標籤: News

近日，Broadcom 旗下Symantec Threat Hunter團隊的研究員揭露了至少自 2013 年以來中國APT駭客精心策劃的長期間諜活動，並針對選定的政府和其他關鍵基礎目標部署了以前未被記錄的間諜工具，一個名為Daxin的後門程式。該後門被研究員描述為一種技術先進的惡意軟體，允許攻擊者針對中國具有戰略利益的電信、運輸和製造業的實體進行各種通訊和資訊收集行動。

根據美國網路安全暨基礎架構管理署(CISA)針對Daxin發佈的警告，Daxin後門是一種高度複雜的Rootkit，而Rootkit是一種很會鑽洞並鑽到無法被作業系統檢測到之深度的惡意軟體，Daxin具有複雜、隱秘的命令和控制 (C2) 功能，使駭客能遠端與未直接連接到互聯網的安全設備進行通訊。Daxin以Windows Kernel Driver(核心模式驅動程式)的型態出現，這是相對罕見的惡意軟體格式。該驅動程式實現了精心設計的通訊機制，為惡意軟體提供了高度的隱藏性以及與未直接連接到互聯網的電腦通訊的能力。大部分的惡意軟體都依靠植入電腦中並進行攻擊，Daxin則是透過第三方或外部連結對電腦進行攻擊，使大多數人無法發現其蹤影。

Daxin能劫持合法的TCP / IP連接（TCP/IP代表傳輸控制協定/互聯網協定，用於在電腦之間進行通訊）並與遠端對等者交換數位密鑰。然後成功的金鑰交換允許Daxin打開加密的通訊通道，用於接收命令並將資訊發送回駭客。報告稱，Daxin使用被劫持的TCP連接為其通訊提供了高度的隱身性，並有助於在具有嚴格防火牆規則的網路上建立連接，並可降低安全運營中心(SOC)分析師監控網路異常的風險。

專家認為，考量到其功能和所部署攻擊的性質，Daxin似乎已針對強化目標進行了優化，允許攻擊者深入目標網路並竊取數據而不會引起懷疑，後門實現的功能讓人想起2014 年發現的Regin惡意軟體。值得注意的是，Daxin將自身整合到合法機器行為中，使其不會產生可疑的網路流量，這個技巧允許後門在明顯合法的通訊中隱藏惡意流量，而且它可以建立受感染電腦節點的對等網路，允許攻擊者深入滲透到受保護的資產中。

另外，Symantec Threat Hunter的分析人員發現了將Daxin與中國國家級駭客組織 Slug（又名 Owlproxy）聯繫起來的證據。據悉，Daxin後門至少自 2019 年 11 月以來一直被積極用於攻擊，而研究人員在 2020 年 5 月和 2020 年 7 月再次發現了其部署的跡象。2021 年 11 月觀察到涉及Daxin的最近一次攻擊，針對電信、交通和製造業。值得注意的是，報告稱該惡意軟體於 2013 年首次採樣，當時已經採用了我們在今天的版本中看到的高級檢測逃避技術。美國CISA表示，過去甚少看到如此複雜的惡意軟體，他們正協同FBI對Daxin進行深入調查以消除此後門。

欲了解更多關於此報告，您可以按此

有關Daxin後門的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

ea3d773438c04274545d26cc19a33f9f1dbbff2a518e4302addc1279f9950cef

e7af7bcb86bd6bab1835f610671c3921441965a839673ac34444cf0ce7b2164e

e6a7b0bc01a627a7d0ffb07faddb3a4dd96b6f5208ac26107bdaeb3ab1ec8217

cf00e7cc04af3f7c95f2b35a6f3432bef990238e1fa6f312faf64a50d495630a

c791c007c8c97196c657ac8ba25651e7be607565ae0946742a533af697a61878

c0d88db11d0f529754d290ed5f4c34b4dba8c4f2e5c4148866daabeab0d25f9c

b9dad0131c51e2645e761b74a71ebad2bf175645fa9f42a4ab0e6921b83306e3

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

由於豐田的重要零部件供應商小島工業(Kojima Industries Corporation)受到網路攻擊，導致零部件供應管理系統故障，迫使豐田暫停其在日本的所有工廠的生產。豐田汽車在2月28日宣布，由於國內供應商（小島工業）遭受網路攻擊，導致管理零件供應的系統故障，決定於 3 月 1 日星期二暫停日本 14 家工廠的 28 條生產線的運營（第一班和第二班），目前尚不清楚豐田是否會在周三恢復生產。

據NikkeiAsia報導，停產將影響約13,000輛汽車的生產，佔豐田在日本月產量的4%至5%。另外，豐田的子公司大發(Daihatsu)汽車和日野(Hino)汽車也於2月28日宣布將在3月1日停工三個工廠。小島工業遭網路攻擊事件給這家日本汽車製造商帶來的問題，突出了製造業對網路攻擊的脆弱性。

根據 IBM上週發布的研究，像小島工業這樣的製造業特別容易受到網路攻擊。該公司報告顯示，去年製造業被攻擊數量超過金融和保險業，成為了網路犯罪組織最常瞄準的行業。

製造業已成為目標，因為它們對停工時間的容忍度低，這也意味著它們更有可能迅​​速支付攻擊者勒索贖金的要求。報告也顯示，傳統製造業導入的營運技術中常發現漏洞利用是最常見的攻擊媒介，比率高於網路釣魚攻擊。

一名熟悉小島工業的消息人士向Tokyo Web透露，小島工業確實受到網路攻擊，目前仍在確認損失並迅速做出因應措施，而當務之急是盡快恢復豐田的生產系統，截至目前，小島工業的網站仍尚未恢復。

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

據日本經濟新聞，日本半導體研磨液大廠Fujimi Incorporated，股票代碼「TYO: 5384」於2022年2月20日，確認日本母公司及其子公司FUJIMI Taiwan Limited(即臺灣福吉米股份有限公司)的伺服器遭第三方未經授權存取。

該公司在確認此次未經授權的存取後，立即停止了包括官網和網路在內的內部系統，暫停了部分生產和發貨，並聯繫了有關部門。另外該公司正在與外部資安公司合作調查此次未經授權的內容和範圍。由於仍在調查階段，目前仍不能確認不當的存取是否已導致客戶或敏感資料外洩，IT團隊正在持續工作以遏制此次事件帶來的影響，該公司表示會爭取早日恢復目前的生產缐和出貨，這是否涉及電腦系統遭未授權人士存取並植入勒索軟體? 目前仍然沒有確切的答案。

日商FUJIMI是全球第三大的化學機械研磨液大廠，是第一家在日本生產精密合成研磨材料的廠商，目前在全球裸晶圓拋光液市占率已高達85%，並且及躋身全球前三大半導體CMP製程研磨液供應商；客戶群包含全球主要半導體廠如：英特爾、台積電、聯電、三星、Global Foundry、美光、爾必達等。

到目前為止，研究人員已經發現了數千起此類攻擊，這些攻擊涉及濫用 Microsoft Teams 聊天功能

Microsoft Teams 的受歡迎程度持續增長，每月活躍用戶約為 2.7 億，駭客們意識到此線上會議軟體是在企業或組織的系統中的最佳傳播及攻擊媒介。從 2022 年 1 月開始，Check Point旗下子公司Avanan的資安人員觀察到，攻擊者滲透到Microsoft Teams會議中，將惡意執行檔附加到會議的聊天中從而感染參與對話的用戶。根據Avanan的資安人員Jeremy Fuchs，駭客很可能先入侵屬於員工的電子郵件帳戶後滲透到 Microsoft Teams，然後再使用該電子郵件帳戶存取其公司的 Teams 會議。Fuchs進一步說，駭客非常擅長使用電子郵件網路釣魚來入侵Microsoft 365 帳戶來竊取登錄憑證，並清楚知道相同的憑證適用於 Microsoft Teams。

一旦成功進入會議，駭客會投放一個偽裝成合法程式的惡意執行檔，名為“User Centric”。一旦用戶點擊安裝，他們的設備就會被一個木馬程式感染，木馬程式會在電腦上投放惡意 DLL檔，從而使駭客可以繞過現有的保護措施，遠端劫持系統。另外Avanan還展示了該惡意軟體在 Windows 7 設定上的Demo， 但目前尚不清楚該攻擊是否能夠在 Windows 10 或 Windows 11 上運行。

User Centric木馬利用了人們對 Teams 的信任，人們認為連結來自同事，而不是駭客。Avanan 研究人員表示，雖然攻擊非常簡單，但非常有效，因為許多用戶信任通過 Teams 收到的檔案。該公司對使用 Teams 的醫院進行分析時，發現醫生使用該平台共享患者的醫療資訊，認為一切都可以通過 Teams 發送。

由於大多數員工接受了電子郵件安全意識的培訓，對收到的電子郵件資訊會保持警惕的態度，但他們對通過 Teams 收到的檔案並不這麼謹慎。此外，Teams 允許來賓和外部存取，允許與公司外部的人員協作。Fuchs說這些邀請經常受到很少的監控。Fuchs補充道，Teams缺乏預設的防護，掃描惡意連結和檔案也是有限的，許多電子郵件安全解決方案也無法為Teams提供強大的保護，這使問題變得更加嚴重。

為了防禦此類攻擊，Avanan建議應採取以下措施：

    • 實施保護，在Sandbox中下載的所有檔案並檢查其中是否存在惡意內容

    • 部署強大的整套的安全措施，保護包括團隊在內的所有業務通訊

    • 鼓勵End-user在看到陌生和可疑的檔案時聯繫 IT

烏克蘭當局表示，由於俄羅斯可能入侵的威脅導致緊張局勢持續存在，週二(2/15) 其國防部、武裝部隊及兩間主要銀行的網站遭DDoS(阻斷服務攻擊)，導致網路不堪重負，無法登入，但銀行的資金則不受影響。

國家特殊通訊和資訊保護服務管理局(State Service for Special Communication and Information Protection)，從2022年2月15日下午開始，烏克蘭多處資訊資源遭到強大的DDOS攻擊。這導致私有銀行（PrivatBank）及烏克蘭國家儲蓄銀行（Oschadbank） 的 Web 服務工作中斷，導致 ATM 無法操作，客戶無法在線上提款或轉帳及App無法正常使用，同時也證實了烏克蘭國防部和武裝部隊等的網站也遭到攻擊。

烏克蘭戰略通訊與資訊安全中心(the Ukrainian Center for Strategic Communication)在 Facebook 的一篇帖子中說，攻擊者會採取這種骯髒的小伎倆，因為它的侵略計劃沒有奏效。烏克蘭外交部、教育部、內政部、能源部等多個政府網站，在上月14日也曾因遭到大規模網路攻擊而關閉。

據悉，雖然烏克蘭國防部的網站無法連結，但烏克蘭國家儲蓄銀行 的網站仍然可以連上，但客戶無法登錄他們的網上銀行賬戶。私有銀行（PrivatBank）的網站今天也遭到攻擊，攻擊者除了刪除網站的內容並添加了“BUSTED！PRIVATBANK WAF is watching you）” 的訊息。

根據資安Kentik 互聯網分析主管 Doug Madory 表示，他分析了一些 DDoS 攻擊，發現目標包括託管烏克蘭軍隊網站的 Mirohost (AS28907)。另針對烏克蘭最大銀行 PrivatBank (AS15742) 的流量也在幾個小時內突然激增。

週一，烏克蘭安全局（Security Service of Ukraine-SSU）表示，該國成為與俄羅斯有關的惡意攻擊者的“大規模混合戰爭”的目標，正值烏俄邊境緊張，時機敏感，外界質疑這是俄羅斯旨在引發焦慮並削弱烏克蘭人對該國保衛能力的信心。SSU 表示，該活動與通過社交網路和其他媒體傳播虛假資訊的俄羅斯情報機構有關。