微軟警告: 中國國家級駭客亞麻颱風瞄準數十個台灣政府機構以及教育、關鍵製造業與資訊技術組織 恐進行監控活動

Flax Typhoon攻擊鏈 Photo Credit: 微軟

自 2021 年中期以來,發現與中國政府有關聯的駭客組織鎖定數十個台灣組織發起間諜活動,微軟(Microsoft)週四(8/24)將此次活動歸咎於被命名為亞麻颱風(Flax Typhoon) 的APT 組織。Microsoft表示,該活動的不僅是對台灣實體進行間諜活動,而是長時間地持續保持對各機構的存取權限。微軟觀察到Flax Typhoon的惡意行動幾乎只針對台灣組織包括台灣的政府機構以及教育、關鍵製造和IT機構,但微軟在東南亞、北美和非洲也發現了受害者。Flax Typhoon通過利用面向公眾的伺服器中的已知漏洞,針對的目標服務包括 VPN、Web、Java 和 SQL 應用程序,使用 China Chopper Web shell 來獲得初始存取權限從而入侵組織。China Chopper是一種在中國網路犯罪分子中流行的 Web shell。Flax Typhoon 還使用特權升級工具,例如 Juicy Potato 和 Bad Potato。一旦進入網路,Flax Typhoon就會使用命令行工具通過遠端桌面協議建立持久存取,並將 VPN 連接部署到駭客控制的網路基礎設施,以從受感染的系統收集憑證。駭客會尋找 Windows 操作系統存儲哈希密碼的位置,包括本地安全機構子系統服務進程內存和安全帳戶管理器登錄檔的配置。研究人員表示,密碼哈希可以離線破解,也可以用於哈希傳遞攻擊,以存取受感染網路上的其他資源。

微軟週四表示,Flax Typhoon 依靠操作系統內置的工具以及一些通常正版的軟體悄悄地保留在這些網路中,以最少的惡意軟體使用獲得保持了對台灣組織網路的長期存取權限。但是,微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標

自北京加強有關台灣與中國大陸統一的言論以來,資安人員發現了幾項的行動,一些證據表明,Flax Typhoon 與 CrowdStrike 識別為Ethereal Panda的駭客組織重疊。他們補充說,Flax Typhoon對台灣機構的攻擊中使用了“一種獨特的惡意活動模式”,這些活動可以在針對其他國家的行動中重複使用。微軟表示,選在此時發布公告是擔心Flax Typhoon接下來有可能對客戶造成重大影響,並警告說該組織正在進行寄生攻擊(LOLBins)和有效帳號針對微軟系統部署的策略,因此檢測和減輕此攻擊可能具有挑戰性。微軟解釋說,這些策略使得檢測和緩解變得極其困難,因需要關閉或更改遭入侵的帳號,受到入侵的系統也需要隔離和調查。

這些攻擊技術可以很容易地在有針對性的攻擊中重複使用,並敦促防禦者尋找入侵的跡象,並徹底刪除惡意工具和 C2 基礎設施。此外,APT攻擊者瞄準的企業應檢查日誌中是否存在可能被用於惡意目的的入侵帳的跡象。

微軟警告稱:“觀察到的行為表明,攻擊者打算進行間諜活動,並儘可能長時間地保持對各行各業組織的存取權限,並指出該駭客組織至少自2021 年中期以來就一直活躍並針對台灣的政府機構以及教育、關鍵製造和資訊技術組織。該公司表示,在東南亞其他地方以及北美和非洲都發現了受害者。

微軟的威脅情報團隊在公告中,也發布有關 Flax Typhoon 使用命令行工具首先通過遠端桌面協議建立持久存取、部署與攻擊者控制的網絡基礎設施的 VPN 連接以及從受感染系統中竊取憑證的詳細資料。 

5月份,資安公司Trellix的研究人員表示,他們觀察到針對台灣政府官員的勒索電子郵件大幅增加,比1月份的惡意電郵的數量增加了30倍。上週,Lumen Black Lotus Labs的研究人員表示,他們發現了一場複雜的活動,利用HiatusRAT惡意軟體感染了台灣組織和美國軍事網站使用的企業級路由器。

中國駭客活動越趨頻繁,資安防護意識不可輕忽。為了避免Flax Typhoon的入侵,組織應確保所有面向公眾的伺服器都已打修補並保持最新狀態,並具有額外的監控和安全功能,如用戶輸入驗證、檔案完整性監控、行為監控和Web 應用程序防火牆。

管理員還可以監控 Windows 登錄檔是否有未經授權的更改;監控任何可能被視為未經授權的 RDP 流量;並通過多因素身份驗證和其他預防措施強化帳號的安全性。

HiatusRAT惡意軟體再現:針對台灣組織和美國軍事採購系統發起了新一波攻擊

2023 年 3 月,Lumen Black Lotus Labs 的研究人員發現了名為HiatusRAT 的攻擊活動,該活動感染了全球 100 多個網路邊際設備,它的目標是中型企業通常使用的頻寬路由器,允許攻擊者運行命令、竊取數據並建立隱蔽的代理網路。在 2023 年 6 月觀察到的攻擊中,研究人員發現攻擊者改變了策略,將目標轉向臺灣及美國,對美國軍事採購系統進行偵察並針對台灣組織。根據Lumen 的一份新報告,攻擊者不受公開曝光的阻礙,繼續進行操作,並為新架構(包括Arm、Intel 80386 和x86-64)重新編譯了惡意軟體二進製檔案,並將它們託管在新採購的虛擬專用伺服器(VPS) 上。

針對台灣公司和至少一個政府組織的網路攻擊早在 2023 年 8 月就被發現。Lumen 研究人員過去研究了 HiatusRAT 建立的殭屍網絡,注意到來自台灣 IP 地址區域的新連接流。不久之後,針對化學生產設施、半導體製造商和一個城市的網路攻擊被發現。

美國國防部的情況有些不同。同一研究小組檢測到流向與殭屍網路相關的 IP 地址的流量不僅來自台灣,還來自美國。具體來說,他們發現HiatusRAT背後的攻擊者使用其中一台 2 級伺服器連接到專門處理國防合同的國防部伺服器。幸運的是,這裡沒有發生深度滲透,攻擊者很可能是在進行偵察,然後再採取進一步行動。

Photo Credit: Black Lotus Labs by Lumen

Lumen 還發現了一個不同的 VPS 節點,用於與美國國防部用於合約提案和提交的伺服器傳輸數據。Lumen 指出:“鑑於該網站與合約提案相關,我們懷疑攻擊者可以收集有關軍事需求的公開資料,或搜索參與國防工業基地 (DIB) 的組織。”

新觀察到的惡意軟體樣本使用與之前的二進製檔案相同的心跳和上傳伺服器進行通信。從本月開始,攻擊者一直在先前識別的 VPS 上託管有效負載。

對惡意軟體伺服器通信的分析顯示,超過 91% 的入站連接來自台灣,主要來自 Ruckus 製造的邊緣設備。

據 Lumen 稱,觀察到的 HiatusRAT 活動似乎與已知的攻擊者沒有重疊,儘管最近目標的轉變與最近針對美國實體的針對中國的行動的報告一致。我們懷疑操作HiatusRAT的攻擊者是另一個用來攻擊美國國防工業基地的網路間諜手段。Lumen 建議國防承包商謹慎行事,並監控其網路設備是否存在 HiatusRAT。

針對美國能源機構的網路釣魚攻擊利用了惡意二維條碼(QR code)

利用惡意二維條碼的廣泛網路釣魚活動已經攻擊了各個行業的組織,包括美國的一家大型能源公司。研究員觀察到攻擊者發送的 1,000 多封網路釣魚電郵,其中大約 29% 針對美國能源公司,另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電郵

惡意QR code的樣本 Photo credit: Cofense

8 月 16 日,根據資安公司Cofense觀察到,網路釣魚活動主要針對美國一家著名能源公司,利用二維條碼將惡意電子郵件放入收件箱並繞過安全措施。Cofense 解釋說,網路釣魚連結隱藏在二維碼中利用嵌入 PNG 圖像或 PDF檔案中的惡意 QR code,旨在在攻擊中獲取目標機構員工的 Microsoft 帳號憑證。與直接嵌入電子郵件中的網路釣魚連結相比,使用二維條碼的優點是,最重要的是能繞過反網路釣魚解決方案,因為網路釣魚連結隱藏在 QR code中。研究人員觀察到該活動的平均月增長率超過 270%。自 2023 年 5 月以來,整體的活動增加了 2,400% 以上。研究人員表示,這是 Cofense 觀察到的有史以來最大規模的利用二維條碼的攻擊活動,這種情況表明攻擊者正在測試二維條碼攻擊的功效。

作為該活動的一部分,攻擊者發送了 1,000 多封網路釣魚電子郵件,其中大約 29% 針對美國能源公司,另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電子郵件。

Cofense觀察到的電子郵件一直在偽冒Microsoft安全通知,大多數已識別的網路釣魚連結是 Bing 重定向 URL (26%),其次是與 Salesforce 應用程式 (15%) 和 Cloudflare 的 Web3 服務相關的兩個網域,分別是krxd[.]com和cf-ipfs[.]com。Cofense 指出,觀察到的攻擊數量每月增長約 270%,其中 5 月至 6 月期間觀察到的峰值最高。然而,經過 7 月份長達數週的攻擊活動後,8 月份觀察到的攻擊數量有所減少。大多數電子郵件包含涉及更新帳號資料的誘餌,包括雙因素和多因素身份驗證或一般帳戶安全詳細資訊。利用Bing URL 重定向,加上隱藏圖像或文檔中嵌入的二維條碼中的網路釣魚連結以及其他混淆策略,有助於惡意資源繞過安全控制並進入收件人的收件箱。

據 Cofense 稱,儘管攜帶二維條碼的網路釣魚電子郵件能夠進入收件箱,但完成攻擊的效率可能不那麼高,因為它們需要用戶掃描條碼(通常使用手機)並點擊網路釣魚連結。

該公司還指出,雖然二維條碼掃描儀和圖像識別系統可以自動識別惡意二條維碼,但教育員工避免掃描電子郵件中的此類條碼也很重要。 2022 年 1 月,聯邦調查局 (FBI)發布公共服務公告 (PSA),警告網路犯罪分子正在使用二條維碼竊取他們的憑證和財務資料。FBI 的公告包括保護人們免受此類攻擊的提示,建議檢查通過掃描二維條碼獲得的 URL,以確保它是預期網站並且看起來是真實的。攻擊者可能會使用與預期 URL 類似但有拼寫錯誤或字母放錯位置的惡意網域名。在提供登錄資料、個人資料或財務資料之前,請仔細檢查通過二條維碼導航到的任何網站。

不要從非官方商店下載二維條碼掃描儀應用程式,以免感染受污染的應用程式,現在大多數手機都通過相機應用程式內置了掃描儀。如果用戶從他們認識的人那裡收到二維條碼,可通過其他渠道聯繫他們,以驗證該條碼是否來自他們,切勿通過二維條碼導航的網站進行支付,建議手動輸入已知且可信的 URL 來完成支付。11 月,FBI 互聯網犯罪投訴中心 (IC3) 發布警報 ,警告公眾注意利用加密貨幣 ATM 和快速回應QRcode完成支付交易的詐欺活動。

勒索軟體NoEscape作惡!首見台灣上市電子公司遭殃

2023 年 8 月8日,竣盟科技在NoEscape的揭秘網站上發現國內某上市連接器元件大廠的頁面,NoEscape勒索軟體宣稱, 已在該公司盜取約50GB的數據,當中包括公司 2023 年度的會計帳簿、協議檔案、保密協定、機密協定和合約、客戶數據以及公司的許多其他機密和敏感檔案。 根據該頁面的描述,NoEscape疑似在7月27日已入侵該公司,在8月8日首次在暗網公開入侵該公司的消息然而又設下另一更新日,即8月17日,屆時是否有更多資料或公開贖金價格,有待進一步確認。一般來說,駭客通過設置下次數據更新的時間來誘導及向受害公司施加壓力在該時間段內協商,不然就會公開盜來的資料。

勒索軟體組織NoEscape也被稱為“N0_Esc4pe”,觀察到由 2023 年 5 月底出現在網路犯罪論壇上,提供勒索軟體即服務(RaaS) 的犯罪商業模式,並積極招募會員,為其會員提供一個完全自動化的Leak 網站,託管在 Tor 上的管理員界面提供自動化功能。會員可以創建私人聊天室,以便與受害公司進行秘密通訊。 同時也建立聊天支援,支援24/7 查詢和存取等。值得注意的是,操作NoEscape駭客還以 500,000 美元的價格提供DDoS/垃圾郵件攻擊的附加服務,該服務為網路犯罪分子提供了另一種威脅和強迫目標公司支付所需贖金的方法。

作為攻擊的一部分,NoEscape會竊取 Windows、Linux 和 VMware ESXi伺服器上的數據並加密檔案。資安媒體BleepingComputer ,NoEscape 勒索軟體的勒索金額從數十萬美元到超過 1000 萬美元不等。與其他勒索軟體組織一樣,NoEscape避免感染來自俄羅斯和其他屬於蘇聯國家的電腦。根據報導,新的 NoEscape 勒索軟體操作被認為是勒索軟體Avaddon 的品牌重塑,該勒索軟體組織於 2021 年6月中旬,因美國政府大刀掃盪勒索軟體,而決定收山,關閉其業務並釋出少有2,934個受害者的解密金鑰

根據ID-Ransomware 創辦人兼勒索軟體專家 Michael Gillespie 指出,NoEscape 勒索軟體的加密器與 Avaddon軟體使用的加密器相同,但有一些顯著的變化。Avaddon使用 AES 算法,而 NoEscape 則改用 Salsa20 進行檔案加密。BleepingComputer 的進一步檢查顯示,兩個加密器使用了相同的配置檔案和指令,這表明 Avaddon 加密器的原始碼可能已被 NoEscape購買。此外,一些研究人員也注意到關鍵的 Avaddon 成員加入了NoEscape操作。目前NoEscape已導致 10 家組織遭受勒索或資料外洩,該勒索軟體旨在危害企業網路並獲取 Windows 域管理員憑證,以促進網路範圍內的勒索體傳播。

Encryption Details:

*執行時,NoEscape 會運行一組命令來刪除 Windows 卷影副本和本地 Windows 備份目錄。

*在啟動加密過程之前,它會關閉 Windows 自動修復並終止與安全軟體和備份應用程式相關的進程。 

*它加密具有特定副檔名的檔案,例如 .accdb、.edb、.mdb、.mdf、.mds、.ndf 和 .sql。

*每個受害者的 10 個字元的副檔名都是唯一的,副檔名被附加到加密的檔案中,並且會留下一條勒索字條,指示受害者如何恢復其檔案。

美國FBI、CISA 和 NSA 以及五眼聯盟發布 2022 年12 個最常被駭客開採的漏洞清單

8月3日,美國CISA、NSA 和 FBI 與五眼聯盟的網路機構合作,共同發布了2022年前12名最常被駭客開採的漏洞清單,其中許多漏洞出現在上一年的清單中,鑑於這些機構對針對美國、澳洲、加拿大、新西蘭和英國組織的攻擊的所有了解,聯合諮詢警告稱,攻擊者更喜歡舊的漏洞,而不是新的漏洞。該清單與去年發布的清單沒有什麼不同,包括常被駭客開採的 Log4Shell(追踪為 CVE-2021-44228)和 Zoho 漏洞(CVE -2021- 40539)等。英國國家網路安全中心 (NCSC) 表示,清單上重新出現的漏洞數量突顯了,攻擊者持續針對先前披露的面向互聯網的系統中的漏洞。去年被開採最多的頭號漏洞實際上早在 2018 年就已披露,各大組織和企業已有四年的時間來修補,該漏洞並且一直是CISA,FBI和NCSC重複警告的漏洞為FortiOS SSL VPN Web中的路徑漏洞,此漏洞讓攻擊者可以透過下載FortiOS系統檔案來竊取VPN憑據。世界各地有關部門已留意到這個漏洞可被利用的情況,這漏洞更可包括使用Fortinet VPN設備的機構的VPN網路,該漏洞編號為CVE-2018-13379,長期以來,這是一個眾所周知的漏洞,西方當局警告稱,該漏洞被與俄羅斯 SVR 外國情報服務機構有關聯的駭客組織 APT29 以及其他惡意組織所利用。

最常被駭客開採的漏洞清單中的第2, 3和4名是Microsoft Exchange 伺服器的一系列漏洞,通常稱為ProxyShell(漏洞編號為 CVE-2021-34473、CVE-2021-31207、CVE-2021-34523),分屬遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,影響Microsoft Exchange Server 2013、2016與2019。微軟已在今年4、5月修補,這些漏洞於2021年發現。

NCSC 表示:“攻擊者通常會在公開披露的頭兩年內利用已知漏洞取得最大成功,並可能將其利用目標最大化,從而強調組織及時應用安全更新的好處。”

儘管截至 2022 年底,通用漏洞揭露(CVE)計畫發布了超過 25,000 個新安全漏洞,以下是去年前12個最容易被利用的安全漏洞:

這個漏洞清單提供了對網犯罪活動背後策略的深入了解,新西蘭國家網路安全中心副主任 Lisa Fong 表示,這一建議強化了網路安全的一個基本方面,惡意行為者繼續一遍又一遍地使用相同的技術取得成功,通過了解您的資產並在修補可用時快速應用修補。強調做好基本面的重要性。Fong進一步說,由於攻擊者通常在漏洞公開披露後的頭兩年內獲得最大的利用成功,及時修補會降低已知、可利用漏洞的有效性,可降低惡意網路行為者的行動速度,並迫使攻擊者尋求成本更高、更耗時的方法(例如開發零日漏洞或進行軟體供應鏈操作)

該聯合諮詢還包括 2022 年另外 30 個經常被利用的漏洞,此外該諮詢還為供應商和開發人員提供了緩解措施。

了解更多,有關該諮詢:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a

中國惡意軟體已滲透美國基礎設施,恐成干擾美軍行動的定時炸彈

Key Points:

*美國在多個軍事系統中發現了中國惡意軟體

*與之前監控來自中國的惡意軟體不同,其用途是破壞而不是監視

*惡意軟體還可能會擾亂正常的平民生活和和商業

Photo Credit: Getty Images

據《紐約時報》報導,美國政府認為中國已將惡意軟體隱藏在控制美國和世界各地軍事基地的電網、通信系統和供水系統的深處,旨在發生衝突時激活的惡意軟體來擾亂軍隊,美國將該惡意軟體形容為“定時炸彈”。紐約時報指出,該惡意軟體的發現引發了人們的擔憂,即中國駭客為中國政府工作,他們插入了旨在在發生衝突時擾亂美國軍事行動的程式,包括北京在未來幾年對台灣採取行動的情況。美國情報和軍事官員正在搜尋和追縱中國惡意軟體,專家們認為該惡意軟體可能會在美「中」爆發衝突時,恐在關鍵時刻切斷美軍基地的水電與通信,從而減緩補給與部署行動;加以美國許多軍事基地與民宅及民間企業,使用相同的供應基礎設施,因此,許多民用水電通信亦可能遭波及與影響。

《紐時》的報導,與今年 5 月間微軟(Microsoft)的公開警告相呼應,微軟揭露,中國APT駭客組織 Volt Typhoon 滲透到了美國和關島的關鍵基礎設施組織中,該組織設法盡可能長時間地保持存取而不被發現。Volt Typhoon 組織至少自 2021 年中期以來一直活躍,針對關鍵基礎設施開展網路行動。在最近的攻擊活動中,該組織將通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門的組織作為目標。Volt Typhoon主要運用就地取材(Living off the Land)技術發動攻擊,在受害者裝置上安裝惡意程式以便遠端手動控制,之後將檔案壓縮外傳,蒐集到的網路存取憑證則使其得以長期潛伏。同時,以hands-on-keyboard輸入命令的攻擊模式,以躲避防毒軟體的偵測。

報道指,美國當局發現這款中國惡意軟體後,白宮戰情室最近幾個月就事件召開了一系列會議,來自國家安全委員會、國防部及國土安全部等高層官員,正努力追查並旨在將其剷除。然而美國對該軟體的辨識、追查與消除工作,已進行一段時間,但截至目前,仍無法完整得知中共駭客植入惡意軟體的範圍與深度,因為其「隱藏得非常好」。

同時,拜登政府官員開始向國會議員、一些州州長和公用事業公司通報調查結果,並在接受《紐約時報》採訪時證實有關這次行動的一些結論,美國總統拜登的一位最高級顧問解釋說,所謂的惡意軟體的存在引發了一個問題:他們到底在做什麼準備。該程式碼可以用來減緩美國在中國軍隊入侵台灣時的反應,但另一種理論認為該程式碼的目的是為了轉移注意力。美國情報機構評估稱,中國官員可能認為,在攻擊台灣或其他行動期間,美國基礎設施的任何中斷都可能會吸引美國公民的注意力,以至於他們很少考慮海外衝突。

白宮國家安全會議(National Security Council)的發言人Adam Hodge在28日發布的聲明稱,拜登政府正努力保護美國關鍵基礎設施免受任何干擾,這包括跨部門協調工作,以保護供水系統、管線、鐵路和航空系統等,並首度透過一系列行政命令強制要求採取嚴格的網路安全措施,但聲明並未提到中國或美軍基地。

中國國家級駭客的網路行動似乎出現轉變,美國官員表示,最近的入侵與過去的入侵不同,因為目標似乎是破壞,而不是監視。

有關中國惡意軟體操作的報導在中美關係緊張時期浮出水面,中國聲稱台灣是其領土的一部分,而美國則旨在禁止向北京出售先進半導體。

為美國政府提供IT服務的承包商Maximus,因MOVEit Transfer漏洞導致約1000 萬人的個資外洩

Maximus 已在截至 6 月 30 日的季度中預留了 1500 萬美元的費用,用於支付此次安全事件估計的所需調查和補救費用的成本,例如信用監控和身份恢復服務

一家為醫療補助、醫療保險、美國學生貸款服務商和其他政府項目提供服務的 IT 公司Maximus證實,駭客利用其MFT檔案共享系統MOVEit Transfer獲取了多達1000 萬人的個資。Maximus已向美國證券交易委員會 (SEC)通報並提交的監管備案。Maximus 表示,它使用的 MOVEit系統用於內部和外部檔案共享目的,包括與參與各種政府活動的個人及政府客戶共享數據程式,公司正在就此次網路安全事件配合執法部門,Maximus 在外部法律、取證和數據分析專家的協助下立即開始對此事件進行調查,並採取了補救措施來解決所報告的漏洞,但認為少 800 至 1100 萬人的個人資料,包括社會安全號碼、受保護的健康資料和/或其他個人資料遭存取,Maximus 表示,它正在向客戶以及聯邦和州監管機構通報這一事件,然後再開始向受影響的人發送通知。受影響的人將獲得免費的信用監控和身份恢復服務,具體時間未公開。

該事件預計將給該公司造成 1500 萬美元的損失,但Maximus指出調查仍在進行中,並將持續數週以上。Maximus 擁有超過 34,000 名員工,年收入超過 30 億美元,Maximus 與聯邦、州和地方政府簽訂合同,負責管理和管理政府資助的項目,例如醫療補助、醫療保險、醫療改革和工作福利,它還積極參與新冠肺炎 (COVID-19) 大流行期間的福利轉工作計劃以及政府記錄跟踪。

據網路安全公司Emsisoft的威脅分析師Brett Callow統計,至少 514 個組織受到 MOVEit 事件的影響,包括 97 所美國學校。近日Clop 勒索軟體在其揭秘網站上添加了數十家新公司、大學和組織,其包括中德勤(Deloitte)和豐田,根據Recorded Future News,德勤的一位發言人稱,他們沒有看到客戶數據受到影響的證據。該發言人表示,在意識到這個零日漏洞後,德勤立即應用了供應商的安全更新,並根據供應商的指導採取了緩解措施,並進一步說根據他們的分析,他們的全球網路對易受攻擊的 MOVEit Transfer 軟體的使用是有限的,然而該發言人沒有回答有關此次洩露涉及哪些資料以及員工數據是否被存取的問題。總部位於倫敦的德勤是全球收入規模最大的專業服務網路,也是繼普華永道(PwC)和安永(EY)被證實受到 Clop 勒索軟體組織攻擊之後的第三家受到檔案傳輸軟體利用影響的會計巨頭。

另外根據Recorded Future News,豐田紡織集團 (Toyota Group of Companies) 的成員公司豐田紡織 (Toyota Boshoku Corporation) 週三也(7/26)被添加到 Clop 的名單中,並在 6 月 10 日發布的一份聲明中確認其受到了影響。該公司表示,駭客存取了其歐洲子公司豐田紡織歐洲公司的數據,他們沒有透露哪些數據被存取。

MOVEit 漏洞

MOVEit 漏洞是 MOVEit Transfer 軟體中發現的一個嚴重安全漏洞,該軟體是 Progress Software 開發的託管文件傳輸 (MFT) 解決方案。該漏洞允許攻擊者在 MOVEit Transfer伺服器上執行任意 SQL 命令,從而竊取數據、安裝惡意軟體或控制伺服器。

該漏洞於 2023 年 5 月首次披露,Progress Software 於 6 月 1 日發布了修補來解決該漏洞。然而,當時該漏洞已被 CL0P 勒索軟體組織利用,針對全球數百個組織進行攻擊。此後,漏洞搜尋者發現了其他漏洞並向 Progress 報告,截至 7 月 5 日,漏洞總數達到 6 個,所有這些漏洞均已得到修復。截至 2023 年 7 月,估計有超過 500 個組織成為 MOVEit 攻擊的目標。這些組織包括政府機構、金融機構、醫療保健提供者和科技公司。這些攻擊導致數百萬份個人和財務記錄被盜,並導致關鍵業務運營中斷。

MOVEit 漏洞嚴重提醒我們保持軟體更新最新安全修補的重要性,使用 MOVEit Transfer 的組織應立即應用 Progress Software 發布的修補,以保護自己免受攻擊。

Mallox勒索軟體集團活動激增

研究顯示與 2022 年相比,2023 年Mallox勒索軟體活動增加了 174%

Photo Credit: Palo Alto/Unit 42

Mallox是一個擅長通過易受攻擊的SQL伺服器闖入目標網路的勒索軟體,在過去幾個月中其活動突然變得非常活躍。根據Palo Alto Networks 旗下Unit 42 團隊的最新調查結果顯示,2023 年 Mallox 勒索軟體活動較前一年增加了 174%,並且有跡象成為比現在更大的威脅。Mallox勒索軟體於 2021 年 6 月首次浮出水面,並聲稱自那時以來已感染了全球數百個組織, Mallox的受害者包括製造、零售、批發、法律和專業服務部門的組織。由於大規模利用 MS-SQL伺服器,Mallox 勒索軟體的分佈有所增加,與 2022 年相比增長了 150% 以上。在這些活動中,Mallox 勒索軟體組織應用了暴力破解、數據外洩和其他攻擊技術。攻擊者傾向於通過在暗網上尋找會員(Affiliate),引誘他們加入勒索軟體即服務(Ransomware-as-a-service,RaaS)計劃來擴大其攻擊活動。據Palo Alto Networks的Unit 42稱,從今年早些時候開始,與該組織相關的威脅活動激增,特別是在5月份。

Photo Credit: Palo Alto / Unit 42

據了解,操作Mallox 的駭客還同時使用其他勒索軟體,例如 TargetCompany、Tohnichi、Fargo 以及最近的 Xollam,在上個月Xollam已被TrendMicro觀察到使用惡意 OneNote 檔案附件進行初始存取。然而,個值得注意的地方是Mallox勒索軟體的其通過字典攻擊作為滲透向量來利用安全性較差的 MS-SQL 伺服器來危害受害者網路的模式,在受感染的主機上成功立足後,將執行PowerShell命令以從遠端伺服器檢索勒索軟體有效負載。除了致力於刪除 SQL 相關服務、卷影副本和清除系統事件日誌之外,Mallox勒索軟體還在檔案加密之前終止與安全相關的進程以及繞過Raccine(一種旨在對抗勒索軟體攻擊的開源工具),然後在每個目錄中投放勒索訊息。

值得一提的是TargetCompany勒索軟體仍然是一個小型、封閉的組織,但據觀察,它也在 RAMP 網路犯罪論壇上為 Mallox 勒索軟體即服務 (RaaS) 附屬計劃招募附屬會員。

Mallox勒索軟體的勒索訊息

據Chainaanalysis,勒索軟體對駭客而言仍然是一種利潤豐厚的財務計劃,僅在 2023 年上半年,網路犯罪分子就獲得了至少4.491 億美元的淨收益,Mallox的攻擊活動突然激增也是一個更廣泛趨勢的徵兆,截至 2023 年 6 月,勒索軟體攻擊同比增長 221%,僅 2023 年 6 月就報告了 434 起攻擊,這主要是由Cl0p利用MOVEit 檔案傳輸軟體漏洞造成的。

研究人員表示,Mallox 勒索軟體組織在過去幾個月中更加活躍,如果招募活動成功,最近的招募可使他們能夠攻擊更多組織。為了防禦此類威脅,建議組織確保面向互聯網的應用程序的正確配置,使所有系統保持修補和最新狀態,並實施端點安全控制以檢測可疑活動。積極採取網路安全措施仍然是抵禦 Mallox 等勒索軟體威脅的最佳防禦措施。

Mallox的部分入侵指標(Indicator of compromise -IOCs):

0427a9f68d2385f7d5ba9e9c8e5c7f1b6e829868ef0a8bc89b2f6dae2f2020c4

0463277782f9e98b0e7a028cea0f689a81cf080fa0d64d4de8ef4803bb1bf03a

05194b34f8ff89facdd7b56d05826b08edaec9c6e444bdc32913e02cab01afd4

060ed94db064924a90065a5f4efb50f938c52619ca003f096482353e444bd096

美國坦帕綜合醫院逃過被勒索軟體加密,120萬名病患敏感資訊卻仍遭駭客盜取

7 月 20 日,美國佛羅里達州最大的醫院之一坦帕綜合醫院 (Tampa General Hospital-TGH)表示,駭客在持續18天的資安事件中獲取了 120 萬名病患的個人健康資料(Personal Health Information-PHI), 據 TGH 代表稱,醫院於 5 月 31 日在電腦系統檢測到的異常活動,從而揭露了資料被盜的情況。醫院立即將受感染的系統斷網,以防止進一步的未經授權的存取,並聘請了第三方數位鑑識公司來調查事件以確認攻擊的性質和程度。調查顯示,未經授權的第三方在 2023 年 5 月 12 日至 5 月 30 日之間連續三周存取TGH的網路,並在此期間竊取了包含患者資料的數據。

涉及什麼類型的數據?

駭客獲得了以下數據的存取權限:

電話號碼

地址

出生日期

社會安全號碼

病歷號碼

患者帳號

健康保險資料

TGH 用於其業務運營的服務日期和/或有限的治療資料

TGH表示,這是一次未遂的勒索軟體攻擊,雖然發生了數據盜竊,但其安全系統阻止了檔案加密。現在已經實施了額外的技術安全措施來強化系統並防止進一步的數據洩露,並且網絡監控也得到了增強,以確保快速檢測到任何未來的安全漏洞。醫院向聯邦調查局(FBI)報告了這一事件,並提供了有關駭客的資訊。聲明稱,駭客沒有存取醫院的電子病歷系統。根據《HIPAA Journal》的報導TGH表示,將聯繫受影響的人,並將為那些被盜社會安全號碼的人士提供免費的信用監控服務和身份盜竊預防服務。據資安全專家 Dominic Alvieri,Snatch勒索軟體組織已在7 月 19 日將這家醫院添加到了其揭秘網站中,該醫院告訴當地新聞媒體 Fox13,TGH拒絕支付贖金,但沒有透露贖金的金額,也沒有說明誰是攻擊的幕後黑手。

自 2019 年以來,Snatch勒索軟體組織與了多起備受矚目的攻擊事件,其中包括大都會歌劇院威斯康辛的一個學區和瑞典汽車製造商Volvo等。

Snatch勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA256

eebc57e9e683a3c5391692c1c3afb37f3cb539647f02ddd09720979426790f56

78816ea825209162f0e8a1aae007691f9ce39f1f2c37d930afaf5ac3af78e852

80cc8e51b3b357cfc7115e114cecabc5442c12c143a7a18ab464814de7a66ab4

ebcded04429c4178d450a28e5e190d6d5e1035abcd0b2305eab9d29ba9c0915a

fe8ba1eaf69b1eba578784d5ab77e54caae9d90c2fb95ad2baaaef6b69a2d6cb

28125dae3ab7b11bd6b0cbf318fd85ec51e75bca5be7efb997d5b950094cd184

Google旗下的VirusTotal平台發生個資外洩事件

該事件外洩了一個313KB檔案,內含約5,600名註冊用戶的姓名和電子郵件地址的資料,當中包括美國、德國和台灣等國家情報機構的員工個資也遭殃

Photo Credit: Virus Total

7月18日,據奧地利報紙《Der Standard》和德國新聞雜誌《Der Spiegel》的報導,Google旗下線上掃毒服務VirusTotal平台意外洩露了全球數百名國防和情報機構工作人員的姓名和電子郵件地址。其中包括美國司法部、國家安全局、聯邦調查局等機構的員工。

VirusTotal是世界各地網路安全專家廣泛地使用的工具,以其充當龐大的惡意軟體資料庫。VirusTotal一個惡意檔案分析的網站,可以上傳檔案、或丟入網址裡面,平台包含50家以上的掃毒軟體引擎去判斷是不是惡意軟體。然而,其用戶不僅限於安全專家,該平台還受到駭客和情報機構的青睞。

據了解,外洩的檔案雖然很小,僅有的313KB,但包含個資。外媒《Der Standard》和《Der Spiegel》分別驗證了該清單的真實性。確認名單中有20個與美國網路司令部(Cyber Command)相關的帳號,該司令部是美國軍方負責進攻性和防禦性駭客行動的一部分。據報導名單中的其他著名實體包括美國司法部、聯邦調查局 (FBI) 和國家安全局 (NSA)五角大樓、和美國一些軍事部門有聯繫的個人;其他國家如荷蘭及台灣等國家的情報機構等也榜上名,另外英國十幾名國防部人員的姓名,以及英國國家網路安全中心(GCHQ 的一部分)CERT-UK部門工作人員的電子郵件,以及在內閣辦公室、核退役管理局和養老金監管等機構工作的專家的電子郵件地。在奧地利,受影響的組織是聯邦國防部和內政部。名單還包括三名來自德國聯邦資料安全辦公室(BSI)的員工,以及德國鐵路公司的大約 30 名員工,德國央行和寶馬、戴姆勒集團、安聯集團和德國電信等多家德國公司的員工資料也包括在內。雖然帳碼密碼沒有被外洩,但此事件暴露了IT及資安人員的身份。這種暴露可能會導致針對特定個人的攻擊,估計此次的資料外洩事件,可為日後社交工程和有針對性的網路釣魚攻擊等惡意活動提供了機會。

Google的回應

此外,VirusTotal的所有者Google對此事件做出了回應,報導中引述了Google Cloud發言人的回覆,事件是因VirusTotal 的一名員工無意中讓一小部分客戶數據可供存取而引起,發言人補充說,在上傳後一小時內從平台上刪除了該清單,並將努力加強內部流程和技術控制,以防止將來發生類似事件。儘管Google在數據安全方面的具有優良的聲譽,然而此次個資外洩事件引起了人們的關注,即VirusTotal可能會無意中成為關鍵資料外洩的來源,也突顯了使用此類平台的風險。