竣盟科技 - Billows 技術/情資訊息分享

新加坡電信Singtel旗下第二家澳洲子公司發生資安事件，疑出自麒麟(Qilin)駭客組織之毒手；同時麒麟的揭秘網站上也驚見台灣受害企業

Posted on 2022 年 10 月 12 日2023 年 2 月 13 日 by blogadmin

繼澳洲的第二大電信業者Optus坦承上月被駭，近1000萬人個資外洩後，新加坡電信公司(Singtel) 於10/10表示，旗下第2家澳洲子公司也遭駭客入侵，Singtel向新加坡交易所（Singapore Exchange）遞交文件，其中包括該公司4月收購的澳洲IT 服務提供商 Dialog的聲明，證實有一個未經授權的第三方恐已取得Dialog的資料。根據外媒報導，針對Dialog的攻擊是來自僅在 Windows 系統上運作的 Agenda 勒索軟體。

Dialog 在澳洲的客戶包括新南威爾士州選舉委員會、公共服務部、昆士蘭衛生局、澳洲維珍航空、澳洲國民銀行(NAB)、Suncorp、阿爾弗雷德衛生局、塔斯馬尼亞大學等，作為IT服務提供商，Dialog擁有1000 多名 IT 專家。Agenda 於2022年8月被發現，是相對較新的勒索軟體，Agenda具有多種功能，包括以安全模式重啟系統並停止特定於伺服器的進程和服務，以及運行多種模式。Agenda還具有檢測規避技術，更改使用者密碼並啟用自動登錄，Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現，根據TrendMicro資安研究報告，麒麟駭客組織是分發Agenda勒索軟體的幕後黑手。

Singtel表示，Dialog的資安事件恐對1000名Dialog現有及前員工，以及約20名客戶造成影響。據悉，首次發現遭駭客攻擊是在9月10日，之後在10月7日再度發現Dialog的小規模資料外洩，其中包括部分員工的個資被公布在麒麟(Qilin)的揭秘網站上。

另外，根據竣盟科技的觀察，麒麟的揭秘網站上，也出現台灣受害企業，該企業為國內上市製藥大廠，麒麟於9月15日公開該受害企業，並於9月22日發布盜竊得來的相關資料。

Agenda勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

E4a319f7afafbbd710ff2dbe8d0883ef332afcb0363efd4e919ed3c3faba0342

28aeb2d6576b2437ecab535c0a1bf41713ee9864611965bf1d498a87cbdd2fab

117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府分享了自 2020 年以來中國國家級駭客最常利用的主要漏洞

Posted on 2022 年 10 月 7 日2023 年 2 月 13 日 by blogadmin

今天美國NSA、CISA 和 FBI這三個聯邦機構在一份聯合諮詢中，詳細說明了自 2020 年以來，最常被中國政府支持的駭客來攻擊別國政府和關鍵基礎設施網路的主要安全漏洞。

該諮詢報告旨在向所有聯邦和州政府機構，特別是涉及關鍵基礎設施的機構和私營部門組織通報顯著的趨勢和常用策略、技術，以及作業程序 (TTPs)，並表示美國國家安全局、中央情報局和聯邦調查局繼續評估中國國家支持的網路活動是對美國政府和民用網路的最大和最具活力的威脅之一。

以下是諮詢中一些細節：

中國國家級駭客正在瞄準美國及其盟國的網路和及關鍵基礎設施網路為目標，以一系列新技術和適應性技術——其中一些對資訊科技部門組織（包括電信提供商）、國防工業基礎 (DIB) 部門組織和其他關鍵基礎設施組織構成重大風險。

中國國家級駭客繼續利用已知漏洞並使用公開可用的工具來瞄準感興趣的網路。NSA、CISA 和 FBI 評估中國政府支持的網絡行為者積極瞄準美國和盟國網路以及軟體和硬體公司，以竊取智慧財產權並開發對敏感網路的存取權。有關最常被利用的CVEs漏洞，請參見下表。

在開採這些漏洞時駭客者常以VPN來隱藏其活動，並針對面向Web的應用程式以獲取初步存取權。上面列出的大多數漏洞都允許駭客悄悄地存取網路，以建立持久性並在其他連接的網路中橫向移動。

那麼，您能做些什麼來更好地保護您的組織免受中國國家級駭客的攻擊呢？該諮詢提供了六種緩解措施：

*盡快更新和修補系統，優先修補本諮詢中發現的漏洞和其他已知的被利用漏洞。

*盡可能使用抗網路釣魚的多因素身份驗證，要求所有使用密碼登錄的帳戶都擁有強大、獨特的密碼，如果有跡象表明密碼可能已被洩露，請立即更改密碼。

*在網路邊緣阻止過時或未使用的協議。

*升級或更換報廢設備。

*轉向零信任安全模型。

*啟用面向 Internet 的系統的強大日誌記錄並監控日誌中的異常活動。

CISA、NSA 和 FBI 強烈鼓勵所有組織審查並應用這些緩解措施，以改善其網路安全狀況並最大程度地降低洩露風險。

了解更多，請參閱完整的公告”Top CVEs Actively Exploited By People’s Republic of China State-Sponsored Cyber Actors”

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CISA 下達命令，要求聯邦機構定期追踪及維護網路資產和漏洞

Posted on 2022 年 10 月 5 日2023 年 2 月 13 日 by blogadmin

10月3日，美國網路安全和基礎設施安全局(CISA) 發布了一項新的約束性作業指引 (Binding Operational Directive-BOD)，指示聯邦政府旗下各單位在未來六個月內必須實現追踪其網路上的資產和漏洞，以提高聯邦網路上的資產可見性和漏洞檢測能力。

BOD 23–01 旨在通過了解其網路中的所有資產以及影響它們的漏洞來幫助聯邦機構提高其網路安全管理能力。聯邦機構有六個月的時間來識別其環境中網路上的 IP 資產以及相關的 IP 網址（主機），並發現和報告這些資產上的可疑漏洞，包括錯誤配置、過時的軟體和缺乏的修補。

名為 BOD 23–01 並於 2023 年 4 月 3 日生效的新指引要求聯邦民事行政部 (FCEB) 機構每 7 天執行一次自動資產發現，此發現必須涵蓋該機構使用的整個IPv4空間，此外，該指令要求FCEB機構每14天對所有發現的資產（包括所有發現的nomadic/roaming設備）啟動漏洞枚舉，CISA 了解，在某些情況下，可能無法在 14 天內完成對整個企業的全面漏洞發現。但是，它補充說，仍應定期啟動枚舉過程，以確保能定期掃描機構內的所有系統，並在發現後的72小時內自動將漏洞枚舉結果導入在機構的連續診斷和緩解（Continuous Diagnostics and Mitigation-CDM）儀表板，以利向CISA提供有關資產和漏洞資訊。根據指引，由於已得到Improving the Nation’s Cybersecurity(改善國家網路安全)行政命令的授權，到 2023 年 4 月 3 日，聯邦機構和 CISA 將通過 CDM 計劃部署更新的 CDM 儀表板配置，使 CISA 分析師能夠存取漏洞枚舉數據。

CISA 表示BOD 23–01指引，可確保資產管理和漏洞檢測實踐，從而增強其組織的網路彈性，並補充說這將有助於縮小攻擊面的差距。 BOD 23–01的目標是維護最新的網路資產清單，識別軟體漏洞，跟踪機構的資產覆蓋範圍和漏洞徵，並在規定的時間間隔內將該資料分享給 CISA。CISA主任 Jen Easterly在一份聲明中說，威脅行為者繼續瞄准我們國家的關鍵基礎設施和政府網路，以利用未知、未受保護或保護不足的資產中的弱點，Easterly表示了解網路上的內容是任何組織降低風險的第一步。

雖然該指令是對聯邦民事機構的授權，但 CISA仍敦促所有企業，包括私營實體和州政府，審查和實施嚴格的資產和漏洞管理計劃。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

研究人員警告Microsoft Exchange Server中存有新的零時差漏洞，並已被駭客實際開採

Posted on 2022 年 9 月 30 日2023 年 2 月 13 日 by blogadmin

越南資安公司 GTSC 警告說，在Microsoft Exchange Server 中發現了新的零時差漏洞，這可導致遠端程式碼執行(RCE)，GTSC 的 SOC 團隊在周四的一篇博客文章中詳細介紹了先前未披露的Exchange 漏洞及其臨時遏制計劃，以幫助其他人在微軟提供官方修補之前阻止攻擊。GTSC在8月份為客戶提供服務時，首次發現該漏洞在 IIS 日誌中以與ProxyShell 漏洞相同的格式發出漏洞利用嘗試。雖然該公司在發現零時差漏洞後不久就聯繫了Zero Day Initiative (ZDI) 漏洞懸賞計畫，以便與微軟合作，盡快準備好修補，然而到目前為止，GTSC 已經看到其他客戶系統正在被這個 0-day 漏洞攻擊。另外，這兩個漏洞尚未正式分配CVE標識符（CVE ID），但被ZDI跟踪為ZDI-CAN-18333（CVSS 分數：8.8）和ZDI-CAN-18802（CVSS 分數：6.3）。

GTSC表示，成功利用這些漏洞可能會被濫用以在受害者的系統中建立立足點，從而使攻擊者能夠投放Web shell並在受感染的網路中進行橫向移動

GTSC 的紅隊確認如何利用該漏洞存取 Exchange後端的組件並執行 RCE，但並未公佈這些技術的細節。然而，GTSC確實表示它記錄了攻擊以收集資料並在受害者系統中建立立足點，檢測到大部分被混淆的 Web shell 被採用到 Exchange伺服器，同時GTSC檢測到攻擊者使用了Antsword，這是一個基於中文的開源跨平台網站管理工具，支援 Web shell 管理。GTSC推測，由於 Web shell 的簡體中文編碼，攻擊可能源自中國駭客組織。攻擊中還部署了China Chopper web shell，這是一個輕量級後門，可以授予持久遠端存取權限，並允許攻擊者隨時重新連接以進行進一步利用。

值得注意的是，去年ProxyShell 漏洞遭到廣泛開採時，Hafnium 也部署了China Chopper web shell ，Hafnium 是一個在中國境外運營的APT駭客組織。

GTSC 觀察到的進一步利用後活動包括將惡意 DLL 注入內存，使用 WMI 命令行 ( WMIC ) 實用程式在受感染的伺服器上丟棄和執行額外的payloads。

據悉該漏洞利用分為兩個階段：

1.與 ProxyShell 漏洞格式類似的request： autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com。

2.使用上面的連結存取可以實現 RCE 的後端組件。

研究人員說：“這些 Exchange 伺服器的版本表明已經安裝了最新的更新，因此不可能利用 ProxyShell 漏洞進行利用。

可用的臨時緩解措施:

在 Microsoft 發布安全更新以解決這兩個零時差漏洞之前，GTSC共享臨時緩解措施，通過使用 URL 重寫規則模組添加新的 IIS 伺服器規則來阻止攻擊嘗試：

1. 在前端的自動發現中，選擇選項卡 URL 重寫，然後選擇請求阻止。

2. 將字串“ .*autodiscover\.json.*\@.*Powershell.* ”添加到 URL 路徑。

條件輸入：選擇 {REQUEST_URI}

3. GTSC 補充說：“我們建議全球所有使用 Microsoft Exchange Server 的組織/企業盡快檢查、審查和應用上述臨時補救措施，以避免潛在的嚴重損害。”

想要使用此漏洞檢查其 Exchange伺服器是否已被入侵的管理員可以操作以下 PowerShell 命令來掃描 IIS 日誌檔案以查找入侵指標：

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0又出手，台灣某上市軟體系統整合商遭殃;台灣跨國上市網通品牌疑遭駭客組織SiegedSec入侵

Posted on 2022 年 9 月 28 日2023 年 2 月 13 日 by blogadmin

上市公司資安事件頻傳，落實資安管理與防護為當務之急!

竣盟科技最近觀察到多起對台灣上市企業網路攻擊的情形，包含台灣某上市軟體系統整合商( System Integration-SI) 被勒索軟體LockBit3.0加密；上市網通大廠遭駭客組織SiegedSec攻擊，226份檔案遭外洩，及上週某上市半導體遭勒索軟體LockBit3.0入侵。

根據NCC 集團全球威脅情報團隊發布的研究，勒索軟體LockBit 3.0 佔 8 月份所有攻擊事件的40%，是當月威脅最大的勒索軟體，共涉及 64 起事件。

據觀察，典型的 LockBit 3.0 攻擊過程包括：

*透過受感染的電子郵件附件、種子網站或惡意廣告來散播勒索軟體 LockBit 3.0。

*LockBit 3.0 感染受害者的設備，加密檔案，並將加密檔案的副檔名改為“HLjkNskOq”。

*然後需要一個稱為“-pass”的命令行參數密鑰來執行加密。

*LockBit 3.0建立多個線程同時執行多個任務，從而可以在更短的時間內完成數據加密。

*LockBit 3.0 刪除了某些服務或功能，使加密和洩露過程變得更加容易。

*API用於隱藏服務控制管理器數據庫存取。

*受害者的Desktop桌布會更改，以便他們知道自己受到攻擊。

另外，本週觀察到某網通大廠遭SiegedSec攻擊，被盜兩百多個檔案，當中包含工具跟設定檔和韌體更新等檔案，SiegedSec在其Telegram頻道上發布從該網通大廠盜竊得來的資料的Mega連結，任何加入這個頻道的人，都可任意下載。根據The Tech Outlook的報導，SiegedSec 是一個很小且很新的駭客團體，但成員遍布全球。該團體成立於 2022 年初，以偷竊數據為目標，攻擊時不會佈勒索軟體加密受害系統，SiegedSec因攻擊韓國IT監控服務公司WhaTap並從WhaTap儀表板刪掉其項目而得外界關注，此次被SiegedSec攻擊的網通大廠為第二家台灣廠商，2022 年6月，一家台灣電信公司也曾遭SiegedSec入侵並外洩數據。

台灣上市公司遭受駭客攻擊的情況愈演愈烈，竣盟科技建議您:

*通過關閉或強化 RDP、計劃如何以及何時進行安全更新以及培訓用戶發現惡意電子郵件來避免最初的存取。

*通過使用最小權限原則、分割您的網路和部署 EDR，使權限升級和橫向移動盡可能困難。

*使用可以識別勒索軟體並有回滾保護機制的反惡意軟體解決方案。

*使用攻擊者無法觸及的異地離線備份確保數據安全。

*接受即使有最好的防禦，入侵行為仍然可能發生，而準備災難復原計畫

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

Posted on 2022 年 9 月 23 日2023 年 2 月 13 日 by blogadmin

竣盟科技在9月20日在LockBit的揭秘網站上，驚見又一台灣上市半導體被列為受害者，該企業位於新竹科學園區是我國半導體重鎮的知名廠商，以再生晶圓及晶圓薄化起家。

目前，LockBit勒索軟體集團聲稱在9/19成功加密該半導體大廠並給予8天的談判時間，如果在9/28前未付贖金將公布所有盜竊得來的數據。資安研究員 Dominic Alvieri也在其推特上公佈這家台灣半導體

最近，LockBit公告已發出第一筆Bug Bounty的獎金，據悉此筆金額為5萬美元，挖掘漏洞為一名暱稱叫Aussie的駭客，發現了LockBit加密算法存在漏洞可允許恢復特定檔案類型，主要是 VHDK、VMDK 和備份檔案，目前LockBit已修補好該漏洞。

本週，BleepingComputer報導，有人在Twitter上散布勒索軟體LockBit 3.0（又稱LockBit Black）的產生器(Builder)，該產生器包含受密碼保護的7z archive “LockBit3Builder.7z”，檔案包含：

Build.bat;

builder.exe;

config.json;

keygen.exe.

LockBit的產生器流程圖

Unknown person @ali_qushji said his team has hacked the LockBit servers and found the possible builder of LockBit Black (3.0) Ransomware. You can check it on the GitHub repository https://t.co/wkaTaGA8y7 pic.twitter.com/cPSYipyIgs
— 3xp0rt (@3xp0rtblog) September 21, 2022

根據Bleeping Computer，已證實此勒索軟體產生器確實是LockBit所持有的檔案，據悉是由對LockBit組織心懷不滿的開發者所外洩的。這些檔案在不久的將來很可能被其他駭客利用，對防守者將帶來更大的威脅。該產生器由四個檔案組成，其中之一是“config.json” 檔案。駭客可以通過多種方式存取它並自訂義加密器，包括修改贖金記錄、更改配置選項、決定停止哪些進程和服務，甚至指定加密器的C2伺服器。

BleepingComputer在測試產生器時，能夠輕鬆地對其進行修改，以利用他們的本地的C2伺服器，加密數據及解密數據。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Lorenz勒索軟體利用Mitel MiVoice VOIP中漏洞入侵企業網路

Posted on 2022 年 9 月 16 日2023 年 2 月 13 日 by blogadmin

根據ArcticWolf Labs的 IT 安全研究人員已發出警告，攻擊者可以利用廣泛使用的 VoIP 軟體中的漏洞來獲得對實體公司網路的初始存取權限。根據他們的研究，Lorenz勒索軟體通過利用 MiVoice Connect 的 Mitel Service Appliance設備來入侵企業網路。最初的惡意活動源自位於網路外圍的Mitel設備，Lorenz利用遠端程式碼執行漏洞（CVE-2022–29499）來獲取反向shell（reverse shell），然後使用Chisel作為隧道工具進入網路。

資安公司CrowdStrike 6 月份的一份Blog中，報告了相同的零時差漏洞，並還提供了觀察到的駭客攻擊手法的詳細說明。另外，根據安全研究員 Kevin Beaumont透露，Mitel VoIP 產品也一個有利可圖的切入點，因為有近 20,000 台Mitel VoIP設備暴露互聯網上，使它們容易受到惡意攻擊。

據ArcticWolf Labs研究人員稱，攻擊者在獲得初始存取權限後等待了近一個月的時間來執行後利用操作，包括通過 web shell 建立持久性、獲取憑據、網絡偵察和權限升級，然後進行了橫向移動。他們利用 FileZilla 進行數據洩露，並通過 BitLocker 執行加密。最後，他們在 ESXi 系統上啟動了 Lorenz 勒索軟體。與許多其他勒索軟體組織一樣，Lorenz 以通過在加密系統之前竊取數據進行雙重勒索而聞名，至少在2021 年 2 月以來，攻擊者針對位於美國的中小型企業 (SMB)，同時也攻擊中國和墨西哥的組織，根據HackRead的報導，包含上海美國商會、Fuji和 MagTek都被列為Lorenz勒索軟體的受害者。

駭客越來越多地針對鮮為人知/受監控的資產來逃避檢測。因此，在這種情況下，僅監控關鍵資產是不夠的，安全團隊必須應監控所有面向外部的設備以發現潛在的惡意活動，包括 VoIP 和物聯網設備。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

極端氣候導致Twitter 關鍵性數據中心暫時關閉

Posted on 2022 年 9 月 14 日2023 年 2 月 13 日 by blogadmin

加州的極端高溫使Twitter關掉了其在首府Sacramento的一個關鍵數據中心， CNN報導稱Twitter內部高層中警告說，如果還有其他數據中心斷網，可導致其用戶服務陷入困境。

與所有主要社交媒體平台一樣，Twitter 依賴數據中心，這些數據中心本質上是裝滿電腦設備如伺服器和存儲系統等的巨大倉庫。控制數據中心的溫度對於確保電腦不會過熱和故障至關重要。為了節省冷卻成本，一些科技公司將它們的數據中心建立在寒冷氣候的國家中。例如，Google於 2011 年在芬蘭開設了一個數據中心，Meta 自 2013 年以來在瑞典北部設立了一個數據中心。

9 月 5 日標誌著北加州歷史上最大熱浪的開始：Sacramento市中心達到 113華氏(攝氏45度)，隨後達到116 度(46. 7 攝氏度)，上週二成為該市有記錄以來最熱的一天。

“9 月 5 日，由於極端天氣，Twitter 失去了Sacramento 數據中心區域。史無前例的事件導致 SMF 的實體設備完全關閉。”該公司工程副總裁 Carrie Fernandez 在周五給 Twitter 工程師的內部消息中說。

根據Fernandez週五的通告，由於Sacramento的離線，Twitter 處於非冗餘狀態(non-redundant)。她進一步說，Twitter在亞特蘭大和波特蘭的數據中心仍在運行，但警告說”如果我們失去其中一個數據中心，我們可能無法為所有 Twitter 用戶提供流量。”

該通告同時禁止對 Twitter 產品進行非關鍵更新，直到該公司能夠完全恢復其Sacramento數據中心服務。Fernandez 寫道：”所有production的變更，包括行動平台的部署和發布，都需暫停，只有解決服務連續性或其他緊急運營需求所需的變更除外。”

據美國有線電視新聞網報導，Twitter 前安全負責人 Peiter Zatko 上個月在向包括證券交易委員會在內的多個聯邦政府機構的舉報稱，Twitter 的“數據中心冗餘不足”會增加短暫服務中斷的風險，甚至可能會導致 Twitter 永久下線。

Twitter 在給 CNN 的一份聲明中僅表示，目前沒有任何干擾影響人們存取和使用 Twitter。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

警訊響起了！兩天內4家台灣企業紛紛落入勒索軟體LockBit3.0毒手

Posted on 2022 年 9 月 7 日2023 年 2 月 13 日 by blogadmin

受害名單包括:

*某知名上市IT代理商

*某日本上市集團在台子公司(工廠自動化零件生產商)

*國際知名運動品牌成衣製造商

*精品磁磚建材供應商

根據竣盟科技的觀察，分別在9月5和6日，我國共有 4 家公司被列入為LockBit3.0的受害名單。當中值得注意，某名知上市IT代理商，主要針對企業網路之架設、網路系統安全、網路管理及備援系統等領域，提供整體性的規劃及系統整合服務，為各大小公司提供資安服務及產品，為專業網路系統加值代理商，在業界享譽盛名，LockBit 3.0聲稱將於9月16日發布所有從該公司盜竊得來的數據，懷疑談判破局。

針對日商在台子公司(專門生產螺絲･螺栓，FA・模具零件、工具・工場消耗品) 目前已設時間器(Timer)，摧毀資料Destory all information)及可下載數據(Download data at any moment)的按鈕，可供任何願意付錢的人仕延長24小時間及消毀或下載數據。有趣的是，LockBit 3.0給予日商在台子公司長達99天的協商期限。

根據日本共同社的報導，LockBit的幹部日前接受其採訪，表示擁有100人以上夥伴，其中包括多名日籍駭客，還將招募更多的日籍夥伴，該幹部稱，LockBit是“以金錢為目的的完全非政治組織”，“成員不僅來自前蘇聯國家，還有日本人、中國人及美國人”。該人表示勒索的金額因企業規模及加密數據的價值而異，大致是年銷售額或年收入的0.5%～10%。該人未透露迄今獲得的錢款總額。

針對語言而招募特定國籍的駭客似乎是一個趨勢，值得我們思量的是LockBit是否也已招募了台籍駭客，使其攻擊更加順利，然而就目前的觀察，仍不能太早下結論，但值得我們持續關注下去!

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

《財富》世界500強之一，家電巨擘美的集團遭REvil勒索軟體入侵!

Posted on 2022 年 9 月 2 日2023 年 2 月 13 日 by blogadmin

被推定已被美國與其它國家聯手殲滅的REvil勒索軟體集團，於 2022 年 4 月死灰復燃攻擊了印度國營石油公司Oil India，今又宣稱已入侵中國美的集團(Midea Group)。

REvil在其揭秘網站上聲稱從美的集團竊取了各種不同的數據，包括其產品生命週期管理 (PLM) 系統——包括藍圖和韌體來源，以及“準備出售”的財務資料，REvil還聲稱竊取了來自 Git 和 SVN 版本控制系統的大量原始碼數據。

根據勒索軟體集團發佈的螢幕截圖，似乎已竊取數TB的數據。

另外，據相信REvil已經將大量據稱從美的集團獲取的檔案發布在暗網，這些檔案包括數位身份證件的掃描，該公司VMware vSphere用戶端內部的螢幕截圖，大量壓縮的7zip存檔以及SSH密鑰。

美的集團擁有超過 15 萬員工，擁有 200 多家子公司，營業額超過 530 億美元。該公司在全球財富 500 強名單中排名第 245 位，美的集團擁有德國公司KUKA的多數股權，該公司是世界上最大的機器人和家用電器製造商。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”