駭客化身有氧健身教練,鎖定航太國防業員工,利用惡意軟體LEMPO發動攻勢

研究人員發現了一個長達數年的社交工程攻擊,一個伊朗網路間諜組織在Facebook上偽装成一名健美的有氧教練,發送惡意軟體給航太業承包商,以感染對方的電腦。據資安業者Proofpoint稱,這塲秘密攻擊行動是由他們追蹤的伊朗國家級駭客TA456發動的,TA456又名Imperial Kitten或Tortoiseshell。

虛假角色 Marcella Flores–Photo Credit: Proofpoint

根據Proofpoint最近的一份報告,TA456精心製作了一個虛假的角色 “Marcella Flores”,與一家航太國防承包商員工建立通訊關係,被發現追溯至2019年已向該員工進行交流,目的在於投遞一個名為的惡意軟體LEMPO。據了解,感染鏈是通過一封含有 OneDrive URL 的電子郵件觸發的,一份偽裝成飲食調查的嵌入式巨集Excel檔。打開後,惡意軟體LEMPO對目標電腦建立持久性,執行偵察,並竊取機密數據,再通過 SMTPS 將其發送到由攻擊者控制的電子郵件帳戶。最後,惡意軟體LEMPO通過刪除當天的主機證據來掩蓋其踪跡。

飲食調查– Photo Credit: Proofpoint

Marcella Flores 的角色背後,攻擊者花費了至少 18 個月的時間運作該帳戶並致力維護該虛假角色,加上攻擊者與受害者的互動, 這意味著國家級駭客願意為其間諜行動付出龐大的時間和人力,社交工程作為惡意駭客活動的一部分是有效的,因此社交媒體上與身份不明的人打交道時保持警惕尤其重要,也應注意勿在社交媒體上的”過度分享” 個人資訊。

有關情資:

TA456 Targets Defense Contractor with Alluring Social Media Persona

Source: https://www.proofpoint.com/us/blog/threat-insight/i-knew-you-were-trouble-ta456-targets-defense-contractor-alluring-social-media

在REvil和Darkside消聲匿跡後,BlackMatter勒索軟體來接班

Key Points:

*BlackMatter聲稱結合了Darkside、REvil和LockBit勒索軟體的最佳功能

*攻擊目標為收入超過 1 億美元或以上的公司

*願意支付高達十萬美元購買大型企業的網路存取權

*BlackMatter表示不會攻擊醫院、關鍵基礎設施、非營利組織和政府組織

在本周才開始運作的BlackMatter,其揭秘網站目前仍是空的,尚無受害者

在DarkSide 和 REvil消失後,又一個新的勒索軟體出現了,名為BlackMatter的勒索軟體的誕生是由 Recorded Future 的研究人員發現,BlackMatter將自己宣傳為DarkSide和REvil的精神延續,雖稱其唯一的興趣是錢,但聲稱不會攻擊屬於以下六個行業:

* 醫院

* 關鍵基礎設施(核電站、發電廠、水處理設施)

* 石油和天然氣工業(管道、煉油廠)

* 國防工業

* 非營利公司

* 政府部門

並承諾如果這些行業的任何公司受到他們的攻擊,將免費向受害實體提供解密工具。

據報導,BlackMatter的背後駭客已在兩個俄羅斯駭客論壇Exploit 和 XSS上發布招募會員的廣告。儘管自5月以來兩個論壇上都禁止了勒索軟體的廣告,但 BlackMatter並未直接以勒索軟體即服務(RaaS)做廣告,而是發布了招募Initial access broker的駭客服務廣告,Initial access broker用於描述擁有被駭企業網路存取權的人,BlackMatter 提供 3,000 至 100,000 美元的價格買企業的網路存取權。一旦獲得此類網路存取權限,BlackMatter將接管目標的內部系統以運作其檔案加密的payload。

BlackMatter招募initial access broker的廣告

根據廣告,BlackMatter想與可以提供企業網路入侵初期(Initial Access)存取權的經紀人(broker)合作,條件是目標企業的年收入須為 1 億美元或以上,目標網路須有 500 到 15,000 台主機,並且位於美國、英國、加拿大或澳洲。

據報導BlackMatter的背後駭客吹噓他們能夠加密不同的操作系統版本和架構。這包括 Windows 系統(via SafeMode)、Linux(Ubuntu、Debian、CentOS)、VMWare ESXi 5+ 虛擬端點、NAS設備(如 Synology、OpenMediaVault、FreeNAS 和 TrueNAS)等。根據Recorded Future的研究人員觀察到的證據,認為 BlackMatter 與 Darkside 之間存在關聯,但BlackMatter是否也與REvil有的關聯,仍需要更多的時間去調查和研究。

我國百名政要的LINE驚傳遭駭,進階加密的Letter Sealing功能被關,是間諜軟體飛馬Pegasus作惡?! 還是…?

LINE for iPad 正式亮相!電腦版、手機、平板三方一起 LINE!
Photo Credit: LINE

根據國內媒體報導,府院、軍方、縣市長及朝野政黨等100多位高層政要,驚傳通訊軟體LINE遭駭客入侵,且鎖定的對象非常精準,看起來是遭有心人士駭入,意圖竊取資料。對此,LINE台灣總公司上週發現有用戶的相關內容遭擷取外流後,立即著手清查所有用戶,據報導駭客入侵的管道有用戶端與主機兩種途徑,要鎖定特定的用戶端、植入惡意程式並不容易。但LINE主要是綁定手機號碼,若有心要取得政要高層的號碼,是否是以此破壞安全機制,登入主機系統入侵,須由資安人員再進一步調查查驗。因事涉國安,LINE已緊急強化本身系統安全機制、提醒可能的受害用戶,近日也赴總統府向國安會報告,國安會目前正著手進行調查。

本次之所以會有政要 LINE 遭到入侵,疑似是Letter Sealing被駭客設定為關閉,懷疑是駭客使用間諜軟體飛馬Pegasus所致,亦可能是有內鬼通外鬼,詳細原因尚在調查。可以確定的是,若能確保訊息保護 Letter Sealing功能處於開啟狀態,Letter Sealing為LINE開發的點對點加密(End-to-End Encryption)就能降低訊息外流可能,建議您在LINE的隱私設定中檢查Letter Sealing設定是否為開啟。另外,可用工具包檢測手機是否被飛馬Pegasus入侵國際特赦組織(Amnesty International)透過 Github 上發佈的 Mobile Verification Toolkit工具包,來檢查手機是否成為惡意軟體飛馬的入侵目標,為了調查間諜軟馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs),IOCs亦可在 GitHub 下載

據目前自由時報報導所知,國安高層證實說,確實有公部門人員接獲LINE示警資安風險的訊息,但包括蔡英文總統及副總統賴清德等政府高層,不用LINE傳遞重要訊息,更不會在這類通訊軟體傳輸政府重要文件。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

Source:

https://news.ltn.com.tw/news/politics/paper/1463246

https://news.ltn.com.tw/news/politics/breakingnews/3618756

https://www.ctwant.com/article/130982

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

MITRE公布2021年前 25 名最危險的軟體安全缺陷-Top 25 Most Dangerous Software Weaknesses

2021年通用缺陷列表(Common Weakness Enumeration-CWE) 項目中,前 25 名最危險的軟體安全缺陷已出爐! 該項目是由美國國土安全部(Homeland Security)旗下的國土安全系統工程與發展研究所 (HSSEDI) 贊助,並交由非營利的研發機構MITRE負責管理。

MITRE參考了由2021 年 3 月 18 日下載到的美國國家漏洞資料庫 (NVD)的2019 年和 2020 年常見漏洞披露(Common Vulnerabilities and Exposures,CVE) 數據,分析了大約 32,500個 CVEs特性與CVSS(常見漏洞評分系統)分數後,公布了前 25 名最危險軟體安全缺陷的排名。第一名是編號CWE-787的越界寫入(Out-of-bounds Write)缺陷。

MITRE公布2021年最危險軟體安全缺陷排行

2021年列出的前三名最危險漏洞類別中,第1名是CWE-787的越界寫入(Out-of-bounds Write)缺陷,這缺陷在2020年時位列第2名。越界寫入指的是軟體在預期緩衝區的末尾或開頭之前寫入數據,這會導致數據損壞、當掉或允許程式執行,使軟體可修改index或執行指標運算(Pointer arithmetic)來引用緩衝區邊界之外的存儲位置,令隨後的寫入操作產生未定義或意外的結果。

今年的第二名是CWE-79,是在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation)而可能衍生出各種跨站程式攻擊(Cross-site scripting,XSS),CWE-79是在去年的第一名。

第三名缺陷是CWE-125的越界讀取(Out-of-bounds Read)指的是軟體讀取超出預期緩衝區末尾或開頭之前的數據,可允許攻擊者從其他內存位置讀取敏感資訊或導致當掉。

總體而言,前 25 名最危險的軟體安全缺陷可導致軟體中的嚴重漏洞,攻擊者通常可利用這些漏洞來控制受影響的系統、獲取敏感資料或導致阻斷服務的情況等,企業應在軟體開發流程中排除和解決這些缺陷。

Source: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

您的手機是否被以色列飛馬間諜軟體入侵?! 快~下~載檢測工具包

上週末,國際17家媒體聯合調查,披露了色列網路公司 NSO Group開發的間諜軟體飛馬(Pegasus),能夠入侵iPhone或Android系統,提取訊息、照片和電子郵件,對通話進行錄音,並在使用者不知情的情況下遠端啟動手機的話筒和攝像頭,進行即時監控。由國際特赦組織(Amnesty International)和法國非牟利新聞機構Forbidden Stories獲取的潛在監控清單上有5萬多個電話號碼,這些可能被監控的5萬多組手機號碼來自全球50多個國家地區。

飛馬惡意軟體起初是以網路釣魚方式,向用戶發放一條惡意鏈接,用戶只要一點擊就會中招,後來發現可通過開採iPhone中Zero- click iMessage漏洞,從遠端安裝就能直接控制手機,讓 iPhone 使用者即使沒點選不明連結也會中招。國際特赦組織Citizen Lab 研究員 Bill Marczak在一條推文中表示,NSO Group開採的Zero Click漏洞適用於 iOS 14.6,直到目前iOS 14.6 仍是最新版本的系統。

但國際特赦組織表示,可透過 Github 上發佈的 Mobile Verification Toolkit,來檢查自己的手機是否成為惡意軟體飛馬的入侵目標,國際特赦組織表示, iPhone 更比Android 設備易於發現的鑑識痕跡, Mobile Verification Kit可掃描 iPhone 以及 Android 手機的備份,再從中檢查是否有惡意軟體飛馬。為了調查惡意軟體飛馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs) 例如:有沒有用 NSO 網域名所發出的簡訊或信件等,如果您有加密的 iPhone 備份,您還可以使用 MVT 來解密您的備份,而無需製作全新的副本。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

Source:

https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

美國正式起訴中國政府資助的駭客組織APT 40的四名成員

7月19日美國聯合歐盟、英國、澳洲、加拿大、紐西蘭、日本與北大西洋公約組織(NATO)成員國,共同譴責中國發動惡意網路攻擊,以盜竊取智慧財產權、商業機密與傳染性疾病研究等,同時正式將3月初利用微軟Exchange Server的漏洞,對全球數以萬計的電腦及網路發動大型網路間諜行動歸咎於中國國家安全部,美國司法部今天同步公布5月一份起訴書,指控四名中國公民代表中國政府對世界各地的公司、政府機構和大學進行駭客攻擊。美國稱,這四名嫌疑人隸屬於中國國家安全部(China’s Ministry of State Security-MSS)下屬的海南省國家安全廳(Hainan State Security Department),並以一家名為海南仙盾科技的公司作為幌子公司從事駭攻,根據起訴書,至少自 2011 年以來,其中丁曉陽、程慶民與朱允敏3名被告為海南國安廳官員,負責協調、管理中共國安部旗下幌子公司內駭客,進行有利中國和相關企業的駭客行動。另一名被告吳淑榮則負責製造惡意軟體,對外國政府、企業與大學電腦系統進行網攻。

根據法庭文件,在APT40進行入侵時,常使用 Tor 網路來存取和操作他們的惡意軟體(BADFLICK, PHOTO, MURKYTOP, 和 HOMEFRY和駭客基礎設施(包含伺服器、網域、電子郵件、GitHub 和 Dropbox 帳戶。)該組織經常使用 GitHub 來存儲惡意軟體和被盜數據,並使用圖像隱碼術(Steganography)來隱藏程式碼,將數據隱藏在圖像中。由於大多數公司不會將 Dropbox 流量視為惡意流量,APT40還經常濫用 Dropbox 帳戶作為被盜數據的收集點。

起訴書指出,受害者遍及美國、英國、瑞士、奧地利、柬埔寨、加拿大、德國、印度尼西亞、馬來西亞、挪威、沙特阿拉伯等12國,遭鎖定產業也橫跨航空、國防、政府與生物製藥等,被盜的商業機密和數據包括用於潛水器(submersibles)和自動駕駛汽車的機密技術、特殊化學配方、商用飛機維修、專有基因定序技術等。APT40 還涉嫌從研究機構和大學竊取針對與伊波拉病毒中東呼吸症候群冠狀病毒、愛滋病、馬堡病毒和兔熱病等相關的傳染病研究數據。此外,美國調查人員表示,APT40 與海南和中國各地的多所大學密切合作。該組織利用他們的海南仙盾公司,與大學工作人員合作,從大學中招募駭客和語言學家,以助他們未來的入侵。

另外,在白宮宣布和司法部指控之後,CISA、國土安全部和聯邦調查局聯合發布了一份檢測 APT40 入侵和活動的技術指南,其中包含 50 多種觀察到中國網軍使用的網路攻擊戰術流程(Tactics, Techniques and Procedures),入侵指標( IOCs)和緩解措施。

有關情資:

Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department | CISA

Rewards for Justice! 美國反勒索軟體攻擊祭出1000萬美元懸賞

美國國務院(Department of State)今天宣布Rewards for Justice(正義獎勵) 計畫,為遏止重大基礎設施遭網攻和勒索軟體事件的激增,將懸賞最高1000萬美元(約新台幣2.79億元)給可以提供識別駭客身份、位置的資訊或線索的相關人士。

最近兩個月,美國最大肉類加工巨頭JBS Foods 和美運油公司Colonial Pipeline 遭駭攻,影響了美國的食品和燃料供應數天,甚至在某些地區引起美國民眾恐慌。許多資安公司和行業專家指責俄羅斯,指責克里姆林宮容忍並允許這些駭客在不攻擊俄羅斯組織的情況下從其他國家開展攻擊活動。

通過今天公告,可見國務院正在尋找證據,以證明這些駭客是在當地政權的某種幫助或指導下運作的。

懸賞的1000萬美元是通過國務院的正義獎勵 (Rewards for Justice) 計劃提供的,該計劃曾懸賞500萬美元以獲取有關北韓駭客及其正在進行的駭客活動的情報,並對有關任何國家資助的駭客干預美國大選提供資訊者予以最高1000 萬美元的獎勵。

為了保護潛在消息來源的安全,國務院表示願意以加密貨幣支付獎勵金,甚至建立了一個專門的暗網入口網站來接收匿名提示。

微軟稱中國駭客開採了SolarWinds Serv-U中的零時差漏洞,並將攻擊歸因於DEV-0322

微軟週二表示,中國駭客開採了SolarWinds Serv-U FTP 伺服器中的漏洞,並積極瞄準美國國防和軟體公司。今天,SolarWinds 再一次更新了針對其Serv-U FTP 伺服器中的零時差漏洞的安全更新, CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中。當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。

攻擊的消息於 7 月 9 日星期五首次浮出水面,SolarWinds 發布了一個安全更新,以修補Serv-U中的一個已被開採的零時差漏洞。當時,SolarWinds 表示是在收到微軟的通知之後才知道漏洞 (CVE-2021-35211)受到持續的攻擊,但沒有發布 Serv-U 修補 (v15.2.3 HF2) 以外的任何其他細節。今微軟透露,很有把握對將這些攻擊歸因於一個名為“DEV-0322”的中國駭客組織。微軟威脅情報中心(Microsoft Threat Intelligence Center -MSTIC)在部落格文章中說,DEV-0322經常依賴由路由器或其他類型的物聯網設備組成的殭屍網路。

“MSTIC 觀察到 DEV-0322 以美國國防工業基地部門實體和軟體公司公開暴露的 Serv-U FTP 伺服器為目標,並已觀察到DEV-0322在基礎架構中使用商業 VPN和受損的消費者路由器。”

這些攻擊也標誌著中國駭客組織第二次濫用 SolarWinds 軟體來破壞企業和政府網路,早在 2020 年 12 月,就在俄羅斯策劃的 SolarWinds 供應鏈攻擊曝光的同時,中國駭客組織SPIRAL也在忙著利用 CVE-2020-10148 漏洞在 SolarWinds Orion IT 監控平台上安裝 web shell。

另外根據 Censys 的search query,自上週Solarwinds發布修補以來仍有超過 8,200 個 SolarWinds Serv-U 系統將其 SSH 端口暴露在網上,總而言之,使用 SolarWinds Serv-U FTP 伺服器的公司應通過安裝Solarwinds發布的修補或關閉對伺服器的 SSH 存取來保護自己免受 DEV-0322 攻擊。

有關情資:

Serv-U Remote Memory Escape Vulnerability being exploited in the wild CVE-2021-35211

中國網軍濫用直播軟體OBS,在賭博網站上傳播 BIOPASS木馬程式

Key Points:

*研究人員在針對中國賭博網站用戶的攻擊中發現了新的RAT(遠端存取木馬程式) “BIOPASS”

*BIOPASS利用 OBS Studio 軟體向攻擊者直播受害者的螢幕

*已經發現 BIOPASS 惡意軟體與Winnti/APT41 的中國APT駭客組織之間存在聯繫

Trend Micro研究人員警告說,一種新的惡意軟體正在通過水坑攻擊(Watering hole)來入侵中國的線上賭博公司,以部署 Cobalt Strike beacon程式或新的Python 的後門程式BIOPASS RAT,該後門利用 Open Broadcaster Software(簡稱為OBS Studio) 的直播實況串流應用程式直播受害者的螢幕給攻擊者。研究人員指出RAT 已被偽裝在 Adobe Flash Player 或 Microsoft Silverlight 的合法安裝程式中(這兩種軟體已到產品生命週期終止End of Life),但在中國仍然使用。根據上週TrendMicro的研究報告,攻擊者在中國賭博網站的技術/聊天支援頁面上植入的惡意 JavaScript 程式將用戶重新導向到攻擊者用於感染受害者的頁面。

具體來說,那些安裝了惡意 Flash Player 和 Silverlight 應用程式的人,不止安裝了合法版本的軟體同時也將BIOPASS木馬程式安裝下去,從而使攻擊者可以完全控制他們的系統。

研究人員在分析中指出,BIOPASS具有在其他惡意軟體中發現的基本功能,例如檔案系統評估、遠端桌面存取、檔案外洩和 shell 命令執行。同時它還能夠通過竊取web browser和即時通訊客戶端數據來洩露受害者的私人資訊。

雖然 BIOPASS 看起來與任何其他遠端存取木馬程式一樣,但它還帶有任何其他惡意軟體中沒有的新功能——即它在受害者的系統上安裝 OBS Studio軟體。OBS Studio 是個免費且開放原始碼的影音串流直播工具,可支援 YouTube, YouTube Gaming, Twitch, Facebook Live, Smashcast, DailyMotion, Twitter…等三十多個影音平台與直播服務。

BIOPASS 除了具有運行典型間諜軟體範圍的一系列功能外,還配備通過即時通訊遞協定 (RTMP) 將即時串流流建立到攻擊者控制下的遠端服務,此外還可使用 Socket.IO 協定與C2伺服器通信。

趨勢科技的研究人員表示,他們發現 BIOPASS 與 Winnti Group(又名APT41)相關的 TTPs 之間存在重疊,Winnti Group是一個專門從事網路間諜攻擊的中國政府長期資助的對象,官方色彩非常濃厚。2020年5月中,法務部調查局曾就中油、台塑化及封測廠力成遭惡意程式攻擊,研判為Winnti Group所為。

Winnti除了發動的路間諜攻擊外,過去也曾對線上遊戲公司發動於經濟動機的攻擊,以謀取利益。

有關BIOPASS RAT的情資:

https://otx.alienvault.com/pulse/60ec06ea60906a8a9c69cf23

Microsoft緊急發布例外更新-KB5004945,以修補PrintNightmare 漏洞

Microsoft 敦促客戶立即安裝這些例外的安全更新以解決 PrintNightmare 漏洞,但有研究人員指出這次修補只補好RCE漏洞,本地權限升級(LPE)漏洞仍未修補好。

Windows PrintNightmare Vulnerability

今天微軟發布了緊急的例外(Out-of-band)安全更新,以修補以一個關鍵的零日漏洞(稱為“PrintNightmare”), 該漏洞影響Windows Print Spooler 服務,可讓攻擊者執行任意程式碼並接管易受攻擊的系統。

在上周微軟警告稱已檢測到攻擊者針對編號為CVE-2021-34527(CVSS 8.8)的開採,且該遠端程式碼執行缺陷影響所有市場上的Windows版本。

根據美國CERT協調中心(CERT Coordination Center),Windows Print Spooler 服務未能限制對允許用戶添加印表機和相關驅動程式功能的存取,這可允許遠端身份驗證的攻擊者以系統權限在易受攻擊的系統上執行遠端程式碼。

值得注意的是,PrintNightmare漏洞包括遠端程式碼執行(RCE)和本地特權升級(LPE) 向量,可在攻擊中被濫用以在目標 Windows 機器上運行具有系統權限的命令。

CERT/CC 漏洞分析師 Will Dormann說: 微軟針對 CVE-2021-34527 的更新似乎只解決​​了 PrintNightmare 的遠端程式執行(RCE),而不是本地特權升級(LPE)。這實際上意味著修補不全,攻擊者仍可以在本地利用該漏洞獲得系統(SYSTEM)權限。在微軟發布例外更新後,安全研究員 Matthew Hickey也證實該修補僅修復了 RCE 而不是 LPE 組件。

另外另一個變通方法,Microsoft 建議停止和關閉Print Spooler 列印緩衝處理服務或通過群組政策(Group Policy Object)關閉接收遠端列印以阻止遠端攻擊。CISA 上週也發布了關於 PrintNightmare 零日漏洞的通知,鼓勵管理員在不用於打印的服務器上關閉 Windows Print Spooler 服務。

Windows針對以下版本已發布了修補:

Windows Server 2019

Windows Server 2012 R2

Windows Server 2008

Windows 8.1

Windows RT 8.1, and

Windows 10 (versions 21H1, 20H2, 2004, 1909, 1809, 1803, and 1507)

微軟甚至採取了不常見的做法,為去年正式停止支援的Windows 7 發布修補。Windows 10 版本 1607、Windows Server 2016 或 Windows Server 2012 的安全更新尚未發布,但據微軟稱,它們也將很快發布。