Microsoft緊急發布例外更新-KB5004945,以修補PrintNightmare 漏洞

Microsoft 敦促客戶立即安裝這些例外的安全更新以解決 PrintNightmare 漏洞,但有研究人員指出這次修補只補好RCE漏洞,本地權限升級(LPE)漏洞仍未修補好。

Windows PrintNightmare Vulnerability

今天微軟發布了緊急的例外(Out-of-band)安全更新,以修補以一個關鍵的零日漏洞(稱為“PrintNightmare”), 該漏洞影響Windows Print Spooler 服務,可讓攻擊者執行任意程式碼並接管易受攻擊的系統。

在上周微軟警告稱已檢測到攻擊者針對編號為CVE-2021-34527(CVSS 8.8)的開採,且該遠端程式碼執行缺陷影響所有市場上的Windows版本。

根據美國CERT協調中心(CERT Coordination Center),Windows Print Spooler 服務未能限制對允許用戶添加印表機和相關驅動程式功能的存取,這可允許遠端身份驗證的攻擊者以系統權限在易受攻擊的系統上執行遠端程式碼。

值得注意的是,PrintNightmare漏洞包括遠端程式碼執行(RCE)和本地特權升級(LPE) 向量,可在攻擊中被濫用以在目標 Windows 機器上運行具有系統權限的命令。

CERT/CC 漏洞分析師 Will Dormann說: 微軟針對 CVE-2021-34527 的更新似乎只解決​​了 PrintNightmare 的遠端程式執行(RCE),而不是本地特權升級(LPE)。這實際上意味著修補不全,攻擊者仍可以在本地利用該漏洞獲得系統(SYSTEM)權限。在微軟發布例外更新後,安全研究員 Matthew Hickey也證實該修補僅修復了 RCE 而不是 LPE 組件。

另外另一個變通方法,Microsoft 建議停止和關閉Print Spooler 列印緩衝處理服務或通過群組政策(Group Policy Object)關閉接收遠端列印以阻止遠端攻擊。CISA 上週也發布了關於 PrintNightmare 零日漏洞的通知,鼓勵管理員在不用於打印的服務器上關閉 Windows Print Spooler 服務。

Windows針對以下版本已發布了修補:

Windows Server 2019

Windows Server 2012 R2

Windows Server 2008

Windows 8.1

Windows RT 8.1, and

Windows 10 (versions 21H1, 20H2, 2004, 1909, 1809, 1803, and 1507)

微軟甚至採取了不常見的做法,為去年正式停止支援的Windows 7 發布修補。Windows 10 版本 1607、Windows Server 2016 或 Windows Server 2012 的安全更新尚未發布,但據微軟稱,它們也將很快發布。

瑞典連鎖超市Coop不是Kaseya VSA的客戶,卻遭到龐大的影響!被迫關閉800家門店!

史上最大規模的勒索軟體攻擊在全球蔓延,在7月2日Kaseya事件發生後,因為無法操作收銀機和自行付費結帳(self-check out)系統,迫使瑞典連鎖超市 Coop連鎖店於7月2日下午關閉其800 家門店。根據這家瑞典連鎖超市其網站上發布的消息,Coop 的 800商店中只有 5 家沒有受到影響,coop.se 的線上商店維持服務。

Coop承認因公司其中一個分包商遭網路攻擊,令其結帳系統無法運作,根據外媒報導,Coop 並未直接在其系統上使用 Kesaya VSA,但他們的軟體供應商之一Visma Esscom使用了 Kesaya, Visma Esscom也證實他們受到了 Kaseya 事件的影響。瑞典媒體 TT 稱,Visma Esscom為許多瑞典企業管理伺服器和設備,除了Coop外,瑞典國家鐵路服務和一家藥房連鎖店也同時受到了不同程度的影響。

雖然Kaseya執行長Fred Voccola曾在2日一份聲明中表示,使用其on-prem VSA 伺服器的客戶中只有不到40家客戶受到該事件的影響,並已經確定了漏洞的來源,將盡快發布修補,但目前連Kaseya 的 SaaS VSA(雲端)服務仍處於離線狀態,新的更新稱“維護期延長至另行通知”。

然而,Kaseya的40 家客戶大多是託管服務提供商 (MSP),這些公司使用 Kaseya 的 VSA 平台為自己的客戶管理 IT 基礎設施,因此目前認為該事件間接影響了全球上千家公司,而瑞典連鎖超市 Coop 似乎是目前受影響最大的公司。

另外根據ESET的遙測(telemetry)數據,全球多國家紛紛受到Kaseya事件的影響,受害公司有來自日本、印尼加拿大、德國、美國、哥倫比亞、瑞典等國

一些專家表示,REvil故意在美國7月4日獨立日假期前發動攻擊,目的是假期間企業的IT人手薄弱,以利其盡快傳播勒索軟體。

美國總統喬拜登週六宣布對這起國際勒索軟體攻擊展開調查,他已指示美國情報機構FBI著手調查,誓言揪出幕後黑手。

有關Kaseya VSA供應鏈勒索攻擊的最新情資:

Kaseya VSA Supply-Chain Ransomware Attack

Source:

https://www.reuters.com/article/us-usa-cyber-kaseya-sweden/cyber-attack-against-us-it-provider-forces-swedish-chain-to-close-800-stores-idUSKCN2E90F5

https://www.bbc.com/news/technology-57707530

https://www.theguardian.com/technology/2021/jul/03/kaseya-ransomware-attack-us-sweden

https://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

SolarWinds事件2.0,REvil鎖定Kaseya VSA軟體發動大規模供應鏈勒索攻擊,過百間公司遭駭,全球客戶感染勒索軟體

美國CISA呼籲立即關閉Kaseya的VSA 伺服器

在美國迎來7/4國慶日之際,REvil 勒索軟體的幕後駭客投下震撼蛋,他們被發現通過IT供應商Kaseya的VSA軟體的自動更新,將其勒索軟體散播到最少8間MSP和200間企業的網路中,造成史上最大供應鏈勒索攻擊。

這起件事是REvil利用許多託管服務提供商 (MSP) 使用的Kaseya VSA 端點監控軟體進行廣泛的供應鏈攻擊。據知REvil獲得了Kaseya 基礎設施的存取權限,並使用受感染的Kaseya VSA軟體的更新在企業網路上部署勒索軟體藉以加密企業,勒索贖金。

外媒取得其中一封Kaseya事件中受害公司的贖索信,要求高達5百萬美元的贖金,目前不清楚是否每間受害公司需付同樣金額,或每個MSP是否有個別的勒索信

根據外媒報導,受感染的Kaseya惡意更新從VSA 的on prem伺服器,透過使用內部scripting引擎,將勒索軟體部署到所有連接的客戶端系統,Kaseya 敦促所有 IT 管理服務提供商 (MSP) 客戶立即關閉on prem設備,以防止攻擊在調查過程中蔓延。此外,除了建議客戶關閉他們的VSA伺服器之外,為了阻止惡意更新的傳播,並試圖將 REvil從其系統中剷除,Kaseya 還關閉了自己的雲端基礎設施。

投遞: REvil通過 Kaseya中的自動軟體更新

REvil立即停止管理員存取 VSA

再把這些檔案丟去客戶端的系統上:

Propagation

Kaseya VSA 的設計是以高管理員系統權限運行,REvil使用惡意動態連結程式庫,該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行,以加密受害者數據。作為攻擊鏈的一部分,惡意軟體執行代碼通過 PowerShell 腳本,禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控

檔案夾存取(勒索軟體防護功能)、入侵保護系統、雲端查找和樣本提交以及網路保護功能。

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

IoCs

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

美國網路安全和基礎設施安全局 (CISA) 表示,目前正在針對此攻擊採取行動,以了解並解決此事件。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Source:

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

https://old.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354

CISA 敦促組織在關鍵系統上停用 Windows 列印緩衝處理程式

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已發布關於關鍵 PrintNightmare 零日漏洞的說明,並建議資安人員在不用於列印的伺服器上停用(Disable) Windows Print Spooler 列印緩衝處理服務。

CISA表示,CERT 協調中心已針對 Windows Print spooler 服務中的一個關鍵遠端程式碼執行漏洞發布了VulNote,並指出:“雖然 Microsoft 已發布針對 CVE-2021-1675的更新,但更新並未解決CVE-2021-1675 的公共漏洞利用。” 攻擊者可以利用此漏洞(稱 PrintNightmare)來控制受影響的系統。

CISA 鼓勵資安人員應採用 Microsoft 在2021 年 1 月 11 日發布的操作指南作最佳實踐:“由於存在暴露的可能性,網域控制器和AD管理系統需要停用列印後台處理程式服務,推薦的方法是使用群組原則(Group policy object)。

根據 Microsoft 的建議,應通過群組原則在所有網域控制器和 AD管理系統上停用Print Spooler 服務,因為它會增加遭受攻擊的風險,微軟補充說,由於大多數 Windows 客戶端和伺服器平台上預設啟用這服務,建議在所有不需要的伺服器上停用它,以減輕未來受攻擊的風險。

目前,在Microsoft完全解決PrintNightmare零日漏洞之前,停用Print Spooler 服務是確保駭客,尤其是勒索軟體組織不會趁機攻擊企業網路的最簡單方法。

愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

美國一級創傷中心”南內華達大學醫學中心”遭REvil攻擊,數據被盜

臭名昭著的REvil勒索軟體在其揭秘網站Happy Blog上又發文,並列出南內華達大學醫學中心(University Medical Center of Southern Nevada, UMCSN) 為其受害者,根據Review Journal報導,REvil在6月28日發布了只有六名人士的內華達州駕照、護照和社會安全卡的截圖,相信現階段駭客仍與UMCSN進行談判,目前也不知道勒索金額。

 6月29日UMCSN在一份聲明承認遭到入侵,確認網路犯罪分子在 6 月中旬非法存取了其系統用於存儲數據的伺服器。UMCSN說,執法部門現在正在調查這起事件,沒有證據表明在攻擊中存取了任何臨床系統,但會通知患者和員工他們的個資可能處於暴露的風險,醫院還將提供“免費身份保護和信用監控服務”。UMCSN表示其IT部門迅速採取行動,入侵僅影響了內部間歇性的電腦登錄問題,但沒有影響患者護理或 UMC 的臨床系統並沒有中斷。聲明更進一步說:“這種類型的攻擊在醫療保健行業變得越來越普遍,世界各地的醫院都遇到了類似的情況。”

南內華達大學醫學中心(UMCSN) 的聲明

聲明並未提及駭客的動機,但專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示,REvil擅長在鎖定目標組織的系統之前竊取目標組織的數據,然後威脅要在網上發布數據以迫使組織支付贖金。Callow補充說,REvil可能以威脅要發布從整容手術過程中的前後照片等,盡其所能向UMCSN施加壓力。

截至目前仍無法打開官方網站的頁面:

UMCSN是一家非營利性公立醫院,也是內華達州唯一的 1 級創傷中心(Level 1 Trauma Center)。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Linux版的REvil勒索軟體,鎖定VMware ESXi虛擬機器

隨著企業轉向虛擬機以便更輕鬆地進行備份、設備管理和有效利用資源,同時也有越來越多的勒索軟體組織建立自己的工具來對 VM 使用的存儲進行大規模加密。現在資安研究員發現REvil 勒索軟體操作Linux 加密工具,來攻擊與加密VMware ESXi虛擬機器。

根據資安公司Advanced Intelligence的執行長Vitali Kreme分享了他分析REvil勒索軟體 的Linux變種是如何殺掉VM 的 process:

1. Leverages “esxcli” CLI component to kill VMs via world id

2. affiliate “sub”:”7864″ | usual struct

3. GCC: (Ubuntu 4.8.4-2ubuntu1~14.04.4) 4.8.4

另外AT &T Alien Labs技術總監Jaime Blasco,也分享了Linux 版的REvil勒索軟體的惡意程式特徵規則YARA RULE與Hash值:

FileHash-MD5 ab3229656f73505a3c53f7d2e95efd0e

FileHash-MD5 e199f02ffcf1b1769c8aeb580f627267

FileHash-MD5 96a157e4c0bef22e0cea1299f88d4745

FileHash-MD5 395249d3e6dae1caff6b5b2e1f75bacd

FileHash-SHA256 3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d

FileHash-SHA256 796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4

FileHash-SHA256 d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763

FileHash-SHA256 ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4

FileHash-SHA1 446771415864f4916df33aad1aa7e42fa104adee

FileHash-SHA1 45404b862e70a7a1b4db6c73d374b8ac19ddf772

FileHash-SHA1 9586ebc83a1b6949e08820b46faf72ee5b132bca

FileHash-SHA1 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa

看更多Linux版REvil勒索軟體的情資: REvil ransomware Linux version

勒索軟體的另類售後服務,付贖金後,REvil詳述如何入侵!

根據Malwarebytes 的資安分析師Mr. Rivero取得的被駭公司(以下稱U公司)與REvil的缐上對話,由於該公司已付贖金,REvil釋出解密工具,U公司可直到7月11日截止時間前享有免費解密工具的使用權,一般來說,就算付了贖金給勒索軟體的駭客團體,他們釋出的解密工具是有時效性的,通常在䆁出的當天至往後的3-4個禮拜有效。如果沒有在時效內完成解密,駭客也不會再延長或給與新的解密功具。

在下圖的案例, 由於U公司的員工在收信過程不慎點擊了帶有惡意病毒的檔案使駭客有機可乘,把病毒payload安裝到受感染的電腦,之後REvil使用工具掃描電腦和所有用戶授權的數據,這授權數據正可用於遠端存取U公司網路。

Photo Credit : Mr. Rivero from Malwarebytes

REvil表示在掃描網路時,發現一個帶有遠端程式碼執行(RCE)弱點的伺服器,並進一步以該RCE來執行payload並收集對伺服器的所有存取權限。接下來,REvil以安全工具從伺服器中轉儲所有可能的密碼,並使用這些密碼收集對其他網路的存取,直到存取網域控制器。REvil植入木馬程式以鍵盤側錄方法式,存取和操控整個 IT 基礎設施。

由於駭客修改了M公司的防毒config,可逃避在IT 網路被檢測到,在收集並存取所有可能的 IT數據後,駭客也找到了連接到M公司其餘分公司的方法,在收集完M公司所有有價值的數據,REvil正式加密M公司的IT 系統。

在這案例中,REvil通過垃圾郵件活動來突破M公司的防禦,進入企業內部網路。透過教育訓練與各種社交工程的演練,提高員工的資安意識真的很重要!

這一兩年以來,REvil勒索軟體的威脅越來越大,台灣企業包括台灣塩野義製藥宏碁、日月光孫公司Asteelflash Group廣達紛紛遭到REvil的毒手,

在國外REvil的受害者更是不計其數,包括再生能源公司Invenergy,美國肉類供應巨頭 JBS,印度最大鋼鐵生產商塔塔鋼鐵

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處

在6名CLOP勒索軟體的嫌犯被捕一周後,CLOP在其揭秘網站上又公佈新的受害公司,這意味著什麼呢?!

在上週 6 月 16 日,6名CLOP勒索軟體的幕後駭客被烏克蘭警方拘捕,當時警方表示,他們在烏克蘭首都基輔及其周邊地區對涉嫌駭客的家中和他們的汽車進行了 21 次搜查並扣獲了電腦、手機和伺服器設備、185,000 美元的現金(相信是贖金)及幾輛汽車等。

但今在CLOP揭秘網站CLOP^_-LEAKS上發現新的受害者,表示CLOP仍然活躍,也證明最近被逮捕的駭客不包括核心成員。目前尚不清楚這家新公司是何時遭到CLOP的攻擊,這是否在6名CLOP成員逮捕前已被入侵但直到現在才發布的數據,還是完全是一次新的攻擊。無論是哪種,它都表明CLOP仍然以某種方式活躍。專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示:“數據已經發布的事實表明,烏克蘭警方的行動沒有涉及CLOP的核心成員,也沒有完全擾亂CLOP的操作。”

CLOP^_-LEAKS上的更新,出現新的受害者

CLOP在上週被捕後,今發布新的受害者和盜竊數據,正如網路安全情報公司Intel 471上週表示,被捕的嫌疑人僅限於CLOP業務的套現和洗錢方面,逮捕並沒有打擊經營犯罪集團的核心。

換句話說,CLOP又重新浮出水面意味著企業與CLOP的鬥爭遠未結束。

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器

Key Points:

*最近發生了勒索軟體收山、駭客被逮捕和伺服器遭扣押等事件,估計LockBit2.0的推出可吸引曾使用 DarkSideCLOPAvaddon勒索軟體的駭客。

*操作LockBit的駭客推出一項名為LockBit2.0的勒索軟體即服務(Ransomware as a Service , RaaS)計劃, LockBit承諾提供會員世界上最快的加密和數據盜竊工具

在3月中被爆出LockBit勒索軟體含錯誤使其試用版解密工具能任意被使用,可免費解密後,LockBit沉寂一陣子,現重新露臉並立即推出其加強版LockBit2.0,以招募更多新的駭客會員使用其勒索軟體加密更多公司。據相信,LockBit2.0已修復之前Lockbit勒索軟體中的錯誤並加入更強大的Stealer程式“StealBit”, 據 LockBit 的承諾,它可以在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。迅速下載數據對於操作勒索軟體的駭客來說非常重要,因為他們盜竊數據的速度越快,越更大幅度減低被發現和阻擋的機會。竊取數據是當今勒索軟體攻擊的重點,這些數據通常是受害者支付贖金的原因。另外,StealBit同時還支援即時壓縮(Real-time compression)和拖放功能(Drag-and-drop),並對安全工具保持隱藏。

LockBit提供StealBit對資料下載速度的比較表 Photo Credit: KELA

LockBit的駭客同時在加密也做出了同樣的承諾,聲稱是“世界上最快的加密軟體”,且優於其他的勒索軟體。LockBit表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。

LockBit2.0招募合作夥伴頁面 Photo Credit: KELA

據信LockBit 2.0 計劃的合作夥伴將享有以下功能和特性:

*Tor中的管理員面板

*解密工具功能的自動測試

*阻止可能破壞加密過程的進程啟動

*進階的通訊埠端口掃描

*在聊天室推送通知

*自動清除受感染網路中的日誌

*通過 Wake-on-Lan 自動啟動電腦

*能使用在受害網路中連接的印表機印出需要的文件

*在受害網路中的自動散播

*刪除可用於備份還原的陰影複製

LockBit相關情資:

https://otx.alienvault.com/pulse/5ff7560e8ebcdf1d6e6201f9

Source:

https://twitter.com/Intel_by_KELA/status/1406905385580118017