根據資安公司ESET 的研究，名為Evasive Panda 的中國APT駭客組織以中國非營利組織為目標，利用自訂義的自定義後門MgBot，作為騰訊QQ 即時通訊應用程式自動更新的一部分，來監視受害者並從他們的設備收集數據。研究指出該活動於 2020 年 11 月開始，攻擊鏈旨在分發 MgBot 惡意軟體的 Windows 安裝程式，大多數受害者是國際NGO（非政府組織）的成員，分佈在甘肅、廣東和江蘇等省份，顯示出相當具體和集中的目標。

中國國家級駭客組織Evasive Panda，也被稱為 Bronze Highland 和 Daggerfly，是一個至少從 2012年開始活躍的網路間諜組織，此前曾針對中國大陸、香港、澳門、尼日利亞以及東南亞和東亞多個國家的組織和個人發動攻擊。

ESET 報告稱，MsgBot惡意軟體負載作為騰訊 QQ 軟體更新從屬於軟體開發商的合法 URL 和 IP 地址傳遞給受害者，這意味著攻擊可能有兩種情況 – 供應鏈攻擊或中間人 (Adversary-in-the-middle AITM) 攻擊。

在第一種情況下，Evasive Panda 必須入侵騰訊 QQ 的更新分發伺服器，以合法軟體更新為幌子將木馬化應用程式“QQUrlMgr.exe”發送給受害者。ESET 注意到更新程式的木馬化版本從寫死 URL的（“update.browser.qq[.]com”）獲取惡意軟體，並使用與伺服器提供的MD5 哈希匹配的寫死解密密鑰，由於騰訊並未回應ESET的提問，該網址的合法性還有待確認。此外，分析人員無法從伺服器檢索 XML 更新數據的樣本，因此未能揭示惡意軟體的傳遞機制。

若在中間人攻擊情況下，ESET注意到與過去採用這種策略的活動，涉及名為 LuoYu 的中國駭客團隊， 卡巴斯基也在2022 年 6 月詳細報告了該活動，攻擊活動使用 “WinDealer”惡意軟體，從中國電信生成隨機 IP 地址來執行 AITM 或攻擊者端攔截。這些 IP 似乎與在 Evasive Panda 活動中傳送 MgBot 惡意軟體的 IP 範圍相同。

雖然根據觀察到的巧合和可能的解釋，這兩種情況都是合理的，但 ESET無法找到明確的證據，許多問題仍未得到解答。

在此活動中提供的 MgBot有效負載(Payloads)是 Evasive Panda 自 2012 年開始營運以來一直使用的 C++ Windows 後門。

ESET 報告稱，自Malwarebytes 在 2020 年對MgBot進行分析以來，該惡意軟體的安裝程式、後門、功能和執行鏈基本保持不變。

MgBot 使用模組化架構來擴充其功能，從執行專門功能的 C2 接收 DLL plugin 模組，包括：

*特定騰訊應用程式的keylogging記錄

*從硬碟和 USB筆型隨身碟中竊取檔案

*收集複製到剪貼板的文本

*收集輸入和輸出音頻流

*從 Outlook 和 Foxmail 電子郵件客戶端竊取憑證

*從 Chrome、Opera、Firefox、Foxmail、QQBrowser、FileZilla、WinSCP 等竊取憑證

*竊取存儲用戶歷史消息的騰訊QQ數據庫內容

*竊取騰訊微信資料

*從 Firefox、Chrome 和 Edge 竊取 cookies

Evasive Panda APT 被發現針對中國用戶，旨在從中國應用程式竊取數據，利用不明確的方法對騰訊 QQ 軟體執行供應鏈攻擊。這是該組織超越社交工程、網路釣魚、SEO 投毒等標準感染方法的最新的例子，ESET呼籲潛在目標需提高警惕。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

研究發現，一種名為 AuKill 的新型駭客工具因其隱蔽功能而越來越受到攻擊者的青睞，該工具旨在通過自帶驅動程式攻擊手法（Bring Your Own Vulnerable Driver，BYOVD）來關閉端點偵測和回應(EDR) 軟體。BYOVD 技術依賴於攻擊者濫用由 Microsoft 簽章的合法但過時且可利用的驅動程式（或使用被盜或外洩露的憑證）來獲得提升的特權並關閉安全機制。自今年年初以來，AuKill 已被用於至少三起勒索軟體攻擊。根據Sophos 報告，研究人員觀察到不同的攻擊者團體在各種惡意活動中使用 AuKill來關閉 EDR 進程:

*在 2023 年的首兩個月，觀察到兩起不同的Medusa Locker 勒索軟體攻擊活動。在 1 月 18 日和 2 月 14 日，攻擊者使用 AuKill 終止了 EDR進程，然後部署了 Medusa Locker 勒索軟體

*2 月的另一起活動則發現AuKill 被用來部署 LockBit 勒索軟體

AuKill是如何運作的？

AuKill 工具針對Process Explorer的 v16.32 (過時版本)透過自帶易受攻擊驅動程式攻擊 BYOVD的技術終止 EDR 進程。

*感染後，它在 Microsoft Process Explorer v16.32 使用的驅動程式旁邊放置一個易受攻擊的 Windows 驅動程式 procexp.sys。Process Explorer是一個非常流行且合法的實用程式，可幫助收集有關活動 Windows 進程的資料。

*接下來，AuKill會檢查它是否以 SYSTEM 權限運行。如果不是，它會嘗試通過模擬 TrustedInstaller Windows 模組安裝程序服務來升級到所需的權限。

*它啟動多個線程來掃描和終止與 EDR 相關的服務和進程。AuKill 針對的 EDR供應商和服務因樣本而異，包括 Microsoft、Sophos、Splashtop 和 Aladdin HASP Software。

在default情況下，Windows使用驅動程式簽章強制功能來確保內核模式驅動程式在操作系統允許其執行之前已由有效的程式簽章機構簽章。為了繞過安全措施，攻擊者需要找到一種方法讓惡意驅動程式通過受信任的憑證簽章，或者濫用合法的商業軟體驅動程式來達到他們的目標。在 Sophos 觀察到的攻擊中，攻擊者使用了由 Microsoft 建立並簽章的驅動程式。

Process Explorer 驅動程式是Windows Sysinternals開發的一套進階的系統管理工具套件的一部分，是一種進程檢視器和控制公用程式。 根據Sophos ，AuKill 將名為 PROCEXP.SYS 的驅動程序式（來自進程資源管理器的發行版 16.32）放入 C:\Windows\System32\drivers 路徑。合法的 Process Explorer 驅動程式名為 PROCEXP152.sys，通常位於同一位置。兩個驅動程式都可以存在於運行 Process Explorer 副本的機器上。AuKill 安裝程式還將其自身的可執行副本放入 System32 或 TEMP 目錄，作為服務運行。

AuKill 並不是第一個通過 Process Explorer 針對 EDR 服務的工具。過去，一個名為 Backstab 的開源工具執行了類似的操作。據信，AuKill 是使用與 Backstab 相同的核心技術開發的。Sophos 報告稱研究人員收集了 AuKill 惡意軟體的六種不同變種，這些變種與開源工具 Backstab 有多種相似之處。研究人員觀察到的相似之處包括debug字串，以及與驅動程式互動的幾乎相同的程式碼邏輯。

AuKill的部分入侵指標(Indicator of compromise -IOCs):

SHA 1

f7b0369169dff3f10e974b9a10ec15f7a81dec54

23b531ae8ca72420c5b21b1a68ff85524f36203a   

7f93f934b570c8168940715b1d9836721021fd41

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

攻擊者正在入侵安全性差且暴露於互聯網的微軟 SQL 伺服器以部署 Trigona 勒索軟體

Trigona勒索軟體的logo

4月17日，根據韓國資安公司 AhnLab，攻擊者正在侵入 Microsoft SQL (MS-SQL) 伺服器以安裝 Trigona 勒索軟體有效負載並加密檔案。由於這些伺服器沒有得到很好的保護並且暴露在互聯網上，攻擊者可通過使用易於猜測的帳號憑證，使用暴力或字典攻擊來存取 MS-SQL伺服器。在成功連接到伺服器後，攻擊者將部署名為CLR Shell的惡意程式，可允許攻擊者利用Windows 輔助登錄服務中的漏洞獲取系統資訊並將提升權限到 LocalSystem。CLR Shell 是一種 CLR 程式集惡意軟體，它接收來自攻擊者的命令並執行惡意行為，類似於 Web伺服器的 WebShell。

根據AhnLab 對ASD 日誌的分析顯示，MS-SQL 進程 sqlservr.exe 以啟動偽裝為svchost.exe的Trigona勒索軟體。當 svcservice.exe 作為服務執行時，它會執行 Trigona 勒索軟體，還會建立並執行用於執行勒索軟體的 svchost.bat，svchost.bat 再將 Trigona 二進製檔案註冊到 Run key以保持持久性。svchost.bat 還會刪除卷影副本並關閉系統恢復功能，以防止受害者恢復加密檔案。

勒索軟體通過添加 ._locked副檔名來重新命名加密檔案，並在每個檔案夾中建立名為“how_to_decrypt.hta”的勒索信，其中包含有關攻擊的資訊、指向 Trigona Tor協商網站的連結以及包含登錄協商站點所需的授權密鑰的連結，Trigona 勒索軟體操作於 2022 年 10 月首次被 MalwareHunterTeam發現，以僅接受全球受害者使用 Monero 加密貨幣支付的贖金而聞名。Trigona 勒索軟體組織一直是源源不斷的攻擊的幕後黑手，自今年年初以來，至少有 190 次提交給 ID Ransomware組織平台。

Ahn Lab敦促管理員必須使用不容易猜到的密碼，並定期更改它們，以保護資料庫伺服器免受暴力破解和字典攻擊。SQL server的 V3應更新到最新版本，以便防止惡意軟體感染。管理員還應使用安全程式（如防火牆）用於從外部存取的資料庫伺服器，以限制外部威脅參與者的存取。

Trigona勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

– 1cece45e368656d322b68467ad1b8c02 — Trigona Dropper (svcservice.exe)

– 530967fb3b7d9427552e4ac181a37b9a — Trigona Ransomware (svchost.exe)

– 1e71a0bb69803a2ca902397e08269302 — Batch Runner (svchost.bat)

– 46b639d59fea86c21e5c4b05b3e29617 — CLR Shell

– 5db23a2c723cbceabec8d5e545302dc4 — nt.exe

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

目前已有60家組織受惠於此計劃，得到CISA的預警通知，預警通知是作為提醒機構注意早期勒索軟體攻擊的新舉措

美國網路安全暨基礎設施安全局（CISA）和聯合網路防禦協作組織(Joint Cyber Defense Collaborative-JCDC)在3 月 23 日宣布了一項新舉措，名為勒索軟體預警通知(Pre-Ransomware Notification Initiative，旨在提醒組織注意早期勒索軟體攻擊，以幫助組織快速修補勒索軟體攻擊者針對的漏洞。據瞭解，自今年年初以來，該機構已預警通知了包含能源、教育、醫療保健、供水/廢水處理和其他領域的 60 多家組織，據稱其中有許多組織在數據被成功加密或外洩前得以緩解攻擊。 

勒索軟體預警通知是一種主動網路防禦功能，旨在警告組織它們遭到入侵，以便他們可以在被部署加密勒索軟體之前將攻擊者從其網路中驅逐出去。聯合網路防禦協作組織（JCDC）副主任Clayton Romans指出，勒索軟體參與者在獲得對目標的初始入侵權後通常需要一些時間才能加密或竊取資訊，從最初存取網路到系統加密之間的隔間時間，可以持續數小時到數天，這個空窗期可讓他們有時間通知受害組織勒索軟體參與者已經獲得了對其網路的初始入侵權，可幫助受害組織限制勒索軟體攻擊造成的損失。通過在收到預警時立即採取行動，組織可以減少潛在的數據外洩，避免對營運的影響，並減少財務影響和其他不利後果。

Romans進一步說，CISA 和JCDC從多個來源收集有關潛在早期勒索軟體活動的資訊，當中包括網路安全研究社群、基礎設施提供商和網路威脅情資公司等，然後由美國各地的到場職員通知受害者組織並提供具體的緩解指導。值得一提的是，如果受害人是美國境外的實體，CISA還將通過其國際CERT合作夥伴向美國以外的組織提供通知。

Romans補充說，在勒索軟體參與者已經加密網路並持有數據和系統以索取贖金的情況下，JCDC與受害組織將密切合作，提供攻擊者的策略、技術和程序 (TTP) 以及指南，以幫助減少再一次被攻擊的可能性。

資安全公司SafeBreach的首席安全官Avishai Avivi 在評論這項新舉措時表示，這是一個有意義的信號，表明拜登政府正在推動實施本月早些時候發布的國家網路安全戰略。

在此處閱讀有關美國戰略的更多資訊：白宮發布國家網路安全戰略

Avivi表示該預警通知計劃對應美國國家網路戰略列出的其中之一項目標，提高情資共用和受害者通知的速度、規模和打擊網路犯罪，以擊敗勒索軟體。Avivi補充說，認為這種類型的合作將使組織能夠驗證其安全控制，同時增強其安全計劃對這些類型攻擊的彈性。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”