AvosLocker勒索軟體的變種濫用驅動程式檔案以禁用防毒軟體,藉以掃描Log4j漏洞

Photo Credit: TrendMicro

資安研究人員披露了 AvosLocker勒索軟體的一種新變種,該變​​種通過利用未修補的安全漏洞log4shell,在破壞目標網路後禁用防毒軟體以逃避檢測, TrendMicro研究人員 Christoper Ordonez 和 Alvin Nieto在5月2日的研究分析中說,我們從美國觀察到的一種AvosLocker新變種的第一個樣本,該變種能使用合法的 Avast Anti-Rootkit 驅動程式檔案 (asWarPot.sys) 禁用防禦解決方案, AvosLocker勒索軟體還能夠使用 Nmap NSE Script掃描多個端點以查找Log4j漏洞,以將回調伺服器傳輸到其惡意中繼站。

AvosLocker是一個基於勒索軟體即服務(Ransomware as a Service, RaaS)組織,於 2021年7月首次被發現,與針對美國關鍵基礎設施(包括金融服務和政府設施)的一系列攻擊有關,如果受害目標實體拒絕支付贖金,AvosLocker通過拍賣從受害者那裡竊取的數據來實施雙重勒索。根據在2022 年 3 月的美國FBI發布的一份資安警告,AvosLocker勒索軟體聲稱的其他目標受害者位於敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿聯酋、英國、加拿大、中國和台灣,在2021 年 7 月 1 日至 2022 年 2 月 28 日期間,食品和飲料行業是受災最嚴重的行業,其次是技術、金融、電信和媒體業。

攻擊的入口點被認為是通過利用 Zoho的ManageEngine ADSelfService Plus 軟體中的遠端程式執行漏洞( CVE-2021-40539 )來運行託管在遠端伺服器上的 HTML 應用程式 ( HTA ) 來達成的。HTA執行了一個混淆的PowerShell 腳本,其中包含一個 shellcode,能夠連接回C2伺服器以執行任意命令,這包括從伺服器檢索 ASPX Web shell 以及AnyDesk遠端桌面軟體的安裝程式,後者用於部署其他工具以掃描本地網路、終止安全軟體並刪除勒索軟體有效負載。

複製到受感染端點的是一個 Nmap 腳本,用於掃描網路以查找 Log4Shell 遠端程式碼執行漏洞 ( CVE-2021-44228 ),以及一個名為 PDQ 的大規模部署工具,用於向多個端點傳遞惡意Batch script。Batch scrip配備了廣泛的功能,允許它禁用 Windows 更新、Windows Defender 和 Windows 錯誤恢復,此外還可以阻止安全產品的啟動執行、建立新的管理員用戶以及啟動勒索軟體二進製檔案。

另外,AvosLocker還使用了aswArPot.sys,一個合法的 Avast 反 rootkit 驅動程式,來阻止與不同安全解決方案相關的進程,其舊版本中存在漏洞,捷克資安公司Avast於 2021 年 6 月解決的驅動程式中已修補了漏洞。Avast表示,已與微軟密切合作,在 Windows 操作系統(10 和 11)中發布了一個組塊,無法將舊版本的 Avast 驅動程式加載到memory中,因此運行完全更新的Windows 10 和 11的系統不易受到此類攻擊。

AvosLocker 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96

a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9

14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8

05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5

中國APT駭客組織Naikon透過新的間諜攻擊,重新浮出水面

資安研究員發現,在最近幾週,名為Naikon的中國APT駭客組織又重新露面,並發起了新的網路釣魚攻擊,再次針對東南亞國家,旨在竊取政府機構的情報資訊。

Naikon也稱為Override Panda、Hellsing 和 Bronze Geneva,至少自 2005 年以來,該組織就以代表中國政府利益展開針對亞太地區國家(如文萊、柬埔寨、印度尼西亞、老撾、馬來西亞、緬甸、菲律賓、新加坡、泰國和越南等)的情報收集行動。資安公司Cluster25在這數週發現的攻擊中,觀察到Naikon的攻擊鏈涉及使用附加到網路釣魚電子郵件的誘餌檔案,這些檔案旨在誘使目標受害者打開並使用惡意軟體危害受目標。去年4月,Naikon與針對東南亞的軍事組織的廣泛網路間諜活動有關,研究也指出在2021年8月發現Naikon參與了2020年底針對東南亞地區電信行業的網路攻擊。

Photo Credit: Cluster 25

Cluster25表示Naikon最新的攻擊與之前間諜活動沒有什麼不同,利用武器化的 Microsoft Office 檔案來啟動感染攻擊鏈,Naikon使用網路釣魚電郵來投遞名為“Viper”的紅隊的紅隊框架的信標,旨在啟動和執行一個載入型的 Shellcode Loader。

據了解,Viper是一種開源的滲透測試工具並可從GitHub下載,是一款由中國人開發的工具,大部分文檔都是用簡體中文編寫的。Viper具有圖形化的操作界面,讓用戶使用瀏覽器即可進行內網滲透。與 CobaltStrike工具 一樣,Viper允許輕鬆生成有效負載,例如 Meterpreter、ReverseShell 和其他自定義的信標。據說, Viper具有 80 多個模組,使駭客能建立初始入侵存取、保持持久性、權限升級、憑證存取、橫向移動和執行任意指令等。

研究人員指出在分析過程中,通過觀察 Naikon的駭客武器庫,可以得出結論,該組織傾向於進行長期的情報和間諜活動,是典型旨在對外國政府和官員進行攻擊的組織,同時,Naikon為了避免檢測並最大化結果,隨著時間的推移更改了不同的 TTPs 和工具。Cluster25 在報告中表示,鑑於Naikon早期的攻擊的歷史,這次攻擊的目標極很可能同樣是針對東南亞國家的政府機構。

有關Naikon的部分入侵指標(Indicator of compromise -IOCs):

SHA256        05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd

SHA256        8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca

SHA256        ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a

SHA256   eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

群暉Synology就多個產品中存在重大的Netatalk漏洞發出警告

Synology群暉科技針對影響其產品中的重大的Netatalk漏洞發布了公告,目前已針對 DSM 7.1 發布了更新,升級至7.1-42661-1 可修補漏洞,但並非在所有設備上提供自動更新,Synology NAS 用戶可以手動將其操作系統升級到最新版本,Synology其他版本仍受到影響。如果您正在使用 AFP服務,請立即關閉(Disable)它。根據 bleepingComputer報導,Synology警告用戶,其部分網路附加存儲 (NAS) 設備的操作系統中存在重大的Netatalk 漏洞,面臨被駭客鎖定開採的風險。Synology 目前使用舊版本的 Netatalk 來運行 Apple網路協議,結果發現了一些嚴重的漏洞,威聯通Qnap也曾對這些漏洞發出警告,漏洞能讓攻擊者可以遠端獲取敏感數據並執行遠端任意程式碼,漏洞存在於 Synology 的 DiskStation Manager 操作系統、VS 韌體2.3 和 Synology Router Manager 1.2 的不同版本中。

Netatalk 是一種Apple Filing Protocol的開源軟體,它允許運行 *NIX/*BSD 的系統充當 macOS 用戶端的 AppleShare 檔案伺服器。Netatalk 開發團隊解決了3.1.1 版本中的安全漏洞,該版本於 3 月 22 日發布。Synology 目前正在努力更新,在易受攻擊的 NAS 系統上實施此修補,目前SM 7.1 的 7.1-42661-1 版本已修補漏洞,該公司表示,目前其他版本的修補仍在進行中。

Netatalk 漏洞

本週早些時候,另一家台灣 NAS 設備製造商 QNAP 敦促其客戶禁用其 NAS 設備的 AFP服務協議,直到它修補了關鍵的 Netatalk 安全漏洞。

威聯通表示,Netatalk 漏洞影響多個 QTS 和 QuTS hero 操作系統版本以及公司的雲端優化 NAS 操作系統 QuTScloud。

與 Synology 一樣,QNAP 已經為其中一個受影響的操作系統版本發布了修補,並且已經為運行 QTS 4.5.4.2012 build 20220419 及更高版本的設備提供了修補復程式,鑑於漏洞的嚴重性,呼籲用戶密切關注更新及版的本修補。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Stormous勒索軟體組織聲稱入侵了可口可樂,竊取了161 GB 的數據,可口可樂表示已展開調查

Stormous在暗網上正以約 64,000 美元的價格出售這批數據,據稱包含財務數據、管理檔、電子郵件和密碼的文檔、用戶和支付資料等及壓縮檔,共13個檔。

Stormous在暗網上出售可口可樂的數據

4月26日Stormous勒索軟體組織在其Telegram頻道上,宣布入侵了跨國飲料公司可口可樂,並從一些可口可樂的伺服器中竊取了 161GB的數據。

Stormous在Telegram頻道上宣布入侵了可口可樂

在這之前,Stormous於4月20日在Telegram發起了一項線上投票活動,要其 Telegram頻道的追隨者投票決定誰應該成為他們下一個攻擊的受害者,並承諾攻擊將包括DDoS、數據入侵、外洩露軟體源始碼和客戶端數據,可口可樂以 72% 的選票贏得了該項活動,最終成為攻擊的對象。

Stormous在Telegram發起線上投票活動

Stormous是一個相對較新的勒索軟體組織的名字,於今年第一季度初出現,但目前沒有跡象顯示在受害者網路植入加密資料的檔案,在 Stormous宣布從 Epic Games 竊取約200 GB 數據後,開始獲得了關注。雖然Stormous並未表示將可口可樂對作為支持烏克蘭的報復,但在俄羅斯入侵烏克蘭後不久,Stormous迅速追隨勒索軟體Conti腳步,並宣布支持俄羅斯。可口可樂此前暫停了在俄羅斯的業務,並承諾捐款約150億美元,以援助和支持紅十字會和烏克蘭的救援工作。

可口可樂公司尚未證實他們的數據被盜,但目前正在與執法部門合作,正在調查這起事件。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Conti勒索軟體入侵哥斯達黎加,多個政府系統遭攻擊,破壞哥國過渡新政府的穩定

哥斯達黎加在Conti Leaks上的頁面
哥斯達黎加在Conti Leaks上的更新頁面
總統Carlos Alvarado Quesada告訴公眾,哥斯達黎加不會支付贖金

據哥斯達黎加總統Carlos Alvarado Quesada稱,哥斯達黎加政府營運的多個系統上周遭到勒索軟體攻擊。綜合資安外媒的報導,財政部是上周一(4/18)第一個報告遭入侵且受攻擊最嚴重的部門,從稅款徵收到通過海關機構的進出口過程,其許多系統都受到了影響,最初的攻擊迫使財政部關閉負責支付該國公職人員薪水和養老金的系統,同時也使哥國不得不批准延期納稅,並證實駭客檢索了納稅人的個資,哥國暫停運營幾個線上海關和稅務平台作為因應措施,據路透社報導,該國出口商工會表示,僅上週三(4/20)就損失了 2 億美元。根據操作Conti的駭客在Conti Leaks上表示,已經獲得了對大約800台伺服器的存取權,其中近 1TB 的數據已被洩露,其中包括 900GB 的稅務管理portal網站——或ATV – MSSQL mdf 格式的數據庫和 100GB 的內部檔案,其中包含財政部人員的全名和電子郵件地址。

另外,科創部負責人Paola Vega Castillo上週三在新聞發佈會上證實,操作Conti的駭客對哥國科創部、勞動部、國家氣象研究所和社會保障機構的人力資源系統等進行了攻擊。Castillo 表示,雖然他的部門網頁的內容已被修改,但沒有發現任何證據表明該部門的任何數據已被提取,在駭客攻擊國家氣象研究所和社會保障機構中檢測到了提取電子郵件檔案的過程。

科創部網站被Conti入侵

哥國企業擔心勒索軟體可能已經滲透了他們提供給政府的機密資料,這些數據的洩露可能會給這些組織帶來嚴重風險。

哥國於 4 月 4 日選出了一位新總統——前世界銀行官員Rodrigo Chaves,即將卸任的總統Carlos Alvarado Quesada表示,他認為攻擊是用於威脅該國過渡新政府的穩定, Quesada簽署了一項指令,要求所有政府機構都必須向該國的電腦安全事件回應中心報告安全事件。該指令還命令所有機構修補系統、更改密碼、禁用不必要的端口和監控網路基礎設施。總統府部長 Geannina Dinarte Romero 表示 ,以色列、西班牙、美國和微軟等已提出幫助哥斯達黎加重新控制其電腦系統。

此次攻擊恰逢包括英國和美國在內的五眼聯盟發出安全聯合諮詢,警告稱俄羅斯網路犯罪活動升級,對組織構成成更大的風險,建議增強關鍵基礎設施的防護.

REvil勒索軟體又捲土重來!印度關鍵基礎設施-國營石油公司Oil India遭駭,被勒索7500萬美元贖金

資安研究人員發現操作REvil的駭客重啟其伺服器、揭秘網站Happy Blog也重新在暗網上洩露數據

REvil的Happy Blog的Oil India

REvil有時被稱為 Sodinokibi,在2021年發動了一些引人注目的勒索軟體攻擊,包括對AcerKaseyaJBS Food、和廣達電腦等的駭客攻擊,然後在年底因多國執法機構合作剿滅而消聲匿跡。據 BleepingComputer 報導, TOR 網路中的 REvil 伺服器現在正在重定向到一個新網站,該網站目前有 26個頁面,其中已上傳了REvil成功入侵的數據,其中大部分來自REvil舊的攻擊,只有最後兩名受害者與新的操作有關,其中一個是印度石油公司Oil India,另一個則是Visotec Group,該公司尚未被公開披露任何數據,其網站仍在運行。除了舊的Happy Blog重定向到新的網站外,研究人員的另一個觀察結果是,REvil 的舊 TOR 支付網域也重定向到新的網站。

Oil India 的官網上跑馬燈字幕顯示公司因不可避免的狀況,其E-Portal系統不能使用

被列為遭到REvil最新攻擊的公司印度石油公司,該公司在上週4 月 12 日披露,遭遇駭客攻擊,在被加密的電腦上發現來自駭客的勒索信,被196 個比特幣,約7500萬美元的贖金,印度石油的官網上有跑馬燈字幕顯示公司因不可避免的狀況,其E-Portal至今仍不能使用,作為預防措施,該公司伺服器、網路等相關服務均受到影響,同時禁用受影響的系統。Twitter上多名資安研究人員對印度石油有限公司的勒索軟體攻擊歸因於 REvil。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

聯想Lenovo設備的韌體曝3項UEFI漏洞,可影響至少 100 款機型,多達數百萬台筆電

Photo Credit: HVEPhoto via Shutterstock

綜合資安外媒報導,ESET 的研究人員於 2021 年 10 月首次向聯想報告,有三個高風險漏洞影響統一可延伸韌體介面(Unified Extensible Firmware Interface,UEFI),即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被發現它們會影響聯想的各種設備,如聯想Flex、IdeaPads和Yoga等筆電, 這可轉化為數百萬用戶擁有易受攻擊的設備。

據了解,其中兩個漏洞(CVE-2021-3971 和 CVE-2021-3972)會影響原本僅在聯想筆記型電腦製造過程中使用的 UEFI韌體驅動程式,UEFI是嵌入在現代設備晶元中的技術,它將韌體連結到操作系統,研究人員表示,聯想工程師無意中將驅動程式包含在出貨筆電的BIOS映像檔中,而未被正確停用,駭客可利用這些有缺陷的驅動程式來禁用保護,包括UEFI安全啟動,BIOS控制寄存器和受保護範圍寄存器,這些都內置SPI中,旨在防止對其運行的韌體進行未經授權的更改。

ESET 的研究人員警告說,攻擊者可以利用這兩個與 UEFI 相關的漏洞CVE-2021-3971和CVE-2021-3972 ,在聯想筆電部署並執行 SPI 快閃記憶體或 ESP 嵌入程式,藉以從遠端下載其他惡意程式。

第三個漏洞,CVE-2021-3970,是由系統管理中斷 (SMI) 處理程式函數中的不正確輸入驗證引起的,可允許本地驗證的攻擊者可以藉由提升的系統權限執行任意程式碼。ESET 研究人員說,通過觸發軟體SMI中斷並將特製緩衝區的物理地址作為參數傳遞給易受攻擊的 SW SMI 處理程式,可以從特權內核模式進程中利用此漏洞,此處提供了聯想列出100 多款受影響的型號。

ESET 發現的這三個 Lenovo 的漏洞都需要本地存取,這意味著攻擊者已經擁有不受約束的許可權控制易受攻擊的電腦。這種存取的門檻很高,可能需要在其他地方利用一個或多個關鍵的其他漏洞,而使用戶面臨相當大的風險。據了解即使在更換硬碟驅動器或重新安裝操作系統後,這些惡意軟體仍會持續存在於系統中。

為防止上述漏洞引發的攻擊,聯想建議受影響設備的用戶將系統BIOS韌體版本更新到可用的最新版本。這可以通過從設備的支援頁面手動安裝更新來完成,也可以在聯想提供的用於更新系統驅動程式的實用程式的説明下完成。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Github: 駭客使用被盜的OAuth 用戶權杖入侵了NPM 等數十個組織

OAuth Access Tokens
Photo Credit: The Hacker News

基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露,它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露,攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖,從包括 NPM 在內的數十個組織下載數據。

應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊,而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。

根據 Hanley 的說法,受影響的 OAuth 應用程式清單如下:

Heroku 儀表板 (ID: 145909)

Heroku 儀表板 (ID: 628778)

Heroku 儀表板 – Preview (ID: 313468)

Heroku 儀表板  – Classic (ID: 363831)

Travis CI (ID: 9216)

Github表示,OAuth 的權杖並不是通過入侵GitHub或其系統獲得的,因為GitHub 並未以原始的可用格式存儲權杖。此外,GitHub 警告說,攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容,被盜的 OAuth 權杖可以存取這些內容,以獲取可用於轉向其他基礎設施的機密的數據。

Github指出,它在 4 月 12 日發現了攻擊活動的早期證據,當時它遇到了使用被入侵 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取

這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示,它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。

另外,Salesforce子公司 Heroku確認了存取權杖的撤銷,並稱在另行通知之前,他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權

存取客戶的 GitHub 存儲庫。

雖然攻擊者能夠從入侵的存儲庫中竊取數據,但 GitHub 認為沒有任何套件(packages)被修改,用戶帳戶數據或憑證未在事件中被存取,並重申 npm 使用與GitHub.com 完全獨立的基礎設施;GitHub 沒有受到這次攻擊的影響, GitHub 正在努力通知所有受影響的用戶和組織並表示,儘管調查仍在繼續,但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府警告稱APT駭客組織利用客製化的工具將目標瞄準工控系統ICS/SCADA

有被入侵和騎劫風險的 ICS/SCADA 設備包括,施耐德電機(Schneider Electric)與歐姆龍(OMRON)的Sysmac NEX可程式化邏輯控制器,開放平台通信統一架構 (OPC UA) 伺服器,另外,駭客也已開採華擎主機板驅動程AsrDrv103.sys的已知漏洞CVE-2020-15368

#注意了發電廠和液化天然氣設施

#關鍵基礎設施

美國政府週三警告說,APT駭客部署專門的惡意軟體來維持對工業控制系統 (ICS) 以及監控與數據採集系統(SCADA)設備的存取。

多個美國政府機構包含美國能源部 (DoE)、網路安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI) 提供的聯合聯合安全公告,詳細介紹了APT駭客組織已經開發了針對 ICS/SCADA 設備的客製化工具,公告稱一旦在營運技術(OT)網路中建立存取權限,這些工具能使 APT駭客進行掃描、破壞和控制受影響的設備。

客製化的工具具有模組化架構,使駭客能與目標設備互動並進行高度自動化的攻擊。駭客可以利用這些模組掃描目標設備,對設備詳細資料進行網路偵查,將惡意配置/程式碼上傳到目標設備,備份或恢復設備內容,以及修改設備參數。

有被入侵和騎劫風險的 ICS/SCADA 設備包括:

*施耐德電機 MODICON 和 MODICON Nano 可程式化邏輯控制器 (PLC)

*歐姆龍Omron Sysmac NJ 和 NX 可程式化邏輯控制器(PLC)

*開放平台通信統一架構 (OPC UA) 伺服器

DOE、CISA、NSA 和 FBI 還發現,APT駭客組織還利用已知漏洞 CVE-2020-15368 來瞄準華擎主機板驅動程式(AsrDrv103.sys)藉此攻擊Windows系統,在OS核心執行惡意程式碼,這些機構表示,其目的是利用對 ICS 系統的存取權來提升特權,在網路內橫向移動,入侵IT與OT環境用於破壞液化天然氣 (LNG) 和電力環境中的關鍵任務功能。

雖然聯邦機構沒有分享有關公告中提到的駭客使用客製化的工具名稱,但工業網路安全公司 Dragos表示, 很有可能是一直被他們追踪並在今年初揭發的Pipedream惡意軟體並將Pipedream歸咎於一個名為 CHERNOVITE 的APT駭客組織,根據Dragos的說法,PIPEDREAM具有五個模組,EVILSCHOLAR、BADOMEN、DUSTTUNNEL、MOUSEHOLE和LAZYCARGO,通過這些模組能使CHERNOVITE進行網路偵察、劫持目標設備、篡改控制器的執行邏輯和破壞 PLC,從而有效地導致工業環境的安全性、可用性和控制力喪失。

另外,聯合安全公告建議所有擁有 ICS/SCADA 設備的關鍵基礎設施、能源業者等嚴加防範以保護系統。其中包括將 ICS/SCADA 系統和網路與企業和互聯網網路隔離,對所有遠端存取實施多因素身份驗證,並按時更改所有 ICS/SCADA 設備和系統的密碼,並建議組織制定網路事件回應計劃並定期實施,並維護已知良好的離線備份,以便在發生攻擊時更快地恢復。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

攻擊者在佈署LockBit勒索軟體前,已在美國政府的內部網路潛伏長達五個月

安全研究人員發現,攻擊者入侵了美國地方政府機構的網路,在 LockBit 勒索軟體最終部署之前,駭客至少潛伏了五個月。Sophos研究人員從受感染機器中檢索到的日誌顯示,在部署payload之前,可能至少有兩組駭客在該政府機構的受感染網路上活躍。攻擊者試圖通過刪除事件日誌來刪除他們的踪跡,但檔案片段仍然允許威脅分析人員一睹攻擊者及其策略,Brandt 稱,雖然起初攻擊似乎是由看似新手的攻擊者執行的,不確定下一步該怎麼做,但後來可能有一組不同的攻擊者部署了勒索軟體,竊取數據並加密檔案。

研究人員表示這是一次非常混亂的攻擊,從最初的入侵事件發生大約4個月後,攻擊活動的性質發生了變化,顯示具有不同技能的攻擊者已經加入了戰場。在Sophos的分析報告中,2021 年9 月發生的攻擊的初始入侵點似乎是防火牆上的一個開放遠端桌面協定 (RDP) 端口,該端口被配置為提供對伺服器的公開存取。

在獲得初始公開存取權限後,攻擊者安裝了 Chrome 瀏覽器,以在受感染的伺服器上搜索和下載所需的工具。該工具集包括用於暴力破解、掃描、商業 VPN 的實用程式,以及允許檔案管理和命令執行的免費工具,例如 PsExec、FileZilla、Process Explorer 和 GMER。此外,駭客還使用了遠端桌面和遠端管理軟體,例如 ScreenConnect以及AnyDesk。在駭客竊取了同樣擁有網域管理員權限的本地伺服器管理員的憑證後,便在其他系統上建立了具有管理員權限的新帳戶。

研究表明,攻擊者的行為在 2022年1 月中旬發生了顯著變化,出現更加熟練和專注的活動,顯示一個更老練的攻擊者出現並接管了控制權。攻擊者利用目標在完成維護後無意中禁用了保護功能這一點,刪除了惡意加密礦工並卸載了安全軟體,然後收集並竊取數據並部署 Lockbit 勒索軟體,但幸運的是勒索軟體攻擊的成功有限,攻擊者未能加密某些機器上的數據。研究人員表示在一些機器上,雖然檔案已用 LockBit 的檔案重新命名,但攻擊者沒有完成他們的任務,並未進行加密。

最後,這個案例強調了維護和事件回應錯誤的問題,即使在緊急情況下也需要遵循安全檢查清單。

另外,根據在LockBit揭秘網站上的觀察,本週出現兩個在亞洲地區的受害者包含日本測試設備製造商Tokyo Plant co和新加坡的Bread Talk麵包物語。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

6684e1df360db67719f65bcd39467cc88bbd7bb910636d03071245b622e7cfa3

87bfb05057f215659cc801750118900145f8a22fa93ac4c6e1bfd81aa98b0a55            

db385ea6858db4b4cb49897df9ec6d5cc4675aaf675e692466b3b50218e0eeca

3d0e06086768500a2bf680ffbed0409d24b355887169b821d55233529ad2c62a

0d31a6d35d6b320f815c6ba327ccb8946d4d7f771e0dcdbf5aa8af775576f2d1

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”