VMware呼籲客戶立即修補多個產品中的的 8個漏洞

VMware已發布安全更新以修補其產品中的 8個漏洞,其中一些漏洞可被利用來發起遠端執行程式碼攻擊。4 月 6 日VMware發布了VMSA-2022-0011的安全公告,針對在其產品包括 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 中發現的漏洞並以及其解決方法。根據 VMSA-2021-0011 中的說明,VMware表示由於所有環境都不同,對風險的容忍度不同,且有不同的安全控管和縱深防禦來降低風險,客戶須自行決定如何進行,鑑於漏洞的嚴重性,我們強烈建議立即採取行動。

五個重大漏洞,兩個重要漏洞及一個中等嚴重漏洞

漏洞清單如下:

*CVE-2022-22954(CVSS 風險值達:9.8)- 影響 VMware Workspace ONE Access and Identity Manager 的伺服器端模板注入遠端執行程式碼漏洞

*CVE-2022-22955 和 CVE-2022-22956(CVSS 風險值達:9.8) – VMware Workspace ONE Access 中的 OAuth2 ACS 身份驗證繞過漏洞

*CVE-2022-22957 和 CVE-2022-22958(CVSS 風險值達:9.1) – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC注入遠端執行程式漏洞

*CVE-2022-22959(CVSS 風險值達:8.8) – VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站請求偽造 (CSRF) 漏洞

*CVE-2022-22960(CVSS 風險值達:7.8)- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地提升特權漏洞,以及

*CVE-2022-22961(CVSS 風險值達:5.3)- 影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的未經授權即可存取資料的漏洞

成功利用上述漏洞可以讓惡意行為者將權限提升到 root 用戶,獲得對目標系統主機名的存取權限,並遠端執行任意程式碼漏洞,從而實現完全接管,強烈建議立即採取行動,修補漏洞來消除潛在威脅。好消息的是,VMware目前未觀察到對這些漏洞發生的攻擊。

受影響版本和安裝修補程式的完整清單可在此處獲得,無法立即修補其設備的用戶,VMware也提供臨時變通解決方法

但VMware重申,變通方法並不能消除漏洞,因此,強烈建議將修補作為解決漏洞的最簡單、最可靠的方法。

日本月桂冠株式會社的核心系統遭勒索軟體入侵,下單及出貨中斷,另外,驚見台灣某飲料製造商遭LockBit攻擊!

月桂冠&台灣某飲料製製造商

日本大型清酒公司月桂冠4月6日公告,其內部系統的伺服器遭勒索軟體入侵,部分數據已被加密,並使其系統無法正常運作,月桂冠在4 月 2 日確認了由勒索軟體攻擊的未經授權存取,並於 4 月 3 日通過中斷相關伺服器與外部網路的連接來應對,然而攻擊影響了公司的訂單和發貨系統,根據日經和NHK等日本媒體的報導,由於暫停所有受影響的系統,使月桂冠延後與客戶和供應商的部分交易,另外經月桂冠證實,在其員工電腦及伺服器上發現勒索信,目前聯同外部鑑識專家針對銷售和其他系統的影響、勒索軟體的攻擊途徑以及可能被非法存取的資料內容等進行調查,該公司公關表示目前沒有證據顯示有任何資料外洩,然而也沒有透露是哪種勒索軟體所引起。

據悉,月桂冠還未確認對其郵件伺服器的未授權存取,目前以中斷互聯網連接作為對策,因而影響日常工作的運作,另一方面,月桂冠將從4月7日起恢復訂單,使用電話和傳真機代替發生問題的訂單及出貨系統。

月桂冠子公司,生產食品製造商kinrei corporation也宣布,由於其伺服器和營運外包給母公司月桂冠管理,已確認部分伺服器也因未經授權的存取而出現系統故障,並表示正在配合母公司採取相應措施。

月桂冠子公司kinrei corporation的公告

插播報導,竣盟科技在LockBit的暗網揭秘網站上,發現我國某一飲料原物料商,已被LockBit列為受害者,並將於4月10日公開該飲料製造商的所有數據,但LockBit暫無䆁出任何截圖或透露所盜的數據量,該製造商總部位於台北,在上海及泰國也設有分公司,目前其官網運作正常。

美國聯邦調查局(FBI)於2021年9月預警食品供應鏈的攻擊升溫,勒索軟體積極瞄準攻擊及中斷食品/農業供應鏈,以造成經濟損失並直接影響食品供應鏈的正常運作,呼籲業者要加強資安防護來因應這類攻擊。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本跨國企業Panasonic和Konica Minolta傳二度遭駭,旗下子公司同遭Conti勒索軟體毒手,數據已在暗網公開!

2021年6 月日本松下(Panasonic)曾發現其系統遭不明駭客入侵長達五個月

2020年8月日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊

松下加拿大和柯尼卡美能達英國的截圖 Photo Credit: Conti Leaks

在清明連假期間的4月4日,日本Konica Minolta代旗下英國子公司Konica Minolta Marketing Services 公告,證實在3月23日發現非法第三方存取其內部系統,由於檢測到入侵行為,該公司已採取措施包括停止對外連線,恢復備份等相關程序,並稱沒有員工個資或客戶資料外洩,據觀察,操作Conti勒索軟體的駭客組織亦於4月3日在其揭秘網站Conti Leaks,發佈了部分從Konica Minolta英國盜來的相關數據,約370KB。

另外,根據Conti Leaks日本Panasonic的加拿大子公司Panasonic Canada,亦是Conti勒索軟體的受害者,Conti聲稱已盜出屬於Panasonic Canada內部銷售和其他敏感數據,目前已釋出約2.7GB的數據,Panasonic Canada暫沒針對是否遭Conti入侵或其內部發生資安事件作出回應。

Conti是目前的主流勒索軟體,亦是一個人為操作的「雙重勒索」型勒索軟體,採用威脅曝光企業資料和加密資料勒索的雙重勒索策略, Panasonic Canada和Konica Minolta Marketing Services很有可能已回絕駭客支付贖金的要求,因此數據遭外洩。值得一提的是, Konica Minolta 和Panasonic的日本母公司內部也分別發生過資安事件, 2020年7月底日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊,系統斷線數日; 2021年6 月日本松下(Panasonic)遭受了長達約五個月的入侵。

日本企業資安防禦不足,在去年和今年許多企業遭受網路攻擊,而這是值得台灣企業注意的警訊。

* 2022 年 3 月日本汽車零件大廠電裝公司(DENSO) 遭 Pandora勒索軟體攻擊

* 2022 年 3 月豐田的重要零部件供應商小島工業受到網路攻擊,最終導致豐田全國工廠必須停工。

* 2022 年 3 月三桜工業遭Conti勒索軟體攻擊毒手

*日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊

*2021年2 月底環球晶旗下GlobalWafers Japan遭新型勒索組織Pandora,被盜1Tb數據

*2021年12 月底日本的東京コンピュータサービス(東京計算機服務株式會社)的企業網路遭Night Sky勒索軟體的攻擊

*Olympus的歐洲分公司在2021年9月份遭到BlackMatter勒索軟體攻擊10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

有關Conti勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

fa13f5a811e591c79f3207500604455879f34edf6ace61d5e34d54c3a5e8af64

ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2

f0278073fc7f61f547b0580522abc519630041e41782f86af1113ad0242f2da0

f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81

e64e350861b86d4e05668bc25e6c952880f6b39ca921496ccce1487dbf6acab6

SHA 1:

de2569f4f8591fb7d56af7165360811f7a2858ff

b96d0b726e1a2ff46847db035599291b8423aff4

cfdd6e3a69b12d43af94cb0441db3e1ef93f74f8

b374eb643b20e47cd9c45811c09e4e73b5871506

CISA下令要求聯邦機構三週內修補好八個漏洞,包含Sophos 防火牆的重大漏洞,另外,合勤修補了影響防火牆和 VPN 設備的重大漏洞

八個聯邦機構需要在 4 月 21 日前修補好的漏洞

美國網路安全及基礎設施安全局(CISA) 已於週四 (3月 31 日) 下令聯邦機構在4 月 21 日之前修補一個重大的 Sophos 防火牆漏洞和其他7個漏洞,所有這些漏洞都在持續遭駭客鎖定。正如Sophos 在三月下旬披露的那樣,編號CVE-2022-1040 的驗證繞過漏洞使攻擊者能夠通過用戶入口網站和Web管理介面,繞過身份驗證並能讓攻擊者遠端執行程式碼,此漏洞CVSS 3.1風險值達9.8,Sophos在更新改其安全公告時,稱發現部分位於南亞地區用戶遭駭客鎖定。

CISA 還命令聯邦機構修補趨勢科技的Apex Central 產品管理控制台中的一個高嚴重性任意檔案上傳漏洞CVE-2022-26871,CVSS風險值達8.6,該漏洞可在遠端執行程式碼執行攻擊中被濫用。週二( 3月29日),趨勢科技表示,觀察到已有駭客在積極的嘗試開採漏洞。

BleepingComputer報導,CISA 今天在其已知被開採漏洞( Known Exploited Vulnerabilities Catalog)清單中增加了六個漏洞,所有這些漏洞也在持續的遭駭客鎖定。根據 2021 年 11 月根據具有約束性作業指引(BOD 22-01),聯邦民事行政部門機構 (FCEB)必須保護其系統免受這些安全漏洞的影響,CISA要求他們在 4 月 21 日之前修補好今天增加的漏洞。

CISA解釋說:“這些類型的漏洞是所有類型的惡意網路參與者的常見攻擊媒介,並對聯邦企業構成重大風險 。 ”雖然 BOD 22-01 指令僅適用於 FCEB 機構,但 CISA 還敦促私營和公共部門組織優先修補這些積極濫用的安全漏洞,以減少其網絡遭受持續網路攻擊的風險。在發布此綁定指令後,CISA 在其積極利用的漏洞列表中添加了數百個漏洞,要求美國聯邦機構盡快修補它們以防止安全漏洞。

自今年年初以來,網路安全機構還下令各機構修補積極利用的零日漏洞:

Google瀏覽器(CVE-2022-1096)

Mozilla 的 Firefox 網絡瀏覽器 (CVE-2022-26485)

Google Chrome (CVE-2022-0609) 和 Adob​​e Commerce/Magento 開源 (CVE-2022-24086)

iPhone、iPad 和 Mac  (CVE-2022-22620)

合勤發布的安全公告

3月29日網路設備製造商合勤 (Zyxel )已針對影響其部分企業級防火牆和 VPN 產品的韌體重大漏洞釋出安全更新,該漏洞可能使攻擊者能夠控制設備。在某些防火牆版本的 CGI 程式中發現了一個由於缺乏適當的存取控制機制而導致繞過身份驗證的漏洞,合勤發布的安全公告中表示,該漏洞可能允許攻擊者繞過身份驗證並獲得對設備的管理存取權限。該漏洞的編號為CVE-2022-0342,美國國家標準與技術研究院 (NIST) 尚未對風險值提供評分,但合勤的評估給出了 9.8 分(滿分 10 分),CVE-2022-0342涉及 USG/ZyWALL、USG FLEX、ATP、VPN 和 NSG(星雲安全網關)系列的產品。

以下合勤產品受到影響——

USG/ZyWALL系列韌體版本 ZLD V4.20 到 ZLD V4.70(合勤已釋出更新版韌體ZLD V4.71)

USG FLEX 系列韌體版本 ZLD V4.50 至 ZLD V5.20(合勤已釋出更新版韌體ZLD V5.21)

ATP 系列韌體版本 ZLD V4.32 至 ZLD V5.20(合勤已釋出更新版韌體 ZLD V5.21)

VPN 系列韌體版本 ZLD V4.30 至 ZLD V5.20(合勤已釋出更新版韌體ZLD V5.21 )

針對NSG系列,合勤目前釋出Hotfix,預計5月5日釋出標準修補程式V1.33 Patch 5

雖然沒有證據表明該漏洞已被廣泛利用,但合勤建議用戶應儘速更新韌體。

史上最大的加密貨幣劫案~駭客從Axie Infinity遊戲背後的區塊鏈 Ronin Network 盜走 6.2億美元

今年最火的NFT 遊戲Axie Infinity,今傳出被駭客入侵,駭客從Axie Infinity 目前使用的側鏈 Ronin Network竊取了近 6.2 億美元的以太坊和 USDC 貨幣,這是加密貨幣圈迄今為止最大的劫案事件之一。

根據Ronin Network 的說法,入侵是今天首次發現的,但攻擊可以追溯到 3 月 23 日,駭客於23 日破解了其中由 Axie Infinity 母公司 Sky Mavis控制的 4 個節點,跟 1 個由 Axie DAO 所控制的節點。據稱,母公司Sky Mavis 開發的 Ronin 鏈目前由 9 個驗證節點組成,要能驗證存款或取款,最少要獲得其中 5 個節點同意。

加密貨幣持有者通常並不只在一個區塊鏈生態系統中運作,因此開發人員建立了跨鏈橋(Cross-Chain Bridges),讓用戶將加密貨幣從一條鏈發送到另一條鏈。在這種情況下,Ronin橋將 Axie Infinity 連接到其他區塊鏈,例如以太坊。

使用這座橋, 玩家可以將以太坊或 USDC 存入 Ronin,並用它來購買NFT或遊戲內貨幣,然後他們可以出售他們的遊戲內資產並提取資金。

根據Ronin 橋接上的交易明細紀錄,駭客盜取資金在六天前就完成,並將資金轉移到 FTX 與 Crypto.com ; Ronin則是在 3/29 合法用戶無法在跨鏈橋提取5,000 枚以太坊後才發現。

紀錄1
紀錄2

另外根據Bloomberg 報導,資產證券公司Securitize Inc說,這個事情居然六天都沒有人注意到,直到今天才被發現,光是這一事實就讓人驚覺,應該建立一些架構來監控非法轉移。Ronin 表示,它正在與執法部門和鑑識密碼學家合作,以確保所有資金都得到追回,目前用戶無法提取或存入資金,同時Ronin將驗證門檻從 5 個增加到 8 個,也暫停了的橋接機制。

過去其他加密貨幣劫案涉及的金額:

PolyNetwork  ——  6億美元

Cream Finance  –  1.3 億美元 (10 月)

Liquid ——9700 萬美元

EasyFi  ——  8100萬美元

bZx  –  5500 萬美元

Cream Finance  –  3700 萬美元 (2 月)

Vee Finance  ——  3500萬美元

Cream Finance  –  2900 萬美元 (8 月)

pNetwork  ——  1200萬美元

Rari Capital  ——  1100萬美元

駭客劫持未修補的 Exchange伺服器上的電郵,植入惡意的回覆內容來傳播惡意軟體IcedID

研究人員發現了一個新的釣魚郵件活動,該活動旨在劫持的電子郵件的回覆內容 (Email Thread Hijacking) 並植入難以發現的惡意payload,瞄準未修補和暴露網路上Microsoft Exchange伺服器,將用於資料竊取的IcedID惡意軟體傳送到受感染的機器上。

IcedID 是一種模組化銀行木馬,於 2017 年首次被發現,已發展成為駭客建立切入點,用於部署第二階段的惡意軟體,例如勒索軟體或Cobalt Strike工具。IcedID使攻擊者能連接到遠端伺服器並下載下一階段的植入程式和工具,使駭客能執行後續活動並在受影響的網路中橫向移動,以投放其他的惡意軟體。根據以色列資安公司Intezer週一(3/28) 發布的報告,此次活動針對以前的被盜電子郵件並偽造回覆,以用作說服收件者打開附件,值得注意的是,在3 月中旬檢測到的最新一波攻擊瞄準了能源、醫療保健、法律和製藥領域的組織。

Photo Credit: Intezer

攻擊是如何發生

據悉,雖然早期的 IcedID 活動利用網站聯繫表格(Website Contact Form)向組織發送帶有惡意軟體的鏈結,但此次活動的攻擊在易受攻擊的 Microsoft Exchange伺服器上從被劫持的帳號發送誘騙電子郵件,這表明社交工程攻擊的進一步發展。Intezer的研究人員Joakim Kennedy和Ryan Robinson說,payloads也已經從使用Office檔轉向使用帶有Windows LNK檔和DLL檔的ISO檔案,使用ISO檔案允許威脅行為者繞過Web標記控制,導致惡意軟體的執行而不會向使用者發出警告。

研究人員觀察到攻擊中使用的釣魚郵件帶有誘騙的警告,警告用戶在最近的合約中有未處理的付款,並指向附件中的法律文件,攻擊者在這些電子郵件中利用對話劫持,使用合法的、受感染的電子郵件並將自己插入現有對話中,使釣魚攻擊更具說服力,最終使用戶難以檢測到。

據悉,附件的 zip存檔文件受密碼保護,密碼在電子郵件中給出。存檔包含一個 ISO 檔案。當受害者點擊該檔案時,它會使用regsvr32.exe來執行一個 DLL 檔案,研究人員稱這是一種通過允許proxy執行 main.dll 的惡意程式碼來實現防禦規避的技術。

誰是新的 IcedID活動的幕後黑手?

雖然 Intezer 沒有在 IcedID 活動與網路犯罪組織TA551 的之間直接聯繫起來,但分析報告確實提及到 Proofpoint 在2021 年6月的一份報告,該報告強調了網路犯罪組織 TA577 和 TA551 傾向於使用 IcedID 作為其惡意軟體。但Intezer認為這次的活動由TA551發起,因為該組織已知以DDL的二進位檔proxy和受密碼保護的ZIP檔執行regsvr32.exe。

研究人員總結說,對話劫持的使用是一種強大的社交工程技術,可提高網路釣魚的成功率。

有關IcedID的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213

698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250

汽車零件製造商遭勒索攻擊又添一樁,三桜工業遭Conti毒手

針對汽車行業供應鏈的網路攻擊,正在接二連三地發生,不久前,如豐田汽車的關鍵供應商,汽車零件大廠電裝公司(DENSO Corporation) 和另一零部件供應商小島工業相繼遭攻擊後,於昨天(3/25) 根據NHK的報導,總部位於東京的汽車零部件製造商三桜工業(Sanoh Industrial Co., Ltd)的美國子公司(Sanoh America)於23日證實在本月12日發現了勒索軟體攻擊並收到贖金信。Sanoh America在檢測到攻擊時,就已經斷開互聯網連接,以防止攻擊散播。

“Sanoh America”主要為美國生產汽車剎車管和燃油管,被攻擊後切斷互聯網連接,然後在採取臨時措施恢復備份後,恢復了生產。

根據Conti揭秘網站,他們宣稱成功駭入Sanoh America ,並開始發布從Sanoh America竊取得來大約 900MB的數據,當中包含一些預算管理和會議記錄的檔案。

另外據觀察,Cuba勒索軟體的揭秘網站,聲稱攻擊了現代汽車集團旗下位於美國喬治亞州的汽車零部件製造商現代派沃特(Hyundai Powertech),並外洩其財務檔案、員工的銀行資料、稅務檔案、薪酬資料和原始碼。

關於汽車產業的勒索軟體攻擊,層出不窮,竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

GIMMICK 是一種新發現的 macOS 植入載體(Implant),由中國國家級駭客組織Storm Cloud 開發,用於針對亞洲各地的組織。2021 年末,資安公司Volexity 研究員調查了他們正在監控的環境中的一次入侵,並發現了有執行 macOS 11.6 (Big Sur) 的作業系統的MacBook Pro,被一種被追踪為GIMMICK的惡意程式感染。研究人員解釋說,他們在過去的調查中發現了相同植入載體,但都是針對Windows版本的電腦而來,專家們並將此次針對macOS用戶的攻擊歸因於中國國家級駭客Storm Cloud,Storm Cloud被認為是一組進階且多才多藝的駭客組織,擅長調整其工具集以匹配其目標使用的不同操作系統。

Photo Credit: Volexity

macOS版的惡意軟體GIMMICK主要使用 Objective C 編寫,而Windows版本則同時使用 .NET 和 Delphi編寫。但兩者使用的C2架構、檔案路徑、攻擊模式相同,且濫用 C2 的公有雲託管服務(例如 Google Drive)來逃避檢測。部署後,GIMMICK可以作為守護程式啟動,也可以以客製化應用程式的形式啟動,並旨在模擬目標用戶經常啟動的程式。該惡意軟體被配置為僅在工作日與其基於 Google Drive 的 C2 伺服器進行通信,以進一步融入目標環境中的網路流量。

更重要的是,後門除了從C2伺服器檢索任意檔案和執行命令外,還具有自我解除安裝功能,使其能夠從受感染的機器中自我刪除。

為了保護用戶免受惡意軟體的侵害,Apple 已於2022 年 3 月 17 日為其內置的反惡意軟體保護套件 XProtect發布了新特徵碼,以通過其惡意軟體刪除工具(Malware Removal Tool – MRT)攔截和刪除感染。

研究員總結分析說,將這種惡意軟體移植並使其系統適應新的操作系統 (macOS) 所涉及的開發並非易事,這表明其惡意軟體的背後參與者資源充足、熟練且多才多藝。

有關GIMMICK的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f

SHA 1:

fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8

MD5:

943c3743f72f06e58e60fa147481db83

Lapsus$駭不停,駭入身份驗證供應商Okta!

身份驗證提供商 Okta是最新一家成為備受矚目的 Lapsus$ 駭客行動的受害者,據路透社報導,週二(3/22),知名駭客組織 Lapsus$發布了據稱包含Okta內部系統敏感資料的截圖後。 Okta在一份聲明試圖淡化了此遭駭事件,表示沒有發現新攻擊的證據。根據 Okta的說法,發現攻擊者曾在今年1月在其第三方的客戶支援工程師帳戶進行社交工程攻擊,Okta 表示,該帳戶在 1 月 16 日至 21 日的五天內處於攻擊者的控制之下,但強調Okta服務並未被入侵,並且仍然完全可以正常運作。Okta發言人Chris Hollis說,我們相信網上分享的截圖與一月的事件有關。根據我們迄今為止的調查,除了 1 月份檢測到的活動之外,沒有證據表明有任何惡意活動正在進行。

Okta顯然在 1 月下旬就意識到了這一事件,但直到本週才披露——這可能會增加其客戶的數據洩露風險。對Okta的任何駭客攻擊都可能對依賴Okta來驗證用戶存取內部系統的公司、大學和政府機構產生影響。

根據Lapsus$對Okta說法的回應,駭客聲稱他們竊取了的客戶服務的帳戶,還能夠重新設定Okta大約 95%的客戶密碼的憑證,認為Okta只是在嘗試在淡化其遭駭的嚴重性。根據Dark reading報導,安全研究員Bill Demirkapi檢查了Lapsus$公開Okta內部系統的截圖,表明攻擊者入侵了為 Sykes Enterprises, Inc. 工作第三方的客戶支援工程師的機器,被感染的個人電腦似乎為 Okta 的客戶工作支援團隊,提供Tier 2的支援。Demirkapi進一步說利用此支援工程師擁有的存取權,Lapsus$ 能夠存取Slack 中的 Okta 聊天消息、Jira 中的客戶支援ticket以及用於協助客戶的超級使用者權限的後端管理工具。正如華爾街日報的報導,駭客聲稱沒有登入或竊取 Okta 的任何數據,而是專注於該公司客戶,其中包括Cloudflare,Grubhub,Peloton,Sonos,T-Mobile和Engadget母公司雅虎。

根據Okta的最新的聲明,得出的結論是一小部分客戶(約 2.5%)可能受到影響,他們的數據可能已被查看或採取行動。

如果您是 Okta 的客戶並想了解更多資訊,建議您查看過去 90 天的 Okta安全日誌​​以查找可疑活動,或直接與 Okta 聯繫。

Lapsus$於2021 年 7 月首次出現,最近幾個月一直在進行駭客攻擊,在此期間針對大模範企業,包括 Impresa、巴西衛生部、Claro、Embratel、NVIDIA三星、Mercado Libre、育碧 、Vodafone,以及昨天的MicrosoftLG

3月23日,來自Lapsus$的最新消息,表示他們有一部分成員要休假至3月30日,這段時間他們會很安靜。駭客休假是不是真的代表沒有攻擊行動呢? 值得我們持續的關注下去 !

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Lapsus$又出手!微軟旗下Bing 、Bing Maps和Cortana的原始碼疑遭外洩!同時韓國LG的員工和服務帳戶的hash值也遭公開!

據觀察,就在今天早上(3月22日) 9 點 17 分南美駭客組織在其Telegram 頻道發布了兩段簡短的訊息,公開了LGE.com 的員工和服務帳戶的所有hash值,並同時也公開微軟Bing、Bing Maps和Cortana的原始碼,此前Lapsus$也曾在此頻道公開外洩從Nvidia三星竊取得來的數據。

Lapsus$的兩段訊息

3月20日,Lapsus$ 曾發布了一張截圖,聲稱是微軟的原始碼存儲庫,包括 Bing 和 Cortana,Lapsus$聲稱他們通過入侵 Azure DevOps 伺服器存取了存儲庫,但該截圖在幾分鐘後被Lapsus$刪除,並留言說,暫時刪除,稍後會重新發布(Deleted for now will repost after)微軟沒有就Lapsus$的說法發表公開聲明,但已告訴多家資安媒體它正在調查。

今天在關於微軟的訊息中包括一個 483.7 KB 的檔案,Lapsus$ 聲稱該檔案包含微軟Bing搜索引擎、Bing地圖服務和語音助理Cortana的部分原始碼,該檔案包含其聲稱已竊取的 90% 的 Bing 地圖數據,以及聲稱已竊取的 45% 的 Bing 和 Cortana 數據。

根據Emsisoft的威脅分析師 Brett Callow告訴資安媒體itwire,最近Lapsus$攻擊了許多大公司,鑑於微軟和Lapsus$過去的受害者都沒有否認,因此他們聲稱攻擊了微軟並非完全不可信。

另外在關於LG的訊息中,Lapsus$稱這是他們在 1 年內第二次入侵LG,並承諾會很快發布LG的infrastructure confluence。2020年6 月底,LG也曾被Maze勒索軟體攻擊,被竊40GB的Python原始碼。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe