駭客瞄準玩家後 寶可夢重置用戶密碼

#帳號填充攻擊

深受喜愛的遊戲公司寶可夢在檢測到駭客企圖後要求玩家重設密碼

《寶可夢》是一款廣受歡迎的遊戲系列,在全球擁有數億玩家。3月20日,根據Tech Crunch的報道,寶可夢公司(The Pokémon Company)偵測到針對部分使用者的駭客攻擊後,重設了這些使用者帳號密碼。上週,神奇寶貝官方支援網站上出現了一條警報,稱在試圖破壞我們的帳號系統後,寶可夢主動鎖定了可能受到影響的粉絲的帳號。如果您無法登入您的寶可夢訓練傢俱樂部帳號,請按照此處的說明重設您的密碼。”然而該警報現已被刪除。

寶可夢已刪除的警報 Photo Credit: Tech Crunch

在警報刪除後,該公司發言人Daniel Benkwitt解釋說,駭客沒有嘗試存取寶可夢本身,只是針對一些用戶的一系列駭客攻擊嘗試。「帳系統沒有受到破壞。我們所經歷和發現的是駭客登入某些帳號。為了保護我們的客戶,我們重置了一些的密碼。」Benkwitt進一步表示,只有 0.1% 的駭客目標帳號實際上受到了威脅,並重申該公司已經強迫受影響的用戶重置密碼,因此對於那些沒有被要求重置密碼的人來說,他們沒有任何的影響。據了解,對寶可夢帳號的攻擊是以帳號填充(Credential stuffing)的攻擊手法,其中惡意駭客使用從某項服務的資料外洩中獲取到的用戶名和密碼,並在其他網站上重複使用它們,這種攻擊能夠在短時間內危及許多帳號。

最近的一個類似事件的例子是去年10月基因檢測公司 23andMe 發生的事情,在那起事件中,駭客利用其他資料外洩事件洩露的密碼入侵了大約 14,000 個帳號(即 0.1%的用戶資料遭到存取)透過入侵這些帳號,駭客存取數百萬 23andMe 帳號持有者的敏感基因資料。這促使該公司推出強制雙重認證,一種防止撞庫攻擊的安全功能。另外根據 TechCrunch,寶可夢公司沒有允許用戶在其帳號上啟用雙因素驗證。

中國APT駭客Earth Krahang 鎖定全球政府實體 入侵了23 個國家的70 個組織

Earth Krahang利用政府間信任發動跨政府攻擊,針對全球多個政府實體的APT活動,駭客重點關注東南亞,但也發現針對歐洲、美洲和非洲

中國 APT 駭客Earth Krahang 將全球政府實體作為目標,已成功侵入 23 個國家的至少 70 個組織,其中包括 48 個政府領域的組織。據監測該活動的Trend Micro研究員稱,該活動自 2022 年初以來一直在進行,主要針對政府組織。該研究報告深入探討了 Earth Krahang 的策略、技術和程序 (Tactics, Techniques, and Procedures -TTP),揭示了Earth Krahang運作及其對全球網路安全的影響。

策略與技術

Earth Krahang 的作案手法包括利用面向公眾的伺服器中的漏洞以及利用魚叉式網路釣魚電子郵件來提供新穎的後門。該活動顯示出一種傾向,即徵用政府基礎設施來發動進一步的攻擊,利用這種存取權限來託管惡意負載並促進網路間諜活動。在公共伺服器上建立立足點後,該組織使用更多的開源軟體包括 sqlmap、nuclei、xray、vscan、pocsuite 和 wordpressscan來掃描敏感檔案、密碼(特別是電子郵件)和其他有用的資源,例如可能指向進一步無人維護的伺服器的孤獨子網域。它還採用了許多暴力攻擊,例如,使用常用密碼清單透過 Outlook 網頁版破解 Microsoft Exchange 伺服器

Earth Krahang的攻擊鏈 Photo Credit: Trend Micro

值得注意的是,Earth Krahang 特別喜歡攻擊的兩個漏洞是 CVE-2023-32315(CVSS 評級為 7.5分的即時協作伺服器 Openfire 中的命令執行漏洞)和 CVE-2022-21587(評級為 9.8分的嚴重命令執行漏洞)使用Oracle 電子商務套件中的Web 應用程式桌面整合器,藉以來獲得未經授權的存取並部署惡意軟體。另外,魚叉式網路釣魚仍然是 Earth Krahang 的一個重要媒介。為引誘目標執行惡意文件而製作的電子郵件通常使用地緣政治主題來製作,表明誘餌的戰略選擇。Earth Krahang 透過 Outlook 網頁版、漏洞掃描尋找 Web 伺服器漏洞以及注入後門對 Exchange 伺服器進行暴力攻擊。根據趨勢科技的報告,該活動的偵察工作非常徹底,廣泛收集了目標實體的電子郵件地址,以最大限度地擴大其網路釣魚嘗試的範圍。

在獲得初始存取權限後,Earth Krahang 使用各種工具和技術來維持存在並利用受感染的網路。在面向大眾的伺服器上使用 SoftEther VPN 是一種值得注意的策略,可讓威脅行為者深入滲透受害者網路。後脅迫活動包括啟用遠端桌面連線、憑證轉儲以及網路內的橫向移動以存取敏感資訊。

Earth Krahang 工具包包括多個惡意軟體家族,其中Cobalt Strike、RESHELL 和 XDealer 最為突出。 RESHELL(一個簡單的 .NET 後門)和 XDealer(一個更複雜的後門,具有 Windows 和 Linux 的版本)是該活動在目標系統中最初立足的關鍵。XDealer 的演變(透過識別的各種版本證明)表明威脅行為者正在積極開發和自訂。

受害者和歸因

根據研究,該活動針對 23 個國家的約 70 名受害者,主要針對政府組織。目標的廣泛地理分佈突顯了 Earth Krahang 對全球的野心。雖然直接歸因具有挑戰性,但與中國關係威脅組織 Earth Lusca 的聯繫以及與中國公司安洵資訊科技(I-SOON)的潛在聯繫,表明可能有國家級支持的組織在協調行動。Earth Krahang 代表了一種複雜且持續的網路威脅,其重點明顯是政府實體和利用政府基礎設施進行網路間諜活動。該活動獨特的惡意軟體家族和策略顯了對強大網路安全防禦和意識的需求。建議組織,特別是政府部門內的組織,採取嚴格的安全措施,包括定期軟體更新、員工有關社會工程攻擊的教育以及實施多因素身份驗證以降低入侵風險。Earth Krahang 不斷發展的策略和工具要求網路安全策略不斷保持警惕和適應,以保護敏感資訊和基礎設施免受這些高級威脅的影響。

Earth Krahang的部分入侵指標(Indicator of compromise -IOCs):

244c32c4809a5ea72dfd2a53d0c535f17ba3b33e4c3ee6ed229858d687a2563a

35f16e469047cf4ef78f87a616d26ec09e3d6a3d7a51415ea34805549a41dcfa

3f0aa01ed70bc2ab29557521a65476ec2ff2c867315067cc8a5937d63bcbe815

50cdd2397836d33a8dc285ed421d9b7cc69e38ba0421638235206fd466299dab

57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829

6fd7697efc137faf2d3ad5d63ffe4743db70f905a71dbed76207beeeb04732f2

898a7527c065454ba9fad0e36469e12b214f5a3bd40a5ec7fcaf9b75afc34dce

c14f6ac5bcd8645eb80a612a6bf6d58c31b0e28e50be871f278c341ed1fa8c7c

d17fe5bc3042baf219e81cbbf991749dfcd8b6d73cf6506a8228e19910da3578

23[.]106[.]122[.]5

207[.]148[.]69[.]1

45[.]76[.]157[.]92

50[.]7[.]61[.]26

50[.]7[.]61[.]27

50[.]7[.]61[.]28

欲了解更多,請參考:  https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

日產證實勒索軟體攻擊 導致10 萬人的數據外洩

日本汽車製造商日產表示,該公司在去年12月的一次網路攻擊中,導致澳洲和紐西蘭約有10萬名個資料外洩

日產在週三(3/13)公布了對此事件最新的調查細節,表示已經開始通知受害者,其中包括客戶、經銷商以及一些現任和前任員工。該公司表示,受影響的人數可能會減少,“隨著聯繫方式得到驗證並且將把清單中重複名稱刪除。在攻擊期間,攻擊者侵入了該公司的本地IT伺服器並滲取了敏感數據。自那時以來,日產表示一直在與澳洲和紐西蘭政府當局以及外部網路專家合作,審查被破壞的數據並了解受影響個人的影響。

日產聲稱,並非所有人受影響的資料類型都一樣,估計有10%,或約1萬名人的政府發放的ID被外洩。此外,攻擊者還獲得了4000個醫療卡、7500個駕駛執照、220個護照和1300個納稅文件號碼。其餘90%的受害者的其他個人詳細資料受到了影響,包括與貸款相關的交易報表副本,就業或工資資料,或一般資料,如出生日期。此次攻擊影響了日產大洋洲,這是日本汽車製造商的一個區域部門,涵蓋了澳洲和紐西蘭的各種公司活動,包括營銷、銷售、分銷和服務。

個人可識別資料(PII)的曝光對受影響的個人造成了重大風險,因為冒名者可以使用被盜數據中的姓名和駕駛執照號碼進行身份盜竊。日產表示,將為受影響的個人提供信用卡監控和身份保護服務以減輕損失。公司還提供補償替換政府身份證的費用。

“我們知道這對人們來說是困難的消息,我們誠摯地向我們的社區致歉,因為這可能會引起任何擔憂或困擾,”日產表示。

攻擊的肇事者

Akira勒索軟體聯盟聲稱在2023年12月底發動了這次攻擊,將日產張貼在其暗網揭秘網站上,該網站用來展示其最新的受害者。當時Akira表示,他們竊取了日產的100GB數據。

汽車公司和汽車保險提供商的數據通常受到網路罪犯的高度需求,有多個威脅行為者和團體在暗網上洩露被盜數據。11 月初,另一家日本汽車製造商豐田汽車的歐洲和非洲金融服務部門也遭受了網路攻擊。

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

駭客論壇出現宏碁員工資料 宏碁證實其菲律賓子公司員工資料外洩

宏碁稱資安事件影響了員工出勤數據,但並未影響客戶資料庫,宏碁菲律賓公司保證所有客戶資訊均受到保護

Key Points:

*宏碁菲律賓公司證實,負責管理員工出勤資料的第三方供應商系統內發生一起資安事件,導致未經授權存取該資訊。

*宏碁稱此次外洩並未影響宏碁菲律賓公司的客戶資料庫。該公司強調客戶資料仍然安全,並強調考勤系統和客戶資料庫完全分開,並擁有強大的內部系統來保護客戶資訊免受網路安全威脅。

*宏碁菲律賓已向國家隱私委員會 (NPC) 和網路犯罪調查和協調中心 (CICC) 通報了這起外洩事件。目前正在進行全面調查,以充分了解入侵情況。

2024 年3 月12 日,宏碁菲律賓公司出面處理據稱於當天發生的資料外洩事件,在一份官方聲明中,該電腦巨頭承認發生了涉及未具名第三方供應商的安全事件,該事件導致未經授權的存取包含特定員工資訊的資料庫。然而,宏碁很快向客戶保證,他們的資料庫在這次資安事件期間不受到影響。關於宏碁的聲明如下:

宏碁菲律賓公司聲明

碁菲律賓公司確認,其負責管理員工考勤資料的第三方供應商發生了安全事件,導致包含特定員工資訊的資料庫遭到未經授權的存取。

我們想向大家保證,我們的安全檢查確認宏碁菲律賓客戶資料庫沒有遭到破壞或洩露,客戶資料也沒有受到此事件的影響。需要強調的是,第三方供應商運行的考勤資料庫與我們的客戶資料庫完全不同。我們的內部系統保護我們的客戶資料庫,以保護您的資料免受威脅。

我們致力於對委託我們保管的所有資訊實行最嚴格的資料保護。我們已通知國家隱私委員會(NPC)和網路犯罪調查

協調中心(CICC)。徹底的調查正在進行中。

如需準確可靠的更新,請參閱我們的官方溝通管道。如果您有任何疑問或需要進一步說明,我們鼓勵您直接透過我們的官方支援管道聯繫。我們隨時為您提供協助。

感謝您對宏碁菲律賓公司的持續信任。”

Photo Credit: Acer Philippines

在宏碁菲律賓公司發表聲明之前,Deep Web Konek 報告了這一資安事件,聲稱收到了一封詳細說明該事件的電子郵件,據稱此次資料外洩暴露了277 行員工數據,包括姓名、用戶名、密碼、出生日期、手機號碼、電子郵件地址、雇主姓名和部門細節。進一步調查顯示,#OpEDSA是這起資安事件的攻擊者,並解釋說,他們以宏碁菲律賓等大公司為目標,旨在破壞涉及富裕政治家族的政治爭吵以及他們對國家緊迫問題的忽視的現狀。

#OpEDSA稱,他們的動機是來自渴望終結菲律賓精英階層對國家權力的控制,並解釋他們的動機受到了1986年的EDSA菲律賓人民力量革命的啟發。

在過去宏碁也曾發生其他的資安事件,包括: 

— 2023 年3月,名為Kernelware的駭客聲稱持有Acer約160 Gb 的數據,並在暗網兜售
— 2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金。

— 2021 年 10 月 15 日,Desorden Group 的駭客組織的入侵 Acer India的售後服務系統,被盜60 GB的數據

— 2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

中國APT駭客Evasive Panda透過供應鏈、水坑攻擊瞄準印度、台灣、香港、澳洲和美國的藏人

Key Points:

*網路間諜活動利用默朗木祈願大法會(宗教集會)來針對多個國家和地區的藏人。

*攻擊者破壞了在印度舉行的年度節日組織者的網站,並添加了惡意程式碼以針對從特定網路連接的用戶發動水坑攻擊。

*軟體開發人員的供應鏈入侵,導致向使用者提供了 Windows 和 macOS 的木馬安裝程式。

*攻擊者為此行動部署了許多惡意下載程式和全功能後門,其中包括一個未被公開記錄過,名為 Nightdoor 的 Windows後門。

最新研究表明,至少自 2023 年 9 月以來,中國國家級駭客Evasive Panda(也稱為 BRONZE HIGHLAND 和 Daggerfly) 利用了有針對性的水坑策略和涉及藏語翻譯軟體木馬安裝程式的供應鏈入侵。攻擊的最終目標是為 Windows 和 macOS 提供惡意下載程式,這些下載程式會部署一個名為 MgBot 的已知後門以及一個先前未記錄的名為 Nightdoor 的 Windows 植入程式。資全公司 ESET 表示,這些攻擊者是中國政府駭客組織 Evasive Panda 的一部分,其目標是居住在印度、台灣、香港、澳洲和美國的藏人。根據 ESET 研究人員今天(3/8)發布的技術文章,攻擊者策略性地利用重要的宗教集會-默朗木祈願大法會來攻擊與藏傳佛教有關的個人,透過破壞節日組織者的網站,他們精心策劃了一次水坑攻擊,專門針對從特定網路連接的用戶。這種策略涉及向網站注入惡意程式碼,導致訪客無意中下載木馬軟體。

certificate.exe的載入鏈 Photo Credit : ESET

這些安裝程式旨在部署惡意下載程式,進一步促進對受害者系統的滲透。安全研究人員強調了該活動的複雜性,因為 Evasive Panda 至少從 2012 年開始活躍,部署了各種惡意下載程式和後門,其中包括以前未記錄的名為 Nightdoor 的 Windows 後門。最新的網路攻擊涉及噶舉國際祈願信託基金網站(「www.kagyumonlam[.]org」)的策略性網路攻擊。攻擊者在網站中放置了一個腳本,用於驗證潛在受害者的IP 位址,如果它位於目標位址範圍之一內,則會顯示一個虛假錯誤頁面,以誘使用戶下載名為「修復」的證書。ESET研究人員表示。“該文件是一個惡意下載程序,它會部署攻擊鏈的下一階段。IP位址檢查顯示該攻擊專門針對印度、台灣、香港、澳洲和美國的用戶。

這個可執行檔(在 Windows 上名為“certificate.exe”,在 macOS 上名為“certificate.pkg”)充當載入 Nightdoor 植入程式的啟動板,隨後濫用 Google Drive API 進行命令和控制(C2)。

Evasive Panda 利用 2024 年 1 月下旬和 2024 年 2 月在印度舉行的一年一度的噶舉祈願大法會來針對多個國家和地區的藏人社區。此外,該活動也因滲透印度軟體公司的網站(「monlamit[.]com」)和供應鏈以分發藏語翻譯軟體的木馬 Windows 和 macOS 安裝程式而受到關注。ESET進一步表示,除此之外,攻擊者還濫用同一網站和一個名為Tibetpost的西藏新聞網站——tibetpost[.]net——來託管惡意下載獲得的有效負載,其中包括兩個全功能的Windows後門和數量未知的macOS 有效負載後門。木馬化的 Windows 安裝程式會觸發複雜的多階段攻擊序列,以釋放 MgBot 或 Nightdoor。該後門具有收集系統資訊、已安裝應用程式清單和正在運行的進程的功能;產生反向 shell,執行檔案操作,並從受感染的系統中卸載自身。

ESET 總結表示,攻擊者部署了多個下載器、植入程式和後門,包括MgBot(Evasive Panda 專用)和Nightdoor:該組織工具包的最新主要新增內容,已用於針對東亞的多個網路。  透過利用網路基礎設施和軟體供應鏈中的漏洞,攻擊者旨在滲透網路並危害目標的個人。該攻擊活動的時間恰逢祈願大法會,顯示他們採取策略性行動,利用這段時期的增加線上攻擊活動。Evasive Panda 自 2012 年以來一直在運營,針對緬甸、菲律賓、台灣和越南的政府實體實施了數十起符合中國地緣政治利益的攻擊。ESET表示,自 2020 年以來, Evasive Panda 多次劫持合法軟體的更新進程,以此作為傳播惡意軟體的方式。

Evasive Panda的部分攻擊目標網路:

Evasive Panda的部分入侵指標(Indicator of compromise -IOCs):

0A88C3B4709287F70CA2549A29353A804681CA78

1C7DF9B0023FB97000B71C7917556036A48657C5

F0F8F60429E3316C463F397E8E29E1CB2D925FC2

7A3FC280F79578414D71D70609FBDB49EC6AD648

70B743E60F952A1238A469F529E89B0EB71B5EF7

FA44028115912C95B5EFB43218F3C7237D5C349F

5273B45C5EABE64EDBD0B79F5D1B31E2E8582324

5E5274C7D931C1165AA592CDC3BFCEB4649F1FF7

欲了解更多,請參考:

https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/

美國NSA推進零信任成熟度 以遏制網路入侵並防止駭客橫向移動

零信任架構的七大支柱 Photo Credit: NSA

3月6日,美國國家安全局(National Security Agency, NSA)分享新的指導方針,以幫助組織通過採用零信任框架原則來限制駭客在內部網路上的移動。零信任安全架構要求對網路上的資源進行嚴格控制,無論是在物理邊界內還是外部,以減少遭到入侵的影響。相較於傳統的IT安全模式,零信任是一套安全模型,在這套模型中,不能直接信任任何裝置、使用者或網路區段,而是應將其視為潛在威脅。該設計假設存在威脅,並不允許威脅在網路內自由活動。透過處理駭客可能利用的各種組件或支柱,逐步推進零信任成熟度。美國國家安全局今天釋出了有關網路和環境組件的零信任指南,該組件包括所有硬體和軟體資產、非人實體以及互通協定。零信任模型透過資料流程圖、宏觀和微分割以及軟體定義網路提供全面的網路安全。對於每個組件,組織必須達到特定的成熟度水平,以便按照零信任原則繼續建立。

美國國家安全局稱,網路和環境通過定義網路訪問、控制網路和數據流、分割應用程式和工作負載,以及使用端對端加密,將關鍵資源與未經授權的訪問隔離。

資料流程圖始於識別數據的存儲和處理位置和方式。在這種情況下,組織具有完整的庫存和流程的可見性,並能夠防範所有當前、新的或異常的路徑,則達到了先進的成熟度。

通過宏觀分割(Macro-Segmentation),組織可以通過為每個部門的使用者創建網路區域,限制網路上的橫向移動。

例如,會計部門的某人除非明確需要,否則不需要訪問專用於人力資源的網路段,因此對於駭客而言,攻擊面是受限的。

透過微分割 (Micro-Segmentation),將網路管理細分為較小的組件,並實施嚴格的存取政策以限制橫向資料流動。

美國國家安全局進一步解釋,微分割涉及將使用者、應用程式或工作流程隔離到個別的網路段,以進一步減少攻擊面並在發生入侵時限制影響。

透過軟體定義網路(SDN)組件,可以更細緻地控制微分割,提供可自訂的安全監控和警報。

SDN允許從中央控制中心控制封包路由,提供對網路的更佳可見性,並允許強制執行所有網路段的政策。

在零信任架構的網路和環境支柱中的每個組件,美國國家安全局描述了從準備階段到高級階段的四個成熟度水平,其中實施了廣泛的控制和管理系統,以實現最佳的可見性、監控並確保網路的成長。

設計和建立零信任環境是一項複雜的任務,需要系統性地經歷成熟階段。若處理得當,結果將是一個企業架構,可以抵抗、識別並應對試圖利用弱點的威脅。

此前,美國國家安全局於2021年2月發布了零信任框架的第一個指南(擁抱零信任安全模型 Embracing Zero Trust Security Model),該指南描述了該模型及其背後原則的優勢。在2023年4月,該機構發布了有關在零信任框架中達到使用者組件成熟度的指南,通過用戶支柱推進零信任成熟度。

欲了解更多,請參考:

https://media.defense.gov/2024/Mar/05/2003405462/-1/-1/0/CSI-ZERO-TRUST-NETWORK-ENVIRONMENT-PILLAR.PDF

五眼聯盟揭露 APT29 不斷演變的雲端策略

敦促網路防禦者實施強而有力的安全措施,以有效應對這些不斷演變的網路威脅

由美國、英國、加拿大、澳洲及紐西蘭五國情報機構組成的國際情報分享聯盟「五眼聯盟」對APT29(也稱為 Midnight Blizzard、Cloaked Ursa 、The Dukes 或 Cozy Bear)採用的新作案手法發出了警報,APT29 是一個被認定是俄羅斯聯邦對外情報局服務(Russian Foreign Intelligence Service,SVR)轄下的部門。在三年多前精心策劃的 SolarWinds 供應鏈攻擊,入侵多個美國政府機構而聞名。近幾個月來因針對微軟、慧與科技(HPE) 和其他組織以進一步實現其戰略目標而再次引起高度關注。APT29 以政府、智庫、醫療保健組織和能源部門為目標而聞名,但現在已將其目標擴大到包括航空、教育、執法、地方和國務院、政府財務部門和軍事組織。

根據五眼聯盟的聯合諮詢,警告稱APT29 現在已將其策略轉向針對受害者的雲端服務,並正在適應現代 IT 環境,特別是基於雲端的基礎設施的廣泛採用。APT29 現在不再利用本地網路中的軟體漏洞,而是直接針對雲端服務本身進行攻擊。“隨著組織不斷對其系統進行現代化改造並轉向基於雲端的基礎設施,APT29已經適應了操作環境中的這些變化。”

該通報警告還說,APT29 使用透過暴力或密碼噴灑(Password Spraying)的方式進行攻擊從而來獲得服務帳戶和屬於受害者組織前員工的帳戶來存取雲端環境。一旦進入內部,他們就會使用 MagicWeb 惡意軟體等複雜工具偽裝成合法用戶,阻礙偵測工作。

為了應對這些不斷演變的威脅,五眼聯盟敦促網路防禦者實施強而有力的安全措施。其中包括啟用多重身份驗證 (MFA) 和強制執行強密碼、遵守最小權限原則以及及時刪除未使用或休眠的帳戶。此外,對入侵跡象保持警惕並監控可疑活動是阻止 APT29 進展的關鍵步驟。透過採用這些建議,組織可以加強對 APT29 基於雲端的入侵的防禦,並降低未來被入侵的風險。

這些機構總結了一些最佳實踐,以幫助組織免受這些威脅行為者的侵害:

*啟用多重身份驗證 (MFA)

*使用強且唯一的密碼,尤其是對於無法使用兩步驟驗證 (2SV) 的帳戶

*實施系統和服務帳戶的最小權限原則

*建立金絲雀部署服務帳戶以更快地偵測洩露

*調整系統發行token的有效期限

*僅允許授權設備進行設備註冊

*使用各種資訊來源預防、偵測和調查異常行為

NIST發布標誌性網路安全框架 2.0 版

新的指南擴充了該框架,納入關鍵基礎設施以外的組織;還包含應對治理和供應鏈網路安全

Photo Credit: Nist

Key Points:

  • NIST 的網路安全框架 (CSF) 現在明確旨在幫助所有組織(而不僅僅是關鍵基礎設施中的組織,即其最初的目標受眾)管理和降低風險。
  • NIST 更新了 CSF 的核心指南,並建立了一套資源來幫助所有組織實現其網路安全目標,並更加重視治理和供應鏈。
  • 此次更新是多年討論和公眾意見過程的結果,旨在使該框架更加有效。
Photo Credit: Nist

經過幾年的審議,美國國家標準與技術研究所 (NIST) 發布了網路安全框架 2.0 (Cybersecurity Framework 2.0—CSF 2.0)。新框架建立在其長期存在以降低網路風險的建議基礎上,除了最初關注關鍵基礎設施之外,還納入了其他組織關注的問題。

NIST 在 2014 年根據美國總統行政命令發布了第一個 CSF,以幫助組織(特別是關鍵基礎設施)降低網路安全風險。CSF 2.0 基於現有的五個基本功能識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)的構建,並已更新包括第六個功能:治理(Governance)。這些功能提供了管理網路安全風險的生命週期的全視圖,同時NIST 的 CSF 2.0 也解決了供應鏈風險。

NIST 應用網路安全部門負責人 Kevin Stine 在聲明中表示:“此次更新是透過與利益相關者密切合作開發的,反映了最新的網路安全挑戰和管理實踐,旨在使該框架與美國和國外更廣泛的用戶更加相關。” 

CSF 2.0 由六大功能組成:治理、識別、保護、偵測、回應 復原。 此外該框架還包括以下內容:

CSF Core —高階網路安全成果的分類,可以幫助任何組織管理其網路安全風險。這可以在 CSF 2.0 的附錄 A 中找到(並且可以透過 CSF 2.0 參考工具瀏覽核心)。

CSF 組織概況— 一種根據 CSF 核心結果描述組織當前和/或目標網路安全態勢的機制。

CSF 層級— 一種可應用於 CSF 組織概況的方法,用於表徵組織網路安全風險管理實務的嚴格性。 

CSF在國際上已廣泛應用;1.1 和 1.0 版本已翻譯成 13 種語言,NIST 預計 CSF 2.0 也將由世界各地志工翻譯。這些翻譯將被添加到 NIST 不斷擴大的 CSF 資源組合中。在過去 11 年中,NIST 與國際標準化組織 (ISO) 以及國際電工委員會 (IEC) 的合作協助協調了多個網路安全文件。ISO/IEC 資源現在允許組織使用 CSF 功能建立網路安全框架並組織控制。NIST 計劃繼續與 ISO/IEC 合作,以繼續這種國際協調

了解更多關於CSF 2.0以及其他補充資源:

CSF 2.0

瀏覽 NIST 的 CSF 2.0 快速入門指南

CSF 2.0 設定文件

CSF 2.0資訊參考

中國APT駭客Mustang Panda 憑藉新的PlugX變種DOPLUGS 瞄準亞洲

中國國家級駭客組織 Mustang Panda 利用名為 DOPLUGS 的 PlugX後門變種針對多個亞洲國家,PlugX 是Mustang Panda的主要工具,該工具也被追蹤為 BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416 和 TEMP.Hex。據了解,它至少從 2012 年就開始活躍,儘管它是在 2017 年首次曝光的。

根據Trend Micro研究人員Sunny Lu 和 Pierre Lee在報告中表示,他們發現了與中國的APT組織Mustang Panda發起的網路間諜活動,目標是台灣、越南和馬來西亞等亞洲國家。Mustang Panda 至少從 2012 年就開始活躍,其目標是 美國 和 歐洲的實體,例如政府組織、智庫、 非政府組織,甚至梵蒂岡的天主教組織。過去的活動主要集中在亞洲國家,包括台灣、香港、蒙古、西藏和緬甸。在 2022 年的活動中,駭客利用歐盟關於烏克蘭衝突的報告和烏克蘭政府報告作為誘餌。開啟報告後,感染過程開始導致惡意軟體在受害者的系統上部署。在最近的活動中,駭客者使用了客製化的 PlugX 惡意軟體,其中包含完整的後門命令模組,研究人員將其命名為 DOPLUGS。

「這種客製化的 PlugX 惡意軟體自 2022 年以來一直很活躍,  Secureworks、  Recorded Future、  Check Point和 Lab52發布了相關研究報告。在分析過程中,我們觀察到該客製化的PlugX惡意軟體與 包含完整後門命令模組的普通 PlugX惡意軟體不同,前者僅用於下載後者。”Trend Micro發布的報告中寫道。 “由於其功能不同,我們決定給這款定制的 PlugX 惡意軟體一個新名稱DOPLUGS。”

包含台灣城市更新計畫訊息的網路釣魚電子郵件的螢幕截圖 Photo Credit : Trend Micro

DOPLUGS 充當下載器並支援四個後門命令。其中一個指令允許惡意軟​​體下載 PlugX 惡意軟體的通用版本。DOPLUGS的目標主要位於台灣和越南,其次是香港、印度、日本、馬來西亞、蒙古,甚至中國。

DOPLUGS 的感染流程 Photo Credit: Trend Micro

攻擊鏈利用一組不同的策略,使用網路釣魚訊息作為管道來傳遞第一階段的有效負載,在向收件人顯示誘餌文件的同時,秘密地解壓一個容易受到DLL 側面加載攻擊的合法、簽署的可執行檔,以便旁加載動態連結庫 (DLL),該動態連結庫反過來解密並執行 PlugX。PlugX 惡意軟體隨後獲得Poison Ivy遠端存取木馬 (RAT) 或 Cobalt Strike Beacon,以與 Mustang Panda 控制的伺服器建立連線。

2023 年 12 月,Lab52 發現了一場針對台灣政治、外交和政府實體的 Mustang Panda 活動,該活動使用 DOPLUGS,但有顯著差異。Lab52表示: “惡意 DLL 是用 Nim 程式語言編寫的。 ” “這個新變種使用自己的 RC4 演算法實現來解密 PlugX,這與使用 Windows Cryptsp.dll 庫的先前版本不同。”DOPLUGS於 2022 年 9 月首次由 Secureworks 記錄,是一個具有四個後門命令的下載程序,其中一個命令用於下載一般類型的 PlugX 惡意軟體。另外值得注意的是,Avira 早在 2020 年 1 月就發現了一個包含 KillSomeOne 模組並設計用於透過 USB 傳播的客製化 PlugX 變種,這是針對香港和越南的攻擊的一部分。

惡意軟體分析揭示了支援 USB 蠕蟲功能的 KillSomeOne 模組的使用。 KillSomeOne 於 2020 年 11 月由Sophos 報告首次揭露  。發現威脅行為者利用與時事相關的文件作為誘餌,例如 2024 年 1 月舉行的台灣總統選舉,進行魚叉式網路釣魚攻擊。

DOPLUGS 樣本包含KillSomeOne模組,並使用啟動器元件來執行合法的可執行檔以執行 DLL 側面載入。啟動器也會從遠端伺服器下載下一階段惡意軟體。

根據研究人員的表示,Mustang Panda主要針對世界各地的政府實體,特別是亞太地區和歐洲的政府實體,並在報告總結中道, “根據我們的觀察,我們認為Mustang Panda傾向於在攻擊中使用網路釣魚電子郵件和中嵌入Google Drive 連結。”

DOPLUGS的部分入侵指標(Indicator of compromise -IOCs):

IPv4 185.82.216.184      

IPv4 149.104.12.64

IPv4 154.204.27.181      

FileHash-MD5 317705ca7476ac9a754b80fded717f6b         

FileHash-MD5 5f39a964af306f40536aa6ac57b66758          

FileHash-MD5 8ff41ca8ff54542f43ad9648ad4f3286            

FileHash-MD5 bf344f46cebb452570a1485c2c251970                 

FileHash-MD5 eb941fbca579d3c0966de86b904fc298         

FileHash-SHA1 3ae7c3d9fb506ea8693e61e168862a51a0070f33

LockBit勒索軟體遭瓦解,兩名駭客被捕 執法機構釋出LockBit3.0解密工具

被接管的LockBit暗網煥然一新

Key Points:

*2/20由執法合作夥伴組成的國際組織表示,中斷了LockBit 勒索軟體的運作,奪取了近代史上最多產的勒索軟體組織的基礎設施。

*美國司法部與英國當局和其他國際執法機構合作,對兩名俄羅斯公民 Artur Sungatov 和 Ivan Kondratyev 提出起訴,指控他們針對美國眾多公司和世界各地目標部署了LockBit。

*FBI 和英國國家犯罪局與多個合作夥伴合作,也查獲了 LockBit 使用的眾多面向公眾的網站和伺服器。當局獲得了解密金鑰,這將使數百個受害組織能夠重新獲得被盜的資料。

*LockBit客製化的資料外洩工具StealBit的基礎設施已被三個國家的當局扣押

國際執法機構週二(2/20)宣布擾亂並搗毀 LockBit,歐洲刑警組織稱其為「世界上最大的勒索軟體操作」。由英國國家犯罪局 (NCA) 領導的國際執法機構聯盟,作為克諾司行動(Cronos Operation)的一部分,摧毀了 LockBit 的基礎設施,這是一項為期數月的努力,旨在制止勒索軟體即服務(RaaS)的活動,以消除其犯罪行為。該機構在聲明中表示:“今天,在滲透到該組織的網路後,NCA 已經控制了 LockBit 的服務,從而搗毀了他們的整個犯罪事業。 ” 除了破壞行動之外,歐洲刑警組織還採取了其他協調行動,包括週二上午在波蘭和烏克蘭逮捕了兩名 LockBit 成員,並凍結了與該組織有關的 200 多個加密貨幣帳號。

歐洲刑警組織稱,這次行動逮捕了兩人,凍結了 200 多個加密貨幣帳號,控制及關閉了34台伺服器,並刪除了 14,000 個流氓帳號。此外,執法機構表示「允許 LockBit 服務所有要素運作的技術基礎設施」和洩密網站已被接管。目前,尚不清楚被扣押的 200 個錢包中儲存了多少加密貨幣。然而,支付贖金的受害者現在可能可以收回部分勒索軟體付款,就像聯邦調查局之前為殖民地管道(Colonial Pipeline)所做的那樣。

「目前,執法部門掌握了整個調查過程中收集的大量數據。這些數據將用於支持正在進行的國際行動活動,重點是該組織的領導人,以及與這些犯罪活動有關的開發商、附屬會員、基礎設施和犯罪資產,」歐洲刑警組織表示。

兩名駭客分別是Artur Sungatov 和Ivan Kondratyev(也稱為Bassterlord)於波蘭和烏克蘭被捕。此外,法國和美國當局還發出了三份國際逮捕令和五份起訴書。 美國表示,已對兩名涉嫌與 LockBit 勒索軟體有關聯的人提出指控,他們已被拘留並等待引渡,並公佈了對兩名被指控密謀發動網路攻擊的俄羅斯國民的起訴書。NCA在自己的新聞稿中表示,已經控制了LockBit使附屬

會員能夠建立和部署攻擊主要的管理環境。」「透過我們的密切合作,我們已經攻擊了駭客; NCA 總幹事 Graeme Biggar 表示:“控制了他們的基礎設施,奪取了他們的源代碼,並獲得了幫助受害者解密系統的密鑰。”

「截至今天,LockBit已被鎖定。我們損害了這個依賴保密和匿名的組織的能力,尤其是其可信度。」Biggar補充道。 “我們的工作並不止於此。 LockBit 可能會尋求重建他們的犯罪企業。然而,我們知道他們是誰,以及他們如何運作。” 據EurojustDoJ 稱,LockBit 攻擊據信影響了全球 2,500 多名受害者,並賺取了超過 1.2 億美元的非法利潤。作為克諾司行動的一部分,執法部門還 從被扣押的 LockBit 伺服器中獲得了1,000 多個解密金鑰。使用這些解密金鑰,將使受害組織能夠恢復被加密的資料。此外,日本警方、NCA 和聯邦調查局 (FBI) 在歐洲刑警組織的支持下開發了 LockBit 3.0勒索軟體解密工具,並已在No More Ransom平台釋出,將使受害組織能夠恢復被加密的資料。根據NCA,在接下來的2到3天裡,將會有許多消息披露,但最誘人的是 LockBit 的領導人兼發言人 LockBitSupp面紗即將被揭開。

網路和惡意軟體研究安全團隊Vx-Underground在 X上稱,執法行動似乎針對的是“每個已知的Lockbit 勒索軟體網站”,至少有22 個Tor 網站處於離線狀態或顯示扣押訊息。 Vx-Underground 聲稱已獲得 LockBit 管理人員被攻陷的確認,網路犯罪分子聲稱執法部門利用了追蹤為CVE-2023-3824 的PHP遠端程式碼執行漏洞來控制其系統。 然而,駭客聲稱只有使用 PHP 的伺服器受到 FBI 的攻擊,但不使用 PHP 的備份伺服器據稱並未受到影響。現在當LockBit附屬會員登入勒索軟體儀表板時,會收到一條消息,通知他們LockBit平台已受到執法部門的控制,調查人員已獲得原始碼、受害者資料、勒索的金額、所竊取的資料,以及聊天紀錄等。

俄羅斯公民Mikhail Matveev,據稱是目前駐紮在俄羅斯的LockBit活躍分子

LockBit是「勒索軟體即服務」模式的先驅,將目標選擇和攻擊外包給半獨立「附屬會員」,為他們提供工具和基礎設施,並收取贖金佣金作為回報。許多勒索軟體駭客位於俄羅斯,該國網路犯罪活動猖獗,而且不引渡本國公民,這讓受害者居住國當局感到沮喪。美國司法部對俄羅斯國民 Artur Sungatov 和 Ivan Kondratyev 提出了起訴書(首次公開點名),並表示一名在逃的俄羅斯網路犯罪嫌疑人 Mikhail Matveev 也參與了 Lockbit。去年,美國國務院懸賞1000 萬美元尋找導致他被捕的資訊。由於這些核心嫌疑人似乎仍然可以在俄羅斯自由活動,因此毫無疑問他們可以重建 LockBit的帝國,然而這次行動的內容削弱了駭客對犯罪生態系統的信任。

更多的資訊,請參考NCA新聞稿和影片; 以及美國司法部長 Merrick Garland YouTube 影片

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”