來自中國的BlackTech透過思科設備入侵各國企業與機關!

CISA 表示,BlackTech 透過使用各種工具和技術來修改甚至替換設備的韌體,從而瞄準了思科和其他路由器製造商

美國和日本的情報、執法和網路安全機構近日共同發出警告,指出一個來自中國、代號為BlackTech,也被稱為Palmerworm、Temp.Overboard、Circuit Panda和Radio Panda的進階持續性威脅組織(APT),曾經在思科(Cisco)路由器韌體中植入後門,以侵入跨國公司的網路系統。這項警告呼籲企業和機構加強網路安全,特別是在使用思科路由器等類似設備時,需謹慎保護其網路系統免受攻擊。

BlackTech是一個自2010年起就相當活躍的中國APT組織,以其在亞洲所進行的網路間諜活動而聞名,他們的目標包括國防、政府、電子、電信、技術、媒體和電信等多個部門,主要針對香港、日本和台灣進行攻擊。

此次的攻擊手法為修改思科路由器的韌體,使其在保持潛伏的狀態下,從海外子公司侵入日本和美國的總部。他們利用已建立的受害者與其他實體之間的可信任網路關係,逐步增強其在目標網路中的訪問權。一旦獲得初始進入點和對網路邊緣設備的管理訪問權,他們通常會進一步修改以隱藏其活動,確保在受害者的環境中能夠持續潛伏。

BlackTech的目標通常是分支路由器,這些路由器用於企業總部與外部辦事處的網路連接,他們使用客製的韌體後門,通過發送特別的TCP或UDP封包來啟用或禁用後門,這項入侵技術也會影響其他的網路設備,並不僅僅限於思科路由器。

為了入侵路由器,並在受害者的網路中進行移動,攻擊者使用遠程桌面協議(RDP),禁用受感染路由器上的記錄,以防止受害者透過路由器紀錄發現端倪。

BlackTech匯使用多個客製化的惡意軟體來針對不同的操作系統,包括Windows、Linux和FreeBSD。這些客製化的惡意軟體的名稱包括BendyBear、Bifrose、BTSDoor、FakeDead、FlagPro、FrontShell、IconDown、PLEAD、SpiderPig、SpiderSpring、SpiderStack和WaterBear。這些入侵工具不斷透過更新換版來逃避安全軟體的檢測,甚至使用竊取的程式碼簽章憑證來掩蓋。

思科對外宣稱以下數點聲明,並保證BlackTech並未成功利用其產品中的任何漏洞:


這些攻擊中最普遍的初始訪問途徑涉及被竊取或安全性不足的管理憑證。如報告中所述,某些配置更改,例如禁用記錄和下載韌體是需要透過管理憑證進行。

  • 沒有跡象表明思科的設備有任何漏洞被人利用。攻擊者是使用被竊取的憑證來執行管理級別的配置和韌體更改。
  • 現代思科設備包括安全啟動功能,不允許加載和執行修改後的軟體映像檔。
  • 報告中提到的被竊取的程式碼簽章憑證不是來自思科,沒有任何思科的程式碼簽章憑證被竊取以對思科基礎設施設備進行攻擊的情況。

然而發言人也表示,警報強調了公司​​迫切需要更新、修補和安全配置其網路設備,這是維護安全和實現整體網路彈性的關鍵步驟。

更多關於中國APT的資訊:

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ,以監視非營利組織

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

Acalvio 進駐 Google Cloud,大幅強化雲端平台安全!

雲端平台已經發展到十分成熟的地步,每位使用雲端平台進行作業的使用者,無論其技術水平是否初學者或專業使用者,都應將安全性視為優先且重要之議題。近日,三大雲端平台之一的Google Cloud發表了與業界領先的欺敵防禦廠商Acalvio的戰略合作,透過此項合作,Google Cloud得以向使用者提供積極主動的安全保障。這項服務的最大特色是極大地簡化欺敵管理以及部署過程,透過幾個簡短的啟動流程即可完成。

架構概述 

Acalvio 屢獲殊榮的主動防禦平台中包含了主動欺敵技術,使企業能夠識別、參與和應對潛藏在雲端、本地和混合網路中的惡意行為。

Acalvio ShadowPlex 是一個先進的威脅偽裝和欺敵平台,旨在提供高效的安全防護。它利用虛擬化技術,模擬潛在攻擊者的行為,能夠透過為敵對行為者提供絆線誘餌、包含虛假憑證的麵包屑以及潛在可攻擊系統或應用程式的誘餌來誤導他們,從而吸引攻擊並分析威脅,而與欺敵平台的任何接觸都會產生高可信度的警報,幫助組織提前發現和防止攻擊,保護其數據和資源免受風險。在本次的合作中,Acalvio 將在Google Cloud上為客戶提供企業級分散式欺敵誘捕。

ShadowPlex架構

圖片版權歸谷歌所有

Acalvio 的主動式防禦有兩個主要部分所組成,在 Google Cloud 上執行的 ShadowPlex 服務,以及部署在客戶端網路服務提供點的工作負載投影感測器。ShadowPlex 會集中管理所有的欺敵行為部署,並將其投射到分散式或混合式的企業網路中。 

ShadowPlex 所投影的誘餌可以透過感測器來啟用,感測器是輕量級元件,可以放置在本地和雲端工作負載的企業網路中。ShadowPlex 可以對未連接到公司網路的遠端電腦啟用欺敵服務,使在家工作的員工電腦也能受到保護。此一服務是利用了部署在Google Cloud上的全球感測器才得以實現。

Google Cloud 讓 ShadowPlex 更加強大

ShadowPlex 能夠利用Google Cloud高效實現數千個企業級欺敵服務,以實現大範圍的主動防禦。由Acalvio開發的專力流體欺敵技術增強了在受到嚴格限制的環境中的誘捕密度和互動。這使得在防禦攻擊的同時,能夠視清況優化資源的運用。

ShadowPlex 能夠通過與Google Cloud安全指揮中心(Security Command Center,SCC)的協處,來告知客戶相關的欺敵誘捕現況。Google Cloud的客戶還會收到SCC的電子郵件,建議他們考慮在未使用ShadowPlex的項目中添加主動防禦安全。

Google Cloud Chronicle安全運營平台也可以與ShadowPlex進行協處。Chronicle的客戶能夠設定欺敵事件的警訊發送,以及將這些事件與其他告警進行關聯性分析的能力。

ShadowPlex 使用其他 Google Cloud 服務進行內部安全管理與分析,例如使用VirusTotal中資訊豐富的欺敵事件資料、基於 Google 資料庫服務建構的資料管理和處理、以及 GKE 平台上的威脅分析。

谷歌雲上的 ShadowPlex圖片版權歸谷歌所有

1 + 1 大於 2

Acalvio 以欺敵誘捕為核心概念的主動式防禦已在Google Cloud Marketplace上提供,能夠幫助使用者以精確、迅速的方式檢測和應對最新的高級威脅。

此次合作也為Google Cloud帶來了更多的應用情境。Google Cloud上的Acalvio ShadowPlex服務不僅為Google Cloud工作負載提供了主動防禦,還將安全延伸到使用者的本地基礎設施,這是透過Google Cloud才得以實現在本地網路上部署和管理欺敵服務。

索尼再次遭到網路攻擊!Ransomed.vc宣稱已竊取大量數據

Ransomed.vc 勒索軟體集團宣稱已成功入侵日本跨國企業巨頭索尼集團,這是在這幾個月內針對索尼的第二次入侵事件,先前的入侵是遭受到俄羅斯的 Cl0p 勒索團體利用 MOVEit Transfer 漏洞的攻擊。與典型的勒索形式不同,該集團聲稱由於索尼不遵守他們的要求,因此該集團也不會提出贖金,而是打算以盜取來的數據從別的管道謀取利益。索尼並不是唯一一家在 Ransomed.vc 暗網的日本上市公司。該組織還聲稱對日本電信公司 NTT Docomo 進行了攻擊,並要求支付 101.5 萬美元的贖金,以免洩露被盜資料。

Ransomed.vc 集團自 2023 年以來一直積極動作,主要的勒索方式是威脅受害者支付贖金,否則將公開其機敏數據。該集團已被鏈結到多起知名的網路攻擊事件,包括 2023 年 9 月對夏威夷政府網站的攻擊,並且其攻擊目標橫跨多個產業領域,包括醫療、金融和高科技產業。

Ransomed.vc 在其網站上揭露了部分竊取來的數據樣本,包括來自索尼品管部門的 Power Point 文件、索尼內部登錄頁面的螢幕截圖、以及 Java 文件等6,000個文件。索尼集團由於其全球知名度和全球客戶數量的緣故,一直是網路犯罪集團的首要目標。。2011 年,PlayStation Network 遭遇重大漏洞,約 7,700 萬個註冊帳戶遭到洩露,線上功能完全中斷。 2014 年Sony成為與北韓APT駭客的攻擊目標,導致其推遲了一部有關北韓的電影的上映。這次駭客攻擊也導致了 網路問題、內部通訊和秘密曝光  , 包括財務和電影劇本 以及索尼集團高階管理層和員工的薪資以及個人機敏資訊。

Sony事件發生在聯邦調查局(FBI)和聯邦資訊安全局(CISA)發布關於 Snatch Ransomware 威脅的聯合警告後不久,恰恰印證了勒索軟體威脅的不斷升級和普遍性。由於各地法規林立,勒索團體也開始利用法規懲罰來要脅企業就範,因他們往往索取低於法規懲罰金額的贖金。然而支付贖金只是治標不治本的方式,也無法保證犯罪集團會遵守相關約定。因此,企業有必要重新審視並制定全面的網路安全策略,以保護自己免受此類攻擊,莫再為了追尋跟前的利益,而忽略了近在眼前奔馳而來的灰犀牛。

相關文章:

Snatch大活躍,FBI與CISA發出聯合聲明警示各方注意!

為美國政府提供IT服務的承包商Maximus,因MOVEit Transfer漏洞導致約1000 萬人的個資外洩

Snatch大活躍,FBI與CISA發出聯合聲明警示各方注意!

根據美國聯邦調查局(FBI)和網路安全及基礎設施安全局(CISA)的聯合警告,一個位於俄羅斯的駭客團體正在使用勒索軟體 Snatch 針對農業、資訊技術和國防等領域的組織發動攻擊。

據報告,截至今年六月為止, FBI 和 CISA 一直在調查與這個勒索團體的駭客活動有關的案件。勒索軟體 Snatch 自2018年開始活躍,主要使用位於俄羅斯的伺服器和其他虛擬私人網路(VPN)服務來連接 C2 伺服器發動攻擊。而最近對南非國防部的攻擊幾乎引發了一場國際事件,因為這次攻擊發生在約翰尼斯堡舉行的金磚國家領袖峰會期間。該團體曝光了該國總統的個人電話號碼和電子郵件,以及該國國防系統竊取的1.6TB數據的一部分。南非政府最初否認發生入侵事件,但隨後仍承認了此事件的發生。除此之外,該組織近期也針對了大都會歌劇院以及加利福尼亞州莫德斯托市政府發動入侵攻擊,因而引起相關部門與資安專家的注意。

以下是近年來與 Snatch 相關的勒索攻擊事件:

  1. 南非國防軍(Department of Defence South Africa)攻擊:Snatch 駭客針對南非國防軍進行了攻擊,竊盜了總計 1.6TB資料,包含軍事合約、內部呼叫和個人資訊並干擾了他們的網路運作。
  • 大都會歌劇院攻擊:美國大都會歌劇院也成為了Snatch 勒索軟體攻擊的受害者,導致了其系統無法正常運作,並被揭露了許多機敏資訊。
  • 莫德斯托警察局攻擊:美國加州莫德斯托警察局在一次攻擊中受到損害,因為勒索軟體對其IT系統造成了影響,迫使他們恢復使用傳統的紙筆記錄。
  • 威斯康辛學區攻擊:Snatch 對威斯康辛州的一個學區進行了攻擊,造成了嚴重的損害和數據損失。
  • 佛羅里達醫院攻擊:該組織試圖對佛羅里達最大的一家醫院進行勒索軟體攻擊,超過一百萬名患者的個人資訊可能已被洩露。

該組織除了自己會進行入侵行動外,也被發現購買了其他勒索軟體組織偷竊的數據,藉以勒索受害者支付更多贖金。報告指出,該組織最近在Databreaches.net 發表的評論中,試圖澄清一個名為 Snatch 的 Telegram 頻道並未與該組織相關。

雖然此刻該頻道已被關閉,但這個 Telegram 頻道在今年夏天連續數週洩露了從南非國防部竊取的高度機密文件,該頻道經常吹噓出現在 Snatch 勒索軟體組織的洩漏網站上的攻擊。FBI 指出,該頻道甚至掌握了其他勒索軟體組織如 Conti 和 Nokoyawa 偷竊的資訊。

警告中指出,使用 Snatch 的威脅攻擊者一直在不斷改進他們的戰術,以適應當前的網路安全解決方案,自2019年首次對ASP.NET託管服務商SmarterASP.NET發動攻擊以來,Snatch 的變種已經相當成熟且具有相當程度的破壞性,其特點之一是能夠將受感染設備重新啟動到安全模式,以繞過防毒軟體和端點保護機制。這種獨特的攻擊策略被稱為潛行惡意軟體,是利用許多Windows電腦通常不在安全模式下運行端點保護機制的盲點來避免被檢測,先強制感染的主機重啟進入安全模式,之後才進行一般的加密與竊取等勒索攻擊行為。在許多攻擊中,Snatch 操作者瞄準了遠端桌面協定 (RDP) 中的弱點,以獲得對目標網路的管理員等級存取權並在他們使用竊取或購買的憑證來獲得初步立足點。一旦進入網路,Snatch會花長達三個月的時間在網路中搜尋目標檔案和資料夾。FBI 和 CISA 通報 Snatch 業者在受感染的網路上結合使用合法和惡意工具。其中包括後脅迫工具,例如 Metasploit 開源滲透測試工具、用於後續移動的 Cobalt Strike,以及用於建立、查詢、添加和刪除服務以及執行其他任務的實用程式,例如 sc.exe

該警告包括一份附有與駭客相關的電子郵件地址和網域列表,並呼籲受害者在受到攻擊時聯繫執法機構。

FBI 和 CISA 的聯合警告可從下方連結取得:

https://www.cisa.gov/sites/default/files/2023-09/joint-cybersecurity-advisory-stopransomware-snatch-ransomware_0.pdf

更多 Snatch 相關報導:

美國坦帕綜合醫院逃過被勒索軟體加密,120萬名病患敏感資訊卻仍遭駭客盜取

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

Snatch 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f

1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d

5950b4e27554585123d7fca44e83169375c6001201e3bf26e57d079437e70bcd

7018240d67fd11847c7f9737eaaae45794b37a5c27ffd02beaacaf6ae13352b3

28e82f28d0b9eb6a53d22983e21a9505ada925ebb61382fabebd76b8c4acff7c

fc31043b5f079ce88385883668eeebba76a62f77954a960fb03bf46f47dbb066

物聯網誘發的DDoS進化,安全政策須重新思索

物聯網(IoT)正在改變我們各個行業的效率,包括醫療保健和物流,但也引入了新的安全風險,尤其是物聯網驅動的分散式阻斷服務(DDoS)攻擊,讓這項流傳已久的攻擊手法更加地強大且不受控制。

物聯網飛快發展的同時也忽略了安全性,這些安全性不佳的設備成為攻擊者眼中甜美的獵物,並將其納為殭屍網路的一部分。由攻擊者控制的殭屍網路可以迅速擴大並執行各種攻擊,包括DDoS、數據竊取、廣告欺詐、加密貨幣挖礦、垃圾郵件、釣魚、數據收集和竊聽等,而不被設備擁有者察覺。

雖然殭屍網路並不是什麼新鮮事物,但物聯網殭屍網路帶來了特定的威脅。物聯網設備的數量在2022年達到160億,預計到2025年將超過300億。這些設備鮮少更新安全漏洞、並且使用不安全的系統預設,能輕易地被攻擊者所控制。

殭屍網路攻擊單單在2023年上半年即增長了300%,造成全球金融損失估計達到25億美元。在2023年,90%的複雜DDoS攻擊都基於殭屍網路所發起,參與殭屍網路攻擊的物聯網設備數量估計在一年內從20萬增加到約100萬臺,同時受到殭屍網路攻擊的漏洞數量增加了一倍有餘。預計到2023年,物聯網設備將增長18%,達到144億臺,到2025年預計將增至270億臺,隨著物聯網和DDoS攻擊的同步上升,物聯網驅動的DDoS攻擊將在不久的將來成為越來越嚴重的威脅。

針對這樣的新型態攻擊,我們可以實施以下的措施來減緩該資安風險的發生與帶來的損失:

  • 制定基於物聯網設備的安全政策:更改預設密碼,並且定期更新韌體,提供有關物聯網安全和滲透測試的教育和培訓。
  • 威脅聯防:透過威脅情資的快速交換機制,第一時間進行設備快速檢測並消除新興威脅,強化全域防禦能力。
  • 定期更新設備:確保物聯網設備安裝了最新的韌體和軟體更新,防止已知漏洞被利用。
  • 實施縱深防禦策略:部署全面的安全策略,包括防火牆、入侵檢測系統和網路應用安全解決方案。

物聯網驅動的DDoS攻擊如同殭屍一般除之不盡,是一場需要持之以恆的長期戰鬥。但通過不屬完善的解決方案、建立良好的資安政策,企業就可以顯著地減少風險,降低實質上的金融損失。

更多關於DDoS的資訊都在竣盟科技:

微軟Outlook 在親俄駭客組織的DDoS攻擊後在周一當掉

大規模DDoS攻擊!烏克蘭國防部以及國營銀行的網站遭網攻,不排除源自俄羅斯!

新型殭屍網路Abcbot鎖定中國雲端供應商,會是日後DDoS攻擊的信號嗎?!

最新發現的 Kubernetes 安全漏洞將使企業的門戶大開!

Photo Credit: Kubernetes

在業界廣泛使用的容器管理應用程式 Kubernetes ,近來被披露有三個互相關聯的高嚴重性安全漏洞,可能被利用來對同一個集群中的 Windows 端點上實現帶有提升權限的遠程代碼執行。此三個安全漏洞的CVE編號分別為:CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,它們的 CVSS 評分為 8.8,影響所有帶有 Windows 端點的 Kubernetes 環境。

這些漏洞的主要威脅是它們允許攻擊者在 Kubernetes 集群中的 Windows 端點上執行遠程代碼,並進而獲得 SYSTEM 權限。具體來說,攻擊者需要將一個惡意的 YAML 文件於目標集群內執行,然後就可以在受害的 Windows 機器上執行任意代碼操作。

CVE-2023-3676 影響了所有版本低於 1.28 的 Kubernetes,能夠讓攻擊者以低權限進行攻擊,只需具有對端點的訪問權限和應用權限即可將惡意代碼在 Windows 端點上以 SYSTEM 權限執行。這樣的低門檻使得攻擊變得相對容易,大幅提升了組織受到攻擊的風險。另一方面,CVE-2023-3893 則涉及 Container Storage Interface (CSI) 代理中的特權升級,允許攻擊者獲得端點上的管理者訪問權限。

這些漏洞的共同性是在處理 Pod (Kubernetes的計算單元)時,對於使用者的輸入缺乏適當的驗證。這使得攻擊者能夠創建包含惡意代碼的 Pod,從而實現特權升級和遠程代碼執行。

這組漏洞對企業的安全性構成了嚴重威脅,特別是那些大量使用 Windows 端點設備的企業。因此,企業應該盡快採取必要的措施,包括更新和修補 Kubernetes,以確保其系統免受潛在的攻擊風險。

竣盟科技針對此項漏洞的建議如下:

立即進行版本更新:確保您正在使用已經修補這些漏洞的最新版本的 Kubernetes。

限制訪問權限:限制誰可以在您的集群中創建或修改 pod。實施嚴格的基於角色的訪問控制(RBAC)政策。

稽核與監控:密切關注您的日誌活動,標記和調查不尋常或未經授權的 pod 創建活動,特別是包含嵌入式 PowerShell 命令的項目,所有這些都是潛在攻擊的強烈徵兆。

Kubernetes是什麼?

Kubernetes是一個開源的容器管理平台,它用於自動化和管理應用程式的部署、維護和擴充。可以幫助開發人員和維運團隊更輕鬆地管理容器化的應用,提供了一個可擴充、高度可用的平台,支持應用程式在不同的環境中運行,包括本地、雲端和混合雲環境。Kubernetes提供了自動化的容器部署、擴充、故障恢復和負載平衡等功能,使應用程式更加穩定、可靠且易於管理。它已成為容器化應用程式的標準,被廣泛用於現代雲原生應用的開發和運營。

MacOS使用者注意!又一針對macOS的惡意軟體-MetaStealer

Photo Credit: Sentinel One

最新一款針對Mac使用者的資訊竊取惡意軟體MetaStealer已經現身,攻擊者專門瞄準企業用戶。這種惡意軟體通常偽裝成Adobe應用程式或檔案,或者隱藏在一般的檔案文件之中。SentinelOne的研究人員表示,目前發現的MetaStealer樣本多數都是隱藏在使用.dmg副檔名的檔案之中,這種直接挑明了針對macOS的惡意軟體是相當罕見的,因此也被猜測可能有要針對某些特定的企業用戶。

MetaStealer專為搭載Apple M1和M2處理器的Mac設計,其代碼經過重重隱藏跟混淆,企圖令人看不清他的用意為何。儘管如此,研究人員還是發現到MetaStealer能夠竊取已保存的密碼、iCloud鑰匙圈的功能、以及多數的文件檔案,甚至有些變種是專門瞄準Telegram和Meta應用程序。

MetaStealer首次於2023年3月被發現,此後不斷更新、進化、並發展不同變種。最近,蘋果公司已將該惡意軟體增加到macOS的XProtect防惡意軟體系統中。儘管一些版本中嵌入了蘋果開發者代碼簽名,但多數樣本未使用簽名,這代表攻擊者會透過各種方式來引導受害者進行一系列操作,藉以繞過Gatekeeper等保護機制。

MetaStealer並非首款針對Mac使用者的資訊竊取惡意軟體,研究單位還發現了一款稱為Atomic Stealer的惡意軟體,與MetaStealer相同,是針對macOS的使用者所設計,但目前為止尚不清楚兩者之間是否有任何關聯。MetaStealer等惡意軟體的出現,代表惡意軟體作者正積極瞄準MacOS的使用者,特別是那些慣以macOS進行日常作業的企業用戶,藉此竊取更多機敏資訊。

這一趨勢令安全人員感到擔憂,當這些惡意軟體開始橫跨到不同系統並且積極開發之時,意味著針對不同作業系統的設備都需要有相應的解決方案,這使得原先就已捉襟見肘的資安預算更加顯得不足。

更多關於針對macOS惡意軟體之消息:

LockBit 勒索軟體組織轉向以mac電腦為目標?!專家發現首款針對macOS 機器的 LockBit 加密工具!
https://blog.billows.com.tw/?p=2593

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

MetaStealer的部分入侵指標(Indicator of compromise -IOCs):

SHA256        ef0dd9ee92148dfc1d731d42812688f28dd276c2307ac8674a216a2371d156cd                                 

SHA256        8dd5bcc737e7b4bf98db09b082c34469b7095da3a4d314b1ca9b43316340da20                                               

SHA256        7344c02c3c366be28df78afb2df87a02a96f82d6fce1df8604067dcb02363dc8                                             

SHA256        50427037543eb5d8be12940c8fac6b4710e15125ee2b77b0743b017eafd8af9f                                  

SHA256        3725b015c4d5e5632e2ab87327f5f20733fc5d821ce500725b6d6c84694de670                          

SHA256        2d70d5965f201d97f4a763e95c7074dfd7ddbf9b7118e79ebf79c13235e1d821

五大家族甫成立,觸角已然伸入台灣高科技產業!

駭客界的紐約黑手黨翻版,五大家族於上月下旬宣布結盟,旨在共享駭客團體間的資訊,宣稱是為了網路地下世界中的每一個人建立更好的聯繫與團結,一時間造成資安界人心惶惶。正當眾人還在猜測,究竟是西方世界的哪一個企業會成為這個網路黑手黨的目標時,不曾想到台灣的高科技企業竟然已經成為第二名受害者。。

就在今天9月8日,五大家族的聯繫網路裡已經流傳著一份台灣某上市主機板大廠的客戶與員工的敏感資訊,該公司主要生產並供應電腦主機板、顯示卡、固態硬碟等等硬體設備。該份資料是由五大家族之一的GhsotSec提供,該組織在烏克蘭戰爭期間也積極針對俄羅斯軍隊進行網路滲透攻擊。

此駭客聯盟透過Telegram分享了兩個連結,其中就包括從此次攻擊中竊取的數據檔案下載網址,同時也批評了該公司薄弱、甚至是毫無保護的安全基礎設施。更多關於五大家族的訊息,請參閱竣盟科技先前的報導,可以獲得更多詳細資訊。

台灣高科技產業絕對是駭客的攻擊目標:

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

效仿五眼聯盟交流情報?!駭客聯手組成“五大家族”犯罪聯盟

近期才成立的五大家族(Five Families)網路犯罪聯盟是由四個駭客組織和一個暗網論壇組織組成,其目標是為暗網世界中的每個人建立更好的團結和聯繫並擴大和發展他們的業務。這個自稱為“五大家族”的聯盟旨在類似於五眼情報聯盟,旨在情報收集和共享方面進行合作。五眼聯盟是美國、英國、加拿大、澳洲和紐西蘭這五個英語圈國家組成的情報聯盟機構。

五大家族這個名字的靈感來自於 20 世紀 50 年代和 1960 年代五個主要在紐約市的義大利裔美國黑手黨。五大宣布其首名受害者為巴西軟體開發公司“Alpha Automation”(http[:]//Alfacomercial[.]com[.]be),盜竊了總計 230GB 的數據。

網路犯罪分子變得越來越有組織性,一個新的駭客聯盟”五大家族”已經出現了,由五個知名網路犯罪組織相互勾結的情況被曝光,引起國際社會關注,下面我們提共同組成這個新犯罪聯盟的背後5團體。

  • ThreatSec – 行動通常在 Twitter 和 Telegram 上公佈和展示目標如何遭受 DDoS 攻擊、系統入侵、篡改以及洩露或被盜資料的公開曝光。
  • GhostSec – 自 2015 年以來活躍的駭客組織,被發現旨在打擊ISIS 伊斯蘭恐怖主義的反恐駭客組織。
  • SiegedSec – 是一個很小且很新的駭客團體,但成員遍布全球。該團體成立於 2022 年初,以偷竊數據為目標,由一名為YourAnonWolf的成員領導。自 2 月份成立以來,SiegedSec 組織已獲取了至少 30 家受害公司的敏感數據、洩露的電子郵件或被盜的數據庫。
  • Stormous –駭客組織於 2021 年成立,旨在針對安全性較弱的網站。這個阿拉伯語組織聲稱已經危害了大量受害者,在許多情況下據稱使用勒索軟體,2022年,攻擊了可口可樂,竊走161GB資料。值得一提的是,2023年8月下旬,Stormous在揭秘網站上聲稱攻擊了台灣某上市安控大廠,並上傳了多張截圖作為證據。
  • Blackforums –暗網上的一個論壇,用於發布有關駭客攻擊和數據洩露的資料。於去年蓬勃發展。眾所周知,它會執行與建立惡意軟體相關的操作。
Stormous在揭秘網站上聲稱攻擊了台灣某上市安控大廠

據相信,上述4個駭客組織通過駭客Blackforums論壇,讓買家可以聯繫到他們購買數據;這次的結盟讓ThreatSec、GhostSec、Stormous、BlackForums 和 SiegedSec 等組織能夠方便地根據可用的工具和資源來調整網路攻擊,然後在 Blackforums 上推銷他們的行動。共享資源、戰術甚至共同敵人等因素推動了這個聯盟的形成。

這些組織可能專門從事不同形式的網路犯罪,從勒索軟體到數據盜竊和網路間諜活動,現在能夠分享他們的知識。值得注意的是,這並不是第一起有記錄的網路犯罪集團之間相互勾結合作的案例。2020年三大勒索軟體—Maze, LockBit 和 Ragnar Locker 組成敲詐勒索聯盟 (Extortion Cartel) ,互惠分享他們的攻擊經驗和數據洩漏。

這種聯盟的直接影響是什麼?

  • 攻擊增加:這些團體之間的合作可能會利用每個實體的綜合經驗和資源,導致攻擊數量和複雜性的增加。
  • 更大的目標:憑藉更多的資源和更好的協調,這些犯罪分子可以追求更大、更有利可圖的目標,例如金融機構、關鍵基礎設施甚至政府。
  • 大規模勒索軟體:最令人擔憂的問題之一是大規模勒索軟體攻擊的蔓延,可能導致整個城市或重要工業部門的癱瘓。

不滿日本排核廢水,Vulz Sec Team發動攻擊日本的行動

親印尼駭客組織Vulz Sec Team,因不滿日本排放福島核廢水,於8月28日發動稱為OpJapan的攻擊日本的行動,攻擊了多家政府機構並聲取得有關政府部門職員的個資。當中包括日本的厚生勞働省、國土交通省、金融廳和國立國會圖書館等。Vulz Sec Team在其Twitter表示,「日本在公海處理核廢料的不光采行動的後果。這是日本政府和聯合國在這種情況下表現出自私的本性,沒有與其他國家進行任何協調。海洋是一種豐富的自然資源,有很多好處。除了在食物方面是自然資源外,它還是一個充滿魅力的旅遊景點。對於這種浪費,即使他們提供了大約二億美元的賠償,也沒有人可以承擔責任,這並不能保證更換資源。」因此我們特此聲明發動OpJapan的行動。」並於2023年8月28日至9月5日對日本組織發動網路攻擊。

據了解,除了Vulz Sec Team宣布的OpJapan之外,其他駭客組織如Anonymous宣布了OpTEPCO和OpFukushima等網路攻擊行動的消息,向日本政府發出威脅,聲稱日本政府網站和與福島設施相關的其他網站遭到網路攻擊。該消息談到了核廢料傾倒對環境和人類的影響。在一項名為“Tango Down”的行動中,聲稱攻擊了與福島核電站相關的21個政府網站和其他網站。

據《日本時報》報導,Anonymous組織的一名成員最近告訴共同社,日本政府釋放處理過的水的政策缺乏透明度,因為公民無法參與其決策過程。