美國國務院的電子郵件帳號遭受中國駭客的非法存取

微軟披露,一個名為Storm-0558的中國駭客組織,通過利用其雲端中的漏洞獲得了聯邦政府電子郵件帳號的存取權限

Photo Credit: Getty Images

美國一家未透露姓名的聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB) 機構於 2023 年 6 月中旬檢測到異常電子郵件活動,導致微軟發現了一項針對二十多個組織的新的與中國相關的間諜活動。

據美國網路安全和基礎設施安全局(CISA)和聯邦調查局(FBI)於2023年7月12日發布的聯合安全諮詢,中國駭客組織利用微軟遠端平台中發現的安全漏洞存取了包括美國政府機構在內的 25個組織的電子郵件帳號。當局表示:“2023 年 6 月,聯邦文職行政部門 (FCEB) 機構在其 Microsoft 365 (M365) 雲端環境中發現了可疑活動,微軟確定高級持續威脅 (APT) 攻擊者存取並外洩了非機密 Exchange Online Outlook 數據。雖然該政府機構的名稱並未透露,但美國有線電視新聞網《CNN》和《華盛頓郵報》援引知情人士表示,該機構是美國國務院,商務部以及國會工作人員、美國人權倡導者和美國智囊團的電子郵件帳號也帳號成為攻擊目標。

美國CISA和FBI發布的聯合安全諮詢

微軟於7月11日將此次活動歸因於一個名為 Storm-0558 的新興中國駭客組織,該組織主要針對西歐政府機構,專注於間諜活動和數據盜竊。到目前為止收集的證據表明,微軟得出結論,從 5 月 15 日開始, Storm-0558獲得了屬於大約 25 個獨立組織(包括政府實體)的電子郵件帳戶的存取權限。該公司在近一個月後開始調查異常郵件活動,並確定 Storm -0558 使用偽造的身份認證權杖來獲取帳戶的存取權限。根據公告,駭客使用 Exchange Online 和 Outlook.com 中的 Microsoft Outlook Web Access 來存取非機密電子郵件帳號,這顯然是收集情報和“實現間諜目標”的一部分。Storm-0558 還使用兩個名為 Bling 和Cigril的自訂義惡意軟體工具來促進憑證權限,Cigril被描述為一種特洛伊木馬程式,可以解密加密檔案並直接從系統內存運行它們以避免檢測。微軟表示,攻擊已成功緩解,Storm-0558 無法再存取受感染的帳號。然而,該公司尚未透露在攻擊者帳號的一個月時間內是否有任何敏感數據被洩露。

美國CISA在一份報告中表示,攻擊者存取了非機密電子郵件數據,一名聯邦調查局高級官員將這次長達一個月的入侵描述為一場“有針對性的行動”,他拒絕證實受害者總數,但表示受影響的政府機構數量為個位數,該官員拒絕透露受影響機構的名稱。CISA 表示,FCEB 機構能夠通過利用 Microsoft Purview Audit 中的增強日誌記錄功能(特別是使用MailItemsAccessed郵箱審核操作)來識別入侵行為。該機構進一步建議組織啟用 Purview Audit (Premium) 日誌記錄,打開 Microsoft 365 統一審核日誌記錄 ( UAL ),並確保操作員可以搜索日誌,以允許搜索此類活動並將其與環境中的預期行為區分開來。CISA 和 FBI 補充道:“鼓勵組織尋找異常值並熟悉基線模式,以更好地了解異常流量與正常流量。

然而,中國否認了駭客事件背後的指控,中國外交部發言人汪文斌週四(7/13)敦促美國官員提供有關駭客攻擊的更多細節,稱美國是世界上最大的駭客帝國和全球網路竊賊,並稱美國現在是解釋其網路攻擊活動並停應止散佈假訊息以轉移公眾注意力的時候。

駭客利用名為RedDriver的瀏覽器劫持程式,瞄準微軟的中文用戶

Key Points:

*研究人員已識別未被記錄過的惡意驅動程式RedDriver的多個版本,這是一種基於驅動程式的瀏覽器劫持程式,至少從 2021 年起就一直活躍,並使用 Windows 過濾平台 (WFP) 來攔截瀏覽器流量。

*RedDriver 利用 HookSignTool 偽造其簽章時間戳以繞過 Windows 驅動程式簽章策略。

*RedDriver感染鏈的開發中使用了多個開源工具的程式碼,包括 HP-Socket 和 ReflectiveLoader

Photo Credit:思科 Talos

根據資安人員的研究,駭客正利用一種名為RedDriver的工具來針對微軟的中文用戶,該工具允許他們攔截網路瀏覽器流量。思科Talos團隊的表示,他們已經發現了RedDriver的多個版本,他們認為這些版本至少從 2021 年起就已經在使用。研究人員表示,RedDriver的作者似乎擅長驅動程式開發,並且對 Windows 操作系統有深入的了解,驅動程式幫助操作系統與印表機和顯示器等硬體進行通信。研究人員進一步說,從RedDriver只搜索中文瀏覽器進行劫持,可推定這種威脅針對以中文為母語的用戶,此外,RedDriver作者本人很大可能是會說中文的。然而,思科 Talos 並未將 RedDriver 歸咎於特定的駭客組織。

根據研究人員的說法,攻擊始於一個名為DNFClient的惡意檔案-這是一個中國流行的線上遊戲《地下城與勇士》的參考檔案。檔案執行後,就會啟動 RedDriver 的下載,思科將其稱為多階段感染鏈的關鍵組件,最終劫持瀏覽器流量並將其重定向到本地主機。RedDriver 本質上是通過利用被盜憑證偽造簽章時間戳,有效繞過 Windows 內的驅動程序強制策略簽章,使操作系統信任它。據 Talos 稱,這樣的中斷使駭客能夠使用 Windows 過濾平台 (WFP) 攔截瀏覽器流量,該公司表示,它認為目標受害者是中文用戶,因為該惡意軟體包含及谷歌瀏覽器和微軟Edge中文瀏覽器名稱的目標清單。根據Recorded Future News微軟發言人承認該公司最近被告知經微軟 Windows 硬體開發者計劃 (MWHDP) 認證的驅動程式在後期處理中被惡意使用。

微軟確認該活動,但稱“僅限於濫用多個開發者計劃帳戶,並且尚未發現任何微軟帳戶被盜的情況。我們已暫停合作夥伴的賣家賬戶,並對所有報告的惡意驅動程式實施阻止檢測,以幫助保護客戶免受這種威脅。”微軟進一步指出,在趨勢科技和思科 Talos 提供更多報告之前,安全公司 Sophos 的研究人員於 2 月份首次向該公司發出了有關這一情況的警報。微軟還發布了 Windows 安全更新,可以過濾有問題的驅動程式,保護客戶免受惡意使用的合法簽章驅動程式的影響。

思科Talos研究人員表示,他們仍不清楚瀏覽器流量重定向的最終目標,但無論如何,這對任何感染 RedDriver 的系統都是一個重大威脅。在他們的研究中,他們注意到RedDriver的早期版本與網吧使用的軟體打包在一起,因為許多名稱屬於網吧管理軟體、顯卡驅動程式和瀏覽器。Talos表示,中國的網吧成為網路犯罪團體的目標並不罕見,該公司指出,2018 年,中國各地網吧的 10 萬多台電腦曾感染了加密貨幣挖礦惡意軟體,為駭客帶來了超過 80 萬美元的收益。他們補充說,RedDriver 的感染鏈還使用從中文論壇上的貼文複製得來的程,在調查期間發現的所有域名都解析為中國的 IP位址。

研究人員對 RedDriver作者的技巧感到驚嘆,他們表示WFP是一個實施起來很複雜的平台,通常需要豐富的驅動程式開發經驗才能完全理解它,認為RedDriver的作者還展示了對軟體開發生命週期的熟悉或經驗,並指出開發不會當機的惡意驅動程式是多麼困難。

RedDriver的部分入侵指標(Indicator of compromise -IOCs):

0201c2999e723d9bbb8b4df8c41030dd25a12ea39671dce2fe4b084b77c4a0d4

fb29ef2e46335719421b747b23096bc6f98df3dc6cd1c0ff9b9174a3827562d5

f8a1828bc25c8d311e05314ff1da37f9901147a48fbd715e8d1b96c724d71fa0

522b00f45a033c3f7d27a7c0db7dd51dff239fdac56c7a8acf7ff9c542b1e797

ba961c5896b46447cb555dc93f64a78d99da0b2a0a531979545fe7f40279c9c3

24c900024d213549502301c366d18c318887630f04c96bf0a3d6ba74e0df164f

5a13091832ef2fd837c33acb44b97c37d4f1f412f31f093faf0ce83dcd7c314e

9e59eba805c361820d39273337de070efaf2bf804c6ea88bbafc5f63ce3028b1

c96320c7b57adf6f73ceaf2ae68f1661c2bfab9d96ffd820e3cfc191fcdf0a9b

87565ff08a93a8ff41ea932bf55dec8e0c7e79aba036507ea45df9d81cb36105

賀!Acalvio榮登Gartner新興技術的自動移動目標防禦(AMTD)的創新者

Acalvio 在2023年Gartner新興技術報告中的自動移動目標防禦技術被評為技術創新者(Tech Innovator)

2023 年 6 月 28 日–先進網路欺敵技術領域的領導者Acalvio Technologies宣布獲得Gartner Report新興技術中自動移動目標防禦 (Emerging Tech: Security – Emergence Cycle for Automated Moving Target Defense) 的技術創新者(Tech Innovator),Acalvio 的ShadowPlex平台提高了自動移動目標防禦(AMTD)技術的標準,並提供了將AMTD解決方案推向市場的最佳實踐和建議。

Gartner指出,資安全團隊因必須提供反應性檢測和回應而不堪重負,因高警報量和誤報導致產生疲勞。因此,對有效保護和加強網路安全的解決方案的需求很高。

Gartner 在 2023 年 2 月發布的”新興技術:安全-網路的未來是自動化移動目標防禦”(Emerging Tech: Security -The Future of Cyber Is Automated Moving Target Defense)報告中指出,AMTD的核心包含四個主要要素:主動網路防禦機制、協調攻擊面移動或變化的自動化、欺敵技術的使用以及執行智慧-變更決策的能力。

Acalvio Technologies聯合創辦人兼首席執行長Ram Varadarajan 表示,Gartner的自動移動目標防禦(AMTD)報告對分層式解決方案如何以及為何在構建更強大的網路安全防禦方面變得至關重要,進行了重要分析,而Acalvio豐富的主動防禦和身分威脅偵測及回應(ITDR)功能為客戶提供了分層防禦(Layered Defense),解決了 AMTD 的所有四個要素。從攻擊者的角度來看,ShadowPlex高級威脅防禦環境看起來像一個目標豐富的環境,攻擊者接觸的每個節點只會讓他們感到困惑和沮喪,因為每當他們碰觸到欺敵誘餌時,他們的策略、技術及程序(Tactics, Techniques, and Procedures, TTPs) 就會變得不那麼有效,他們開始對自己的工具和自己的能力失去信心。當他們試圖大量就地取材(Living Off-the-Land,LOL)並利用現有的工具和命令時,會發現這些工具變得不如預期,而進一步挫敗和暴露了他們。高保真警報會隨著他們採取的每一步而觸發,從而洩露他們的操作並浪費的時間。

根據Gartner報告,AMTD解決方案使網路駭客的攻擊變得更加困難和昂貴,AMTD通過在環境中主動且持續地進行更改來混淆、破壞和阻止攻擊者,從而改變IT環境的傳統「靜態」性質。通過主動式回應更改服務或基礎設施的變項,防禦者可以更有效地識別、理解和阻止攻擊者。Gartner網路安全新興技術和趨勢管理副總裁Carl Manion 表示,由 AMTD 欺敵組成的分層防禦可顯著提升組織的安全態勢,Acalvio 提供了豐富的欺敵功能,可以將攻擊者引向錯誤的方向,從而保護 IT 和運營技術 (OT) 環境。

關於 Acalvio Technologies

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者,其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio是CMMC第三方評鑑機關Booz Allen Hamilton戰略合作夥伴,共同推動零信任環境採用欺敵策略。Acalvio ShadowPlex是唯一經美國授予聯邦政府風險與授權管理計劃FedRAMP 認證可用於美國政府環境的專利自主欺敵產品,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

完整的“新興技術:安全——自動移動目標防禦的技術創新者”報告可以在 Gartner 網站上找到。

1 Gartner ® 2023 年新興技術:安全 — 自動移動目標防禦的技術創新者,作者:Mark Pohto、Carl Manion,2023 年 6 月 7 日發布。

2 Gartner ® 2023 新興技術:安全 — 網路的未來是自動移動目標防禦,作者:Lawrence Pingree、Carl Manion、Matt Milone、Sean ONeill、Travis Lee、Mark Pohto、Mark Wah、Ruggero Contu、Dan Ayoub、Elizabeth Kim, Rustam Malik、Nat Smith,2023 年 2 月 28 日發布。

日本最大港口-名古屋港作業系統遭LockBit勒索軟體攻擊而中斷

勒索軟體攻擊引起貨櫃搬運系統不能操作,導致無法裝卸貨櫃,貨櫃車在港口附近大排長龍。

日本最大的港口名古屋港遭受LockBit勒索軟體攻擊,其運營受到嚴重影響。根據朝日電視台,位於伊勢灣的名古屋港是日本最大、最繁忙的貿易港口,約佔日本貿易總額的10%。值得注意的是,這個港口是日本最大的汽車出口地,也是豐田汽車公司出口大部分汽車的地方。該港口遭受勒索軟體攻擊,影響了貨櫃碼頭的運營。據管理系統的名古屋港運協會證實,7月4日上午6點30分左右,當時一名員工無法存取名古屋聯合終端系統 (Nagoya United Terminal System-NUTS),該系統用於操作該港口的五個貨運碼頭。因網路攻擊引起貨櫃搬運系統不能操作,導致無法裝卸貨櫃,貨櫃車在港口附近大排長龍。據稱,由於駭客遠端地向印表機發送了超過100份英文勒索信,該信上出現LockBit字樣,可推斷攻擊來自LockBit勒索軟體集團,然而仍不清楚勒索贖金。

Photo Credit : 朝日電視台

根據日經的報導,名古屋港計劃於7月5日下午6:00前恢復系統,力爭7月6日上午8:30起恢復裝卸工作。在此之前,所有使用貨櫃車在碼頭進行的裝卸貨櫃作業均已取消,給港口造成了巨大的財務損失,並嚴重擾亂了進出日本各地的貨物流通。以名古屋港為進出口據點的日本豐田汽車表示,事故導致零部件裝卸作業無法進行,但暫時未有妨礙生產。這是名古屋港第二次遭到網路攻擊。去年 9 月,親俄羅斯組織 Killnet針對該港口發起的大規模分散式阻斷服務 (DDoS)攻擊,導致該港口網站關閉。這次LockBit的攻擊無疑是向名古屋港發出的一個警告信號,表明其系統需要徹底地進行網路安全檢修。

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

中國國家級駭客組織被發現利用HTML挾帶(HTML Smuggling) 通過 PlugX 遠端存取木馬(RAT)滲透各歐洲外交部和大使館。據資安公司 Check Point的報告,研究人員將該活動命名為 SmugX,稱該活動至少自 2022 年 12 月以來一直在持續,並補充說這是中國駭客將重點轉向歐洲,利用 HTML挾帶技術以PlugX遠端存取木馬感染目標系統。

HTML挾帶是一種高度規避的惡意軟體傳播技術,利用合法的 HTML5 和 JavaScript 功能。惡意負載通過 HTML 附件或網頁中的編碼字串傳遞。惡意 HTML 程式碼是在目標設備上的瀏覽器內生成的,該目標設備位於受害者網路的安全範圍內。Check Point表示,該活動使用新的交付方法來部署(最引人注目的是 HTML挾帶)PlugX 的新變體,這種植入通常與中國駭客相關。根據Check Point,SmugX活動與中國 APT駭客組織 RedDelta 和 Mustang Panda的活動相互重疊,Check Point 進一步說,儘管這兩者在某種程度上與另一個APT駭客組織 Camaro Dragon 相關,但沒有足夠的證據表明 SmugX活動與 Camaro Dragon 組織有聯繫。

Photo Credit: Check Point

該活動針對歐洲的政府實體,重點是外國和國內政策實體。

駭客使用精心設計的魚叉式網路釣魚消息來誘騙收件人下載 JavaScript 或 ZIP 檔案。打開這些惡意 HTML 文檔,程式碼中嵌入的有效負載將被解碼並保存到 JavaScript blob 中。研究人員注意到,JavaScript 程式碼不是利用 HTML元素,而是動態建立。 惡意程式碼使用 createObjectURL 函數從 blob 建立 URL 對象,並使用所需的檔案名設置下載屬性。然後,惡意程式碼調用點擊操作來模擬用戶點擊鏈接並開始下載檔案。

研究人員注意到,對於較舊的瀏覽器版本,惡意程式使用 msSaveOrOpenBlob 以所需的檔案名保存 blob。

對上傳到 VirusTotal 的活動中使用的檔案的分析顯示,中國 APT 組織試圖針對捷克、匈牙利、斯洛伐克、英國和烏克蘭的外交官和政府實體。誘餌檔案中提到的其他國家包括法國和瑞典。

上傳到 VirusTotal 的誘餌包括:

*這封信來自塞爾維亞駐布達佩斯大使館。

*一份闡述瑞典擔任歐盟理事會主席國的優先事項的文件。

*匈牙利外交部發出的外交會議邀請函。

*一篇關於兩名中國人權律師被判處十多年監禁的文章。

此活動中使用的一些誘餌-Photo Credit: Check Point

中國APT駭客組織使用了多階段感染過程,該過程依賴於 DLL 側面加載方法來傳遞 PlugX RAT。根據Check Point, “我們在此活動樣本中看到的一個顯著變化是,與我們過去看到的簡單 XOR 解密相比,RC4 加密方法的使用越來越多。加密的配置仍然駐留在數據部分,但它在配置的開頭預先添加了密鑰,而不是像之前的示例那樣放在解密函數中。在我們調查樣本的過程中,駭客發送了一個從 C&C伺服器發送的batch scripts,旨在清除其活動的任何痕跡。這個名為 del_RoboTask Update.bat 的腳本會消除合法的可執行檔案、PlugX 加載程式DLL 以及為持久性而實現的登錄機碼,並最終刪除自身。研究人員指出,該歸因是基於與 RedDelta 或 Mustang Panda 的活動的相似性,包括基礎設施、用於部署 PlugX 的路徑以及受害者學和引誘策略。

SmugX活動的部分入侵指標(Indicator of compromise -IOCs):

edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd

736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af

0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1

989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05

10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee

LockBit聲稱駭入台積電?! 勒索7千萬美元!

台積電則表示只是其供應鏈中的一個廠商遭入侵

臭名昭著的勒索軟體集團於今天(6月30)在其暗網揭秘網站上宣布,已入侵台積電並要求高達7千萬美元的贖金以換作不散播盜來的資料。LockBit聲稱若台積電拒絕付款,將公佈入侵該企業網路的切入點、密碼和公司登錄帳號,然而該貼文並未公佈包含任何數據樣本或其他表明攻擊者可能掌握的資料類型,但LockBit已設定支付贖金的最後期限為 8 月 6 日。

根據國外資安媒體SecurityWeek,台積電最近獲悉其供應商經歷了一場資安事件,導致與初始伺服器設定和配置相關的資料遭到外洩。然而,台積電則表示因所有進入其公司之硬體設備包括其安全設定皆須在進廠後通過公司完備程序做相對應的調整,包括安全配置。經審查,該事件並未影響台積電的業務運營,也沒有外洩任何台積電的客戶資料。事件發生後,台積電已根據公司的安全協議和標準操作程序立即終止與該供應商的數據交換。據了解,遭攻擊的供應商是台灣的擎昊科技(Kinmax Technology),一家提供IT、SI系統諮詢與整合服務的廠商。根據經濟日報擎昊科技也已發布聲明如下:

「本公司於 2023 年 6 月 29 日上午,發現公司內部特定測試環境中,遭受外部團體之網路攻擊,並擷取相關資訊,資訊內容主要為本公司為客戶提供之各式系統裝機準備資訊,因揭露之資訊中出現特定客戶之名稱,造成客戶之困擾,除先向受到影響之客戶致歉外,本公司已就此次資安事件進行排查與防護強化,特此通知。」

後續該公司也特別針對該資安事件在其官網發出說明的公告:

LockBit 勒索軟體集團自 2019 年以來一直存在,並以其同名惡意軟體而聞名。自 2022 年初以來,該集團一直在勒索軟體領域佔據主導地位,成為市場上最多產的勒索軟體集團。它主要採用勒索軟體即服務模式(RaaS),將部分贖金利潤支付給實施攻擊的會員,這個臭名昭著的勒索集團擁有 1,800 多名受害者。

全球有超過100組織因MOVEit漏洞受到影響,證實新增受害者包括西門子能源、施耐德電機、UCLA、紐約市教育局等

最近受到MFT檔案共享工具MOVEit Transfer零時差漏洞CVE-2023-34362的影響,導致系統遭到入侵的組織超過100個單位,昨天幾位新的受害者站出來證實了遭到入侵,包括加州大學洛杉磯分校 (UCLA) 西門子能源(Siemens Energy)、施耐德電機(Schneider Electric)、紐約市教育局等。UCLA證實該校使用的 MOVEit Transfer 工具是此次攻擊的核心,並表示其 IT安全團隊於 6 月 1 日發現該工具成為攻擊目標。根據SC Media UCLA的報導, UCLA的發言人表示,加州大學洛杉磯分校立即啟動了事件回應程序,使用了Progress Software發布的安全修補修復了該漏洞,加強了對系統的監控並通知了聯邦調查局(FBI),並與外部資安專家合作調查此事,確認了事件的發生、哪些數據受到了影響以及被盜數據屬於誰,並進一步通知所有受到影響的人。UCLA表示這不是勒索事件,也沒有證據表明對任何其他校園系統有任何影響。

Cl0p公開UCLA成為其受害者

根據Security Affairs的報導,工業巨頭施耐德電機和西門子能源也成為受害者,兩者都提供用於全球關鍵國家基礎設施的工業控制系統 (ICS)。西門子能源確認其已成為攻擊目標;不過表示沒有關鍵數據被盜,業務營運也沒有受到影響。西門子能源表示,根據目前的分析,沒有關鍵數據受到損害,營運也沒有受到影響,在得知這一事件後立即採取了行動; 而施耐德則表示正在調查該Cl0p的說法,但並未確認遭到入侵,僅表示他們正在調查。

Cl0p公開施耐德則成為其受害者的頁面

Cl0p公開西門子能源成為其受害者

另外,6月24日(週六),紐約市教育局報告稱,駭客竊取了約 45,000 名學生以及工作人員和服務提供商個人資訊。儘管該市的調查仍在進行中,但該市教育部在一份數據外洩通知中表示,大約 19,000 份檔案在未經授權的情況下被存取,其中暴露了9,000個社會安全號碼和數量不詳的員工ID號碼。該市表示,個人將獲得身份監控服務,聯邦調查局和紐約警察局正在調查這起攻擊事件。自6月14日以來,Cl0p 一直在其暗網外洩網站上發布受害者的姓名,殼牌環球(Shell)、Telos、諾頓 LifeLock、加州公共僱員退休系統 ( CalPERS )、普華永道(PWC)、安永、Sony等數十家公司均被列入名單。MOVEit Transfer 是一種託管檔案傳輸,企業可以使用它通過 SFTP、SCP 和基於 HTTP 的上傳來安全地傳輸檔案。CVE-2023-34362漏洞是一個SQL注入漏洞,未經身份驗證的攻擊者可以利用它來獲得對MOVEit Transfer數據庫的未經授權的存取。Microsoft認為Clop 勒索軟體組織 (又名 Lace Tempest )發起了利用MOVEit Transfer平台中的漏洞的活動。5月31日,Progress Software修補MOVEit的CVE-2023-34362漏洞後,於6月10日及6月16日再修補另外兩個同樣位於MOVEit的SQL Injection漏洞CVE-2023-35036CVE-2023-35708。MOVEit Transfer用戶應密切注意並即時修補所有相關的安全更新。

6月17日,美國政府的正義獎勵(Rewards for Justice)計畫懸賞高達 1000 萬美元,以獲取將Cl0p勒索軟體集團或任何其他針對美國關鍵基礎設施的駭客資訊。

MOVEit的漏洞的部分入侵指標(Indicator of compromise -IOCs):

fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f

f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7

ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a

e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e

華碩發布修補以修復影響多款路由器型號的關鍵安全漏洞

Photo Credit: Asus

華碩修補了9個WiFi 路由器的漏洞,包括一個追溯到 2018年的重大漏洞,該漏洞可使用戶面臨任意程式執行攻擊。

台灣電腦硬體廠商製造商華碩週一(6月19日)發布了緊急韌體更新,以解決其 WiFi 路由器產品線中的漏洞,並警告用戶遠端程式碼執行攻擊的風險。在一份公告中,華碩記錄了至少九個漏洞和其中包括一些允許程式碼執行、阻斷服務攻擊、資料外洩和身份驗證繞過的漏洞。九個資安漏洞中最嚴重的漏洞有兩個 ,CVSS分數分別同樣是9.8分的重大漏洞,一個是漏洞編號為 CVE-2018-1160的漏洞,可追溯到 2018 年,它使路由器面臨任意程式執行攻擊,影響Netatalk 3.1.12 之前的版本,是一個存在dsi_opensess.c中近五年的越界寫入錯誤,該漏洞是源於攻擊者控制的數據缺乏邊界檢查,遠端未經身份驗證的攻擊者可以利用此漏洞實現任意程式碼執行。

華碩的韌體更新還修補了另一個CVSS分數9.8的重大漏洞,漏洞編號為CVE-2022-26376,這是 3.0.0.4.386_48706 之前的 Asuswrt 和 386.7 之前的 Asuswrt-Merlin New Gen 的 httpd unescape 功能中的記憶體損壞漏洞。華碩證實,特製的 HTTP 請求可能導致記憶體損壞,攻擊者可以發送網路請求來觸發此漏洞。其他還有六個被評為高嚴重性漏洞和一個目前正在等待分析的漏洞:

  • CVE-2022-35401(CVSS 分數:8.1)- 一個身份驗證繞過漏洞,可能允許攻擊者發送惡意 HTTP 請求以獲得對設備的完全管理存取權限。
  • CVE-2022-38105(CVSS 分數:7.5)- 一個信息洩露漏洞,可被利用通過發送特製網路數據包存取敏感資料。
  • CVE-2022-38393(CVSS 分數:7.5)- 一個拒絕服務 (DoS) 漏洞,可以通過發送特製網路數據包觸發。
  • CVE-2022-46871(CVSS 分數:8.8)- 使用過時的 libusrsctp 庫可能會使目標設備受到其他攻擊。
  • CVE-2023-28702(CVSS 分數:8.8)- 一個命令注入漏洞,本地攻擊者可以利用該漏洞執行任意系統命令、中斷系統或終止服務。
  • CVE-2023-28703(CVSS 分數:7.2)- 一個基於堆棧的緩衝區溢出漏洞,具有管理員權限的攻擊者可以利用該漏洞執行任意系統命令、中斷系統或終止服務。
  • CVE-2023-31195(CVSS 分數:N/A)- 中間對手 (AitM) 漏洞可導致用戶連線劫持。

受影響的設備清單包括以下型號:GT6、GT-AXE16000、GT-AX11000 PRO、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000 和 TUF-AX5400,涉及多款路由器型號。

華碩呼籲,“請注意,如果您選擇不安裝這個新韌體的版本,我們強烈建議關閉從 WAN 端存取的服務,以避免潛在的不必要的入侵。這些服務包括從 WAN 遠端訪問、端口轉發、DDNS、VPN 伺服器、DMZ、端口觸發器。我們強烈建議您定期檢查您的設備和安全程式,因為這將確保您得到更好的保護。” 華碩還建議為無線網路和路由器管理頁面建立不同的強密碼。

了解更多: https://www.asus.com/content/asus-product-security-advisory/

多國網路安全機構:LockBit勒索軟體已在約1700次攻擊中,獲得超過九千萬美元的不法所得

6月15日,為了幫助各地的組織了解和抵禦LockBit 勒索軟體,這現為全球最猖獗的威脅及其大量會員(affiliate),美國網路暨基礎安全局 (CISA)、聯邦調查局 (FBI) 以及包含澳洲、 加拿大、 英國、 德國、 法國和新西蘭等多國網路安全機構共同發布了關於題為Understanding Ransomware Threat Actors: LockBit的聯合網路安全諮詢,該諮詢包括:

*LockBit 使用了大約 30 個免費和開源工具的清單

*超過40個mapping 到MITRE ATT&CK的攻擊戰略、攻擊手法(TTPs)

*觀察到常被利用的CVEs漏洞

*LockBit勒索軟體即服務(RaaS)的演變以及全球趨勢和統計數據

*推薦的資源和緩解措施,以幫助抵禦全球 LockBit 活動

該公告指出,自 2020 年以來,僅在美國就發生了約 1,700 次 LockBit 勒索軟體攻擊,企業和組織為此支付了約 9,100 萬美元的贖金。這些多安全機構警告,LockBit 勒索軟體即服務 (RaaS) 吸引附屬會員(affiliate)使用 LockBit 進行勒索攻擊,導致大量互不關聯的攻擊者進行各種各樣的攻擊。根據Malwarebytes上週分享的統計數據,LockBit 於 2019 年底首次出現,它具有破壞性和多產性,僅在 2023 年 5 月就針對多達 76 名受害者。迄今為止,與俄羅斯有關聯繫的會員稱對至少 1,653 起勒索軟體攻擊負責。網路犯罪行動攻擊了廣泛的關鍵基礎設施部門,包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸。到目前為止,LockBit 已經進行了三次實質性的升級:LockBit Red(2021 年 6 月)、LockBit Black(2022 年 3 月)和 LockBit Green(2023 年 1 月),其中最後一個的升級是基於已經被解散的 Conti勒索軟體遭外洩的原始碼。

根據該公告,LockBit 用於吸引會員的一些方法包括但不限於,通過允許會員在收到贖金之後再付款;在線上論壇中貶低其他勒索軟體團體;花錢推廣宣傳活動,例如花錢招募人來紋含有 LockBit logo的紋身;推出抓漏獎勵專案等;它還包括為其勒索軟軟體開發和維護一個簡化的點擊式界面,使技術水平較低的人也可以使用它,使LockBit成為是去年全球最熱門活躍的勒索軟體組織。

Photo Credit: Cert NZ

涉及 LockBit 的攻擊鏈利用,包含最近披露的 Fortra GoAnywhere Managed File Transfer (MFT) 和 PaperCut MF/NG 伺服器中的漏洞以及 Apache Log4j2、F5 BIG-IP 和 BIG-IQ 以及 Fortinet 設備中的其他已知漏洞來獲得初始存取權限。LockBit還使用了三十多個免費軟體和開源工具,允許網路偵察、遠端存取和隧道、憑證轉儲和檔案外洩。該公告補充說,在大多數入侵中都觀察到了 PowerShell 和batch-script的使用,這些入侵側重於系統發現、偵察、密碼/憑證搜索和權限升級,這些入侵被發現進一步濫用合法的紅隊工具,如Metasploit和Cobalt Strike。

該諮詢提出各種預防相關攻擊的緩解措施,包括實施沙盒瀏覽器,要求所有使用密碼登錄的帳戶遵守 NIST 標準以製定和管理密碼策略;在電子郵件網關上實施過濾機制;安裝網路應用防火牆;分段網路;採用最少權限的最佳實踐;強制管理和審核具有管理權限的用戶帳戶;對設置在管理員級別和更高級別的帳戶實施基於時間的存取。它還建議開發並定期更新綜合網路圖;控制和限制網路連接;啟用增強的 PowerShell 日誌記錄;配置 Windows 登錄檔案以要求 UAC批准任何 PsExec 操作;禁用命令行和腳本活動和權限;啟用憑證保護;實施本地管理員密碼解決方案 (LAPS)。

另外,CISA本週發布了一項具有約束力的操作指令 23-02,指示聯邦機構在發現後 14 天內保護暴露在公共互聯網上的防火牆、路由器和交換機等網絡設備,並採取措施最大限度地減少攻擊面。

了解更多關於此資安諮詢: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

中國駭客利用 VMware ESXi零時差漏洞部署後門,入侵國防和科技領域

資安研究員觀察到一個中國網路間諜組織利用VMware ESXi零時差漏洞進行權限提升,廣泛使用一系列攻擊者腳本來獲取 vpxuser憑證、枚舉 ESXi 主機及其來賓虛擬機,並操縱連接的 ESXi 主機防火牆規則以竊取數據。

6 月 14 日,資安公司Mandiant 警告稱,一個追踪為 UNC3886 的中國駭客間諜組織被發現利用 VMware ESXi 零時差漏洞來提升客戶虛擬機的權限。UNC3886 最初於 2022 年 9 月詳細介紹,一直在使用惡意 vSphere 安裝服務包(VIB)(通常用於維護系統和部署更新的軟體包)在 ESXi 管理程式上安裝後門並獲得命令執行、檔案操作和反向 shell 功能。該組織的惡意行為會影響 VMware ESXi 主機、vCenter伺服器和Windows 虛擬機 (VM)。

在最近的攻擊中,UNC3886從 vCenter Server 獲取所有連接的 ESXi 主機的憑證,使用 VMCI套接字(一種用於虛擬機通信介面的網路套接字API)部署後門以實現橫向移動和持久性,以及修改和關閉受感染系統上的日誌記錄服務。此外,該組織一直在利用 VMware Tools 中的零時差漏洞繞過身份驗證並在 Windows、Linux 和 PhotonOS (vCenter) 來賓虛擬機上執行特權命令。該漏洞編號為 CVE-2023-20867,具有低嚴重性評級,因為它的利用需要攻擊者擁有對 ESXi 伺服器的root存取權限。VMware 在一份公告中表示,受感染的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作,從而影響客戶虛擬​​機的機密性和完整性,並在VMware Tools的12.2.5版本中解決了該漏洞,建議用戶進行修補。

Photo Credit : Mandiant

根據 Mandiant 的說法,UNC3886 被發現使用腳本通過連接的 vPostgreSQL 數據庫從受感染的 vCenter伺服器獲取憑證,枚舉所有 ESXi 主機及其來賓虛擬機,並修改所有連接的ESXi主機的允許IP清單。

UNC3886組織還使用安裝腳本將惡意安裝服務包(VIB)部署到主機,並利用 CVE-2023-20867 執行命令並將檔案從受感染的 ESXi 主機與來賓 VM 來回傳輸,而無需身份驗證且不留痕跡。

Mandiant進一步說,當從 ESXi 主機執行命令時,利用 CVE-2023-20867 不會在來賓虛擬機上生成身份驗證日誌事件。Mandiant還觀察到該組織使用 VMCI 套接字部署了兩個後門(VirtualPita 和 VirtualGate)以實現橫向移動和持續持久性,以確保他們的惡意活動不被發現。該惡意軟體為攻擊者提供了新級別的持久性(通過存取 VM 重新獲得對受感染 ESXi 主機的存取權限),還允許網路分段繞過和逃避對開放偵聽端口的安全審查。

Mandiant 指出,與 CVE-2023-20867 結合,將重新獲得對 ESXi 主機的存取權限允許攻擊者在該 ESXi 主機下運行的任何虛擬機上使用最高特權帳戶執行未經身份驗證的操作。如果 vCenter 作為 ESXi 主機下的虛擬機存在,攻擊者可以繼續連接到 vCenter 的所有 ESXi 主機獲取所有連接的 vpxuser 憑證,並繼續在環境中橫向移動。Mandiant 補充道,UNC3886以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點偵測與回應(EDR)功能的防火牆和虛擬化平台中的零時差漏洞,組織必須保持警惕,確保他們不僅在操作系統層監控網路,而且還要繼續修補和維護。