新型殭屍網路Abcbot鎖定中國雲端供應商,會是日後DDoS攻擊的信號嗎?!

惡意指令列腳本(shell script)以騰訊、百度和阿里雲、華為雲等的雲端伺服器為目標,旨在消除其他競爭惡意軟體並連接到Abcbot殭屍網路。

資安研究人員發現了一個新的惡意軟體殭屍網路,在過去幾個月中,它專門針對中國雲端託管服務提供商的基礎設施。資安公司Cado Security 在今天的一份報告中表示,名為 Abcbot的殭屍網路的目標是阿里雲、百度、騰訊和華為雲等公司託管的伺服器,而這報告正與TrendMicro和奇360 Netlab之前的調查結果相呼應 。

CADO資安研究員Matt Muir表示,不論是華為雲,騰訊雲和百度雲等新一代雲端供應商都沒有像AWS的發展成熟。Muri進一步解釋,AWS的發展其中包括一個示警機制,即如果以不安全的方式部署雲端instance時,即會自動產生警報。

研究員表示,Abcbot殭屍網路的攻擊通常針對這些公司託管的 Linux 伺服器,這些伺服器使用弱密碼保護或運行未修補的應用程式。根據 Cado Security的說法,在找到初始入口點後,Abcbot會部署一個 Linux bash 腳本,該腳本禁用 SELinux 安全保護,為攻擊者建立一個後門,然後掃描受感染的主機以查找其他惡意軟體殭屍網路的跡象。有趣的是,如發現競爭的惡意軟體,Abcbot 會终止已知與其他殭屍網路相關的進程以及與加密挖操作相關的進程。Abcbot還採取了其他殭屍網路未曾見過的步驟,即刪除SSH密鑰,僅保留自己的密鑰。

研究員說從對這個指令列腳本的分析中可以明顯看出,Abcbot 背後的威脅參與者投入了大量資金,以保持他們對雲端安全威脅形勢的了解。該惡意軟體包含從主機中刪除加密挖礦和以雲為中心的惡意軟體的特定命令,例如 WatchDog 和 Kinsing。研究還指出,攻擊者針對和騰訊使用的監控解決方案,指向駭客針對特定雲端供應商。Cado研究人員分析的Abcbot樣本包含將受感染系統進行圍堵的功能, TrendMicro分析的Abcbot樣本有包括用於加密貨幣挖礦的模組,Netlab 分析的樣本有包括用於 DDoS 攻擊的功能。

研究人員綜合Abcbot採取的步驟和功能,認為其最終目的是為攻擊者創造加密貨幣的利潤。目前Abcbot殭屍網路的規模仍然未知,但相信鑒於惡意軟體針對特定的雲端供應商,這表明傳播有限。但認為Abcbot的不斷發展,可用於在未來發動DDoS攻擊。

殭屍網路(Botnet)也稱機器人網路(RobotNetwork),病毒通常會隨著 e-mail、即時通訊軟體或電腦系統漏洞,入侵電腦,再藏身於任何一個程式裡。

殭屍網路與木馬程式的使用方式相仿,但木馬只會攻擊特定目標,較不會藉由被植入木馬的電腦主機,再去攻擊其他電腦。 反觀殭屍網路不但會攻擊其他電腦,且具有蠕蟲的特性,會慢慢在網路空間中爬行,一遇到有漏洞的電腦主機,就自行展開攻擊。

Abcbot 殭屍網路的入侵指標(Indicator of compromise -IOCs):

SHA256:
56d677ed192b5010aa780d09c23b8ee8fdff94d39b20a07c7de76705e5f8c51f
22b521f8d605635e1082f3f33a993979c37470fe2980956064aa4917ea1b28d5
IPs:
http://103[.]209[.]103[.]16:26800/ff.sh
http://103[.]209[.]103[.]16:26800/xlinux

專家警告說,駭客火力全開積極利用第二個Log4j的漏洞,然而第三個漏洞也出現了!

Photo credit : the hacker news

資安公司 Cloudflare 警告,攻擊者正積極嘗試利用第二個Log4j的漏洞(CVE-2021-45046, CVE-2021-45046 的 CVSS 得分為 3.7,影響從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0(已發布以修補 CVE-2021-44228)的 Log4j 版本。可使攻擊者有進行分散式阻斷服務攻擊(DDoS),建議用戶必須迅速採取行動安裝最新版本,因為一連串的攻擊繼續攻擊未修補的系統各種惡意軟體。

Cloudflare認為即使之前已經更新到 2.15.0的 Log4j 版本,現在也應該盡快更新到 2.16.0 版本。2.16.0版本取消對訊息查找模式的支援並默認禁用 JNDI 功能來解決 CVE-2021-45046。

但更令人不安的是,緊隨 CVE-2021-45046 之後,根據資安公司 Praetorian 的研究人員警告說,發現2.15.0的 Log4j 版本中存在第三個單獨的安全漏洞,該漏洞可以在某些情況下洩露敏感數據。該漏洞的其他技術細節已被保留以防止進一步利用,但目前尚不清楚這是否已在 2.16.0 版中解決。目前Praetorian已將該問題的技術細節滙報給Apache軟體基金會。

全球基礎設施持續受到攻擊,已記錄了超過180 萬次嘗試Log4j 漏洞的利用,微軟研究人員報告說,來自中國、伊朗、北韓和土耳其的國家級駭客正在他們的活動中濫用Log4J的Log4Shell漏洞 (CVE-2021-44228)。據了解,一些利用該漏洞的組織是與中國有關的 Hafnium駭客組織和與伊朗有關的 Phosphorus駭客組織,前者利用該漏洞攻擊虛擬化基礎設施,後者部署勒索軟體。

微軟專家還表示,多個訪問代理已經開始使用 Log4Shell 漏洞來獲得對目標網絡的初始訪問權限,然後將其出售給勒索軟體即服務的附屬公司。

微軟專家還表示,多個access broker駭客服務業者已經開始使用Log4Shell漏洞來獲取對目標網路的初始存取權,然後將其出售給勒索軟體附屬會員。

專家建議立即安裝 Log4j的2.16.0 版本

其他相關Log4j的報導:

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門, CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

隨著 Log4j攻擊活動的增加,CrowdStrike週二表示,觀察到有一個伊朗國家級的駭客組織NEMESIS KITTEN正瞄準Log4Shell漏洞並部署到一個可以由伺服器觸發Log4j的類檔,另外Bitdefender 也表示,其研究人員已經觀察到攻擊者試圖利用該漏洞來分發名為Khonsari的新型勒索軟體。此攻擊涉及使用惡意 .NET 檔,該檔案一旦執行,就會列出易受攻擊系統上的所有硬碟,並對除C槽之外的所有硬碟進行加密,然而會在C槽中加密特定的檔案夾,包括文檔、視頻和下載。除了勒索軟體,Bitdefender還觀察到攻擊者試圖在企業網路的易受攻擊系統上部署一種名為 Orcus 的已知遠端存取木馬(RAT)。Bitdefender進一步說,攻擊者使用這種技術在系統中站穩腳跟,在這些易受攻擊的伺服器上部署反向Bash shell相對簡單,並且很可能在未來進行更全面的攻擊。

因Log4j中的漏洞被攻擊的設備種類–Photo Credit: Armis

與此同時,物聯網安全供應商 Armis 發現目標設備(上圖)的種類涵蓋各種設備,攻擊活動針對伺服器佔 42%,虛擬機佔 27%,連接互聯網的攝像機佔 12%。Armis 還發現了針對 HMI 面板和控制器等製造設備以及考勤系統的攻擊企圖。

Check Point的研究,試圖利用該漏洞的攻擊數量持續上升,從 12 月 11 日的 40,000 次攻擊到 12 月 13 日的超過 800,000 次攻擊,用於利用該漏洞的變種數量也增加到60個。對於攻擊者來說,該漏洞提供了一個幾乎前所未有的機會,可以嘗試攻擊和破壞全球數十億台設備。Akamai 是跟踪攻擊活動的幾家供應商之一,週二表示,它已經觀察到多個變體試圖以每小時250,000個漏洞利用請求的持續攻擊量來利用該漏洞。Akamai 表示,迄今為止,超過 50% 的攻擊來自已知的威脅行為者,並且新的漏洞利用變體的發展速度是前所未有

由於攻擊的數量加上漏洞的嚴重性,促使美國國土安全部的網路安全和基礎設施局(CISA)發出多次警告,並下令所有聯邦機構在 12 月 24 日之前完成修補漏洞。Log4j的2.15.10版本中的修補程式解決了常見漏洞和披露資料庫中已知的 CVE-2021-44228 漏洞。CISA 指出 ,要修補使用受影響版本的 Log4j 的產品和服務中的漏洞,這些產品和服務的維護人員必須實施此安全更新。該機構敦促供應商立即識別、緩解和修補受Log4j影響的產品,將包含該漏洞的產品告知最終用戶,並強烈敦促他們優先考慮軟體更新。據了解,如果無法更新,在 Log4j 配置中將log4j2.formatMsgNoLookups 選項設置為true也可以防止漏洞利用。

另外,如果您想查看資安供應商的產品是否仍然是易受攻擊,或使用易受攻擊版本的Log4j,或已完成修補,可參考以下連結:

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

有關Log4j漏洞的Indicators of Compromise (IOCs):

Hostname:

vyvdsvh.x.i.yunzhanghu.co

lnc7vvhztmjdfm221sdp76xnze5atz.burpcollaborator.net

jjug8i.xaliyun.com

e86eafcf9294.bingsearchlib.com

4568-3409-8076-3389.service.exfil.site

3be6466b6a20.bingsearchlib.com

0384eb5a.probe001.log4j.leakix.net

SHA 256:

fe98548300025a46de1e06b94252af601a215b985dad31353596af3c1813efb0

e20806791aeae93ec120e728f892a8850f624ce2052205ddb3f104bbbfae7f80

c38f0f809a1d8c50aafc2f13185df1441345f83f6eb4ef9c48270b9bd90c6799

c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a

c154d739cab62e958944bb4ac5ebad6e965a0442a3f1c1d99d56137e3efa8e40

b55ddbaee7abf1c73570d6543dd108df0580b08f730de299579570c23b3078c0

a3f72a73e146834b43dab8833e0a9cfee6d08843a4c23fdf425295e53517afce

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

776c341504769aa67af7efc5acc66c338dab5684a8579134d3f23165c7abcc00

6a8965a0f897539cc06fefe65d1a4c5fa450d002d1a9d5d69d2b48f697ee5c05

63d43e5b292b806e857470e53412310ad7103432ba3390ecd4f74e432530a8a9

6370939d4ff51b934b7a2674ee7307ed06111ab3b896a8847d16107558f58e5b

3f6120ca0ff7cf6389ce392d4018a5e40b131a083b071187bf54c900e2edad26

19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d

0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049

IPv4:

80.71.158.12

45.137.155.55

109.237.96.124

URL: http://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=

MD5:

648effa354b3cbaad87b45f48d59c616

6cead82e17c2dacbb83998cfe3841704

550f9f929bcb99aeaa3821779d8dea62

40e3b969906c1a3315e821a8461216bb

3dfbe75871e218d08328a01c56e1bb42

1db40b7e18cf228169d2f5d73bf27ef7

1348a00488a5b3097681b6463321d84c

日誌框架Log4j被曝核彈級漏洞,已出現攻擊行動,波及範圍廣泛,需儘速採取緩解措施

上周末,被全球企業、組織應用到不同網路服務的日誌框架Apache Log4j曝出一個重大風險漏洞,名為Log4Shell( CVE-2021-44228),影響包括Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft、Cloudflare、ElasticSearch、Red Hat、Twitter、百度、騰訊等科技公司和大型網站,Apache Log4j是一個基於Java的紀錄檔記錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。據了解,攻擊者只需傳送一則特殊的訊息到伺服器(含$的字串)就能觸發漏洞,遠端執行任意程式碼來控制目標伺服器,已出現攻擊行動的情況,漏洞波及面和危害程度均堪比2017年的永恆之藍(Eternal blue)漏洞,Apache軟體基金會也將Log4j漏洞的嚴重程度,評為最高的10分,任何人都可以從存在該漏洞的服務獲得電腦的完整存取權限。

事件時間軸:

11月24日,開源日誌資料庫Log4j的一個遠端程式碼執行(remote code execution,RCE)漏洞CVE-2021-44228被提交。

12月7日上午,Apache釋出了2.15.0-rc1版本更新。

12月9日晚,漏洞的利用細節被公開,影響範圍幾乎橫跨Log4j整個版本(從2.0到2.14.1-rc1)。

當大家紛紛升級到2.15.0-rc1之後發現,該修補依然可以被攻擊者繞過。

12月10日凌晨,Apache Log4j2緊急更新了2.15.0-rc2版本。

聯邦網路安全和基礎設施安全局 (CISA) 主任 Jen Easterly 在一份聲明中表示:這一漏洞正被越來越多的攻擊者廣泛利用,鑑於其廣泛使用,對網

路防禦者提出了緊迫挑戰。該漏洞已經影響到 Apache Log4j 的 2.0 到 2.14.1 版本,建議組織盡快更新到 2.15.0 版本。

Photo Credit : GovCert.ch

Log4Shell 漏洞出於 Log4j 裡有一個JNDI Lookup 功能,它是用來在執行階段對日誌中的文字紀錄進行加工後輸出,這本來在分析系統問題時很有用,不過同時也可以讓攻擊者有機可乘,例如刻意輸入下載軟體來執行的文字讓日誌記錄下來,就可以遠端執行任意程式碼。受影響的 Log4j 版本由 2.0 – 2.14 ,雖然版本 1.0 也受影響,不過由於版本 1.0 沒有「 JNDI Lookup 」功能,所以就無法執行惡意程式碼。故資安公司Cybereason認為只要關掉「 JNDI Lookup 」功能,就可緩解漏洞的影響,並推出名為Logout4Shell的疫苗程式。它的原理就是利用「 Log4Shell 」漏洞注入程式去修改 Log4j 的設定,關閉「 JNDI Lookup 」功能。

Cyber​​eason 聯合創辦人兼首席技術官 Yonatan Striem-Amit 表示,雖然更新到最新版本的 Log4j 無疑是最好的解決方案,但修補通常很複雜,需要一個發布週期和測試週期。許多公司發現很難去部署緊急修補,故Logout4Shell“疫苗”本質上為安全團隊爭取了一些時間,因為他們正在努力推出修補。他說,該修補程式禁用了該漏洞,並允許組織在更新伺服器時保持受到保護。

有關Log4j漏洞的IOCs:

Hostname: log.exposedbotnets.ru

URL: http://62.210.130.250:80/web/admin/x86_g

http://62.210.130.250/lh.sh

http://45.130.229.168:9999/Exploit.class

http://62.210.130.250:80/web/admin/x86

IPv4:

159.89.182.117

45.130.229.168

210.141.105.67

MD5:

d4cf8e4ab26f7fd15ef7df9f7937493d

f6e51ea341570c6e9e4c97aee082822b

ceb9a55eaa71101f86b14c6b296066c9

c717c47941c150f867ce6a62ed0d2d35

1718956642fbd382e9cde0c6034f0e21

Domain:

nazi.uy

Emotet 改變策略,跳過中間的木馬程式,直接投放Cobalt Strike的Beacon

Emotet的回歸是一個巨大的威脅,同時它的發展也令人擔憂,在過去Emotet會在受感染的設備上安裝TrickBot或Qbot木馬,進而在受感染的系統上部署 Cobalt Strike。在典型的攻擊中,受害者在最初感染和被部署勒索軟體之間會有大約一個月的時間。但現在研究人員發現由於Emotet跳過了中間木馬TrickBot 和 Qbot 的初始有效負載,駭客將可立即存取網路、橫向傳播、快速部署勒索軟體並竊取數據,這自然意味著從 Emotet 感染到勒索軟體攻擊的時間大大縮短。據悉,Emotet的捲土重來,是由操作Conti勒索軟體的駭客推波助瀾的,而Cobalt Strike的Beacon快速安裝有望加速勒索軟體的部署。

減少攻擊鏈將使駭客能夠速進入攻擊的第二階段,例如在受感染的網路上安裝勒索軟體。

資安公司 Cofense 與Bleeping Computer共享的 Flash Alert中證實了攻擊中使用的新手法。當 Cobalt Strike 樣本運行時,它試圖聯繫lartmana[.]com的網域。不久之後,Emotet投放了Cobalt Strike的執行檔案

Cofense 研究人員推測,新的攻擊鏈可能是一次測試,甚至是無意的,然而Emotet 的重新出現和隨後的策略變化預示著更多的勒索軟體攻擊。隨著攻擊手法上的新變化,Emotet 縮短了感染和最終勒索軟體部署之間的時間,目前專家們將繼續監測事態的發展。

Emotet相關的Indicators of Compromise (IOCs):

SHA256 hash: 7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24

SHA256 hash: bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245

SHA256 hash: f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285

SHA256 hash: d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32

SHA256 hash: 88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9

SHA256 hash: 1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

URLs:

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/

IP:

177.72.80.14

51.210.242.234

51.178.61.60

196.44.98.190

185.148.169.10

142.4.219.173

168.197.250.14

94.177.248.64

81.0.236.93

66.42.55.5

45.76.176.10

188.93.125.116

103.8.26.103

103.8.26.102

台灣網路設備供應商威聯通QNAP警告,比特幣礦工正針對其NAS設備發動攻擊

台灣網路設備供應商威聯通(QNAP) , 12 月 7 日在其網站發布安全公告(Advisory),警告用戶一種新的加密挖礦惡意軟體正針對其網路附加儲存設備 (NAS)。

QNAP沒有分享有關設備如何被入侵的任何資訊,但表示一旦 NAS 被感染,CPU 使用率會變得異常的高,據了解,其中名為[oom_reaper]的進程將挖礦比特幣,該進程更會佔總 CPU 使用率的 50% 左右。QNAP進一步表示,在運行時該進程更會模仿成一個核心進程,但它的 PID 通常高於1000 。據信攻擊活動中使用的挖礦似乎缺乏持久性機制,這意味著重新啟動設備可刪除惡意軟體。

現階段QNAP正在調查有關感染的過程,並呼籲客戶採取主動措施應對攻擊,例如更新其設備的操作系統(稱為 QTS 或 QuTS)和所有 QNAP 附加應用程式。

此外,該公司還告訴用戶更改他們所有的 NAS 帳戶密碼,因為它不確定攻擊者是否利用了漏洞,或是暴力破解了使用弱密碼的連接互聯網的QNAP系統。

QNAP建議客戶,如懷疑他們的 NAS 感染了這個比特幣礦工的惡意軟體,應重新啟動他們的設備,以刪除惡意軟體。

QNAP 還建議客戶採取以下措施來保護他們的設備:

*將 QTS 或 QuTS hero 更新到最新版本。

*安裝 Malware Remover 並將其更新到最新版本。

*為您的管理員和其他用戶帳戶使用更強的密碼。

*將所有已安裝的應用程式更新到最新版本。

*不要將您的 NAS 暴露在互聯網上,或避免使用default的系統端口443 和 8080。

在過去幾年中,Muhstik、  QlockereCh0raixAgeLocker等勒索軟體亦曾針對 QNAP 設備,駭客可以存取客戶的NAS 系統,加密用戶數據,然後索要小額贖金。雖然加密挖掘惡意軟體比較少見,但以前也曾發生過。在 2020 年底和 2021 年初,QNAP NAS 設備成為Dovecat 加密挖礦惡意軟體的目標,該惡意軟體濫用弱密碼在QNAP系統上獲得切入點。

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

11月30日,在勒索軟體Snatch的揭秘網站上,發布了富豪汽車Volvo Car頁面,表示Snatch已經攻擊了上市汽車公司Volvo,但Snatch沒有公開透露有關盜來數據容量的大小,目前也不清楚勒索的金額。

據了解,Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體,Snatch於2019年4 月開始活躍,大量發動攻擊,隨後於2020 年突然消失,但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密,以躲避防毒軟體的偵測的勒索軟體,Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊,透過暴力破解,利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路,之後會收集該企業相關的重要敏感資訊,上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄,可見自11月25日以來已有12名受害者,除了Volvo Cars外,還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導,在流出的螢幕截圖中,可看到富豪汽車虛擬的3D 建模檔案,然而富豪汽車沒有證實,或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道:“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論,但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721

美國和加拿大的關鍵基礎設施成為新型勒索軟體 Sabbath 的目標

Sabbath的勒索信

自 2021 年 6 月以來,一個名為 Sabbath 相對較新的勒索軟體組織一直針對美國和加拿大的關鍵基礎設施(包括教育、衛生和自然資源)為目標,根據Mandiant 研究員的調查結果,發現Sabbath之前以 Arcane 和 Eruption 的名義運作,後者於去年被觀察到部署 ROLLCOAST勒索軟體。ROLLCOAST能加載到memory內並會在硬碟上擦掉其踪跡。

Mandiant的報告,2021年10 月,Sabbath建立了揭秘網站54BB47h,推出租用勒索軟體即服務(Ransomware as a Service;RaaS)的平台並積極地尋找合作夥伴和會員。值得一提的是,Sabbath會向其會員提供預配置(Pre-configure)的Cobalt Strike有效荷載(payloads)。

在10 月首次曝光時,該組織通過 Reddit 公開勒索美國德州的一個學區,要求支付數百萬美元贖金。據了解,Sabbath採取了異常激進的方法,直接向教職員、家長甚至學生發送電子郵件,以進一步向學區施壓。

據觀察,作為品牌重塑(Rebrand)的一部分,Arcane不僅更改其名稱為Sabbath、其logo和配色也更改了,然而攻擊者在其揭秘網站上繼續犯同樣的語法錯誤,並保持Cobalt Strike的Beacon樣本和基礎設施不變,足以證明Sabbath與Arcane的關連。

Sabbath的揭秘網站
Arcane的揭秘網站

Mandiant 表示,自 2021 年 7 月以來,Sabbath一直在使用 Themida 來打包其惡意軟體樣本有助於它避免被 IPS、WAF 等網路安全工具檢測到。研究人員還指出,該組織自 6 月以來一直使用具有獨特性的 Cobalt Strike的Beacon樣本。Sabbath、Arcane和Eruption背後組織被追溯為駭客組織UNC2190,該組織擅長反復重新命名及包裝勒索軟體以避免被發現,另外雖然部署勒索軟體的範圍有限,但會以竊取大量數據進行勒索,並且威脅破壞備份。

Sabbath的入侵指標(Indicator of compromise -IOCs):

SHA 256

da92878c314307a5e5c9df687ec19a402d93126b3818e5fb6b7241ab375d1e12

0fb410b9a4d32a473b2ee28d4dc5e19a64524e107b980fc1ce8de2ad0dcc3302

298662f3fed24d757634a022c16f4124919b653f8bf7717e4f7a5b7d741729c0

a053408747e9b32721d25c00351c4ce9286208e8714780416f18cbe2536672a9

afd61168c1fae6841faa3860dca0e5839f1b7a3169184a1c04de5a9b88adfe5d

b2ffd7d83e004308a97355a18529fe3528dcbbd7901fb28aaad9d46194469947

e302a958856208adeab4ab3cd6d2991e644798fabd57bb187a0aede314a4baa0

8ddb23c90cb4133b4624127a1db75335a51e90d557c01e996ce33fe23f638e71

1bbb11e526141af7bafb5d4db3671b1a01bb277fda047920995c1f2a4cb6654c

不明駭客在日本電子巨頭松下的內部停留達快5個月,Panasonic始於雙十一發現系統被入侵

日本企業集團松下(Panasonic)在11 月 26 日的新聞稿中表示,發現其內部網路在11 月 11 日被第三方非法存取, 並證實檔案伺服器(File server)上的一些數據在入侵期間被存取過。

根據日本媒體每日新聞NHKSecurity Next報導,松下遭受了約五個月未被發現的入侵,入侵行為實際上始於 6 月 22 日,在11 月 3 日結束。松下於 11 月 11 日首次檢測到系統曾被入侵,被入侵的伺服器上存儲了有關客戶、員工的詳細資料Panasonic 的技術文件和業務文件等,目前松下尚未確認哪些數據已被盜,也不清楚駭客的身份。這不是松下第一次成為駭客組織的目標,松下印度子公司在 2020 年遭受了數據盜外洩和勒索,數據於 2020 年 10 月被盜,贖金為 50 萬美元,松下沒有付款,攻擊者隨後在 11 月發布了 4 GB 的公司數據。

資安公司Netenrich Inc.的首席威脅研究員John Bambenek,表示但最初的入侵發生在6月,直到11月才被發現,這一事實表明,該公司落後於攻擊者,Bambenek認為入侵行為需要在幾小時內被發現,而不是幾個月後。

在2021年,曾遭受網路攻擊的日本大型科技公司包括:

*Olympus的歐洲分公司2021年9月份遭到BlackMatter勒索軟體攻擊,10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

日前,新型勒索軟體Haron入侵了17家受害公司,驚見台灣、香港和中國公司亦紛紛上榜


一些Haron 勒索軟體的受害公司
Haron勒索軟體的簡介

新型勒索軟體Haron在2021年七月浮出水面,被資安研究員認為是已解散的勒索軟體Avaddon的品牌重塑(rebrand),並提供租用基礎設施(包含勒索軟體)的存取權限給其會員,是一個相對較新的勒索軟體即服務(Ransomware as a Service; RaaS)。Avaddon在解散時向BleepingComputer發布了其總共2,934個的解密密鑰,每個密鑰都屬於一個單獨的受害者。據執法部門稱,Avaddon要求的平均勒索費用約為 40,000 美元。

日前,勒索軟體Haron的揭秘網站上一口氣更新了17家受害公司的相關資訊,包括1家位於台北內湖的公司和5家中國公司(2家在上海、1家在廈門、1家在東莞、1家在香港)和1家新加坡公司,可見Haron的毒手已伸進亞洲市場,針對

據悉, Haron會通過設置下次數據更新的時間來誘導受害公司在該時間段內協商,這次遭駭的台灣受害公司被威脅需在72小時內與Haron聯繫,不然就會公開盜來的資料,目前仍沒看到勒索的金額,此台灣受害者為一家屬於網路相關的公司,該官網目前沒法運作。

台灣受害公司的官網目前沒法連上
Haron和Avaddon 的相似
Haron和Avaddon 的相似

根據韓國資安公司 S2W lab ,Haron和Avaddon之間有許多其他相似之處,包括:

1、兩個談判網站上有許多相似的措辭;

2、除了“Avaddon”的勒索軟體名稱被替換為“Haron”之外,談判網站的介面幾乎相同;

3、使用俄羅斯開發者論壇上釋出用於聊天的相同開源JavaScript程式碼;

4、兩個洩漏網站共享相同的結構

有關Haron勒索軟體的入侵指標:

MD5:

dedad693898bba0e4964e6c9a749d380