Agenda Ransomware一種Go語言的新勒索軟體

資安研究員披露了一種用 Golang 編寫的名為“ Agenda ”的新勒索軟體,已發現針對印尼、沙特阿拉伯、南非和泰國的醫療保健和教育實體基於 Windows 的系統發動攻擊。

該勒索軟體以 Golang (Go) 跨平台編程語言編寫,從技術角度來看,Agenda 提供了多種功能,包括以安全模式重啟系統並停止特定於伺服器的進程和服務,以及運行多種模式。Agenda還具有檢測規避技術,更改使用者密碼並啟用自動登錄,Agenda利用受影響設備的安全模式功能來繼續其檔案加密而不被發現。Agenda使用 AES-256 加密檔案,並使用 RSA-2048 加密生成的密鑰。資安公司TrendMicro表示,觀察到的樣本都是客制化的,每個受害者要求的贖金金額也不同,介於 50,000 美元到 800,000 美元之間。

Photo Credit: TrendMicro

Agenda 除了利用本地帳戶憑證來執行勒索軟體二進製檔案外,還具有感染整個網路及其共享驅動程序的功能。在一個案例中,作為一次攻擊的一部分,攻擊者利用面向公眾的 Citrix 伺服器作為切入點,在經過一段時間的初步偵察後不到兩天內就部署了勒索軟體。

“勒索軟體還利用本地帳戶以欺騙用戶身份登錄並執行勒索軟體二進製檔案,如果登錄嘗試成功,則進一步加密其他機器。它還終止大量進程和服務,並通過將 DLL 注入 svchost.exe 來確保持久性”TrendMicro指出。

TrendMicro觀察到Agenda 與知名勒索軟體包括Black Basta、Black Matter和REvil(又名 Sodinokibi)之間的相似之處,具體來說,Agenda 的支付站點和在其 Tor 站點上實施的用戶驗證類似於 Black Basta 和 Black Matter,而在安全模式下更改 Windows 密碼和重啟系統的能力類似於 Black Basta 和 REvil。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

密碼管理公司LastPass的開發系統被入侵,原始碼與專利技術資訊被竊取!

密碼管理器供應商LastPass周四(8/25)表示,駭客入侵了其開發人員的一個帳號,利用該帳號存取了專有技術資訊與部分原始程式碼,然而LastPass稱其用戶的密碼仍然安全,表示沒有證據表明客戶數據或加密的密碼庫遭到破壞,稱其產品和服務運行正常。LastPass進一步說資安事件發生在兩週前,資安公告已通過電郵發送給其客戶。

LastPass通知客戶的Email

LastPass表示為應對這一事件,已部署了遏制和緩解措施,並正在實施額外的增強安全措施,另外也聘請了外部的資安鑑識公司為事件進行調查。目前已達到遏制的狀態,沒有看到任何未經授權的活動的進一步證據。

值得一提的是 LastPass尚未提供有關攻擊的更多詳細資訊,例如駭客如何入侵開發人員的用戶帳號, 以及哪些原始碼被盜。

LastPass 是世界上最大的密碼管理公司之一,聲稱被超過 3300 萬人和 100,000 家企業使用。由於消費者和企業使用該公司的軟體來安全地存儲他們的密碼,因此有人擔心該公司被駭客入侵,可能會允許攻擊者存取存儲的密碼。

然而LastPass 堅稱,事件並未危及管理其旗艦密碼管理軟體中加密保險庫(Encrypted vaults)存取權限的主密碼(Master Passwords),LastPass將密碼存儲在加密保險庫中,只能使用客戶的主密碼進行解密,LastPass稱Master Passwords在此次網路攻擊中並未受到破壞。

去年,LastPass遭受了撞庫攻擊,攻擊者可以確認用戶的主密碼。據透露,LastPass主密碼是因為利用RedLine Stealer惡意軟體的駭客而被竊取。

因此,在您的 LastPass 帳戶上啟用多因素身份驗證至關重要,這樣即使您的密碼被洩露,駭客也無法存取您的帳戶。

CISA就Palo Alto防火牆的 PAN-OS漏洞的遭駭客積極開採,發出警告,並將其添加到已知遭濫用之漏洞清單

美國網路安全暨基礎設施安全局(CISA)週一(8/22)將影響Palo Alto Networks PAN-OS 的安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities Catalog)中。漏洞編號CVE-2022-0028(漏洞風險值8.6)是一種URL 過濾政策錯誤配置的高嚴重性漏洞,可允許未經身份驗證的遠端攻擊者執行反射和放大的 TCP 阻斷服務(Reflected Amplification Denial-of-Service, RDoS)攻擊。針對攻擊者選擇的目標,DoS 攻擊似乎源自 Palo Alto Networks PA 系列設備、VM 系列(虛擬)和 CN 系列(容器式)防火牆。

該供應商表示最近獲悉,多家供應商的防火牆被濫用來進行分佈式阻斷服務 (DDoS) 攻擊,但它沒有透露受影響公司的名稱,Palo Alto的資安通告提及,這種企圖攻擊利用了來自多個供應商的易受攻擊的防火牆,包括Palo Alto Networks在內,Palo Alto的資安通告稱,儘管漏洞被利用,但這個問題不會影響其產品的機密性、完整性或可用性。 然而,由此漏洞產生的阻斷服務 (DoS) 攻擊可能有助於混淆攻擊者的身份,並將防火牆作為攻擊的來源。

CVE-2022-0028這項漏洞影響適用於 PA 系列、VM 系列和 CN 系列設備的以下 PAN-OS 版本:

PAN-OS 10.2(10.2.2-h2 以前的版本)

PAN-OS 10.1(10.1.6-h6 以前的版本)

PAN-OS 10.0(10.0.11-h1 以前的版本)

PAN-OS 9.1(9.1.14-h4 以前的版本)

PAN-OS 9.0(9.0.16-h3 以前的版本)

PAN-OS 8.1(8.1.23-h1 以前的版本)

以及Cloud NGFW、Prisma Access

據 Palo Alto Networks 稱,漏洞並不影響 Panorama M 系列或 Panorama 虛擬機器,CVE-2022-0028也已作為Palo Alto本月發布的更新一部分得到解決。

鑑於駭客積極開採,CISA建議受影響產品的用戶應用相關修補以減輕潛在威脅,並下令美國聯邦民事行政部(FCEB)必須在 2022 年 9 月 12 日之前更新到最新版本。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日系產險公司-台灣佳朋保險經紀人SOMPO,公告遭網路攻擊

日本母公司SOMPO Holding同時發出聲明,強調攻擊僅限於台灣子公司,不影響集團的其他公司

8月23日,台灣佳朋保險經紀人(SOMPO Taiwan Brokers-STB)在其官網宣布遭受網路攻擊,在發現攻擊後立即採取網路中斷措施,以防止損害擴大。目前,針對是否存有資料外洩,已委請外部機構進行調查及分析,並已通報政府機構與調查當局,STB承諾會與外部資安機構及調查單位作出最適當的應對。直至目前尚不清楚此起網路攻擊的性質,是否為勒索軟體攻擊。竣盟科技截至目前尚未在任何主流的勒索軟體揭秘網站上,看到任何勒索團體聲稱已入侵STB。

STB的日本母公司SOMPO Holdings同時在今天證實此次網路攻擊事件https://www.sompo-hd.com/

Sompo Holding的聲明與STB類似,但進一步強調稱攻擊僅限於台灣子公司,不影響集團的其他公司。

STB是日本SOMPO Holdings在台灣獨資之保險服務據點,總公司於1888年成立,在全球32個國家地區擁有據點。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國國家級駭客組織RedAlpha針對全球人道主義、智囊團和政府發動大規模憑證盜竊活動

研究稱RedAlpha對台灣非常關注,包含民進黨、美國在台協會國防安全研究院和外交部等都是其目標。此APT駭客組織擅長利用假冒但逼真的登入網頁進行釣魚攻擊,達到竊取帳號憑證的目的。

RedAlpha製做假冒我國外交部的登入網頁進行釣魚攻擊 Photo Credit: Insikt Group

根據Recorded Future旗下Insikt Group的研究指出,中國APT客組織RedAlpha至少自 2015 年以來一直以”高速”運作,但直到 2018 年才引起資安全人員的注意,RedAlpha專門從事大規模憑證收集,通過令人信服的網路釣魚電子郵件和附加的 PDF檔案來實現,將受害者導入假冒但逼真的登錄頁面,以竊取用戶名和密碼等登陸憑證。分析師稱,自 2019 年以來該活動進一步增加,在過去三年中,觀察到 RedAlpha 註冊和武器化350個網域名,以進行網路間諜活動,欺騙各大組織,利用大量網域名仿冒人道主義、智庫和政府組織當中包括:

自由亞洲電台(Radio Free Asia)

德國墨卡託中國研究所( Mercator Institute for China Studies)

大赦國際(Amnesty International)

國際人權聯合會International Federation for Human Rights

美國商會(包括台灣美國商會)American Chamber of Commerce( including AmCham Taiwan)

普渡大學(Purdue University )

印度國家資料中心(India’s National Informatics Centre)

台灣民進黨(Taiwan’s Democratic Progressive Party)

美國在台協會(American Institute in Taiwan)

全球多個國家的外交部(Ministries of foreign affairs in multiple countries globally)

值得注意的是,報告指出,隨著在過去一年美中在台灣問題上關係日益緊張,RedAlpha對台灣的機構特別感興趣,包含民進黨、美國在台協會,國防安全研究院和外交部等都是其目標。此外還發現,RedAlpha還對巴西、越南和葡萄牙的外交部以及印度國家資料中心進行了憑證盜竊攻擊,RedAlpha使用以下與台灣組織有關的假冒網域名:

Photo Credit: Insikt Group

根據Insikt Group的分析,RedAlpha維護著龐大的運營基礎設施,目的是針對與這些組織直接相關的個人,而不是簡單地模仿這些組織來針對其他第三方。據信RedAlpha與一家名為江蘇君立華域信息安全技術股份公司(前身為南京青苜信息技术有限公司)的中國信息安全公司有關聯,RedAlpha用來註冊假冒的惡意域名的一個電郵地址與此公司有關聯,而江蘇君立華域信息公司正與多家中國政府所有的企業有業務往來,突顯了RedAlpha 活動與中國政府有關聯。

有關RedAlpha的”部分”入侵指標(Indicator of compromise -IOCs):

SHA 256

ff1b335b8c25f5879935933b05a4ae0d3a424f3c6f797dbe9b3d93f5e67cc055

fe93dc40b80e7a5f5ca35f5efdeefe043caffe20befaa3345ffe3560fe54518d

f3384e36784f88f2c83ff524f99accbc7bb3b2804a936c0d9cf10da749eca10d

d1deb6661df0414663012dac208bda9db1a6ed964d6da022ab8b4763cbb37f48

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體搞烏龍,錯認受害者?! Clop駭入英國供水商South Staffordshire Water卻稱Thames Water是其受害者

英國South Staffordshire Water是一家每天為160萬名消費者提供 3.3 億升飲用水的公司,證實遭受網路攻擊,導致 IT 中斷。

8 月 15 日,South Staffordshire Water公告遭網路攻擊,IT系統中斷但沒有影響向其客戶或其子公司Cambridge Water 和 South Staffs Water的客戶供水,表示安全和配水系統仍在運行,該公司表示正在與英國政府和監管機構合作解決IT 中斷這一事件。

與此同時,Clop勒索軟體組織開始威脅Thames Water,聲稱已告知Thames Water其網路安全漏洞,雖然沒有加密他們的數據,但從其系統中盜取 5TB,並公佈了第一個被盜數據樣本,其中包括護照,水處理SCADA系統的螢幕截圖,駕駛執照等。Thames Water 是英國最大的水供應商和廢水處理供應商,服務於大倫敦地區和泰晤士河周邊地區。

Cl0p聲稱入侵Thames Water,實情並非如此

然而,Thames Water今天通過一份聲明正式駁斥這些說法,稱有關Clop入侵其網路的報導是網路騙局。

根據BleepingComputer,在取得的證據樣本中,Clop 提供了一個包含用戶名和密碼的電子表格,其中包含 South Staff Water 和 South Staffordshire 的電郵address,如下所示:

另外,其中一份發送給目標公司的外洩檔案明確寫給了 South Staffordshire PLC。因此,相信Clop錯誤地識別了他們的受害者,或者試圖使用虛假證據敲詐一家更大的公司。

隨後,Clop糾正了他們的錯誤,現將 South Staffordshire Water 列為其受害者。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國CISA和FBI對針對醫療機構的勒索軟體Zeppelin發出警報,並發布有關緩解指南

美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 發布了關於 Zeppelin 勒索軟體即服務 (RaaS) 操作的聯合安全警報,根據統計自2019年到 2022 年 6 月間,該操作除了廣泛針對醫療保健和醫療領域的組織之外,也發現攻擊包括國防承包商、教育機構、製造商、技術公司等組織。

Zeppelin勒索軟體是基於 Delphi 的 Vega 惡意軟體的變種,已觀察到攻擊者使用各種向量來獲得對受害者網路的初始存取權限,尤其是利用遠端桌面協議 (RDP)、SonicWall 設備中的漏洞、面向 Internet 的應用程式中的漏洞以及網路釣魚電子郵件,基於網路釣魚的攻擊結合使用惡意鏈接和包含惡意宏的附件。

在部署勒索軟體有效酬載之前,攻擊者通常會在受害者的網路中花費大約 1-2 週的時間。在此期間,他們枚舉受害者的網路,識別感興趣的資料,包括備份和雲端存儲服務,並洩露敏感數據,然後發出贖金要求,通常以比特幣形式發出,要求從幾千美元到超過一百萬美元不等。

FBI 觀察到多次攻擊,Zeppelin在受害者的網路中多次執行惡意軟體的情況,這意味著受害者擁有多個 ID 和副檔名,導致需要多個不同的解密工具來恢復他們的檔案,這增加了從攻擊中恢復的複雜性。

CISA 和 FBI 共享了入侵指標 (IoC) 和 Yara rules,以幫助網路防禦者識別正在進行的攻擊並在檔案加密之前阻止攻擊,還共享了緩解措施以降低妥協的風險,其中包括:

*根據美國國家標準與技術研究院(NIST)發佈的最新標準為所有帳戶制定和管理密碼策略

*為所有數據制定可靠的備份計劃 – 創建數據和伺服器的多個備份,將這些備份存儲在單獨的、分段的和安全的位置,加密備份並測試備份以確保可以進行檔恢復

為所有服務(尤其是用於訪問關鍵系統的 Web 郵件、VPN 和帳戶)實施多因素身份驗證。

*確保所有軟體和韌體保持最新

*在所有主機上安裝防病毒軟體並定期更新軟體

*對所有具有管理員許可權的用戶帳戶進行定期審核

*應用最小特權原則

*為管理員級別及更高級別的帳戶實施基於時間的控制

*禁用所有未使用的埠

*禁用收到的電子郵件中的超連結,併為來自外部來源的所有電子郵件添加橫幅

*禁用命令行和腳本活動和許可權,以防止橫向移動。

FBI鼓勵受害者與其分享資訊,敦促如在企業網路中檢測到 Zeppelin 勒索軟體活動的 IT 管理員,應與其共享任何相關攻擊的資訊。有助於識別該勒索軟體背後攻擊者的有價值數據包括“顯示與外國 IP 地址之間的通信的邊界日誌、勒索信樣本、與Zeppelin參與者的通訊、比特幣錢包資訊、解密檔案和/或一個良性樣本的加密檔案。”

最後,FBI 補充說,它不鼓勵向 Zeppelin 支付贖金,並建議受害者不要這樣做,因為他們無法保證支付贖金會防止數據洩露或未來的攻擊。

有關Zeppelin的”部分”入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

發現不同的犯罪集團對數家知名中國企業出手,上海復星集團,中國電信等紛紛上榜

竣盟科技最近觀察到一系列對中國企業的網攻情形,包含中國跨國集團上海復星遭LockBit3.0的入侵、中國電信(China Telecom)遭網路僱傭軍集團Atlas Intelligence Group攻擊、中國最大的民營能源公司新奧集團ENN Group遭Hive勒索軟體加密。

上海復星集團

8 月 9 日 , 操作勒索軟體LockBit 3.0 駭客, 在其揭秘網站LockBit Leaked Data上宣稱已入侵中國復星集團,並同時發佈多達11個檔案作為入侵證據,公佈已盜200+ GB 的數據。值得一提的是LockBit聲稱以密碼123456闖入復星的網路,並嘲諷他們不應使用該組容易被破解的弱密碼。此外, LockBit 給復星長達33天的期限,來談判有關支付贖金的事宜。

LockBit揭秘網站-復星的頁面

中國電信

8 月 7日,Atlas Intelligence Group(A.I.G),也被稱為亞特蘭蒂斯網軍,在其 Telegram頻道上, 公佈已成功入侵中國電信, 隨後在8 月 9 日,即公開中國電信約6Gb/122 json 檔案作為證據樣本,猜測外洩的數據來自未被保護Elastic cluster。

被懷疑是A.I.G.的首腦Mr. Eagle在Telegram上提供中國電信的樣本

根據Cyberint的一份報告,網軍A.I.G於今年五月浮出水面,銷售的服務包括數據洩露、分佈式拒絕服務(DDoS)、遠端桌面 (RDP) 連線劫持和其他網路滲透服務。

新奧集團

另外,8 月 4日,Hive勒索軟體披露加密了中國最大的民營能源公司新奧集團(ENN Group),ENN Group是中國最大的清潔能源分銷商,主要業務爲在中國投資、建設、經營及管理燃氣管道基礎設施、車船用加氣站及綜合能源項目,銷售與分銷管道燃氣、液化天然氣及其他多品類能源,集團在中國擁有187 個城市燃氣項目。Hive公佈加密日期為2022 年 7 月 6 日,目前仍未沒有看到任何數據的樣本,估計如果雙方的談判破裂,ENN Group被盜的數據將很快被公佈。

不能不提的是,2022 年6 月底韓國網絡安全機構 KISA,針對Hive勒索軟體v1-v41版本 4發布了一個免費的解密工具。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

駭客攻擊導致丹麥全國7-11無法使用收銀機及支付系統,約175家門市緊急關店

丹麥週一(8/8)的早上,全國7-11門市緊急關閉。據悉,由於當天凌晨發生網路攻擊,丹麥7-11官方Facebook 帳號發文稱他們很可能受到駭客攻擊,其全國範圍的支付和結帳系統遭入侵,導致無法使用收銀台和付款,致使丹麥所有的 7-11暫停營業。

客人發現無法在7-11購買而離開
丹麥7–11貼出公告-暫停營業
丹麥7-11官方聲明發佈到Facebook

丹麥7-11表示,現階段他們正在了解受駭範圍,將盡快釐清並恢復。目前尚未透露何時重新營業。

根據BleepingComputer,現在被已刪除的 Reddit 發文中,一名據稱位於丹麥的 7-11 員工證實了網路攻擊,稱在結賬系統癱瘓後,被迫關店,7-11員工在 Reddit上說,我是在 Strøget 的 7-11 工作,我們的結賬系統無法使用,全國所有的 7-11 都使用相同的系統,所以丹麥的所有 7-11 現在都關店。

目前,官方丹麥7-11沒有透露關於這次攻擊的更多細節,包括是否涉及勒索軟體,這已成為導致大規模中斷的最常見網路攻擊。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

裴洛西訪台前後,疑為中國駭客對台灣進行網路攻擊之概況

8月2日,美國聯邦眾議院議長裴洛西(Nancy Pelosi)抵台前夕,多家本地媒體報導,總統府官網遭受到境外DDoS(阻斷服務攻擊)攻擊,攻擊流量為平日的200倍,導致官網一度無法顯示,經緊急處置,20分鐘內恢復正常,總統發言人張惇涵在其官方Facebook帳號證實此攻擊。除此之外,政府入口網站以及外交部網站2日疑似同樣遭到攻擊癱瘓,一度無法連上。

外交部在聲明中指出,這兩個網站都收到「來自中國、俄羅斯等地大量IP」每分鐘多達850萬次流量的請求。

8月3日,上午全台有多間7-11門市電視螢幕顯示「戰爭販子裴洛西滾出台灣」消息一出,統一超商回應,廠商受不明來源干擾播放訊息,已立即請廠商修復,門市營運正常。

此外,中國駭客還瞄準了台鐵電視螢幕,畫面上可見竟以簡體字寫著,「老巫婆竄訪台灣,是對祖國主權的嚴重挑戰;那些積極迎接的人,終將受到人民的審判;同種同族的血親關係割捨不段;偉大華夏終將統一」的惡意假訊息。

對此,鐵表示,此為高雄新左營站售票大廳的電子看板,為資產開發中心出租廣告看板,出租出去後,3日上午10時突然被駭客入侵,同仁發現後,第一時間就先切掉線路,馬上斷電處理,並通知廠商做後續防護。

8 月 3 日同一天,疑為中國駭客APT 27,在Twitter上建立了一個名為APT27_Attack的帳號,高調地公開1支影片宣布對台灣發動特別網路行動,影片中蒙面男生以英文說:「全世界的公民你們好,我們是APT 27。最近我們注意到,裴洛西不顧中國和台灣同胞的反對造訪台灣,台灣自古以來都是中國的領地,為了反制挑釁,我們將對台灣發動一個特別網路行動,攻擊對象包括台灣政府和所有基礎設施。讓我們拭目以待,祝你們好運!」影片字幕為簡體字。

https://twitter.com/APT27_Attack/status/1554773005586157568

此外,該用戶聲稱已經入侵六萬臺物聯網(iOT)設備,並在另1個推文寫道:「我們不屬於政府,我們來自全球各國,至於有人把我們和惡名昭彰的APT 27比較,我們要說的是,我們是27 Attack,也可以叫我們27,我們已經完成任務了。」

8 月 4 日晚,高市環保局網站遭駭客入侵,首頁遭惡意植入中國五星旗,環保局表示先行關閉網站,將持續積極修復。

直到目前為止,環保局網站仍未修復完畢,網站顯示「本網站維護中暫停服務,造成不便,請見諒!」

8 月 5日,Twitter用戶APT27_Attack聲稱將公佈他們對台灣發動過的攻擊,並發布台灣相關設備的零時差漏洞。

面對持續發生的駭客攻擊事件,組織應加強資安維運暨系統防護,持續監控,內、外網都應做好防範措施。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”