6 月, 2023 - 竣盟科技

LockBit聲稱駭入台積電?! 勒索7千萬美元!

Posted on 2023 年 6 月 30 日2023 年 7 月 3 日 by blogadmin

台積電則表示只是其供應鏈中的一個廠商遭入侵

臭名昭著的勒索軟體集團於今天(6月30）在其暗網揭秘網站上宣布，已入侵台積電並要求高達7千萬美元的贖金以換作不散播盜來的資料。LockBit聲稱若台積電拒絕付款，將公佈入侵該企業網路的切入點、密碼和公司登錄帳號，然而該貼文並未公佈包含任何數據樣本或其他表明攻擊者可能掌握的資料類型，但LockBit已設定支付贖金的最後期限為 8 月 6 日。

根據國外資安媒體SecurityWeek，台積電最近獲悉其供應商經歷了一場資安事件，導致與初始伺服器設定和配置相關的資料遭到外洩。然而，台積電則表示因所有進入其公司之硬體設備包括其安全設定皆須在進廠後通過公司完備程序做相對應的調整，包括安全配置。經審查，該事件並未影響台積電的業務運營，也沒有外洩任何台積電的客戶資料。事件發生後，台積電已根據公司的安全協議和標準操作程序立即終止與該供應商的數據交換。據了解，遭攻擊的供應商是台灣的擎昊科技(Kinmax Technology)，一家提供IT、SI系統諮詢與整合服務的廠商。根據經濟日報擎昊科技也已發布聲明如下：

「本公司於 2023 年 6 月 29 日上午，發現公司內部特定測試環境中，遭受外部團體之網路攻擊，並擷取相關資訊，資訊內容主要為本公司為客戶提供之各式系統裝機準備資訊，因揭露之資訊中出現特定客戶之名稱，造成客戶之困擾，除先向受到影響之客戶致歉外，本公司已就此次資安事件進行排查與防護強化，特此通知。」

後續該公司也特別針對該資安事件在其官網發出說明的公告:

LockBit 勒索軟體集團自 2019 年以來一直存在，並以其同名惡意軟體而聞名。自 2022 年初以來，該集團一直在勒索軟體領域佔據主導地位，成為市場上最多產的勒索軟體集團。它主要採用勒索軟體即服務模式（RaaS），將部分贖金利潤支付給實施攻擊的會員，這個臭名昭著的勒索集團擁有 1,800 多名受害者。

全球有超過100組織因MOVEit漏洞受到影響，證實新增受害者包括西門子能源、施耐德電機、UCLA、紐約市教育局等

Posted on 2023 年 6 月 28 日 by blogadmin

最近受到MFT檔案共享工具MOVEit Transfer零時差漏洞CVE-2023-34362的影響，導致系統遭到入侵的組織超過100個單位，昨天幾位新的受害者站出來證實了遭到入侵，包括加州大學洛杉磯分校 (UCLA) 西門子能源(Siemens Energy)、施耐德電機(Schneider Electric)、紐約市教育局等。UCLA證實該校使用的 MOVEit Transfer 工具是此次攻擊的核心，並表示其 IT安全團隊於 6 月 1 日發現該工具成為攻擊目標。根據SC Media UCLA的報導， UCLA的發言人表示，加州大學洛杉磯分校立即啟動了事件回應程序，使用了Progress Software發布的安全修補修復了該漏洞，加強了對系統的監控並通知了聯邦調查局(FBI)，並與外部資安專家合作調查此事，確認了事件的發生、哪些數據受到了影響以及被盜數據屬於誰，並進一步通知所有受到影響的人。UCLA表示這不是勒索事件，也沒有證據表明對任何其他校園系統有任何影響。

根據Security Affairs的報導，工業巨頭施耐德電機和西門子能源也成為受害者，兩者都提供用於全球關鍵國家基礎設施的工業控制系統 (ICS)。西門子能源確認其已成為攻擊目標；不過表示沒有關鍵數據被盜，業務營運也沒有受到影響。西門子能源表示，根據目前的分析，沒有關鍵數據受到損害，營運也沒有受到影響，在得知這一事件後立即採取了行動; 而施耐德則表示正在調查該Cl0p的說法，但並未確認遭到入侵，僅表示他們正在調查。

Cl0p公開西門子能源成為其受害者

另外，6月24日(週六)，紐約市教育局報告稱，駭客竊取了約 45,000 名學生以及工作人員和服務提供商個人資訊。儘管該市的調查仍在進行中，但該市教育部在一份數據外洩通知中表示，大約 19,000 份檔案在未經授權的情況下被存取，其中暴露了9,000個社會安全號碼和數量不詳的員工ID號碼。該市表示，個人將獲得身份監控服務，聯邦調查局和紐約警察局正在調查這起攻擊事件。自6月14日以來，Cl0p 一直在其暗網外洩網站上發布受害者的姓名，殼牌環球(Shell)、Telos、諾頓 LifeLock、加州公共僱員退休系統 ( CalPERS )、普華永道(PWC)、安永、Sony等數十家公司均被列入名單。MOVEit Transfer 是一種託管檔案傳輸，企業可以使用它通過 SFTP、SCP 和基於 HTTP 的上傳來安全地傳輸檔案。CVE-2023-34362漏洞是一個SQL注入漏洞，未經身份驗證的攻擊者可以利用它來獲得對MOVEit Transfer數據庫的未經授權的存取。Microsoft認為Clop 勒索軟體組織（又名 Lace Tempest ）發起了利用MOVEit Transfer平台中的漏洞的活動。5月31日，Progress Software修補MOVEit的CVE-2023-34362漏洞後，於6月10日及6月16日再修補另外兩個同樣位於MOVEit的SQL Injection漏洞CVE-2023-35036及CVE-2023-35708。MOVEit Transfer用戶應密切注意並即時修補所有相關的安全更新。

6月17日，美國政府的正義獎勵（Rewards for Justice）計畫懸賞高達 1000 萬美元，以獲取將Cl0p勒索軟體集團或任何其他針對美國關鍵基礎設施的駭客資訊。

MOVEit的漏洞的部分入侵指標(Indicator of compromise -IOCs):

fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f

f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7

ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a

e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e

華碩發布修補以修復影響多款路由器型號的關鍵安全漏洞

Posted on 2023 年 6 月 21 日2023 年 6 月 21 日 by blogadmin

華碩修補了9個WiFi 路由器的漏洞，包括一個追溯到 2018年的重大漏洞，該漏洞可使用戶面臨任意程式執行攻擊。

台灣電腦硬體廠商製造商華碩週一(6月19日)發布了緊急韌體更新，以解決其 WiFi 路由器產品線中的漏洞，並警告用戶遠端程式碼執行攻擊的風險。在一份公告中，華碩記錄了至少九個漏洞和其中包括一些允許程式碼執行、阻斷服務攻擊、資料外洩和身份驗證繞過的漏洞。九個資安漏洞中最嚴重的漏洞有兩個，CVSS分數分別同樣是9.8分的重大漏洞，一個是漏洞編號為 CVE-2018-1160的漏洞，可追溯到 2018 年，它使路由器面臨任意程式執行攻擊，影響Netatalk 3.1.12 之前的版本，是一個存在dsi_opensess.c中近五年的越界寫入錯誤，該漏洞是源於攻擊者控制的數據缺乏邊界檢查，遠端未經身份驗證的攻擊者可以利用此漏洞實現任意程式碼執行。

華碩的韌體更新還修補了另一個CVSS分數9.8的重大漏洞，漏洞編號為CVE-2022-26376，這是 3.0.0.4.386_48706 之前的 Asuswrt 和 386.7 之前的 Asuswrt-Merlin New Gen 的 httpd unescape 功能中的記憶體損壞漏洞。華碩證實，特製的 HTTP 請求可能導致記憶體損壞，攻擊者可以發送網路請求來觸發此漏洞。其他還有六個被評為高嚴重性漏洞和一個目前正在等待分析的漏洞:

CVE-2022-35401（CVSS 分數：8.1）- 一個身份驗證繞過漏洞，可能允許攻擊者發送惡意 HTTP 請求以獲得對設備的完全管理存取權限。
CVE-2022-38105（CVSS 分數：7.5）- 一個信息洩露漏洞，可被利用通過發送特製網路數據包存取敏感資料。
CVE-2022-38393（CVSS 分數：7.5）- 一個拒絕服務 (DoS) 漏洞，可以通過發送特製網路數據包觸發。
CVE-2022-46871（CVSS 分數：8.8）- 使用過時的 libusrsctp 庫可能會使目標設備受到其他攻擊。
CVE-2023-28702（CVSS 分數：8.8）- 一個命令注入漏洞，本地攻擊者可以利用該漏洞執行任意系統命令、中斷系統或終止服務。
CVE-2023-28703（CVSS 分數：7.2）- 一個基於堆棧的緩衝區溢出漏洞，具有管理員權限的攻擊者可以利用該漏洞執行任意系統命令、中斷系統或終止服務。
CVE-2023-31195（CVSS 分數：N/A）- 中間對手 (AitM) 漏洞可導致用戶連線劫持。

受影響的設備清單包括以下型號：GT6、GT-AXE16000、GT-AX11000 PRO、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000 和 TUF-AX5400，涉及多款路由器型號。

華碩呼籲，“請注意，如果您選擇不安裝這個新韌體的版本，我們強烈建議關閉從 WAN 端存取的服務，以避免潛在的不必要的入侵。這些服務包括從 WAN 遠端訪問、端口轉發、DDNS、VPN 伺服器、DMZ、端口觸發器。我們強烈建議您定期檢查您的設備和安全程式，因為這將確保您得到更好的保護。” 華碩還建議為無線網路和路由器管理頁面建立不同的強密碼。

了解更多: https://www.asus.com/content/asus-product-security-advisory/

多國網路安全機構:LockBit勒索軟體已在約1700次攻擊中，獲得超過九千萬美元的不法所得

Posted on 2023 年 6 月 16 日2023 年 6 月 16 日 by blogadmin

6月15日，為了幫助各地的組織了解和抵禦LockBit 勒索軟體，這現為全球最猖獗的威脅及其大量會員(affiliate)，美國網路暨基礎安全局 (CISA)、聯邦調查局 (FBI) 以及包含澳洲、加拿大、英國、德國、法國和新西蘭等多國網路安全機構共同發布了關於題為Understanding Ransomware Threat Actors: LockBit的聯合網路安全諮詢，該諮詢包括:

*LockBit 使用了大約 30 個免費和開源工具的清單

*超過40個mapping 到MITRE ATT&CK的攻擊戰略、攻擊手法(TTPs)

*觀察到常被利用的CVEs漏洞

*LockBit勒索軟體即服務(RaaS)的演變以及全球趨勢和統計數據

*推薦的資源和緩解措施，以幫助抵禦全球 LockBit 活動

該公告指出，自 2020 年以來，僅在美國就發生了約 1,700 次 LockBit 勒索軟體攻擊，企業和組織為此支付了約 9,100 萬美元的贖金。這些多安全機構警告，LockBit 勒索軟體即服務 (RaaS) 吸引附屬會員(affiliate)使用 LockBit 進行勒索攻擊，導致大量互不關聯的攻擊者進行各種各樣的攻擊。根據Malwarebytes上週分享的統計數據，LockBit 於 2019 年底首次出現，它具有破壞性和多產性，僅在 2023 年 5 月就針對多達 76 名受害者。迄今為止，與俄羅斯有關聯繫的會員稱對至少 1,653 起勒索軟體攻擊負責。網路犯罪行動攻擊了廣泛的關鍵基礎設施部門，包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸。到目前為止，LockBit 已經進行了三次實質性的升級：LockBit Red（2021 年 6 月）、LockBit Black（2022 年 3 月）和 LockBit Green（2023 年 1 月），其中最後一個的升級是基於已經被解散的 Conti勒索軟體遭外洩的原始碼。

根據該公告，LockBit 用於吸引會員的一些方法包括但不限於，通過允許會員在收到贖金之後再付款；在線上論壇中貶低其他勒索軟體團體；花錢推廣宣傳活動，例如花錢招募人來紋含有 LockBit logo的紋身；推出抓漏獎勵專案等;它還包括為其勒索軟軟體開發和維護一個簡化的點擊式界面，使技術水平較低的人也可以使用它，使LockBit成為是去年全球最熱門活躍的勒索軟體組織。

涉及 LockBit 的攻擊鏈利用，包含最近披露的 Fortra GoAnywhere Managed File Transfer (MFT) 和 PaperCut MF/NG 伺服器中的漏洞以及 Apache Log4j2、F5 BIG-IP 和 BIG-IQ 以及 Fortinet 設備中的其他已知漏洞來獲得初始存取權限。LockBit還使用了三十多個免費軟體和開源工具，允許網路偵察、遠端存取和隧道、憑證轉儲和檔案外洩。該公告補充說，在大多數入侵中都觀察到了 PowerShell 和batch-script的使用，這些入侵側重於系統發現、偵察、密碼/憑證搜索和權限升級，這些入侵被發現進一步濫用合法的紅隊工具，如Metasploit和Cobalt Strike。

該諮詢提出各種預防相關攻擊的緩解措施，包括實施沙盒瀏覽器，要求所有使用密碼登錄的帳戶遵守 NIST 標準以製定和管理密碼策略；在電子郵件網關上實施過濾機制；安裝網路應用防火牆；分段網路；採用最少權限的最佳實踐；強制管理和審核具有管理權限的用戶帳戶；對設置在管理員級別和更高級別的帳戶實施基於時間的存取。它還建議開發並定期更新綜合網路圖；控制和限制網路連接；啟用增強的 PowerShell 日誌記錄；配置 Windows 登錄檔案以要求 UAC批准任何 PsExec 操作；禁用命令行和腳本活動和權限；啟用憑證保護；實施本地管理員密碼解決方案 (LAPS)。

另外，CISA本週發布了一項具有約束力的操作指令 23-02，指示聯邦機構在發現後 14 天內保護暴露在公共互聯網上的防火牆、路由器和交換機等網絡設備，並採取措施最大限度地減少攻擊面。

了解更多關於此資安諮詢: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

中國駭客利用 VMware ESXi零時差漏洞部署後門，入侵國防和科技領域

Posted on 2023 年 6 月 14 日2023 年 6 月 14 日 by blogadmin

資安研究員觀察到一個中國網路間諜組織利用VMware ESXi零時差漏洞進行權限提升，廣泛使用一系列攻擊者腳本來獲取 vpxuser憑證、枚舉 ESXi 主機及其來賓虛擬機，並操縱連接的 ESXi 主機防火牆規則以竊取數據。

6 月 14 日，資安公司Mandiant 警告稱，一個追踪為 UNC3886 的中國駭客間諜組織被發現利用 VMware ESXi 零時差漏洞來提升客戶虛擬機的權限。UNC3886 最初於 2022 年 9 月詳細介紹，一直在使用惡意 vSphere 安裝服務包(VIB)（通常用於維護系統和部署更新的軟體包）在 ESXi 管理程式上安裝後門並獲得命令執行、檔案操作和反向 shell 功能。該組織的惡意行為會影響 VMware ESXi 主機、vCenter伺服器和Windows 虛擬機 (VM)。

在最近的攻擊中，UNC3886從 vCenter Server 獲取所有連接的 ESXi 主機的憑證，使用 VMCI套接字(一種用於虛擬機通信介面的網路套接字API)部署後門以實現橫向移動和持久性，以及修改和關閉受感染系統上的日誌記錄服務。此外，該組織一直在利用 VMware Tools 中的零時差漏洞繞過身份驗證並在 Windows、Linux 和 PhotonOS (vCenter) 來賓虛擬機上執行特權命令。該漏洞編號為 CVE-2023-20867，具有低嚴重性評級，因為它的利用需要攻擊者擁有對 ESXi 伺服器的root存取權限。VMware 在一份公告中表示，受感染的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作，從而影響客戶虛擬機的機密性和完整性，並在VMware Tools的12.2.5版本中解決了該漏洞，建議用戶進行修補。

根據 Mandiant 的說法，UNC3886 被發現使用腳本通過連接的 vPostgreSQL 數據庫從受感染的 vCenter伺服器獲取憑證，枚舉所有 ESXi 主機及其來賓虛擬機，並修改所有連接的ESXi主機的允許IP清單。

UNC3886組織還使用安裝腳本將惡意安裝服務包(VIB)部署到主機，並利用 CVE-2023-20867 執行命令並將檔案從受感染的 ESXi 主機與來賓 VM 來回傳輸，而無需身份驗證且不留痕跡。

Mandiant進一步說，當從 ESXi 主機執行命令時，利用 CVE-2023-20867 不會在來賓虛擬機上生成身份驗證日誌事件。Mandiant還觀察到該組織使用 VMCI 套接字部署了兩個後門（VirtualPita 和 VirtualGate）以實現橫向移動和持續持久性，以確保他們的惡意活動不被發現。該惡意軟體為攻擊者提供了新級別的持久性（通過存取 VM 重新獲得對受感染 ESXi 主機的存取權限），還允許網路分段繞過和逃避對開放偵聽端口的安全審查。

Mandiant 指出，與 CVE-2023-20867 結合，將重新獲得對 ESXi 主機的存取權限允許攻擊者在該 ESXi 主機下運行的任何虛擬機上使用最高特權帳戶執行未經身份驗證的操作。如果 vCenter 作為 ESXi 主機下的虛擬機存在，攻擊者可以繼續連接到 vCenter 的所有 ESXi 主機獲取所有連接的 vpxuser 憑證，並繼續在環境中橫向移動。Mandiant 補充道，UNC3886以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點偵測與回應(EDR)功能的防火牆和虛擬化平台中的零時差漏洞，組織必須保持警惕，確保他們不僅在操作系統層監控網路，而且還要繼續修補和維護。

Cl0p 勒索軟體組織聲稱通過利用MOVEit Transfer中的漏洞攻擊了全球數百家公司

Posted on 2023 年 6 月 9 日 by blogadmin

Cl0p 勒索軟體利用MOVEit Transfer中的的零時差漏洞竊取個資，危害了全球數百家公司。MOVEit Transfer 是一種MFT檔案共享系統，它允許企業使用 SFTP、SCP 和基於 HTTP 的上傳在業務合作夥伴和客戶之間安全地傳輸檔案。該零時差漏洞CVE-2023-34362是一個SQL注入漏洞，未經授權的攻擊者可利用該漏洞對MOVEit Transfer的資料庫進行未經授權的存取，竊取個資。最近傳出勒索軟體組織駭入MOVEit，攻擊BBC、英航和加拿大政府等企業。6月6日，微軟表示是次MOVEit Transfer的攻擊由勒索軟體組織Cl0p策劃。

Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023

Progress公司在發布的公告中表示，在 MOVEit Transfer Web 應用程式中發現了一個 SQL 注入漏洞，該漏洞可能允許未經身份驗證的攻擊者獲得對 MOVEit Transfer 數據庫的未經授權的存取。根據所使用的數據庫引擎（MySQL、Microsoft SQL Server 或 Azure SQL），攻擊者除了執行更改或刪除資料庫元素的 SQL 語句外，還可能推斷出有關數據庫結構和內容的資料。

該漏洞影響所有MOVEit Transfer版本，不影響雲端產品。Progress亦已在5月31日發佈修補程式，但是已經有用戶受害。6月7日，Cl0p在其暗網網站Cl0p News上聲稱已入侵數百家企業，暗示到6月14 日他們必須向其聯絡付贖金，滿足他們的需求，否則他們將把受害公司機密資訊公佈於網上。

目前無法確定遭Cl0p利用 MOVEit Transfer 漏洞入侵的組織的確切數量和是否存在台灣企業遭受此漏洞的影響。

5 月 31 日，資安公司Rapid7 專家發現了大約 2,500 個可在互聯網上公開存取的 MOVEit Transfer 實例，其中很大一部分位於美國。

Rapid7稱到目前為止，其團隊已經在多個客戶環境中觀察到相同的 webshell 名稱，這可能表明存在自動利用。遭到零時差漏洞CVE-2023-34362攻擊的組織之一是薪資服務提供商Zellis，為英國數百家公司提供薪資支援服務，Zellia透露他們的MOVEit Transfer伺服器遭駭，部分客戶受到波及包含BBC 和英國航空公司員工的出現資料外洩的情況。另外，英國保健和美容零售商及藥店連鎖店 Boots 也證實受到了此次襲擊的影響。該公司尚未確定受影響員工的人數。另一家受影響的公司是愛爾蘭航空公司，該公司證實我們的一些現任和前任員工資料已被披露。

Progress 已及時提供緩解措施，通過將 MOVEit Transfer 更新到其中一個修補版本來幫助防止利用此漏洞。如果更新到上述修補對您的組織不可行，建議禁用 MOVEit Transfer 的 HTTP(s) 流量。

這並非Clop第一次經由檔案傳輸服務製造軟體供應鏈安全危機。該組織分別在2020和 2021年以檔案傳輸服務Accellion及2023年的GoAnywhere 造成大規模感染攻擊。

微軟Outlook 在親俄駭客組織的DDoS攻擊後在周一當掉

Posted on 2023 年 6 月 7 日2023 年 6 月 7 日 by blogadmin

在親俄羅斯駭客組織 Anonymous Sudan 聲稱已開始了一項專門針對美國公司和基礎設施的攻擊活動之後，微軟 Outlook 在週一當掉，造成全球用戶受到影響。

美國東部時間週一上午 10 點左右，總部位於蘇丹的駭客組織 Anonymous Sudan開始在其Telegram 頻道上發布已發動攻擊微軟的消息，大約在同一時間，Outlook 用戶開始在 Twitter 上發布抱怨Outlook.com當掉，這影響了他們的工作效率的消息。從 Anonymous Sudan 分享的 check-host.net URL 來看，他們的目標是“ https://outlook.live.com/mail/0/ ”，這是 Outlook.com 網路服務的主要 URL。當時，約 15,000 名微軟用戶向Downdetector 報告故障事件。

What's going on here @Outlook – are you down? pic.twitter.com/pFxYubSM5z
— dan richardson (@njsdanrich) June 5, 2023

It's happened. Monday broke @Outlook.
Drafts are disappearing, scheduled emails are shuffling between drafts and outbox. It's chaos.
— Abhilasha Meshram (@AbhilashaMesh) June 5, 2023

微軟在推特上回覆了預設回覆，“您好。對於由此造成的不便，我們深表歉意。我們已讓相關團隊了解此問題，我們正在努力讓您盡快恢復正常運行。感謝您的耐心等待，”Outlook說。

隨後，微軟證實當掉的不僅是Outlook.com， Microsoft 365與其他服務包含OneDrive for Business、Microsoft Teams、SharePoint Online等也當掉，同時表示正在檢查網路系統與更新活動，以確認造成服務中斷的原因。

Anonymous Sudan為了向其followers提供背景資料，該組織在Telegram中特別提到了美國國務卿安東尼·布林肯 (Antony Blinken)。布林肯上周訪問了沙特阿拉伯，討論處理蘇丹危機的戰略方法。美國國務卿還宣布對蘇丹的多個實體實施經濟制裁，包括蘇丹武裝部隊 (SAF) 和快速支援部隊 (RSF)，以應對最近“對平民住宅和基礎設施的搶劫、佔領和襲擊”。

Anonymous Sudan駭客組織自今年 1 月出現，它擅長對目標進行分散式服務阻斷攻擊 (Distributed Denial of Service -DDoS)，分散式阻斷服務攻擊為DoS (Denial of Service)的延伸，為駭客利用大量偽造且無意義的封包，藉以消耗被攻擊者的網路頻寬與系統資源，導致網路癱瘓，無法提供正常的服務。

專家警告技嘉系統中存在類似後門的行為，數百萬PC可能因技嘉系統中的關鍵韌體漏洞而成為駭客的目標

Posted on 2023 年 6 月 2 日2023 年 6 月 2 日 by blogadmin

韌體安全公司 Eclypsium 表示，技嘉主機板中的更新過程可能會忽略驗證下載是否來自官方的來源

韌體安全服務提供商 Eclypsium的研究人員在超過200款技嘉主機板主中發現了類似後門的功能，進一步分析表明，技嘉系統中的韌體在系統啟動過程中會投下並執行Windows本機執行檔。執行檔用於不安全下載和執行其他有效負載。專家指出，這與其他OEM類似後門的功能（如Computrace後門（又名LoJack DoubleAgent）和韌體植入物（如Sednit LoJax，MosaicRegressor，Vector-EDK）觀察到的行為相同。

Eclypsium analysis found a backdoor in Gigabyte systems implementing intentional functionality during system startup. Due to significant #supplychainrisk, we're disclosing this info & defensive strategies on an accelerated timeline >> https://t.co/HgmUUmFPq2 #supplychainsecurity
— Eclypsium (@eclypsium) May 31, 2023

Eclypsium分析這個後門似乎正在實施有意的功能，需要韌體更新才能將其從受影響的系統中完全刪除，並表示雖然我們正在進行的調查尚未證實特定攻擊者的利用，但一個活躍的、廣泛存在的、難以移除的後門給擁有技嘉系統的組織帶來了供應鏈風險。

Eclypsium 表示，它於 2023 年 4 月首次檢測到該異常情況，在分析受影響的 UEFI韌體後，研究人員確定了一個名為8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin的檔案，這是一個 Windows 原生二進制執行檔，Windows 執行檔駐留在 UEFI韌體卷中。

韌體在系統啟動過程中將執行檔案寫入磁盤，這種技術通常被 UEFI 植入程式和後門程式採用。

該執行檔案可用於執行惡意活動，例如下載和執行其他有效負載。

Windows 可執行檔案是一個 .NET 應用程式，它根據其配置從以下位置之一下載並運行可執行負載：

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://software-nas/Swhttp/LiveUpdate4

專家指出，使用 HTTP 為中間人攻擊打開了大門，研究人員還注意到，即使使用 HTTPS 協議，遠端伺服器憑證的驗證也未能正確實作，在這種情況下也允許 MITM 攻擊，使情況更加複雜的是，韌體不支援執行檔案的數位簽名驗證。

“投下的執行檔案和正常下載的技嘉工具確實具有滿足 Microsoft Windows 程式簽名要求的技嘉加密簽名，但這對抵消惡意使用幾乎沒有作用，尤其是在使用離地生存技術（如在最近關於Volt Typhoon攻擊者的警報中）因此任何攻擊者都可以利用它通過 MITM 或受損的基礎設施持續感染易受攻擊的系統，類似後門的行為可能會影響超過三百個 Gigabyte 系統。

這些問題使組織面臨範圍廣泛的攻擊場景:

*攻擊者濫用 OEM 後門。

*OEM 更新基礎設施和供應鏈的妥協

*使用 UEFI Rootkit 和植入程式的持久性

*MITM 攻擊韌體和軟體更新功能

*由於官方韌體中的不良行為而持續存在風險

Eclypsium建議採取以下措施將風險降至最低：

*掃描和監控系統和韌體更新

*將系統更新到經過驗證的最新韌體和軟體。

*檢查並禁用技嘉系統上 UEFI/BIOS 設置中的App Center下載和安裝功能，並設置 BIOS 密碼以阻止惡意更改

*阻止上述網站加入封鎖名單

6 月 1 日，技嘉更新：已發布修復程式以解決主機板漏洞，並表示其程師在對技嘉主機板的新BIOS進行全面測試和驗證後，已經降低了潛在風險，並將Intel 700/600和AMD 500/400系列Beta BIOS上傳至官網。