BlackCat對Ultra Intelligence & Communications的攻擊 造成瑞士空軍大量敏感資訊外洩

一家為全球國防公司提供通訊技術的美國安全公司Ultra Intelligence & Communications(簡稱ULTRA)成為勒索軟體攻擊的受害者,ULTRA是一家全球領先的科技公司,總部位於英國。該公司提供先進的情報、通訊和安全技術解決方案,服務的客戶包括美國國防部、聯邦調查局(FBI)、緝毒局、北約、美國電話電報公司、瑞士聯邦國防部和國防承包商RUAG 等,這一廣泛的客戶群突顯了此次外洩事件對全球潛在的影響。

據稱在攻擊事件發生後,瑞士聯邦國防部證實瑞士空軍受到了攻擊的影響並確認有資料外洩,瑞士當局隨即對此事件展開了調查。

根據瑞士廣播電視台 (SRF) 報道,駭客竊取了美國著名國防公司ULTRA的數萬份文件,大約 30 GB 的部分敏感和機密瑞士空軍文件已上傳到暗網,可供公眾存取。

Photo Credit: https://securityaffairs.com/

DDPS 對暗網外洩的回應

在這一重大事件發生後,瑞士聯邦國防部民防及體育部(Federal Department of Defense, Civil Protection and Sport-DDPS) 一直在積極應對這一情況。發言人告訴 Keystone-SDA 通訊社,瑞士武裝部隊和國防部立即收到了有關網路攻擊的通知。DDPS 認為,瑞士武裝部隊的作業系統並未受到此次惡意軟體攻擊的影響。

暗網上外洩的價值數百萬美元的合約

外洩的資料中包括 DDPS 和 Ultra 之間價值近 500 萬美元的重要合約等文件。該合約對於瑞士空軍的加密通訊技術至關重要。

此外,在暗網上還發現了與這些交易相關的電子郵件通訊和付款收據。

對暗網資料外洩的持續調查

雖然 DDPS 發言人提供的細節有限,但他們承認瑞士武裝部與Ultra 公司之間存在業務關係。迄今為止,外洩的數據主要類型是商業數據,但對事件全面範圍的調查仍在進行中。

BlackCat聲稱對資料被盜負責

BlackCat勒索軟體聲稱對這次攻擊負責,據報導該攻擊發生在 2023 年 12 月底。BlackCat於2021年11月中旬首次被Malwarehunterteam研究人員揭露,是第一個基於RUST語言編寫的專業勒索軟體系列,並因其高度客製化和個人化的攻擊而迅速氾濫。BlackCat攻擊過知名企業包括高梅國際酒店集團(MGM Resorts International)、Bandai Namco(萬代南夢宮)、台灣上市不銹鋼Henry Schein漢瑞祥等等。網路安全專家認為BlackCat起源於俄羅斯,是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand),而BlackMatter又是 DarkSide 的改名,該組織因2021年攻擊美國美運油供應商Colonial Pipeline而臭名昭著。2023 年 12 月FBI查封BlackCat的線上基礎設施,瓦解多個BlackCat經營的網站,然而這次針對ULTRA的入侵並盜取其商業客戶的機密資料攻擊證實BlackCat勒索軟體已成功另起爐灶。

瑞士聯邦數據網路攻擊的最新歷史

此事件標誌著過去六個月內針對瑞士聯邦數據的第三次重大網路攻擊。先前的事件涉及針對瑞士公司 XplainConcevis 的勒索軟體攻擊,這兩家公司都與 DDPS 和其他聯邦組織有聯繫。

總而言之,最近對 Ultra 的網路攻擊導致瑞士空軍資料在暗網上未經授權發布,這清楚地提醒人們國家安全基礎設施面臨持續的網路威脅。正在進行的調查強調了加強網路安全措施以保護敏感國防資訊的重要性。

美國資安公司 Mandiant的X(Twitter)帳號遭到駭客入侵6小時

週三,Google旗下的美國資安公司Mandiant 的 X(前身為 Twitter)帳號被身份不明的攻擊者入侵了六個多小時,以傳播加密貨幣騙局。駭客劫持了Mandiant的 X 帳號,並利用該帳號傳播了一個連結,試圖從點擊該帳號的人那裡竊取加密貨幣。該騙局虛假承諾向 25 萬名用戶免費提供 $PHNTM 代幣,甚至轉發真實 Phantom 帳號的貼文以顯得可信。

Mandiant在一份聲明中寫道:“我們意識到該事件影響了Mandiant的 X 帳號,並正在努力解決該問題。”“我們已經重新獲得了對該帳號的控制權,目前正在努力恢復它。”該聲明沒有回答有關該公司是否已確定該帳號是如何被盜用的問題。

目前尚不清楚該帳號是如何被盜用的,猜測是透過社群工程進行網路釣魚,或是利用社群媒體平台中的漏洞。

但據一直在監視事件的MalwareHunterTeam 的研究人員指出,被駭的 Mandiant帳號最初被重新命名為“@phantomsolw”,以冒充 Phantom 加密錢包服務。具體來說,該帳號的詐騙貼文宣傳了空投詐騙,敦促用戶點擊虛假連結並賺取免費代幣,隨後被駭的帳號後來被用來攻擊Mandiant,要求其更改密碼。但在許多情況下,社群媒體帳號劫持涉及濫用第三方服務,而不是直接攻擊帳號。Mandiant採取行動恢復帳號,但駭客在復原過程中一度重新獲得了控制權,MalwareHunterTeam指出考慮到一些 X 用戶在遭受駭客攻擊後花了幾天甚至更長的時間才重新完全控制其帳號,Mandiant 並沒有花很長時間來恢復該帳號。

Mandiant 並不是第一個帳號被劫持的知名組織或個人。2020 年亞馬遜創辦人 Jeff Bezos、微軟聯合創辦人Bill 、美國前總統歐巴馬和特斯拉執行長馬斯克(在他購買該網站之前)的帳號被接管以宣傳比特幣騙局。另外,加拿大參議員阿米娜·格巴 (Amina Gerba) 的 X 帳號也發生過類似的入侵事件,該帳號也被用來宣傳詐欺計劃。

這些攻擊的性質突顯了網路犯罪分子利用政府和商業機構的社群媒體平台進行加密貨幣詐騙的手段日益複雜。

截至撰寫本文時,Mandiant帳號已在社交媒體平台上恢復。

麒麟勒索軟體攻擊澳洲法院系統 聽證紀錄遭竊

法院稱首次檢測到攻擊是在12月21日,但根據事後的調查,入侵發生於12月8日。

1月2日,澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露,法院案件和法庭受到網路安全事件的影響,造成法庭內視聽技術網路被中斷,影響錄音和轉譯服務,攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的,當時工作人員的電腦被鎖定,螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示,需要時間來確定哪些錄音和筆錄受到影響,Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊,該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下,受影響的系統立即被隔離和停用,然而根據隨後的調查顯示,該入侵發生在更早的日期,即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊;11月1日之前的一些聽證會錄音已在網路攻擊中被存取,據信,一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說,以下法院和司法管轄區受到了安全事件的影響:

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會,並於 2023 年 11 月舉行兩次地區聽證會。

縣法院-2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院-2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭-2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知,並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件,他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統,但維多利亞州法院的運作不會受到影響,預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字,但接受 澳洲 ABC News採訪的消息人士稱,此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。2022 年 10 月,台灣某上市製藥大廠也被列為其受害者。2023 年 11 月,一般來說,麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者,以存取其網路並竊取敏感數據,一旦麒麟完成初始存取,它通常會在受害者的基礎設施中橫向傳播,試圖找到要加密的關鍵統計數據。加密資料後,麒麟留下勒索字條“您的網路/系統已加密,加密的檔案具有新的檔案副檔名”,並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

中國APT駭客利用Barracuda電子郵件安全閘道器中的零日漏洞 鎖定美國、亞太及日本的政府、科技組織

#CVE-2023-7102

Photo Credit: Barracuda

美國資安廠商Barracuda 透露,中國國家級駭客利用其電子郵件安全網關(ESG)設備中的零日漏洞在「有限數量」的設備上部署後門,ESG漏洞(編號為 CVE-2023-7102)是一個影響「Spreadsheet::ParseExcel」的任意程式碼執行漏,「Spreadsheet::ParseExcel」是 ESG 裝置用來檢查 Excel 電子郵件附件是否有惡意軟體的開源程式庫。攻擊者可以在特製的 Excel 檔案中植入惡意程式碼,並將其作為附件發送給目標組織。當 ESG 裝置掃描電子郵件時,惡意程式碼會在沒有任何使用者互動的情況下執行,使攻擊者能夠存取系統並竊取有價值的資料。

Barracuda將該活動歸因於Mandiant 追踪的中國APT駭客UNC4841,該組織此前曾積極利用Barracuda 設備中另一個零日漏洞(CVE-2023-2868,CVSS 評分:9.8 )。UNC4841於12 月20 日被發現利用零日漏洞CVE-2023-7102,但有證據表明該活動於11 月30 日左右開始。駭客利用 CVE-2023-7102 向 Barracuda 客戶提供 SeaSpy 和 SaltWater 惡意軟體的新變種。這些攻擊是 UNC4841 網路間諜活動的一部分,針對的是政府、IT 和高科技組織,主要位於美國以及亞太和日本 (APJ) 地區。

Barracuda迅速做出回應,部署更新來修復漏洞以及可能受到新發現的惡意軟體變體危害的 ESG 設備。Barracuda發布了一個安全更新,該更新已於 2023 年 12 月 21 日“自動應用”,客戶無需採取進一步行動。Barracuda還進一步指出,它一天後「部署了一個修補來修復受入侵的 ESG 設備,該設備顯示出與新識別的惡意軟體變體相關的入侵跡象」,然而它沒有透露入侵的規模。也就是說,Spreadsheet::ParseExcel Perl 模組(版本 0.65)中的原始漏洞仍未修補,並已被指派 CVE 識別碼CVE-2023-7101,需要下游使用者採取適當的補救措施。

據一直在調查該組織活動的 Mandiant 稱,自 2022 年 10 月以來,估計至少有 16 個國家的一些私營和公共部門組織受到了影響。Google Cloud 表示,不早於 2023 年 11 月 30 日,它觀察到針對高科技、資訊科技供應商和政府實體的 CVE-2023-7102 漏洞利用,這些實體主要位於美國和亞太地區。最新的發展再次證明了UNC4841 的適應性,利用新的策略和技術在現有漏洞被堵住的情況下保留對高優先目標的存取權。Mandiant 預計,UNC4841未來可能會將其目標攻擊面擴大到其他設備,並利用更多種類的漏洞。

Barracuda電子郵件安全閘道設備(ESG)漏洞的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

803cb5a7de1fe0067a9eeb220dfc24ca 56f3f571a986180e146b6cf387855bdd  

952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd

118fad9e1f03b8b1abe00529c61dc3edf da043b787c9084180d83535b4d177b7

IP

23.224.99.242

23.225.35.238

107.148.41.146

三家德國醫院在平安夜遭到LockBit勒索軟體的攻擊

Photo Credit: KHO

德國東威斯特法倫天主教醫院協會(Katholische Hospitalvereinigung Ostwestfalen-KHO) 已證實由其經營的三家醫院Franziskus Hospital Bielefeld、Sankt Vinzenz Hospital Rheda-Wiedenbrück和 Mathilden Hospital Herford在2023 年 12 月 24 日凌晨遭到網路攻擊,造成整個 IT 系統中斷。KHO發布的公告中寫道:“身份不明的攻擊者已經存取了醫院 IT 基礎設施的系統,並加密了數據。初步調查表明,這可能是 Lockbit 3.0 的網路攻擊,目前無法預見解決時間。出於安全原因,所有系統一經發現立即關閉,並通知所有必要的各方和機構。”由於目前,調查正在進行中,入侵程度以及攻擊者是否竊取資料尚未確定。

根據BleepingComputer的報道,KHO營運的以下三家醫院受到了網路攻擊的影響:

Franziskus Hospital Bielefeld 醫院 – 614 床、10 個專科科室、390 名醫生和工作人員

Sankt Vinzenz Hospital Rheda-Wiedenbrück 醫院 – 614床,5個專科室,200名醫生和工作人員

Mathilden Hospital Herford 醫院 – 614 床、8 間專科室、230 位醫生和工作人員

上述醫院在德國的所在地提供醫療保健服務方面發揮著關鍵作用,因此影響其 IT 系統的網路攻擊會給處於醫療緊急情況的人帶來可怕的影響。

根據KHO的聲明,受影響醫院的患者治療繼續正常進行,所有診所業務仍然可用,但存在一些技術限制。透過成功恢復備份,仍然可以存取重要的患者資訊。然而,KHO 的三家醫院無法提供緊急護理,因此急需醫療護理的人員被轉移到其他地方,可能會導致嚴重的延遲。

截至本文撰寫時,LockBit 勒索軟體集團尚未將 KHO 添加到在其暗網揭秘網站中,因此網路犯罪分子是否竊取了患者資料或其他敏感資訊尚未確定。

Black Basta攻擊已過兩個月 多倫多公共圖書館至今仍是犯罪現場 對外服務將於明年一月逐步恢復?!

Photo Credit: TripWire

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中,Black Basta攻擊限制了其服務,令TPL的運作方式大規模的改變。圖書館人員以手工核對材料,任何退回的書本或物品都無法重新登入系統中,,大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉,無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿,解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示,該圖書館擁有 100 個分館,擁有 5,000 多名員工,其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務,但圖書館的線上帳戶仍然無法使用,公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示,雖然許多圖書館服務仍在繼續運營,但隨著調查的繼續,圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜,我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道,我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求,這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說,家庭、研究人員和其他人告訴圖書館,他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示,儘管遇到了困難,圖書館仍能允許顧客借閱 50 萬個實體資料,仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說,漫長的恢復過程需要幾個月的時間,因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長,但我們期待著全面回歸,」Bowles說。“儘管這些犯罪分子傷害了我們,但他們當然沒有阻止我們履行我們的使命,即提供免費和公平的圖書館服務,以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織,已被用來攻擊全球超過 329 個組織,並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體,Black Basta 沒有採用激進的前端策略,而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前,Conti的線上聊天內容被洩露,暗示其與俄羅斯政府有聯繫,並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現,自 2022 年以來,Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略,先竊取被害者敏感檔案和資訊,並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體,同時也有感染 Windows 系統的版本。此外,許多攻擊都利用 Qakbot(也稱為 QBot)來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年,多個城市圖書館系統面臨攻擊,其中包括涉及大英圖書館(世界上最大的圖書館之一、英國國家圖書館)的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32                

104.194.10.130                      

104.243.38.65                

105.111.60.60

 美國密蘇里州的自由醫院 遭新型勒索軟體Inc.攻擊後轉移病患

Photo Credit: https://twitter.com/BrettCallow/status/1737657266105667895

密蘇里州堪薩斯城(Kansas City)的一家名為自由(Liberty) 的醫院本週因網路攻擊限制其系統而難以為患者提供護理。自由醫院在周三(12/21)的更新中表示,該醫院仍在處理週二開始的電腦系統中斷問題。該機構最初不得不將一些患者轉移到其他醫院,但官員表示情況已經穩定,我們繼續按照標準的斷網方案照顧患者。我們沒有在一夜之間將任何額外的患者轉移到其他設施。今天,我們繼續積極調查中斷的根源。

醫院在周三的更新中表示,病患的安全和照護以及讓我們的系統恢復上線是我們的首要任務。我們預計這個過程需要時間。我們的初級和專科護理診所繼續接待某些患者,並根據需要重新安排其他患者。如果您需要重新配藥,請致電您的提供者辦公。

週二(12/20),醫院敦促那些需要醫療護理的人去其他醫院。官員表示,一些患者被轉移到其他機構,多家當地新聞媒體報道稱,醫院聯繫了堪薩斯城消防局等消防和緊急醫療服務部門,尋求幫助轉移患者。

週二,自由醫院營運長Mike Hopkins告訴《堪薩斯城星報》,消防部門運送了約 30 名患者,另有 10 至 15 名患者被緊急醫療服務機構送往其他醫院。該醫院在周二的聲明中解釋說,在電腦系統癱瘓的情況下,它仍一直在努力記錄患者護理情況。

官員們無法透露這個問題會持續多久,醫生正在與預約的患者聯繫,以找出替代方案。幾名患者告訴當地新聞媒體的記者,他們對不得不重新安排所需的預約感到沮喪,有些患者是在到達醫院後才發現的。

儘管該醫院沒有回應有關這是否是勒索軟體事件的置評請求,但KMBC 報道稱,獲得了獨家消息,該醫院的官員收到了一張勒索信。“我們已經入侵你並下載了你公司的所有機密資料。據報道,該消息稱,它可以傳播給人們和媒體。你的名譽將會被毀掉。不要猶豫,拯救您的生意。我們是能夠快速恢復您的系統的人。從現在開始,您有72小時的時間聯繫我們。” 資安專家Brett Callow亦在其X貼文中證實,Inc.勒索軟體為這次的幕後黑手。

Inc.勒索軟體是2023 年 7 月出現的新型勒索軟體,Inc.將自己定位為受害者挽救聲譽的服務提供者, Inc.勒索軟體業者針對多個行業,這包括對醫療保健、教育和政府實體的攻擊。觀察到的方法包括魚叉式網路釣魚電子郵件以及針對易受攻擊的服務。這包括 Citrix NetScaler 中CVE-2023-3519的利用。一旦威脅行為者獲得初步存取權限,就會利用各種COTS或LOLBIN來繼續內部偵察和橫向移動。與 Inc. 勒索軟體操作相關的工具包括:

NETSCAN.EXE – 多協定網路掃描器和分析器

MEGAsyncSetup64.EXE – 用於 MEGA 檔案共用/同步/雲端服務的桌面應用程式

ESENTUTL.EXE – 用於資料庫管理和復原的 Microsoft 實用程式

AnyDesk.exe – 遠端管理/遠端桌面

勒索軟體攻擊者不休假,這次聖誕節假期攻擊為勒索軟體組織持續專門針對醫療機構的災難性的一年畫上句號。2023 年全年,數十家醫院在勒索軟體攻擊後被迫轉移救護車並關閉部門,危及數千人的生命。

網路界的無間道 美國FBI透過線人瓦解了Alphv/BlackCat 勒索軟體網站

執法機構利用機密線人和自行開發的解密工具,搗毀了臭名昭著的Alphv/BlackCat勒索軟體網站。

在美國時間周二(12/19)的新聞稿中,美國司法部 (DOJ) 宣布取締了由 FBI 主導、歐洲刑警組織以及德國、丹麥、澳洲、西班牙、英國、奧地利和瑞士當局參與的瓦解Alphv /BlackCat 行動。在瓦解的過程中,FBI在一名線人的幫助下查封了多個勒索軟體經營的網站,並開發了一種解密工具來幫助受影響的受害者。

作為針對 ALPHV /Blackcat 勒索軟體採取的協調執法行動的一部分,聯邦調查局查封了該勒索軟體網站

根據美國司法部的新聞稿,在過去 18 個月中,根據全球受害者支付的數億美元贖金,ALPHV/Blackcat 已成為全球第二多產的勒索軟體即服務變種。受害者範圍從政府實體和醫療機構到學校、國防工業基地公司和關鍵製造設施,估計已針對超過 1,000 名受害者。該網路犯罪組織最近的兩個受害者包括高梅國際酒店集團(MGM Resorts International)和Henry Schein漢瑞祥。該醫療保健巨頭在短短一個月內遭受了兩次Alphv/BlackCat 攻擊。為了取締這些網站,聯邦調查局聘請了一名線人。

根據週二啟封的搜索令,線人通過回答幾個能展示精通技術的問題,成為BlackCat的成員並獲得了存取,隨後將憑證移交給聯邦調查局。12 月 11 日,FBI向佛羅裡達州南區提交的搜查令並披露了利用特權取所發現的情況。FBI表示在調查過程中,執法部門已了解到 BlackCat 勒索軟體集團的網路。FBI 識別並收集了 946 個 Tor 站點的公鑰/私鑰,據了解BlackCat勒索軟體組織使用這些站點來託管受害者通信、洩密數據和成員使用的Dashboard等。據從Dashboard中,附屬成員可以看到受害者實體、要求的全額贖金價格、折扣贖金價格、到期日期、加密貨幣地址、加密貨幣交易、受感染的電腦系統類型、贖金要求單、與受害者的聊天等等,這些功能使BlackCat成員能夠在整個談判過程中與受害者互動。

FBI透露,除了查封 BlackCat 經營的網站外,它還開發了一種解密工具,幫助 BlackCat 受害者從攻擊中恢復,而無需支付贖金。該工具已向全球 500 多名受影響的受害者提供,聯邦調查局表示,到目前為止,它已與數十名美國和國際受害者合作。

美國司法部估計,它為受害者節省了 6800 萬美元的贖金要求,司法部副部長Lisa Monaco在新聞稿中發表聲明稱,在瓦解 BlackCat 勒索軟體組織的過程中,司法部再次對駭客進行了攻擊,並透過聯邦調查局向全球數百名勒索軟體受害者提供了解密工具,使企業和學校能夠重新開放,醫療保健和緊急服務能夠恢復線上。我們將繼續優先考慮破壞行為,並將受害者置於我們摧毀助長網路犯罪生態系統的戰略中。

查封或關閉線上基礎設施通常是阻止勒索軟體團夥運作的短期解決方案,美國在這次行動中未宣布逮捕任何人,這可能是因為許多BlackCat成員都位於俄羅斯,而俄羅斯拒絕將犯罪嫌疑人引渡到美國。

然而,根據資安研究社群VX underground,ALPHV/BlackCat已聯繫他們,且通知他們已轉移其伺服器和部落格,故此次打擊行動的有效性仍有待觀察。

Sony旗下遊戲商Insomniac Games遭勒索軟體Rhysida攻擊,被勒索200 萬美元

Insomniac Games 是《拉捷特與克拉克》系列和《漫威蜘蛛人》系列等遊​​戲的開發商,遭Rhysida勒索軟體入侵,連目前正打造的全新遊戲《漫威金鋼狼》的大量遊戲資料如遊戲截圖及角色設計等遭到駭客提前被曝光。

12月13日,Sony旗下電玩遊戲開發商 Insomniac Games 的系統據稱遭到Rhysida 勒索軟體集團的駭客攻擊,Rhysida聲稱對這起事件負責,並宣布,如果 Insomniac和Sony不付款,該組織將以 50個比特幣(200 萬美元)的價格出售所獲得的所有數據。

作為成功入侵的證據,Rhysida公開了 Insomniac Games機密數據,這些資料包括《漫威金鋼狼》遊戲截圖、其他漫威相關角色圖片、公司員工的護照掃描檔案,甚至包括在《漫威蜘蛛人》系列中為「蜘蛛人」主角Peter Parker配音的配音演員 Yuri Lowenthal ,其個資也被公布,其餘外洩資料還包括公司內部電郵和已簽署的機密文件等等。

Sony已就此事向《Video Games Chronicle》發表聲明,寫道「我們獲悉有關 Insomniac Games 成為網路安全攻擊受害者的報導」。該公司表示,“目前正在調查這一情況”,但指出,但無理據顯示,其他Sony部門亦受影響。

Rhysida 是網路犯罪領域相對較新的參與者,首次出現於 2023 年 5 月。美國聯邦調查局(FBI)、網路安全暨基礎設施安全局(CISA)就曾在 11 月對 Rhysida 的攻擊行動發出警告, 將其歸類為針對各行業「機會目標」的威脅者,攻擊目標包括教育、醫療保健、製造、資訊科技和政府。據了解該組織已針對近50個組織發起了攻擊,其中包括智利政府大英圖書館Prospect Medical Group進行了高調的攻擊,Rhysida經營著一種以盈利為主的勒索軟體即服務 ( RaaS ),據信Rhysida的前身是Vice Society勒索軟體。根據Check Point的研究,Rhysida 和 Vice Society 部署的策略包括遠端桌面協定 (RDP) 連線、遠端 PowerShell 工作階段 (WinRM) 以及使用 PsExec 等工具進行橫向移動。值得一提的是,攻擊者展示了先進的防禦規避能力,刪除日誌和取證工件以阻礙偵測和分析,Rhysida 的勒索軟體負載部署從最初的橫向移動到廣泛部署僅花了八天。

Rhysida的部分入侵指標(Indicator of compromise -IOCs):

f875ebf4c6809e76775d54f389840da67d236b36

5b1bb39d0caa11e4ce62248ff2d031dae28725fc

6633fa85bb234a75927b23417313e51a4c155e12f71da3959e168851a600b010

4e34b9442f825a16d7f6557193426ae7a18899ed46d3b896f6e4357367276183

97766464d0f2f91b82b557ac656ab82e15cae7896b1d8c98632ca53c15cf06c4

北韓APT駭客組織 Lazarus被發現利用Log4j漏洞部署新的 RAT 惡意軟體

北韓APT 組織 Lazarus 是一場新的駭客活動的幕後黑手,該活動利用 Log4j 漏洞部署以前未記錄的遠端存取木馬 (RAT)。思科 Talos 研究人員將該活動追蹤為鐵匠行動Operation Blacksmith,該行動於 2023 年 3 月左右開始,針對全球製造、農業和實體安全公司。鐵匠行動代表了Lazarus所使用的戰術和工具的顯著轉變,再次證明了這個威脅組織不斷變化的戰術。據信,北韓駭客至少打造了三個基於DLang的新惡意軟體系列。其中包括一種名為NineRAT 的RAT(利用Telegram 進行命令和控制(C2))、DLRAT 和一個名為BottomLoader 的下載程式。Talos 認為 NineRAT 於 2022 年 5 月左右打造成,但首次被發現是在 2023 年 3 月,當時是鐵匠行動的一部分。三月,駭客襲擊了南美洲的農業組織,專家在 2023 年 9 月左右觀察到 NineRAT 針對一家歐洲製造實體的使用情況。

新的惡意軟體工具

第一個惡意軟體 NineRAT 是 Lazarus兩種新型 RAT 中的第一種。它使用 Telegram API 進行命令和控制 (C2) 通信,包括從受攻擊的電腦接收命令和竊取檔案。

NineRAT 包含一個釋放器,它還負責建立持久性並啟動主要的二進位檔案。

該惡意軟體支援以下命令,這些命令透過 Telegram 接受:

info – 收集有關受感染系統的初步資訊。

setmtoken – 設定令牌值。

setbtoken – 設定新的機器人令牌。

setinterval – 設定惡意軟體輪詢 Telegram 頻道之間的時間間隔。

setsleep – 設定惡意軟體應休眠/休眠的時間段。

升級 – 升級到新版本的植入程式。

exit – 退出惡意軟體的執行。

卸載 – 從端點卸載自身。

sendfile – 從受感染端點將檔案傳送到 C2 伺服器。

第二個惡意軟體DLRAT是一種木馬和下載程式,Lazarus 可利用它在受感染的系統上引入額外的酬載。DLRAT 是 Lazarus 趨勢的另一個迭代,它始於MagicRAT,使用奇異/不常見的語言和框架,以及模組化惡意軟體以避免檢測

DLRAT 在設備上的第一個活動是執行硬編碼命令來收集初步系統資訊,如作業系統詳細資訊、網路 MAC 位址等,並將其發送到 C2 伺服器。

攻擊者的伺服器回應受害者的外部 IP 位址和以下命令之一,以便惡意軟體在本地執行:

deleteme – 使用 BAT 檔案從系統中刪除惡意軟體

下載 – 從指定的遠端位置下載檔案

重新命名 – 重新命名受感染系統上的檔案

iamsleep – 指示惡意軟體在設定的時間內進入休眠狀態

上傳-上傳檔案到C2伺服器

showurls – 尚未實施

最後,思科分析師發現了BottomLoader,這是一種惡意軟體下載程式,它使用PowerShell 從硬編碼URL 獲取並執行有效酬載,同時也透過修改啟動目錄來建立持久性。此外,BottomLoader 還為 Lazarus 提供了將檔案從受感染系統洩漏到 C2 伺服器的能力,從而提供了一定的操作多功能性。

Log4Shell 攻擊

Cisco Talos 觀察到的攻擊涉及利用Log4Shell,這是Log4j 中的關鍵遠端程式碼執行漏洞,大約在兩年前被發現並修復仍然是一個安全問題.

這些目標是面向公眾的VMWare Horizo​​n伺服器,該伺服器使用易受攻擊的Log4j日誌庫版本,允許攻擊者執行遠端程式碼。

入侵後,Lazarus 設定了一個代理工具,用於在受攻擊的伺服器上進行持久訪問,運行偵察命令,創建新的管理員帳戶,並部署 ProcDump 和 MimiKatz 等憑證竊取工具。

在攻擊的第二階段,Lazarus 在系統上部署 NineRAT,該系統支援廣泛的命令。

Photo Credit: Operation Blacksmith attack chain (Cisco Talos)

思科的結論是,Lazarus 可能會向其旗下的其他 APT(進階持續性威脅)組織提供 NineRAT 收集的資料。

這個假設基於以下事實:NineRAT 執行系統re-fingerprinting,在某些情況下,這意味著它可能正在為多個參與者執行系統識別和資料收集。

Operation Blacksmith的部分入侵指標(Indicator of compromise -IOCs):

9b020978a1ddab1e949a631c4863e4a9d4328149

7f32ca98ce66a057ae226ec78638db95feebc59295d3afffdbf407df12b5bc79

a48abe2847e891cfd6c18c7cdaaa8e983051bc2f7a0bd9ef5c515a72954e1715

0d133dde99d883274bf5644bd9e59af3c54c2b3c65f3d1bc762f2d3725f80582

4f01ffe98009a8090ea8a086d21c62c24219b21938ea3ec7da8072f8c4dcc7a6