

IPv4 185.82.216.184      

IPv4 149.104.12.64

IPv4 154.204.27.181      

FileHash-MD5 317705ca7476ac9a754b80fded717f6b         

FileHash-MD5 5f39a964af306f40536aa6ac57b66758          

FileHash-MD5 8ff41ca8ff54542f43ad9648ad4f3286            

FileHash-MD5 bf344f46cebb452570a1485c2c251970                 

FileHash-MD5 eb941fbca579d3c0966de86b904fc298         

FileHash-SHA1 3ae7c3d9fb506ea8693e61e168862a51a0070f33

LockBit勒索軟體遭瓦解,兩名駭客被捕 執法機構釋出LockBit3.0解密工具

被接管的LockBit暗網煥然一新

Key Points:

*2/20由執法合作夥伴組成的國際組織表示,中斷了LockBit 勒索軟體的運作,奪取了近代史上最多產的勒索軟體組織的基礎設施。

*美國司法部與英國當局和其他國際執法機構合作,對兩名俄羅斯公民 Artur Sungatov 和 Ivan Kondratyev 提出起訴,指控他們針對美國眾多公司和世界各地目標部署了LockBit。

*FBI 和英國國家犯罪局與多個合作夥伴合作,也查獲了 LockBit 使用的眾多面向公眾的網站和伺服器。當局獲得了解密金鑰,這將使數百個受害組織能夠重新獲得被盜的資料。

*LockBit客製化的資料外洩工具StealBit的基礎設施已被三個國家的當局扣押

國際執法機構週二(2/20)宣布擾亂並搗毀 LockBit,歐洲刑警組織稱其為「世界上最大的勒索軟體操作」。由英國國家犯罪局 (NCA) 領導的國際執法機構聯盟,作為克諾司行動(Cronos Operation)的一部分,摧毀了 LockBit 的基礎設施,這是一項為期數月的努力,旨在制止勒索軟體即服務(RaaS)的活動,以消除其犯罪行為。該機構在聲明中表示:“今天,在滲透到該組織的網路後,NCA 已經控制了 LockBit 的服務,從而搗毀了他們的整個犯罪事業。 ” 除了破壞行動之外,歐洲刑警組織還採取了其他協調行動,包括週二上午在波蘭和烏克蘭逮捕了兩名 LockBit 成員,並凍結了與該組織有關的 200 多個加密貨幣帳號。

歐洲刑警組織稱,這次行動逮捕了兩人,凍結了 200 多個加密貨幣帳號,控制及關閉了34台伺服器,並刪除了 14,000 個流氓帳號。此外,執法機構表示「允許 LockBit 服務所有要素運作的技術基礎設施」和洩密網站已被接管。目前,尚不清楚被扣押的 200 個錢包中儲存了多少加密貨幣。然而,支付贖金的受害者現在可能可以收回部分勒索軟體付款,就像聯邦調查局之前為殖民地管道(Colonial Pipeline)所做的那樣。

「目前,執法部門掌握了整個調查過程中收集的大量數據。這些數據將用於支持正在進行的國際行動活動,重點是該組織的領導人,以及與這些犯罪活動有關的開發商、附屬會員、基礎設施和犯罪資產,」歐洲刑警組織表示。

兩名駭客分別是Artur Sungatov 和Ivan Kondratyev(也稱為Bassterlord)於波蘭和烏克蘭被捕。此外,法國和美國當局還發出了三份國際逮捕令和五份起訴書。 美國表示,已對兩名涉嫌與 LockBit 勒索軟體有關聯的人提出指控,他們已被拘留並等待引渡,並公佈了對兩名被指控密謀發動網路攻擊的俄羅斯國民的起訴書。NCA在自己的新聞稿中表示,已經控制了LockBit使附屬

會員能夠建立和部署攻擊主要的管理環境。」「透過我們的密切合作,我們已經攻擊了駭客; NCA 總幹事 Graeme Biggar 表示:“控制了他們的基礎設施,奪取了他們的源代碼,並獲得了幫助受害者解密系統的密鑰。”

「截至今天,LockBit已被鎖定。我們損害了這個依賴保密和匿名的組織的能力,尤其是其可信度。」Biggar補充道。 “我們的工作並不止於此。 LockBit 可能會尋求重建他們的犯罪企業。然而,我們知道他們是誰,以及他們如何運作。” 據EurojustDoJ 稱,LockBit 攻擊據信影響了全球 2,500 多名受害者,並賺取了超過 1.2 億美元的非法利潤。作為克諾司行動的一部分,執法部門還 從被扣押的 LockBit 伺服器中獲得了1,000 多個解密金鑰。使用這些解密金鑰,將使受害組織能夠恢復被加密的資料。此外,日本警方、NCA 和聯邦調查局 (FBI) 在歐洲刑警組織的支持下開發了 LockBit 3.0勒索軟體解密工具,並已在No More Ransom平台釋出,將使受害組織能夠恢復被加密的資料。根據NCA,在接下來的2到3天裡,將會有許多消息披露,但最誘人的是 LockBit 的領導人兼發言人 LockBitSupp面紗即將被揭開。

網路和惡意軟體研究安全團隊Vx-Underground在 X上稱,執法行動似乎針對的是“每個已知的Lockbit 勒索軟體網站”,至少有22 個Tor 網站處於離線狀態或顯示扣押訊息。 Vx-Underground 聲稱已獲得 LockBit 管理人員被攻陷的確認,網路犯罪分子聲稱執法部門利用了追蹤為CVE-2023-3824 的PHP遠端程式碼執行漏洞來控制其系統。 然而,駭客聲稱只有使用 PHP 的伺服器受到 FBI 的攻擊,但不使用 PHP 的備份伺服器據稱並未受到影響。現在當LockBit附屬會員登入勒索軟體儀表板時,會收到一條消息,通知他們LockBit平台已受到執法部門的控制,調查人員已獲得原始碼、受害者資料、勒索的金額、所竊取的資料,以及聊天紀錄等。

俄羅斯公民Mikhail Matveev,據稱是目前駐紮在俄羅斯的LockBit活躍分子

LockBit是「勒索軟體即服務」模式的先驅,將目標選擇和攻擊外包給半獨立「附屬會員」,為他們提供工具和基礎設施,並收取贖金佣金作為回報。許多勒索軟體駭客位於俄羅斯,該國網路犯罪活動猖獗,而且不引渡本國公民,這讓受害者居住國當局感到沮喪。美國司法部對俄羅斯國民 Artur Sungatov 和 Ivan Kondratyev 提出了起訴書(首次公開點名),並表示一名在逃的俄羅斯網路犯罪嫌疑人 Mikhail Matveev 也參與了 Lockbit。去年,美國國務院懸賞1000 萬美元尋找導致他被捕的資訊。由於這些核心嫌疑人似乎仍然可以在俄羅斯自由活動,因此毫無疑問他們可以重建 LockBit的帝國,然而這次行動的內容削弱了駭客對犯罪生態系統的信任。

更多的資訊,請參考NCA新聞稿和影片; 以及美國司法部長 Merrick Garland YouTube 影片

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

LockBit勒索軟體因全球執法部門的行動而中斷 網域已被查封

LockBit網站已被查封並替換為十一個國家的執法標誌

LockBit是世界上最多產的勒索軟體組織,其網站週一(2/19)被查封,這是國際執法行動的一部分,該行動涉及英國國家犯罪局(National Crime Agency)、聯邦調查局(FBI)、歐洲刑警組織(Europol)和幾個國際警察機構。LockBit網站上的扣押通知稱:“英國國家犯罪局與聯邦調查局 (FBI) 以及名為克諾司行動(Cronos Operation)的國際執法工作小組密切的合作,我們可以確認,LockBit 的服務已因國際執法行動而中斷——這是一項持續且發展中的行動。”該貼文也提到了來自法國、日本、瑞士、加拿大、澳洲、瑞典、荷蘭、芬蘭和德國的其他國際警察組織,並承諾更多資訊將在格林威治標準時間2 月20 日星期二11:30 公佈。

LockBit是2019 年出現的最大的勒索軟體即服務業者之一,它依靠其他駭客(附屬會員)進行實際的駭客攻擊,向他們提供使用其加密工具支付的贖金的 75%。LockBit造成 3,000 多名已知受害者,但實際數字可能要高得多。

惡意軟體研究人員 vx-underground在X上發文,當 LockBit 附屬會員登入 LockBit儀表板時會看到一條警告,稱執法部門已查獲來自LockBit的原始碼、所攻擊的受害者的詳細資料、勒索的金額、被盜的數據、聊天記錄等內容,如下:

同時LockBit代表也向VX-Underground證實了該行動 LockBit代表說,「聯邦調查局攻破我」。如下圖顯示:

Recorded Future 首席情報分析師Allan Liska表示,今天是偉大的一天,這將對勒索軟體攻擊的數量產生重大影響。LockBit是一系列講俄語的勒索軟體組織之一,其他包括Alphv(也稱為 BlackCat)和 Hive勒索軟體的伺服器也曾被執法部門沒收。Liska稱勒索軟體組織緝獲量的上升歸因於拜登政府成立的國際勒索軟體特別工作組,該工作組由 37 個相互共享情報的政府組成。他說:“國家之間的資訊共享顯然非常好,參與其中的每個人都有動力分享他們擁有的任何情報。”

這次扣押標誌著勒索軟體LockBit集團的重大挫折,然而LockBit 組織的核心成員不太可能在此次行動中被捕,因為他們的總部位於俄羅斯。儘管如此,執法部門查封 LockBit 網站,意味著將對勒索軟體生態系統產生重大(即使是短暫的)影響,並減緩攻擊速度。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

CISA 警告:Akira 勒索軟體利用 Cisco ASA/FTD 中存在的漏洞

美國網際安全暨基礎設施安全局 (CISA) 週四(2/15)在已知遭濫用之漏洞清單 ( KEV )中新增了一個思科現已修補的安全漏洞,有報告指出Akira 勒索軟體利用思科自適應安全設備(Cisco Adaptive Security Appliance,ASA)和思科威脅防禦系統(Cisco Firepower Threat Defense,FTD)中先前修補的安全漏洞。該漏洞被稱為CVE-2020-3259(CVSS 評分:7.5),這是一個高嚴重性的資訊外洩漏洞,攻擊者無需經過授權,便可通過利用該漏洞檢索受影響設備上的記憶體內容,進行類似如下所示的惡意攻擊:

遠端獲取連接到思科VPN用戶的當前Session ID,影響用戶的正常使用;

利用獲取到的用戶當前Session ID,登錄思科VPN客戶端,從而滲透到公司的內部網路;

遠端獲取思科ASA內存中的其他機密資訊,如電子郵件地址、憑證等。

作為 2020 年 5 月發布的更新的一部分,思科對其進行了修補。但由於最近被發現Akira 勒索軟體在攻擊中使用,故已被添加到 CISA 的已知遭濫用之漏洞清單 ( KEV )中。上個月末,網路安全公司 Truesec 表示,它發現的證據表明,在過去的一年裡,Akira 勒索軟體攻擊者已將其武器化,以危害多個易受攻擊的 Cisco Anyconnect SSL VPN 設備。Truesec執行的八個最新事件回應任務進行的分析(其中部署了Akira 勒索軟體,並且被確認Cisco Anyconnect SSL VPN為入口點)顯示,至少有六台受感染的設備正在運行不同版本的易受攻擊的設備。

據 Palo Alto Networks Unit 42 ,Akira 是 2023 年新設立勒索軟體的 25 個組織之一,於3 月首次被發現。Akira公開聲稱有近 200 名受害者,據信Akria與臭名昭著的Conti之間存在聯繫,因為Akira被發現將贖金收益發送至 Conti錢包地址。僅在 2023 年第四季度,Akira就在其暗網網站上列出了 49 名受害者,排在LockBit(275 名)、Play(110 名)、ALPHV/BlackCat(102 名)、 NoEscape(76 名)、8Base(75 名)之後。)和BlackBasta(72)。CISA要求聯邦民事行政部門 (FCEB) 機構必須在 2024 年 3 月 7 日之前修復已發現的Cisco ASA/FTD 中存在的漏洞CVE-2020-3259,以確保其網路免受潛在威脅。

CVE-2020-3259 遠非唯一被利用來傳播勒索軟體的漏洞,本月早些時候,Arctic Wolf Labs披露了濫用CVE-2023-22527(Atlassian Confluence 資料中心和 Confluence 伺服器最近發現的漏洞)來部署 C3RB3R 勒索軟體以及加密貨幣挖礦程式和遠端存取木馬的情況。

Backmydata勒索軟體攻擊導致多達100 家羅馬尼亞醫院受到影響 系統離線

羅馬尼亞當局證實針對醫療資訊系統(HIS)的勒索軟體攻擊已擾亂至少100家醫院的運作,受影響的醫院都必須放棄使用電腦系統,回到紙筆時代,手寫病歷。

羅馬尼亞 100 家醫院的醫療管理系統遭到Backmydata勒索軟體攻擊後,系統已關閉。醫院用來管理醫療活動和病患資料的醫療資訊系統(Healthcare /Hospital Information System,簡稱為HIS)在上周末遭到攻擊,資料庫被加密後現已離線。已確認 25 家醫院的資料已被攻擊者加密,為防止損害進一步蔓延,在調查事件期間,使用HIS 的其他 75 家醫療機構也已將其系統關閉。據羅馬尼亞國家網路安全局 (DNSC) ,攻擊者首先在星期六(2 月 10 日)對一家兒童醫院的數據進行了加密,並在 2 月 11 日至 2 月 12 日期間對其餘24家醫院進行了攻擊。DNSC 還表示,與 HIS 系統連接的其他 75家醫療機構已被切斷網路連接,調查人員正在試圖確定它們是否也受到了影響。

據 DNSC 稱,大多數受影響的醫院都有最新的資料備份,這應該可以快速恢復所有系統。然而,在一個設施中,備份不包括最近 12 天的資料。週二(2 月 13日),DNSC宣布受影響的醫院數量已增加到 26 家,攻擊者已提出 3.5 比特幣(約 175,000 美元)的贖金要求。DNSC 已要求所有醫院隔離受影響的系統,保存勒索信和系統日誌,調查日誌以確定進入點,保持受影響的系統處於開啟狀態,以便從記憶體中檢索證據,並將事件通知所有相關方、使用備份還原受影響的系統,並確保所有應用程式和作業系統都是最新的。

一個癌症治療組織週一告訴當地新聞媒體,所有伺服器都已關閉,網路也已斷開,以防止資料外洩。光是這家醫院,週一就有 180 多名入院病人進行了紙本登記,血液檢查也印在紙本上。

這次攻擊中使用的 Backmydata屬於 Phobos勒索軟體系列的變種,該勒索軟體通常透過利用遠端桌面協定 (RDP) 服務中的漏洞(包括弱登入憑證)來感染系統。在受感染的系統上,Backmydata 實現持久性、停用防火牆、刪除影集副本以及加密和洩漏資料。

在勒索信中,駭客聲稱竊取了機密數據,如果不支付贖金,這些數據將被出售,並提供受害者用於通訊的電子郵件地址。

Backmydata勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

396a2f2dd09c936e93d250e8467ac7a9c0a923ea7f9a395e63c375b877a399a6

70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4

AnyDesk事件後 客戶憑證外洩並在暗網上兜售

根據AnyDesk於2024 年 2 月 2 日發表的公開聲明,「作為預防措施,我們 (AnyDesk) 撤銷我們入口網站 my.anydesk.com 的所有密碼,如果使用相同的憑證,我們建議使用者更改密碼。」根據許多(BleepingComputerThe Hacker News等)資安媒體報道,攻擊者竊取了原始碼和程式碼簽署憑證;不過,AnyDesk未證實這項消息,只確認該事件並非勒索軟體攻擊。

AnyDesk 對此事件做出回應,撤銷了所有與安全相關的憑證和系統,替換或修復了其系統。它還計劃使用新的二進位檔案撤銷先前的程式碼簽署憑證。據 AnyDesk 稱,他們的調查顯示,沒有證據表明網路攻擊導致任何可用於存取最終用戶設備的私鑰、令牌或密碼被盜。此外,該公司已確認,目前沒有跡象表明漏洞對任何最終用戶設備產生了任何影響。

然而在2 月 4 日,根據資安公司Resecurity有駭客者暗網上出售大量 AnyDesk 客戶憑證,網路犯罪分子獲得的此類資訊可能會成為新攻擊的催化劑,包括有針對性的網路釣魚活動。有了有關特定客戶的更多背景資訊,成功入侵的可能性可能會顯著增加。例如,一種可能的情況可能涉及這些詳細資訊被用於代表軟體供應商、託管服務提供者(MSP) 或IT 外包公司發送的惡意電子郵件,其目的是獲取敏感資訊- 在這種情況下,下游商的入侵可重要了。獲取此類數據的來源和方法可能會有所不同,並且取決於特定駭客的策略、技術和程序 (TTP)。透過訪問AnyDesk 的portal ,駭客可以了解有關客戶的有意義的詳細資訊,包括但不限於使用的license密鑰、活動連接數量、會話持續時間、客戶ID 和聯繫資訊、與帳號關聯的電子郵件以及啟動遠端存取管理軟體的主機總數,及其線上或離線狀態和 ID。

化名「Jobaaaaa」的駭客,在著名的暗網論壇 Exploit[.] 上列出了超過 18,000 個 AnyDesk 客戶憑證以供出售 Photo Credit: Resecurity

目前尚不清楚這些憑證是如何獲得的,但 Resecurity 表示,鑑於密碼可以重置,網路犯罪分子可能會急於利用可用的客戶憑證來獲利。因為他們知道 AnyDesk 可能會採取主動措施來重置其憑證。此類資料對於初始存取代理程式和熟悉 AnyDesk 的勒索軟體團體來說可能非常有價值,AnyDesk 經常被濫用為成功網路入侵後的工具之一。據了解,暗網上大多數外洩的帳號都沒有啟用 2FA。

Photo Credit: Resecurity

Hudson Rock聯合創辦人兼首席技術長 Alon Gal 等其他網路安全專家也注意到了這起事件,並向社群發出了警報。據 Gal 稱,由於資訊竊取者的活動,超過 30,000 個用戶憑證可能在暗網上流通。

AnyDesk 的活動發生在 Cloudflare宣布成為攻擊目標及微軟和慧與科技也揭露了俄羅斯國家駭客所實施的網路安全事件之後。值得一提,Resecurity 已通知 AnyDesk其多個消費者和企業憑證已在暗網上被公開。

史無前例 美國CISA下令聯邦機構緊急在48小時內斷開Ivanti VPN 設備的連接

Photo Credit: CISA

為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險,CISA採取了史無前例的舉措,要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。

CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示:“盡快且不晚於2024 年2 月2 日星期五晚上11:59,斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ,該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。

CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”,並監控可能暴露的身份驗證或身份管理服務。該機構表示,聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離,並繼續審核特權等級存取帳號。為了使產品重新投入使用,CISA 表示,各機構需要匯出設備配置設定,按照 Ivanti 的說明完成出廠重置,並重建設備並升級到完全修補的軟體版本。

自去年 12 月以來,中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞,分別為 CVE-2023-46805CVE-2024-21887。 Ivanti 週三表示,它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示,它還觀察到一些針對聯邦機構的初步目標。

Ivanti 記錄了四個獨立的漏洞:

  • CVE-2023-46805 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞,允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2,已確認為被利用零日漏洞。
  • CVE-2024-21887 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
  • CVE-2024-21888 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure(9.x、22.x)的 Web 元件中存在權限提升漏洞,允許使用者將權限提升至行政人員,CVSS 評分為8.8。
  • CVE-2024-21893 — Ivanti Connect Secure(9.x、22.x)、Ivanti Policy Secure(9.x、22.x)和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞,允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。

Ivanti還警告說,情況仍在不斷發展,多個威脅行為者迅速調整其策略、技術和程序,以在其活動中利用這些漏洞。Ivanti稱,CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為,並且預計一旦該資訊公開,利用行為就會急劇增加。Ivanti 表示,情況仍在不斷發展,將隨著更多資訊的出現,更新其知識庫文章,該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。

三週前,Volexity 首次發現了對這些漏洞的利用,並警告說,中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。 資安公司 Volexity 的創辦人 Steven Adair表示,迄今為止,至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人,不過 Volexity 指出「總數可能要高得多」。

資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」,並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱,網絡犯罪組織已利用公開的漏洞部署加密器和後門。

Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):

施耐德電機證實其永續發展部門遭到勒索軟體攻擊 幕後黑手指向仙人掌勒索軟體

該部門因勒索軟體攻擊導致資料外洩及平台中斷

施耐德電機資源顧問平台上的停用消息

1 月 30 日,根據BleepingComputer報道,能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊,導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門,攻擊擾亂了其部分資源顧問雲端平台,該平台至今仍處於中斷的狀態。據報道,勒索軟體在網路攻擊期間竊取了數TB 的公司數據,並正在威脅該公司,如果不支付贖金,就會洩露被盜的數據。雖然尚不清楚被盜的資料類型,但永續發展業務部門為企業組織提供諮詢服務,就再生能源解決方案提供建議,並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件,該攻擊影響了其資源諮詢產品(永續發展資訊的數據視覺化工具)以及「部門特定系統」。然而,施耐德表示,公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統,也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據,包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而,該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍,截至撰寫本文時,該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱,該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟的TTPs,Photo Credit: Kroll

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標,並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號,它還使用 開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具(例如Splashtop、AnyDesk、SuperOps RMM)來實現遠端訪問,並在  後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限,駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外,仙人掌使用 Rclone 工具進行資料洩露,並使用名為 TotalExec 的 PowerShell 腳本(BlackBasta勒索軟體過去曾使用過該腳本) 來自動部署加密過程。一月初,仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73

繼微軟後 慧與科技也遭俄羅斯國家駭客入侵

Photo Credit: Shutterstock

最近入侵微軟(Microsoft)的俄羅斯駭客也成功滲透了另一家大型IT公司:慧與科技(Hewlett Packard Enterprise-HPE) 。根據CNNBleeping ComputerThe Washington Post等多家國外媒體的報導,HPE在一份提交美國證券交易委員會(SEC)備案文件中披露,俄羅斯國家駭客已經在長達七個多月的時間裡進入了其企業電子郵件收件匣。這家矽谷巨頭通知投資者,來自俄羅斯聯邦對外情報局(Russian Foreign Intelligence Service)的駭客於 2023 年 5 月首次滲透了基於雲端的電子郵件服務。HPE表示,直到 12 月 12 日,該公司才收到通知後發現了入侵行為。監管文件稱,這些駭客“據信”是Midnight Blizzard,也稱為APT29、Nobelium 和 CozyBear。

微軟幾天前才透露,同樣的駭客已經入侵了其公司高階領導層的收件匣。2021 年,駭客在 SolarWinds 開發的 IT 基礎設施軟體中插入後門後,白宮將威脅行為者與莫斯科聯繫起來。

HPE表示,在這起最新事件中,駭客入侵了屬於我們資安部、進入市場策略部(go-to-market)、商用部等單位的電子郵件,郵件遭到非法存取及下載。

監管文件稱,電子郵件駭客攻擊可能與該公司在 2023 年 6 月了解到的同一駭客組織的早期活動有關。該活動涉及 2023 年 5 月未經授權訪問 HPE SharePoint 伺服器以及“洩露有限數量的文件” 」。

威脅情報公司 Mandiant 於 2022 年 8 月警告稱,俄羅斯駭客組織特別關注 Microsoft 365,這是一套無處不在的生產力和雲端儲存應用程式。APT 29使用 Microsoft 雲端中的虛擬機器來隱藏其痕跡。

根據2021 年 4 月的諮詢報告,聯邦政府早在 2018 年就注意到該組織轉向以雲端資源為目標,“特別是電子郵件”,並減少對惡意軟體的依賴。

一位HPE的公司代表表示,我們的調查得出的結論,出於高度謹慎,符合美國證券交易委員會有關網路事件的新法規的精神,公司就決定披露此次駭客攻擊。美國證券交易委員會去年投票通過了 12 月生效的法規,要求上市公司的大型公司在確定重要性後的四個工作日內披露“重大網路安全事件”。

HPE表示,到目前為止,該事件尚未對其營運產生重大影響,但對其財務狀況的潛在影響仍有待觀察。該公司當天收盤上漲1.68%,但盤後交易中下跌1.02%。 HPE 本月稍早發布了新聞,宣布與網路設備製造商Juniper Networks達成140 億美元的收購協議,並宣稱該交易是讓合併後的公司在新興的人工智慧市場中定位的方式。

中國國家級駭客利用VMware 關鍵漏洞長達兩年 CISA將此越界寫入漏洞增至其已知遭濫用之漏洞清單

1 月 18 日,VMware 確認 CVE-2023-34048被利用後,Mandiant 將該活動歸因於一個與中國關係密切的駭客組織,並透露該攻擊活動至少從 2021 年底開始。根據 Mandiant 的最新研究,至少自 2021 年底以來,與中國相關的 APT 組織UNC3886一直在利用一個編號為vCenter Server 的零日漏洞CVE-2023-34048 。vCenter Server 是 VMware 虛擬化和雲端運算軟體套件中的關鍵元件。它作為VMware虛擬化資料中心的集中式綜合管理平台。Mandiant在周五的一份報告中表示:“UNC3886 擁有利用零日漏洞在不被發現的情況下完成攻擊任務的記錄,而這個最新的例子進一步證明了它們的能力。

Photo Credit: Mandiant

另外,Critical Start網路威脅研究資深經理Callie Guenther表示:「CVE-2023-34048 的利用反映了深厚的技術敏銳度,顯示在識別和利用VMware 等廣泛使用的軟體中的複雜漏洞方面具有高水平的熟練程度。 」

去年10 月 25 日,VMware 首次揭露了一個編號為 CVE-2023-34048 的越界寫入漏洞(Out-of-bounds Write)以及一個編號為 CVE-2023-34056 的部分資訊外洩漏洞,這些漏洞影響了 vCenter Server。該供應商警告說,利用越界寫入漏洞(CVSS評分為 9.8)可使攻擊者能夠在易受攻擊的電腦上遠端執行程式碼。Mandiant 的研究人員於 2022 年 9 月首次 詳細介紹了該組織的活動,當時他們在 VMware ESXi Hypervisor 中發現了一種新穎的惡意軟體持久性技術。惡意軟體作者使用該技術在 VMware ESXi Hypervisor 中實現管理訪問,並接管適用於 Windows 和 Linux 的 vCenter 伺服器和虛擬機器。

這次攻擊的高度針對性和規避性使專家們相信,攻擊是由中國國家級駭客 UNC3886出於網路間諜目的而實施的。

在 Mandiant 於 2022 年 9 月調查的攻擊中,攻擊者依靠惡意 vSphere 安裝套件 (VIB)在 ESXi 虛擬機器管理程式上安裝兩個後門,分別為 VIRTUALPITA 和 VIRTUALPIE。 VIB 是設計用於管理虛擬系統的檔案集合,它們可用於建立啟動任務、自訂防火牆規則或在 ESXi 電腦重新啟動時部署自訂二進位。Mandiant 進行的進一步調查顯示,UNC3886 組織使用了其他技術來針對多個組織以避免 EDR 解決方案。

Mandiant 和 VMware Product Security 對“vmdird” 核心崩潰檔案的分析表明,進程崩潰與 CVE-2023-34048 的利用密切相關,

2023年末,Mandiant 注意到 VMware vmdird 服務在部署後門前幾分鐘就當機。Mandiant 和 VMware Product Security 對「vmdird」核心崩潰檔案的分析表明,進程當機與 CVE-2023-34048 的利用有密切的關係。Mandiant 觀察到 2021 年底至 2022 年初期間發生了多起 UNC3886 事件。研究人員還注意到,在觀察到這些崩潰的大多數環境中,日誌條目被保存了下來,但『vmdird』核心崩潰檔案本身卻被刪除

“VMware 的預設配置會將核心崩潰檔案無限期地保留在系統上,這表明攻擊者故意刪除了核心崩潰檔案,以試圖掩蓋其踪跡。”報告總結道。 “正如 VMware 通報中提到的,此漏洞已在 vCenter 8.0U2 中得到修補,Mandiant 建議 VMware 用戶更新到最新版本的 vCenter,以應對此漏洞被廣泛利用的情況。”週三,VMware 以新資訊更新該通報,警告客戶越界寫入漏洞正受到攻擊。

根據Shadowserver Foundation 的數據,目前有數百個暴露於網際網路的 VMware vCenter Server 執行個體可能存在漏洞。

Photo Credit: CISA

VMware 產品成為惡意攻擊者攻擊目標的情況並不少見。美國安全機構 CISA 維護的已知遭濫用之漏洞清單目前包括 21 個VMware 產品漏洞。今天(1月24日)CISA在其已知遭濫用之漏洞清單(KEV)中新增了CVE-2023-34048漏洞,並下令聯邦機構在 2024 年 2 月 12 日之前修復此漏洞,也建議私人機構審查該清單並解決其基礎設施中的漏洞。