blogadmin - 竣盟科技

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

Posted on 2022 年 8 月 2 日2022 年 8 月 3 日 by blogadmin

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標，該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示， LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程式DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵，一旦運行惡意 DLL 以解密系統，就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下，最初的網路入侵是通過未修補的 VMWare Horizon 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同，攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案，以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式，它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時，MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL，該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中，攻擊者建立了自己的mpclient.dll武器化版本，並將其放置在優先載入惡意版本 DLL 檔案的位置，再將從 c0000015.log 檔案（加密的Beacon）載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon，但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍；因此，企業需檢查他們的安全控制，並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

專家在技嘉和華碩 主機板UEFI韌體上發現名為「CosmicStrand」的惡意程式

Posted on 2022 年 7 月 29 日2023 年 2 月 13 日 by blogadmin

資安公司Kaspersky(卡巴斯基)的安全威脅研究團隊在 UEFI 韌體發現了一個名為“CosmicStrand”的rootkit惡意程式，卡巴斯基將其歸咎於會講中文的駭客。UEFI (Unified Extensible Firmware Interface) 即統一可延伸韌體介面，用來定義作業系統與系統韌體之間的軟體介面，作為BIOS的替代方案，負責啟動裝置，再將控制權交給載入作業系統的軟體，通常存放在主機板的快閃記憶體中。CosmicStrand 是在受感染的華碩（ASUS）和技嘉（Gigabyte）UEFI韌體中發現的 rootkit惡意程式，就算重新安裝Windows或換掉硬碟都無法刪除CosmicStrand，目前尚不清楚攻擊者如何將 rootkit 注入韌體image中。

Kaspersky研究人員在報告中表示，注意到所有這些image都與使用英特爾(Intel)的H81晶片組的設計有關，這表明可能存在一個漏洞，允許攻擊者將他們的 rootkit 注入UEFI韌體的image中。

據稱，確認的受害者是位於中國、越南、伊朗和俄羅斯的個人，與任何重要組織沒有明顯的關聯，Rootkit 是一種能夠將自身嵌入操作系統最深層的惡意軟體植入物，為攻擊者提供了長時間的隱身和持久性。

CosmicStrand 是一個只有 96.84KB 的檔案，儘管感染的初始存取向量有些神秘，但攻擊後的操作涉及對名為 CSMCORE DXE 的驅動程式進行更改，以將程式碼執行重定向到攻擊者控制的網段，該網段旨在系統啟動期間運行，最終導致在 Windows 中部署惡意軟體。攻擊的目標是篡改操作系統載入過程，在每次啟動時將內核級植入程式部署到 Windows 機器中，並使用這種根深蒂固的存取權限來啟動連接到遠程伺服器的 shellcode 以獲取要在系統上執行的實際惡意酬載。

雖然卡巴斯基發現的 CosmicStrand 變種是較新的，但奇虎 360 的研究人員在 2017 年披露了有關該惡意軟體早期版本的細節，認為這種惡意程式是2016-17 年就已經存在的Spy Shadow 特洛伊木馬的變種。根據奇虎 360的報告，受感染的系統運行在所有者從在線上購買的二手華碩主機板上，提出了程式碼修改可能是從二手經銷商處獲得存在後門的主機板的可能性。

另外，卡巴斯基發現CosmicStrand發現與早期的殭屍網路“MyKings” 的程式碼模式存在許多相似之處。My Kings起源於中國，因此卡巴斯基認為新的 CosmicStrand rootkit 也源於中國。

CosmicStrand惡意程式的部分入侵指標(Indicator of compromise -IOCs):

Hostname:

www.erda158.top

update.bokts.com

SHA 256:

951f74882c1873bfe56e0bff225e3cd5d8964af4f7334182bc1bf0ec9e987a0a

25969ab58383a5fdc53e9861a25c3ed90813e4e5fcc9d8a99df5e9f74b427474

SHA1:

ecbbded5b85f61686377f7592dacb25c264e9908

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit勒索軟體集團聲稱入侵了意大利稅務局，並竊取了100MB數據!

Posted on 2022 年 7 月 27 日2023 年 2 月 13 日 by blogadmin

7月 25日，LockBit勒索軟體集團聲稱從意大利稅務局(Agenzia delle Entrate)竊取了 100GB 的數據，並威脅說如果在 8 月 1 日之前不支付贖金，就會洩露這些數據。在一份簡短的新聞稿中，意大利稅務局表示，已要求負責管理稅務局IT 基礎設施的國有公司 SOGEI (Società Generale d’Informatica) SPA調查這起宣稱入侵事件並提供反饋和澄清。SOGEI SPA隨後在一份聲明中告訴彭博社，稱從進行的技術調查來看，排除了對稅務局網站的網路攻擊可能性，也沒有發現有數據從金融管理部門的技術平台和基礎設施中的洩露跡象，並補充說正在與意大利國家網路安全局和警方合作，以持繼進行的調查，因此無法提供進一步的細節。

然而，LockBit提供了8張截圖作為攻擊的證明，聲稱從稅務局竊取了包括公司檔案、掃描檔案、財務報告和合約等資料。SOGEI SPA(即意大利通用電腦協會)還負責管理其他意大利機構使用的 IT 基礎設施，包括司法部、內政部和教育部、州檢察長和財政部。

根據資安供應商 Digital Shadows 的數據，LockBit是第二季度最活躍的勒索軟體組織，佔勒索軟體攻擊事件的 32.77%，有 231 名受害者。LockBit 的受害者人數是其他勒索軟體的三倍多，Conti勒索軟體則位居第二。

LockBit勒索軟體自2019 年以來一直活躍，今年 6月底發布了最新版本的LockBit 3.0，一個關鍵的變化是引入了漏洞賞金計劃，LockBit向發現其勒索軟體的漏洞，可以改善其網站或使用工具的建議人士提供 1,000 到 100 萬美元的獎賞。

LockBit 3.0 勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

SHA 256:

506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51

d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e

80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國網路司令部 (USCYBERCOM) 發布了，最近針對烏克蘭攻擊中發現的惡意軟體相關的入侵指標!

Posted on 2022 年 7 月 22 日2023 年 2 月 13 日 by blogadmin

美國網路司令部(USCYBERCOM)周三(7/20)披露了數十種形式的惡意軟體，這些惡意軟體已被用於攻擊烏克蘭的網路，其中包括 20 個前所未見的惡意程式樣本。惡意軟體樣本是由烏克蘭安全局在該國的各種受感染網路上發現的，據信，自 2022 年 2 月俄羅斯入侵開始之前，網路活動就有所增加。

美國網路司令部指出，此次披露的入侵指標(Indicator of compromise -IOCs)是他們和其他美國機構定期努力的一部分，旨在突出俄羅斯、中國、伊朗和北韓等攻擊者用來削弱烏克蘭網路的駭客工具並旨在加強集體的網路安全，繼續在網路安全方面建立強有而力的伙伴關係。

美國網路司令部進一步解釋入侵指標的重要性，由於入侵指標是主機系統或網路被入侵的證據，能充當潛在漏洞的網路防禦者的數位取證，通過IOCs使用戶能夠在該主機系統或網路中搜索和識別惡意軟體。

根據 Mandiant的說法，烏克蘭的公共和私人實體都成為了幾個網路間諜組織的目標，這些組織使用網路釣魚和誘餌，並在入侵中使用的惡意軟體支援多種操作，而這些組織此前曾進行過間諜活動、假訊息操作和破壞性攻擊等。

一個針對烏克蘭的駭客組織是 UNC1151，與白俄羅斯情報部門有關連，並為Ghostwriter 的假訊息活動提供技術支援。UNC1151 一直針對烏克蘭、拉脫維亞、立陶宛、德國和波蘭的政府和媒體實體，自 2 月 24 日俄烏戰爭爆發以來，UNC1151 一直積極針對烏克蘭。據觀察，該網路間諜組織使用了 Cobalt Strike Beacon(一個具有檔案傳輸和shell 命令執行功能 )和 Microbackdoor (可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。

另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589，研究人員認為，該組織是 1 月份部署了WhisperGate 惡意軟體，對烏克蘭實體破壞性攻擊的幕後黑手。WhisperGate 被用於一系列入侵，影響了至少 70 個屬於烏克蘭政府的網站網域。在過去的幾個月中，還觀察到該駭客組織針對北美和歐洲的北約成員國。UNC2589 擅長網路釣魚，利用例如 Covid-19、政府相關誘餌、烏克蘭戰爭等主題來部署惡意軟體–Grimplant（一種基於 Go 的後門，用於執行系統監視和命令執行）和 Graphsteel (一種開源的滲透工具，可以從目標系統中收集各種類型的資料。)

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

泰國民主活動人士被間諜軟體監控，幕後黑手指向以色列Pegasus「飛馬」間諜程式!

Posted on 2022 年 7 月 20 日2023 年 2 月 13 日 by blogadmin

加拿大的公民實驗室（Citizen Lab）最新的研究報告披露，泰國民運人士的手機成為備受爭議的以色列間諜軟體飛馬(Pegasus) 的入侵目標。據信，入侵發生在2020年10月至2021年11月在期間，至少有 30 人成為攻擊目標，其中包括活動人士、學者、律師和非政府組織工作人員，其中許多人此前曾因從事政治活動或批評政府而被拘留、逮捕和監禁。

泰國人權組織 iLaw、東南亞互聯網監管機構 Digital Reach 和位於多倫多的 Citizen Lab 展開調查，這是 Pegasus 間諜軟體首次被用於針對泰國公民，此前蘋果公司 11 月發布了大規模警報，通知包括泰國在內的數千名 iPhone 用戶，他們是國家級駭客攻擊者的目標。這些攻擊需要利用兩個零點擊(zero-click)漏洞攻擊程式——KISMET和FORCEDENTRY——來入侵受害者的手機並部署飛馬 (Pegasus)，飛馬是以色列駭客公司NSO Group所開發的間諜程式，一種能夠攔截電話和短訊以及收集存儲在手機中的其他訊息的間諜軟體，同時，它也還可以將被入侵的手機用作為一個遠端監聽設備。攻擊者被授予對電話的完全控制權。它可以存取所有數據——照片、影音、短訊和通話記錄——還可以在主人不知情的情況下打開手機的攝像頭和麥克風，實時觀察周圍環境。

駭客利用KISMET 漏洞，能在目標用戶的iPhone並在用戶不知情的情況下開始上傳大量數據，有時總計達數百兆字節。上傳的數據可包括麥克風錄製的環境音頻、加密電話內容、攝像頭拍攝的照片、設備的位置以及可能存儲的任何密碼或帳戶憑證。另外，FORCEDENTRY漏洞是一種相當精密的威脅，能夠繞過 Apple 的 BlastDoor 沙箱保護機制，駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要與使用者互動。

KISMET漏洞針對沒有升級的 iPhone，最早的攻擊案例發生在 2020 年 10 月，然而，從 2021 年 2 月開始，駭客針對運行 iOS 版本 14.4、14.6 和 14.7.1 的 Apple 設備則部署FORCEDENTRY 漏洞。值得指出的是，Apple 在 iOS 14 中修補了 KISMET漏洞，也於 2021 年 9 月在iOS 14.8修補了FORCEDENTRY漏洞。

Citizen Lab這份研究報告沒有明確指名，誰是使用這款間諜軟體的幕後黑手，但它指出，以色列駭客公司NSO Group表示，他們只向政府出售這項技術。

有關Pegasus間諜軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domains:

thainews.asia

stayallalone.com

breakingnewsasia.com

IPv4:

69.28.93.2

200.7.111.156

103.199.16.12

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

專家警告，Qakbot 的惡意操作不斷發展，改進攻擊鏈，逃避檢測!

Posted on 2022 年 7 月 15 日2023 年 2 月 13 日 by blogadmin

Qakbot也稱為 QBot、QuackBot 和 Pinkslipbot，是一種自 2008 年以來一直活躍的資料竊取惡意軟體。根據資安公司Sophos ，Qakbot 是一種模組化且多用途的殭屍網路，它透過電子郵件傳播，可扮演成惡意軟體的傳遞網路，因此越來越受到駭客歡迎，以此投遞Trickbot 和 Emotet。與Qakbot惡意軟體有關的惡意網路的活動在上半年達到了高峰，根據Zscaler的資安研究人員發現，惡意軟體Qakbot背後的駭客正在改變他們的傳遞向量，試圖迴避檢測。

自2008 年以來，Qakbot一直是一個反復出現的威脅，從最初的銀行木馬演變為更複雜和模組化的資料竊取程式，能夠部署勒索軟體等下一階段的有效payloads。

2022年初，Qakbot通過惡意 Microsoft Office檔案中的 XLM 4.0 宏傳遞惡意軟體，這些檔案通過網路釣魚電子郵件傳遞，這些電子郵件通常包含用於財務和業務運營的關鍵字，試圖誘使用戶打開和執行它們。然而，在過去的幾個月裡，Qakbot 轉而選擇使用快捷方式 LNK 檔案作為惡意軟體的傳遞方式。這些最新的 LNK 有效payloads在執行 Qakbot DLL 的過程中也發生了變化，專家們還觀察到Qakbot會使用 PowerShell 下載惡意程式，並從 regsvr32.exe 切換到 rundlll32.exe 以載入惡意payloads試圖逃避檢測。

這些不同的方法是 Qakbot發展的一個明顯指標，它不僅可以規避防毒軟體偵測和防禦，還可以適應基礎設施中發生的重大變化。此外，Zscaler研究人員表示 Qakbot 惡意軟體的操作者採用了程式碼混淆技術和新的攻擊鏈層，以及利用各種 URL 和副檔名（例如， .OCX、.ooccxx、.dat或 .gyp）進行投遞有效payloads，以更有效地隱藏其操作。

面對傳統的基於特徵碼的檢測，Qakbot 的模組化設計和彈性使其成為許多駭客組織的理想首選。

有關Qakbot的”部分”入侵指標(Indicator of compromise -IOCs):

Payload URLs:

anukulvivah.comnobeltech[.]com.pk

griffinsinternationalschool.intierrasdecuyo[.]com.ar

tajir[.]comdocumentostelsen[.]com

Hashes

XLSB:

58F76FA1C0147D4142BFE543585B583F

LNK:

54A10B41A7B12233D0C9EACD11036954

Qakbot:

529FB9186FA6E45FD4B7D2798C7C553C

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本遊戲大廠Bandai Namco(萬代南夢宮)疑遭駭，傳出幕後的黑手是它–BlackCat勒索軟體

Posted on 2022 年 7 月 13 日2023 年 2 月 13 日 by blogadmin

萬代南夢宮(Bandai Namco)是日本的大型電玩、手機與家用電子遊戲發行商，旗下擁有多款熱門遊戲的 IP與發行權，包含《艾爾登法環》、《航海王》、《火影忍者》、《七龍珠》等。近年來，大型電玩遊戲大廠遭網路攻擊變得普遍，在 2020 年卡普空(Capcom)遭 Ranger Locker勒索軟體加密，被盜1TB 數據、法國電玩商Ubisoft(育碧)和德國Crytek遭 Egregor勒索軟體攻擊、日本特庫摩(Koei Tecmo) 遭駭，駭客將盜來的數據免費釋出。隨後在2021 年 CD Projekt Red 遭駭客攻擊，內部數據流至網上；同年美商藝電（EA）也遭到攻擊，780GB的遊戲原始碼及除錯工具被竊取等資安事件。

目前萬代南夢宮似乎是BlackCat勒索軟體的最新受害者，根據追踪惡意軟體的資安團隊vx-underground，勒索軟體集團BlackCat(也稱為ALPHV )已宣稱成功入侵遊戲發行商Bandai Namco。然而，BlackCat還沒釋出任何被盜數據的樣本，萬代南夢宮官方沒有出面證實消息或發表任何評論。

ALPHV ransomware group (alternatively referred to as BlackCat ransomware group) claims to have ransomed Bandai Namco.

Bandai Namco is an international video game publisher. Bandai Namco video game franchises include Ace Combat, Dark Souls, Dragon Ball*, Soulcaliber, and more. pic.twitter.com/hxZ6N2kSxl
— vx-underground (@vxunderground) July 11, 2022

BlackCat勒索軟體至少從 2021 年 12 月開始活躍，是第一個以Rust程式語言撰寫的勒索軟體，這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外，這使得他們的惡意軟體能跨平台，可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的緊急警報，自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來，截至 2022 年 3 月，全球至少有 60 個實體受害。BlackCat發動過的重大攻擊，包含 1 月份攻擊了德國燃料公司 OilTanking GmbH ，引起大約 200 個加油站的供應中斷，以及 2 月份攻擊瑞士航空企業Swissport 導致服務中斷、航班延誤和敏感數據洩露。最近，勒索軟體集團聲稱對美國佛羅里達國際大學的攻擊負責，竊取了 1.2TB數據。

勒索軟體的操作不斷演變，幾週前，LockBit 勒索軟體組織宣布漏洞賞金(Bug Bounty)計劃，視乎漏洞嚴重性，提供從1000 美元到100 萬美元不等的獎金。根據vx-underground，最近BlackCat建立了一個名為Alphv Collections的可搜索外洩數據的資料庫，使其他駭客也能有機會充分運用這些竊得的資料，值得一提的是， BlackCat 在6月中通過建立一個專門的明網網站，允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

QNAP：Checkmate勒索軟體通過伺服器訊息區塊 (SMB) 來鎖定NAS用戶

Posted on 2022 年 7 月 8 日2023 年 2 月 13 日 by blogadmin

又有勒索軟體攻擊台灣NAS供應商威聯通科技（QNAP）的用戶!週四(7/7)QNAP發出警告稱，一種名為 Checkmate 的新型勒索軟體以曝露在網際網路的伺服器訊息區塊 (Server Message Block -SMB) 服務來鎖定NAS用戶。

這家 NAS 製造商的在安全公告中表示，他們正在調查Checkmate勒索軟體，初步調查表明，Checkmate使用字典攻擊(Dictionary Attack)來破解密碼較弱的用戶，字典攻擊是一種暴力法攻擊，駭客將字典裡面所查的到的任何單字或片語都輸入程式中，然後使用該程式一個一個的去嘗試破解密碼。值得一提的是，QNAP沒有進一步說明他們是怎麼知道駭客使用的是字典攻擊，而不是其他攻擊手法。

根據QNAP的說法，一旦駭客成功登錄到設備，就會對共享檔案夾中的數據進行加密，並在每個檔案夾中留下一個檔案名為!CHECKMATE_DECRYPTION_README”的勒索信。SMB 是一種客戶端-伺服器通訊協定，用於共享對各種設備、檔案等的存取，QNAP 建議其用戶斷開其 SMB 服務與互聯網的連接，並敦促其他使用者通過使用 VPN 服務來限制他們的曝露，目前QNAP沒有透露有多少設備被攻擊。

然而，幾位 QNAP 用戶在 BleepingComputer 論壇上表示，他們上個月受到了 Checkmate勒索軟體的攻擊，根據贖勒索信，受害者必須支付 15,000 美元的比特幣贖金才能獲得解密工具。

為了因應Checkmate勒索軟體的攻擊，QNAP呼籲用戶採取以下步驟:

QNAP在過去兩年中一直在處理多個攻擊其用戶的勒索軟體組織，包含AgeLocker、 Qlocker 、eCh0raix和Deadbolt等勒索軟體，QNAP自2022年初以來自三次遭到DeadBolt 勒索軟體的攻擊，數千個NAS設備受感染。大約兩週前，該公司表示正在“徹底調查”一系列 Deadbolt針對其NAS設備用戶的新攻擊。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CISA下令聯邦機構在7 月 22 日前，完成修補Windows LSA 漏洞!

Posted on 2022 年 7 月 6 日2023 年 2 月 13 日 by blogadmin

近日，美國網路安全暨基礎設施安全局(CISA) 下令，聯邦民事行政部（FCEB）必須在 7 月 22 日之前，對影響微軟設備的安全漏洞採取補救措施。該漏洞被跟踪為CVE-2022-26925，一個屬於Windows Local Security Authority（Windows LSA）的欺騙漏洞，並被確認為新的 PetitPotam Windows NTLM Relay 的攻擊向量。Windows LSA是一個受保護的Windows子系統，負責執行Windows系統的安全政策，會在用戶登入時驗證用戶身分，亦可處理密碼變更或產生存取權杖。Windows Local Security Authority(LSA) 存在的高風險漏洞，能影響多數 Windows 版本，未經身份認證的攻擊者可輕易利用此漏洞透過 NTLM 強制取得身份認證，以利進行後續攻擊。

據悉在今年5月，CISA曾將CVE-2022-26925納入在已知遭開採漏洞(Known Exploited Vulnerabilities)目錄中，並發布了強制修補的命令，但很快CISA就將這條公告刪除。原因是微軟在2022年5月的修補星期二(Patch Tuseday) 中，雖然聲稱解決了CVE-2022-26925漏洞，但在安裝修補後該問題仍然沒有徹底解決，在 Windows Server 網域控制器上部署時也會觸發服務身份驗證的問題。

CISA 解釋說，在網域控制器部署上認證失敗的問題，可導致企業可能會在伺服器或客戶端遇到服務的認證失敗，如網路原則伺服器(NPS)、路由及遠端存取服務（RRAS）、Radius、擴展認證協議（EAP）和受保護可擴展認證協議（PEAP）都會受到影響。

隨後，微軟在6月向CISA通報了問題的解決方案，今天，CISA也發布了新的指南，其中包含必須遵循的 CVE-2022-26925 緩解步驟，以防止服務中斷。

根據美國聯邦約束性作業指引（binding operational directive，BOD）22-01，為了減少已知遭開採漏洞的重大風險，美國聯邦民事行政部（FCEB）必須在7月22日之前完成修補已發現的漏洞，以保護其網路。儘管該指令僅適用於聯邦機構，但 CISA 也強烈敦促美國私營和公共部門的所有組織優先修補這個被積極利用的漏洞。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

又見Hive勒索軟體入侵台灣，某知名鍛造輪圈大廠遭加密，被盜1.5TB數據，Hive稱在受害網路潛伏達21天之久!

Posted on 2022 年 7 月 1 日2023 年 2 月 13 日 by blogadmin

據竣盟科技在6月30日的觀察，台灣某一家鍛造輪圈大廠，被列入Hive勒索軟體的受害名單，從Hive釋放的資料來看，該公司是在6月21日被加密的，直到 6 月 28 日才被公開在Hive的揭秘網站Hive Leaks上，同時Hive給予受害大廠三天時間與其聯繫。

今天發現在DataBreaches網站，外媒已報導此資安事件，據了解，駭客被輪圈大廠已讀不回，故直接找上外媒公開入侵細節和電郵記錄，相信其目的是要施壓受害者，迫使他們付贖金。根據DataBreaches網站公開了4封電郵的內容，6月21日輪圈大廠被加密當天，駭客告知受害公司，他們已潛伏在受害網路達21天之久，已研究及熟悉受害公司並取得受害檔案及服務的存取權。駭客稱已下載了約1.5 TB的檔案包括合約、NDA、預算案、投資計劃、銀行數據、客戶的開發檔案、協議、設計圖、材料測試和升級檔案等。

由於得不到回覆，Hive在6月23日再發電郵給該公司，警告說如果受害公司沒有在6月27日9點前(受害公司的股東大會時間)向他們聯繫，他們將通知GreTai Securities Market(中華民國證券櫃檯買賣中心) 、 Mega Securities(兆豐證券) 即受害公司的證券agent、受害公司的投資人等，並表達索取贖金的金額會遠低於受害公司的罰款及名譽受損的價值，如下圖所示:

6月24日，Hive 再次發電郵給該輪圈大廠，並列出以下3點:

1.我們將通知您的所有員工和客戶，說明他們的個人數據外洩，

2.由於您尚未正式宣布數據外洩，我們將通知監管機構，您會被相應地罰款。

3.我們將從您的數據庫中收集您所有合作夥伴的電子郵件地址，並通知他們您不知道如何保存機密資料。

最後，於6 月 28 日Hive在Hive Leaks上列出輪圈大廠是其受害者後，Hive 又向輪圈大廠的五位高層發了一封電郵，表示已經在網站上披露了這起消息並進一步說若在7 月 4 日前與他們達成協議，將不會外洩數據。

DataBreaches曾向該輪圈大廠確認是否發生這事故，但沒有收到任何回覆。此次之前，2021年9月竣盟科技發現Hive的揭秘網站，將某台灣上市鋼鐵公司列入其受害者名單。

有關Hive勒索軟體的”部分”入侵指標(Indicator of Compromise -IOCs):

Domain

hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

SHA256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

SHA1

ecf794599c5a813f31f0468aecd5662c5029b5c4

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”