標籤: News

攻擊者正在入侵安全性差且暴露於互聯網的微軟 SQL 伺服器以部署 Trigona 勒索軟體

Trigona勒索軟體的logo

4月17日，根據韓國資安公司 AhnLab，攻擊者正在侵入 Microsoft SQL (MS-SQL) 伺服器以安裝 Trigona 勒索軟體有效負載並加密檔案。由於這些伺服器沒有得到很好的保護並且暴露在互聯網上，攻擊者可通過使用易於猜測的帳號憑證，使用暴力或字典攻擊來存取 MS-SQL伺服器。在成功連接到伺服器後，攻擊者將部署名為CLR Shell的惡意程式，可允許攻擊者利用Windows 輔助登錄服務中的漏洞獲取系統資訊並將提升權限到 LocalSystem。CLR Shell 是一種 CLR 程式集惡意軟體，它接收來自攻擊者的命令並執行惡意行為，類似於 Web伺服器的 WebShell。

根據AhnLab 對ASD 日誌的分析顯示，MS-SQL 進程 sqlservr.exe 以啟動偽裝為svchost.exe的Trigona勒索軟體。當 svcservice.exe 作為服務執行時，它會執行 Trigona 勒索軟體，還會建立並執行用於執行勒索軟體的 svchost.bat，svchost.bat 再將 Trigona 二進製檔案註冊到 Run key以保持持久性。svchost.bat 還會刪除卷影副本並關閉系統恢復功能，以防止受害者恢復加密檔案。

勒索軟體通過添加 ._locked副檔名來重新命名加密檔案，並在每個檔案夾中建立名為“how_to_decrypt.hta”的勒索信，其中包含有關攻擊的資訊、指向 Trigona Tor協商網站的連結以及包含登錄協商站點所需的授權密鑰的連結，Trigona 勒索軟體操作於 2022 年 10 月首次被 MalwareHunterTeam發現，以僅接受全球受害者使用 Monero 加密貨幣支付的贖金而聞名。Trigona 勒索軟體組織一直是源源不斷的攻擊的幕後黑手，自今年年初以來，至少有 190 次提交給 ID Ransomware組織平台。

Ahn Lab敦促管理員必須使用不容易猜到的密碼，並定期更改它們，以保護資料庫伺服器免受暴力破解和字典攻擊。SQL server的 V3應更新到最新版本，以便防止惡意軟體感染。管理員還應使用安全程式（如防火牆）用於從外部存取的資料庫伺服器，以限制外部威脅參與者的存取。

Trigona勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

– 1cece45e368656d322b68467ad1b8c02 — Trigona Dropper (svcservice.exe)

– 530967fb3b7d9427552e4ac181a37b9a — Trigona Ransomware (svchost.exe)

– 1e71a0bb69803a2ca902397e08269302 — Batch Runner (svchost.bat)

– 46b639d59fea86c21e5c4b05b3e29617 — CLR Shell

– 5db23a2c723cbceabec8d5e545302dc4 — nt.exe

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

目前已有60家組織受惠於此計劃，得到CISA的預警通知，預警通知是作為提醒機構注意早期勒索軟體攻擊的新舉措

美國網路安全暨基礎設施安全局（CISA）和聯合網路防禦協作組織(Joint Cyber Defense Collaborative-JCDC)在3 月 23 日宣布了一項新舉措，名為勒索軟體預警通知(Pre-Ransomware Notification Initiative，旨在提醒組織注意早期勒索軟體攻擊，以幫助組織快速修補勒索軟體攻擊者針對的漏洞。據瞭解，自今年年初以來，該機構已預警通知了包含能源、教育、醫療保健、供水/廢水處理和其他領域的 60 多家組織，據稱其中有許多組織在數據被成功加密或外洩前得以緩解攻擊。 

勒索軟體預警通知是一種主動網路防禦功能，旨在警告組織它們遭到入侵，以便他們可以在被部署加密勒索軟體之前將攻擊者從其網路中驅逐出去。聯合網路防禦協作組織（JCDC）副主任Clayton Romans指出，勒索軟體參與者在獲得對目標的初始入侵權後通常需要一些時間才能加密或竊取資訊，從最初存取網路到系統加密之間的隔間時間，可以持續數小時到數天，這個空窗期可讓他們有時間通知受害組織勒索軟體參與者已經獲得了對其網路的初始入侵權，可幫助受害組織限制勒索軟體攻擊造成的損失。通過在收到預警時立即採取行動，組織可以減少潛在的數據外洩，避免對營運的影響，並減少財務影響和其他不利後果。

Romans進一步說，CISA 和JCDC從多個來源收集有關潛在早期勒索軟體活動的資訊，當中包括網路安全研究社群、基礎設施提供商和網路威脅情資公司等，然後由美國各地的到場職員通知受害者組織並提供具體的緩解指導。值得一提的是，如果受害人是美國境外的實體，CISA還將通過其國際CERT合作夥伴向美國以外的組織提供通知。

Romans補充說，在勒索軟體參與者已經加密網路並持有數據和系統以索取贖金的情況下，JCDC與受害組織將密切合作，提供攻擊者的策略、技術和程序 (TTP) 以及指南，以幫助減少再一次被攻擊的可能性。

資安全公司SafeBreach的首席安全官Avishai Avivi 在評論這項新舉措時表示，這是一個有意義的信號，表明拜登政府正在推動實施本月早些時候發布的國家網路安全戰略。

在此處閱讀有關美國戰略的更多資訊：白宮發布國家網路安全戰略

Avivi表示該預警通知計劃對應美國國家網路戰略列出的其中之一項目標，提高情資共用和受害者通知的速度、規模和打擊網路犯罪，以擊敗勒索軟體。Avivi補充說，認為這種類型的合作將使組織能夠驗證其安全控制，同時增強其安全計劃對這些類型攻擊的彈性。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

在個資外洩發生後，這家豪華跑車製造商還透露，駭客存取了其公司的 IT 系統。

法拉利執行長 Benedetto Vigna 致受影響客戶的一封信中表示：“我們很遺憾地通知您法拉利發生了一起網路事件，攻擊者能夠存取我們 IT 環境中的有限數量的系統。”

這家汽車製造商表示，駭客存取了客戶的姓名、地址、電子郵件地址和電話號碼。根據迄今為止的調查，法拉利表示，沒有任何付款資料或擁有或訂購的法拉利汽車的詳細資料被盜，但尚不清楚該汽車製造商是否具有檢測的技術能力（例如對日誌或數據洩露）。法拉利僅表示，我們可以確認，入侵行為對我們公司的運營功能沒有影響。

法拉利不願透露有多少客戶受到入侵的影響，也不願透露公司是如何或何時受到攻擊的，在 3 月 21 日的一份聲明中法拉利表示，其公司的政策是不會屈服於此類犯罪活動，因此不會支付贖金，並認為最好的方案是通知客戶，因此他們已將潛在的數據洩露和事件的性質通知客戶，提醒可能的風險。儘管法拉利聲稱他們現在正在與第三方專家合作“進一步加強”他們的系統並且“對他們的彈性充滿信心，這次的事件只是該公司的網路資安事件的其中一宗。

目前尚不清楚此次入侵是否與去年 10 月發生的一起事件有關，當時一個名為“RansomEXX”的勒索軟體組織聲稱入侵了這家汽車製造商，但法拉利當時否認了這一說法。根據資安外媒TechCrunch看到，RansomEXX 在其揭秘網站上列出了據稱從法拉利竊取的 7GB 數據，包括內部文件、數據表和維修手冊等。

路透社報導了 2021 年的另一起事件，其中 Everest 勒索軟體組織成功攻擊了法拉利、蘭博基尼和瑪莎拉蒂的零部件供應商 Speroni，就在兩個月前，一名研究人員發現了法拉利和其他公司的車輛存在網路安全漏洞，這些漏洞可能會導致車輛的全面接管。

由於法拉利擁有世界上最昂貴的汽車系列之一，因此高端客戶的清單對網路犯罪分子非常有吸引力，促使他們有機會定制惡意的、有針對性的電子郵件。

一個疑似的中國APT駭客通過利用 Fortinet FortiOS 中的安全漏洞以政府實體和大型組織為目標，正如 Fortinet在上週的披露，該安全漏洞允許攻擊者通過在未修補的 FortiGate 防火牆設備上執行未經授權的程式碼或命令來部署惡意軟體有效負載 。

其中一個事件是在客戶的 FortiGate 設備因FIPS韌體完整性相關錯誤而關閉時發現的，導致其無法運行，進一步的分析表明，攻擊者可以使用該惡意軟體進行間諜活動，包括數據洩露、在受感染設備上下載和寫入檔案，或者在收到惡意製作的 ICMP 數據包時打開遠端 shell，有問題的零時差漏洞是CVE-2022-41328（CVSS 分數：6.5），這是 FortiOS 中的一個中等目錄遍歷漏洞，可能導致任意程式碼執行。該漏洞影響 FortiOS 版本 6.0、6.2、6.4.0 至 6.4.11、7.0.0 至 7.0.9 以及 7.2.0 至 7.2.3。該公司分別發布了 6.4.12、7.0.10 和 7.2.4 版本來解決該漏洞。

在一位客戶的 FortiGate 設備突然停止且無法重新啟動後，Fortinet 對這些攻擊展開了調查，設備停止顯示以下錯誤消息：

“由於 FIPS 錯誤，系統進入錯誤模式：韌體完整性自檢失敗”(System enters error-mode due to FIPS error: Firmware Integrity self-test failed)完整性測試的失敗會阻止設備重新啟動，以保護網路的完整性。研究人員發現攻擊者修改了韌體映像中的/sbin/init 檔案夾，他們注意到存在一個新檔案 /bin/fgfm，修改旨在為攻擊者提供持久存取。

“對/sbin/init的修改 確保 /bin/fgfm在繼續執行常規啟動操作之前運行，這可能為攻擊者提供持久的存取和控制。” Fortinet發布的分析。

執行 fgfm 惡意軟體後，它會聯繫遠端伺服器 (C2) 並等待命令執行，惡意程式碼可以根據從 C&C 伺服器接收到的命令執行各種操作，包括退出程式、竊取數據、下載/寫入檔案、建立遠端 shell。

Fortinet 表示，這次攻擊具有很強的針對性，有證據指向政府或政府附屬組織，該漏洞為CVE-2022-41328可允許特權攻擊者通過精心設計的 CLI 命令讀取和寫入任意檔案。

鑑於漏洞利用的複雜性，懷疑攻擊者“對 FortiOS 和底層硬體有深入的了解”，並且擁有對 FortiOS 操作系統的不同方面進行逆向工程的高級功能。

目前尚不清楚攻擊者是否與今年 1 月初觀察到的另一組駭客有任何關聯，該組織利用 FortiOS SSL-VPN (CVE-2022-42475) 中的一個漏洞來部署 Linux 植入程式。

根據多家資安外媒報導，3月6日，一個名為Kernelware的駭客在暗網論壇上聲稱成功在2月中旬入侵宏碁，並已竊盜該電腦巨擘共2869個檔案，即約160GB的數據。Kernelware是該論壇的知名成員，他沒有列出出售這批資料的售價，然而要求買家私訊了解並以門羅幣進行交易。報導稱Acer Corporate Communications發出聲明，證實駭客入侵了其託管維修技術人員使用的私人檔案的伺服器，然而該公司表示，到目前為止的調查結果並未表明此資安事件已影響客戶數據。(We have recently detected an incident of unauthorized access to one of our document servers for repair technicians. While our investigation is ongoing, there is currently no indication that any consumer data was stored on that server.)

據報導，Kernelware外洩的資料包含總共 160GB 的 655 個目錄和 2869 個檔案。這包括：

*簡報檔案

*各種技術問題的除錯手冊

* Windows 圖像格式資料

*大量二進製檔案（.exe、.dll、.bin 等……）

*後端基礎設施

*手機、平板電腦、筆記本電腦等的機密產品型號檔案和資料…

*可替換的Windows數位產品金鑰（RDPK）

*ISO檔案

*Windows 系統部署映像 (SDI) 檔案

*大量的 BIOS 內容

*ROM檔案

此次資安事件是宏碁不到兩年的時間裡發生的第4次遭入侵事件：

— 2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金。

— 2021 年 10 月 15 日，Desorden Group 的駭客組織的入侵 Acer India的售後服務系統，被盜60 GB的數據

— 2021 年 10 月 18 日， Desorden Group駭入宏碁台灣的系統，盜走並釋出Acer員工的敏感資料。

宏碁是全球第六大個人電腦製造商，市場份額約佔全球總銷售額的 6%。該公司報告稱， 2022 年的總收入約為 90 億美元

資訊來源:  https://www.bleepingcomputer.com/news/security/acer-confirms-breach-after-160gb-of-data-for-sale-on-hacking-forum/

https://therecord.media/acer-computers-repair-technicians-server-data-breach

https://www.databreaches.net/another-acer-data-breach-hacker-claims-to-sell-160gb-trove-of-stolen-data/

根據外媒路透社(CNN)及美國全國廣播公司（NBC）的報道，當地時間2月27日(星期一) 美國法警局(United States Marshals Service-USMS)發言人 Drew Wade 表示，其機構系統遭到勒索軟體的入侵，駭客竊取了機構僱員和調查目標的敏感和個人身份數據，在 2 月 17 日發現數據洩露和被盜數據後不久，被駭系統與網路已斷開連接。法警局是美國司法部的一部分，主要負責法官和其他司法人員的保護、逃犯行動的管理、犯罪資產的管理、美國聯邦證人保護計劃和司法囚犯和外國人運輸系統的運作、執行聯邦逮捕令，以及通過保護行動保護高級政府官員。

據 NBC 新聞報導，這次攻擊並未影響該機構的證人安全計劃(Witness Security Program)，意味著該計劃中的任何人都不處於風險之中。發言人Drew Wade指出，受影響的系統含執法敏感資料，包括司法程序交付、行政資料以及與美國法警調查對象、第三方或涉及美國法警特工的個人身份資料。由於攻擊事件涉及一個獨立系統，受影響的系統現已與 USMS 網路斷開連接，並向美國司法部通報了此次攻擊，該部已經開始進行取證調查。

去中心化加密密鑰管理公司Atakama的聯合創辦人兼首CEO Dimitri Nemirovsky 表示，針對美國法警服務的數據洩露攻擊提醒我們，網路攻擊可能對我們最關鍵的機構造成深遠和毀滅性的影響。

資安公司Barrier Networks 的高級顧問 Ryan McConechy 在一封電子郵件評論中表示，美國法警局是美國最高級別的執法機構之一，它擁有與國家安全、證人保護計劃和被定罪的重罪犯有關的高度敏感資料。因此，在這次入侵中獲得的資料將是高度敏感的，可能會被用於敲詐勒索，出售給國家級駭客等，甚至美國公民的個人資料（如地址詳細資料）被洩露，將危及他們的安全。

此次資安事件之前，美國法警局曾於2020 年 5 月披露了在 2019 年 12 月發生的另一起數據外洩事件，該事件中披露了超過 387,000 名前任和現任囚犯的詳細資料，包括他們的姓名、出生日期、家庭住址和社會號碼。數據外洩是在法警局的一個面向公眾的伺服器遭到入侵後發現的，該伺服器是一個名為 DSNet 的系統的一部分，該系統有助於管理囚犯的住房和行動。

另外美國聯邦調查局（FBI）兩週前也披露了一起網路安全事件，FBI表示正在調查機構網路上的惡意網路活動，然而拒絕進一步評論，包括入侵發生的時間以及是否涉及勒索軟體，僅稱該活動是一起獨立的事件。

竣盟科技提醒您，在當今的數位時代，保護敏感資料不僅僅是一種選擇；這是必要的。此次美國法警局的資安事件再次表明，即使是最警惕的實體也無法免受勒索軟體和其他複雜攻擊的影響。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

這次攻擊已影響了零售商的供應，供應鏈攻擊又添一樁!

食品巨頭都樂(Dole) 在2月22日證實，遭到勒索軟體攻擊，最先爆出此次攻擊消息的CNN 報導，此一次攻擊迫使該公司在北美的幾家生產工廠暫時關閉，並停止向超市運送食品。然而都樂透露的攻擊細節很少，該公司僅稱目前正在調查事件的範圍，並指出影響有限。儘管該公司表示對運營的影響有限，但都樂是全球最大的新鮮水果和蔬菜生產商之一。都樂不僅種植和採購 300 多種新鮮農產品，而且還直接參與其產品的包裝、運輸、營銷和分銷。

CNN獲得的一份由都樂高級副總裁 Eanuel Lazopoulos在2 月 10日撰寫的備忘錄告訴零售商，都樂正處於網路攻擊之中，[我們]隨後關閉了我們在整個北美的系統(Dole Food Company is in the midst of a Cyber Attack and [we] have subsequently shut down our systems throughout North America.) 根據都樂的網站，這家製造商在全球擁有 250 多家工廠，它在美國擁有三個沙拉加工廠，CNN報導稱在，都樂的預切和混合沙拉包系列佔據超市足夠多的空間，以致於貨架上缺少沙拉包的情況很明顯，德州及新墨西哥州的某些超市自上週初以來，沙拉包一直短缺。

近年來，食品行業一直是攻擊活動加劇的目標。2021 年肉類生產商 JBS遭Darkside勒索軟體攻擊導致支付了 1100 萬美元的贖金。2021 年秋季， 幾家農業合作社也受到了勒索軟體的攻擊。

根據資安公司Exabeam，勒索軟體需要被理解為對網路的成功入侵，認為勒索軟體已經變得普遍，至少有3個原因：

1.公司不修補核心漏洞。

2.公司在檢測週期中沒有更早注意到憑證洩露行為。

3. 勒索軟體攻擊對駭客來說是高利潤的，勒索軟體即服務(RaaS)提供者會有巨大的獲利。

目前都樂已就此次網路事件，已聯繫第三方資安專家進行調查及修復，以確保其系統安全。然而仍未透露遭哪一支勒索軟體攻擊及其入侵途徑等。值得一提的是，都樂已實施危機處理程序(Crisis Management Protocol)，其中包括手動備份程序，這意味著該公司會嘗試手動操作以恢復生產及發貨。