Play 勒索軟體聲稱入侵 Krispy Kreme,威脅洩露公司機密數據

重點摘要

  1. Krispy Kreme 資料外洩事件
    知名的 Play 勒索軟體集團公開聲稱對 Krispy Kreme 的資料外洩事件負責,並威脅於 48 小時內公開相關數據。
  2. 數據洩露風險
    該組織揚言洩露公司內部敏感資料,對企業聲譽與運營構成重大威脅。
  3. 雙重勒索策略
    Play 勒索軟體採用「雙重勒索」手法,先竊取資料後加密系統,迫使企業支付贖金。
  4. 全球目標與影響
    Play 勒索軟體集團曾多次對全球多個行業發動攻擊,具備高度威脅性。
  5. 國際背景與連結
    最新報告指出,該集團與北韓APT駭客存在合作關係,進一步加劇其攻擊的複雜性與破壞性。

事件詳情

Krispy Kreme 作為廣受喜愛的甜甜圈品牌,於 2024 年 12 月 11 日正式披露其美國業務因資料外洩而受到影響。

當時攻擊者身份尚未明確,但竣盟科技的暗網研究於 2024 年 12 月 19 日發現,Play 勒索軟體集團(亦稱 PlayCrypt)已在其暗網揭秘網站上公開承認此次攻擊的責任,並表示若企業不在指定期限內回應要求,將公開內部機密資料。根據聲稱,可能洩露的資料包括:

  • 身份證明文件
  • 客戶相關檔案
  • 員工薪資資訊
  • 財務相關數據
  • 預算與會計記錄
  • 稅務文件
  • 私密及個人機密信息

背景與威脅評估

Play 勒索軟體集團自 2022 年 6 月首次現身以來,迅速成為全球網路安全領域的重大威脅。他們專門針對商業、政府、基礎建設、醫療以及媒體等多個領域發動攻擊,足跡遍及北美、南美及歐洲,展現其攻擊範圍與技術的高度成熟性。

該集團採用「雙重勒索模式」,不僅加密受害者的數據,還威脅公開其敏感信息,以進一步施壓受害者支付贖金。2023 年 6 月,該組織針對瑞士政府部門發動的一次攻擊,導致數十萬人個人信息被洩露,成為其最具影響力的事件之一。

在 2024 年 7 月,Play 勒索軟體針對 Linux ESXi 環境推出新型變體,攻擊手段再度升級。同年 10 月,Palo Alto Networks 的 Unit 42 團隊揭示,該集團與北韓政府支持的駭客合作,進一步提升攻擊的國際化與組織化程度。

總結與建議

此次 Krispy Kreme 事件再度凸顯勒索軟體集團的威脅性與其攻擊手段的多樣化。隨著與國家支持駭客合作的跡象浮現,Play 勒索軟體集團已成為全球企業面臨的重大安全挑戰。建議企業加強內部資安防禦能力,採取多層次的應對策略,並確保針對此類威脅具備迅速回應的機制,以降低可能帶來的業務與聲譽損害。

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

e12f93d462a622f32a4ff1e646549c42                  

f01eae4ee3cc03d621be7b0af7d60411

540853beffb0ba9b26cf305bcf92fad82599eb3c

e3069713add2d99750af6c30580fb3595a0b6abc             

254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be7

99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e   

b1ac26dac205973cd1288a38265835eda9b9ff2edc6bd7c6cb9dee4891c9b449

b4f5d37732272f18206242ccd00f6cad9fbfc12fae9173bb69f53fffeba5553f

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

支付298萬美元贖金無濟於事:角川集團仍難擋BlackSuit勒索軟體洩密風暴

報導,日本知名媒體巨頭角川公司在2024年6月遭受了嚴重的網路攻擊,最終向與俄羅斯有關的BlackSuit勒索軟體集團支付了298萬美元贖金。然而,即便如此,該組織仍違背承諾,洩露了大量被盜數據。

什麼是 BlackSuit 勒索軟體?

BlackSuit 是一種具有高針對性和高破壞力的勒索軟體,自 2023 年底以來,Darktrace 已偵測到其滲透進入多家美國企業的網路。該勒索軟體的攻擊範圍廣泛,目標行業涵蓋藝術、娛樂、房地產、公共管理、國防以及社會保障等領域。

根據報導,BlackSuit 勒索軟體已索要超過 5 億美元的贖金,單次最高要求達到 6,000 萬美元。在過去BlackSuit針對的目標包括,CDK Global(一家專注於汽車零售技術的全球公司);多家教育機構(特別是美國的高等教育機構);Octapharma Plasma(一家專注於血漿治療的全球生物醫藥公司);巴西政府(影響其多個公共部門運營)等等。

攻擊始末與初步影響

這場網路攻擊於6月8日首次發生,目標鎖定角川的伺服器,涵蓋支援流行視訊串流平台Niconico及其相關服務的系統。攻擊者BlackSuit聲稱對此事件負責,並表示在發動攻擊前幾週已成功滲透角川網路,利用系統漏洞存取了大量敏感數據,包括員工詳細資料、合約文件以及財務記錄等。

BlackSuit駭客組織向角川高層發送的電子郵件,Photo Credit: 共同通訊社

作為日本媒體領域的龍頭企業,角川以其多元的出版、電影及網路服務業務享譽業界。然而,這次攻擊對其運營帶來了毀滅性影響。Niconico服務被迫中斷數週,角川不得不採取臨時措施以維持部分平台功能。此外,其出版和商品業務也因延誤而受挫,進一步損害了公司聲譽與財務穩定性。

緊張的贖金談判

根據網路安全公司Unknown Technologies曝光的內部信件,角川公司與攻擊者之間的談判充滿緊張與不確定性。BlackSuit初步索要825萬美元的巨額贖金,然而,角川子公司Dwango Co.的營運長栗田茂隆(Shigetaka Kurita)表示該數額無法接受。栗田在與攻擊者的溝通中指出,由於公司在此前涉及東京奧運賄賂醜聞後採取了更加嚴格的合規政策,支付金額被限制在300萬美元以下。

最終,雙方協議支付價值298萬美元的比特幣(44枚),以換取攻擊者刪除被盜數據的承諾。然而,支付完成後,BlackSuit仍洩露了大部分敏感數據,包括Dwango Co.所有員工的個人信息及其他公司機密資料。

資料洩露與後續影響

此次數據洩露對角川公司及其相關利害關係人造成了深遠影響。雖然角川公司聲明未涉及信用卡資訊洩露,但洩露的員工個資與公司敏感數據嚴重損害了其公眾形象,並引發用戶及投資人的強烈不滿。

據分析,這些資料已被BlackSuit在暗網公開展示。角川公司對外表示,警方已介入調查,並拒絕正面回應是否支付贖金。然而,支付贖金的消息經洩露後,再次引發了有關勒索談判的道德與實際效果的激烈討論。專家警告稱,向攻擊者支付贖金不僅可能鼓勵其繼續犯罪,還不能保證資料不被洩露或受害者不被再次攻擊。

結語

角川的經歷提醒我們,面對不斷進化的勒索軟體攻擊,企業不僅需要加強技術防禦,更應在管理層面建立更健全的資安文化與預案。將資源投入於預防與恢復能力建設,才是最有效的應對方式。

BlackSuit勒索軟體的部分的入侵指標(IOCs):

0bb61c0cff022e73b7c29dd6f1ccf0e2                 

1b2b0fc8f126084d18c48b4f458c798b                

3900ebc7766f3894fb1eb300460376ad

3bf1142b3294c23852852053135ec0df

519dc779533b4ff0fc67727fecadba82

6015e6e85d0d93e60041fa68c6a89776    

76a2363d509cc7174c4abee9a7d7ae68   

820cfde780306e759bb434da509f7a91

b54240c98ca23202e58a1580135ad14c

bed5688a4a2b5ea6984115b458755e90

EagleMsgSpy間諜軟體:揭露中國公安監控工具的秘密

Photo credit: Lookout

概述
根據資安業者Lookout,EagleMsgSpy 是一款由中國公司開發的高級監控工具,自 2017 年起 持續運作,主要用於監控特定人群,包括:維吾爾族、藏族、法輪功人士、香港民主倡議者等。

這款間諜軟體被設計為一種全面的數據收集工具,其功能強大且隱蔽,專為實現大規模監控而設。


核心功能與運作機制

EagleMsgSpy 的結構分為兩個部分:

  1. 安裝器 APK:負責將核心監控模組部署到目標設備。
  2. 隱藏式監控客戶端:安裝後在設備背景無界面運行,用戶無法察覺其活動。

該工具能夠從 Android 設備收集以下多種類型的數據:

  • 即時通訊應用訊息(如 QQ、Telegram、Viber、WhatsApp 和微信)
  • 通話記錄、聯絡人清單與 SMS 訊息
  • GPS 位置數據
  • 螢幕錄影與音訊錄音
  • 已安裝應用的清單、外部存儲檔案及網路活動數據

收集到的數據會存儲在隱藏目錄中,經加密壓縮後,通過安全連接傳輸至指揮與控制(C2)伺服器,供進一步分析和處理。


技術特點與安全隱匿性

最新版 EagleMsgSpy 採用了 高級混淆技術,以逃避檢測和追蹤,並使用以下手段強化其隱蔽性:

  • 使用 ApkToolPlus 對代碼進行混淆處理。
  • 通過 WebSocket 與 C2 伺服器通信,並使用 STOMP 協議進行指令交互。
  • 配備加密的管理面板,僅限授權用戶訪問,支持實時數據監控。

研究人員發現該管理面板中存在「getListIOS()」函數,顯示該工具可能有尚未公開的 iOS 版本。


與中國政府及企業的聯繫

調查顯示,EagleMsgSpy 的開發與運營與 武漢中軟通正信息技術有限公司(Wuhan ZRTZ Information Technology Co., Ltd.)密切相關。該公司曾申請多項專利,詳細描述了數據收集與分析技術,例如:

  • 生成嫌疑人社交網路關係圖。
  • 自動化證據蒐集與處理系統。

研究人員進一步發現,其基礎設施的 IP 地址曾與其他知名的中國監控工具(如 PluginPhantomCarbonSteal)共享,這些工具過去針對藏族和維吾爾族社群進行監控。

此外,部分軟體樣本包含寫死的 武漢地區電話號碼,暗示其可能與當地公共安全機構直接合作。


部署方式與法律風險

EagleMsgSpy 的部署需要物理訪問目標設備,例如透過 USB 連接安裝監控模組,或利用掃描 QR 碼的方式激活。

雖然該工具被定位為「司法監控產品」,但資安專家警告,若被不當使用,將對隱私與人權構成嚴重威脅。


結論

EagleMsgSpy 的揭露凸顯了中國利用技術進行大規模監控的持續努力。這一工具的出現反映了全球日益擴大的技術監視趨勢,尤其是在國家安全或執法名義下的應用。

國際社會應對此類工具保持警惕,並推動加強數據隱私與技術濫用的監管,以減少對弱勢群體和普通公民的影響。

EagleMsgSpy間諜軟體的部分的入侵指標(IOCs):

dab40467824ff3960476d924ada91997ddfce0b0

fef7ad2b74db3e42909c04816c66c61c61b7a8c4

ddc729ecf21dd74e51e1a2f5c8b1d2d06ed4a559

f092dfab5b1fbff38361077f87805403318badfa

d4e943ba47f762194bcf3c07be25a9f6ea5a36b0

cea796beb252d1ab7db01d8a0103f7cca5d0955d

5208039ef9efb317cc2ed7085ca98386ec31b0b4

5d935d5ab7b7c6b301a4c79807c33e0bee23e3ff

5e282b0395093c478c36eda9b4ee50c92d8cf6eb

ec580142c0dff25b43f8525f9078dd3d6a99361c

87d925a95d584e4c46545579b01713f6d74eee00

880c46bf7e65e3f9a081f42582af1f072e22cf1a

0b1d3d87a453f63129e73b2a32d95ef3eea94b4e

美國因防火牆入侵與勒索軟體攻擊制裁中國網路安全公司及其員工

美國星期二(12月10日)美國財政部宣布對中國網路安全公司四川無聲信息技術有限公司(以下簡稱四川無聲)及其員工關天峰進行制裁,原因是他們在 2020 年 4 月發生的全球防火牆入侵將近8.1萬台防火牆,受害者涵蓋美國多個關鍵基礎設施公司。

四川無聲的員工關天峰

四川無聲與環太平洋行動

美國司法部已針對關天峰提起刑事訴訟,並指控其涉及相關攻擊行動。國務院則宣佈提供高達 1,000 萬美元的「正義獎勵」給予提供關鍵線索的人士。

美方表示,五年來針對中國國家支持的網路攻擊行動——代號Pacific Rim「環太平洋行動」——已成功收集大量關鍵情報。證據顯示,四川無聲的「雙螺旋研究所」與多項攻擊活動高度相關。此外,調查發現,名為「Asnarok」的攻擊行動與綽號「GBigMao」的攻擊者直接相關,而該人即為四川無聲的員工關天峰。

2020 年 4 月 Sophos 防火牆入侵事件

此次防火牆入侵由關天峰首先發現 Sophos 防火牆中的一個零日漏洞(Zero-Day Vulnerability)。他利用該漏洞於 2020 年 4 月 22 日至 25 日期間部署惡意軟體,攻擊約 81,000 台防火牆,涵蓋全球數千家企業。

該漏洞的利用目標是竊取機密數據,包括用戶名和密碼。同時,關還試圖部署名為「Ragnarok」的勒索軟體變種以感染受害系統,從感染電腦中竊取資料。後來這項漏洞被列為CVE-2020-12271。此次攻擊對美國影響尤為嚴重,共有超過 23,000 台防火牆被攻擊,其中 36 台屬於美國關鍵基礎設施公司。例如,一家從事能源鑽探的企業在攻擊時期正進行石油鑽井作業,若攻擊未被發現並阻止,可能會導致重大生產事故。

關天峰與四川無聲的角色

關天峰作為四川無聲的安全研究員,負責漏洞挖掘並代表公司參加多項網安全比賽。他經常以綽號「GBigMao」在漏洞論壇發布最新的零日漏洞利用技術。四川無聲被認定為中國政府的網路安全承包商,主要為中國情報機構提供網路滲透工具、電子監控設備、密碼破解技術以及輿論壓制解決方案。

在此次防火牆入侵中,關使用的預定位設備被證實由四川無聲提供,進一步證明該公司在攻擊行動中的直接參與。

美國的制裁行動

根據美國行政命令 EO 13694 和 EO 13757 的規定,美國財政部外國資產控制辦公室(OFAC)認定四川無聲及關天峰的行為對美國國家安全、外交政策和經濟構成重大威脅。此次制裁標誌著美國針對國家支持的網路犯罪行動所採取的一項重大反制措施,旨在保護全球網無聲生態的穩定性與安全性。

Pacific Rim攻擊行動相關的部分的入侵指標(IOCs):

9a5ed7a3319e99698cb7f3a4b98ccb1dd19202b8            

8a721d68f181c2274c3bb3f34cb492ed

62b690d29808f701b7e30291734a66d78c9cff39

dc64bbdcb4ce0c2c49bb681de35f181f096dee30             

7b1e16548265fe4ef9e882af7f1fdf336d072b5a                   

713f088f02b060f6bbed3c243780e808                

74b0fbbb8cb42609eab31d7abcb05515a271e721            

56e233cebc7f83b48b5cfc947bbbf8f274677305                          

65fc7268778ff81d93b4f368bdb19899ce834998

2025資安風向標:引領未來的關鍵趨勢

AI生成圖


隨著 2024 年接近尾聲,全球資安環境持續快速演變,2025 年將迎來更加複雜且多樣化的威脅形勢,網路攻擊的規模與精準度將進一步升級。竣盟科技針對未來趨勢進行深度分析,以下是我們對 2025 年資安發展方向的預測:

  1. 資安環境持續升溫:威脅行為與技能短缺雙重挑戰
    根據微軟最新報告,今年勒索攻擊企圖次數增長了 2.75 倍,研究顯示,2024 年全球網路攻擊次數將比 2020 年激增 105%。
    生成式人工智慧(Generative AI)降低了攻擊門檻,對資安專業技能的需求更加迫切。英國與澳洲均報告資安技能短缺,且女性僅占業界人數的四分之一,反映出行業在多元性及人力資源上的挑戰。
    除此之外,企業面臨資安資源不足,無法應對威脅行為日益多樣化和複雜化的壓力。攻擊者策略的快速演進,加劇了防禦難度。

  1. 聚焦第三方風險管理與 AI 軟體供應鏈安全
    隨著 CrowdStrikeMOVEit 等事件突顯第三方軟體風險,資安專家預測美國政府可能於 2025 年禁止部分高風險軟體的使用。
    生成式 AI 雖為企業帶來創新機遇,但同時揭露了新的漏洞。 HackerOne 的調查顯示,48% 的資安專家認為 AI 是組織面臨的最大威脅。未來供應鏈安全需聚焦於 AI 模型與訓練數據的完整性,防範數據污染與偏差利用。此外,更多企業將採用 零信任架構 強化供應鏈存取的全方位監控。

  1. macOS 崛起為網路犯罪的新目標
    曾被認為相對安全的 macOS,正因普及升而成為攻擊者的新興目標。根據 Moonlock 的報告,2024 年 macOS 相關惡意軟體樣本增長了 3.4 倍。
    主要攻擊技術包括:
    • 假 PDF 與假 Mac 應用程式;
    • 濫用合法軟體;
    • 利用特定系統漏洞的複合型攻擊。
    企業應加速部署針對 macOS 的資安解決方案,並強化員工的使用安全意識。

  1. 身分管理:從 IT 過渡到資安團隊
    身分攻擊成為資料洩露的首要原因,專家預測 2025 年企業將逐步將身分與存取管理(IAM)的責任從 IT 部門移交至資安團隊。
    重點應對範疇包括:
    • 特權帳戶的管理與審核;
    • 第三方存取風險控制;
    • 應用程式與服務帳戶的密鑰分布。
    此轉變有助於減少攻擊面,並加強對身分相關威脅的防禦能力。

  1. 網路法規加速分化:全球協作挑戰升高
    國際資安法規正因地緣政治壓力而加速分化。例如:
    • 美國的 CHIPS 法案 著重保護關鍵技術供應鏈;
    • 出口管制規範則限制敏感技術向敵對國家的流通。
    專家警告,這種分化可能抑制跨國情報合作,助長漏洞的利用。各國需專注於建立更強大的情報分享與威脅獵捕機制,以減少跨境協作障礙。

  1. 生成式 AI 精準鎖定社交工程攻擊
    生成式 AI 與社交媒體的結合使攻擊更加精準。例如:
    • 香港某財務人員因 AI 模擬高層聲音而損失 2500 萬美元;
    • 根據 Gartner,AI 增強的惡意攻擊已成為 2024 年前三季度的首要新興業務風險。
    攻擊目標包括 CEO、高層管理人員、HR 與 IT 團隊。企業必須加強資安教育,並優化針對社交工程攻擊的防禦策略。

前瞻性應對措施
面對持續進化的資安挑戰,企業需採取前瞻性策略:
• 投資生成式 AI 資安技能,確保防禦體系穩固;
• 部署零信任架構,進一步縮小攻擊面;
• 追蹤法規動態,確保合規與風險管理同步;
• 強化資安教育,打造全面的員工防禦網絡。

這些趨勢與應對措施將成為 2025 年企業資安策略的核心要素

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

Salt Typhoon 狂襲:美國 8 家電信巨頭與數十國深陷駭客風暴

中國駭客組織「Salt Typhoon」已入侵數十個國家的電信公司,範圍涵蓋美國、印太地區、歐洲和其他地方

Photo Credit: Daily Security Review

在週三(12月4日)的白宮記者會上,美國總統拜登的副國家安全副顧問安妮·紐伯格(Anne Neuberger)警告,中國國家支持的駭客組織「Salt Typhoon」已經成功入侵數十個國家的電信公司,並對全球通訊基礎設施造成嚴重威脅。Neuberger透露,其中包括美國的八家主要電信公司,當中有四家公司此前未被公開報導過,突顯攻擊的廣泛性與隱蔽性。

她表示:「這些駭客活動可能已經持續了一至兩年,其影響範圍不僅限於印太地區,還波及歐洲及其他地區的電信企業。」她強調:「這是一項針對性極強的間諜行動,目標直指政府官員的敏感通訊,以及企業的核心智慧財產權。」

加密技術成為應對核心建議
在週二(12月3日),CISA 和 FBI 的高級官員共同建議美國民眾立即採用加密技術來保護通訊安全。他們指出,加密是應對此類網路攻擊的關鍵手段:「無論是文字訊息還是語音通訊,加密都能有效阻止駭客攔截後解讀信息。」這一建議不僅針對個人用戶,也適用於企業和政府部門,旨在大幅降低敏感數據被利用的風險。

T-Mobile與其他電信企業遭受攻擊
T-Mobile的資安長上週表示,公司的系統是透過一個有連接的有線網路供應商而被攻擊,但目前已經看不到任何駭客活動的跡象。Salt Typhoon這個駭客組織也被稱為FamousSparrow、Earth Estries、Ghost Emperor和UNC2286,自2019年起便針對東南亞的政府機構與電信公司進行入侵活動。CISA和FBI在10月底證實了這次駭客攻擊,Salt Typhoon入侵了多家電信公司的網路,包括T-Mobile、Verizon、AT&T和Lumen Technologies。

攻擊的規模與隱患
聯邦調查揭示,Salt Typhoon 不僅成功侵入部分美國政府官員的私人通訊平台,甚至深入竊取了政府執法部門的監聽平台數據,包括特定執法記錄與客戶通話詳情。這些行動表明駭客已在美國的關鍵基礎設施內部取得立足點,並可能進行長期的情報蒐集。

根據《華爾街日報》的分析,中國駭客可能已控制這些網路數月甚至更長時間,竊取包括企業與個人數據流量在內的海量資料,對國家安全與商業機密構成雙重威脅。

國際合作與防禦升級
為應對這次攻擊,CISA 聯合 FBI、國家安全局(NSA)及多個國際合作機構於週二(12月3日)發佈了專門針對 Salt Typhoon 的防禦指南。指南針對通訊基礎設施提出多項強化建議,包括:

*立即修補漏洞:要求企業和機構更新所有系統軟體,避免利用已知漏洞的攻擊。
*提升通訊保密性:鼓勵部署端到端加密的通訊方案,防止數據攔截。
*強化網路分段與監控:加強內部網路隔離,縮小駭客可能擴散的範圍。
*定期安全評估:要求系統管理員定期進行漏洞掃描和滲透測試,以提高網路防禦的敏捷性。

國際上,相關受害國家也加強了情報共享,並呼籲對中國的網路間諜行為採取更強有力的外交回應。這起事件可能推動更多國家參與制定全球網路安全協議,加強跨境協作應對日益頻繁的國家級網路攻擊。

對未來的影響與啟示
Salt Typhoon 的攻擊揭示了現代電信基礎設施的潛在風險,也暴露出全球在應對網路間諜行為上的防禦漏洞。以下是可行的下一步措施:

全球網路安全標準化:在國際層面推動建立統一的網絡安全規範,增強全球一致性。
技術創新投入:加速部署人工智能驅動的威脅檢測技術,探索量子密碼學應用,構建更加安全的通訊環境。
建立常態化聯合演習機制:促進政府、企業與技術專家的合作,模擬與測試應對大規模網路攻擊的能力。
Salt Typhoon 的事件不僅是一場網路安全危機,也是一個重要的警鐘,提醒全球必須更加專注於數位基礎設施的長期韌性與安全性。

Salt Typhoon駭客組織相關的部分的入侵指標(IOCs):

505b55c2b68e32acb5ad13588e1491a5
9218e2c37c339527736cdc9d9aad88de728931a3
25b9fdef3061c7dfea744830774ca0e289dba7c14be85f0d4695d382763b409b
2b5e7b17fc6e684ff026df3241af4a651fc2b55ca62f8f1f7e34ac8303db9a31
44ea2e85ea6cffba66f5928768c1ee401f3a6d6cd2a04e0d681d695f93cc5a1f
6d64643c044fe534dbb2c1158409138fcded757e550c6f79eada15e69a7865bc
b63c82fc37f0e9c586d07b96d70ff802d4b707ffb2d59146cf7d7bb922c52e7e

SmokeLoader 惡意軟體重出檯面,針對台灣的製造業和 IT 產業

SmokeLoader 惡意軟體因其多功能性與進階的規避技術而聞名,台灣企業成為最新目標

Photo Credit: SOC Prime

台灣的製造業、醫療保健及資訊科技等領域的企業,近日成為新的 SmokeLoader 惡意軟體攻擊活動的目標。SmokeLoader 是一款以其適應性和規避技術聞名的模組化惡意軟體。在此次攻擊中,它被用來直接執行惡意程式及指令,而非僅作為其他惡意軟體的下載媒介。

網路安全公司 Fortinet FortiGuard Labs 在一份報告中指出:「SmokeLoader 因其多功能性與高階的規避技術而聞名,其模組化的設計使它能執行廣泛的攻擊模式。」「雖然 SmokeLoader 主要是作為下載器來傳送其他惡意軟體,但在此案例中,它是從指令與控制(C2)伺服器下載外掛程式來自行執行攻擊。」

SmokeLoader 是一款於 2011 年首次在網路犯罪論壇上公開的惡意軟體下載器,主要用途是執行後續的惡意程式及指令。此外,它還能下載更多模組,擴充其功能以竊取資料、發動分散式阻斷服務(DDoS)攻擊,以及進行加密貨幣挖礦。

雲端運算安全公司 Zscaler ThreatLabz 對該惡意軟體的分析表示:「SmokeLoader 會偵測分析環境,生成假的網路流量,並混淆程式碼來規避偵測及阻礙分析。」「該惡意軟體系列的開發者持續提升其功能,透過引入新功能及混淆技術來阻礙分析工作。」

在 2024 年 5 月下旬,由歐洲刑警組織(Europol)主導的 Operation Endgame 行動中,與數個惡意軟體家族(例如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot)相關的基礎設施被拆除,導致 SmokeLoader 的活動大幅減少。

多達 1,000 個與 SmokeLoader 連結的 C2 網域被移除,超過 50,000 個受感染系統經由遠端清理。然而,該惡意軟體仍舊被網路威脅團體利用,透過新的 C2 基礎設施散發惡意程式及指令。Zscaler 表示,這主要歸因於網路上公開流通的許多破解版本,使得該惡意軟體仍具有活躍性。

根據 FortiGuard Labs 的發現,最新攻擊鏈的起點是一封帶有微軟 Excel 附件的網路釣魚電子郵件。當附件被開啟時,利用了多年前的安全漏洞(例如 CVE-2017-0199CVE-2017-11882),挾帶一個名為 Ande Loader 的惡意軟體載入器,隨後將 SmokeLoader 部署到受感染的主機上。

SmokeLoader 包含兩個元件:stager 和主模組。

  • Stager 的目的是解密、解壓縮並將主模組注入到 explorer.exe 程序中執行。
  • 主模組則負責建立並維續持續性、與 C2 基礎設施通訊並執行指令。

該惡意軟體支持數種外掛程式,可以竊取登錄憑證、FTP 驗證資料、電子郵件地址、Cookie,以及來自網頁瀏覽器、Outlook、Thunderbird、FileZilla 和 WinSCP 的其他資訊。

FortiGuard Labs 提出幾項防禦措施以應對如 SmokeLoader 的威脅:

  • 防毒軟體保護: 確保防毒軟體的特徵碼是最新版本,以有效偵測及阻絕惡意軟體。
  • 網路釣魚攻擊意識培訓: 鼓勵企業組織利用免費資源來進行資訊安全意識的培訓。
  • 內容拆解與重建(CDR): 建置 CDR 服務,能使檔案文件中嵌入的惡意巨集失效。

Fortinet 解釋:「SmokeLoader 是一種能適應不同需求的模組化惡意軟體。在此案例中,SmokeLoader 是透過其外掛程式來執行攻擊,而非下載完整檔案來完成最後階段。這展現了 SmokeLoader 的靈活度,同時也警示分析人員,即使面對像這樣的知名惡意軟體,也需要特別謹慎小心。」

 SmokeLoader 惡意軟體相關的部分的入侵指標(IOCs):

15b00779bb5d457e76712ec3dd196c46
5fc6f24d43bc7ca45a81d159291955d1
89212a84f1b81d0834edb03b16a9db49
9ac835c38d4d0c6466e641427a2cf8f1
9edbf77e52249cc7c179ed1334847cdb
d0c53c25e4814001be39bd8e1d19e1f2
d20d31a0e64cf722051a8fb411748913
108a8b5f1eaf9ef078a3dc0210e6aa961d6b3787
431d44995111a40b0f8934c2f6e2406119ceeb92
4b37270aedc88397c027703f444ccaed9c23b862

Argonauts Group 勒索軟體現形:三家台灣企業受害,揭開暗網新危機

隨著新的勒索軟體集團如ChortTermiteKairos等的揭秘網站近期陸續在暗網上出現,竣盟科技注意到另一個名為「Argonauts Group」的勒索軟體組織也悄然浮現。截至目前,他們在其暗網揭秘網站中聲稱已經攻擊了 10 名受害者,其中包括 3 家台灣企業,涉及關鍵產業。

台灣是其攻擊行動中的重要目標之一,截至目前,Argonauts已揭露 10 起攻擊案例,其中包含 3 家台灣企業,涉及醫療、半導體和安全監控產業。這些攻擊表明,台灣的核心產業正面臨日益嚴峻的網路威脅,且勒索軟體集團的行動日益精準化。

台灣受害者概況

從目前揭露的資訊來看,Argonauts Group 針對台灣的攻擊明顯帶有策略性:

  • 2024 年 9 月 15 :某台灣領先的醫學研究公司,顯示該集團對醫療數據的高需求。被盜200GB的數據,目前Argonauts已放出截圖,聲稱已取得該單位的細胞療法、專利科技、用戶數據及合作的醫院單位的資料等等
  • 2024 年 10 月 6 日:南台灣半導體零組件大廠,暗示對科技供應鏈的針對性滲透。目前未被公開任何盜來的資料,須輸入密碼以得到其他資訊,硏判仍在判中。
  • 2024 年 11 月 8 日:某上市安全監控大廠,突顯該集團可能針對智慧城市或安防技術的興趣。目前未被公開任何盜來的資料,須輸入密碼以得到其他資訊,硏判仍在判中。

新型勒索軟體的精確攻擊策略

Argonauts Group 的攻擊方式已不再是隨機發作,而是針對特定目標,尤其是涉及敏感數據和關鍵基礎設施的企業。他們使用勒索軟體即服務(RaaS)模式,通過合作夥伴擴大攻擊規模。手法包括:

  • 初步入侵:利用釣魚郵件、公共系統漏洞或未更新的應用程式進行入侵。
  • 內網滲透與持續性攻擊:一旦入侵,便利用工具進行內網橫向移動。
  • 雙重勒索策略:先竊取機密信息,再威脅公開資料以逼迫受害者支付贖金。
  • 防禦規避:使用 BYOVD 技術禁用防毒軟體並清除系統日誌,增加防禦難度。

強化台灣企業防禦措施的緊迫性

Argonauts Group 的崛起提醒我們,台灣作為關鍵產業聚集地,必須加強資安防護。以下措施尤為重要:

  • 漏洞管理與更新:定期更新系統,修補漏洞,減少攻擊面。
  • 多重身份驗證:啟用多重身份驗證,增加攻擊者滲透的難度。
  • 數據備份:定期進行數據備份並測試恢復流程,確保在勒索攻擊後能夠迅速恢復。
  • 網絡異常監控:加強網絡檢測系統,快速識別潛在威脅。

隨著 Argonauts Group 的持續擴展及其針對台灣的精確攻擊,台灣企業必須高度警覺,提升資安防禦,確保數據與業務運營不成為下個勒索的目標。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/ 以免觸法”

星巴克因其供應鏈管理軟體廠商 Blue Yonder 遭到勒索軟體攻擊而受影響

針對 Blue Yonder 的勒索軟體攻擊破壞了星巴克用於追蹤員工工時的平台,該公司正在恢復手動追蹤

Photo Credit: Dark Reading

供應鏈管理軟體供應商 Blue Yonder 遭受勒索軟體攻擊,導致部分客戶業務受到嚴重干擾,其中包括多家大型企業。

位於亞利桑那州的 Blue Yonder 於 11 月 21 日表示,其托管服務環境因遭受到勒索軟體攻擊而導致中斷。公司立即展開調查並開始修復受影響的服務。在 11 月 24 日公司網站發布的最新消息中,Blue Yonder 表示修復工作進展順利,但尚未提供完整恢復服務的時間。

Blue Yonder 表示已聘請一家資安公司協助進行調查和修復,但未透露有關此次攻擊的其他細節。

目前尚無任何已知的勒索軟體組織承認對此次攻擊負責。不過,這類網路犯罪團體通常僅在受害者拒絕支付贖金或談判破裂時,才會公佈受害者的名稱並洩露資料。

Blue Yonder 提供一個端到端 (end-to-end) 的供應鏈平台,公司聲稱擁有來自 76 個國家、超過 3,000 家客戶,其中包括零售商、製造商和物流服務供應商。

多家知名客戶已確認因 Blue Yonder 的服務中斷而受到影響,其中一家是星巴克(Starbucks)。星巴克表示,針對 Blue Yonder 的勒索軟體攻擊致使該公司用於管理員工排班和工時記錄的平臺運作中斷。不過,星巴克計劃採取一切必要措施,以確保員工薪資不受影響。

星巴克發言人表示,公司正在與該供應商 (Blue Yonder) 密切合作,以解決平臺中斷問題。然而,公司已向門市經理及員工提供指導,教授如何手動記錄相關資訊。根據公司聲明指出,此次攻擊並未影響星巴克的一般顧客服務,因此行動點單與門市運作均照常進行。

根據《The Grocer》報導,在英國,兩大超市連鎖品牌 Morrisons 和 Sainsbury’s 也受到影響。

Morrisons 使用 Blue Yonder 的倉庫管理解決方案,因中斷而採用手動備援系統。該公司表示,此事件影響了供應商的交貨以及某些產品的供應情況。Sainsbury’s 也確認受到影響,但他們表示已啟動緊急應對措施以減輕此次事件的影響。

根據 CNN 的報導,Blue Yonder 的解決方案同樣被美國的超市連鎖品牌(例如 Albertsons 和 Kroger)以及其他類型的公司(例如 福特 Ford寶僑 Procter & Gamble  和 百威 Anheuser-Busch)使用,但目前尚不確定這些公司是否有受其影響。

穆迪(Moody’s)供應鏈策略資深總監 John Donigian 表示,此次攻擊凸顯出這些技術在全球供應鏈管理中的重要性。

他指出:「當這些系統中斷時,重要的工作流程(例如庫存管理、需求預測、倉庫管理和運輸規劃等)將會受到干擾,進而使整個供應鏈陷入停頓。」他認為這次事件強調了此類技術在零售、物流等行業中的不可或缺的地位。

企業或連鎖零售商在面對勒索軟體組織的網路攻擊時,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的作業系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

中國支持的駭客 Liminal Panda 滲透南亞及非洲電信網路

Liminal Panda 自 2020 年起就開始滲透南亞和非洲的電信網路

Photo Credit: CrowdStrike

自 2020 年起,一個新的中國關聯的網路間諜團體被發現持續瞄準南亞與非洲的電信企業發動一系列針對性網路攻擊,其目的是進行情報蒐集。根據網路安全公司 CrowdStrike 的分析,該團體被命名為 Liminal Panda,其成員對於電信網路的運作模式、底層協定,以及不同電信服務供應商之間的互聯結構擁有深入了解。

Liminal Panda 是 CrowdStrike 所追蹤的 63 個不同的「Panda」之一。「Panda」是該網路安全公司用來指涉及中國內部或與中國有聯繫的網路入侵者的命名方式。自 2020 年起,Liminal Panda 就開始滲透南亞和非洲的電信網路。

CrowdStrike 指出,Liminal Panda 使用一系列專門設計的惡意工具來實現隱匿訪問、指令及控制(C2)和資料外洩。這些工具被用於滲透受害者的電信伺服器,並將攻擊範圍擴大至其他地區的服務供應商。該團體還利用支援行動通訊的協定,例如模擬全球行動通訊系統(GSM)協議進行 C2 操作,並開發工具來檢索行動用戶資訊、通話詮釋資料 (call metadata) 和簡訊(SMS)。

值得注意的是,部分與 Liminal Panda 有關的滲透活動早在 2021 年 10 月就已被記錄,但當時被錯誤地歸咎於另一個威脅團體 LightBasin(又名 UNC1945。LightBasin 自 2016 年起便以攻擊電信企業而惡名昭彰,這次錯誤主要是因為有多個駭客團體都在同一受感染網路中進行惡意活動所導致。經過深入分析,CrowdStrike 確認這是一個全新的威脅團體,並揭露其專屬的工具組和攻擊模式。

Liminal Panda 的工具組包括數款專門針對電信協定設計的惡意軟體。例如,SIGTRANslator 是一個 Linux ELF 二進位檔案,能透過 SIGTRAN 協定進行資料傳輸;CordScan 是一款具備封包攔截與網路掃描功能的工具,專門用於辨識和檢索與電信協定相關的資料;PingPong 則是一個後門程式,能監聽特殊的 ICMP 回應請求,並建立反向的 TCP 殼層連結。這些工具展現了該團體對電信網路基礎設施的深厚理解。

該團體還採用開源後門工具 TinyShell 和公開的 SGSN 模擬器(稱為 sgsnemu)來進行指令與控制 (C2) 通訊。攻擊者常利用密碼噴灑攻擊法 (password spraying) 滲透外部 DNS(eDNS)伺服器,特別針對使用極弱密碼或與第三方相關的密碼進行攻擊。攻擊的最終目標是蒐集網路遙測資料與用戶資訊,或是利用電信業者之間的互聯需求,進一步滲透其他電信服務提供者。

Liminal Panda 的活動利用電信業者之間的信任關係,以及許多網路安全政策的漏洞。藉此由外部主機進而取得核心基礎設備的存取權限,進一步滲透受害者的網路。

CrowdStrike已追蹤中國關聯的網路威脅超過 20 年,據內部人員表示,這些攻擊行動已經從早期的「搶劫式突襲」進化為針對高價值目標個體和資訊的精準活動。這通常意味著鎖定能提供政治和軍事機密的來源,或者可能增進中國國家利益的智慧財產。

與此同時,法國網路安全公司 Sekoia 強調,中國的網路攻擊生態系統是一個由多方組成的合作體系,包括國家支持單位(如國家安全部 MSS 和公安部 MPS)、民間駭客以及民營機構。這些單位組織共同參與漏洞研究與攻擊工具開發,形成了一個緊密的合作網路。Sekoia 進一步指出,這種生態系統不僅涵蓋了攻擊的操作執行,還涉及販賣被盜資訊、提供攻擊服務與工具等多種業務,展現了國家與民間之間複雜而互補的協同關係。

這些針對電信業的攻擊行動,包括 Liminal Panda 以及其他如 Salt Typhoon 的中國相關威脅團體,突顯了電信業及其他關鍵基礎設施面臨的國家支持攻擊威脅。在這樣的背景下,強化通訊協定安全與防護電信供應商間信任模式下的漏洞成為各大電信業者的當務之急。

Liminal Panda 駭客組織相關的部分的入侵指標(IOCs):

3a5a7ced739923f929234beefcef82b5
9728cd06b3e5729aff1a146075d524c34c5d51df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