標籤: News

美國網路司令部(USCYBERCOM)周三(7/20)披露了數十種形式的惡意軟體，這些惡意軟體已被用於攻擊烏克蘭的網路，其中包括 20 個前所未見的惡意程式樣本。惡意軟體樣本是由烏克蘭安全局在該國的各種受感染網路上發現的，據信，自 2022 年 2 月俄羅斯入侵開始之前，網路活動就有所增加。

美國網路司令部指出，此次披露的入侵指標(Indicator of compromise -IOCs)是他們和其他美國機構定期努力的一部分，旨在突出俄羅斯、中國、伊朗和北韓等攻擊者用來削弱烏克蘭網路的駭客工具並旨在加強集體的網路安全，繼續在網路安全方面建立強有而力的伙伴關係。

美國網路司令部進一步解釋入侵指標的重要性，由於入侵指標是主機系統或網路被入侵的證據，能充當潛在漏洞的網路防禦者的數位取證，通過IOCs使用戶能夠在該主機系統或網路中搜索和識別惡意軟體。

根據 Mandiant的說法，烏克蘭的公共和私人實體都成為了幾個網路間諜組織的目標，這些組織使用網路釣魚和誘餌，並在入侵中使用的惡意軟體支援多種操作，而這些組織此前曾進行過間諜活動、假訊息操作和破壞性攻擊等。

一個針對烏克蘭的駭客組織是 UNC1151，與白俄羅斯情報部門有關連，並為Ghostwriter 的假訊息活動提供技術支援。UNC1151 一直針對烏克蘭、拉脫維亞、立陶宛、德國和波蘭的政府和媒體實體，自 2 月 24 日俄烏戰爭爆發以來，UNC1151 一直積極針對烏克蘭。據觀察，該網路間諜組織使用了 Cobalt Strike Beacon(一個具有檔案傳輸和shell 命令執行功能 )和 Microbackdoor (可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。

另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589，研究人員認為，該組織是 1 月份部署了WhisperGate 惡意軟體，對烏克蘭實體破壞性攻擊的幕後黑手。WhisperGate 被用於一系列入侵，影響了至少 70 個屬於烏克蘭政府的網站網域。在過去的幾個月中，還觀察到該駭客組織針對北美和歐洲的北約成員國。UNC2589 擅長網路釣魚，利用例如 Covid-19、政府相關誘餌、烏克蘭戰爭等主題來部署惡意軟體–Grimplant（一種基於 Go 的後門，用於執行系統監視和命令執行）和 Graphsteel (一種開源的滲透工具，可以從目標系統中收集各種類型的資料。)

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

昨天，一個相對較新的勒索組織RansomHouse，聲稱入侵了 Advanced Micro Devices (AMD )並竊取了約 450GB 數據，該組織還發布了一個數據樣本作為證據。

根據Restore Privacy， RansomHouse發布的數據包括網路檔案、系統資料以及 AMD 的密碼。以下是 RansomHouse在其暗網網站上發布樣本的目錄:

目前AMD對這一說法的回應是，知道有一名不法分子聲稱擁有來自 AMD 的被盜數據，目前正在進行調查。

“簡單的密碼” 是數據外洩的原因?!

根據 RansomHouse 的說法，AMD使用簡單、好猜的密碼，例如“password”、“P@ssw0rd” 、“amd!23”和“Welcome1”等來保護其網路。有趣的是，根據 RansomHouse向 BleepingComputer透露，其合作夥伴大約在一年前入侵了 AMD 的網路，RansomHouse進一步說， Data Leaked的日期2022 年 1 月 5 日，實際上是他們無法存取AMD網路的日期。另外，資訊科技網站Tom’s Hardware報導，此次AMD數據外洩事件，可能與之前技嘉遭RansomExx入侵其供應商及合作夥伴的資料外洩事件有關，推測RansomExx 勒索軟體與RansomHouse有關聯。

目前RansomHouse沒有聯繫 AMD 索要贖金，因為該勒索組織認為直接將資料出售給其他實體或駭客，可比等待AMD做出回應更有價值。

RansomHouse於2021年12月開始運營，該組織聲稱加拿大薩斯喀徹溫省酒類與賭博管理局（SLGA）是其第一個受害者，其後也陸續出現如非洲最大的連鎖超市Shoprite等的受害者，但目前RansomHouse只有6名受害者，如下圖所示:

與其他傳統的勒索軟體組織相比，RansomHouse 實際上並未聲稱自己是“勒索軟體”組織，他們的攻擊並不包含加密受害者系統上的檔案，而只是入侵受害組織並竊取機密資料，並再向受害者勒索。RansomHouse在其暗網”關於”即About頁面上將自己描述為專業調解員。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國國家安全局 (NSA)、網路安全暨基礎安全局 (CISA) 和聯邦調查局 (FBI)在周二(6/7)發布了聯合網路安全諮詢報告，警告說中國APT駭客如何通過利用眾所周知的漏洞來鎖定和入侵電信公司和網路服務提供商，受影響的網路範圍從小型企業的路由器到任何中型和大型企業的網路設備。一旦入侵，駭客會將這些設備用作他們自己的攻擊基礎設施的一部分，作為C2伺服器和proxy系統，使他們可以用來破壞更多的網路。

根據安全諮詢報告，自2020年以來，中國一直在利用特定技術和常見漏洞在網路攻擊活動中發揮其優勢。利用這些漏洞，他們可以建立廣泛的基礎設施網路，以針對目標的政府部門和私人機構。

一旦在電信組織或網路服務提供商獲得切入點後，中國APT駭客會先確認關鍵用戶和基礎設施，如對維護身份驗證，授權和會計安全性至關重要的系統，然後攻擊者再竊取憑證以存取底層 SQL 數據庫，並使用 SQL 命令從關鍵的遠端驗證撥入使用者服務 (RADIUS)伺服器轉儲用戶和管理員憑證。

聯邦機構進一步說，憑藉來自受感染的 RADIUS 伺服器和路由器配置的有效帳戶和憑證，攻擊者利用他們的存取權限和技術成功驗證和執行路由器命令，偷偷地將流量路由，捕獲和滲透到攻擊者控制的網路基礎設施。

以下常見漏洞 (CVEs)是美國聯邦機構表示，自 2020 年以來中國APT駭客最常利用的網路設備漏洞:

通過利用這些漏洞，中國APT駭客建立了廣泛的基礎設施網路，幫助他們進一步更廣泛的入侵政府部門和私人機構。

NSA、CISA 和 FBI 還敦促美國和盟國政府、關鍵基礎設施和私營行業組織應用一系列緩解措施，以幫助降低類似攻擊破壞其網路的風險。聯邦機構建議組織​​盡快應用安全修補，禁用不必要的端口和協議以縮小其攻擊面，並更換不再接收安全修補的報廢網路基礎設施。他們還建議對網路進行分段以阻止橫向移動，並在互聯網公開服務上啟用強大的日誌記錄以盡快檢測攻擊嘗試。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

綜合外媒報導，印度香料航空（SpiceJet airline）稱其 IT 基礎設施於24日晚上面臨了企圖的勒索軟體攻擊(Attempted ransomware attack)，導致航班延誤，許多乘客滯留在機場。根據該航空公司於25日早上在Twitter的公告，表示某些香料航空系統在24日晚遭勒索軟體攻擊，影響並減慢了25日早上的航班起飛，但表示其 IT 團隊成功阻止了此次攻擊，因此現已恢復正常運行的狀態。

然而，直到當地時間中午過後仍起飛延誤和航班取消，使旅客抱怨連連，據報導，許多人在登機後被困在飛機上數小時，被告知由於系統問題，航班無法起飛，多個乘客在Twitter 和 Facebook 上抱怨，反映了持續存在的航班延誤，無法通過電話進行客戶服務，預訂系統仍然不可用等問題

乘客在Twitter上抱怨

香料航空於25日傍晚發布了更新，稱雖然他們的 IT 團隊在很大程度上控制和糾正了這種情況，但這對我們的航班產生了連鎖反應，導致延誤，並補充說一些飛往限制夜間運營的機場的航班已被取消，因此香料航空正在就此問題與專家和當局保持聯繫。

根據BleepingComputer報導，香料航空網站的主頁(homepage)雖然可運作，然而大多數底層系統和網頁都無法載入。根據公開數據，香料航空是印度第二大航空公司，運營著由 102 架飛機組成的機隊，服務60多個目的地，當地市場佔有率約15%，並擁有超過 14,000 名員工。因此影響其運營的勒索攻擊會影響大量的印度和國際乘客，而這些長時間的延誤會轉化為重大的經濟損失。

香料航空過去曾面臨過網路安全問題，據TechCrunch 報導，2020 年 2 月，一名美國安全研究員暴力破解了香料航空系統，並獲得了一個未加密的數據庫備份檔案，該檔案包含超過 120 萬乘客的個資。據報導，研究人員向印度電腦緊急應變小組(Computer Emergency Response Team India , CERT-In) 通報，CERT-In確認了安全漏洞並將警報發布給香料航空，然而該航空公司拒絕證實 CERT-In 的調查結果。

航空公司經常成為駭客的熱門目標，在最近的一次攻擊中，發現一個伊朗國家級APT駭客組織濫用 Slack的 API，在一家亞洲航空公司的系統中部署後門，竊取航空公司數據。另外，勒索軟體LockBit2.0也曾在2021年8月攻擊了泰國的曼谷航空，導致乘客的個人識別資訊(PII)遭外洩， 200多GB的數據被公開。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Key Points:

*國際刑警組織秘書長Jurgen Stock表示，他擔心由國家開發的惡意軟體很快成為暗網上的商品，並估計這一進程難以逆轉。

*長期以來，網路戰爭一直是全球各國政府關注的話題，但在俄羅斯與烏克蘭的戰爭中，它又得到了新的聚焦。

*根據世界經濟論壇的《全球網路安全展望》報告，2021年全球網路攻擊的數量增加了一倍以上。

在科技持續發展、戰略不斷變化的時代，網路世界越來越重要，網路已經成為現代戰爭的新武器。最近在俄羅斯和烏克蘭之間持續的衝突中，由國家級駭客和非國家級駭客開發的惡意軟體對全球關鍵基礎設施和組織構成嚴重風險。週一（5月23日）國際刑警組織秘書長Jurgen Stock在瑞士Davos舉行的世界經濟論壇上表示，他擔心由國家開發的惡意軟體很快成為暗網上的商品，他解釋說，這已經成為現實世界中的一大主要問題——戰場上使用的武器逐漸落入有組織的犯罪集團手中，同樣地，數位武器也不例外，也許當前由軍方開發並使用，但明天將會被惡意駭客所利用。

Stock指出在俄羅斯入侵烏克蘭後的最初幾個月裡，資安公司觀察到針對烏克蘭政府實體和組織的多次襲擊。與俄羅斯有關的APT駭客組織使用資料破壞軟體wipers摧毀目標系統。本月初，歐盟譴責俄羅斯 於 2 月 24 日對由衛星通訊業者 Viasat 運營的烏克蘭KA-SAT衛星網路發起網路攻擊，企圖癱瘓烏克蘭國內的通訊，以利俄羅斯軍隊的攻擊，這次攻擊導致烏克蘭的通訊中斷，還影響了幾個歐盟成員國。由於這次襲擊的溢出效應，德國的5800台Enercon風力渦輪機無法存取。SentinelLabs的安全研究人員調查了這次攻擊，發現了一個以前未被發現的破壞性刪除程式，被跟蹤為AcidRain，移除了KA-SAT數據機及路由器中的所有資料，造成KA-SAT衛星網路服務失效。

Stock呼籲商界領袖加強與政府及執法部門的合作，以防止國家級惡意軟體在暗網上擴散，確保更行之有效地監管網路犯罪。

他表示，“一方面，我們需要把握當前態勢；而另一方面，我們需要私營機構數據的支持。我們需要企業的網路入侵報告。沒有這些報告，我們將無法看到威脅形勢。”然而Stock說，目前大量的網路攻擊未被上報。

根據世界經濟論壇全球網路安全展望報告(World Economic Forum’s Global Cybersecurity Outlook report)，2021年全球網路攻擊數量增加了一倍以上。報告稱，勒索軟體仍是當下最流行的攻擊類型，各受訪組織每年平均被攻擊270次。

參與討論的企業高管和政府官員表示，網路安全事件正在令關鍵的能源基礎設施和供應鏈面臨風險。工控系統（ICS）安全公司Dragos聯合創始人兼CEO Robert Lee也敦促企業關注現實世界威脅的場景，比如2015年由俄羅斯APT駭客組織Sandworm對烏克蘭電網攻擊，今年4月烏克蘭已經成功抵擋住俄駭客企圖破壞電網的攻擊等，而非一味假設風險場景。

Lee總結道，我們的問題用不著Next gen AI、區塊鍊或者其他技術來解決。我們的問題在於，很多已經投資並開發完成的成果仍未得到實際的應用。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”