中國駭客組織APT41升級惡意軟體庫 新增了分別名為DodgeBox和MoonWalk的兩款工具

DodgeBox 是一個載入程式,它會載入名為 MoonWalk 的新後門

用於部署 DodgeBox 載入程式和 MoonWalk 後門的攻擊鏈 Photo Credit: Zscaler

   知名資安外媒The Hacker News報導,中國駭客組織APT41使用已知惡意軟體StealthVector 的「高級升級版」來投放先前未紀錄過的後門名為MoonWalk。   

2024年4月Zscaler ThreatLabz 發現了 StealthVector的新變種,被Zscaler 認定為改進版本的DodgeBox。DodgeBox與StealthVector一樣,是一個用C語言編寫的Shell代碼載入器,可以配置各種功能——包括「解密和加載嵌入的DLL、進行環境檢查和綁定以及執行清理程式。」

然而與StealthVector相比,DodgeBox在其實施上有顯著改進。DodgeBox的一些功能包括加密——它使用AES密碼反饋(AES-CFB)模式加密其配置。它還進行一系列環境檢查,以確保它達到了正確的目標並擁有正確的權限,以確保最大限度地訪問受害者的系統。

安全研究人員表示,DodgeBox 是一個載入程式,它會載入一個名為MoonWalk的新後門。同時也結合了呼叫堆疊誘騙、DLL側載和DLL空洞等的各種技術。MoonWalk擁有DodgeBox的許多規避技術,並利用Google Drive 進行命令和控制通訊。目前尚不清楚惡意軟體傳播的確切方法。

研究人員表示, APT41採用DLL側載作為執行DodgeBox的一種方式。利用由Sandboxie簽署的合法可執行檔(taskhost.exe)來側載惡意DLL(sbiedll.dll)。”流氓DLL (即DodgeBox) 是一個用C語言編寫的DLL載入器,充當解密和啟動第二階段有效負載(MoonWalk 後門)的管道。

將DodgeBox 歸屬於APT41源自於DodgeBox與StealthVector的相似之處 ; 使用DLL側面加載,這是China-nexus組織廣泛使用的技術,用於傳播PlugX等惡意軟體 ; 事實上,DodgeBox樣本已從泰國和台灣提交給VirusTotal。

APT41自2007年來一直活躍至今,APT41也被稱為Barium、Wicked Panda、Wicked Spider和Earth Baku——與中國國家安全部有密切聯繫。除了數位間諜活動外,該組織還偶爾進行以金錢為目的的犯罪行為。Google的Mandiant安全單位認為這是該組織資助其間諜活動的方式。多年來,美國政府已指控APT41成員入侵全球超過100名受害多家公司的電腦網路。

2021年5月至2022年2月期間該威脅組織與對美國州政府網路的入侵有關,此外還使用名為Google Command and Control(GC2)的開源紅隊工具針對台灣媒體組織發動攻擊。

APT41相關的部分的入侵指標(IOCs):

0d068b6d0523f069d1ada59c12891c4a                        

294cc02db5a122e3a1bc4f07997956da                                            

393065ef9754e3f39b24b2d1051eab61                                   

4141c4b827ff67c180096ff5f2cc1474                   

72070b165d1f11bd4d009a81bf28a3e5                         

b3067f382d70705d4c8f6977a7d7bee4     

bc85062de0f70afd44bb072b0b71a8cc

bcac2cbda36019776d7861f12d9b59c4

d72f202c1d684c9a19f075290a60920f                

f062183da590aba5e911d2392bc29181               

多國網路安全機構發出警告,中國間諜組織APT40快速轉換,利用新漏洞的網路間諜活動

    根據外媒The Hacker News與澳華網相關報導,網路情報機構澳洲信號局(Australian Signals Directorate,ASD)和其他其情報合作夥伴(美國、英國、加拿大、紐西蘭、德國、韓國、日本)發佈一份聯合公告,指控中國間諜組織APT40針對各國展開大規模的網路間諜活動,警告其有能力利用新的漏洞進行攻擊。2021年7月美國及其盟國正式將該組織APT40歸咎於中國國家安全部(MSS),該組織在中國海南省海口市,並接受中海南省公安廳、海南省國家安全廳下達的任務,並指控該組織的幾名成員策劃了一場針對不同行業的多年活動,以竊取商業機密、智慧財產權和高價值資訊。

    APT40該組織也被稱為Bronze Mohawk、Gingham Typhoon(以前稱為Gadolinium)、ISLANDDREAMS、Kryptonite Panda、Leviathan、Red Ladon、TA423和TEMP Periscope,據了解至少自2011年以來一直活躍,對實體進行網路攻擊在亞太地區。

APT40會定期對其感興趣的網路(包含發起機構所在國家的網路)進行偵察,尋找入侵目標(識別網路上易受攻擊、報廢或不再維護的設備),這種定期偵察使APT40具備有快速轉換和調整利用新漏洞的概念驗證(POC)的能力,並立即將其用於攻擊擁有相關漏洞基礎設施的目標網路。

    APT40採用部署web shell來建立持久性並保持對受害環境的存取,以及使用澳洲網站進行命令和控制的目的。APT40合併了過時或未修補的設備,包括小辦公室 / 家庭辦公室(SOHO)路由器,作為其攻擊基礎的一部分,試圖重新路由惡意流量並逃避檢測,這種操作方式是類似於Volt Typhoon等其他中國團體所使用的方法。

    據Google旗下的Mandiant稱,這是源自中國的網路間諜活動更廣泛轉變的一部分,旨在透過日益武器化網路邊緣設備、「ORB 網路」(操作中繼盒網路)和使用離地攻擊(Living off the Land,LotL)技術,將隱密性置於首要位置和中心。

    攻擊鏈還涉及使用遠端桌面協定(RDP)進行偵查、權限升級和橫向移動活動,以竊取憑證並洩漏感興趣的資訊。

過去幾年中,APT40與提供ScanBox偵察框架的入侵波以及利用WinRAR中的安全漏洞(CVE-2023-38831,CVSS評分:7.8)有關,作為針對巴布亞新的網路釣魚活動的一部分幾內亞將提供一個名為BOXRAT的後門。

今年3月初,紐西蘭政府暗示威脅者參與了2021年議會法律顧問辦公室和議會服務的妥協。編寫機構表示:”APT40識別了Log4j、Atlassian Confluence和Microsoft Exchange等廣泛使用的公共軟體中的新漏洞,以針對相關漏洞的基礎設施。

企業的虛擬資安團隊 ~ 竣盟科技貼心提醒,隨時做好下列資安防護措施,將可減輕此類威脅為企業運營帶來的風險。

  • 隨時維護足夠的日誌記錄機制
  • 實施多重身份驗證(MFA)
  • 實施強大的修補程式管理系統
  • 更新報廢設備
  • 停用未使用的服務、連接埠和協議
  • 網路進行分段(以防止存取敏感資料)

APT40 IOC:

26a5a7e71a601be991073c78d513dee3

87c88f06a7464db2534bc78ec2b915de

6a9bc68c9bc5cefaf1880ae6ffb1d0ca

64454645a9a21510226ab29e01e76d39

e2175f91ce3da2e8d46b0639e941e13f

9f89f069466b8b5c9bf25c9374a4daf8

187d6f2ed2c80f805461d9119a5878ac

ed7178cec90ed21644e669378b3a97ec

5bf7560d0a638e34035f85cd3788e258

e02be0dc614523ddd7a28c9e9d500cff

 Twilio遭駭客入侵 3,300萬個電話號碼遭外洩 用戶需警惕網路釣魚攻擊

Photo Credit: Twilio

     美國雲端通訊巨頭Twilio週三向證實遭駭,根據TechCrunch的報導,名為ShinyHunters的駭客在知名駭客論壇上的貼文表示,他們入侵了Twilio,能夠識別與Authy (Twilio旗下流行的雙重認證應用程式) 帳戶相關的數據,並取得3,300萬名Authy用戶的電話號碼。Twilio強調Authy帳戶並未受到入侵,然而駭客可能嘗試使用與Authy帳戶關聯的電話號碼進行網路釣魚和簡訊攻擊。                              

     2022年,Twilio遭受了更大規模的資料洩漏,當時一群駭客存取了100多家公司的客戶資料。隨後,駭客發起了大規模的網路釣魚活動,導致至少130家公司的約10,000份員工憑證被盜。Twilio表示,作為當時入侵的一部分,駭客成功瞄準了93名Authy用戶,並能夠在這些受害者的Authy帳戶上註冊其他設備,使他們能夠有效竊取真正的雙因素代碼。

     網路安全專家Rachel Tobac向TechCrunch表示 : 「如果攻擊者可以列舉用戶的電話號碼列表,那麼這些攻擊者就可以對這些用戶冒充Authy / Twilio ,從而增加對該電話號碼進行網路釣魚攻擊的可信度。」

     Twilio發言人Kari Ramirez 告訴TechCrunch,該公司「已偵測到,由於端點未經身份認證,駭客能夠識別與Authy帳戶相關的數據,包括電話號碼。我們已採取措施保護此端點,不再允許未經身份驗證的請求。」

   7 月 1 日,Twilio也在其官方網站上發布了警告,其中包括一封電子郵件中相同的聲明:「我們沒有看到任何證據表明駭客獲得了Twilio系統或其他敏感資料的存取權限。作為預防措施,我們要求所有Authy用戶(在您運行的任何裝置上)更新到最新的Android和iOS應用程式以獲得最新的安全更新,我們鼓勵所有Authy用戶保持警惕,並對接收到的簡訊提高警覺。」

竣盟科技提醒Authy用戶,多種最佳實踐可以幫助降低因資料外洩而遭受網路釣魚攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 自學網路釣魚策略:了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。

中國APT駭客組織Velvet Ant利用Cisco Nexus設備的零時差漏洞,傳播惡意軟體 !

Photo Credit: TheHackerNews

根據國外資安媒體TheHackerNews的報道,名為Velvet Ant的中國APT駭客組織利用Cisco交換機中NX-OS軟體的零時差漏洞,編號為CVS-2024-20399 (CVSS評分: 6.0) 的命令注入漏洞,允許經過驗證的攻擊者以root身份,在受影響設備的底層作業系統上執行任意命令,傳播惡意軟體。

     Velvet Ant於上個月首次被以色列網路安全公司紀錄在案,該事件涉及針對東亞一個未命名組織的網路攻擊,持續約三年,透過使用過時的F5 BIG-IP設備建立持久性,秘密竊取客戶和資料。

     網路安全公司Sygnia表示「透過利用此漏洞,Velvet Ant 成功執行了一種以前未知的自訂惡意軟體,該惡意軟體允許威脅組織遠端連接到受感染的Cisco Nexus、上傳其他文件並在設備上執行代碼。網路設備,特別是交換機,通常不受監控,它們的日誌也經常不會轉發到集中式日誌系統。」”缺乏監控給識別和調查惡意活動帶來了重大挑戰。”

     Cisco表示,該問題源於對傳遞給特定配置CLI命令的參數驗證不足,攻擊者可以透過精心設計的輸入作為受影響的配置CLI命令的參數來利用這些參數。更重要的是,它使具有管理員權限的使用者能夠在不觸發系統日誌訊息的情況下執行命令,從而可以隱藏被駭設備上shell命令的執行情況。

     以下為受到CVE-2024-20399影響的Cisco交換機設備 :

  • MDS 9000 系列多層交換機
  • Nexus 3000 系列交換機
  • Nexus 5000 平台交換機
  • Nexus 5600 平台交換機
  • Nexus 6000 系列交換機
  • Nexus 7000 系列交換機
  • 獨立NX-OS模式的Nexus 9000系列交換機

竣盟科技的LogMaster巨量日誌搜尋管理系統,透過設定關鍵字可主動查覺異常日誌紀錄,定期的智能監控日誌內容與收容狀況,主動分析告警讓資安管理人員找出異常行為,從而降低企業資安風險及減輕監控負擔。

中國APT駭客ChamelGang利用勒索軟體 針對全球政府機關基礎設施 進行大規模勒索 !

Photo Credit: SHUTTERSTOCK

      據信中國國家級駭客越來越多地部署勒索軟體,以造成干擾並為其間諜活動提供掩護,美國網路安全公司SentineOne分享的一份報告中顯示,ChamelGang(又名CamoFei)在2022年使用CatB勒索軟體變種針對印度主要醫療機構 (All India Institute of Medical Sciences (AIIMS)和巴西總統辦公室發起的攻擊,以及在2023年針對東亞政府實體和印度次大陸航空組織的攻擊。研究人員表示,ChamelGang 組織反覆部署勒索軟體和加密器,「目的是獲取經濟利益、破壞、分散注意力、入侵歸屬或刪除證據」。 據稱,ChamelGang 先前曾針對多種組織發動攻擊,包括東亞政府、南亞航空組織以及美國、台灣和日本等其他國家的政府和私人組織。

      由於程式碼重疊,研究人員將CatB勒索軟體和BeaconLoader與ChamelGang關聯起來。進一步調查顯示,ChamelGang經常將BeaconLoader偽裝成Windows服務或軟體元件,例如TSVIPSrv.dll和TPWinPrn.dll並可能透過它部署Cobalt Strike來執行偵察命令、其他工具以及竊取NTDS.dit Active Directory等文件資料庫,儲存關鍵資訊。

      ChamelGang的武器庫中擁有許多工具,包括BeaconLoader、Cobalt Strike、AukDoor和DoorMe等後門,以及名為CatB的勒索軟體變種。根據其共通性,該勒索軟體已被確認用於針對巴西與印度的攻擊。

      研究人員還發現ChamelGang使用Jetico BestCrypt 和Microsoft BitLocker來加密端點並索取贖金的入侵,在2021年初至2023年中期影響了北美、南美和歐洲的各個垂直產業。據估計多達37個組織,主要是美國製造業,受到的影響最大。

      使用BestCrypt和BitLocker的入侵以及類似於LIFARS案例中的勒索紀錄,已歸因於名為TimisoaraHackerTeam和DeepBlueMagic的勒索軟體組織。這些組織與針對以色列HillelYaffe 醫療中心等醫療機構的攻擊有關,以色列當局表示懷疑是中國勒索軟體組織為幕後黑手。

      根據俄羅斯資安研究公司Positive Technologies於2021年首次紀錄,ChamelGang被評估為一個與中國有聯繫的組織,其運作動機多種多樣,包括情報收集、資料竊取、經濟利益、拒絕服務(DoS)攻擊和資訊操作。

      SentineOne的報告強調ChamelGang是一個持續存在的全球網路間諜組織,其目標是受戰略利益、區域競爭、地緣政治緊張局勢和技術競爭力驅動的印度和東亞等關鍵基礎設施部門(包含醫療保健、航空和製造業)。

      SentineOne進一步表示,不能排除這些活動是更廣泛的網路犯罪計畫的一部分的可能性,特別是考慮到國家級駭客也不時參與出於經濟動機的攻擊。

      安全研究人員Aleksander Milenkoski告訴  : 「我們觀察到的活動與過去的入侵重疊,涉及與疑似中國和北韓APT駭客組織相關的工作。」他表示,可見性限制可能導致無法檢測到惡意工具本身。偽裝成勒索軟體活動的網路間諜活動為敵對國家提供了一個機會,透過將這些行為歸咎於獨立的網路行為者而不是國家支持的駭客組織,從而聲稱可以進行合理的推諉。

      「網路間諜駭客組織使用勒索軟體模糊了網路犯罪和網路間諜活動之間的界線,從戰略和營運角度為對手提供了優勢。」

中國APT駭客ChamelGang相關的部分的入侵指標(IOCs):

5a6baf931adad480b920394568c52a9d              

7b5bbc29e6addfa1fdaea839e500f995                          

88ef5955f8fa58e141da85580006b284                          

8dfeaaf7351f695024ed3604a4985e98                

b9337830c32f71a6ecccec60ba42de00              

edc87da8654e966bee0e5c9b92ed67cb                       

098e60cd5053ec9613d32a7ced68e44f1a417353             

09959be9b5f8ca21caa55577ce620034632a3f92              

0c762bff5b4a0bf5abbdf28afc15cfc6dce575b1

勒索軟體LockBit的新變種攻擊印尼國家資料中心 造成大規模的公共服務遭受影響

包含機場自動通關系統遭癱瘓

Photo Credit: Shutterstock

      雅加達政府對外聲明表示,兩個臨時國家資料中心(National Data Center)設施在上週遭受勒索軟體LockBit 3.0的新變種攻擊造成資料中斷與外洩,導致共有210個中央和地方政府機構的資料庫受到攻擊影響,其中包含哈達國際機場的移民處理系統癱瘓,迫使移民官員進行人工檢查,導致旅客長時間等待的諸多不便。

      通訊部長(Budi Arie Setiadi)告訴國家通訊社(Antara),攻擊者勒索要800萬美金的贖金,以換取解密數據,並強調政府不會支付或遵守這些要求。

      國家網路和加密機構(National Cyber and Crypto Agency)負責人Hinsa Siburian表示,數位鑑識調查人員發現,攻擊者使用現有惡意軟體Lockbit的新變種勒索軟體Brain Cipher。Lockbit是一種阻止使用者存取電腦系統的勒索軟體,經常被駭客組織Lockbit用於對受害者進行數位勒索。駭客很可能停用了該中心的Windows Defender 安全功能,使他們能夠在不被注意的情況下進入系統,然後使用惡意軟體感染目標系統,刪除重要文件,並停用運行的服務。

      根據印尼當地媒體報導,這次攻擊也影響了學校和大學線上招生平台,迫使地方政府延長註冊期限,據報導該勒索軟體總共中斷至少210個本地服務。

      雖然對於駭客襲擊事件的調查還在進行中,印尼當局表示他們已經「隔離」了受感染的地區,但由於系統已加密,他們可用於分析攻擊的工具有限。截至週一(6月24日),印尼政府正在努力恢復全國範圍內受影響的公共服務,儘管包括護照和落地簽證處理在內的所有移民服務均正常運作。移民局、海事和投資部已於週一恢復服務,但許多其他城市仍處於恢復過程中。

      通訊和資訊部已經將資料暫時儲存在泗水和雅加達的兩個設施中,同時正在建造新的資料中心,以整合中央和地區各級政府機構的資料。這些設施由上市國有電信公司PT Telkom Indonesia的子公司Telkomsigma營運。

      在警方於二月關閉其勒索網站之前,LockBit是最猖狂的勒索軟體活動之一。僅僅三個月後,網路犯罪分子似乎又復活了它。網路安全分析師Dominic Alvieri 表示,這並不是印尼的資料中心第一次成為駭客的目標。2023年,ThreatSec 組織聲稱入侵了該中心的系統,據稱竊取了包括犯罪記錄在內的敏感資料。印尼另一起影響該國最大伊斯蘭銀行BSI的重大資料外洩事件就是由LockBit造成的。據報導去年5月,駭客竊取超過1500萬BSI客戶和員工的個人資訊。

      網路安全專家Ardi Sutedja告訴「雅加達郵報」表示,政府未能確保國家數位基礎設施達到最高安全標準。從事件的規模來看,這不再只是技術中斷,而是一場巨大的災難。他表示,長達數天的恢復時間令人擔憂,因為數位事件的標準恢復時間不應該超過24小時。

Lockbit的新變種Brain Cipher相關的部分的入侵指標(IOCs):

9cb96848386327410ca588b6cd5f6401    

968c4ae64dcb71c9eeffd812ef38a69d5548b3bb               

0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086

美國以國家安全風險為由 禁售卡巴斯基產品

#BAN

美國政府宣布,由於來自俄羅斯的安全風險,禁止銷售卡巴斯基軟體,並敦促公民更換該軟體

美國政府週四(6/20)宣布禁止在該國銷售卡巴斯基防毒軟體,並且呼籲目前使用卡巴斯基相關產品的美國境內企業、消費者儘快更改到其他軟體服務。拜登政府宣布,由於俄羅斯對美國國家安全構成的風險,將禁止銷售卡巴斯基防病毒軟體。美國政府正在實施一項新規定,以俄羅斯構成國家安全風險為理由並利用在川普政府期間建立的權力來禁止銷售卡巴斯基軟體。美國商務部工業與安全局 (Bureau of Industry and Security,BIS) 宣布了一項最終裁決,禁止俄羅斯防毒軟體和網路安全公司的美國子公司卡巴斯基實驗室直接或間接提供防毒服務。美國商務部長吉娜·雷蒙多(Gina Raimondo)在周四的新聞發布會上告訴記者,當你想到國家安全時,你可能會想到槍支、坦克和飛彈,但事實是,它越來越與技術與軍民有關,而且與數據有關。 根據商務部長雷蒙,俄羅斯已經顯示出其有能力和意圖利用像卡巴斯基這樣的俄羅斯公司來收集和武器化美國人的個人資訊,因此美國政府必須採取行動的原因。

美國政府專家認為,俄羅斯克里姆林宮對卡巴斯基的影響構成了重大風險,據路透社報導,俄羅斯相關駭客可以濫用該軟體對電腦系統的特權存取權,從美國電腦中竊取敏感資料或散播惡意軟體。

這並不是西方政府首次禁止卡巴斯基,但該俄羅斯公司一直否認與俄羅斯政府有任何聯繫。 路透社報導稱,美國政府將採取另一項措施,將卡巴斯基的三個部門列入貿易限制名單。此舉將大大影響該公司在美國的銷售,並將打擊卡巴斯基的聲譽。據TechCrunch報導,該禁令將於7月20日開始,但該公司的活動,包括向其美國客戶提供軟體更新,將於9月29日被禁止。

「這意味著您的軟體和服務將降級。這就是為什麼我強烈建議您立即找到卡巴斯基的替代方案。」雷蒙多說。

雷蒙多呼籲卡巴斯基的客戶更換他們的軟體,並解釋說,已經使用卡巴斯基防病毒軟體的美國客戶並未違法。

「繼續使用或已有卡巴斯基產品和服務的美國個人和企業並未違法,您沒有做錯任何事,您也不會受到任何刑事或民事處罰。」雷蒙多補充說。「然而,我以最強烈的方式敦促您立即停止使用該軟體,並切換到其他替代方案,以保護自己、您的數據和您的家人。」

卡巴斯基回應指,他們相信美國的決定是基於當前地緣政治氣候和理論擔憂,而非對卡巴斯基產品和服務完整性的全面評估。

不僅AMD ?! 知名駭客IntelBroker也聲稱入侵Apple?! 暗網兜售疑是兩家公司的資料

6月19日,美國晶片巨頭AMD( Advanced Micro Devices) 稱正在調查潛在的網路攻擊,根據BleepingComputer報道,化名為「IntelBroker」的駭客正在出售其聲稱是從本月在AMD.com 漏洞中獲得的數據,AMD在一份聲明中證實,他們正在調查這起資料被盜事件。

AMD 在給媒體聲明中表示:“我們發現一個網路犯罪組織聲稱擁有被盜的 AMD 資料。我們正在與執法官員和第三方託管合作夥伴密切合作,調查這一說法和數據的重要性。” 前一天(6月18日),名為 IntelBroker 的網路犯罪組織在一個駭客論壇上發布該消息,聲稱6月某個時間點入侵了 AMD。被盜數據涉嫌包括即將推出的產品規格和計畫的數據,以及涵蓋員工和客戶資料的數據庫。其他被盜數據包括 AMD 的財務狀況、原始碼和韌體和ROM。為了增加駭客稱攻擊的可信度,IntelBroker 公佈了一些被盜數據的截圖,包括 AMD 員工的公司電子郵件地址和內部電話號碼。但顯示的員工資料均被標記為無效(Inactive),可表明這些員工已經不再在公司工作,電子郵件已經失效。IntelBroker 也沒有公佈任何被盜的客戶資訊,因此不清楚具體被盜的資訊有哪些。但其他截圖顯示了似乎是 AMD 內部文件的內容。特別是,一個截圖文件提到了包括 Ryzen 和 EPYC 晶片系列在內的各種 AMD 晶片的規格發布。另外,2022 年勒索軟體組織RansomHouse曾聲稱從AMD竊得450GB 數據。

今天6月19日, IntelBroker在同一個駭客論壇聲稱入侵了Apple,並現已獲得了三種常用Apple 工具的原始碼,包含Apple Connect-SSO、 Apple -HWE-Confluence-advanced、Apple巨集插件。目前未看到Apple對駭客的聲稱有任何回應,IntelBroker的聲稱仍未獲得證實。根據CyberNews如果屬實,外洩的工具的名稱可表明Apple用於各種系統的單一登入驗證、協作和自動化,可能會危及公司的內部工作流程。然而,未經證實,其程度和影響仍不確定。另外值得注意的是IntelBroker對AMD及Apple的聲稱入侵都是發生在6月。

IntelBroker 以針對知名目標進行高調入侵而聞名,在過去,曾出售據稱從歐洲刑警組織、家得寶 (The Home Depot ) 、匯豐和健康保險市場 DC Health Link等竊取的數據。

全球至少2萬臺FortiGate防火牆遭到中國駭客Volt Typhoon滲透

    根據近期外媒CRNBleepingComputer相繼報導荷蘭軍事情報和安全局(The Dutch Military Intelligence and Security Service-MIVD)發現自2月以來,中國駭客威脅組織在2022年和2023年的幾個月內利用了一個關鍵的FortiOS和FortiProxy遠端程式碼執行零日漏洞CVE-2022-42475,部署於全球至少20,000個易受攻擊的FortiGate防火牆上。

在該活動期間內,Fortinet 於2022年12月披露遠端程式碼執行(REC)漏洞之前的兩個月內,有14000台設備受到滲透並發現西方政府、國防工業國家和國際組織都是目標之一。該活動中利用的RCE漏洞編號為 CVE-2022-42475(CVSS風險評為9.8分),該漏洞與今年早些時候與中國的APT駭客組織Volt Typhoon的攻擊有關。美國相關機構二月份表示,已知Volt Typhoon透過利用包括Fortinet在內的多家供應商的網路設備來獲得相關關鍵基礎設施IT系統的初步存取權限。

 美國機構當時表示,在美國機構分享的一個「已確認的入侵」案例中,Volt Typhoon「可能透過利用網路外圍FortiGate 300D防火牆中的CVE-2022-42475 漏洞獲得關鍵基礎設施IT系統的初始存取權限」。

MIVD表示:”攻擊中使用的Coathanger遠端存取木馬(RAT)惡意軟體也在用於非機密專案研發(R&D)的荷蘭國防部網路中被發現。儘管如此,由於網路分段,攻擊者仍被阻止轉移到其他系統。MIVD發現這種以前未知的惡意軟體可以在系統重啟和韌體升級後幸存下來,是由中國APT的駭客組織在針對荷蘭及其盟國的政治間諜活動中部署的。這使得駭客能夠永久存取系統,即使受害者安裝了FortiGate的安全更新,駭客仍可繼續保留這種存取權限。

Fortinet當時發佈了一篇博文,指出”組織需要制定強大的修補管理計畫,並遵循最佳實踐以確保基礎設施的安全”。Fortinet在2月向CRN提供的聲明中表示:”我們繼續督促客戶即時修補並持續監控其網路是否在異常活動,以幫助減輕網路風險。”

MIVD認為,中國駭客依然可以接觸到許多受害者,因為Coathanger木馬程式很難檢測,因為它會攔截系統呼叫以避免暴露其存在,而且由於它在韌體升級後仍然存在,因此很難將其刪除。

    2024年以來資安產品的CVE漏洞越來越頻繁,尤其以存取閘道資安漏洞最嚴重。所以全方位的存取閘道資安政策(情資)部署,包含身份認證辨識保護、威脅監控、威脅情資搜尋與事件比對、資安強度評估、全面性視覺化資安監控,是強化存取閘道安全最重要的資安防禦措施。竣盟科技的Billows UCM-資通安全威脅偵測管理平台,就是建立存取閘道的資訊安全高強度以及企業完善的資安防護運營。

傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍,迄今一直針對知名目標。

*主要針對 VPN 設備,尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明,未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面,駭客聲稱已盜得該業者的公司機敏資料,包括工程檔案、財務資料、客戶資訊、個人身份文件,資料庫備份等。作為證據,駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限,相對於其他被勒索的公司,本次的台灣業者被盜的資料顯然較少,仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅,利用各種策略來破壞企業網路並部署勒索軟體。據觀察,該組織以 VPN 設備為初始存取目標,並利用已知漏洞在受害者環境中站穩腳跟,同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現,透過利用已知漏洞(尤其是VPN 設備中的漏洞)、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動,迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載,這有助於逃避安全工具的偵測。 仙人掌也使用 Cobalt Strike 等工具,並利用 TotalExec 等腳本來自動化加密過程,這與 BlackBasta 勒索軟體組織使用的策略非常相似。 仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中,採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法,到組織重新啟動執行和枚舉網路共享,Cactus 展示了多方面的攻擊方法,確保其活動不僅成功,而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務(每 5 分鐘運行一次)來確保其在受感染系統中持續存在,從而將勒索軟體作為SYSTEM 運行,並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子,除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。據觀察,仙人掌可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成,仙人掌就會在使用者的電腦上發布勒索資訊。

仙人掌發布的勒索信–cAcTuS.readme.txt

以下提供仙人掌相關的部分的入侵指標(IOCs):

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”