標籤: News

Fangxiao利用 42,000 個網釣網站冒充 400 個品牌，詐騙What’s app的用戶以產生流量賺取網站廣告費及下載惡意軟體。

根據資安公司Cyjax的發現，總部位於中國的一個出於經濟動機的駭客集團Fangxiao利用國際知名品牌的名義策劃了大規模網釣活動，該網釣活動可追溯到 2019 年，已持續了大約五年，迄今為止已識別出超過 42,000 個獨特的網域名稱。根據Cyjax的研究員 Emily Dennison 和 Alana Witten，當用戶以獲得一些免費優惠、現金獎勵等幌子被誘騙存取這些網站時，這些網域會為駭客帶來廣告收入。

駭客透過WhatsApp傳送訊息，包含一個或多個偽造的優惠來吸引用戶點選連結，並藉此導向各個網釣網站，這些冒充品牌網站包括阿聯酋航空、蝦皮、聯合利華、可口可樂、麥當勞等知名和值得信賴的品牌，受害者從那裡被分發到詐騙應用程式站點或虛假的優惠。這些網站會提示用戶完成一項調查以領取現金獎勵，同時，他們被要求將訊息轉發給五個群組或 20 個朋友。據了解，導向最終網釣網站取決於受害者的 IP 網址和瀏覽器的User-Agent 字符串。

另外，據觀察，從 Android 設備點擊詐騙廣告的攻擊最終導致部署了名為Triada的行動木馬，該木馬最近也被發現通過假冒的 WhatsApp 應用程式進行傳播。

一旦受害者從Fangxiao賺取了錢並對網釣魚產生了投入，他們將被重定向到廣告公司旗下的一系列網站，包含銷售假冒的禮物卡、騙取使用者的憑證、各種投資詐騙，或者是用來下載惡意程式，受害者最終會進入各種危險的網站。

Fangxiao 是一個以盈利為動機的駭客集團，它會定期增加數百個新網域來保持流量。例如，該組織在 2022 年 10 月的某一天內添加了超過300個新的網域名稱，以躲避追蹤。根據Cyjax 的分析顯示，Fangxiao使用的網域名中，超過 67% 註冊了 .top，14% 以上註冊了 .cn，7.59% 註冊了 .cyou，2.9% 註冊了 .xyz，1.58% 註冊了 .work，1.04% 註冊了 .tech 和5.27% 與其他頂級網域名稱域名，Fangxiao透過89個網域名稱註冊商申請的數萬個網址，多數位於中國。另外，研究人員稱Fangxiao散布這些惡意連結的管道為WhatsApp，但中國禁用WhatsApp，這意味著攻擊是針對中國境外的用戶。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

據觀察，中國國家級駭客組織 APT 41針對日本實體的攻擊中採用了一種新的隱蔽感染鏈，根據Kaspersky雙份報告(上、下部)，間諜活動的目標包括日本媒體、外交、政府和公共部門組織以及智囊團。

APT 41，也稱為APT10、Bronze Riverside、Stone Panda、 Cicada 和 Potassium，是一個網路間諜組織，以入侵對中國具有戰略意義的組織而聞名，駭客組織至少自 2009 年以來就一直活躍至今。

在 2022 年 3 月至 2022 年 6 月期間觀察到的新一組攻擊涉及使用偽造的 Microsoft Word 檔案和通過網路釣魚電子郵件傳播的 RAR 格式的自解壓檔案，而導致執行名為LODEINFO後門程式的惡意活動。雖然惡意檔案要求用戶啟用宏(Macro)來啟動攻擊鏈，但發現 2022 年 6 月的活動放棄了這種方法，轉而使用 SFX 檔案，該檔案在執行時會顯示無害的誘餌 Word 檔案以隱藏惡意活動。

啟用宏後，將刪除包含兩個檔的ZIP存檔，其中一個（“NRTOLF.exe”）是來自合法K7Security Suite軟體的可執行檔，通過 DLL 側載注入惡意DLL (“K7SysMn1.dll”）。

除了濫用安全應用程式之外，Kaspersky表示還在 2022 年 6 月發現了另一種初始感染方法，其中受密碼保護的 Microsoft Word 檔充當管道，在啟用宏時提供名為 DOWNIISSA 的無檔案下載器，嵌入式的宏生成 DOWNIISSA shellcode 並將其註入當前進程 (WINWORD.exe)

DOWNIISSA 被配置為與寫死的遠端伺服器通信，使用它來檢索 LODEINFO 的加密 BLOB payload，這是一個能夠執行任意 shellcode、截取螢幕截圖並將檔案洩露回伺服器的後門。

該惡意軟體於 2019 年首次出現，經過多次改進，Kaspersky在 2022 年 3 月、4 月、6 月和 9 月確定了六個不同的版本。這些變化包括增強規避技術、停止在具有“en_US”區域設置的機器上執行、修改支援的命令列表以及延伸對 Intel 64位元架構的支援。

研究人員總結說：“LODEINFO 惡意軟體更新非常頻繁，並繼續積極針對日本組織。”

LODEINFO的部分入侵指標(Indicator of compromise -IOCs)

MD5:

c5bdf14982543b71fb419df3b43fbf07

c9d724c2c5ae9653045396deaf7e3417

f7de43a56bbb271f045851b77656d6bd

0fcf90fe2f5165286814ab858d6d4f2a

6780d9241ad4d8de6e78d936fbf5a922

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

加州的極端高溫使Twitter關掉了其在首府Sacramento的一個關鍵數據中心， CNN報導稱Twitter內部高層中警告說，如果還有其他數據中心斷網，可導致其用戶服務陷入困境。

與所有主要社交媒體平台一樣，Twitter 依賴數據中心，這些數據中心本質上是裝滿電腦設備如伺服器和存儲系統等的巨大倉庫。控制數據中心的溫度對於確保電腦不會過熱和故障至關重要。為了節省冷卻成本，一些科技公司將它們的數據中心建立在寒冷氣候的國家中。例如，Google於 2011 年在芬蘭開設了一個數據中心，Meta 自 2013 年以來在瑞典北部設立了一個數據中心。

9 月 5 日標誌著北加州歷史上最大熱浪的開始：Sacramento市中心達到 113華氏(攝氏45度)，隨後達到116 度(46. 7 攝氏度)，上週二成為該市有記錄以來最熱的一天。

“9 月 5 日，由於極端天氣，Twitter 失去了Sacramento 數據中心區域。史無前例​​的事件導致 SMF 的實體設備完全關閉。”該公司工程副總裁 Carrie Fernandez 在周五給 Twitter 工程師的內部消息中說。

根據Fernandez週五的通告，由於Sacramento的離線，Twitter 處於非冗餘狀態(non-redundant)。她進一步說，Twitter在亞特蘭大和波特蘭的數據中心仍在運行，但警告說”如果我們失去其中一個數據中心，我們可能無法為所有 Twitter 用戶提供流量。”

該通告同時禁止對 Twitter 產品進行非關鍵更新，直到該公司能夠完全恢復其Sacramento數據中心服務。Fernandez 寫道：”所有production的變更，包括行動平台的部署和發布，都需暫停，只有解決服務連續性或其他緊急運營需求所需的變更除外。”

據美國有線電視新聞網報導，Twitter 前安全負責人 Peiter Zatko 上個月在向包括證券交易委員會在內的多個聯邦政府機構的舉報稱，Twitter 的“數據中心冗餘不足”會增加短暫服務中斷的風險，甚至可能會導致 Twitter 永久下線。

Twitter 在給 CNN 的一份聲明中僅表示，目前沒有任何干擾影響人們存取和使用 Twitter。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體，已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。

該勒索軟體以 Golang (Go) 跨平台編程語言編寫，從技術角度來看，Agenda 提供了多種功能，包括以安全模式重啟系統並停止特定於伺服器的進程和服務，以及運行多種模式。Agenda還具有檢測規避技術，更改使用者密碼並啟用自動登錄，Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案，並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示，觀察到的樣本都是客制化的，每個受害者要求的贖金金額也不同，介於 50,000 美元到 800,000 美元之間。

Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外，還具有感染整個網路及其共享驅動程序的功能。在一個案例中，作為一次攻擊的一部分，攻擊者利用面向公眾的 Citrix 伺服器作為切入點，在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。

“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案，如果登錄嘗試成功，則進一步加密其他機器。它還終止大量進程和服務，並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。

TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil（又名 Sodinokibi）之間的相似之處，具體來說，Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter，而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

密碼管理器供應商LastPass周四(8/25)表示，駭客入侵了其開發人員的一個帳號，利用該帳號存取了專有技術資訊與部分原始程式碼，然而LastPass稱其用戶的密碼仍然安全，表示沒有證據表明客戶數據或加密的密碼庫遭到破壞，稱其產品和服務運行正常。LastPass進一步說資安事件發生在兩週前，資安公告已通過電郵發送給其客戶。

LastPass表示為應對這一事件，已部署了遏制和緩解措施，並正在實施額外的增強安全措施，另外也聘請了外部的資安鑑識公司為事件進行調查。目前已達到遏制的狀態，沒有看到任何未經授權的活動的進一步證據。

值得一提的是 LastPass尚未提供有關攻擊的更多詳細資訊，例如駭客如何入侵開發人員的用戶帳號， 以及哪些原始碼被盜。

LastPass 是世界上最大的密碼管理公司之一，聲稱被超過 3300 萬人和 100,000 家企業使用。由於消費者和企業使用該公司的軟體來安全地存儲他們的密碼，因此有人擔心該公司被駭客入侵，可能會允許攻擊者存取存儲的密碼。

然而LastPass 堅稱，事件並未危及管理其旗艦密碼管理軟體中加密保險庫(Encrypted vaults)存取權限的主密碼(Master Passwords)，LastPass將密碼存儲在加密保險庫中，只能使用客戶的主密碼進行解密，LastPass稱Master Passwords在此次網路攻擊中並未受到破壞。

去年，LastPass遭受了撞庫攻擊，攻擊者可以確認用戶的主密碼。據透露，LastPass主密碼是因為利用RedLine Stealer惡意軟體的駭客而被竊取。

因此，在您的 LastPass 帳戶上啟用多因素身份驗證至關重要，這樣即使您的密碼被洩露，駭客也無法存取您的帳戶。

美國網路安全暨基礎設施安全局（CISA）週一(8/22)將影響Palo Alto Networks PAN-OS 的安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities Catalog）中。漏洞編號CVE-2022-0028（漏洞風險值8.6）是一種URL 過濾政策錯誤配置的高嚴重性漏洞，可允許未經身份驗證的遠端攻擊者執行反射和放大的 TCP 阻斷服務（Reflected Amplification Denial-of-Service, RDoS）攻擊。針對攻擊者選擇的目標，DoS 攻擊似乎源自 Palo Alto Networks PA 系列設備、VM 系列（虛擬）和 CN 系列（容器式）防火牆。

該供應商表示最近獲悉，多家供應商的防火牆被濫用來進行分佈式阻斷服務 (DDoS) 攻擊，但它沒有透露受影響公司的名稱，Palo Alto的資安通告提及，這種企圖攻擊利用了來自多個供應商的易受攻擊的防火牆，包括Palo Alto Networks在內，Palo Alto的資安通告稱，儘管漏洞被利用，但這個問題不會影響其產品的機密性、完整性或可用性。 然而，由此漏洞產生的阻斷服務 (DoS) 攻擊可能有助於混淆攻擊者的身份，並將防火牆作為攻擊的來源。

CVE-2022-0028這項漏洞影響適用於 PA 系列、VM 系列和 CN 系列設備的以下 PAN-OS 版本:

PAN-OS 10.2（10.2.2-h2 以前的版本）

PAN-OS 10.1（10.1.6-h6 以前的版本）

PAN-OS 10.0（10.0.11-h1 以前的版本）

PAN-OS 9.1（9.1.14-h4 以前的版本）

PAN-OS 9.0（9.0.16-h3 以前的版本）

PAN-OS 8.1（8.1.23-h1 以前的版本）

以及Cloud NGFW、Prisma Access

據 Palo Alto Networks 稱，漏洞並不影響 Panorama M 系列或 Panorama 虛擬機器，CVE-2022-0028也已作為Palo Alto本月發布的更新一部分得到解決。

鑑於駭客積極開採，CISA建議受影響產品的用戶應用相關修補以減輕潛在威脅，並下令美國聯邦民事行政部（FCEB）必須在 2022 年 9 月 12 日之前更新到最新版本。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本母公司SOMPO Holding同時發出聲明，強調攻擊僅限於台灣子公司，不影響集團的其他公司

8月23日，台灣佳朋保險經紀人(SOMPO Taiwan Brokers-STB)在其官網宣布遭受網路攻擊，在發現攻擊後立即採取網路中斷措施，以防止損害擴大。目前，針對是否存有資料外洩，已委請外部機構進行調查及分析，並已通報政府機構與調查當局，STB承諾會與外部資安機構及調查單位作出最適當的應對。直至目前尚不清楚此起網路攻擊的性質，是否為勒索軟體攻擊。竣盟科技截至目前尚未在任何主流的勒索軟體揭秘網站上，看到任何勒索團體聲稱已入侵STB。

STB的日本母公司SOMPO Holdings同時在今天證實此次網路攻擊事件https://www.sompo-hd.com/

Sompo Holding的聲明與STB類似，但進一步強調稱攻擊僅限於台灣子公司，不影響集團的其他公司。

STB是日本SOMPO Holdings在台灣獨資之保險服務據點，總公司於1888年成立，在全球32個國家地區擁有據點。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

8月2日，美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台前夕，多家本地媒體報導，總統府官網遭受到境外DDoS（阻斷服務攻擊）攻擊，攻擊流量為平日的200倍，導致官網一度無法顯示，經緊急處置，20分鐘內恢復正常，總統發言人張惇涵在其官方Facebook帳號證實此攻擊。除此之外，政府入口網站以及外交部網站2日疑似同樣遭到攻擊癱瘓，一度無法連上。

外交部在聲明中指出，這兩個網站都收到「來自中國、俄羅斯等地大量IP」每分鐘多達850萬次流量的請求。

8月3日，上午全台有多間7-11門市電視螢幕顯示「戰爭販子裴洛西滾出台灣」消息一出，統一超商回應，廠商受不明來源干擾播放訊息，已立即請廠商修復，門市營運正常。

此外，中國駭客還瞄準了台鐵電視螢幕，畫面上可見竟以簡體字寫著，「老巫婆竄訪台灣，是對祖國主權的嚴重挑戰；那些積極迎接的人，終將受到人民的審判；同種同族的血親關係割捨不段；偉大華夏終將統一」的惡意假訊息。

對此，台鐵表示，此為高雄新左營站售票大廳的電子看板，為資產開發中心出租廣告看板，出租出去後，3日上午10時突然被駭客入侵，同仁發現後，第一時間就先切掉線路，馬上斷電處理，並通知廠商做後續防護。

8 月 3 日同一天，疑為中國駭客APT 27，在Twitter上建立了一個名為APT27_Attack的帳號，高調地公開1支影片宣布對台灣發動特別網路行動，影片中蒙面男生以英文說：「全世界的公民你們好，我們是APT 27。最近我們注意到，裴洛西不顧中國和台灣同胞的反對造訪台灣，台灣自古以來都是中國的領地，為了反制挑釁，我們將對台灣發動一個特別網路行動，攻擊對象包括台灣政府和所有基礎設施。讓我們拭目以待，祝你們好運！」影片字幕為簡體字。

https://twitter.com/APT27_Attack/status/1554773005586157568

此外，該用戶聲稱已經入侵六萬臺物聯網(iOT)設備，並在另1個推文寫道：「我們不屬於政府，我們來自全球各國，至於有人把我們和惡名昭彰的APT 27比較，我們要說的是，我們是27 Attack，也可以叫我們27，我們已經完成任務了。」

8 月 4 日晚，高市環保局網站遭駭客入侵，首頁遭惡意植入中國五星旗，環保局表示先行關閉網站，將持續積極修復。

直到目前為止，環保局網站仍未修復完畢，網站顯示「本網站維護中暫停服務，造成不便，請見諒！」

8 月 5日，Twitter用戶APT27_Attack聲稱將公佈他們對台灣發動過的攻擊，並發布台灣相關設備的零時差漏洞。

面對持續發生的駭客攻擊事件，組織應加強資安維運暨系統防護，持續監控，內、外網都應做好防範措施。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”