竣盟科技 - Billows 技術/情資訊息分享

印尼中央銀行-Bank Indonesia證實遭到勒索軟體攻擊，16台電腦遭殃，目前已有13.88 GB數據被駭客掌握，幕後黑手指向Conti

Posted on 2022 年 1 月 21 日2022 年 1 月 24 日 by blogadmin

印尼中央銀行-印度尼西亞銀行（Bank Indonesia-BI）今天證實，上個月勒索軟體攻擊襲擊了其網路。據 CNN Indonesia報導，在此次事件中，攻擊者竊取了屬於印尼銀行員工的“非關鍵數據”，然後在該銀行網路上的16個系統上部署了勒索軟體有效負載，BI發言人 Erwin Haryono表示，我們的網路遭到了襲擊，但到目前為止，我們採取了預期措施，最重要的是Bank Indonesia的公共服務沒有受到影響，此次攻擊的風險已得到緩解，正從網路攻擊中復原。

雖然BI發言人 Erwin Haryono 沒有將這次攻擊歸咎於特定的勒索軟體，但Conti在其揭秘網站聲稱成功攻擊了BI並從BI網路竊取了17034份檔案，如果BI不付贖金，該勒索軟體組織將外洩13.88 GB 的數據。

Conti是一項勒索軟體即服務 (Ransomware as a Service-RaaS)操作，與Wizard Spider俄羅斯網路犯罪組織有關聯，該組織也以其他臭名昭著的惡意軟體而聞名，包括 Ryuk、TrickBot和BazarLoader。在今天FBI發布的新Flash諮詢公告中，FBI 已正式將 Diavol勒索軟體與Wizard Spider組織聯繫起來，表明Wizard Spider在攻擊中會利用Conti和Diavol這兩支勒索軟體。據了解，研究人員在2021年6月初的同一勒索軟體攻擊中看到了Diavol和Conti勒索軟體有效負載部署在網路上。在分析了兩個勒索軟體樣本後，發現了相似之處，例如它們使用異步I / O操作進行檔案加密，以及為相同功能使用幾乎一致的命令列參數，由此可見，Wizard Spider犯罪組織的發展及動態是值得注意的。

Conti以攻擊知名及企業組織而聞名，在過去其受害者包括台灣研華科技，日本JVC KENWOOD，愛爾蘭衛生健康署，遊戲公司卡普空Capcom等

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain:

sammitng.com

SHA 256:

c867fbc963c6975918f6744e196e0cc648777c7252ca740254e6eed9918c6fd1

bea4dcabc10ad8b7ef79579a1c511ec42cb98ddd1cf607a5a5ee369b28aa144b

a290ce75c6c6b37af077b72dc9c2c347a2eede4fafa6551387fa8469539409c7

63de40c7382bbfe7639f51262544a3a62d0270d259e3423e24415c370dd77a60

9d63a34f83588e208cbd877ba4934d411d5273f64c98a43e56f8e7a45078275d

5c649554d9ea77e98dbf0df0d4010255075c6c5324fc7526c667a180c06a050a

37b264e165e139c3071eb1d4f9594811f6b983d8f4b7ef1fe56ebf3d1f35ac89

31f8ad3f818ef0635109cecfff8f2e03f5e47a9a62a2fe548bc10393e3318d4f

24f692b4ee982a145abf12c5c99079cfbc39e40bd64a3c07defaf36c7f75c7a9

SHA 1:

e115f1be72f730bf3a7b7d9e2ec9e4b7b7a4b5e7

c07dbec39149a3bb20a54b9eeb2e453a7c5bdd2f

856366815cac27775b944a236ad3a6f523a4136d

bf92ce7c065568c1b893c1ababa04eeffedadcca

7ed8d5a2e09d48ccb84d790abfa7a1556b9d4990

6a31edc3e73957bb25e51abfd4efb4fd5eb51dbc

4ff45fb8003ab1075bdbbc9d044b7c31374f3cdb

092ac6f8d072c4cf045e35a839d5bb8f1360f1ae

MD5

e35df3e00ca4ef31d42b34bebaa2f86e

b656845e2755920db24364b42ce2ea18

abbbd0e30c4e66ad59518b9460dbcdfd

72296b01b37d6baefaecbc5bdecfadb6

29154f55df2171ccfe6316a77496d451

215e0accdf538d48a8a7bf79009e8f9b

a0e9f5d64349fb13191bc781f81f42e1

Yara:

ca8476a53823a9644533a81cb37c52d4eb22750e

901a241c9bbd91aadda3ee7ed4cdc96eaa27d03a

d6a13a17c05f84c20b699785efba7b7af4b8cb7f

e458fa0d1dfe88ada943c9c77c7a17c938f30a2b

IPv4:

82.118.21.1

185.141.63.120

162.244.80.235

162.244.83.216

CVE:

CVE-2021-34527

CVE-2020-1472

1月24日更新:

最新消息，操作Conti的駭客組織持續公開印尼央行的內部資料，由原先的13.88 GB增加到74.82GB，根據資安業者DarkTracker稱，遭入侵電腦從原本的16台增加到237台。

Conti ransomware gang continues to upload Bank of Indonesia's internal data. The first leak was 487MB of data but now it reaches 74GB. Compromised internal PCs were estimated at 16 initially, and now go up to 237. pic.twitter.com/FK2vXpGPXH
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) January 24, 2022

Honeywell宣布採用Acalvio欺敵技術，推出共享解決方案以遏阻零時差攻擊

Posted on 2022 年 1 月 19 日2022 年 1 月 19 日 by blogadmin

Honeywell和 Acalvio推出了一種新的解決方案，旨在檢測 (OT) 環境中的已知漏洞和未知的零時差(Zero Day)攻擊，由 Acalvio 提供支援的Honeywell威脅防禦平台(Honeywell Threat Defense Platform -HTDP) 採用主動防禦，自主欺敵策略來智取攻擊者，並提供高保真威脅檢測。HTDP 是業界第一個專注於保護企業用於管理OT系統的主動防禦解決方案，主動防禦是網路安全中一個全新且強大的概念，它提供了一種積極主動的方法來保護免受從惡意軟體到進階持續性滲透攻擊（Advanced Persistent Threat, APT）的各種威脅。

所有現有的 OT 網路安全解決方案都基於預防（防火牆、存取管理等）和基於日誌（網路流量、端點事件等）分析的被動檢測來保護系統。然而，根據Honeywell Constructing Applied Sciences 進行的一項最新調查，超過四分之一 (27%) 的受訪設施管理人員在過去 12 個月內經歷了其 OT 系統的網路入侵，他們認為管理 OT 網路安全是他們最困難的職責之一，攻擊者以針對性攻擊和勒索軟體攻擊來瞄準構建系統。這些攻擊不僅可以存取私人客戶數據，還可能破壞公共基礎設施、數據中心、醫院和機場等關鍵設施的營運。

Honeywell威脅防禦平台-HTDP 使用欺敵策略來混淆和誤導關鍵資產和設備的威脅，這種方法可以實現高檢測率和低誤報率，新產品還提供用於確認和調查威脅的分析功能，並旨在引導、誘騙攻擊者來攻擊看似有價值的 IT 和 OT 設備的誘餌資產，使他們無法存取企業資產和更難識別真實系統，以減緩攻擊者的速度並使資安團隊更快地採取行動。

HTDP包含檢測和轉移、交戰和學習攻擊者 TTP 的能力，成為對抗網路攻擊的有力武器。

Honeywell Building Technologies的全球網路資安全總監 Mirel Sehic 說：“不幸的是，網路攻擊的數量和複雜的性每天都在增加，這加強了營運商嚴格監控、維護和保護其 OT 環境的需求，將 Acalvio 的自主欺敵技術整合到我們的 OT 網路安全工具中，提供了一種高效的解決方案，有助於保護我們客戶的OT環境免受日益複雜的攻擊。”

在 Acalvio的欺敵技術的支援下，HTDP 將設計、理念和行業特定知識整合到工作流中，以在分散式企業OT 網路中部署有效的欺敵。使用特製的欺敵元素，有助HTDP準確快速地檢測勒索軟體甚至零時差漏洞，HTDP 使用高級分析來確認和調查威脅。

Acalvio Technologies 聯合創辦人兼首席執行長Ram Varadarajan表示: 我們很高興與Honeywell合作，確保OT系統的安全並保持其正常運作，同時保護整個組織的人員和數據，重要的是，這項技術可以使每座建築和設施受益，尤其是那些沒有網路專家團隊的建築和設施。它不需要事先了解攻擊者的策略，無需特殊培訓或修改現有的OT環境即可部署。Acalvio表示，HTDP 解決方案包括部署和持續監控，從而釋放內部安全團隊資源，先進的人工智慧使服務更簡單且可伸展。HTDP 可以作為本地產品或雲端服務部署在IT 和 OT 環境中。這項新產品還可以幫助客戶提高彈性和業務連續性，以滿足ESG（Environment, Social, Governance）的相關指標。

關於 Acalvio Technologies

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者。其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域，並獲得超過 25個註冊專利，以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間，並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio 已被美國授予聯邦政府風險與授權管理計劃FedRAMP Ready的資格，是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案，這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴，目前已將Acalvio ShadowPlex持續導入到國內企業與機構中，協助建構高擬真的欺敵平台，並完美地融入現有的監控模式，更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊，請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

Acalvio新聞稿: https://www.acalvio.com/honeywell-expands-ot-cybersecurity-portfolio-with-active-defense-and-deception-technology-solution/

竣盟科技官網:

https://www.billows.com.tw/

注意了! 繼去年四月的攻擊後，新的一波 QLocker勒索軟體再度針對 QNAP NAS 設備發動攻擊!!

Posted on 2022 年 1 月 18 日2022 年 1 月 18 日 by blogadmin

專家警告稱，新一波Qlocker勒索軟體針對全球的 QNAP NAS 設備來襲，新的攻擊活動於 1 月 6 日開始，發現駭客在受感染的設備上放置名為 !!!READ_ME.txt 的勒索信。回顧去年5 月，台灣供應商威聯通QNAP警告其客戶更新在其網路附加存儲 (NAS) 設備上運行的 HBS 3 災難恢復應用程式，以防止 Qlocker 勒索軟體感染。

自2021年 4月19日那週開始，駭客大規模勒索軟體活動中針對 QNAP 的客戶，在破壞他們的 NAS 設備後，透過名為Qlocker的勒索軟體將檔案加密，檔案的副檔名全部變成7Z。QNAP 警告說，攻擊者正在利用 HBS 3 Hybrid Backup Sync 應用程式中寫死在韌體的硬式編碼漏洞CVE-2021-28799入侵用戶的設備並加密他們的檔案。

根據勒索軟體識別服務 ID-Ransomware的創建者Michael Gillespie提供的統計數據，這些攻擊於去年4月20 日首次被發現，感染數量每天飆升至數百次。一旦勒索軟體感染了設備，它會將 NAS 上的所有文件移動到受密碼保護的7Z 檔案中，並要求支付 550 美元的贖金，並刪除snapshots以防止從備份中恢復數據，並在每個受影響的檔案夾中放置的勒索信（名為 !!!READ_ME.txt）。勒索信中包含通過 Tor 站點與Qlocker勒索軟體操作者取得聯繫的說明。

據BleepingComputer報導，2022 年 1 月 6日出現了新版本的 QLocker 勒索軟體稱為 QLocker2，並將舊的Qlocker勒索軟體稱為 QLocker1。目前還不確定，QLocker2與原始版本有什麼不同，但據悉用戶在感染後無法連接到 NAS。勒索信還包括 Tor 站點地址 ( gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion )，受害者會被提示存取以獲取有關他們需要支付多少費用才能重新存取其檔案的有關的資料。自這一系列新的 Qlocker 攻擊開始以來，BleepingComputer 看到的 Tor 受害者頁面顯示贖金在 0.02 到 0.03 比特幣之間即$840-$1300 美元。

不幸的是，不論Qlocker 1 或Qlocker 2並不是唯一針對 QNAP NAS 設備的勒索軟體，QNAP 去年還通知客戶保護他們的設備免受Agelocker 和eCh0raix勒索軟體的攻擊。

本月早些時候，QNAP 還建議其客戶通過停用路由器上的端口轉發和機器上的 UPnP 功能來保護其連接 Internet 的 NAS 系統免受持續的勒索軟體和暴力攻擊。

您可以檢查NAS 並按照建議配置系統設置，以更好地保護您的設備並保護您的數據:

*刪除未知或可疑帳戶。

*刪除未知或可疑的應用程式。

*在 myQNAPcloud 中禁用自動路由器配置並設置設備訪問控制。

*禁用路由器上的端口轉發，使用 myQNAPcloud Link 或 QVPN 服務進行遠端連接。

*如果 NAS 直接連接到 Internet，請更改系統端口號。

*安裝並運行最新版本的 Malware Remover。

*更改所有帳戶的密碼。

*將已安裝的 QTS 應用程式更新至最新版本。

*將 QTS 更新到最新的可用版本。

*安裝 QuFirewall。

如何透過欺敵技術(Deception Technology)針對Log4j作主動式防禦

Posted on 2022 年 1 月 14 日2022 年 1 月 14 日 by blogadmin

Apache Log4j是一個基於Java的紀錄檔記錄工具，保存執行活動的過程，方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄，使得Log4j這類受歡迎的日誌框架影響廣泛。

Log4Shell(CVE-2021-44228)是Log4j在Java工具中被發現的漏洞，它是Log4j的JNDI API未能驗證遠端攻擊者由惡意LDAP或其他端點發送修改過參數的log訊息。漏洞可利用 JNDI 查找通過 LDAP、RMI 和 DNS 等遠端服務竊取數據或執行任意程式碼，從而使攻擊者可以完全控制易受攻擊的系統。

Log4j被廣泛應用於各種應用程式和網路服務，用於記錄服務中各種系統活動，

可以說是一款無處不在的軟體，Log4Shell這個遠端程式碼碼執行漏洞影響數百萬的消費產品、企業軟體與網頁應用程式，還影響企業網路內部的許多系統，已經出現APT駭客網路在企業內部運用這項漏洞。由於Log4j 也是許多基於 Java 的 OT/ICS 硬體和軟體組件的嵌入式組件。數十億基於 Java 構建的物聯網設備也可能受到影響，許多網路設備也是如此。

該漏洞嚴重到 CISA、FBI 和 NSA 發布聯合公告，指出“Log4j 漏洞對世界各地的組織和政府構成嚴重且持續的威脅；並懇請所有實體立即採取行動，實施最新的緩解指南，以保護其網路”。

Acalvio ShadowPlex 提供主動防禦功能以有效對抗 Log4Shell 漏洞。ShadowPlex 具有以下內置功能：

*提供對 Log4Shell 易受攻擊資產的可見性

*主動保護 Log4Shell 易受攻擊的資產

*生成威脅情資

Visibility可見度

對抗 Log4Shell 漏洞的第一步是受影響系統的可見性。Acalvio ShadowPlex 提供可靠、安全且易於部署的功能，可在您的 IT、雲、物聯網和 OT 環境中自動發現 Log4Shell 易受攻擊的資產。從 ShadowPlex 管理控制台單擊即可發現 Log4Shell 易受攻擊的資產。無需手動撰寫腳本，也不需要雲端setup的服務。

與傳統的漏洞掃描程式不同，Acalvio ShadowPlex 不需要存取資產的檔案系統。Acalvio 的discovery approach適用於任何類型的遠端服務、設備或應用程式，無需任何特殊的資產存取、防火牆更改或敏感的登錄憑證。Acalvio 對Log4Shell 可見度旨在安全地運用於 IT、OT 和 IoT 環境。

Asset Protection資產保護

供應商通常需要時間來建立和測試 Log4Shell 漏洞修補。在 OT/ICS 網路等許多關鍵設施環境中，修補的應用非常具有挑戰性的。Acalvio 提供在易受攻擊的資產上和周邊環境，使用欺敵部署來快速檢測和回應 Log4Shell 漏洞利用嘗試的能力。

攻擊者/惡意軟體需要嘗試利用以確定系統是否易受攻擊。這為利用主動防禦和即時欺敵平台檢測和回應來自組織 IT、OT、IoT 或雲端環境內部的攻擊企圖提供了絕佳的機會。

Generate Threat Intelligence生成威脅情資

可以利用 Acalvio ShadowPlex 平台使用欺敵技術生成威脅情資。威脅情資專門針對 Log4Shell 漏洞利用，包括新的混淆技術和可以阻擋由攻擊者控制的 IP。這樣的威脅情資對 MDR 解決方案和大型企業非常有用，可以領先於快速發展的 Log4Shell 漏洞利用嘗試。

ShadowPlex 提供全面的主動防禦解決方案來抵禦Log4Shell漏洞，提供受影響系統的更高的可見性和不需要signatures有效基於欺敵的檢測。這些功能包含在 ShadowPlex 解決方案中，無需額外費用即可使用。

Acalvio是第一個也是目前唯一一個獲得 FedRAMP Ready資格的欺敵技術廠商，同時也榮獲KuppingerCole評選為欺敵技術(Deception technology)領導廠商，Acalvio 取得FedRAMP 與KuppingerCole的認可，證明了客戶在企業範圍內部署 Acalvio時，無需額外的保護措施。

微軟警告:中國駭客正在利用 Log4Shell漏洞攻擊VMware Horizon來部署Night Sky勒索軟體

Posted on 2022 年 1 月 12 日2022 年 1 月 12 日 by blogadmin

微軟發布了一條警告，稱其追踪為 DEV-0401 的中國駭客組織發起了一項新活動，開採Log4j軟體中的重大漏洞CVE-2021-44228來部署Night Sky新型勒索軟體。微軟分析師的報告稱，這種新型勒索軟體專門攻擊面向互聯網的虛擬化服務平台VMware Horizon。根據報告，調查結果指向對 VMWare Horizon的攻擊，VMware Horizon是一個允許遠端用戶存取虛擬電腦和伺服器的應用程式，是一款多雲桌面與應用程式虛擬化平台，微軟的報告指出，早在 1 月 4 日，攻擊者就開始在運作 VMware Horizon 面向互聯網的系統中利用 CVE-2021-44228 漏洞，並在成功的入侵中部署Night Sky 勒索軟體。目前，除微軟在其 Windows 系統中使用 Horizon外，macOS 和 Linux系統也有使用VMware Horizon 平台。

據了解，在過去的攻擊中， DEV-0401駭客組織不僅曾部署過其他勒索軟體包括 LockFile、AtomSilo和Rook，DEV-0401也曾利用了面向 Internet 的系統中的安全漏洞，例如 Confluence ( CVE-2021-26084 ) 和Microsoft Exchange 伺服器 (CVE-2021-34473 – ProxyShell )，據信，Night Sky是上述勒索軟體操作的延續。

另外，根據Microsoft的說法，操作Night Sky勒索軟體的中國駭客，使用C2伺服器來冒充合法公司（如網路安全公司Trend Micro，Sophos）和IT公司（如Nvidia和Rogers Corporation）使用的網域。

Successful intrusions by DEV-0401 in this campaign have led to the deployment of the NightSky ransomware. DEV-0401 has previously deployed multiple ransomware families including LockFile, AtomSilo, and Rook, and has similarly exploited vulnerabilities in internet-facing systems.
— Microsoft Security Intelligence (@MsftSecIntel) January 11, 2022

微軟的調查結果為英國衛生服務部(NHS)上週發布的一份報告添加了更多細節，該報告稱，攻擊者的目標是鎖定尚未修補的遠端工作平台VMware Horizon而來的，該報告指出，攻擊者安裝了一個惡意 Java 檔案，該檔案將 Web shell 注入VM Blast Secure Gateway服務當中，但當時沒有表明是否部署了勒索軟體。

Night Sky勒索軟體於 2021年12 月27日開始運作，已經分別入侵了孟加拉和日本兩個企業的網路，並在Tor 網路上建立了一個揭秘網站，在那裡將發布不付贖金的受害者的被盜數據。

新的一年，新的勒索軟體Night Sky來報到!日本和孟加拉已出現受害企業

Posted on 2022 年 1 月 7 日2022 年 1 月 7 日 by blogadmin

2022年是新的一年，隨之而來的是另一種新型勒索軟體，資安研究員MalwareHunterteam警告稱，發現一種名為“Night Sky”的新型勒索軟體在攻擊企業時使用雙重勒索手法，加密檔案後，勒索軟體會加上 ‘ . nightsky ‘的副檔名。

First day of the year, and a new ransomware gang just appeared: Night Sky.
No sample seen yet.
Note: NightSkyReadMe.hta
Extension: .nightsky
Already 2 entries on the leak site.
😫@demonslay335 pic.twitter.com/R8tAteZuc2
— MalwareHunterTeam (@malwrhunterteam) January 1, 2022

據MalwareHunterteam稱，Night Sky勒索軟體的攻擊行動於 12 月 27 日開始，已經分別入侵了孟加拉的”AKIJ Group”和日本的”東京コンピュータサービス(東京計算機服務株式會社)”的企業網路，Night Sky 跟其他勒索軟體無異，同樣在Tor 網路上建立了一個揭秘網站，在那裡將發布不付贖金的受害者的被盜數據。1月4日，東京計算機服務株式會社在其官網發佈新聞稿公開被勒索軟體攻擊的事件，據了解，該公司在2021 年 12 月 31被入侵，發現後，已斷開連接到公司網路的電腦和伺服器，也證實客戶資料可能已在攻擊事件中被盜。

據 BleepingComputer 稱，Night Sky要求其中一名受害者支付 80 萬美元贖金以恢復加密數據。研究人員注意到，Night Sky 勒索軟體不會加密 .dll 或 .exe 檔案，也不會針對以下檔案或檔案夾：

AppData

Boot

Windows

Windows.old

Tor Browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

Program Files

Program Files (x86)

#recycle

勒索軟體會在每個檔案夾中放置一個名為NightSkyReadMe.hta的勒索信，該檔案包括聯繫的電子郵件、受害者協商頁面寫死的憑證以及登錄 Rocket.Chat 以聯繫操作員的憑證。

Night Sky沒有使用 Tor 站點與受害者交流，而是使用電子郵件地址和運行表層網路 Rocket.Chat 的網站，憑證用於登錄勒索信中提供的 Rocket.Chat 網址。

雖然目前Night Sky沒有很多攻擊活動，但相信它是值得我們在2022年關注的勒索軟體。

美國聯邦貿易委員會：立即修補 Log4j 漏洞否則將面臨巨額罰款

Posted on 2022 年 1 月 6 日2022 年 1 月 6 日 by blogadmin

美國FTC今天在一篇關於嚴重安全漏洞Log4Shell的blog文章中警告說，未能保護消費者數據免受 Apache Log4j漏洞攻擊的公司有面臨法律訴訟和罰款的風險，FTC同時提到 2017 年 Equifax 因未修補漏洞以及其隨之而來的法律後果。

美國聯邦貿易委員會 (Federal Trade Commission -FTC)週二警告美國公司，如果他們的客戶受到涉及Log4j漏洞利用的攻擊的影響，他們可能會面臨法律訴訟。FTC 以 Equifax 為例，強調Equifax是三大信用報告機構之一，該公司未能在 2017 年修補已知的 Apache Struts漏洞後，導致 1.47 億消費者的敏感資訊洩露，當時美國聯邦貿易委員會和其他政府機構提出控告，該公司隨後同意支付 7 億美元達成和解。

FTC 表示，採取合理措施緩解已知軟體漏洞的責任涉及法律，其中包括《聯邦貿易委員會法》和《Gramm Leach Bliley法》，至關重要的是，使用日誌框架Log4j的公司及其供應商立即採取行動，以減少對消費者造成傷害的可能性，並避免 FTC 採取法律行動。

FTC 建議企業遵循 CISA 關於緩解Log4j 漏洞的指導：

*將Log4j 軟體包更新至最新的版本：https ://logging.apache.org/log4j/2.x/security.html

*參閱 CISA 指南以緩解此漏洞

*確保採取修補措施，以確保貴公司的做法不違反法律，未能識別和修補此軟體的實體可能違反 FTC 法案

*將有關漏洞的資訊分發給可能容易受到攻擊的第三方和消費者。

FTC 發出警告之前，微軟本週也警告稱，Log4Shell漏洞對企業來說仍然是一個複雜且高風險的情況，並補充說在2021年 12月的幾個星期間，嘗試利用漏洞和測試仍然很頻繁。由於許多受影響的軟體和服務，以及更新的速度緩慢，預計企業需要花很長時間才能補完漏洞，並需要持續保持警戒。

法國國防巨擘達利思集團Thales Group疑遭LockBit 2.0攻擊

Posted on 2022 年 1 月 5 日2022 年 1 月 5 日 by blogadmin

Thales Group稱沒有遭攻擊的跡象，也沒有收到勒索信

2021年是勒索軟體肆虐，駭客相當忙碌的一年，這樣的狀況，在2022年也不太可能中斷。昨天Lockbit 2.0宣布其2022年第一個受害者為Thales Group，在其揭秘網站上透露它們已入侵法國航空與國防產業領導集團達利思的網路，並給出約 13 天時間用於協商贖金，若在1月17日仍沒達成協商即公開從Thales Group竊得的數據，目前仍沒釋出任何數據的樣本或截圖，也不清楚盜來數據量。

但據法國媒體Lemonde Infomatique的報導，他們取得Thales Group的回應， Thales Group表示知道Lockbit2.0勒索軟體聲稱針對屬於其數據進行了所謂的攻擊，但沒有收到任何直接的勒索通知，Thales Group更進一步表示，出於謹慎的處理態度，仍對這毫無根據的指控認真看待，並已安排資安專家正在調查，但在現階段沒有看到關於這次攻擊的具體證據。儘管如此，由於以考慮的數據安全為前提，他們仍會繼續進行調查。

Thales Group是法國的一家專注於航空航天、國防、地面交通運輸、安全和製造電氣系統的電子集團，在56個國家和地區有業務，並有80000名員工。

LockBit 2.0在2021年曾攻擊了多家有名的企業，包括大型IT顧問公司Accenture，曼谷航空，加密貨幣交易平台BTC-Alpha，意大利能源公司ERG，丹麥大型風力發電機製造商Vestas等，國內企業日勝生公司在2021年10月底亦曾遭LockBit2.0攻擊，被竊141 GB資料。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體，能自動加密Windows 網域下所有電腦，駭客不必寫程式進行勒贖軟體部署，只要取得 Windows Server 網域控制器的存取權，就能自動進行傳播，並在網域控制器上建立新的群組原則，將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施，例如 Microsoft Defender 和警報，並阻止操作系統向 Microsoft 提交樣本以避免檢測，以實現持久性。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”，稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威，繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後，台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊，今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411

汽車零件供應商巨頭日本Denso（電裝公司），疑遭新型勒索軟體Rook入侵，駭客稱已盜1.1TB數據

Posted on 2021 年 12 月 29 日2021 年 12 月 29 日 by blogadmin

12月27日，新型勒索軟體Rook在其揭秘網站宣稱已攻陷日本最大、世界第二大汽車零部件供應商Denso，並竊得1.1TB資料，目前這個操作Rook的背後駭客並未透露更多細節，所以無法得知贖金金額，或駭客給予Denso多久的交涉時間等。

名為 Rook 的新型勒索軟體，前不久才浮出水面，於 11月26日首次在VirusTotal發現其樣本，Rook勒索軟體的背後駭客在其揭秘網站的直白簡介，引起資安界的關注，Rook稱他們迫切需要大量的錢並吹噓一定能滲透目標系統，Rook於 11 月 30 日宣布第一個受害者為一家哈薩克的銀行Zilstroysber Bank。除了加密該組織的檔案外，Rook還竊取了大約1123GB 的數據，用於敲詐勒索。

據了解，Rook勒索軟體是通過第三方滲透框架Cobalt Strike散布的，並使用UPX、VMProtect封裝，根據 SentinelOne研究人員表示，也觀察到挾帶了 Rook的網路釣魚電子郵件。一旦Rook在受害者的機器上執行，惡意軟體會嘗試終止所有可能阻礙加密過程的進程。攻擊者還試圖禁用安全產品，以及刪除卷影副本，以防止受害者恢復他們的數據。在加密過程中，勒索軟體會將 .ROOK 的副檔名附加到加密文件中，一旦該過程完成，它會從機器中自我刪除。另外，由於Rook 使用與Babuk勒索軟體相同的 API 調用來檢索每個正在運行的服務的名稱和狀態，並使用相同的函數來終止它們。研究人員相信Rook是來自Babuk勒索軟體的最新產物，據信，是以Babuk原始碼修改而成的新勒索軟體，而該原始碼源於 6月在俄語論壇上洩露的，專家普遍認為之後也會陸續有其他新型勒索軟體的出現，因此企業應準備好有可靠的網路防禦和定期的備份。

Rook勒索軟體的IOCs:

SHA1

104d9e31e34ba8517f701552594f1fc167550964

19ce538b2597da454abf835cff676c28b8eb66f7

36de7997949ac3b93b4b88600

SHA256

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789

c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac

96f7df1c984c1753289600f7f373f3a98a4f09f82acc1be8ecfd5790763a355b

美國CISA發布”Log4j-Scanner”掃描工具以識別受 Apache Log4j漏洞影響的Web服務;美國CISA、FBI、國安局和五眼聯盟同時發布旨在減緩 Log4Shell攻擊的指南

Posted on 2021 年 12 月 23 日2021 年 12 月 23 日 by blogadmin

美國網路安全及基礎設施安全局（CISA）發布了一個開源的掃描工具(Scanner)，企業可以使用它來查找易受Log4j漏洞CVE-2021-44228 和 CVE-2021-45046 攻擊的Web 服務，名為Log4jScanner的掃描器在Github存儲庫上，為log4j 遠端程式碼執行漏洞（CVE-2021-44228 和 CVE-2021-45046）提供了掃描解決方案，Log4j-scanner是CISA的快速行動小組和開源社區的成員衍生出來的一個項目，該存儲庫中的資訊和程式碼是“按原樣”提供的。

CISA 在log4j-scanner 的項目頁面上強調了以下功能：

*支援lists of URLs

*對 60 多個 HTTP Request Headers進行模糊測試

*對 HTTP POST 數據參數進行模糊測試

*對 JSON 數據參數進行模糊測試

*支援用於漏洞發現和驗證的 DNS callback

*繞過WAF的有效載荷

同時，網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、國家安全局 (NSA)、澳洲網路安全中心 (ACSC)、加拿大網路安全中心 (CCCS)、新西蘭電腦危機處理應急小組(CERT NZ)、新西蘭國家網路安全中心 (NZ NCSC) 和英國國家網路安全中心 (NCSC-UK) 發布了聯合諮詢，以提供有關解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 的Log4j漏洞緩解指南。“CISA 主任Jen Easterly聲明中說，Log4j 漏洞對世界各地的組織和政府構成了嚴重且持續的威脅；我們懇請所有實體立即採取行動，實施最新的緩解指南，以保護他們的網路。”

據了解，指南側重於保護面向 Internet 的設備和系統免受與 Log4Shell 相關的攻擊。然而， Java 在 IT 和 OT 系統中也無處不在，未分段的網路存在入侵者在系統之間橫向移動的風險。該警報警告組織將任何使用 Log4j 的產品視為可疑產品，並保留詳細的修補記錄以監控異常行為。

CISA、五眼聯盟評估對這些漏洞的利用，尤其是 Log4Shell，可能會持續增加並

維持很長一段時間，它們強烈敦促所有組織應用這些建議，以識別、減輕和更新受影響的資產。

Apache軟體基金會釋出Log4j 的2.17版為目前最新的修補，建議使用Log4j框架者立即下載更新。

有關Apache Log4j重大的漏洞 Log4Shell的更新的入侵指標(Indicator of compromise -IOCs):

Hostname:

agent.apacheorg.xyz

URLs:

http://agent.apacheorg.xyz:1234/v

http://93.189.42.8/kinsing

http://92.242.40.21/lh2.sh

http://82.118.18.201/kinsing

http://45.137.155.55/kinsing2

http://45.137.155.55/kinsing

http://80.71.158.44/kinsing

http://198.98.60.67/lh.sh

http://185.250.148.157:8005/index

SHA 256:

f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc

e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82

bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b

bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2

95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512

SHA1:

f568eb59fd37b2fe37db730292594d875d3a11e8

c927738922b87802cc75697dd99dd8c7d8cfdf1e

b21aa1107ecc79f4ad29f68a026a02e2abc952ef

9edd5d86fbb0236625c1c533e85d2fe76901979f

8d692f73e5b6c3309568a3f488a93f8685c6661a

8611063eefa5cc2bbec29870fb56779192eed454

82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4

其他相關Log4j的報導:

專家警告說，駭客火力全開積極利用第二個Log4j的漏洞，然而第三個漏洞也出現了!

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施