標籤: News

台灣成為了今年第一季度全球網路攻擊的頭號目標，根據Checkpoint，2023年第一季度全球每個組織每周遭受的平均網路攻擊次數較上年同期增長 7% 至 1,248 次，攻擊目標為政府和軍事機構、私營企業和教育機構。然而，在此期間，台灣每個組織每週的網路攻擊次數平均為 3,250 次，是全球平均水平的 2.6 倍。另外根據Trellix的一份資安報告<<China-Taiwan Tensions Spark Surge in Cyberattacks on Taiwan>>，中國與台灣的緊張局勢導致針對台灣的網絡攻擊顯著增加。特別是對其主要目標部署惡意軟體和竊取敏感資料。Trellix觀察到針對台灣政府官員的勒索郵件顯著增加，1 月份惡意郵件數量同比增長了30 倍。另外瞄准其他組織的攻擊，從 4 月 7 日開始一直持續到 4 月 10 日，在此期間，惡意電子郵件的數量猛增到平時數量的四倍。

Trellix 高級研究中心高級副總裁 Joseph Tal 在報告中表示，在過去幾年中，他們注意到地緣政治衝突是各種行業和機構遭受網路攻擊的主要驅動力之一，從惡意電子郵件和 URL 到惡意軟體。Trellix表示，在中國宣稱台灣是其領土的一部分與台灣保持獨立之間的緊張關係已經演變成令人擔憂的激增網路攻擊。在這種情況下，Trellix 觀察到網路釣魚攻擊帶有國家級駭客組織的特徵。

他們發現，在 4 月 7 日到 4 月 10的期間，惡意電子郵件的數量增加到平時數量的四倍多。這些活動針對政府機構以及 IT、製造和物流行業，駭客部署了被稱為PlugX的一種遠端存取特洛伊木馬程式(RAT)，這也是一種Windows 後門。PlugX被發現自2012 年以來已被許多中國APT駭客組織用來控制受害機器並使用DLL 側載技術來躲避被檢測。針對台灣的惡意電子郵件數量激增之後，Trellix檢測到PlugX惡意軟體的數量增加了 15 倍，這表明網路釣魚誘餌充當了初始存取向量以投遞額外的有效負載，使用 PlugX 的一些已知APT駭客包括 APT10、APT27、APT41、MustangPanda 和 RedFoxtrot。PlugX 以其逃避防毒軟體的能力而聞名，並使駭客能夠跟踪擊鍵、在受害者設備上螢幕截圖和存取檔案，一些 PlugX 插件包括磁碟枚舉、鍵盤記錄、網路資源枚舉、port mapping、進程終止、登錄檔編輯、服務控制和遠端 shell 存取等功能。

Photo Credit: Trellix

除了 PlugX，Trellix 表示還發現了其他惡意軟體的系列，例如混淆工具Kryptik 特洛伊木馬式以及針對國家的竊取程式FormBook 和 Zmutzy間諜軟體。在攻擊活動中發送的一些惡意電子郵件涉及來自律師事務所的虛假逾期付款通知，其中包含惡意附件，而另一些則是聲稱來自 DHL 的虛假發貨通知電子郵件，這些電子郵件包含指向網路釣魚頁面的連結，其他電子郵件在報價或採購訂單請求中則附加了惡意軟體。Trellix說，注意到許多不同主題針對台灣組織的的惡意網頁，如通過登錄頁面、目標公司特定頁面、多種品牌登錄頁面等，用於定位用戶以獲取憑證。

中國和台灣之間日益緊張的關係，加上越來越多的網路安全攻擊，引起了全球個人、企業和政府的關注。在中國外交部上個月發表戰狼言論言論後，美國國會參、眾兩院跨黨派議4月20日同步提出法案，要求美國政府協助強化台灣網路安全，因應中國的網路威脅，大幅擴大與台灣的網路安全合作。兩黨的《台灣網路安全韌性法案》Taiwan Cybersecurity Resiliency Act將授權美國國防部與台灣進行網絡訓練演習，保衛其軍事基礎設施和系統，並消除針對台灣的惡意數位活動。

Trellix 高級研究中心高級副總裁 Joseph Tal 最後表示，監控地緣政治事件可以幫助組織預測其運營所在國家/地區的網路攻擊。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

根據資安公司ESET 的研究，名為Evasive Panda 的中國APT駭客組織以中國非營利組織為目標，利用自訂義的自定義後門MgBot，作為騰訊QQ 即時通訊應用程式自動更新的一部分，來監視受害者並從他們的設備收集數據。研究指出該活動於 2020 年 11 月開始，攻擊鏈旨在分發 MgBot 惡意軟體的 Windows 安裝程式，大多數受害者是國際NGO（非政府組織）的成員，分佈在甘肅、廣東和江蘇等省份，顯示出相當具體和集中的目標。

中國國家級駭客組織Evasive Panda，也被稱為 Bronze Highland 和 Daggerfly，是一個至少從 2012年開始活躍的網路間諜組織，此前曾針對中國大陸、香港、澳門、尼日利亞以及東南亞和東亞多個國家的組織和個人發動攻擊。

ESET 報告稱，MsgBot惡意軟體負載作為騰訊 QQ 軟體更新從屬於軟體開發商的合法 URL 和 IP 地址傳遞給受害者，這意味著攻擊可能有兩種情況 – 供應鏈攻擊或中間人 (Adversary-in-the-middle AITM) 攻擊。

在第一種情況下，Evasive Panda 必須入侵騰訊 QQ 的更新分發伺服器，以合法軟體更新為幌子將木馬化應用程式“QQUrlMgr.exe”發送給受害者。ESET 注意到更新程式的木馬化版本從寫死 URL的（“update.browser.qq[.]com”）獲取惡意軟體，並使用與伺服器提供的MD5 哈希匹配的寫死解密密鑰，由於騰訊並未回應ESET的提問，該網址的合法性還有待確認。此外，分析人員無法從伺服器檢索 XML 更新數據的樣本，因此未能揭示惡意軟體的傳遞機制。

若在中間人攻擊情況下，ESET注意到與過去採用這種策略的活動，涉及名為 LuoYu 的中國駭客團隊， 卡巴斯基也在2022 年 6 月詳細報告了該活動，攻擊活動使用 “WinDealer”惡意軟體，從中國電信生成隨機 IP 地址來執行 AITM 或攻擊者端攔截。這些 IP 似乎與在 Evasive Panda 活動中傳送 MgBot 惡意軟體的 IP 範圍相同。

雖然根據觀察到的巧合和可能的解釋，這兩種情況都是合理的，但 ESET無法找到明確的證據，許多問題仍未得到解答。

在此活動中提供的 MgBot有效負載(Payloads)是 Evasive Panda 自 2012 年開始營運以來一直使用的 C++ Windows 後門。

ESET 報告稱，自Malwarebytes 在 2020 年對MgBot進行分析以來，該惡意軟體的安裝程式、後門、功能和執行鏈基本保持不變。

MgBot 使用模組化架構來擴充其功能，從執行專門功能的 C2 接收 DLL plugin 模組，包括：

*特定騰訊應用程式的keylogging記錄

*從硬碟和 USB筆型隨身碟中竊取檔案

*收集複製到剪貼板的文本

*收集輸入和輸出音頻流

*從 Outlook 和 Foxmail 電子郵件客戶端竊取憑證

*從 Chrome、Opera、Firefox、Foxmail、QQBrowser、FileZilla、WinSCP 等竊取憑證

*竊取存儲用戶歷史消息的騰訊QQ數據庫內容

*竊取騰訊微信資料

*從 Firefox、Chrome 和 Edge 竊取 cookies

Evasive Panda APT 被發現針對中國用戶，旨在從中國應用程式竊取數據，利用不明確的方法對騰訊 QQ 軟體執行供應鏈攻擊。這是該組織超越社交工程、網路釣魚、SEO 投毒等標準感染方法的最新的例子，ESET呼籲潛在目標需提高警惕。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

研究發現，一種名為 AuKill 的新型駭客工具因其隱蔽功能而越來越受到攻擊者的青睞，該工具旨在通過自帶驅動程式攻擊手法（Bring Your Own Vulnerable Driver，BYOVD）來關閉端點偵測和回應(EDR) 軟體。BYOVD 技術依賴於攻擊者濫用由 Microsoft 簽章的合法但過時且可利用的驅動程式（或使用被盜或外洩露的憑證）來獲得提升的特權並關閉安全機制。自今年年初以來，AuKill 已被用於至少三起勒索軟體攻擊。根據Sophos 報告，研究人員觀察到不同的攻擊者團體在各種惡意活動中使用 AuKill來關閉 EDR 進程:

*在 2023 年的首兩個月，觀察到兩起不同的Medusa Locker 勒索軟體攻擊活動。在 1 月 18 日和 2 月 14 日，攻擊者使用 AuKill 終止了 EDR進程，然後部署了 Medusa Locker 勒索軟體

*2 月的另一起活動則發現AuKill 被用來部署 LockBit 勒索軟體

AuKill是如何運作的？

AuKill 工具針對Process Explorer的 v16.32 (過時版本)透過自帶易受攻擊驅動程式攻擊 BYOVD的技術終止 EDR 進程。

*感染後，它在 Microsoft Process Explorer v16.32 使用的驅動程式旁邊放置一個易受攻擊的 Windows 驅動程式 procexp.sys。Process Explorer是一個非常流行且合法的實用程式，可幫助收集有關活動 Windows 進程的資料。

*接下來，AuKill會檢查它是否以 SYSTEM 權限運行。如果不是，它會嘗試通過模擬 TrustedInstaller Windows 模組安裝程序服務來升級到所需的權限。

*它啟動多個線程來掃描和終止與 EDR 相關的服務和進程。AuKill 針對的 EDR供應商和服務因樣本而異，包括 Microsoft、Sophos、Splashtop 和 Aladdin HASP Software。

在default情況下，Windows使用驅動程式簽章強制功能來確保內核模式驅動程式在操作系統允許其執行之前已由有效的程式簽章機構簽章。為了繞過安全措施，攻擊者需要找到一種方法讓惡意驅動程式通過受信任的憑證簽章，或者濫用合法的商業軟體驅動程式來達到他們的目標。在 Sophos 觀察到的攻擊中，攻擊者使用了由 Microsoft 建立並簽章的驅動程式。

Process Explorer 驅動程式是Windows Sysinternals開發的一套進階的系統管理工具套件的一部分，是一種進程檢視器和控制公用程式。 根據Sophos ，AuKill 將名為 PROCEXP.SYS 的驅動程序式（來自進程資源管理器的發行版 16.32）放入 C:\Windows\System32\drivers 路徑。合法的 Process Explorer 驅動程式名為 PROCEXP152.sys，通常位於同一位置。兩個驅動程式都可以存在於運行 Process Explorer 副本的機器上。AuKill 安裝程式還將其自身的可執行副本放入 System32 或 TEMP 目錄，作為服務運行。

AuKill 並不是第一個通過 Process Explorer 針對 EDR 服務的工具。過去，一個名為 Backstab 的開源工具執行了類似的操作。據信，AuKill 是使用與 Backstab 相同的核心技術開發的。Sophos 報告稱研究人員收集了 AuKill 惡意軟體的六種不同變種，這些變種與開源工具 Backstab 有多種相似之處。研究人員觀察到的相似之處包括debug字串，以及與驅動程式互動的幾乎相同的程式碼邏輯。

AuKill的部分入侵指標(Indicator of compromise -IOCs):

SHA 1

f7b0369169dff3f10e974b9a10ec15f7a81dec54

23b531ae8ca72420c5b21b1a68ff85524f36203a   

7f93f934b570c8168940715b1d9836721021fd41

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

攻擊者正在入侵安全性差且暴露於互聯網的微軟 SQL 伺服器以部署 Trigona 勒索軟體

Trigona勒索軟體的logo

4月17日，根據韓國資安公司 AhnLab，攻擊者正在侵入 Microsoft SQL (MS-SQL) 伺服器以安裝 Trigona 勒索軟體有效負載並加密檔案。由於這些伺服器沒有得到很好的保護並且暴露在互聯網上，攻擊者可通過使用易於猜測的帳號憑證，使用暴力或字典攻擊來存取 MS-SQL伺服器。在成功連接到伺服器後，攻擊者將部署名為CLR Shell的惡意程式，可允許攻擊者利用Windows 輔助登錄服務中的漏洞獲取系統資訊並將提升權限到 LocalSystem。CLR Shell 是一種 CLR 程式集惡意軟體，它接收來自攻擊者的命令並執行惡意行為，類似於 Web伺服器的 WebShell。

根據AhnLab 對ASD 日誌的分析顯示，MS-SQL 進程 sqlservr.exe 以啟動偽裝為svchost.exe的Trigona勒索軟體。當 svcservice.exe 作為服務執行時，它會執行 Trigona 勒索軟體，還會建立並執行用於執行勒索軟體的 svchost.bat，svchost.bat 再將 Trigona 二進製檔案註冊到 Run key以保持持久性。svchost.bat 還會刪除卷影副本並關閉系統恢復功能，以防止受害者恢復加密檔案。

勒索軟體通過添加 ._locked副檔名來重新命名加密檔案，並在每個檔案夾中建立名為“how_to_decrypt.hta”的勒索信，其中包含有關攻擊的資訊、指向 Trigona Tor協商網站的連結以及包含登錄協商站點所需的授權密鑰的連結，Trigona 勒索軟體操作於 2022 年 10 月首次被 MalwareHunterTeam發現，以僅接受全球受害者使用 Monero 加密貨幣支付的贖金而聞名。Trigona 勒索軟體組織一直是源源不斷的攻擊的幕後黑手，自今年年初以來，至少有 190 次提交給 ID Ransomware組織平台。

Ahn Lab敦促管理員必須使用不容易猜到的密碼，並定期更改它們，以保護資料庫伺服器免受暴力破解和字典攻擊。SQL server的 V3應更新到最新版本，以便防止惡意軟體感染。管理員還應使用安全程式（如防火牆）用於從外部存取的資料庫伺服器，以限制外部威脅參與者的存取。

Trigona勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

– 1cece45e368656d322b68467ad1b8c02 — Trigona Dropper (svcservice.exe)

– 530967fb3b7d9427552e4ac181a37b9a — Trigona Ransomware (svchost.exe)

– 1e71a0bb69803a2ca902397e08269302 — Batch Runner (svchost.bat)

– 46b639d59fea86c21e5c4b05b3e29617 — CLR Shell

– 5db23a2c723cbceabec8d5e545302dc4 — nt.exe

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

目前已有60家組織受惠於此計劃，得到CISA的預警通知，預警通知是作為提醒機構注意早期勒索軟體攻擊的新舉措

美國網路安全暨基礎設施安全局（CISA）和聯合網路防禦協作組織(Joint Cyber Defense Collaborative-JCDC)在3 月 23 日宣布了一項新舉措，名為勒索軟體預警通知(Pre-Ransomware Notification Initiative，旨在提醒組織注意早期勒索軟體攻擊，以幫助組織快速修補勒索軟體攻擊者針對的漏洞。據瞭解，自今年年初以來，該機構已預警通知了包含能源、教育、醫療保健、供水/廢水處理和其他領域的 60 多家組織，據稱其中有許多組織在數據被成功加密或外洩前得以緩解攻擊。 

勒索軟體預警通知是一種主動網路防禦功能，旨在警告組織它們遭到入侵，以便他們可以在被部署加密勒索軟體之前將攻擊者從其網路中驅逐出去。聯合網路防禦協作組織（JCDC）副主任Clayton Romans指出，勒索軟體參與者在獲得對目標的初始入侵權後通常需要一些時間才能加密或竊取資訊，從最初存取網路到系統加密之間的隔間時間，可以持續數小時到數天，這個空窗期可讓他們有時間通知受害組織勒索軟體參與者已經獲得了對其網路的初始入侵權，可幫助受害組織限制勒索軟體攻擊造成的損失。通過在收到預警時立即採取行動，組織可以減少潛在的數據外洩，避免對營運的影響，並減少財務影響和其他不利後果。

Romans進一步說，CISA 和JCDC從多個來源收集有關潛在早期勒索軟體活動的資訊，當中包括網路安全研究社群、基礎設施提供商和網路威脅情資公司等，然後由美國各地的到場職員通知受害者組織並提供具體的緩解指導。值得一提的是，如果受害人是美國境外的實體，CISA還將通過其國際CERT合作夥伴向美國以外的組織提供通知。

Romans補充說，在勒索軟體參與者已經加密網路並持有數據和系統以索取贖金的情況下，JCDC與受害組織將密切合作，提供攻擊者的策略、技術和程序 (TTP) 以及指南，以幫助減少再一次被攻擊的可能性。

資安全公司SafeBreach的首席安全官Avishai Avivi 在評論這項新舉措時表示，這是一個有意義的信號，表明拜登政府正在推動實施本月早些時候發布的國家網路安全戰略。

在此處閱讀有關美國戰略的更多資訊：白宮發布國家網路安全戰略

Avivi表示該預警通知計劃對應美國國家網路戰略列出的其中之一項目標，提高情資共用和受害者通知的速度、規模和打擊網路犯罪，以擊敗勒索軟體。Avivi補充說，認為這種類型的合作將使組織能夠驗證其安全控制，同時增強其安全計劃對這些類型攻擊的彈性。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

在個資外洩發生後，這家豪華跑車製造商還透露，駭客存取了其公司的 IT 系統。

法拉利執行長 Benedetto Vigna 致受影響客戶的一封信中表示：“我們很遺憾地通知您法拉利發生了一起網路事件，攻擊者能夠存取我們 IT 環境中的有限數量的系統。”

這家汽車製造商表示，駭客存取了客戶的姓名、地址、電子郵件地址和電話號碼。根據迄今為止的調查，法拉利表示，沒有任何付款資料或擁有或訂購的法拉利汽車的詳細資料被盜，但尚不清楚該汽車製造商是否具有檢測的技術能力（例如對日誌或數據洩露）。法拉利僅表示，我們可以確認，入侵行為對我們公司的運營功能沒有影響。

法拉利不願透露有多少客戶受到入侵的影響，也不願透露公司是如何或何時受到攻擊的，在 3 月 21 日的一份聲明中法拉利表示，其公司的政策是不會屈服於此類犯罪活動，因此不會支付贖金，並認為最好的方案是通知客戶，因此他們已將潛在的數據洩露和事件的性質通知客戶，提醒可能的風險。儘管法拉利聲稱他們現在正在與第三方專家合作“進一步加強”他們的系統並且“對他們的彈性充滿信心，這次的事件只是該公司的網路資安事件的其中一宗。

目前尚不清楚此次入侵是否與去年 10 月發生的一起事件有關，當時一個名為“RansomEXX”的勒索軟體組織聲稱入侵了這家汽車製造商，但法拉利當時否認了這一說法。根據資安外媒TechCrunch看到，RansomEXX 在其揭秘網站上列出了據稱從法拉利竊取的 7GB 數據，包括內部文件、數據表和維修手冊等。

路透社報導了 2021 年的另一起事件，其中 Everest 勒索軟體組織成功攻擊了法拉利、蘭博基尼和瑪莎拉蒂的零部件供應商 Speroni，就在兩個月前，一名研究人員發現了法拉利和其他公司的車輛存在網路安全漏洞，這些漏洞可能會導致車輛的全面接管。

由於法拉利擁有世界上最昂貴的汽車系列之一，因此高端客戶的清單對網路犯罪分子非常有吸引力，促使他們有機會定制惡意的、有針對性的電子郵件。

一個疑似的中國APT駭客通過利用 Fortinet FortiOS 中的安全漏洞以政府實體和大型組織為目標，正如 Fortinet在上週的披露，該安全漏洞允許攻擊者通過在未修補的 FortiGate 防火牆設備上執行未經授權的程式碼或命令來部署惡意軟體有效負載 。

其中一個事件是在客戶的 FortiGate 設備因FIPS韌體完整性相關錯誤而關閉時發現的，導致其無法運行，進一步的分析表明，攻擊者可以使用該惡意軟體進行間諜活動，包括數據洩露、在受感染設備上下載和寫入檔案，或者在收到惡意製作的 ICMP 數據包時打開遠端 shell，有問題的零時差漏洞是CVE-2022-41328（CVSS 分數：6.5），這是 FortiOS 中的一個中等目錄遍歷漏洞，可能導致任意程式碼執行。該漏洞影響 FortiOS 版本 6.0、6.2、6.4.0 至 6.4.11、7.0.0 至 7.0.9 以及 7.2.0 至 7.2.3。該公司分別發布了 6.4.12、7.0.10 和 7.2.4 版本來解決該漏洞。

在一位客戶的 FortiGate 設備突然停止且無法重新啟動後，Fortinet 對這些攻擊展開了調查，設備停止顯示以下錯誤消息：

“由於 FIPS 錯誤，系統進入錯誤模式：韌體完整性自檢失敗”(System enters error-mode due to FIPS error: Firmware Integrity self-test failed)完整性測試的失敗會阻止設備重新啟動，以保護網路的完整性。研究人員發現攻擊者修改了韌體映像中的/sbin/init 檔案夾，他們注意到存在一個新檔案 /bin/fgfm，修改旨在為攻擊者提供持久存取。

“對/sbin/init的修改 確保 /bin/fgfm在繼續執行常規啟動操作之前運行，這可能為攻擊者提供持久的存取和控制。” Fortinet發布的分析。

執行 fgfm 惡意軟體後，它會聯繫遠端伺服器 (C2) 並等待命令執行，惡意程式碼可以根據從 C&C 伺服器接收到的命令執行各種操作，包括退出程式、竊取數據、下載/寫入檔案、建立遠端 shell。

Fortinet 表示，這次攻擊具有很強的針對性，有證據指向政府或政府附屬組織，該漏洞為CVE-2022-41328可允許特權攻擊者通過精心設計的 CLI 命令讀取和寫入任意檔案。

鑑於漏洞利用的複雜性，懷疑攻擊者“對 FortiOS 和底層硬體有深入的了解”，並且擁有對 FortiOS 操作系統的不同方面進行逆向工程的高級功能。

目前尚不清楚攻擊者是否與今年 1 月初觀察到的另一組駭客有任何關聯，該組織利用 FortiOS SSL-VPN (CVE-2022-42475) 中的一個漏洞來部署 Linux 植入程式。