月份: 2020 年 7 月

繼Twitter的名人帳號被盜來詐比特幣後, 又一大型網路事件–Cloudflare在美東時間7月17日下午經歷了大當機!!!

全球知內容遞送網路（Content delivery network, CDN)業者Cloudflare在7月17日經歷了網路大斷網, 致使衆多網站和網路服務哀嚎遍野

以下為透過Downdetector 檢測到當時受影響的區域和各大網站無法連線的情形,

影響了從league of legends到亞馬遜網路服務和Google等等的網站，引起一半互聯網癱瘓….

由於影響情況的廣泛, 不免引起了是由駭客DDoS攻擊的猜測, 但CloudFlare在美東時間7月17日下午6:28已作說明，根據Cloudflare執行長Matthew Prince的說法，“亞特蘭大的路由器發生錯誤，導致跨主幹網的路由器出現故障也, 導致到連接到我們骨幹網的PoP的流量路由器錯誤。”

We isolated the Atlanta router and shut down our backbone, routing traffic across transit providers instead. There was some congestion that caused slow performance on some links as the logging caught up. Everything is restored now and we're looking into the root cause. 2/2

— Matthew Prince 🌥 (@eastdakota) July 17, 2020

在美東時間7月18 日凌晨3時 Cloudflare更新了博客文章，並解釋由於配置錯誤引起當機持續了約23分鐘，排除了其問題是攻擊的結果的猜測，Cloudflare執行長 Prince在一條推文中說：“有關導致我們23分鐘的服務中斷（約50％網路）原因是我們的專用骨幹網中的路由器配置中有錯字。我們已經採取了安全措施，以確保這樣的錯誤在將來不會引起問題。”

Details on how we caused an 23 min outage for~50% of @Cloudflare's network today. The root cause was a typo in a router configuration on our private backbone. We've applied safeguards to ensure a mistake like this will not cause problems in the future. https://t.co/iHQTiJ8O5J

— Matthew Prince 🌥 (@eastdakota) July 18, 2020

Cloudflare當機報告:

https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

竣盟科技官網:https://www.billows.com.tw/

*****竣盟科技快報歡迎轉載,但請註明出處

竣盟科技快報⚠️注意⚠️注意:

Twitter 遭受史無前例的大規模駭客攻擊! 大量高知名度的名人和企業的 Twitter 帳號被駭客駭持-包括 Tesla 的創辦人 Elon Musk, Amazon 創辦人 Jeff Bezos，微軟創辦人Bill Gates, Apple 等藍鈎帳號遭駭, 被用作詐騙比特幣!

目前不清楚這起資安事件的幕後黑手, 但事件大約發生在美東時間 7 月 15 日下午 3 點，即台灣時間 7 月 16 日凌晨 3 點左右，陸續爆發被入侵的驗證帳戶貼出可疑貼文，聲稱為了回饋社會, 承諾在接下來的 30 分鐘內，請網民將比特幣匯到特定的網址，然後就會收到回饋的雙倍比特幣。

目前已知被駭的帳戶包括股神巴菲特, Tesla 和 SapceX 的執行長馬斯克、美國前總統奥巴馬, 前副總統拜登、微軟創辦人 Bill Gates、亞馬遜行政總裁兼始創人貝索斯、已宣布參選美國總統的饒舌歌手 Kanye West、富商彭博，甚至著企業 Apple 公司、Uber 等等。

另外根據資安公司 Malware Tech, 認為是第三方的 app 造成的入侵而不是 Twitter 本身受駭, 請參考下圖貼文

A bunch of high profile cryptocurrency Twitter accounts have been hijacked to tweet bitcoin scams. Likely a 3rd party App compromise rather that Twitter itself. Wallet has received ~$6000. pic.twitter.com/D8MiXrz9ml

— MalwareTech (@MalwareTechBlog) July 15, 2020

另外 Malware Tech 也說，就他們的觀察, 在兩小時內, 受騙金額已達 103,000 美元,如下圖貼文

So far I've seen tweets from the accounts of Elon Musk, Jeff Bezos, Bill Gates, and Kanye West. Hackers are putting back tweets as soon as account owners delete them. They've already made $103,000 in two hours.

— MalwareTech (@MalwareTechBlog) July 15, 2020

根據 Twitter Support 在其官方帳號也發文表示: ”我們知道有一個資安全事件在影響 Twitter 用戶。 我們正在調查並採取措施加以修復。”據了解, Twitter 已在限制某些帳戶的發文，重設密碼和其他一些功能。

We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.

— Twitter Support (@TwitterSupport) July 15, 2020

美國各大新聞媒體也對此起資安事件作大幅度的報導, 可參考以下網址

CNN: https://www.google.com/amp/s/amp.cnn.com/cnn/2020/07/15/tech/twitter-hack-elon-musk-bill-gates/index.html

NBC News: https://www.google.com/amp/s/www.nbcnews.com/news/amp/ncna1233948

*****竣盟科技快報歡迎轉載，但請註明出處。

駭客組織 Lazarus Group 利用 Magecart 側錄攻擊從歐盟和美國站點竊取信用卡數據…

總部位於荷蘭的安全公司 Sansec 研究人員稱，自 2019 年 5 月以來，臭名昭彰的北韓駭客組織 Lazarus Group 至少對數十家電子商務商店進行了攻擊，其中包括最近對美國飾品零售商Claire’s 的高調攻擊。

北韓 Lazarus Group 又名 Hidden Cobra，為了使側錄攻擊業務獲利，開展了全球滲透網路，劫持並利用了合法的網站進行成犯罪活動。網路罪犯使用網路惡意腳本，從結帳頁面複製敏感的信用卡數據。在調查信用卡盜竊案時，Sansec 的研究人員發現竊取者進行了網路魚叉式釣魚攻擊，而將他們共享的基礎架構以及程式碼中各種特徵關聯起來，最後將這個對信用卡的側錄攻擊歸咎於北韓的 Lazarus Group。

受害者包括飾品巨頭 Claire’s, 黃氏珠寶商（Wongs Jewellers）, Focus Camera, Paper Source, Jit Truck, CBD Armour, Microbattery and Realchems 等數十家商店。

Lazarus Group 以已滲透的網路用來匯集被盜資產，以便在暗網上出售。為了掩蓋自己的踪跡，他們破壞了合法企業的網站，並轉存被盜的信用卡資料。根據 Sansec 的調查結果，Lazarus Group 劫持了位於意大利模特經紀公司（Lux Model Agency）的網站，位於新澤西州的一家書店，以及位於德黑蘭的一家老式音樂商店。

註冊與受害者商店相似的域名這個策略似乎為 Lazarus Group 帶來成果。已經確定最近的側錄活動與先前記錄的北韓駭客活動之間存在多個獨立的聯繫。下圖顯示綠色為受害者的存儲區，紅色表示受 Lazarus Group 控制的滲透節點。黃色表示其操作方式（或TTP）。

研究人員將滲透網域與北韓的網路攻擊聯繫在一起, 並稱 Lazarus Group 在網路釣魚事件發生後分發惡意軟體進行攻擊：

technokain.com（釣魚活動1，2）

darvishkhan.net（垃圾郵件活動 1，2）

areac-agr.com（從 Dacls RAT 的伺服器下載）

papers0urce.com（與 areac-agr.com 共用 IP，在 Dacls 示例中進行硬編碼）

最初的滲透節點是 Lux Model Agenc y網站，但該惡意軟體在 24小 時內消失，並在一周後重新出現在同一家商店中。但這一次，惡意軟體進入了新澤西的一家書店。

在幾個月中，相同的惡意腳本使用以下被劫持的站點加載並收集被盜的信用卡，進而感染了數十家商店：

stefanoturco.com（在2019-07-19和2019-08-10之間）

technokain.com（在2019-07-06和2019-07-09之間）

darvishkhan.net（在2019-05-30和2019-11-26之間）

areac-agr.com（在2019-05-30和2020-05-01之間）

luxmodelagency.com（介於2019-06-23和2020-04-07之間）

Signedbooksandcollectibles.com（在2019-07-01和2020-05-24之間）

後記: 有關北韓發起的 Magecart 側錄攻擊的消息表示著，專制政權正在使用另一種策略來填補其國庫。Lazarus 的名字很大程度上與加密貨幣交易所和銀行的網路攻擊有關，這是第一次被指控針對零售商店。根據安全公司 Group-IB 的報告，Lazarus 在 2017 年至 2018 年間，成功竊取了價值6億美元的加密貨幣。

竣盟科技官網:

https://www.billows.com.tw/

竣盟科技line@

參考資料：

Source: https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-credit-card-stealing-attacks-on-us-stores/

*****竣盟科技快報歡迎轉載，但請註明出處。