News - 竣盟科技

史無前例美國CISA下令聯邦機構緊急在48小時內斷開Ivanti VPN 設備的連接

Posted on 2024 年 2 月 2 日 by blogadmin

為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險，CISA採取了史無前例的舉措，要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。

CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示：“盡快且不晚於2024 年2 月2 日星期五晚上11:59，斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ，該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。

CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”，並監控可能暴露的身份驗證或身份管理服務。該機構表示，聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離，並繼續審核特權等級存取帳號。為了使產品重新投入使用，CISA 表示，各機構需要匯出設備配置設定，按照 Ivanti 的說明完成出廠重置，並重建設備並升級到完全修補的軟體版本。

自去年 12 月以來，中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞，分別為 CVE-2023-46805 和 CVE-2024-21887。 Ivanti 週三表示，它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示，它還觀察到一些針對聯邦機構的初步目標。

Ivanti 記錄了四個獨立的漏洞：

CVE-2023-46805 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞，允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2，已確認為被利用零日漏洞。
CVE-2024-21887 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
CVE-2024-21888 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure（9.x、22.x）的 Web 元件中存在權限提升漏洞，允許使用者將權限提升至行政人員，CVSS 評分為8.8。
CVE-2024-21893 — Ivanti Connect Secure（9.x、22.x）、Ivanti Policy Secure（9.x、22.x）和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞，允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。

Ivanti還警告說，情況仍在不斷發展，多個威脅行為者迅速調整其策略、技術和程序，以在其活動中利用這些漏洞。Ivanti稱，CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為，並且預計一旦該資訊公開，利用行為就會急劇增加。Ivanti 表示，情況仍在不斷發展，將隨著更多資訊的出現，更新其知識庫文章，該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。

三週前，Volexity 首次發現了對這些漏洞的利用，並警告說，中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。資安公司 Volexity 的創辦人 Steven Adair表示，迄今為止，至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人，不過 Volexity 指出「總數可能要高得多」。

資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」，並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱，網絡犯罪組織已利用公開的漏洞部署加密器和後門。

Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):

施耐德電機證實其永續發展部門遭到勒索軟體攻擊幕後黑手指向仙人掌勒索軟體

Posted on 2024 年 1 月 31 日2024 年 1 月 31 日 by blogadmin

該部門因勒索軟體攻擊導致資料外洩及平台中斷

1 月 30 日，根據BleepingComputer報道，能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊，導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門，攻擊擾亂了其部分資源顧問雲端平台，該平台至今仍處於中斷的狀態。據報道，勒索軟體在網路攻擊期間竊取了數TB 的公司數據，並正在威脅該公司，如果不支付贖金，就會洩露被盜的數據。雖然尚不清楚被盜的資料類型，但永續發展業務部門為企業組織提供諮詢服務，就再生能源解決方案提供建議，並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件，該攻擊影響了其資源諮詢產品（永續發展資訊的數據視覺化工具）以及「部門特定系統」。然而，施耐德表示，公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統，也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據，包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而，該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍，截至撰寫本文時，該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱，該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標，並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號，它還使用開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具（例如Splashtop、AnyDesk、SuperOps RMM）來實現遠端訪問，並在後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限，駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外，仙人掌使用 Rclone 工具進行資料洩露，並使用名為 TotalExec 的 PowerShell 腳本（BlackBasta勒索軟體過去曾使用過該腳本）來自動部署加密過程。一月初，仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73

繼微軟後慧與科技也遭俄羅斯國家駭客入侵

Posted on 2024 年 1 月 26 日2024 年 1 月 26 日 by blogadmin

最近入侵微軟(Microsoft)的俄羅斯駭客也成功滲透了另一家大型IT公司：慧與科技(Hewlett Packard Enterprise-HPE) 。根據CNN、Bleeping Computer、 The Washington Post等多家國外媒體的報導，HPE在一份提交美國證券交易委員會（SEC）備案文件中披露，俄羅斯國家駭客已經在長達七個多月的時間裡進入了其企業電子郵件收件匣。這家矽谷巨頭通知投資者，來自俄羅斯聯邦對外情報局(Russian Foreign Intelligence Service)的駭客於 2023 年 5 月首次滲透了其基於雲端的電子郵件服務。HPE表示，直到 12 月 12 日，該公司才收到通知後發現了入侵行為。監管文件稱，這些駭客“據信”是Midnight Blizzard，也稱為APT29、Nobelium 和 CozyBear。

微軟幾天前才透露，同樣的駭客已經入侵了其公司高階領導層的收件匣。2021 年，駭客在 SolarWinds 開發的 IT 基礎設施軟體中插入後門後，白宮將威脅行為者與莫斯科聯繫起來。

HPE表示，在這起最新事件中，駭客入侵了屬於我們資安部、進入市場策略部(go-to-market)、商用部等單位的電子郵件，郵件遭到非法存取及下載。

監管文件稱，電子郵件駭客攻擊可能與該公司在 2023 年 6 月了解到的同一駭客組織的早期活動有關。該活動涉及 2023 年 5 月未經授權訪問 HPE SharePoint 伺服器以及“洩露有限數量的文件” 」。

威脅情報公司 Mandiant 於 2022 年 8 月警告稱，俄羅斯駭客組織特別關注 Microsoft 365，這是一套無處不在的生產力和雲端儲存應用程式。APT 29使用 Microsoft 雲端中的虛擬機器來隱藏其痕跡。

根據2021 年 4 月的諮詢報告，聯邦政府早在 2018 年就注意到該組織轉向以雲端資源為目標，“特別是電子郵件”，並減少對惡意軟體的依賴。

一位HPE的公司代表表示，我們的調查得出的結論，出於高度謹慎，符合美國證券交易委員會有關網路事件的新法規的精神，公司就決定披露此次駭客攻擊。美國證券交易委員會去年投票通過了 12 月生效的法規，要求上市公司的大型公司在確定重要性後的四個工作日內披露“重大網路安全事件”。

HPE表示，到目前為止，該事件尚未對其營運產生重大影響，但對其財務狀況的潛在影響仍有待觀察。該公司當天收盤上漲1.68%，但盤後交易中下跌1.02%。 HPE 本月稍早發布了新聞，宣布與網路設備製造商Juniper Networks達成140 億美元的收購協議，並宣稱該交易是讓合併後的公司在新興的人工智慧市場中定位的方式。

中國國家級駭客利用VMware 關鍵漏洞長達兩年 CISA將此越界寫入漏洞增至其已知遭濫用之漏洞清單

Posted on 2024 年 1 月 24 日2024 年 1 月 24 日 by blogadmin

1 月 18 日，VMware 確認 CVE-2023-34048被利用後，Mandiant 將該活動歸因於一個與中國關係密切的駭客組織，並透露該攻擊活動至少從 2021 年底開始。根據 Mandiant 的最新研究，至少自 2021 年底以來，與中國相關的 APT 組織UNC3886一直在利用一個編號為vCenter Server 的零日漏洞CVE-2023-34048 。vCenter Server 是 VMware 虛擬化和雲端運算軟體套件中的關鍵元件。它作為VMware虛擬化資料中心的集中式綜合管理平台。Mandiant在周五的一份報告中表示：“UNC3886 擁有利用零日漏洞在不被發現的情況下完成攻擊任務的記錄，而這個最新的例子進一步證明了它們的能力。

另外，Critical Start網路威脅研究資深經理Callie Guenther表示：「CVE-2023-34048 的利用反映了深厚的技術敏銳度，顯示在識別和利用VMware 等廣泛使用的軟體中的複雜漏洞方面具有高水平的熟練程度。」

去年10 月 25 日，VMware 首次揭露了一個編號為 CVE-2023-34048 的越界寫入漏洞(Out-of-bounds Write)以及一個編號為 CVE-2023-34056 的部分資訊外洩漏洞，這些漏洞影響了 vCenter Server。該供應商警告說，利用越界寫入漏洞（CVSS評分為 9.8）可使攻擊者能夠在易受攻擊的電腦上遠端執行程式碼。Mandiant 的研究人員於 2022 年 9 月首次詳細介紹了該組織的活動，當時他們在 VMware ESXi Hypervisor 中發現了一種新穎的惡意軟體持久性技術。惡意軟體作者使用該技術在 VMware ESXi Hypervisor 中實現管理訪問，並接管適用於 Windows 和 Linux 的 vCenter 伺服器和虛擬機器。

這次攻擊的高度針對性和規避性使專家們相信，攻擊是由中國國家級駭客 UNC3886出於網路間諜目的而實施的。

在 Mandiant 於 2022 年 9 月調查的攻擊中，攻擊者依靠惡意 vSphere 安裝套件 (VIB)在 ESXi 虛擬機器管理程式上安裝兩個後門，分別為 VIRTUALPITA 和 VIRTUALPIE。 VIB 是設計用於管理虛擬系統的檔案集合，它們可用於建立啟動任務、自訂防火牆規則或在 ESXi 電腦重新啟動時部署自訂二進位。Mandiant 進行的進一步調查顯示，UNC3886 組織使用了其他技術來針對多個組織以避免 EDR 解決方案。

Mandiant 和 VMware Product Security 對“vmdird” 核心崩潰檔案的分析表明，進程崩潰與 CVE-2023-34048 的利用密切相關,

2023年末，Mandiant 注意到 VMware vmdird 服務在部署後門前幾分鐘就當機。Mandiant 和 VMware Product Security 對「vmdird」核心崩潰檔案的分析表明，進程當機與 CVE-2023-34048 的利用有密切的關係。Mandiant 觀察到 2021 年底至 2022 年初期間發生了多起 UNC3886 事件。研究人員還注意到，在觀察到這些崩潰的大多數環境中，日誌條目被保存了下來，但『vmdird』核心崩潰檔案本身卻被刪除

“VMware 的預設配置會將核心崩潰檔案無限期地保留在系統上，這表明攻擊者故意刪除了核心崩潰檔案，以試圖掩蓋其踪跡。”報告總結道。 “正如 VMware 通報中提到的，此漏洞已在 vCenter 8.0U2 中得到修補，Mandiant 建議 VMware 用戶更新到最新版本的 vCenter，以應對此漏洞被廣泛利用的情況。”週三，VMware 以新資訊更新了該通報，警告客戶越界寫入漏洞正受到攻擊。

根據Shadowserver Foundation 的數據，目前有數百個暴露於網際網路的 VMware vCenter Server 執行個體可能存在漏洞。

VMware 產品成為惡意攻擊者攻擊目標的情況並不少見。美國安全機構 CISA 維護的已知遭濫用之漏洞清單目前包括 21 個VMware 產品漏洞。今天(1月24日)CISA在其已知遭濫用之漏洞清單(KEV)中新增了CVE-2023-34048漏洞，並下令聯邦機構在 2024 年 2 月 12 日之前修復此漏洞，也建議私人機構審查該清單並解決其基礎設施中的漏洞。

美國CISA和FBI警告惡意軟體AndroxGh0st攻擊Laravel和Apache HTTP伺服器鎖定竊取 AWS、Azure 和 Office 365 憑證

Posted on 2024 年 1 月 19 日2024 年 1 月 19 日 by blogadmin

美國網路安全與基礎設施安全局 (CISA) 和聯邦調查局 (FBI)警告稱，部署AndroxGh0st惡意軟體的攻擊者正在建立一個殭屍網路，用於「在目標網路中識別和利用受害者」。AndroxGh0st是一種基於 Python 的惡意軟體，於 2022 年 12 月首次被記錄。

此雲端攻擊工具能夠滲透易受已知安全漏洞影響的伺服器，以存取 Laravel 環境檔案並竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

CISA 和 FBI 指出，該威脅還濫用簡單郵件傳輸協定 (SMTP) 進行掃描、利用被盜憑證和 API 以及 Web shell 部署。根據該通報，Androxgh0st 操作背後的網路犯罪分子也被發現使用腳本掃描特定漏洞的網站，其中包括CVE-2017-9841，這是一個 PHPUnit 漏洞，導致透過 HTTP POST 請求執行 PHP 程式碼。這些攻擊的目標是將 /vendor 資料夾暴露在網路上的網站。警報稱:「惡意行為者使用 Androxgh0st 將惡意檔案下載到託管網站的系統。威脅參與者還能夠設定可透過 URI 存取的虛假（非法）頁面，以提供對網站的後門存取。這使得威脅行為者能夠為其操作下載額外的惡意檔案並存取資料庫。」。

該通報稱，Androxgh0st 殭屍網路使用 Laravel 框架掃描網站，尋找包含附加服務憑證的公開在根目錄的.env檔案。然後惡發出請求以檢索儲存在這些文件中的敏感資訊。

「Androxgh0st 惡意軟體還可以存取網站上 Laravel 應用程式的應用程式金鑰。如果威脅者成功識別 Laravel 應用程式金鑰，他們將嘗試使用該金鑰加密 PHP 程式碼來進行利用。”

作為此活動的一部分，威脅行為者利用 CVE-2018-15133，這是一種不受信任資料的反序列化，允許他們將檔案上傳到易受攻擊的網站，CISA週二(1/16)將該安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities (KEV) catalog)中。

操作Androxgh0st的攻擊者也針對CVE-2021-41773，這是 Apache HTTP Server 版本 2.4.49 和 2.4.50 中的路徑遍歷，導致執行遠端程式碼。如果攻擊者使用上述方法獲得任何服務的憑證，他們可能會使用這些憑證存取敏感資料或使用這些服務進行其他惡意操作。

不到一週前，SentinelOne 揭露了一種名為FBot的相關但獨特的工具，攻擊者正在利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。表示：“雲端威脅格局將繼續借用其他工具的程式碼，並將它們整合到一個整體生態系統中，這就是我們看到的 AlienFox 和 Legion 分別與 AndroxGh0st 和 FBot 所做的事情。

“隨著攻擊者找到利用雲端服務獲利的新方法，我們預計會看到針對這些服務的定制工具的出現，就像這些工具專注於利用郵件服務進行垃圾郵件攻擊一樣。NETSCOUT 也發出警報，表示自 2023 年 11 月中旬以來殭屍網路掃描活動大幅增加，並於 2024 年 1 月 5 日達到近 130 萬個不同設備的峰值。大多數來源 IP 位址與美國、中國相關、越南、台灣、俄羅斯。

這些機構發布了與 Androxgh0st 惡意軟體操作相關的入侵指標(IoCs)以及建議的緩解措施，敦促組織盡快應用它們。除了更新作業系統、軟體和韌體之外，也要確保所有URI預設配置為拒絕所有請求，並且所有Laravel應用不應處於除錯或是測試模式。

Androxgh0st 惡意軟體的的部分入侵指標IoCs:

hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt 59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4

hxxps://chainventures.co[.]uk/.well-known/aas

dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6 hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066

hxxps://pastebin[.]com/raw/zw0gAmpC ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72 hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php

。

京鼎遭LockBit勒索軟體攻擊

Posted on 2024 年 1 月 17 日 by blogadmin

1 月 16 日，鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持，顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵，駭客挾持京鼎公司網站

根據聯合報的報導，操作勒索軟體LockBit的駭客還直接在網頁上留下兩大段訊息，第一段訊息是告知客戶，駭客集團已拿下京鼎的客戶資料，如果京鼎不付錢，那麼，客戶的所有個人資料都將被公開在網路上，第二段訊息則是告知員工，如果京鼎管理階層不與駭客集團聯繫，那麼，駭客將會摧毀京鼎所有的資料，而且這些資料將不能恢復，這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示，在檢測到攻擊後不久，該公司於下午恢復了其網站，並補充說正在與安全專家合作。京鼎在聲明中表示，該公司的初步評估顯示，該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示，去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區，平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

BlackCat對Ultra Intelligence & Communications的攻擊造成瑞士空軍大量敏感資訊外洩

Posted on 2024 年 1 月 10 日2024 年 1 月 10 日 by blogadmin

一家為全球國防公司提供通訊技術的美國安全公司Ultra Intelligence & Communications(簡稱ULTRA)成為勒索軟體攻擊的受害者，ULTRA是一家全球領先的科技公司，總部位於英國。該公司提供先進的情報、通訊和安全技術解決方案，服務的客戶包括美國國防部、聯邦調查局(FBI)、緝毒局、北約、美國電話電報公司、瑞士聯邦國防部和國防承包商RUAG 等，這一廣泛的客戶群突顯了此次外洩事件對全球潛在的影響。

據稱在攻擊事件發生後，瑞士聯邦國防部證實瑞士空軍受到了攻擊的影響並確認有資料外洩，瑞士當局隨即對此事件展開了調查。

根據瑞士廣播電視台 (SRF) 報道，駭客竊取了美國著名國防公司ULTRA的數萬份文件，大約 30 GB 的部分敏感和機密瑞士空軍文件已上傳到暗網，可供公眾存取。

Photo Credit: https://securityaffairs.com/

DDPS 對暗網外洩的回應

在這一重大事件發生後，瑞士聯邦國防部民防及體育部(Federal Department of Defense, Civil Protection and Sport-DDPS) 一直在積極應對這一情況。發言人告訴 Keystone-SDA 通訊社，瑞士武裝部隊和國防部立即收到了有關網路攻擊的通知。DDPS 認為，瑞士武裝部隊的作業系統並未受到此次惡意軟體攻擊的影響。

暗網上外洩的價值數百萬美元的合約

外洩的資料中包括 DDPS 和 Ultra 之間價值近 500 萬美元的重要合約等文件。該合約對於瑞士空軍的加密通訊技術至關重要。

此外，在暗網上還發現了與這些交易相關的電子郵件通訊和付款收據。

對暗網資料外洩的持續調查

雖然 DDPS 發言人提供的細節有限，但他們承認瑞士武裝部與Ultra 公司之間存在業務關係。迄今為止，外洩的數據主要類型是商業數據，但對事件全面範圍的調查仍在進行中。

BlackCat聲稱對資料被盜負責

BlackCat勒索軟體聲稱對這次攻擊負責，據報導該攻擊發生在 2023 年 12 月底。BlackCat於2021年11月中旬首次被Malwarehunterteam研究人員揭露，是第一個基於RUST語言編寫的專業勒索軟體系列，並因其高度客製化和個人化的攻擊而迅速氾濫。BlackCat攻擊過知名企業包括高梅國際酒店集團（MGM Resorts International）、Bandai Namco(萬代南夢宮)、台灣上市不銹鋼和Henry Schein漢瑞祥等等。網路安全專家認為BlackCat起源於俄羅斯，是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand)，而BlackMatter又是 DarkSide 的改名，該組織因2021年攻擊美國美運油供應商Colonial Pipeline而臭名昭著。2023 年 12 月FBI查封BlackCat的線上基礎設施，瓦解多個BlackCat經營的網站，然而這次針對ULTRA的入侵並盜取其商業客戶的機密資料攻擊證實BlackCat勒索軟體已成功另起爐灶。

瑞士聯邦數據網路攻擊的最新歷史

此事件標誌著過去六個月內針對瑞士聯邦數據的第三次重大網路攻擊。先前的事件涉及針對瑞士公司 Xplain 和 Concevis 的勒索軟體攻擊，這兩家公司都與 DDPS 和其他聯邦組織有聯繫。

總而言之，最近對 Ultra 的網路攻擊導致瑞士空軍資料在暗網上未經授權發布，這清楚地提醒人們國家安全基礎設施面臨持續的網路威脅。正在進行的調查強調了加強網路安全措施以保護敏感國防資訊的重要性。

美國資安公司 Mandiant的X(Twitter)帳號遭到駭客入侵6小時

Posted on 2024 年 1 月 5 日2024 年 1 月 5 日 by blogadmin

週三，Google旗下的美國資安公司Mandiant 的 X（前身為 Twitter）帳號被身份不明的攻擊者入侵了六個多小時，以傳播加密貨幣騙局。駭客劫持了Mandiant的 X 帳號，並利用該帳號傳播了一個連結，試圖從點擊該帳號的人那裡竊取加密貨幣。該騙局虛假承諾向 25 萬名用戶免費提供 $PHNTM 代幣，甚至轉發真實 Phantom 帳號的貼文以顯得可信。

Mandiant在一份聲明中寫道：“我們意識到該事件影響了Mandiant的 X 帳號，並正在努力解決該問題。”“我們已經重新獲得了對該帳號的控制權，目前正在努力恢復它。”該聲明沒有回答有關該公司是否已確定該帳號是如何被盜用的問題。

目前尚不清楚該帳號是如何被盜用的，猜測是透過社群工程進行網路釣魚，或是利用社群媒體平台中的漏洞。

但據一直在監視事件的MalwareHunterTeam 的研究人員指出，被駭的 Mandiant帳號最初被重新命名為“@phantomsolw”，以冒充 Phantom 加密錢包服務。具體來說，該帳號的詐騙貼文宣傳了空投詐騙，敦促用戶點擊虛假連結並賺取免費代幣，隨後被駭的帳號後來被用來攻擊Mandiant，要求其更改密碼。但在許多情況下，社群媒體帳號劫持涉及濫用第三方服務，而不是直接攻擊帳號。Mandiant採取行動恢復帳號，但駭客在復原過程中一度重新獲得了控制權，MalwareHunterTeam指出考慮到一些 X 用戶在遭受駭客攻擊後花了幾天甚至更長的時間才重新完全控制其帳號，Mandiant 並沒有花很長時間來恢復該帳號。

Mandiant 並不是第一個帳號被劫持的知名組織或個人。2020 年亞馬遜創辦人 Jeff Bezos、微軟聯合創辦人Bill 、美國前總統歐巴馬和特斯拉執行長馬斯克（在他購買該網站之前）的帳號被接管以宣傳比特幣騙局。另外，加拿大參議員阿米娜·格巴 (Amina Gerba) 的 X 帳號也發生過類似的入侵事件，該帳號也被用來宣傳詐欺計劃。

這些攻擊的性質突顯了網路犯罪分子利用政府和商業機構的社群媒體平台進行加密貨幣詐騙的手段日益複雜。

截至撰寫本文時，Mandiant帳號已在社交媒體平台上恢復。

Black Basta攻擊已過兩個月多倫多公共圖書館至今仍是犯罪現場對外服務將於明年一月逐步恢復?!

Posted on 2023 年 12 月 27 日2023 年 12 月 27 日 by blogadmin

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中，Black Basta攻擊限制了其服務，令TPL的運作方式大規模的改變。圖書館人員以手工核對材料，任何退回的書本或物品都無法重新登入系統中，，大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉，無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿，解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示，該圖書館擁有 100 個分館，擁有 5,000 多名員工，其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務，但圖書館的線上帳戶仍然無法使用，公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示，雖然許多圖書館服務仍在繼續運營，但隨著調查的繼續，圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜，我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道，我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求，這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說，家庭、研究人員和其他人告訴圖書館，他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示，儘管遇到了困難，圖書館仍能允許顧客借閱 50 萬個實體資料，仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說，漫長的恢復過程需要幾個月的時間，因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長，但我們期待著全面回歸，」Bowles說。“儘管這些犯罪分子傷害了我們，但他們當然沒有阻止我們履行我們的使命，即提供免費和公平的圖書館服務，以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織，已被用來攻擊全球超過 329 個組織，並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體，Black Basta 沒有採用激進的前端策略，而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前，Conti的線上聊天內容被洩露，暗示其與俄羅斯政府有聯繫，並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現，自 2022 年以來，Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略，先竊取被害者敏感檔案和資訊，並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體，同時也有感染 Windows 系統的版本。此外，許多攻擊都利用 Qakbot（也稱為 QBot）來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年，多個城市圖書館系統面臨攻擊，其中包括涉及大英圖書館（世界上最大的圖書館之一、英國國家圖書館）的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32

104.194.10.130

104.243.38.65

105.111.60.60

美國密蘇里州的自由醫院遭新型勒索軟體Inc.攻擊後轉移病患

Posted on 2023 年 12 月 22 日2023 年 12 月 22 日 by blogadmin

Photo Credit: https://twitter.com/BrettCallow/status/1737657266105667895

密蘇里州堪薩斯城(Kansas City)的一家名為自由(Liberty) 的醫院本週因網路攻擊限制其系統而難以為患者提供護理。自由醫院在周三(12/21)的更新中表示，該醫院仍在處理週二開始的電腦系統中斷問題。該機構最初不得不將一些患者轉移到其他醫院，但官員表示情況已經穩定，我們繼續按照標準的斷網方案照顧患者。我們沒有在一夜之間將任何額外的患者轉移到其他設施。今天，我們繼續積極調查中斷的根源。

醫院在周三的更新中表示，病患的安全和照護以及讓我們的系統恢復上線是我們的首要任務。我們預計這個過程需要時間。我們的初級和專科護理診所繼續接待某些患者，並根據需要重新安排其他患者。如果您需要重新配藥，請致電您的提供者辦公。

週二(12/20)，醫院敦促那些需要醫療護理的人去其他醫院。官員表示，一些患者被轉移到其他機構，多家當地新聞媒體報道稱，醫院聯繫了堪薩斯城消防局等消防和緊急醫療服務部門，尋求幫助轉移患者。

週二，自由醫院營運長Mike Hopkins告訴《堪薩斯城星報》，消防部門運送了約 30 名患者，另有 10 至 15 名患者被緊急醫療服務機構送往其他醫院。該醫院在周二的聲明中解釋說，在電腦系統癱瘓的情況下，它仍一直在努力記錄患者護理情況。

官員們無法透露這個問題會持續多久，醫生正在與預約的患者聯繫，以找出替代方案。幾名患者告訴當地新聞媒體的記者，他們對不得不重新安排所需的預約感到沮喪，有些患者是在到達醫院後才發現的。

儘管該醫院沒有回應有關這是否是勒索軟體事件的置評請求，但KMBC 報道稱，獲得了獨家消息，該醫院的官員收到了一張勒索信。“我們已經入侵你並下載了你公司的所有機密資料。據報道，該消息稱，它可以傳播給人們和媒體。你的名譽將會被毀掉。不要猶豫，拯救您的生意。我們是能夠快速恢復您的系統的人。從現在開始，您有72小時的時間聯繫我們。” 資安專家Brett Callow亦在其X貼文中證實，Inc.勒索軟體為這次的幕後黑手。

Inc.勒索軟體是2023 年 7 月出現的新型勒索軟體，Inc.將自己定位為受害者挽救聲譽的服務提供者， Inc.勒索軟體業者針對多個行業，這包括對醫療保健、教育和政府實體的攻擊。觀察到的方法包括魚叉式網路釣魚電子郵件以及針對易受攻擊的服務。這包括 Citrix NetScaler 中CVE-2023-3519的利用。一旦威脅行為者獲得初步存取權限，就會利用各種COTS或LOLBIN來繼續內部偵察和橫向移動。與 Inc. 勒索軟體操作相關的工具包括：

NETSCAN.EXE – 多協定網路掃描器和分析器

MEGAsyncSetup64.EXE – 用於 MEGA 檔案共用/同步/雲端服務的桌面應用程式

ESENTUTL.EXE – 用於資料庫管理和復原的 Microsoft 實用程式

AnyDesk.exe – 遠端管理/遠端桌面

勒索軟體攻擊者不休假，這次聖誕節假期攻擊為勒索軟體組織持續專門針對醫療機構的災難性的一年畫上句號。2023 年全年，數十家醫院在勒索軟體攻擊後被迫轉移救護車並關閉部門，危及數千人的生命。