IOCs - 竣盟科技

Toyota豐田汽車及CannonDesign被駭資料遭到外洩

Posted on 2024 年 8 月 21 日2024 年 8 月 21 日 by blogadmin

Toyota豐田汽車遭到勒索軟體集團駭入，共計240GB資料外洩

日前Toyota豐田汽車證實，他們的客戶資料遭到洩露。一名網路攻擊者在駭客論壇上洩露了他們從豐田的IT系統中竊取的 240GB 檔案資料。

針對這起事件，豐田回應道：「我們已經了解事件狀況。此次事件的範圍是局部性的，並沒有擴及整個IT系統。」

豐田補充說，「他們正在聯繫受到影響的客戶及人員，並在需要時提供協助。」目前尚未提供有關何時發現被入侵、攻擊者如何獲得存取權限以及有多少人的資料被暴露等資訊。

攻擊參與者 ZeroSevenGroup 聲稱已入侵豐田美國分公司，並竊取了 240GB 的檔案資料，內容涵蓋包括聯絡人、財務、客戶資料、計畫方案、員工資料、照片、資料庫、網路基礎設施、電子郵件和大量其他資料。

他們聲稱已經使用開源 ADRecon 工具收集了網路基礎設施資訊，包含憑證，這類工具可以幫助於從 Active Directory 環境中提取大量資訊。

豐田並未透露資料遭洩的確切日期，根據報導發現這些檔案被竊最早可以追溯到 2022 年 12 月 25 日。在這個時間點，攻擊者侵入備分伺服器，進而取得儲存於此的資料。

2023 年 12 月，豐田金融服務公司 (Toyota Financial Services) 通知客戶，公司遭遇了資料外事件，敏感性的個人資料及財務資料因勒索軟體攻擊而洩露，這起攻擊事件的影響範圍波及豐田的歐洲和非洲分公司。

2023 年 11 月 17 日，Medusa 勒索軟體集團聲稱參與了這起攻擊，並且威脅豐田如果不支付贖金，就會洩露被駭的資料。

CannonDesign資料外洩

Cannon Corporation (佳能集團) 旗下CannonDesign 正向 13,000 多名客戶發送資料外洩通知，告知客戶在 2023 年初的一次攻擊事件中駭客入侵了公司網路並竊取資料。

CannonDesign 是一家總部位於美國紐約州，屢獲殊榮的建築、工程和顧問公司，在學術性建築、醫院和體育場館等項目上的卓越表現而受到業界認可。

CannonDesign 開始向受影響的個人發送通知信，信中通報了 2023 年 1 月 19 日至 25 日這段期間發生的資安事件，該事件涉及未經授權的網路存取和資料外洩。

根據調查顯示，這場攻擊背後的執行者可能取得了姓名、地址、社會安全號碼 (SSNs) 和駕照號碼等資訊。

2023 年 2 月 2 日，Avos Locker 勒索軟體集團宣稱他們入侵了 CannonDesign 的系統，並且持有 5.7 TB 的被駭資料，其中包括公司和客戶相關檔案資料。

在勒索軟體集團索要贖金的計畫可能失敗後，他們將盜取資料轉到 Dunghill Leaks網站，該網站於 2023 年 9 月 26 日公佈了從 CannonDesign 竊取的 2TB 資料。這些資料包括資料庫轉儲 (database dumps)、專案圖表、聘僱文件、客戶詳細資訊、行銷資料、IT和基礎設施詳細資訊以及品質保證報告等。

Dunghill Leaks是 Dark Angels勒索軟體組織於 2023 年 4 月推出的資料外洩網站，用於迫使受害者支付勒索軟體集團要求的贖金。

攻擊豐田的勒索軟體Medusa的部分的入侵指標（IOCs）:

a57f84e3848ab36fd59c94d32284a41e

e4b7fdabef67a0550877e6439beb093d

042ce9ab1afe035e0924753f076fcb20de0d1a1d

0823d067541de16325e5454a91b57262365a0705

4d5992de4601c4306885c71b0ba197184bb69221

78daa8b99d2fa422926465f36e13f31587b9e142

db5e29c0729486ba3833426093652451c5fca9b5

ee4575cf9818636781677d63236d3dc65652deab

3e19d1653c08206c55e1f835bd890b067b652b99a7b38bad4d78ad7490c6a0f8

4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6

美國Kootenai Health醫院資料外洩事件影響超過 464,000名病患

Posted on 2024 年 8 月 16 日 by blogadmin

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

Photo Credit: GBHackers庫特內醫院（Kootenai Health）近日披露了一起資料外洩事件，超過464,088名病患的個資受到影響，這些資料是被名為ThreeAM（3AM）的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心，提供全方位的醫療服務，包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名，並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信，2024年3月2日，公司發現部分IT系統出現異常，隨即展開調查，並尋求業界頂尖的資安專家協同合作。

調查顯示，2024年2月22日左右，網路攻擊者入侵了庫特內醫院的網路，竊取了病患的個人資訊，包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示，目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患，並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明，依據受害者遭到洩露的是哪種資料，會予以相應的個資保護服務。

庫特內醫院表示，發現異常活動後，立刻採取相應措施以確保數位環境的安全。經過全面性的查驗，確認受影響的資料後，於2024年8月1日，庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件，庫特內醫院宣布實施額外的安全措施，並已通知當地執法單位，包括聯邦調查局（FBI）。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3點 勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊，並在他們的暗網入口網頁上洩露了被駭資料，這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案，這個檔案免費提供使用，任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示，3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫，在開始加密程序之前，它會嘗試中斷多種服務，並在加密完成後試圖刪除磁碟區陰影副本（Volume Shadow copies）。

被加密的檔案其檔名末端會被添加“.threeamtime”，此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到，他們發現3AM和Conti，the Royal等勒索軟體集團之間有著顯著的關聯性，表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標（IOCs）:

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22

307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e

680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4

991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af

ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc

832a3c90b047e7c5dcfd373d238d16e33e238354d9b1af673003af22f4376e4c

EastWind行動-中國駭客組織鎖定俄羅斯政府和IT企業

Posted on 2024 年 8 月 14 日2024 年 8 月 14 日 by blogadmin

EastWind攻擊行動背後是與中國關聯的駭客組織APT27及APT31

自2024 年 7 月底開始，發生一系列針對性的網路攻擊事件，其目標鎖定在俄羅斯政府組織和 IT 企業所使用的數十個系統，據瞭解這一系列攻擊事件與中國關聯的 APT27 和 APT31 駭客組織有關。

俄羅斯電腦安全公司Kaspersky (卡巴斯基) 日前發現該系列攻擊行動，並將之稱為“EastWind” (東風行動)，報告稱該行動使用了更新版的CloudSorcerer 後門程式，目標是俄羅斯政府。在 2024 年 5 月類似的網路間諜活動中，也發現有使用相同的後門程式。

要特別注意的是CloudSorcerer 攻擊行動並不局限於俄羅斯，在 2024 年 5 月，電子郵件防護廠商Proofpoint 記錄了一次針對美國智庫的攻擊事件，其中也有使用CloudSorcerer。

EastWind東風攻擊手法

網路攻擊者先寄出帶有 RAR 檔案附件的網路釣魚電子郵件，其中含有用來安裝惡意軟體的 Windows 捷徑。攻擊者藉由雲端儲存服務 Dropbox 向惡意軟體發出指令，以安裝額外的木馬程式，像是網路間諜組織APT31使用的工具就是這類，另外還有一種名為 GrewApacha 的更新版CloudSorcerer後門程式也是。

卡巴斯基發布的報告中提到：「攻擊者使用一種典型的 DLL (動態連結程式庫) sideloading (側載入) 技術：當desktop.exe執行檔啟動時，惡意的 VERSION.dll 程式庫就會載入到對應的程序之中。」「這個程式庫是一組包含 VMProtect 工具的後門程式。一旦啟動，它會嘗試使用hardcoded (編碼寫死) 的授權憑證來連結 Dropbox 雲端服務。當連接到雲端，後門程式就會從儲存裝置內含的< computer name >/a.psd檔之中讀取要執行的指令。」

然後惡意軟體將這些指令的執行結果上傳到雲端儲存的檔案 < computer name >/b.psd 之中。

EastWind 攻擊行動中也使用變異版本的 CloudSorcerer 後門程式 (一種名為 GetKey.exe的工具程式)，其中包含 VMProtect 保護程式，這個惡意軟體的目的是用於加密只能在受駭使用者電腦上解密的傳輸資料。

其他在EastWind攻擊中發現的植入程式還有一種透過 CloudSorcere後門程式帶入的PlugY，這是一個前所未知的新種後門程式。

PlugY 在 C2(Command and Control) 通訊部份具備高度多功能性，包括能夠執行檔案操作指令、shell (外層) 指令執行、螢幕截圖、鍵盤記錄和剪貼簿監控等等。

卡巴斯基的分析指出，PlugY後門程式中使用的程式碼之前曾在 APT27 駭客組織的攻擊中出現過。

卡巴斯基評論道，由於 EastWind 攻擊中使用的後門程式明顯不同，因此要在被入侵的電腦上偵測出所有的後門程式是有相當難度。需要注意的項目包括：

「C:\Users\Public」目錄中超過 5MB 的 DLL (動態連結程式庫) 檔案
檔案系統中未簽署的「msedgeupdate.dll」檔案
每個使用者登入時啟動的「msiexec.exe」執行程序

在 EastWind攻擊行動中，駭客組織使用精密且高階的程式工具組合來掩飾網路流量中的惡意行動。攻擊者利用 GitHub、Dropbox、Quora 等常見的網路服務以及 LiveJournal 和 Yandex.Disk 等俄羅斯的系統平台，將這些平台用作命令伺服器。EastWind行動涉及到兩個與中國關聯的 APT 駭客組織，APT27和APT31，這部分也顯示出 APT 組織是如何地緊密合作並且共享惡意軟體工具。

EastWind行動相關的部分的入侵指標（IOCs）:

1f5c0e926e548de43e0039858de533fc

67cfecf2d777f3a3ff1a09752f06a7f5

bed245d61b4928f6d6533900484cafc5

d0f7745c80baf342cd218cf4f592ea00

f6245f64eaad550fd292cfb1e23f0867

faf1f7a32e3f7b08017a9150dccf511d

426bbf43f783292743c9965a7631329d77a51b61

bce22646f0d7c3abc616996cd08b706590e724e1

c0e4dbaffd0b81b5688ae8e58922cdaa97c8de25

e1cf6334610e0afc01e5de689e33190d0c17ccd4

中國駭客組織StormBamboo入侵網路服務供應商 (ISP)

Posted on 2024 年 8 月 7 日2024 年 8 月 7 日 by blogadmin

StormBamboo自 2012 年以來一直頻繁活動，主要目標在中國大陸、港澳、東南亞等地

一個名為 StormBamboo 的中國駭客組織日前入侵一家尚未揭露的網路服務供應商 (ISP)，他們利用自動軟體更新的漏洞來進行惡意軟體的散播。

這個網路間諜組織同時也以 Evasive Panda、Daggerfly 和 StormCloud等名稱為人所知，自 2012 年以來他們一直有所活動，主要的目標是鎖定在中國大陸、香港、澳門、奈及利亞以及東南亞和東亞的幾個國家。

上週，網路安全公司Volexity的威脅事件研究人員透露，他們發現 StormBamboo 利用改變DNS 中有關網域的查詢回應，將之連結到自動軟體更新的步驟。網路攻擊者利用像是 HTTP 之中不安全的更新機制來發動攻擊，並且由於無法驗證安裝程式的數位簽名，使用者以為是做更新程式的安裝，但實際上安裝卻是惡意軟體。

這種攻擊手法的關鍵是一種名為中間人man-in-the-middle (MITM)的技術，攻擊者在鎖定攻擊的設備和可信任伺服器 (trusted server) 之間取得有利位置，這樣做的目的是為了攔截和操控兩邊之間的通訊傳輸資料。

一般 ISP 遭到入侵的情況是，攻擊者駭入 DNS 請求程序，這是將網站位址轉換為數字 IP 位址的關鍵功能程序。然後攻擊者通過篡改 DNS 回應，將使用者重新導向到意在竊取敏感資訊的惡意網站。

其中一個例子是，他們利用5KPlayer 發出請求來更新 youtube-dl dependency (youtube 下載軟體相依性)，其最終目的是推送後門安裝程式到 C2 伺服器上。

當網路攻擊者入侵了攻擊目標的系統之後，他們會安裝Google Chrome 擴充元件 (ReloadText)，這是一種惡意軟體，藉此他們能夠收攏和竊取包括瀏覽器 cookie 以及郵件資料。

Volexity研究人員解釋說：「當這些應用程式發出檢索相關更新時，接下來並不會安裝你想要的更新，結果卻是被安裝上了惡意軟體，這其中包括MACMA 和POCOSTICK（又名MGBot）。」

2023年4月，電腦安全軟體公司ESET的威脅研究人員也觀察到，該駭客組織利用騰訊QQ通訊軟體上自動更新機制的漏洞，部署Windows後門程式Pocostick（MGBot），藉以攻擊國際NGOs（非政府組織）。

一年後的2024 年 7 月，賽門鐵克的威脅獵捕團隊也發現中國駭客集團利用最新的 Macma macOS 後門程式和惡意軟體版本的 Nightdoor Windows，攻擊對象是位於中國的一家美國非政府組織和台灣的多個企業機構。

研究人員補充道：「Volexity 觀察到 StormBamboo 近期的活動中，目標針對多個軟體廠商，利用這些廠商目前使用的更新作業流程安全性上的漏洞。」

「Volexity 立即通知了該家 ISP 並與之共同合作，尋求解決方案，該ISP 著手調查了在其網路上提供流量路由服務 (traffic-routing service) 的數個關鍵設備。隨後 ISP 系統重新啟動並關掉網路系統中的數個元件，DNS 中毒的情況總算獲得解決。」

中國駭客組織 StormBamboo 入侵ISP相關的入侵指標（IOCs）:

4c8a326899272d2fe30e818181f6f67f

acfc69c743b733dd80c1d551ae01172b

ce5fdde7db4ee41808f9c7d121311f78

038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc

37ee872f05a0273446dc7e2539b9dbf9bf7d80b4

66346b3d841dc56a387f48b4dfba96083c37ec2e

68853cafd395edd08cd38ab6100c58e291a3a3d7

84875b2cf9f8c778ff1462ef478918b4ac964afe

bb030c405f33557bc5441165a0f8bf9a6d5a82a6

c68e86985a4cb2f69e16fb943723af63833859b3

FBI：Akira勒索軟體從250多名受害者中獲利4200萬美元

Posted on 2024 年 4 月 19 日 by blogadmin

4月19日，根據FBI、CISA、歐洲犯罪中心（EC3）以及荷蘭國家網絡安全中心（NCSC-NL）的聯合通告，Akira勒索軟體行動已經侵入了250多個組織的網路，並從勒索金中賺取了大約4200萬美元。

Akira於2023年3月出現，並迅速因為針對全球各行業的受害者而聞名。

到2023年6月，該組織的勒索軟體開發人員已經開發並部署了一個Linux加密器，以針對廣泛在企業組織中使用的VMware ESXi虛擬機器。

根據BleepingComputer獲取的談判記錄，Akira操作者要求的贖金從20萬美元到數百萬美元不等，具體取決於受影響組織的規模。

“截至2024年1月1日，勒索軟體組織影響了超過250個組織，聲稱大約從勒索軟體中獲得了4200萬美元的收入，”聯合通告警告說。

“自2023年3月以來，Akira勒索軟體影響了北美、歐洲和澳洲的各種企業和關鍵基礎設施。”

2023年12月，Akira聲稱對日產大洋洲(Nissan Oceania)進行了勒索軟體攻擊，日產大洋洲在2024年3月警告客戶警惕潛在的詐騙電子郵件和傳播惡意軟體的訊息，並稱發生的資料外洩事件

影響了 10 萬人; 另外斯坦福大學，也在上個月透露在四個多月的時間裡未能偵測到Akira勒索軟體的入侵，造成27,000 人的個資被盜。

Akira自從去年浮出水面以來，該勒索軟體組織已經在其暗網洩露網站上新增了超過230個組織。

今天的諮詢還提供了有關減少與這個勒索軟體幫派攻擊相關的影響和風險的指導。

FBI強烈建議網路防禦者優先修補已經被利用的漏洞，並在所有服務中實施使用強密碼的多因素身份驗證（MFA），尤其是對於網路郵件、VPN和與關鍵系統相關的帳號。

此外，組織應定期更新和修補軟體到最新版本，並將漏洞評估作為其標準安全協議的組成部分。

這四個機構還提供了Akira的入侵指標（IOCs）以及在2024年2月FBI調查中識別出Akira的戰術、技術和程序（TTPs）的資訊。

Hunters International 再度入侵台灣跨國上市電子公司遭殃

Posted on 2024 年 4 月 17 日2024 年 4 月 18 日 by blogadmin

4月16日，竣盟科技在Hunters International 的暗網揭秘網站上發現台灣某跨國電子大廠的頁面，Hunters聲稱已取得該公司約1.2TB的資料共約420萬份檔案。該受害電子大廠主要從事鍵盤、影像相關產品、電源供應器、智慧家居產品等製造及代理各品牌電腦週邊設備等。目前Hunters International 沒有公佈確切發佈資料的日期及要求的贖金金額。最近日本光學大廠Hoya也傳出成為Hunters 的受害者，被盜約200萬份資料及勒索1千萬美元的贖金。截至目前，Hoya被盜的資料還沒有在網路上出現，攻擊者也沒有公布他們是如何滲透到 Hoya 的。然而，Hoya 與網路犯罪分子之間談判過程的螢幕截圖已在網路上洩露，突顯了緊張的局勢。Hoya事件的直接結果是，一些生產工廠和某些產品的訂購系統受到了影響。台灣電子大廠的生產線是否也如Hoya受到直接的影響，目前仍不得而知。

Hunters International於 2023 年第三季才浮出水面上，儘管只有幾個月的歷史，該組織的發展速度仍超出了任何人的預期，但這樣一個新組織為何能如此迅速地崛起呢？答案相對簡單：Hunters似乎是 Hive 勒索軟體的繼承者。Hive曾經是世界上最危險、資金充足、足智多謀的勒索軟體組織之一，該勒索軟體於 2023 年 1 月被 FBI 攻破，停止了Hive 勒索軟體的操作。據觀察Hunters International，是一種針對 Windows 和 Linux 環境的勒索軟體，一旦勒索軟體組織完成資料洩露，就會在受害者電腦上的加密檔案中加入.LOCKED副檔名。截至目前，他們列出的全球受害者，涉及健康、汽車、製造、物流、金融、教育、食品等產業。另外，根據Bitdefender 的報告，Hive 的程式碼與 Hunters International 的程式碼之間有重大相似之處，兩者程式碼有60%重疊。

此前，2023 年 11 月中， Hunters宣稱入侵了台灣某上市生醫並已盜取約236GB的資料，當中檔案的範圍包含客戶投訴數據-資料庫備份檔（HR相關、CRM相關和其他）-財務數據（付款、報告、審計等）-營業單位數據（訂單，產品配方，實驗室測試，包裝等） – 美國子公司數據（網路設置、稽核、供應商、員工數據等）-客戶數據（訂單、混合配方、產品處方、實驗室測試、郵件等。

根據 Cybernews的數據，Hunters International 是上個月最活躍的勒索軟體前五名之一。Hunters在 3 月聲稱有 23 名受害者，此外，自 2023 年 10 月以來總共有 89 名受害者。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

48b0a224697ead43ca1272c34a4777662049964913f083a40a5458a4ee1f78a6

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

新版本的Vultur銀行木馬模仿成McAfee安全應用程式攻擊用戶

Posted on 2024 年 4 月 2 日2024 年 4 月 2 日 by blogadmin

Vultur，一種Android銀行木馬，已觀察到整合了新的技術特點，使得惡意軟體操作者能夠遠端與受害者的行動裝置通訊。此外，Vultur開始通過加密其C2通信、使用多個動態解密的載荷以及在合法程序的假象下執行其惡意活動，以掩蓋其惡意行為。Vultur具有按鍵記錄和與受害者裝置的屏幕互動等功能，主要針對銀行應用程序進行遠端控制和按鍵記錄。

Vultur於 2021 年 3 月下旬首次被發現，它透過 AlphaVNC 的 VNC（虛擬網路運算）獲得了受害者設備的全面可見性。2021 年 7 月，ThreatFabric 研究人員發現了 Android 版本的 Vultur，它使用螢幕錄製和鍵盤記錄來捕獲登入憑證。過去，Vultur利用ngrok和AlphaVNC兩款聲譽良好的軟體應用程式來遠端存取運行在受害者設備上的VNC伺服器。根據Fox-IT 的一份報告顯示，威脅行為者利用簡訊入侵和電話引誘目標下載帶有 Brunhilda 惡意軟體植入程式的 McAfee 安全應用程式的武器化版本。然後，安裝應用程式將執行與 Vultur 相關的有效負載，從而啟用輔助功能服務和命令與控制伺服器連線。

在最近的一次活動中，Brunhilda下載器通過短信和電話呼叫進行混合攻擊的傳播，第一條短訊指引受害者進行電話呼叫。當受害者撥打號碼時，詐騙者會向受害者發送一條第二條短訊，其中包含下載器的鏈接：McAfee Security應用程式的修改版本。

Vultur的新技術特點

下載、上傳、刪除、安裝、尋找檔案；
使用 Android 輔助功能服務控制受感染的裝置（發送命令以執行捲動手勢、滑動手勢、點擊、靜音/取消靜音音訊等）；
阻止應用程式運行；
在狀態列中顯示自訂通知；
停用鍵盤防護以繞過鎖定螢幕安全措施。

Vultur 透過以下方式增強了逃避偵測和反分析的方法：

修改合法應用程式（使用 McAfee Security 和 Android Accessibility Suite 軟體包名稱）；
使用本機程式碼來解密有效負載；
在多個有效負載上傳播惡意程式碼；
使用 AES 加密和 Base64 編碼進行 C2 通訊。

值得一提的是，該惡意軟體可能會使用 Android 的輔助服務來遠端連接受感染的裝置。操作Vultur的攻擊者可以傳輸命令，執行諸如滑動、點擊和捲動等操作。研究人員表示，檔案總管功能包括下載、上傳、刪除、安裝和尋找檔案的功能，這實際上使攻擊者能夠更好地控制受感染的設備。

阻止受害者與裝置的應用程式互動是另一個有趣的新功能。此功能允許惡意軟體操作者指定一個應用程式列表，一旦偵測到在裝置上運行，就應重新啟動這些應用程式攻擊鏈。

攻擊鏈

威脅行為者使用由兩條簡訊和一個電話組成的混合攻擊，誘騙無辜者安裝惡意軟體。

最初，受害者會收到一條短訊，告訴他們撥打一個號碼，以防他們不批准大筆交易。儘管這筆交易從未發生，但它給受害者留下了必須立即執行的印象，從而使其上當行騙。在通話過程中，系統會向受害者發送第二條短訊，指示他們點擊連結以安裝木馬版本的 McAfee Security 應用程式。

該程序本質上是Brunhilda下載器，對受害者來說看似無害，因為它具有McAfee Security應用程式中的功能。

此植入程式解密並執行三個與 Vultur 相關的有效負載，使威脅行為者能夠完全控制受害者的行動裝置。在最近提交的Vultur樣本的專家注意到，新功能不斷的增加，這表明該惡意軟體仍在積極開發中，根據這些觀察結果，預計在不久的將來 Vultur 會添加更多功能。

Vultur的部分入侵指標(Indicator of compromise -IOCs):

TheMoon惡意軟體在一月和二月感染了 40,000 台設備

Posted on 2024 年 3 月 27 日 by blogadmin

在3月第一周的活動，該惡意軟體在不到72 小時內針對6,000多個華碩路由器進行了攻擊

根據黑蓮花實驗室(Black Lotus Labs)發布的報告，已經發現一個名為「TheMoon」的新變體惡意軟體僵屍網絡正在全球 88 個國家感染數千台過時的小型辦公室和家庭辦公室（SOHO）路由器和物聯網（IoT）設備。TheMoon 與「Faceless」代理服務相關聯，該服務使用一些受感染的設備作為代理，將流量路由給希望匿名化其惡意活動的網路犯罪分子。

黑蓮實驗室的研究人員正在監控最新的 TheMoon 活動，該活動始於 2024 年 3 月初，他們觀察到在不到 72 小時內有 6,000 台華碩路由器成為攻擊目標。威脅分析人員報告稱，惡意軟體操作，如 IcedID 和 SolarMarker 目前使用代理僵屍網路來混淆其線上活動。

針對華碩路由器

針對華碩路由器 TheMoon 首次於 2014 年被發現，當時研究人員警告稱，該惡意軟體正在利用漏洞感染 LinkSys 設備。該惡意軟體的最新活動已在一周內感染了將近 7,000 台設備，黑蓮實驗室表示，他們主要針對華碩路由器。

「通過 Lumen 的全球網路可見性，黑蓮實驗室已識別出 Faceless 代理服務的邏輯地圖，其中一個始於 2024 年 3 月的活動在不到 72 小時內針對了超過 6,000 台華碩路由器。」黑蓮實驗室的研究人員警告道。然而研究人員並未具體說明入侵華碩路由器所使用的確切方法，但鑒於所針對的設備型號已達到生命周期終點，攻擊者可能利用韌體中已知的漏洞。攻擊者還可能通過暴力破解管理員密碼或測試的預設和弱憑證。

一旦惡意軟體獲得設備存取權限，它會檢查特定 shell 環境的存在（「/bin/bash」、「/bin/ash」或「/bin/sh」）；否則，它將停止執行。

如果偵測到相容的 shell，載入程式會解密、刪除並執行名為「.nttpd」的有效負載，該負載會建立一個具有版本號（目前為 26）的 PID 檔案。

接下來，惡意軟體設定 iptables 規則以丟棄連端口 8080 和 80 上傳入 TCP的流量，同時允許來自特定 IP 範圍的流量。這種策略可以保護受感染的設備免受外部干擾。

接下來，惡意軟體會嘗試聯絡合法 NTP 伺服器列表，以偵測沙箱環境並驗證網路連線。

最後，惡意軟體透過循環存取一組硬編碼的 IP 位址來與命令和控制 (C2) 伺服器連接，C2 會以指令進行回應。

在某些情況下，C2 可能會指示惡意軟體擷取其他元件，例如掃描連port 80 和 8080 上易受攻擊的 Web 伺服器的蠕蟲模組或代理受感染裝置上流量的「.sox」檔案。該檔案用於代理受感染設備上的流量。

Sox 範例與 Faceless 伺服器通信 Photo Credit: Black Lotus Labs

Faceless 代理服務

Faceless 是網路犯罪代理服務，可透過受感染的裝置為僅使用加密貨幣付款的客戶路由網路流量。本服務不使用「了解您的客戶」驗證流程，任何人都可以使用。

為了保護他們的基礎設施不被研究人員繪製地圖，Faceless 操作員確保每台受感染的設備在感染持續期間僅與一台伺服器通訊。

Black Lotus Labs 報告稱，三分之一的感染會持續 50 天以上，而 15% 的感染會在 48 小時內消失。這表明後者受到更好的監控，並且可以快速檢測到危害。

儘管 TheMoon 和 Faceless 之間存在明顯的聯繫，但這兩個操作似乎是獨立的網路犯罪生態系統，因為並非所有惡意軟體感染都成為 Faceless 代理殭屍網路的一部分。

為了防禦這些殭屍網路，請使用強管管理員密碼並將裝置的韌體升級到解決已知缺陷的最新版本。如果設備已達到 EoL，請將其替換為有效支援的型號。路由器和物聯網上惡意軟體感染的常見跡象包括連線問題、過熱和可疑的設定變更。

有關於TheMoon 惡意軟體的的部分入侵指標(Indicator of compromise -IOCs):

abee3860601d8a8f10fa2d0ef9e058c8c9b0b977a87e8c95fb66d3f630281c23
d4fa6a239895a94f83740db0319601a14896a2b06fff912364f214b0832ee230
84b45dad03eeb5be10b8313b25de1426b108064b12e2848eaa94cddd58bca297
701531793ecd583e05cdbd853bec8c0ece4c106fc9a6658af2d1b2f6becb70ad
7724caac245c1e5af1662fc3a1261e02fe097a7a98c129986e6dad41606d0df1
f9ac395dbab71d37b0a22cbacba2613540b51a4be501632320e523531716a057
9e10aadba51daa66b72ea442a97b31b12b4f718866328109d21d1c03b0e76780
ab3d693470e7cf8ff2a21338c0a20302465ca7e18c33fc8fe488b0abb8f201f0

欲了解更多，請參考: https://blog.lumen.com/the-darkside-of-themoon/

施耐德電機證實其永續發展部門遭到勒索軟體攻擊幕後黑手指向仙人掌勒索軟體

Posted on 2024 年 1 月 31 日2024 年 1 月 31 日 by blogadmin

該部門因勒索軟體攻擊導致資料外洩及平台中斷

1 月 30 日，根據BleepingComputer報道，能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊，導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門，攻擊擾亂了其部分資源顧問雲端平台，該平台至今仍處於中斷的狀態。據報道，勒索軟體在網路攻擊期間竊取了數TB 的公司數據，並正在威脅該公司，如果不支付贖金，就會洩露被盜的數據。雖然尚不清楚被盜的資料類型，但永續發展業務部門為企業組織提供諮詢服務，就再生能源解決方案提供建議，並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件，該攻擊影響了其資源諮詢產品（永續發展資訊的數據視覺化工具）以及「部門特定系統」。然而，施耐德表示，公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統，也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據，包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而，該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍，截至撰寫本文時，該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱，該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標，並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號，它還使用開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具（例如Splashtop、AnyDesk、SuperOps RMM）來實現遠端訪問，並在後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限，駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外，仙人掌使用 Rclone 工具進行資料洩露，並使用名為 TotalExec 的 PowerShell 腳本（BlackBasta勒索軟體過去曾使用過該腳本）來自動部署加密過程。一月初，仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73

駭客利用名為RedDriver的瀏覽器劫持程式，瞄準微軟的中文用戶

Posted on 2023 年 7 月 12 日2023 年 7 月 12 日 by blogadmin

Key Points:

*研究人員已識別未被記錄過的惡意驅動程式RedDriver的多個版本，這是一種基於驅動程式的瀏覽器劫持程式，至少從 2021 年起就一直活躍，並使用 Windows 過濾平台 (WFP) 來攔截瀏覽器流量。

*RedDriver 利用 HookSignTool 偽造其簽章時間戳以繞過 Windows 驅動程式簽章策略。

*RedDriver感染鏈的開發中使用了多個開源工具的程式碼，包括 HP-Socket 和 ReflectiveLoader

根據資安人員的研究，駭客正利用一種名為RedDriver的工具來針對微軟的中文用戶，該工具允許他們攔截網路瀏覽器流量。思科Talos團隊的表示，他們已經發現了RedDriver的多個版本，他們認為這些版本至少從 2021 年起就已經在使用。研究人員表示，RedDriver的作者似乎擅長驅動程式開發，並且對 Windows 操作系統有深入的了解，驅動程式幫助操作系統與印表機和顯示器等硬體進行通信。研究人員進一步說，從RedDriver只搜索中文瀏覽器進行劫持，可推定這種威脅針對以中文為母語的用戶，此外，RedDriver作者本人很大可能是會說中文的。然而，思科 Talos 並未將 RedDriver 歸咎於特定的駭客組織。

根據研究人員的說法，攻擊始於一個名為DNFClient的惡意檔案-這是一個中國流行的線上遊戲《地下城與勇士》的參考檔案。檔案執行後，就會啟動 RedDriver 的下載，思科將其稱為多階段感染鏈的關鍵組件，最終劫持瀏覽器流量並將其重定向到本地主機。RedDriver 本質上是通過利用被盜憑證偽造簽章時間戳，有效繞過 Windows 內的驅動程序強制策略簽章，使操作系統信任它。據 Talos 稱，這樣的中斷使駭客能夠使用 Windows 過濾平台 (WFP) 攔截瀏覽器流量，該公司表示，它認為目標受害者是中文用戶，因為該惡意軟體包含及谷歌瀏覽器和微軟Edge中文瀏覽器名稱的目標清單。根據Recorded Future News，微軟發言人承認該公司最近被告知經微軟 Windows 硬體開發者計劃 (MWHDP) 認證的驅動程式在後期處理中被惡意使用。

微軟確認該活動，但稱“僅限於濫用多個開發者計劃帳戶，並且尚未發現任何微軟帳戶被盜的情況。我們已暫停合作夥伴的賣家賬戶，並對所有報告的惡意驅動程式實施阻止檢測，以幫助保護客戶免受這種威脅。”微軟進一步指出，在趨勢科技和思科 Talos 提供更多報告之前，安全公司 Sophos 的研究人員於 2 月份首次向該公司發出了有關這一情況的警報。微軟還發布了 Windows 安全更新，可以過濾有問題的驅動程式，保護客戶免受惡意使用的合法簽章驅動程式的影響。

思科Talos研究人員表示，他們仍不清楚瀏覽器流量重定向的最終目標，但無論如何，這對任何感染 RedDriver 的系統都是一個重大威脅。在他們的研究中，他們注意到RedDriver的早期版本與網吧使用的軟體打包在一起，因為許多名稱屬於網吧管理軟體、顯卡驅動程式和瀏覽器。Talos表示，中國的網吧成為網路犯罪團體的目標並不罕見，該公司指出，2018 年，中國各地網吧的 10 萬多台電腦曾感染了加密貨幣挖礦惡意軟體，為駭客帶來了超過 80 萬美元的收益。他們補充說，RedDriver 的感染鏈還使用從中文論壇上的貼文複製得來的程式，在調查期間發現的所有域名都解析為中國的 IP位址。

研究人員對 RedDriver作者的技巧感到驚嘆，他們表示WFP是一個實施起來很複雜的平台，通常需要豐富的驅動程式開發經驗才能完全理解它，認為RedDriver的作者還展示了對軟體開發生命週期的熟悉或經驗，並指出開發不會當機的惡意驅動程式是多麼困難。

RedDriver的部分入侵指標(Indicator of compromise -IOCs):

0201c2999e723d9bbb8b4df8c41030dd25a12ea39671dce2fe4b084b77c4a0d4

fb29ef2e46335719421b747b23096bc6f98df3dc6cd1c0ff9b9174a3827562d5

f8a1828bc25c8d311e05314ff1da37f9901147a48fbd715e8d1b96c724d71fa0

522b00f45a033c3f7d27a7c0db7dd51dff239fdac56c7a8acf7ff9c542b1e797

ba961c5896b46447cb555dc93f64a78d99da0b2a0a531979545fe7f40279c9c3

24c900024d213549502301c366d18c318887630f04c96bf0a3d6ba74e0df164f

5a13091832ef2fd837c33acb44b97c37d4f1f412f31f093faf0ce83dcd7c314e

9e59eba805c361820d39273337de070efaf2bf804c6ea88bbafc5f63ce3028b1

c96320c7b57adf6f73ceaf2ae68f1661c2bfab9d96ffd820e3cfc191fcdf0a9b

87565ff08a93a8ff41ea932bf55dec8e0c7e79aba036507ea45df9d81cb36105