美國Kootenai Health醫院資料外洩事件影響超過 464,000名病患

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

Photo Credit: GBHackers

 Photo Credit: GBHackers庫特內醫院(Kootenai Health)近日披露了一起資料外洩事件,超過464,088名病患的個資受到影響,這些資料是被名為ThreeAM(3AM)的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心,提供全方位的醫療服務,包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名,並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信,2024年3月2日,公司發現部分IT系統出現異常,隨即展開調查,並尋求業界頂尖的資安專家協同合作。

調查顯示,2024年2月22日左右,網路攻擊者入侵了庫特內醫院的網路,竊取了病患的個人資訊,包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示,目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患,並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明,依據受害者遭到洩露的是哪種資料,會予以相應的個資保護服務。

庫特內醫院表示,發現異常活動後,立刻採取相應措施以確保數位環境的安全。經過全面性的查驗,確認受影響的資料後,於2024年8月1日,庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件,庫特內醫院宣布實施額外的安全措施,並已通知當地執法單位,包括聯邦調查局(FBI)。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊,並在他們的暗網入口網頁上洩露了被駭資料,這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案,這個檔案免費提供使用,任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示,3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫,在開始加密程序之前,它會嘗試中斷多種服務,並在加密完成後試圖刪除磁碟區陰影副本(Volume Shadow copies)。

被加密的檔案其檔名末端會被添加“.threeamtime”,此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到,他們發現3AM和Conti,the Royal等勒索軟體集團之間有著顯著的關聯性,表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標(IOCs):

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22
307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e
680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4
991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af
ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc
832a3c90b047e7c5dcfd373d238d16e33e238354d9b1af673003af22f4376e4c

EastWind行動-中國駭客組織鎖定俄羅斯政府和IT企業

EastWind攻擊行動背後是與中國關聯的駭客組織APT27及APT31

Photo Credit: lexisnexis

自2024 年 7 月底開始,發生一系列針對性的網路攻擊事件,其目標鎖定在俄羅斯政府組織和 IT 企業所使用的數十個系統,據瞭解這一系列攻擊事件與中國關聯的 APT27 和 APT31 駭客組織有關。

俄羅斯電腦安全公司Kaspersky (卡巴斯基) 日前發現該系列攻擊行動,並將之稱為“EastWind” (東風行動),報告稱該行動使用了更新版的CloudSorcerer 後門程式,目標是俄羅斯政府。在 2024 年 5 月類似的網路間諜活動中,也發現有使用相同的後門程式。

要特別注意的是CloudSorcerer 攻擊行動並不局限於俄羅斯,在 2024 年 5 月, 電子郵件防護廠商Proofpoint 記錄了一次針對美國智庫的攻擊事件,其中也有使用CloudSorcerer。

EastWind東風攻擊手法

網路攻擊者先寄出帶有 RAR 檔案附件的網路釣魚電子郵件,其中含有用來安裝惡意軟體的 Windows 捷徑。攻擊者藉由雲端儲存服務 Dropbox 向惡意軟體發出指令,以安裝額外的木馬程式,像是網路間諜組織APT31使用的工具就是這類,另外還有一種名為 GrewApacha 的更新版CloudSorcerer後門程式也是。

卡巴斯基發布的報告中提到:「攻擊者使用一種典型的 DLL (動態連結程式庫) sideloading (側載入) 技術:當desktop.exe執行檔啟動時,惡意的 VERSION.dll 程式庫就會載入到對應的程序之中。」 「這個程式庫是一組包含 VMProtect 工具的後門程式。一旦啟動,它會嘗試使用hardcoded (編碼寫死) 的授權憑證來連結 Dropbox 雲端服務。當連接到雲端,後門程式就會從儲存裝置內含的< computer name >/a.psd檔之中讀取要執行的指令。」

然後惡意軟體將這些指令的執行結果上傳到雲端儲存的檔案 < computer name >/b.psd 之中。

EastWind 攻擊行動中也使用變異版本的 CloudSorcerer 後門程式 (一種名為 GetKey.exe的工具程式),其中包含 VMProtect 保護程式,這個惡意軟體的目的是用於加密只能在受駭使用者電腦上解密的傳輸資料。

其他在EastWind攻擊中發現的植入程式還有一種透過 CloudSorcere後門程式帶入的PlugY,這是一個前所未知的新種後門程式。

PlugY 在 C2(Command and Control) 通訊部份具備高度多功能性,包括能夠執行檔案操作指令、shell (外層) 指令執行、螢幕截圖、鍵盤記錄和剪貼簿監控等等。

卡巴斯基的分析指出,PlugY後門程式中使用的程式碼之前曾在 APT27 駭客組織的攻擊中出現過。

卡巴斯基評論道,由於 EastWind 攻擊中使用的後門程式明顯不同,因此要在被入侵的電腦上偵測出所有的後門程式是有相當難度。需要注意的項目包括:

  • 「C:\Users\Public」目錄中超過 5MB 的 DLL (動態連結程式庫) 檔案
  • 檔案系統中未簽署的「msedgeupdate.dll」檔案
  • 每個使用者登入時啟動的「msiexec.exe」執行程序

在 EastWind攻擊行動中,駭客組織使用精密且高階的程式工具組合來掩飾網路流量中的惡意行動。攻擊者利用 GitHub、Dropbox、Quora 等常見的網路服務以及 LiveJournal 和 Yandex.Disk 等俄羅斯的系統平台,將這些平台用作命令伺服器。EastWind行動涉及到兩個與中國關聯的 APT 駭客組織,APT27APT31,這部分也顯示出 APT 組織是如何地緊密合作並且共享惡意軟體工具。

EastWind行動相關的部分的入侵指標(IOCs):

1f5c0e926e548de43e0039858de533fc
67cfecf2d777f3a3ff1a09752f06a7f5
bed245d61b4928f6d6533900484cafc5
d0f7745c80baf342cd218cf4f592ea00
f6245f64eaad550fd292cfb1e23f0867
faf1f7a32e3f7b08017a9150dccf511d
426bbf43f783292743c9965a7631329d77a51b61
bce22646f0d7c3abc616996cd08b706590e724e1
c0e4dbaffd0b81b5688ae8e58922cdaa97c8de25
e1cf6334610e0afc01e5de689e33190d0c17ccd4

邁凱倫 (McLaren) 醫院遭受 INC 勒索軟體攻擊而導致電腦、電話系統中斷

McLaren Health Care攻擊事件影響到旗下 13 家醫院及門診手術中心

Photo Credit: Medical Buyer

這個週二,位於密西根州的邁凱倫醫療 (McLaren Health Care) 遭受了一次嚴重的網路攻擊,這次攻擊事件已確認與 INC Ransom勒索軟體有關。根據報導,這場攻擊對McLaren醫療系統旗下的多家醫院構成了運營上的衝擊,使其醫療服務受到重大影響。

此次攻擊事件始於8月6日,McLaren Health Care發現其IT系統和電子病歷系統出現異常,隨後就發現遭受了勒索軟體攻擊。這款名為INC Ransom的勒索軟體以將重要檔案資料加密的方式來威脅受害者,要求支付贖金以換取解密密碼。由於大量醫療資料被加密,使得醫療人員無法正常存取病患資訊和進行日常的醫療運作。

報導指出,攻擊發生後,McLaren醫院不得不暫時改用人工方式處理病歷,這不僅大幅增加了工作負擔,也提高了醫療失誤的風險。急診室的運作也受到影響,部分病人需面臨更長時間的等待,這對病人的健康可能是潛在的威脅。

INC Ransom勒索軟體是一種新型的攻擊手法,通常經由釣魚郵件或網路漏洞進行攻擊。一旦成功入侵系統,該勒索軟體會加密大量檔案資料並索求高額贖金。受害者必須先支付贖金,之後才能換取解密工具來恢復資料,只不過即使已經支付了贖金,並不能確保攻擊者不會再次的入侵。

McLaren Health Care已經開始進行系統恢復和資料解密的工作,並且與聯邦調查局(FBI)及其他資安專家合作,試圖找出攻擊的具體來源和擴散範圍。雖然醫院方面並未透露是否已經支付贖金,但他們表示正在全力以赴處理這次事件。

INC Ransom最早大約出現於 2023 年 7 月,此後一直針對公共單位和民間組織企業。受害名單包括教育、醫療保健、政府和工業團體,例如Yamaha Motor Philippines (山葉機車菲律賓分公司)、Xerox Business Solutions(全錄商業方案公司)美國分公司和蘇格蘭國家醫療服務 (National Health Service)。

資訊專業媒體 BleepingComputer 對新的 Lynx 勒索軟體加密器和最新的 INC 加密器之間的字串進行了分析比對,除了有一小部分的改變之外,可以確定的是它們大部分都相同。

2023 年 11 月,McLaren 向近 220 萬人通報資料遭到外洩,源頭的網路攻擊則發生在 2023 年 7 月下旬至 8 月之間,其中包括他們的個資和病歷等醫療資訊遭到外洩。被侵入的資料包括姓名、社會安全號碼、健保和病歷資訊,其他還有醫療保險/醫療補助、處方/藥物、診斷結果和診療資訊等。

ALPHV/BlackCat 勒索軟體組織宣稱他們參與了2023 年 7 月的攻擊事件,以及後續於 10 月 4 日發生的資料外洩。

資安專家建議,醫療機構應該定期進行系統安全評估和資安演練,以檢測和改進現有的防禦措施。此外,定期備份關鍵數據也是防範此類攻擊的重要措施之一,這可以在系統遭受攻擊後,快速恢復業務營運,減少資料被駭的風險。

McLaren Health Care的這次事件不僅對醫療機構本身,也對整個產業提出了資安防護的新挑戰。隨著網路攻擊技術的持續演進,醫療機構必須不斷更新和加強其資安防護措施,才能有效應對各種網路安全威脅。

竣盟科技建議,醫療機構及其他企業網路用戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受勒索軟體攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉勒索軟體攻擊手段:了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應,可以顯著降低受到侵害的風險。

中國駭客組織StormBamboo入侵網路服務供應商 (ISP)

StormBamboo自 2012 年以來一直頻繁活動,主要目標在中國大陸、港澳、東南亞等地

Photo Credit: welivesecurity

一個名為 StormBamboo 的中國駭客組織日前入侵一家尚未揭露的網路服務供應商 (ISP),他們利用自動軟體更新的漏洞來進行惡意軟體的散播。

這個網路間諜組織同時也以 Evasive Panda、Daggerfly 和 StormCloud等名稱為人所知,自 2012 年以來他們一直有所活動,主要的目標是鎖定在中國大陸、香港、澳門、奈及利亞以及東南亞和東亞的幾個國家。

上週,網路安全公司Volexity的威脅事件研究人員透露,他們發現 StormBamboo 利用改變DNS 中有關網域的查詢回應,將之連結到自動軟體更新的步驟。網路攻擊者利用像是 HTTP 之中不安全的更新機制來發動攻擊,並且由於無法驗證安裝程式的數位簽名,使用者以為是做更新程式的安裝,但實際上安裝卻是惡意軟體。

這種攻擊手法的關鍵是一種名為中間人man-in-the-middle (MITM)的技術,攻擊者在鎖定攻擊的設備和可信任伺服器 (trusted server) 之間取得有利位置,這樣做的目的是為了攔截和操控兩邊之間的通訊傳輸資料。 

一般 ISP 遭到入侵的情況是,攻擊者駭入 DNS 請求程序,這是將網站位址轉換為數字 IP 位址的關鍵功能程序。然後攻擊者通過篡改 DNS 回應,將使用者重新導向到意在竊取敏感資訊的惡意網站。

其中一個例子是,他們利用5KPlayer 發出請求來更新 youtube-dl dependency (youtube 下載軟體相依性),其最終目的是推送後門安裝程式到 C2 伺服器上。

當網路攻擊者入侵了攻擊目標的系統之後,他們會安裝Google Chrome 擴充元件 (ReloadText),這是一種惡意軟體,藉此他們能夠收攏和竊取包括瀏覽器 cookie 以及郵件資料。

Volexity研究人員解釋說:「當這些應用程式發出檢索相關更新時,接下來並不會安裝你想要的更新,結果卻是被安裝上了惡意軟體,這其中包括MACMA 和POCOSTICK(又名MGBot)。」

2023年4月,電腦安全軟體公司ESET的威脅研究人員也觀察到,該駭客組織利用騰訊QQ通訊軟體上自動更新機制的漏洞,部署Windows後門程式Pocostick(MGBot),藉以攻擊國際NGOs(非政府組織)。

一年後的2024 年 7 月,賽門鐵克的威脅獵捕團隊也發現中國駭客集團利用最新的 Macma macOS 後門程式和惡意軟體版本的 Nightdoor Windows,攻擊對象是位於中國的一家美國非政府組織和台灣的多個企業機構。

研究人員補充道:「Volexity 觀察到 StormBamboo 近期的活動中,目標針對多個軟體廠商,利用這些廠商目前使用的更新作業流程安全性上的漏洞。」

「Volexity 立即通知了該家 ISP 並與之共同合作,尋求解決方案,該ISP 著手調查了在其網路上提供流量路由服務 (traffic-routing service) 的數個關鍵設備。隨後 ISP 系統重新啟動並關掉網路系統中的數個元件,DNS 中毒的情況總算獲得解決。」

中國駭客組織 StormBamboo 入侵ISP相關的入侵指標(IOCs):

4c8a326899272d2fe30e818181f6f67f
acfc69c743b733dd80c1d551ae01172b
ce5fdde7db4ee41808f9c7d121311f78
038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc
37ee872f05a0273446dc7e2539b9dbf9bf7d80b4
66346b3d841dc56a387f48b4dfba96083c37ec2e
68853cafd395edd08cd38ab6100c58e291a3a3d7
84875b2cf9f8c778ff1462ef478918b4ac964afe
bb030c405f33557bc5441165a0f8bf9a6d5a82a6
c68e86985a4cb2f69e16fb943723af63833859b3

駭客利用甕中捉鱉技術劫持了超過35,000個網域

十多個俄羅斯關聯的駭客組織正在運用Sitting Ducks攻擊

 Photo Credit: US Cybersecurity

網路攻擊者利用所謂的Sitting Ducks (甕中捉鱉) 劫持了超過 35,000 個已註冊網域,在Sitting Ducks攻擊中,攻擊者劫持了已在DNS (網域名稱系統) 服務商或web hosting provider (網頁代管供應商) 那邊註冊的域名,讓使用者無法連結到在DNS提供單位或註冊單位的真正帳戶。

在「甕中捉鱉」攻擊中,網路犯罪分子利用註冊單位網路層級的組態 (configuration)缺陷以及 DNS 提供單位的所有權驗證機制不足。

專門致力於 DNS 的網路安全供應商 Infoblox 以及韌體和硬體防護公司 Eclypsium 的研究人員發現,每天可能會有超過一百萬個網域透過 Sitting Ducks 攻擊的手法而遭到劫持。

InfobloxEclypsium聯合發佈的分析中揭露,有十多個與俄羅斯有關聯的網路犯罪組織正在運用這種攻擊手段,特別針對網域名稱系統 (DNS) 的弱點藉以隱密地劫持網域。

追根究柢,問題在於網域註冊單位和授予權限的 DNS 提供單位的組態 (configuration) 不正確,再加上名稱伺服器 (name server) 無法對其涵蓋的服務網域進行授權回應(這也稱作 lame delegation遜咖授權)。

攻擊者先向授權的 DNS 提供單位要求使用權,允許它在授權的 DNS 提供單位之處聲明網域的所有權,於此同時它並不用直接去存取網域名稱註冊單位的真正使用者者帳戶。

在這種情況之下,如果網域的授權 DNS 服務到期過後,攻擊者可以在DNS提供單位處建立帳戶並聲稱擁有​​該網域,最後假冒網域代表的品牌來進行散播惡意軟體的攻擊行動。

近年來,Sitting Ducks 攻擊已被許多不同的網路攻擊團體所採用,遭到盜取的網域用來支援多個流量分配系統 (TDSes) ,像是404 TDS(又稱作 Vacant Viper)和VexTrio Viper。同時它也被用來​​散播炸彈威脅騙局 (bomb threat hoaxes)和性勒索詐騙 (sextortion scams)。

Infoblox 威脅情報副總裁 Renee Burton 博士說:「企業組織應該定期檢查他們擁有的網域,確認是否仍有弱點或是漏洞,並且他們應該要選擇能夠有效防衛Sitting Ducks攻擊的DNS供應商」。

防衛重點

網域擁有者應定期檢查其DNS組態 (configurations) 是否屬於lame delegations (委派失效),特別是在比較舊的網域上,並使用適當的 DNS 服務商來更新註冊單位或授權的名稱伺服器上的授權記錄。

建議註冊單位對委派失效的案例和告警通知人員進行主動檢查。另外他們還需確保在授予名稱伺服器授權之前,DNS服務已確立。

最後,註冊監管機構和標準管理機構必須制定長期策略來根本解決 DNS 漏洞,並驅使其管轄範圍內的 DNS 供應商採取更多有效行動來緩解坐鴨攻擊。

竣盟科技 提醒網域名稱及企業網路用戶,採取多種最佳防護措施及解決方案可以有效幫助降低遭受網路攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 自學網路釣魚策略:了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。

勒索軟體組織Dark Angels 斬獲史無前例的 7,500 萬美元贖金

Dark Angels目標對象涵蓋政府、醫療、金融、教育、製造業、技術及電信業者

Dark Angels勒索Fortune 50公司    Photo Credit: Cyberwarzone

根據美國雲端運算安全公司Zscaler網路安全研究人員的報告指稱,一家Fortune 50 (《財星》全球 50 強) 公司向 Dark Angels 勒索軟體集團支付了創紀錄的 7,500 萬美元贖金。

Dark Angels 勒索軟體組織自 2022 年以來的行動一直受到廣泛的關注,他們的攻擊目標主要是鎖定在醫療保健、政府、金融和教育等高市值產業,最近也發現有轉向大型工業、科技和電信公司的情況。

Dark Angels的作案手法與一般的勒索軟體集團相比並不相同,典型的攻擊手法通常是先在廣泛區域佈局並配合第三方之攻擊行動。相對地,他們則是先經過精心過濾及篩選然後入侵個別的大規模企業,並在加密重要檔案之前竊取大量重要資料(1-100 TB)。

根據Zscaler 於2024 年7 月30 日發布的2024 ThreatLabz勒索軟體報告,Dark Angels最引人矚目的攻擊事件,是發生在2023 年9 月針對一家跨國集團的網路攻擊,他們駭入並加密該公司的虛擬機,最後索求5100 萬美元。

暗黑天使 Profile

Dark Angels 藉由操作勒索軟體來進行駭客攻擊,最早被發現於 2022 年 5 月開始進行活動,當時它已經開始將目標鎖定在全球各地的重要企業。

像大多數的勒索軟體組織一樣,他們背後是由人工進行操作的,Dark Angels的操作執行同夥會先入侵公司網路系統,然後做橫向移動,最終目的是為了獲取管理權限。於此同時,他們還從侵入的伺服器中竊取重要資料,這些資料成為他們之後提出贖金要求時重要的談判籌碼。

當網路攻擊者取得 Windows domain controller(網域控制器)的存取權時,他們會部署勒索軟體來將網域內的所有裝置設備進行加密。

在上次攻擊事件中,Dark Angels 聲稱他們共竊取了 27 TB 的企業資料,並要求該受害公司支付 5,100 萬美元的贖金。

Zscaler ThreatLabz 表示,Dark Angels 採用的是 “Big Game Hunting” (大規模狩獵遊戲) 策略,這種策略是指僅針對少數高市值公司,預期可以斬獲巨額贖金,而非一次性同時向許多公司要求支付額度較小的贖金。

Zscaler ThreatLabz 研究人員解釋到:“暗黑天使組織採用了高度針對性的做法,通常是一次只攻擊一家大型公司的模式。”

Zscaler的報告也強調並警告,各家企業要同時警惕其他惡名昭彰的勒索軟體組織,例如像是 Lockbit、BlackCat (ALPHV)、Akira 和 Black Basta。

Barrier Networks的首席技術長Ryan McConechy對報告的調查結果發表了評論,「這個數字高到令人擔憂,大多數的企業或機構不會相信網路攻擊會讓他們付出如此慘重的代價…但這就是當前許多網路攻擊事件背後殘酷的現實。」他同時強調企業需要堅實的網路防護措施做後盾,其中包括員工教育訓練、多因子身份驗證、系統更新和準備充分好事件回應計畫。

勒索軟體組織Dark Angels相關的部分的入侵指標(IOCs):

5cc2306e9e0aa8d1cb095791febf89b3
a874076693aff0f34d4248396a2dd777
b4a07cdd640bbaef21cd0493b4d62675
06187023d399f3f57ca16a3a8fb9bb1bdb721603
529e24c81ede5dfcedcc4fbc7d0030f985c67af1
7c2e9232127385989ba4d7847de2968595024e83
38e05d599877bf18855ad4d178bcd76718cfad1505328d0444363d1f592b0838
3b56cea72e8140a7044336933cf382d98dd95c732e5937a0a61e0e7296762c7b
fe8b6b7c3c86df0ee47a3cb04a68891fd5e91f3bfb13482112dd9042e8baebdf

中國駭客組織Daggerfly利用惡意軟體 MgBot 和 MACMA攻擊台灣企業和美國非政府組織

Daggerfly APT組織是與北京有密切關聯的情報蒐集/ 駭客團體

Daggerfly利用惡意軟體攻擊台灣企業及美國NGO  Photo Credit: SempreUpdate

數家台灣企業和一家總部位於中國的美國非政府組織 (NGO) 已成為駭客組織Daggerfly 的目標,該組織屬於國家資助之駭客團體,跟北京關係密切,目前正使用一組已升級完成的惡意軟體工具。

博通(Broadcom)旗下的賽門鐵克(Symantec)威脅獵人團隊最近發布的一份報告表示,這項行動顯示Daggerfly「也從事內部間諜活動」。“在發動的攻擊中,駭客利用 Apache HTTP Server (網頁伺服器) 中的漏洞來散播 MgBot 惡意軟體。”

Daggerfly(也稱為 Bronze Highland 和 Evasive Panda)先前被發現運用 MgBot 模組化惡意軟體架構來進行針對非洲電信服務供應商的情報收集任務。根據相關報導,該行動早自 2012 年起就已經開始運作。

2021 年Google首次詳細介紹了Macma macOS 後門程式 (backdoor)  ,至少從 2019 年起這個惡意軟體就有開始被使用了。駭客利用Macma來進行水坑攻擊 (watering hole attacks),目標是香港的網站。這些攻擊利用了 iOS 和 macOS 裝置上的漏洞。攻擊者利用越權漏洞(privilege escalation vulnerability) CVE-2021-30869在macOS設備上安裝Macma。

Macma 是一個模組化後門程式,能支援多種功能,其中包括裝置指紋辨識、執行指令、螢幕截圖、鍵盤記錄、音訊擷取、上傳和下載檔案等等。

儘管 Macma 被國家支持的攻擊者廣泛地使用於網路行動,但它不一定歸屬於某特定組織。然而,賽門鐵克發現有證據表明它是 Daggerfly 所使用的攻擊武器之一。 另外也被發現有部分的MgBot攻擊者,也在使用Macma後門程式 C2 server (103.243.212[.]98) 的變異程式。

在3月的時候,資安專家也發現到了另一種惡意軟體,名為 Suzafk(又稱「NetMM」、Nightdoor),電腦安全軟體公司ESET研究員證實了它與 Daggerfly 的關聯性

報告中說明:「Suzafk 是一個多階段後門程式,能夠使用 TCP (傳輸控制協定) 或 OneDrive雲端硬碟來達成 Command and Control (按照駭客的命令與控制) 的目的。從這個惡意軟體之中所包含的組態參數和相關設定來看,可以推測它連結到 OneDrive 的功能正在開發中,亦有可能它的變異版本已經擁有這樣的功能。」

賽門鐵克表示:「該組織所創建的惡意軟體工具是以大多數主要作業系統平台為目標。」並補充說,「相關證據顯示這些惡意軟體有能力將Android APK、SMS簡訊攔截工具、DNS 請求攔截工具,甚至針對Solaris 作業系統的惡意軟體轉換成木馬程式供其所用」。

正值事態發展之際,中國國家電腦病毒應急處理中心(CVERC)聲稱:“伏特颱風 (Volt Typhoon)” 組織是美國情報機構虛構的,與其有關報導皆屬不實消息。然而,五眼聯盟國家將Volt Typhoon歸屬於與中國有聯繫的間諜組織。

MgBot, MacMa惡意軟體相關的部分的入侵指標(IOCs):

12c2e058e0665bcbff3dbee38a1ef754

5535bbcf24a5767df085a1e34804c913

784dc986f0006aa47c35e60080c7ebf2

9bf90d7ea1e0f7e5086ce70771f44101

a48ea150eae374e7a79d6d4859aae710

a6bdcda8b125a6f2cb6a4ff705446793

b7720de6a3d438aee46f01d78e8fa806

c4db2081fb0c38afe5c6f7ea21805eb4

網路犯罪分子利用 CrowdStrike 的更新出錯散播 Remcos RAT 惡意軟體

駭客正在利用 CrowdStrike 事件進行網路釣魚、詐騙和惡意軟體傳播。

CrowdStrike更新缺陷造成全球大當機  Photo Credit: Acecloud


網路安全公司 CrowdStrike 因推出有缺陷的更新,造成使用該公司服務的Windows設備發生全球性大癱瘓。該公司現在警告,網路攻擊者藉機以提供修補程式為偽裝,向拉丁美洲CrowdStrike用戶散播 Remcos RAT惡意軟體。

攻擊手法是先散播名為「crowdstrike-hotfix.zip 」的 ZIP檔,其中包含名為Hijack Loader (又稱 DOILoader 或 IDAT Loader)的惡意軟體載入程式,該載入程式進而啟動 Remcos RAT。

具體來說,文件檔中還包括一個文字檔(“instruucciones.txt”),此文字檔附帶西班牙語說明,促使想要修復問題的受害者開啟執行檔(“setup.exe”)。

CrowdStrike表示,值得注意的是,ZIP 檔案中的西班牙語檔名和附帶說明,都顯示出該攻擊行動很可能是針對他們公司的拉丁美洲 (LATAM) 客戶。歸咎其原因,一個電子犯罪組織涉嫌重大。

上週五,CrowdStrike 證實,UTC (世界協調時間) 7 月19 日04:09 推送到EDR系統CrowdStrike Falcon 平台上 (使用Windows 設備) 的例行感應器組態更新無意中觸發了邏輯上的錯誤,因此導致藍屏當機(BSoD),進而使得許多系統無法運行並讓企業陷入混亂。

CrowdStrike 表示,他們積極地協助客戶,補救因為最近的內容更新而導致全球數百萬台 Windows 主機癱瘓的情況。CrowdStrike建議受影響的客戶確保通過官方管道與 CrowdStrike 客戶服務代表聯繫,並遵循 CrowdStrike 支援團隊提供的技術指引。

英國國家網路安全中心(NCSC)警告,他們觀察到利用此次主機癱瘓事件的網路釣魚活動有大幅增加的情況。

惡意軟體沙箱服務業者AnyRun 也注意到「企圖假冒 CrowdStrike 以從中得利的情形有所增加,這些可能會引發網路釣魚型態的攻擊活動」。此外,威脅情報平台FalconFeeds的報告指出,巴勒斯坦駭客組織正利用 CrowdStrike 事件,試圖藉機引誘以色列企業用戶在他們的系統上安裝擦除器惡意軟體 (wiper malware )。

更糟糕的是 CrowdStrike 更新事故導致多個產業出現營運中斷,包括航空、金融、醫療和教育產業。美國有線電視新聞網 (CNN)週日報導,連續第三天有超過 1,500 架航班被取消,更有數千架航班因此延誤。

對於 CrowdStrike 的更新出錯,微軟一直有參與進行補救措施。據微軟表示,這次事件導致全球共計 850 萬台 Windows 裝置癱瘓(佔比不到所有 Windows 機器的百分之一)。

微軟也發布聲明:“這一事件說明了我們無遠弗屆的數位網路系統—包括全球雲端提供商、軟體平台、資訊安全廠商和其他軟體服務商以及客戶之間的相互關聯性。 ” “同時也提醒我們,對於整個數位技術系統中的所有人來說,利用現有機制優先進行安全性部署和建立自災難事故復原的標準流程,是最重要的課題。”

CrowdStrike/ RemCos惡意軟體相關的部分的入侵指標(IOCs):

1e84736efce206dc973acbc16540d3e5

371c165e3e3c1a000051b78d7b0e7e79

da03ebd2a8448f53d1bd9e16fc903168

2a2ecbbd4840c486b3507a18307369336ec5a1aa

889b4f487d8bba6af6ff6eb7f5afd74957586c49

fef212ec979f2fe2f48641160aadeb86b83f7b35

48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184

5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9

931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6

c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2

d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea

微軟警告:Scattered Spider駭客集團採用 RansomHub 和 Qilin 等勒索軟體進行網路攻擊

Scattered Spider是最危險的金融駭客組織之一,具有先進的社交工程攻擊能力

Scattered Spider 使用的勒索軟體攻擊手法  Photo Credit: Microsoft

根據微軟威脅情報團隊警告,Scattered Spider (又被稱為Octo Tempest) 駭客集團已添加最新攻擊手法,包括RansomHub和Qilin等勒索軟體皆是他們目前使用的攻擊武器。

Scattered Spider集團於2022年首次出現,其特點是使用先進的社交工程技術以及進行個資(ID)入侵,攻擊目標鎖定 VMware ESXi 伺服器並且部署 BlackCat 勒索軟體。它也是去年對Caesars Palace (凱撒皇宮) 和MGM Entertainment (米高梅娛樂公司) 進行大規模勒索軟體攻擊的幕後黑手。

去年11月,FBI 和 CISA (美國網際安全暨基礎設施安全局) 發布了一份公告,重點介紹了 Scattered Spider 的策略、技術和程序 (TTPs)。其中包括冒充資訊廠商員工,來誘使客戶服務人員向他們提供憑證或使用遠端存取工具以入侵目標網路。已知他們用於網路存取的其他策略還包括網路釣魚、MFA bombing (多因子驗證轟炸式攻擊) 和 SIM swapping (SIM卡交換攻擊)。

在2022 年Qilin 勒索軟體曾經以不同的名稱「Agenda」出現過,但很快就更名了。據微軟所稱,該組織已針對130 多家公司進行了攻擊並宣稱是幕後主使,索要的贖金從25,000 美元到數百萬美元不等,並且正在開發一種特製規格的Linux 加密器,針對目標就是VMware ESXi 伺服器。同時, RansomHub是一種勒索軟體服務 (RaaS) 產品,越來越受到網路攻擊者的青睞,這使其成為當今最廣泛運用的勒索軟體之一。

與許多其他針對企業的勒索軟體組織一樣,他們運用Qilin勒索軟體以滲透到公司的網路並在其網路系統中橫向移動,竊取重要資料。在獲得管理員憑證並收集所有敏感資料後,他們部署勒索軟體來將所有網路設備進行加密,並利用竊取的資料進行雙重勒索。

上個月,英國國家網路安全中心 (NCSC) 執行長將6月初醫療機構Synnovis遭到網路襲擊歸因為Qilin勒索軟體攻擊 ,該攻擊事件影響了倫敦的幾家主要 NHS(國民保健署) 醫院,迫使它們取消了數百件手術和預約門診。

微軟威脅情報團隊所進行的資安事件調查之中,Scattered Spider集團占了很大的比例,那是因為微軟團隊處理的異常事件回應,很多是由Scattered Spider所主導的攻擊。該集團首次的「oktapus」攻擊事件因為針對 130 多個知名企業而引發廣泛關注,而藉由了解這些案例進一步有所防備是必要的。

RansomHub相關的部分的入侵指標(IOCs):

02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292

104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2

2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad

34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087

36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e

595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb

7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2

7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a

8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7

a96a0ba7998a6956c8073b6eff9306398cc03fb9866e4cabf0810a69bb2a43b2

e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23

ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00

f1a6e08a5fd013f96facc4bb0d8dfb6940683f5bdfc161bd3a1de8189dea26d3

fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e

多個勒索軟體持續利用Veeam去年修補的Backup & Replication中的高風險漏洞

利用該漏洞Akira勒索軟體,從初始登入到資料洩露的整個操作,僅花了 133 分鐘

Photo Credit: Veeam

備份軟體Veeam Backup & Replication中的漏洞CVE-2023-27532(CVSS風險評為7.5分),此漏洞的根源發生在Veeam.Backup.Service.exe元件。網路攻擊者可以利用這個漏洞來取得組態資料庫(configuration database)中儲存的加密憑證,從中取得備份基礎設施主機(backup infrastructure hosts)的存取權限。

該漏洞已於2023年3月獲得修補,不久後該漏洞的PoC漏洞利用程式碼(PoC exploit code)也被公開發布。

有關專家觀察到,俄羅斯網路犯罪組織FIN7自2023年4月以來一直在利用該漏洞。

2023年8月,發現古巴勒索軟體集團利用該漏洞進行攻擊後不久,美國網際安全暨基礎設施安全局CISA將 CVE-2023-27532 增加到其已知遭濫用之漏洞清單中。

新加坡威脅情報公司Group-IB研究人員也發現了一個勒索軟體組織利用了 Veeam Backup & Replication中的漏洞。有關專家的報告指出,2024年4月,EstateRansomware勒索軟體集團使用PoC漏洞利用程式碼來攻擊漏洞CVE-2023-27532。

在網路安全公司BlackBerry 的報告中揭露,於2024年6月,網路攻擊團體利用Akira勒索軟體攻擊了一家拉丁美洲航空公司。對目標網路的初始存取是透過 Secure Shell (SSH) 協定進行的,攻擊者在第二天部署Akira勒索軟體之前竊取了關鍵資料。一旦資料外洩成功,攻擊者就會部署勒索軟體來加密受感染的系統。Akira是一種勒索軟體,利用CVE-2023-27532的漏洞來攻擊鎖定的目標、創建未授權帳戶並竊取受害者數據。一旦進入網絡,攻擊者就會創建一個名為“backup”的account,並將其增加到管理員群組中以確保提升的權限。攻擊者部署了合法的網路管理工具Advanced IP Scanner來掃描透過route print識別的本地子網路。整個操作,從初始入侵到資料洩露,僅花了 133 分鐘。

據了解,操作Akira的駭客團體可能利用企業尚未修補的Veeam Backup & Replication漏洞,進而執行初始存取、部署各種後脅迫(post-exploitation)工具、執行Active Directory偵察並癱瘓安全防護產品。

Veeam備份資料的所有權是透過Veeam備份資料夾取得的,而網路攻擊者則從其他系統壓縮和上傳資料。此備份中包含文件、圖像和電子表格等常見的文件類型,勒索軟體集團企圖藉由收集並利用機密和有價值的數據來獲取自己的經濟利益。

Veeam 漏洞事件的部分的入侵指標(IOCs):

2c56e9beea9f0801e0110a7dc5549b4fa0661362                 

5e460a517f0579b831b09ec99ef158ac0dd3d4fa                 

107ec3a7ed7ad908774ad18e3e03d4b999d4690c