LockBit - 竣盟科技

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

Posted on 2022 年 8 月 2 日2022 年 8 月 3 日 by blogadmin

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標，該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示， LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程式DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵，一旦運行惡意 DLL 以解密系統，就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下，最初的網路入侵是通過未修補的 VMWare Horizon 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同，攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案，以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式，它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時，MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL，該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中，攻擊者建立了自己的mpclient.dll武器化版本，並將其放置在優先載入惡意版本 DLL 檔案的位置，再將從 c0000015.log 檔案（加密的Beacon）載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon，但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍；因此，企業需檢查他們的安全控制，並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

日本德島縣鳴門市醫院遭LockBit 2.0 入侵，醫院網路異常，導致電子病歷無法存取，醫院緊急停收新病患

Posted on 2022 年 6 月 21 日2023 年 2 月 13 日 by blogadmin

據多家日本媒體報導和德島縣鳴門山上醫院(Naruto Yamakami Hospital)的官網在6月20日的宣布，確認於6月19日晚，遭遇LockBit 2.0勒索攻擊，電子病歷和院內網路無法使用，醫院已緊急停止接收新的門診病人，但沒有影響住院患者的醫療和護理。

根據醫院的說法，攻擊發生在19日下午5點40分左右，醫院裡的一台連接網路的印表機印出大量英文的勒索信，同時電腦自動重啟，緊接著發現電子病歷系統無法使用。醫院聯繫縣警察和系統供應商。經過調查，確認感染LockBit 2.0勒索軟體，目前在政府和相關組織的支援下，正在檢查病患的個人資否外洩並努力恢復其系統。

值得一提的是，據竣盟科技的觀察，LockBit2.0並沒有在其揭秘網站上，將德島縣鳴門山上醫院列為其受害者，推估雙方的談判可能仍在進行中。另外，如下圖所示，觀察到負責生產新幹線、日本航空和TOYOTA的座椅製造商TB川島株式會( TB TB kawashima Co Ltd.);新加坡的能源開發商Equis Development和印尼上市天然氣公司PT Medco Energi Internasional TBK(MEDC)出現在LockBit 2.0的受害者名單，顯示它們可能已被 LockBit 2.0 入侵。

由於TB川島株式會不僅是豐田的供應商，更是豐田附屬零部件製造商豐田紡織(Toyota Boshoku)的子公司，因此獲得媒體關注，日媒日経Tech就LockBit 2.0的攻擊提問TB川島株式會，但沒有得到回應。目前TB川島株式會的官網顯示維護中的狀態，如下圖:

日本德島縣鳴門市醫院遭LockBit 2.0入侵，是該縣第二起醫院資安事件，去年 10 月，在德島縣鶴木市半田醫院同樣遭受了LockBit 2.0勒索攻擊，導致電子病歷和會計等所有系統都處於中斷狀態，85,000名患者的數據及備份被加密，大約兩個月無法提供常規醫療服務。

有關LockBit 2.0的”部分”入侵指標(Indicator of compromise -IOCs):

IP address:

139.60.160.200

93.190.139.223

45.227.255.190

Hashes:

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

外媒報導鴻海旗下富士康墨西哥Foxconn BC，遭勒索軟體LockBit 2.0入侵

Posted on 2022 年 6 月 2 日2023 年 2 月 13 日 by blogadmin

#官網張貼維護中的公告

根據資安新聞網站SecurityWeek的報導，操作勒索軟體LockBit 2.0的背後駭客聲稱入侵了富士康墨西哥的電腦系統，富士康墨西哥工廠Foxconn BC位於下加州Baja California(墨西哥最靠近北邊的州) 的最大城市提華納(Tijuana)，Foxconn BC是致力於製造醫療設備和消費電子產品的大型製造業者，該工廠約有 5,000 名員工。

直到目前，尚不清楚LockBit2.0勒索軟體的攻擊是否對該工廠運營科技 (OT) 系統產生任何影響，是否波及製造環境導致生產線關閉等問題。然而，據觀察，Foxconn BC的官網目前呈現維護中的畫面。

據報導，駭客威脅除非收到贖金，否則將在 6 月 11 日發布所有取得的資料，但索要的贖金金額仍不得而知。據悉，外媒已經聯繫了Foxconn BC，但該公司尚未發表任何評論作出回應。此次之前，2020年11月底，位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG工廠亦曾遭勒索軟體Doppel Paymer加密，當時駭客宣稱竊取了100GB的檔案，而且加密了1,200臺伺服器，已刪除的20-30 TB備份，要求富士康CTBG工廠支付3,400萬美元的贖金。

勒索軟體LockBit2.0導致國內企業有不少災情:

2022年5月份，有四家台灣企業遭LockBit2.0勒索軟體的攻擊，當中包含台灣某背光模組大廠和其子公司–> https://blog.billows.com.tw/?p=1923

2022 年 4 月某一飲料原物料商–>https://blog.billows.com.tw/?p=1833

2021年10月某製造業成衣副料商–>https://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

最近傳出LockBit2.0將升級成為LockBit3.0的版本，並將更名為LockBit Black，LockBit2.0被譽為當今最快加密的勒索軟體，它的升級是否會帶來更多的變化，值得我們持續關注。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體集團LockBit又一次升級? 修補了MSSQL 數據庫的加密漏洞，將推出3.0的版本LockBit Black?!

Posted on 2022 年 5 月 31 日 by blogadmin

根據資安研究團隊 vx-underground，勒索軟體集團LockBit命名其3.0版本為“Lockbit Black”，並修補了 MSSQL 數據庫的加密漏洞， LockBit最早於 2019 年 9 月以ABCD 勒索軟體開始運營，後更名為 LockBit並於 2021 年 6 月推出升級版本 LockBit 2.0。Lockbit 2.0勒索軟體引入了陰影複製和日誌檔案刪除等新功能，使受害者更難恢復。Lockbit在流行的勒索軟體集團中擁有最快的加密速度，在一分鐘內能加密了大約25,000檔案，此外，LockBit擁有的最迅速盜竊數據的神器StealBit，能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

然而，聯邦調查局(FBI)於2022年2月4日發佈了關於Lockbit 2.0的

入侵指標（IOC）的FBI Flash安全公告。在FBI的公告之後，暗網論壇中的一位用戶發佈了標題為“Kockbit fuckup thread” 的文章，表示發現了在Lockbit 2.0勒索軟體中的錯誤以及恢復受害者數據的方法，對應了FBI的建議以及微軟檢測和回應團隊（DART）對Lockbit的研究。微軟DART研究人員發現和利用在Lockbit 2.0勒索軟體中的錯誤，發現了一種方法，使他們能夠成功恢復Lockit受害者MSSQL資料庫上的加密過程。

Microsoft DART研究的連結:

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-2-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254421

一名Lockbit 勒索軟體成員針對文章發表了評論，解釋了 MSSQL 含錯誤(bug)的原因，該Lockbit成員還說Lockbit 3.0中不會存在該錯誤。

3 月 17 日，資安研究團隊 vx-underground發布了他們與 LockBit 的一位成員對話的截圖。在截圖中，vx-underground 研究人員詢問何時會發布 Lockbit 3.0，Lockbit 成員表示最新版本將在一兩週內發布。

然而，自 vx-underground 在Twitter上發布他們與 Lockbit 成員的對話以來已經幾週了，根據觀察勒索軟體集團仍在使用 Lockbit 2.0 的名稱，Lockbit 3.0 的其他新功能和升級仍然是個謎，竣盟科技將持續關注 Lockbit 3.0 的更新，為您帶來最新的消息。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

攻擊者在佈署LockBit勒索軟體前，已在美國政府的內部網路潛伏長達五個月

Posted on 2022 年 4 月 13 日2023 年 2 月 13 日 by blogadmin

安全研究人員發現，攻擊者入侵了美國地方政府機構的網路，在 LockBit 勒索軟體最終部署之前，駭客至少潛伏了五個月。Sophos 研究人員從受感染機器中檢索到的日誌顯示，在部署payload之前，可能至少有兩組駭客在該政府機構的受感染網路上活躍。攻擊者試圖通過刪除事件日誌來刪除他們的踪跡，但檔案片段仍然允許威脅分析人員一睹攻擊者及其策略，Brandt 稱，雖然起初攻擊似乎是由看似新手的攻擊者執行的，不確定下一步該怎麼做，但後來可能有一組不同的攻擊者部署了勒索軟體，竊取數據並加密檔案。

研究人員表示這是一次非常混亂的攻擊，從最初的入侵事件發生大約4個月後，攻擊活動的性質發生了變化，顯示具有不同技能的攻擊者已經加入了戰場。在Sophos的分析報告中，2021 年9 月發生的攻擊的初始入侵點似乎是防火牆上的一個開放遠端桌面協定 (RDP) 端口，該端口被配置為提供對伺服器的公開存取。

在獲得初始公開存取權限後，攻擊者安裝了 Chrome 瀏覽器，以在受感染的伺服器上搜索和下載所需的工具。該工具集包括用於暴力破解、掃描、商業 VPN 的實用程式，以及允許檔案管理和命令執行的免費工具，例如 PsExec、FileZilla、Process Explorer 和 GMER。此外，駭客還使用了遠端桌面和遠端管理軟體，例如 ScreenConnect以及AnyDesk。在駭客竊取了同樣擁有網域管理員權限的本地伺服器管理員的憑證後，便在其他系統上建立了具有管理員權限的新帳戶。

研究表明，攻擊者的行為在 2022年1 月中旬發生了顯著變化，出現了更加熟練和專注的活動，顯示一個更老練的攻擊者出現並接管了控制權。攻擊者利用目標在完成維護後無意中禁用了保護功能這一點，刪除了惡意加密礦工並卸載了安全軟體，然後收集並竊取數據並部署 Lockbit 勒索軟體，但幸運的是勒索軟體攻擊的成功有限，攻擊者未能加密某些機器上的數據。研究人員表示在一些機器上，雖然檔案已用 LockBit 的檔案重新命名，但攻擊者沒有完成他們的任務，並未進行加密。

最後，這個案例強調了維護和事件回應錯誤的問題，即使在緊急情況下也需要遵循安全檢查清單。

另外，根據在LockBit揭秘網站上的觀察，本週出現兩個在亞洲地區的受害者包含日本測試設備製造商Tokyo Plant co和新加坡的Bread Talk麵包物語。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

6684e1df360db67719f65bcd39467cc88bbd7bb910636d03071245b622e7cfa3

87bfb05057f215659cc801750118900145f8a22fa93ac4c6e1bfd81aa98b0a55

db385ea6858db4b4cb49897df9ec6d5cc4675aaf675e692466b3b50218e0eeca

3d0e06086768500a2bf680ffbed0409d24b355887169b821d55233529ad2c62a

0d31a6d35d6b320f815c6ba327ccb8946d4d7f771e0dcdbf5aa8af775576f2d1

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本月桂冠株式會社的核心系統遭勒索軟體入侵，下單及出貨中斷，另外，驚見台灣某飲料製造商遭LockBit攻擊！

Posted on 2022 年 4 月 7 日2023 年 2 月 13 日 by blogadmin

日本大型清酒公司月桂冠4月6日公告，其內部系統的伺服器遭勒索軟體入侵，部分數據已被加密，並使其系統無法正常運作，月桂冠在4 月 2 日確認了由勒索軟體攻擊的未經授權存取，並於 4 月 3 日通過中斷相關伺服器與外部網路的連接來應對，然而攻擊影響了公司的訂單和發貨系統，根據日經和NHK等日本媒體的報導，由於暫停所有受影響的系統，使月桂冠延後與客戶和供應商的部分交易，另外經月桂冠證實，在其員工電腦及伺服器上發現勒索信，目前聯同外部鑑識專家針對銷售和其他系統的影響、勒索軟體的攻擊途徑以及可能被非法存取的資料內容等進行調查，該公司公關表示目前沒有證據顯示有任何資料外洩，然而也沒有透露是哪種勒索軟體所引起。

據悉，月桂冠還未確認對其郵件伺服器的未授權存取，目前以中斷互聯網連接作為對策，因而影響日常工作的運作，另一方面，月桂冠將從4月7日起恢復訂單，使用電話和傳真機代替發生問題的訂單及出貨系統。

月桂冠子公司，生產食品製造商kinrei corporation也宣布，由於其伺服器和營運外包給母公司月桂冠管理，已確認部分伺服器也因未經授權的存取而出現系統故障，並表示正在配合母公司採取相應措施。

插播報導，竣盟科技在LockBit的暗網揭秘網站上，發現我國某一飲料原物料商，已被LockBit列為受害者，並將於4月10日公開該飲料製造商的所有數據，但LockBit暫無䆁出任何截圖或透露所盜的數據量，該製造商總部位於台北，在上海及泰國也設有分公司，目前其官網運作正常。

美國聯邦調查局（FBI）於2021年9月預警食品供應鏈的攻擊升溫，勒索軟體積極瞄準攻擊及中斷食品/農業供應鏈，以造成經濟損失並直接影響食品供應鏈的正常運作，呼籲業者要加強資安防護來因應這類攻擊。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

知名輪胎生產商普利司通Bridgestone遭網路攻擊，系統下線，美國多間工廠停工，幕後黑手指向LockBit2.0勒索軟體

Posted on 2022 年 3 月 11 日2022 年 3 月 11 日 by blogadmin

繼 Viasat 和豐田的供應商遭遇網路事件後，總部位於日本的輪胎製商普利司通在2月28日公佈，旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊，導致在美國伊利諾伊州、愛荷華州、北卡羅來納州、南卡羅來納州和田納西州的輪胎製造工廠以及加拿大的工廠停工。

正如媒體報導，Bridgestone Americas在發現入侵後不久，就開始調查此事，聲明中說：

“Bridgestone Americas目前正在調查一起潛在的資安事件。自2月27日凌晨得知發生事件以來，我們已展開全面調查，以迅速收集證據，同時努力確保我們的IT系統的安全性。出於謹慎考慮，我們將拉丁美洲和北美的許多工廠與內部網路斷開連接，以遏制和防止任何潛在的影響。”

雖然該公司迅速分享了一份新聞稿，向公眾通報知了此事，但它還沒有透露很多細節，直到2022 年 3 月 3 日，只有維修部、倉庫部、收貨部和 MRC 實驗室等部門的工作人員可上夜班。

普利司通是一家日本跨國公司，也是世界上最大的輪胎製造商。普利司通美洲公司在加拿大、中美洲、拉丁美洲和加勒比地區擁有50多個生產設施，並了大約55,000名員工。

根據觀察，操作LockBit的背後駭客已在其揭秘網站上公佈Bridgestone Americas為其新增的受害者，但目前LockBit並沒有公佈所盜的任何檔案的截圖或樣本，只聲稱會在3月11日發佈盜來的所有數據。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體，能自動加密Windows 網域下所有電腦，駭客不必寫程式進行勒贖軟體部署，只要取得 Windows Server 網域控制器的存取權，就能自動進行傳播，並在網域控制器上建立新的群組原則，將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施，例如 Microsoft Defender 和警報，並阻止操作系統向 Microsoft 提交樣本以避免檢測，以實現持久性。

FBI在2月發布的警告中，建議企業做好以下各種防禦措施：

*要求所有帳戶的登入密碼改為使用強密碼及獨一密碼，不使用重複密碼。

* 盡可能為所有帳戶啟用多重因素驗證 (MFA) 登入審查

*為所有作業系統及軟體安裝最新的系統更新

*詳細檢查涉及管理權限的登入帳戶，移除不必要的員工。

*使用建基於主機的防火牆，只允許必要的管理員通過 SMB 工具連接管理。

*啟用 Windows 系統的檔案保護功能，阻止勒索軟體對重要檔案進行加密。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”，稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威，繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後，台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊，今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411