月份: 2020 年 11 月

多間國外資安媒體爭相報導研華被Conti勒索軟體攻擊之事,被要脅750比特幣,約1300萬美元,並被公開部分數據,快來認識Conti!

Posted on by blogadmin
多間國外媒體報導研華科技

根據國外資安媒體報導,Conti勒索軟體的背後罪犯在2020年11月21日宣布,如果工業電腦大廠研華科技在第二天之內不支付贖金,則將洩露盜來的數據。在國外資安媒體看到的聊天記錄,Conti背後駭客設定750 比特幣為研華的贖金, 以用於完全解密數據並刪除盜來的數據, Conti的背後駭客還說,他們願意在支付贖金之前解密其中兩個加密檔案作為證據,以證明其解密工具是有效的。

在11月26日,Conti勒索軟體在其揭秘網站開始洩露研華的數據,該數據檔案的容量為3.03GB,佔竊取數據總量的2%,其中一個文本文檔,包含ZIP存檔中的文件列。

根據BleepingComputer,Conti勒索軟體的背後駭客還說,如果支付了贖金,他們將迅速刪除在其公司網路上部署的任何後門程式,刪除任何盜來的數據將,並將提供資安報告如何保護網路以防止之後再受駭 。

Conti被認為是Ryuk 勒索軟體的繼任者,於今年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案,讓防護系統來不及因應,附上我司於7月發佈有關Conti勒索軟體的介紹:

https://www.facebook.com/permalink.php?story_fbid=571099476886953&id=159047624758809

和8月發佈有關Conti勒索軟體架設了揭秘網站的介紹:

https://www.facebook.com/permalink.php?story_fbid=600010737329160&id=159047624758809

最後,有關 Conti 勒索軟體的入侵指標和最新情資,請參考 OTX 情資平台:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

*****竣盟科技快報歡迎轉載,但請註明出處

最值得您關注的勒索軟體Egregor,資安專家警告很可能成為各大公司的頭號威脅!

Posted on by blogadmin

資安專家警告說,一個新的勒索軟體組正在迅速升級威脅活動,到目前為止,第四季度已有數十名受害者受到勒索攻擊。

根據Digital Shadow,Egregor勒索軟體的背後網路罪犯最初是在10月份對Barnes&Noble以及視頻遊戲開發商Ubisoft和Crytek發起攻擊的。

實際上,該罪犯組織自9月以來就一直活躍,當時它使15名受害者受害。從9月25日(15個事件)到10月31日(51個事件),Egregor受害者增加了240%,到11月17日,該事件增加了43%,使事件總數達到71

Egregor的受害者按國家劃分

許多Egregor受害者來自工業品和服務業(38%),到目前為止,目前絕大多數(83%)都來自美國。

Digital Shadows稱,該惡意軟體本身為具有多種內置的反分析技巧,例如代碼混淆和打包payload。更具體地說,利用Windows的API 來加密payloads的數據。除非資安團隊可以提供正確command line的參數,否則無法解密數據,也無法分析惡意軟體。

“當提供正確的command line參數時,惡意軟體將通過注入iexplore.exe進程來執行,對所有文本文件和文檔進行加密並在加密文件的每個文件夾中放入勒索信,此過程包括遠端電腦和伺服器上的檔案,都是通過檢查LogMeIn事件日誌得來”

另外包括CybereasonSentinel One的報告都指出, Egregor除了使用滲透測試工具Cobalt Strike外,也同時利用RCLONE的Client端進行用戶數據滲透。

關於Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

*****竣盟科技快報歡迎轉載,但請註明出處

中國APT駭客組織TA416更新了工具,以Golang開發的PlugX惡意軟體載入器再度回歸

Posted on by blogadmin

Proofpoint的研究人員觀察到中國APT駭客組織TA416通過新的惡意軟體變種恢復了其惡意活動。該惡意活動的目標是在全球的外交使團收集數據和監視通信。

TA416,也稱為“Mustang Panda”和“RedDelta”,是中國國家級駭客組織,在針對性惡意的活動中使用其PlugX惡意軟體載入器。該組織因修改其工具庫以逃避檢測而使安全研究人員難以進行分析而聞名。

Proofpoint觀察到TA416發動了新的網路釣魚活動,該網路攻擊的對象是與梵蒂岡和中國共產黨(CCP)建交實體。TA416駭客組織同時還針對緬甸境內的實體以及在非洲努力進行外交的組織。攻擊者利用社交工程,引用了梵蒂岡與中國共產黨最近續簽的協議。研究人員還發現了欺騙性的電子郵件標頭,這些標頭看起來像是來自天主教亞洲新聞聯盟的記者所報導的。

更新後的PlugX惡意軟體的執行圖

PlugX惡意軟體

Proofpoint研究人員已經辨認了兩個RAR檔,可以用作為PlugX惡意軟體的droppers。TA416會在其網路釣魚電子郵件中添加Google Drive或Dropbox URL,這些電子郵件用於傳遞包含PlugX惡意軟體和相關的檔案。

據ThreatPost報導,PlugX遠端訪問工具(RAT)允許遠端用戶未經許可或授權竊取數據,甚至控制受影響的系統。PlugX使攻擊者能夠複製,移動,重命名,執行和刪除文件以及鍵盤側錄,對受感染系統進行特徵識別等等。

Proofpoint研究人員發現TA416工具集的更新,用於提供PlugX惡意軟體的payload。更具體地說,他們檢測到TA416的PlugX惡意軟體載入器的Golang變體,並注意到PlugX惡意軟體在針對性的活動中始終使用。研究人員說,這表明該組織持續改變其工具集以持續規避檢測。

關於中國APT駭客組織TA416的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fbc0c5ec4bfeaa7f7956ff4

Source:

https://www.proofpoint.com/us/blog/threat-insight/ta416-goes-ground-and-returns-golang-plugx-malware-loader

Reference:

https://www.recordedfuture.com/reddelta-targets-catholic-organizations/

*****竣盟科技快報歡迎轉載,但請註明出處

Clop勒索軟體加密韓國零售巨頭E-Land(衣戀)集團,使其旗下商店緊急關閉

Posted on by blogadmin

根據韓國INews 24報導,在11月22日清晨時韓國企業和零售巨頭E-Land集團, 遭受了Clop勒索軟體攻擊,內部網路系統癱瘓,E-Land為了阻止惡意軟體在網路散播,暫停了某些銷售管理系統(POS)的終端操作,導致50家NC百貨商店和NewCore Outlet零售商店中的23家緊急關閉。

E-Land擁有60個零售品牌如SPAO,Teenie Weenie; Who.A.U; Shane Jeans等等主要專注於服裝,並通過5,000家專營零售出售。E-Land還擁有New Balance,Berghaus, Ellesse ,K-Swiss等全球品牌在韓國的經營權,E-Land集團在韓國還經營酒店和餐館。

Clop勒索軟體主要透過附加到Word(.doc)和Excel(.xls)等檔案中,並通過電子郵件進行分發。如果用戶打開惡意檔案,則PC中的某些數據將被加密,並且數據將被鎖定。

根據韓國資安專家提交到Virus Total上Clop 勒索軟體的hash樣本3d94c4a92382c5c45062d8ea0517be4011be8ba42e9c9a614a99327d0ebdf05b,其惡意比例為41/69,如下圖:

韓國資安專家流出有關Clop給E-Land集團旗下商店的勒索信,如上圖

另外,根據Dark Tracer取得Clop背後駭客開放給E-Land的線上聊天室,如果該集團不付4千萬美元同等的比特幣,駭客揚言公開2佰萬張信用卡的資料。

有關Clop勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

*****竣盟科技快報歡迎轉載,但請註明出處

FBI發佈Flash Alert有關針對各行業受到Ragnar Locker攻擊的警報,警告該勒索軟體攻擊的不間上升

Posted on by blogadmin

在上週FBI 發佈了被稱為MU-000140-MW的Flash Alert 給各行業的合作夥伴,警告Ragnar Locker攻擊有所增加。該警報包含技術細節,建議的緩解措施,旨在幫助網路安全專業人員防範網路參與者的持續惡意行為。FBI的說法,由Ragnar Locker造成的損害已經在各個行業得到證實,包含雲端服務提供商,電信,建築,旅遊和企業軟體公司等,並且這種情況正持續在上升。

FBI的警報還提到了一名不透露名字的Ragnar Locker的受害者,據說Ragnar Locker背後的駭客團隊威脅要洩漏10TB盜來的數據,包括賬單,合同,交易,客戶和合作夥伴的機密資料,要求約1100萬美元。儘管FBI沒有提供有關這家在4月份被加密的公司的進一步資料,但這些細節與針對跨國能源巨頭葡萄牙Energias de Portugal(EDP)的攻擊完全吻合。

以下是FBI在同一份警報中針對Ragnar Locker的描述:

  • Ragnar Locker可以訪問受害者的網路,執行偵察活動,並尋找網路資源,備份或其他敏感檔案以竊取數據。在攻擊的最後階段,攻擊者手動部署勒索軟體來加密受害者的數據。
  • Ragnar Locker頻繁切換payloads混淆技術來逃避檢測,以及使用自定義打包演算法並從其系統上部署的Windows XP虛擬機中加密受害者的檔案
  • 經過偵察和預部署階段之後,Ragnar Locker參與者會投放高針對性的勒索軟體的執行檔,該執行檔會有“ RGNR_” 的副檔名。
  • 勒索軟體具有嵌入式RSA-2048密鑰,並且還在加密系統上投放自定義勒索信。

FBI建議的緩解措施以盡可能減輕損失。

-離線備份重要數據。

-確保在雲端中或外部硬碟或存儲設備上有重要數據的副本。

-隔離備份,使數據不可訪問,無法從數據所在的系統進行修改或刪除。

-在所有主機上安裝防病毒或防惡意體,並定期更新。

-使用安全的網路,避免使用公共Wi-Fi網路。考慮使用VPN。

-使用有強密碼的多因素身份驗證。

-修補電腦設備和應用程式,以使其保持最新狀態

有關Ragnar Locker的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fb7f6cd3444c292042e41db

Flash Alert:

https://www.waterisac.org/system/files/articles/FLASH-MU-000140-MW.pdf

*****竣盟科技快報歡迎轉載,但請註明出處

⚠️⚠️⚠️勒索軟體入侵傳教仕組織,並罕見地後製惡搞圖,REvil聲稱成功加密了美國知名電視傳教仕肯尼斯.寇普蘭(Kenneth Copeland) 的宣教機構並威脅說如果拒絕支付贖金,將釋放1.2 TB的“敏感”數據

Posted on by blogadmin

REvil勒索軟體的駭客組織駭進美國知名牧師Kenneth Copeland的傳教組織,聲稱他們竊取了1.2 TB數據,並後製惡搞圖宣傳,如下圖: 

美國知名牧師肯尼斯.寇普蘭(Kenneth Copeland)靠在電視上傳道,累積7.6億美元身價,還用信徒的捐款買了3架私人飛機,涉嫌斂財令人瞠目結舌。

這週三REvil在其揭秘網站上發表聲明說,肯尼斯.寇普蘭(Kenneth Copeland) 為其最新受害者,該機構的所有伺服器和電腦都被其加密,REvil發布的聲明中,顯示了被盜的數據,聲稱該數據包括財務檔案,合同,銀行檔案,銷售歷史和電子郵件等等。

REvil自2019年4月以來一直活躍,其駭客組織聲稱通過勒索軟體即服務(RaaS)每年可獲得超過1億美元的收入。

有關REvil勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

*****竣盟科技快報歡迎轉載,但請註明出處

中國APT駭客組織FunnyDream針對東南亞政府機構,已感染超過200多個系統!

Posted on by blogadmin

在過去的兩年,一個新的中國國家級駭客組織(APT)已經在東南亞感染了200多個系統。

根據資安公司Bitdefender今天發布一份最新的報告,惡意軟體感染是一個名為FunnyDream的組織展開的廣泛網路間諜活動的一部分,攻擊主要針對東南亞國家的政府實體。雖然Bitdefender尚未列出任何受害國家,但據Kaspersky今年春季時發布的一份報告稱,FunnyDream至少自2018年以來一直活躍,並瞄準了馬來西亞,泰國,台灣和菲律賓等亞洲國家的一些政黨,然而大多數受害者都在越南,該組織主要針對政府組織。

Bitdefender和Kaspersky都表示,該組織直到今天仍然活躍,並且主要展開網路間諜活動,主要是以監視受害者的活動並從受感染主機上竊取敏感文件,特別是國家安全和工業間諜活動。

據研究人員稱,不僅有大約200台機器都顯示與攻擊活動有關的攻擊指標,而且有證據表明,威脅行動者可能入侵了受害者網路上的網域控制站,從而使它們可以橫向移動並控制其他系統。

惡意軟體相關示意圖

研究人員也稱,多數攻擊都遵循一種模式,但同時結合了三種惡意軟體的payload -包含Chinoxy,PCShare和FunnyDream(FunnyDream惡意軟體隨後被命名為該組織名稱)。

三種惡意軟體中的每一種都具有精確的作用。Chinoxy被部署為最初使用的惡意軟體,充當切入點存取的簡單後門。

PCShare是一個已知的中文開源遠端木馬,它通過Chinoxy進行了部署,並用於探索受感染的主機。

FunnyDream是在PCShare的幫助下部署的,它是三者中功能最強大且功能最豐富的,具有更高級的持久性和通信功能,並用於數據收集和滲透。

 惡意軟體的時間軸

            

研究人員也還發現了從2019年5月出現使用上述FunnyDream後門的功能,該後門具有收集用戶數據,清除惡意軟體部署痕跡,阻止檢測和執行惡意命令的多種功能,其結果最後被傳輸回位於香港,中國大陸,韓國和越南的C&C伺服器。

有關FunnyDream的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fb55924659ab82b7e2571a3

https://otx.alienvault.com/pulse/5fb446087749d98182f7a340

Source:

https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

*****竣盟科技快報歡迎轉載,但請註明出處

智利零售業巨頭Cencosud遭Egregor勒索軟體加密,商店營業受影響,也同時導致店內印表機不斷印出Egregor的勒索信

Posted on by blogadmin

於上週末,Egregor勒索軟體的背後駭客為了讓受害者(Cencosud)知道它們的系統已被其駭並加密,駭客從遠端控制Cencosud在智利和阿根廷的許多零售商店的設備(例如Easy home goods商店)並印出大量的勒索信。如下列影片:

印出的勒索信上有EGREGOR字樣,如下圖紅框處

據當地媒體和Bleeping Computer稱,操作Egregor勒索軟體的駭客將勒索信自動連接在加密設備上的印表機並不斷印出,這可導致受害組織印出巨量的勒索信。

另外,由於Cencosud有發行Cencosud卡,這意味著駭客可以利用所竊取的數據進行購買,從而從客戶那裡竊取金錢,Cencosud呼籲由於技術問題他們暫不接受使用“ Cencosud卡”,不接受退貨或允許進行網上購物。

Cencosud是拉丁美洲最大的零售公司之一,擁有超過140,000名員工,2019年的收入為150億美元。Cencosud在阿根廷,巴西,智利,哥倫比亞和秘魯經營著各種各樣的商店,包括Easy home goods,Jumbo超級市場,以及巴黎百貨商店等等。

有關Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載,但請註明出處

新型模組化ModPipe後門針對Oracle銷售點系統,攻擊者可利用該後門訪問和存儲在酒店、餐營業系統中的敏感數據!

Posted on by blogadmin

#情資才是王道

ESET的資安研究員發現了一種新型針對銷售點(POS)的惡意軟體,他們將其稱為ModPipe。 ModPipe能影響Oracle的MICROS RES 3700 POS系統,該系統已被全球成千上萬的酒吧,餐廳和酒店業使用。

Oracle將RES 3700描述為“當今業界安裝最廣泛使用的餐營管理軟體”。該軟體套件用於管理PoS,會員計劃,報告,庫存,促銷和行動支付。

ModPipe後門以其模組化結構而著稱,可實現進階功能。由專家分析的模組之一,名為GetMicInfo,使用了一種演算法可允許操作員通過從Windows註冊表中解密密碼來收集數據庫密碼。

“讓該後門程式與眾不同的是它的可下載模組及其功能,它包含一種自定義演算法,該演算法旨在通過從Windows註冊表值中解密來收集RES 3700 POS數據庫密碼。”ESET的分析:“這表明後門的作者對目標軟體有深入的了解,並選擇了這種複雜的方法,而不是通過諸如鍵盤記錄之類的更簡單的方法來收集數據。”

ModPipe過濾的憑證允許操作員訪問數據庫內容,包括各種定義和配置,狀態表以及有關POS交易的資料。

儘管財務數據(例如信用卡號和有效期)受到RES 3700 POS系統中實施的加密的保護,但威脅執行者可以使用另一個可下載的模組來解密數據庫的內容。

ModPipe後門的架構

ModPipe的模組化體系結構由基本組件和可下載模組組成:

  • Initial dropper 其中包含下一階段持久性加載程式的二進位檔(32位和64位),並將適當的版本安裝到受感染的電腦上。
  • Persistent loader,可解壓縮並加載主模組的下一個階段。
  • Main module是執行惡意軟體主要功能的核心組件。它能建立與其他惡意模組進行連線的管道,卸載或安裝這些模組,並充當處理模組與攻擊者的C&C伺服器之間的連線調度。
  • Networking module 用於與C&C連線。
  • Downloadable modules是旨在向後門添加特定功能的組件,例如能夠竊取數據庫密碼和配置資料,掃描特定IP地址或獲取正在運行的進程及其加載的模組的列表功能。

ESET也詳細介紹的其他模組包含“ ModScan 2.20”,用於收集有關已安裝的POS系統的其他數據(例如版本,數據庫伺服器數據),以及“ Proclist”,用於收集有關當前正在運行的進程的詳細資料。

研究人員總結說:“ ModPipe的體系結構,模組及其功能也表明其編寫者對目標RES 3700 POS軟體具有廣泛的了解。” “編寫者的熟練程度可能來自多種情況,包括竊取專有軟體產品並對其進行反向工程,濫用其洩漏的零件或從暗網市場購買程式碼。

有關ModPipe後門的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fad7ec43bd4572731eec59d

Source: https://www.welivesecurity.com/2020/11/12/hungry-data-modpipe-backdoor-hits-pos-software-hospitality-sector/

*****竣盟科技快報歡迎轉載,但請註明出處

勒索軟體Ragnar Locker的背後駭客利用被駭FB的帳戶在Facebook打廣告,公開宣傳受害公司被駭之資安事件

Posted on by blogadmin

日本知名電玩開發商卡普空和意大利酒商Campari Group相繼遭Ragnar Locker勒索軟體攻陷後,資安專家Brian Krebs發現Ragnar Locker在11月9日晚上,為了迫使受害者付贖金,發起了旨在羞辱意大利酒商Campari Group的Facebook廣告活動,如下圖:

節目主持人Chris Hodson綁定的帳戶Hodson Event Entertainment被駭,投放宣傳Ragnar Locker攻陷Campari Group的資安事件
放大的廣告內容

Ragnar Locker犯罪組織在Facebook廣告活動說:“這看起來太荒謬像個大謊言,但我們確實竊取了機密數據,並且是大量的數據。” 廣告上說,Ragnar Locker團隊已盜了Campari Group的2 TB數據,並建議在美國東部時間今天(11月10日)下午6點前與其聯繫商討,以避免被公開數據。

資安專家Brian Krebs說,Facebook的廣告是由Hodson Event Entertainment支付的,Hodson Event Entertainment是由芝加哥的節目主持人Chris Hodson綁定的帳戶,Brian Krebs與Chris Hodson聯繫後,Hodson表示他的FB帳戶確實被駭,而這個未經授權的廣告活動吸引了大約7,150名Facebook用戶,產生了770次點擊,每次點擊成本為21美分。

Hodson說:“我以為我對所有帳戶都啟用了雙重驗證,但現在看來我唯一沒有設置的就是Facebook。

目前尚不清楚這是否是一個單一事件,或Ragnar Locker是否還利用不同的被駭Fb帳戶投放了廣告。Fb的發言人表示,該公司正在繼續調查此事件。

無庸置疑的是操作勒索軟體的駭客最近特別激進地向受害者施壓,要求他們付款。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

Campari Group在星期一正式承認遭勒索軟體攻擊:https://ftaonline.com/news/campari-group-lattacco-malware-ha-causato-la-crittografia-di-alcuni-dati-su-alcuni-server

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處