研究人員發現,俄羅斯APT駭客組織Turla 在攻擊目標系統上部署新型的second-chance後門程式

研究人員發現俄羅斯國家級駭客 Turla是一系列新的入侵活動的幕後黑手,該攻擊活動使用以前未被記錄過的新型後門程式來入侵美國、德國和阿富汗的系統。根據Cisco Talos的研究,俄羅斯的APT 駭客組織Turla (又名Snake、Venomous Bear、Uroburos和WhiteBear) Turla至少自2004年以來就一直活躍。多年來,該組織以美國、烏克蘭或阿拉伯國家為目標,開發並維護了一套龐大的攻擊工具,如Crutch或Kazuar。

這一系列新的入侵活動利用一個隱蔽的second-chance後門” TinyTurla”來維持被感染的設備的存取權限。在這裡”second-chance “意指可作為第二次入侵的使用,據了解Tiny Turla後門很難被清除,即使被感染的機器清除了主要的惡意軟體,攻擊者也能繼續保持對系統的存取,同時還可以用作第二階段的dropper,用其他惡意軟體感染系統。此外,TinyTurla 可以上傳和執行檔案或將敏感數據從受感染的機器傳輸到遠端伺服器,同時每五秒請求一次C2伺服器以獲取最新的命令。

TinyTurla的入侵活動涉及使用.BAT 檔案來部署惡意軟體,但確切的入侵途徑尚不清楚,另外研究人員發現,這個新穎的後門——偽裝成一個無害但虛假的微軟 Windows 時間服務(“ w32time.dll ”),能夠上傳、執行或竊取檔案,被編排以註冊自身與攻擊者控制的伺服器建立通信,以接收進一步的指令,範圍從下載和執行任意進程到將命令的結果上傳回伺服器。

由於TinyTurla的功能有限且編碼高效,反惡意軟體工具很難檢測到它是惡意軟體。這也就解釋了為什麼儘管攻擊者從2020年就開始部署它,但是一直沒有被發現。

有關TinyTurla的入侵指標Indicators of compromise (IOCs):

SHA256:

030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01

SHA1: 02c37ccdfccfe03560a4bf069f46e8ae3a5d2348

MD5:

028878c4b6ab475ed0be97eca6f92af9

微軟警告說SolarWinds 事件的攻擊者Nobelium,利用一個名為“FoggyWeb” 的後門針對性攻擊 AD FS伺服器

惡意後門可竊取Windows domains的敏感數據

微軟的報告稱, Nobelium 正在使用一種新開發的後門,該後門能夠從受感染的Active Directory 同盟服務(Active Directory Federated Services,AD FS)伺服器中竊取敏感數據。

FoggyWeb後門通訊的示意圖(Photo credit:微軟)

Nobelium駭客組織是去年針對 SolarWinds 的 Orion 軟體的大規模供應鏈攻擊的幕後黑手。從那以後,微軟持續追踪Nobelium攻擊的活動,其中包括在 5 月份冒充美國國際開發署 (US Agency for International Development ; USAID) 的電子郵件活動。最近,微軟威脅情報中心 (MSTIC) 表示,Nobelium組織使用名為 FoggyWeb 的新型惡意軟體,用於盜竊憑證來獲得對 AD FS 伺服器的管理員級別的存取權限。微軟表示早於2021 年 4 月,已發現FoggyWeb後門的蹤跡,並已通知了觀察到成為目標或受到威脅的客戶。

FoggyWeb 是一種針對性強的後門,允許濫用SAML token,並為參與者定義的 URI 配置 HTTP 偵聽器,以攔截發送到與自定義 URI 模式匹配的AD FS 伺服器的 GET/POST 請求,從而從受感染的 AD FS伺服器中遠端竊取敏感數據。它還可以從C2伺服器接收其他惡意命令,並在受害者的伺服器上執行它們。微軟說,Nobelium利用FoggyWeb後門遠端滲透受感染的 AD FS 伺服器中的配置數據庫、解密的Token-Signing 憑證和Token-Decryption憑證,以及下載和執行其他組件。

微軟提供有關FoggyWeb的入侵指標Indicators of compromise (IOCs):

美國CISA、FBI 和 NSA聯合警告,涉及Conti勒索軟體的攻擊持續升溫

儘管在幾週前Conti勒索軟體遭會員爆料並公開其攻擊和培訓的技術手冊,但 Conti 的攻擊並沒有放緩,在9月22 日,美國網路安全暨基礎安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同發佈針對Conti勒索軟體的攻擊持續激增的警報,這三個美國聯邦機構稱,已觀察到Conti 勒索軟體對美國和其他國家的組織發動了 400 多次的攻擊,敦促企業 IT管理員審查其組織的網路安全狀況,並立即實施聯合警告中概述的行動,以抵禦 Conti 勒索軟體。

為了保護企業系統免受 Conti 勒索軟體的侵害,CISA、FBI 和NSA建議實​​施公告中描述的緩解措施,其中包括要求多因素身份驗證 (MFA)、實施網路分段以及保持操作系統和軟體是最新的版本。

根據這三個美國聯邦機構,操作Conti 的攻擊者常利用合法的遠端監控和管理軟體以及遠端桌面軟體作為後門來維持受害者網路的持久性。攻擊者使用受害者網路上已有的工具——並根據需要再添加額外的工具,如 Windows Sysinternals 和 Mimikatz——來獲取用戶的hashes和明文憑證,這使攻擊者能夠提升網域內的權限並執行其他後滲透攻擊和橫向移動。在一些被觀察到的案例,攻擊者還使用 TrickBot 惡意軟體來執行後滲透攻擊任務。

Conti 勒索軟體一個勒索軟體即服務 (RaaS),於 2019 年 12 月底首次出現,並通過 TrickBot 感染進行傳播,據信Conti由一個名為Wizard Spider的俄羅斯網路犯罪組織控制。自 2020 年 8 月以來,Conti在暗網啓動了其揭秘網站Conti News ,以揚言發佈盜取得來的機敏數據來威脅受害者,一般來說,在一個典型的Conti 勒索軟體攻擊中,操作Conti的駭客會竊取檔案、加密伺服器和工作站,並要求支付贖金。

另外,Conti 與臭名昭著的 Ryuk 勒索軟體共享其大部分程式碼,在 Ryuk 的攻擊活動於 2020 年 7 月開始放緩後,與TrickBot相關的駭客改用部署Conti勒索軟體進行攻擊,因此Conti被視為是Ryuk的接班人

以下為聯合警告中提供的緩解措施:

*使用多重身份驗證。

*實施網路分段和過濾流量。

*掃描漏洞並保持軟體更新。

*刪除不必要的應用程式並控管好應用

*實施使用端點和檢測回應工具。

*限制對網路資源的存取,尤其是限制 RDP。

*保護用戶帳戶

*如果受感染,請使用勒索軟體回應清單(Ransomware Response Checklist)

發現Hive勒索軟體首度入侵台灣,某知名鋼鐵公司遭駭

首見Hive勒索軟體入侵台灣,在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單,Hive也同時發佈了其相關資料,目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器,是否已取得價值性及機密性高的檔案等,但據相信該上市公司是在9月4日遭Hive加密,Hive直到9月19日公布鋼鐵企業的資料。

一般來說,勒索軟體組織公佈受害者的資料是用作威脅對方與其談判,然而目前Hive仍未公開對此台灣企業的勒索金額,Hive是一個相對較新的勒索軟體,於今年6月能首次浮出水面,在短短3個月已出現至少30個受害公司,FBI於8月發佈Flash Alert,警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來,根據FBI警報,Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據,包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15,美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩,Memorial Health System總裁 Scott Cantley在8月18日,承認支付贖金以換取解密金鑰。在9 月初,美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等,是值得醫療機構關注的勒索軟體。

另外,在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者,還包含一個在美國西雅圖名為FareStart的非營利性組織,該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming,可見Hive在攻擊產業的趨勢開始有所不同。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

中國APT駭客組織Winnti的分支Grayfly來襲!利用”SideWalk” 後門鎖定北美亞洲等地,台灣也榜上有名

引言: 還記得中油、台塑化、封測廠力成遭惡意程式攻擊事件嗎? 另外在2020總統就職典禮前夕,發生了假冒總統府寄釣魚信件給立委的資安事件。中國APT 駭客組織對台灣的攻擊,從不間斷。尤其耳熟能詳的Winnti Group更是赫赫有名, 最近包含ESET和賽門鐵克的研究人員對SideWalk後門發表了研究報告。當中驚見台灣已被鎖定成為攻擊對象。

Photo Credit: ESET

背景:

2020 年 9 月,美國司法部起訴 5 名中國公民,他們被指控為國家資助的駭客組織Winnti(又名APT41)的成員。他們三人(蔣勵志、錢川和傅強)參與了Winnti 分支小隊Grayfly(又名 GREF 和 Wicked Panda)的工具開發和攻擊策略。據了解,攻擊者擅長透過Exchange、SQL Server、MySQL入侵受害組織。最近發現Grayfly利用一個名為SideWalk的後門集中攻擊多國的電信公司、IT產業、媒體和金融機構等,台灣也是受害者之一。SideWalk後門與該分隊使用的另一個Crosswalk後門(Backdoor.Motnug )有很多相似之處,SideWalk 是一個模組化後門,可以動態載入從其 C&C 伺服器發送的附加模組,使用 Google Docs 作為情報投放點解析器(Drop Dead Resolver),並使用 Cloudflare Workers作為C2中繼站,它還有處理透過代理伺服器(Proxy)連線的通訊能力。

一旦網路遭到Grayfly入侵,Grayfly會將其自訂的後門安裝到其他系統上,允許他們全面遠端存取網路和代理伺服器連線,從而允許他們存取目標網路中難以到達的部分。Grayfly將裝載定製版本的Mimikatz 憑證刪除工具,該工具使攻擊者能夠從遠端存取系統和代理伺服器連線,使攻擊者能夠存取目標網路的任何部分。除了Trojan木馬自定義裝載機之外,Grayfly 還使用SideWalk後門。

研究人員發現,Grayfly最近的活動利用SideWalk特別著重於攻擊 MySQL 伺服器,有許多警報說明此類 ProxyShell 攻擊的數量不斷增加。另外在針對近 2000 個易受攻擊的 Microsoft Exchange 伺服器至少啟動了 140 個 web shell。

根據研究報告,ESET歸納的受害組織如下:

*澳門、香港、台灣學術界

*台灣的宗教組織

*台灣某電腦及電子產品製造商

*東南亞的政府機構

*韓國的電子商務平台

*加拿大的教育部門

*印度、巴林和美國的媒體公司

*一家位於美國的電腦零售業者

* 喬治亞(格魯吉亞)當地政府

*韓國和新加坡尚未確認的組織

與 CROSSWALK 一樣,在初始化期間,SideWalk 在執行開始時使用循環的ROR4計算 shellcode 的32位hash值。

報告顯示 SideWalk 後門收集類似的產出物(目標數據): –

*IP 配置

*操作系統版本

*使用者名

*電腦名稱

*檔名

*Current process ID

*Current time

中國對台灣的威脅早已跨入網路攻擊,攻擊對象從科技業、政府機關至油水電等民生基礎設施無所不在,因此近年來台灣的企業及政府部門對資安的意識也不斷提高,然而攻擊事件仍頻頻傳出,那麼該如何防範?根據美國的MITRE ATT&CK框架,旗下的Mitre Engage(Shield) ,企業應反被動為主動,改善作戰計畫,在防守者可防禦範圍之內,進一步控制對手,使用網路欺敵(Deception) 至關重要,透過亦真亦假的欺敵手段,來誤導對手,藉由隱瞞關鍵事實與虛構環境和系統,讓攻擊者無法分辨和評估,或繼續進行行動。縱深防禦不是一站式服務,企業必須具有欺騙能力才能實現主動防禦覆蓋。Mitre Engage強調的是,欺敵可以說是Mitre主動防禦方法的核心。

另外,積極修補系統弱點、佈署資安偵測防禦系統以及存取政策緊縮,仍是應對針對性攻擊的最佳實踐方式,除了減低被攻擊成功的機率,在事故發生時更能及早發現,降低損害與衝擊;而系統與檔案備份則是事故發生後唯一的善後方法

有關SideWalk後門的入侵指標(Indicator of compromise -IOCs):

SHA 256:

b732bba813c06c1c92975b34eda400a84b5cc54a460eeca309dfecbe9b559bd4

b3eb783b017da32e33d19670b39eae0b11de8e983891dd4feb873d6e9333608d

25a7c1f94822dc61211de253ff0a5805a0eb83921126732a0d52b1f1967cf079

SHA 1:

9d1940ed48190277c9d98ddbd7e4ea63ade5ceae

8c877f583dd1e317af4eb9e15c2d202f2f63e0d1

4c8194c94e25d51a062fab3e0a3edcec349fe914

MD 5:

7007877ec8545265722325231b434c79

5251b3f47b1ae8feb79642011b3a925b

Source:

https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayfly-china-sidewalk-malware

BlackMatter勒索軟體攻擊了日本的跨國企業 Olympus

日本Olympus在一份聲明中表示,正在調查上週影響其部分 EMEA(歐洲、中東、非洲)IT系統的網路安全事件,Olympus在全球擁有 31,000 多名員工,是一家跨國公司,專門銷售攝影設備、錄音設備和一系列科學和醫療技術,如超聲波和顯微鏡工具等。

據知情人士透露,Olympus在 9 月 8 日凌晨開始,發現了被感染的電腦上留下來自 BlackMatter 勒索軟體組織的勒索信。信中寫道:“您的網路已加密,目前無法運行,如果您付費,我們將為您提供解密程式。” 勒索信上還包括一個通過 Tor 瀏覽器訪問的網站的網址,根據資安公司Emsisoft的威脅分析師 Brett Callow,勒索信中的網站與 BlackMatter 組織有關,已知的是BlackMatter 使用該瀏覽器與受害者進行通訊。

BlackMatter 是一個相對較新的勒索軟體即服務(Ransomware as a Service; RaaS)組織,於 2021 年 7 月底浮出水面,被認為是 DarkSide 勒索軟體的更名(Rebrand)提供租用基礎設施(包含勒索軟體)的存取權限給其會員。根據研究人員在BlackMatter的一些攻擊後收集到的樣本,隨後得以證實 BlackMatter 勒索軟體的加密程式與 DarkSide 使用的自訂的程式相同。

BlackMatter的勒索信樣本

自BlackMatter出現以來,資安公司Emsisoft 已記錄了 40 多起歸因於 BlackMatter 的勒索軟體攻擊,相信實際的數字可能更多。BlackMatter 勒索軟體組織的操作與其他勒索軟體無異,通常會先從受害公司網路中竊取數據,再對其進行加密,如果受害公司不付贖金或談判破裂,就會威脅在暗網上發佈從受害公司盜來的數據和檔案。但目前在BlackMatter的揭秘網站上仍未看到有關Olympus 的頁面。

有關BlackMatter勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

51.79.243.236

206.188.197.206

Domain:

paymenthacks.com

SHA 1:

379ebd1eff6f8685f4ff72657626bf6df5383d87

72ed32b0e8692c7caa25d61e1828cdb48c4fe361

10d6d3c957facf06098771bf409b9593eea58c75

MD5:

ba375d0625001102fc1f2ccb6f582d91

a55bc3368a10ca5a92c1c9ecae97ced9

3f9a28e8c057e7ea7ccf15a4db81f362

SHA 256:

6a7b7147fea63d77368c73cef205eb75d16ef209a246b05698358a28fd16e502

e48c87a1bb47f60080320167d73f30ca3e6e9964c04ce294c20a451ec1dff425

2c323453e959257c7aa86dc180bb3aaaa5c5ec06fa4e72b632d9e4b817052009

注意了~REvil正式回歸!研究人員已發現REvil的最新樣本,最新害者只有6天時間與REvil聯繫進行談判

Key Points:

*Virus Total上已出現REvil的最新惡意樣本

*不僅伺服器重新上線,已出現最新受害者,被勒索60萬美元

*為何消失了兩個月,REvil稱他們只是放假去

9月8日REvil在暗網重新上上線,今天,捷克資安公司Avast的惡意軟體研究總監Mr. Kroustek表示, 在9月9日,在免費線上病毒分析服務平臺VirusTotal上,出現了一支的勒索軟體REvil最新的樣本(SHA-256: ab0aa003d7238940cbdf7393677f968c4a252516de7f0699cd4654abd2e7ae83)

此外,Mr. Kroustek也公開了有關REvil最新受室者的勒索信和贖金頁面的截圖,據了解,受害者系統的檔案已被加密成.qt1b68hi6e的副檔名。此次受害者有6天的時間決定是否付60萬美元的贖金,如逾時未付,則贖金會在9月16日漲價一倍,目前沒有看到有關受害在REvil支援的聊天室與其進行對話談判的資訊。

Photo Credit: Mr. Kroustek

此次回歸,REvil的勒索金額比以往低許多而引起熱議,過去REvil以勒索天價而臭名遠播,當中包括:

*日月光集團旗下子Asteelflash Group曾遭勒索2400萬美元

*Acer曾遭勒索5千萬美元

*廣達曾遭勒索5千萬美元

*美國JBS Food承認支付1100 萬美元

*Kaseya被REvil勒索7千萬美元

另外,根據DarkFeed取得REvil與某資安人員的對話,REvil的operator 表示,他們安然無恙 ,沈寂了2個月只是去休息 ,現在要重回工作, 從9月8日發現REvil的基礎建設重新啟動起,不到兩天已出現新的受害者,相信REvil的回歸值得我們持續的密切關注。

在消失兩個月後,REvil 勒索軟體的伺服器神秘地重新上線

今日較早時候,REvil勒索軟體操作的暗網伺服器在沈寂近兩個月後突然重新啟動,目前尚不清楚這是否標誌著REvil勒索軟體的回歸或是執法部門正在打開伺服器。REvil在美國 7 月 4日的國慶假期期間針對 Kaseya 伺服器的大規模勒索軟體攻擊,利用 Kaseya VSA 遠端管理軟體中的零時差漏漏洞對大約 60 家託管服務提供商(MSP) 及其 1,500 多家企業客戶進行加密,這一事件引起了白宮官員的高度注意,在Kaseya事件後,操作REvil 勒索軟體的幕後駭客進入了”休眠狀態”,關閉了包括其揭秘網站Happy Blog在內的基礎設施。當時,許多業內人表示REvil已經解散,並準備改頭換面,重新出發,試圖甩掉美國執法調查人員。

現在,根據Emsisoft資安公司的研究員Brett Callow的觀察,REvil的Happy Blog重新在暗網上上線。

據 Brett Callow 稱,REvil今年至少攻擊了 360 家美國組織,帶來了超過 1100 萬美元的收入, 當中包括對Acer、JBS Food、廣達電腦等的高調攻擊最熟為人知。

在撰寫本文時,REvil 在Happy Blog列出的受害者與REvil 在7 月 13 日關閉時列出的受害者相同。

此外,REvil 的支付入口網站(Payment portal) ,一個受害者被告知去與REvil談判的網站,也已在同一個暗網網址上恢復。目前,安全研究人員尚未發現新的 REvil 樣本,也尚不清楚 REvil是否也發起了新的攻擊。

Conti勒索軟體的會員借助 ProxyShell漏洞,攻擊 Microsoft Exchange伺服器,在不到一分鐘取得權限!

Conti 在攻擊中使用的工具

安全研究人員警告說,Conti 勒索軟體組織的會員(Affiliate) 正在利用Microsoft Exchange Server 中的ProxyShell漏洞來攻擊並破壞企業網路。ProxyShell實際上是由3個漏洞所串連的漏洞(CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207),分別屬於遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,它們同時影響Microsoft Exchange Server 2013、2016與2019,串連這些漏洞將允許駭客於系統上執行任意程式。

根據資安公司Sophos的觀察,攻擊以極快的速度發生,在一個事件回應案例中,研究人員在對攻擊進行分析後,發現Conti的會員用不到一分鐘就取得對目標網路的使用權限,在安裝了第一個 web shell 幾分鐘後,攻擊者便安裝了第二個 web shell。在不到 30 分鐘的時間內建立了一份完整份網路電腦、網域控制站和網域系統管理員的完整列表。僅僅四小時後,Conti的會員就取得網域系統管理員帳戶的憑證並開始執行命令。Sophos研究人員發現攻擊者在獲得存取權限後的 48 小時內竊取了大約 1 TB 的數據。五天後,他們將 Conti 勒索軟體部署到網路上的每台電腦,尤其針對它們的網路共用區。

在攻擊期間,Conti 的會員還在網路上安裝了不少於 7 個後門:兩個 web shell、Cobalt Strike 和四個AnyDesk、Aterta、Splashtop 和 Remote Utilities 的商用遠端存取工具。Cobalt Strike 和 AnyDesk 則是其餘攻擊的主要工具。這種作法迅速而高效率,因此安裝修補程式絕對是不可或缺的。

ProxyShell 和其他針對已知 Microsoft Exchange 漏洞的攻擊會帶來重大的風險。研究人員敦促使用 Microsoft Exchange Server的企業應盡快更新和修補伺服器的緊急建議。

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

135.181.10.218

SHA1:

59e2d227bf8499d1d28116f922925980774ebf96

Source: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/?cmp=30728

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中鏢!

竣盟科技在9月1日發現LockBit2.0的揭秘網站上,刊登了台灣某製造業的資料,根據描述,該公司為亞洲最大的成衣副料商之一,提供知名戶外運動品牌各種輔料及配件,根據受害公司的官網,其營業據點包含台北、台中、北京,在桃園,蘇州及越南也有設廠。操作LockBit2.0的背後駭客將於9月7日在其揭秘網站上發佈從該公司盜來的資料,但未有透露竊取的資料量和勒索贖金額。

LockBit 2.0勒索軟體最近異常的活躍

2021年6月,LockBit大改版升級為LockBit 2.0,瞄準的企業數量比以往更多,攻擊的地區和產業別也更廣泛,在受害企業中當中不泛一些國外資安媒體沒有報導的台灣鄰國,如日本、馬來西亞、星加坡、越南等,可見LockBit2.0對亞洲區不斷伸出毒手。

8月初IT顧問公司Accenture和近日泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心(ASCS) 在8月發布警報,已觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動。LockBit 2.0為了與其他勒索軟體即服務(Ransomware-as -a -Service;RaaS) 的競爭對手相比,新增了名為StealBit的竊密功能,將自己定位為當今加密最快、最有效率的勒索軟體,可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據。此外,LockBit 常利用被外洩的遠端桌面協定(RDP)或 VPN 賬戶進入企業內部網路。在7月份,BleepingComputer的報導中,指出研究人員已發現,LockBit 2.0能利用Windows 群組原則(Group Policy),自動感染 Windows 網域控制站旗下所有電腦的功能,不必額外寫程式碼進行勒索軟體部署,只要取得 Windows Server 網域控制器的存取權,勒索軟體就能夠在網域內傳播。LockBit 2.0在執行時,會自動産生新的群組原則設定檔,並能禁用 Microsoft Defender 的即時防護功能,以逃避檢測。

LockBit 2.0 攻擊過程(Photo Credit: Trend Micro)

另外,LockBit2.0的背後駭客為了提高他們的形象並吸引更多的會員(Affiliate),其發言人“LockBitSupp”在最近接受了俄羅斯OSINT的 YouTube 頻道採訪,在採訪過程中,不斷讚揚他們的營運計劃,並表示每筆贖金的 80% 是用來支付給會員的。LockBitSupp 還進一步表示,他們會持續研發、改進惡意軟體和其他工具,使攻擊不僅更快,而更自動化。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a