News - 竣盟科技

注意了! 繼去年四月的攻擊後，新的一波 QLocker勒索軟體再度針對 QNAP NAS 設備發動攻擊!!

Posted on 2022 年 1 月 18 日2022 年 1 月 18 日 by blogadmin

專家警告稱，新一波Qlocker勒索軟體針對全球的 QNAP NAS 設備來襲，新的攻擊活動於 1 月 6 日開始，發現駭客在受感染的設備上放置名為 !!!READ_ME.txt 的勒索信。回顧去年5 月，台灣供應商威聯通QNAP警告其客戶更新在其網路附加存儲 (NAS) 設備上運行的 HBS 3 災難恢復應用程式，以防止 Qlocker 勒索軟體感染。

自2021年 4月19日那週開始，駭客大規模勒索軟體活動中針對 QNAP 的客戶，在破壞他們的 NAS 設備後，透過名為Qlocker的勒索軟體將檔案加密，檔案的副檔名全部變成7Z。QNAP 警告說，攻擊者正在利用 HBS 3 Hybrid Backup Sync 應用程式中寫死在韌體的硬式編碼漏洞CVE-2021-28799入侵用戶的設備並加密他們的檔案。

根據勒索軟體識別服務 ID-Ransomware的創建者Michael Gillespie提供的統計數據，這些攻擊於去年4月20 日首次被發現，感染數量每天飆升至數百次。一旦勒索軟體感染了設備，它會將 NAS 上的所有文件移動到受密碼保護的7Z 檔案中，並要求支付 550 美元的贖金，並刪除snapshots以防止從備份中恢復數據，並在每個受影響的檔案夾中放置的勒索信（名為 !!!READ_ME.txt）。勒索信中包含通過 Tor 站點與Qlocker勒索軟體操作者取得聯繫的說明。

據BleepingComputer報導，2022 年 1 月 6日出現了新版本的 QLocker 勒索軟體稱為 QLocker2，並將舊的Qlocker勒索軟體稱為 QLocker1。目前還不確定，QLocker2與原始版本有什麼不同，但據悉用戶在感染後無法連接到 NAS。勒索信還包括 Tor 站點地址 ( gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion )，受害者會被提示存取以獲取有關他們需要支付多少費用才能重新存取其檔案的有關的資料。自這一系列新的 Qlocker 攻擊開始以來，BleepingComputer 看到的 Tor 受害者頁面顯示贖金在 0.02 到 0.03 比特幣之間即$840-$1300 美元。

不幸的是，不論Qlocker 1 或Qlocker 2並不是唯一針對 QNAP NAS 設備的勒索軟體，QNAP 去年還通知客戶保護他們的設備免受Agelocker 和eCh0raix勒索軟體的攻擊。

本月早些時候，QNAP 還建議其客戶通過停用路由器上的端口轉發和機器上的 UPnP 功能來保護其連接 Internet 的 NAS 系統免受持續的勒索軟體和暴力攻擊。

您可以檢查NAS 並按照建議配置系統設置，以更好地保護您的設備並保護您的數據:

*刪除未知或可疑帳戶。

*刪除未知或可疑的應用程式。

*在 myQNAPcloud 中禁用自動路由器配置並設置設備訪問控制。

*禁用路由器上的端口轉發，使用 myQNAPcloud Link 或 QVPN 服務進行遠端連接。

*如果 NAS 直接連接到 Internet，請更改系統端口號。

*安裝並運行最新版本的 Malware Remover。

*更改所有帳戶的密碼。

*將已安裝的 QTS 應用程式更新至最新版本。

*將 QTS 更新到最新的可用版本。

*安裝 QuFirewall。

美國聯邦貿易委員會：立即修補 Log4j 漏洞否則將面臨巨額罰款

Posted on 2022 年 1 月 6 日2022 年 1 月 6 日 by blogadmin

美國FTC今天在一篇關於嚴重安全漏洞Log4Shell的blog文章中警告說，未能保護消費者數據免受 Apache Log4j漏洞攻擊的公司有面臨法律訴訟和罰款的風險，FTC同時提到 2017 年 Equifax 因未修補漏洞以及其隨之而來的法律後果。

美國聯邦貿易委員會 (Federal Trade Commission -FTC)週二警告美國公司，如果他們的客戶受到涉及Log4j漏洞利用的攻擊的影響，他們可能會面臨法律訴訟。FTC 以 Equifax 為例，強調Equifax是三大信用報告機構之一，該公司未能在 2017 年修補已知的 Apache Struts漏洞後，導致 1.47 億消費者的敏感資訊洩露，當時美國聯邦貿易委員會和其他政府機構提出控告，該公司隨後同意支付 7 億美元達成和解。

FTC 表示，採取合理措施緩解已知軟體漏洞的責任涉及法律，其中包括《聯邦貿易委員會法》和《Gramm Leach Bliley法》，至關重要的是，使用日誌框架Log4j的公司及其供應商立即採取行動，以減少對消費者造成傷害的可能性，並避免 FTC 採取法律行動。

FTC 建議企業遵循 CISA 關於緩解Log4j 漏洞的指導：

*將Log4j 軟體包更新至最新的版本：https ://logging.apache.org/log4j/2.x/security.html

*參閱 CISA 指南以緩解此漏洞

*確保採取修補措施，以確保貴公司的做法不違反法律，未能識別和修補此軟體的實體可能違反 FTC 法案

*將有關漏洞的資訊分發給可能容易受到攻擊的第三方和消費者。

FTC 發出警告之前，微軟本週也警告稱，Log4Shell漏洞對企業來說仍然是一個複雜且高風險的情況，並補充說在2021年 12月的幾個星期間，嘗試利用漏洞和測試仍然很頻繁。由於許多受影響的軟體和服務，以及更新的速度緩慢，預計企業需要花很長時間才能補完漏洞，並需要持續保持警戒。

美國CISA發布”Log4j-Scanner”掃描工具以識別受 Apache Log4j漏洞影響的Web服務;美國CISA、FBI、國安局和五眼聯盟同時發布旨在減緩 Log4Shell攻擊的指南

Posted on 2021 年 12 月 23 日2021 年 12 月 23 日 by blogadmin

美國網路安全及基礎設施安全局（CISA）發布了一個開源的掃描工具(Scanner)，企業可以使用它來查找易受Log4j漏洞CVE-2021-44228 和 CVE-2021-45046 攻擊的Web 服務，名為Log4jScanner的掃描器在Github存儲庫上，為log4j 遠端程式碼執行漏洞（CVE-2021-44228 和 CVE-2021-45046）提供了掃描解決方案，Log4j-scanner是CISA的快速行動小組和開源社區的成員衍生出來的一個項目，該存儲庫中的資訊和程式碼是“按原樣”提供的。

CISA 在log4j-scanner 的項目頁面上強調了以下功能：

*支援lists of URLs

*對 60 多個 HTTP Request Headers進行模糊測試

*對 HTTP POST 數據參數進行模糊測試

*對 JSON 數據參數進行模糊測試

*支援用於漏洞發現和驗證的 DNS callback

*繞過WAF的有效載荷

同時，網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、國家安全局 (NSA)、澳洲網路安全中心 (ACSC)、加拿大網路安全中心 (CCCS)、新西蘭電腦危機處理應急小組(CERT NZ)、新西蘭國家網路安全中心 (NZ NCSC) 和英國國家網路安全中心 (NCSC-UK) 發布了聯合諮詢，以提供有關解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 的Log4j漏洞緩解指南。“CISA 主任Jen Easterly聲明中說，Log4j 漏洞對世界各地的組織和政府構成了嚴重且持續的威脅；我們懇請所有實體立即採取行動，實施最新的緩解指南，以保護他們的網路。”

據了解，指南側重於保護面向 Internet 的設備和系統免受與 Log4Shell 相關的攻擊。然而， Java 在 IT 和 OT 系統中也無處不在，未分段的網路存在入侵者在系統之間橫向移動的風險。該警報警告組織將任何使用 Log4j 的產品視為可疑產品，並保留詳細的修補記錄以監控異常行為。

CISA、五眼聯盟評估對這些漏洞的利用，尤其是 Log4Shell，可能會持續增加並

維持很長一段時間，它們強烈敦促所有組織應用這些建議，以識別、減輕和更新受影響的資產。

Apache軟體基金會釋出Log4j 的2.17版為目前最新的修補，建議使用Log4j框架者立即下載更新。

有關Apache Log4j重大的漏洞 Log4Shell的更新的入侵指標(Indicator of compromise -IOCs):

Hostname:

agent.apacheorg.xyz

URLs:

http://agent.apacheorg.xyz:1234/v

http://93.189.42.8/kinsing

http://92.242.40.21/lh2.sh

http://82.118.18.201/kinsing

http://45.137.155.55/kinsing2

http://45.137.155.55/kinsing

http://80.71.158.44/kinsing

http://198.98.60.67/lh.sh

http://185.250.148.157:8005/index

SHA 256:

f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc

e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82

bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b

bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2

95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512

SHA1:

f568eb59fd37b2fe37db730292594d875d3a11e8

c927738922b87802cc75697dd99dd8c7d8cfdf1e

b21aa1107ecc79f4ad29f68a026a02e2abc952ef

9edd5d86fbb0236625c1c533e85d2fe76901979f

8d692f73e5b6c3309568a3f488a93f8685c6661a

8611063eefa5cc2bbec29870fb56779192eed454

82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4

其他相關Log4j的報導:

專家警告說，駭客火力全開積極利用第二個Log4j的漏洞，然而第三個漏洞也出現了!

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施

專家警告說，駭客火力全開積極利用第二個Log4j的漏洞，然而第三個漏洞也出現了!

Posted on 2021 年 12 月 17 日2021 年 12 月 28 日 by blogadmin

資安公司 Cloudflare 警告說，攻擊者正積極嘗試利用第二個Log4j的漏洞(CVE-2021-45046， CVE-2021-45046 的 CVSS 得分為 3.7，影響從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0（已發布以修補 CVE-2021-44228）的 Log4j 版本。可使攻擊者有進行分散式阻斷服務攻擊(DDoS)，建議用戶必須迅速採取行動安裝最新版本，因為一連串的攻擊繼續攻擊未修補的系統各種惡意軟體。

Cloudflare認為即使之前已經更新到 2.15.0的 Log4j 版本，現在也應該盡快更新到 2.16.0 版本。2.16.0版本取消對訊息查找模式的支援並默認禁用 JNDI 功能來解決 CVE-2021-45046。

但更令人不安的是，緊隨 CVE-2021-45046 之後，根據資安公司 Praetorian 的研究人員警告說，發現2.15.0的 Log4j 版本中存在第三個單獨的安全漏洞，該漏洞可以在某些情況下洩露敏感數據。該漏洞的其他技術細節已被保留以防止進一步利用，但目前尚不清楚這是否已在 2.16.0 版中解決。目前Praetorian已將該問題的技術細節滙報給Apache軟體基金會。

全球基礎設施持續受到攻擊，已記錄了超過180 萬次嘗試Log4j 漏洞的利用，微軟研究人員報告說，來自中國、伊朗、北韓和土耳其的國家級駭客正在他們的活動中濫用Log4J的Log4Shell漏洞 (CVE-2021-44228)。據了解，一些利用該漏洞的組織是與中國有關的 Hafnium駭客組織和與伊朗有關的 Phosphorus駭客組織，前者利用該漏洞攻擊虛擬化基礎設施，後者部署勒索軟體。

微軟專家還表示，多個訪問代理已經開始使用 Log4Shell 漏洞來獲得對目標網絡的初始訪問權限，然後將其出售給勒索軟體即服務的附屬公司。

微軟專家還表示，多個access broker駭客服務業者已經開始使用Log4Shell漏洞來獲取對目標網路的初始存取權，然後將其出售給勒索軟體附屬會員。

專家建議立即安裝 Log4j的2.16.0 版本

其他相關Log4j的報導:

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門， CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

Posted on 2021 年 12 月 15 日2021 年 12 月 15 日 by blogadmin

隨著 Log4j攻擊活動的增加，CrowdStrike週二表示，觀察到有一個伊朗國家級的駭客組織NEMESIS KITTEN正瞄準Log4Shell漏洞並部署到一個可以由伺服器觸發Log4j的類檔，另外Bitdefender 也表示，其研究人員已經觀察到攻擊者試圖利用該漏洞來分發名為Khonsari的新型勒索軟體。此攻擊涉及使用惡意 .NET 檔，該檔案一旦執行，就會列出易受攻擊系統上的所有硬碟，並對除C槽之外的所有硬碟進行加密，然而會在C槽中加密特定的檔案夾，包括文檔、視頻和下載。除了勒索軟體，Bitdefender還觀察到攻擊者試圖在企業網路的易受攻擊系統上部署一種名為 Orcus 的已知遠端存取木馬（RAT）。Bitdefender進一步說，攻擊者使用這種技術在系統中站穩腳跟，在這些易受攻擊的伺服器上部署反向Bash shell相對簡單，並且很可能在未來進行更全面的攻擊。

與此同時，物聯網安全供應商 Armis 發現目標設備（上圖）的種類涵蓋各種設備，攻擊活動針對伺服器佔 42%，虛擬機佔 27%，連接互聯網的攝像機佔 12%。Armis 還發現了針對 HMI 面板和控制器等製造設備以及考勤系統的攻擊企圖。

據Check Point的研究，試圖利用該漏洞的攻擊數量持續上升，從 12 月 11 日的 40,000 次攻擊到 12 月 13 日的超過 800,000 次攻擊，用於利用該漏洞的變種數量也增加到60個。對於攻擊者來說，該漏洞提供了一個幾乎前所未有的機會，可以嘗試攻擊和破壞全球數十億台設備。Akamai 是跟踪攻擊活動的幾家供應商之一，週二表示，它已經觀察到多個變體試圖以每小時250,000個漏洞利用請求的持續攻擊量來利用該漏洞。Akamai 表示，迄今為止，超過 50% 的攻擊來自已知的威脅行為者，並且新的漏洞利用變體的發展速度是前所未有的。

由於攻擊的數量加上漏洞的嚴重性，促使美國國土安全部的網路安全和基礎設施局(CISA)發出多次警告，並下令所有聯邦機構在 12 月 24 日之前完成修補漏洞。Log4j的2.15.10版本中的修補程式解決了常見漏洞和披露資料庫中已知的 CVE-2021-44228 漏洞。CISA 指出，要修補使用受影響版本的 Log4j 的產品和服務中的漏洞，這些產品和服務的維護人員必須實施此安全更新。該機構敦促供應商立即識別、緩解和修補受Log4j影響的產品，將包含該漏洞的產品告知最終用戶，並強烈敦促他們優先考慮軟體更新。據了解，如果無法更新，在 Log4j 配置中將log4j2.formatMsgNoLookups 選項設置為true也可以防止漏洞利用。

另外，如果您想查看資安供應商的產品是否仍然是易受攻擊，或使用易受攻擊版本的Log4j，或已完成修補，可參考以下連結:

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

有關Log4j漏洞的Indicators of Compromise (IOCs):

Hostname:

vyvdsvh.x.i.yunzhanghu.co

lnc7vvhztmjdfm221sdp76xnze5atz.burpcollaborator.net

jjug8i.xaliyun.com

e86eafcf9294.bingsearchlib.com

4568-3409-8076-3389.service.exfil.site

3be6466b6a20.bingsearchlib.com

0384eb5a.probe001.log4j.leakix.net

SHA 256:

fe98548300025a46de1e06b94252af601a215b985dad31353596af3c1813efb0

e20806791aeae93ec120e728f892a8850f624ce2052205ddb3f104bbbfae7f80

c38f0f809a1d8c50aafc2f13185df1441345f83f6eb4ef9c48270b9bd90c6799

c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a

c154d739cab62e958944bb4ac5ebad6e965a0442a3f1c1d99d56137e3efa8e40

b55ddbaee7abf1c73570d6543dd108df0580b08f730de299579570c23b3078c0

a3f72a73e146834b43dab8833e0a9cfee6d08843a4c23fdf425295e53517afce

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

776c341504769aa67af7efc5acc66c338dab5684a8579134d3f23165c7abcc00

6a8965a0f897539cc06fefe65d1a4c5fa450d002d1a9d5d69d2b48f697ee5c05

63d43e5b292b806e857470e53412310ad7103432ba3390ecd4f74e432530a8a9

6370939d4ff51b934b7a2674ee7307ed06111ab3b896a8847d16107558f58e5b

3f6120ca0ff7cf6389ce392d4018a5e40b131a083b071187bf54c900e2edad26

19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d

0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049

IPv4:

80.71.158.12

45.137.155.55

109.237.96.124

URL: http://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=

MD5:

648effa354b3cbaad87b45f48d59c616

6cead82e17c2dacbb83998cfe3841704

550f9f929bcb99aeaa3821779d8dea62

40e3b969906c1a3315e821a8461216bb

3dfbe75871e218d08328a01c56e1bb42

1db40b7e18cf228169d2f5d73bf27ef7

1348a00488a5b3097681b6463321d84c

日誌框架Log4j被曝核彈級漏洞，已出現攻擊行動，波及範圍廣泛，需儘速採取緩解措施

Posted on 2021 年 12 月 14 日2021 年 12 月 14 日 by blogadmin

上周末，被全球企業、組織應用到不同網路服務的日誌框架Apache Log4j曝出一個重大風險漏洞，名為Log4Shell( CVE-2021-44228)，影響包括Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft、Cloudflare、ElasticSearch、Red Hat、Twitter、百度、騰訊等科技公司和大型網站，Apache Log4j是一個基於Java的紀錄檔記錄工具，保存執行活動的過程，方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄，使得Log4j這類受歡迎的日誌框架影響廣泛。據了解，攻擊者只需傳送一則特殊的訊息到伺服器（含$的字串）就能觸發漏洞，遠端執行任意程式碼來控制目標伺服器，已出現攻擊行動的情況，漏洞波及面和危害程度均堪比2017年的永恆之藍(Eternal blue)漏洞，Apache軟體基金會也將Log4j漏洞的嚴重程度，評為最高的10分，任何人都可以從存在該漏洞的服務獲得電腦的完整存取權限。

事件時間軸：

11月24日，開源日誌資料庫Log4j的一個遠端程式碼執行（remote code execution，RCE）漏洞CVE-2021-44228被提交。

12月7日上午，Apache釋出了2.15.0-rc1版本更新。

12月9日晚，漏洞的利用細節被公開，影響範圍幾乎橫跨Log4j整個版本（從2.0到2.14.1-rc1）。

當大家紛紛升級到2.15.0-rc1之後發現，該修補依然可以被攻擊者繞過。

12月10日凌晨，Apache Log4j2緊急更新了2.15.0-rc2版本。

聯邦網路安全和基礎設施安全局 (CISA) 主任 Jen Easterly 在一份聲明中表示：這一漏洞正被越來越多的攻擊者廣泛利用，鑑於其廣泛使用，對網

路防禦者提出了緊迫挑戰。該漏洞已經影響到 Apache Log4j 的 2.0 到 2.14.1 版本，建議組織盡快更新到 2.15.0 版本。

Photo Credit : GovCert.ch

Log4Shell 漏洞出於 Log4j 裡有一個JNDI Lookup 功能，它是用來在執行階段對日誌中的文字紀錄進行加工後輸出，這本來在分析系統問題時很有用，不過同時也可以讓攻擊者有機可乘，例如刻意輸入下載軟體來執行的文字讓日誌記錄下來，就可以遠端執行任意程式碼。受影響的 Log4j 版本由 2.0 – 2.14 ，雖然版本 1.0 也受影響，不過由於版本 1.0 沒有「 JNDI Lookup 」功能，所以就無法執行惡意程式碼。故資安公司Cybereason認為只要關掉「 JNDI Lookup 」功能，就可緩解漏洞的影響，並推出名為Logout4Shell的疫苗程式。它的原理就是利用「 Log4Shell 」漏洞注入程式去修改 Log4j 的設定，關閉「 JNDI Lookup 」功能。

Cybereason 聯合創辦人兼首席技術官 Yonatan Striem-Amit 表示，雖然更新到最新版本的 Log4j 無疑是最好的解決方案，但修補通常很複雜，需要一個發布週期和測試週期。許多公司發現很難去部署緊急修補，故Logout4Shell“疫苗”本質上為安全團隊爭取了一些時間，因為他們正在努力推出修補。他說，該修補程式禁用了該漏洞，並允許組織在更新伺服器時保持受到保護。

有關Log4j漏洞的IOCs:

Hostname: log.exposedbotnets.ru

URL: http://62.210.130.250:80/web/admin/x86_g

http://62.210.130.250/lh.sh

http://45.130.229.168:9999/Exploit.class

http://62.210.130.250:80/web/admin/x86

IPv4:

159.89.182.117

45.130.229.168

210.141.105.67

MD5:

d4cf8e4ab26f7fd15ef7df9f7937493d

f6e51ea341570c6e9e4c97aee082822b

ceb9a55eaa71101f86b14c6b296066c9

c717c47941c150f867ce6a62ed0d2d35

1718956642fbd382e9cde0c6034f0e21

Domain:

nazi.uy

台灣網路設備供應商威聯通QNAP警告，比特幣礦工正針對其NAS設備發動攻擊

Posted on 2021 年 12 月 8 日 by blogadmin

台灣網路設備供應商威聯通(QNAP) ， 12 月 7 日在其網站發布安全公告(Advisory)，警告用戶一種新的加密挖礦惡意軟體正針對其網路附加儲存設備 (NAS)。

QNAP沒有分享有關設備如何被入侵的任何資訊，但表示一旦 NAS 被感染，CPU 使用率會變得異常的高，據了解，其中名為[oom_reaper]的進程將挖礦比特幣，該進程更會佔總 CPU 使用率的 50% 左右。QNAP進一步表示，在運行時該進程更會模仿成一個核心進程，但它的 PID 通常高於1000 。據信攻擊活動中使用的挖礦似乎缺乏持久性機制，這意味著重新啟動設備可刪除惡意軟體。

現階段QNAP正在調查有關感染的過程，並呼籲客戶採取主動措施應對攻擊，例如更新其設備的操作系統（稱為 QTS 或 QuTS）和所有 QNAP 附加應用程式。

此外，該公司還告訴用戶更改他們所有的 NAS 帳戶密碼，因為它不確定攻擊者是否利用了漏洞，或是暴力破解了使用弱密碼的連接互聯網的QNAP系統。

QNAP建議客戶，如懷疑他們的 NAS 感染了這個比特幣礦工的惡意軟體，應重新啟動他們的設備，以刪除惡意軟體。

QNAP 還建議客戶採取以下措施來保護他們的設備：

*將 QTS 或 QuTS hero 更新到最新版本。

*安裝 Malware Remover 並將其更新到最新版本。

*為您的管理員和其他用戶帳戶使用更強的密碼。

*將所有已安裝的應用程式更新到最新版本。

*不要將您的 NAS 暴露在互聯網上，或避免使用default的系統端口443 和 8080。

在過去幾年中，Muhstik、 Qlocker、eCh0raix和 AgeLocker等勒索軟體亦曾針對 QNAP 設備，駭客可以存取客戶的NAS 系統，加密用戶數據，然後索要小額贖金。雖然加密挖掘惡意軟體比較少見，但以前也曾發生過。在 2020 年底和 2021 年初，QNAP NAS 設備成為Dovecat 加密挖礦惡意軟體的目標，該惡意軟體濫用弱密碼在QNAP系統上獲得切入點。

不明駭客在日本電子巨頭松下的內部停留達快5個月，Panasonic始於雙十一發現系統被入侵

Posted on 2021 年 11 月 30 日2021 年 11 月 30 日 by blogadmin

日本企業集團松下(Panasonic)在11 月 26 日的新聞稿中表示，發現其內部網路在11 月 11 日被第三方非法存取，並證實檔案伺服器(File server)上的一些數據在入侵期間被存取過。

根據日本媒體每日新聞、NHK和Security Next報導，松下遭受了約五個月未被發現的入侵，入侵行為實際上始於 6 月 22 日，在11 月 3 日結束。松下於 11 月 11 日首次檢測到系統曾被入侵，被入侵的伺服器上存儲了有關客戶、員工的詳細資料、Panasonic 的技術文件和業務文件等，目前松下尚未確認哪些數據已被盜，也不清楚駭客的身份。這不是松下第一次成為駭客組織的目標，松下印度子公司在 2020 年遭受了數據盜外洩和勒索，數據於 2020 年 10 月被盜，贖金為 50 萬美元，松下沒有付款，攻擊者隨後在 11 月發布了 4 GB 的公司數據。

資安公司Netenrich Inc.的首席威脅研究員John Bambenek，表示但最初的入侵發生在6月，直到11月才被發現，這一事實表明，該公司落後於攻擊者，Bambenek認為入侵行為需要在幾小時內被發現，而不是幾個月後。

在2021年，曾遭受網路攻擊的日本大型科技公司包括:

*Olympus的歐洲分公司在 2021年9月份遭到BlackMatter勒索軟體攻擊，10月份其美洲分公司又被網攻。

*2021年9月底，日本跨國電子企業JVC KENWOOD遭Conti入侵， 1.5TB 數據被竊，並遭勒索700 萬美元

*2021年6月，日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊，關閉系統，斷開與外部連線

*2021年5月，日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取，造成政府機構的數據外洩，包含日本外交部，交通部，內閣網路安全中心，和成田機場等現已經暫停使用該平台。

研究人員在華為的AppGallery中發現了190 多款包含Android.Cynos.7.origin木馬的遊戲，約930萬部Android手機受感染

Posted on 2021 年 11 月 25 日2021 年 11 月 25 日 by blogadmin

大約930個 Android木馬偽裝成190多個不同的應用程式，上架在華為 AppGallery，並已被大量下載作，成為大規模惡意軟體活動。俄羅斯防毒公司Dr. Web的報告，已將該木馬識別為Android.Cynos.7.origin，用途在收集的用戶敏感數據，該木馬程式為 Cynos惡意軟體的變種。

目前Dr.Web已經將此發現和報告通報給華為，並協助華為從他們的AppGallery中刪除了檢測到的應用程式，但在Android手機上已安裝應用程式的用戶還是需要手動進行刪除。

據了解在Android應用程式中，攻擊者將他們的惡意軟體偽裝成模擬器、街機遊戲、平台遊戲、RTS 策略遊戲以及分別為俄語、中文與國際用戶推出的射擊遊戲，受惡意軟體感染的熱門遊戲包括 Drive school 或 Cat Adventures等。在安裝這些應用程式後木馬的攻擊性就顯現出來，例如它會請求允許執行與遊戲無關的活動，撥打電話、偵測使用者位置等。該惡意軟體還允許攻擊者竊取以下數據：

電話號碼

地理位置數據

WiFi 網路的詳細資訊

行動網路參數和標識符

電話硬體和軟體規格

Dr.Web研究人員說，乍一看，手機號碼外洩似乎是一個微不足道的問題。然而，實際上，它會嚴重傷害用戶，特別是考慮到兒童是遊戲的主要目標受眾。即使手機號碼是成人註冊的，但從下載的遊戲也很可能表明孩子是實際使用手機的人。值得思考的是，父母是否希望上述手機數據不僅傳到未知的外國伺服器，或發送到任何外人上。

此處提供了Dr.Web 歸類為感染了Cynos惡意軟體版本的所有遊戲

入侵指標(Indicator of compromise -IOCs):

URL | App name | Package name | SHA-1

http://appgallery.huawei.com/#/app/C102937601 | 3D City Hunting | com.sns.csls3d.huawei | 8b1de0c1fdea45ff8f4ae250307c0a8f69c3d426

http://appgallery.huawei.com/#/app/C103277985 | 3D Cartoon man Parkour | com.szlh.zhebushikualan.huawei | f70f195fd9deffbde2ee812c93b327d07e18443f

http://appgallery.huawei.com/#/app/C103662071 | 3D City Wild Racing | com.zjld.tejimotuoche.huawei | fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d

http://appgallery.huawei.com/#/app/C104481373 | 3d Man action run | com.zjld.zbsklmar.huawei | e6024ce99966f4ecaff0efdae7781d9d448b2c79

http://appgallery.huawei.com/#/app/C104633441 | Ace of sky hero | com.hsrj.zhandoujiash.huawei | e5ed0eda9513f41b5c9ebd7b14529180a4e5d822

http://appgallery.huawei.com/#/app/C104684815 | Acrobatics diving training | com.zjld.xytsadt.huawei | d4c1b4b2a65279b768338f2c0d12b695572b101b

http://appgallery.huawei.com/#/app/C103622351 | Adventures of Magical Girl | com.yly.mengdongjielong.huawei | 532b2d05f528ee68a1f89d02fa2477a8fac7c88b

http://appgallery.huawei.com/#/app/C104374449 | Airplane master | com.hxy.fzfjam.huawei | fec03ced8741a8241fcb5f272ede566a634ba539

http://appgallery.huawei.com/#/app/C103616693 | All-Star Basketball Championship com.cchl.guanlandazuozhan.huawei | f4b9517b19f8c4cee7295f653dca4af8f9e62a13

http://appgallery.huawei.com/#/app/C103768237 | almighty carry company | com.ccsk.quannenglaosiji.huawei | d4a1e722adda57f72f9daafdfd338630b48ae55f

http://appgallery.huawei.com/#/app/C104284813 | Ancient escape | com.yly.ywscae.huawei | 5599dfea0b274e4edbfdabad72d68e271b99e72d

http://appgallery.huawei.com/#/app/C103895857 | Anti-terrorism actions | com.xstk.csata.huawei | aeb5f642538bfdf6b2a8eb5cf3214035a634506f

http://appgallery.huawei.com/#/app/C103562987 | Anti-terrorist police battle | com.sns.qingsongduobi.huawei | b1112a4847c4006f126f0a5ab08b191df039adb7

http://appgallery.huawei.com/#/app/C103623983 | Ants survive in the wilderness | com.cchl.mayishengcunmoniqi.huawei | fb1b5402a51ebc00b17670d6e6b49dba28d36704

http://appgallery.huawei.com/#/app/C103171043 | Armed air attack at sea | com.zjld.jisulingyun.huawei | f05119b12fc28aca89f48b5a939d6e1928c04bc6

http://appgallery.huawei.com/#/app/C103562027 | Armed escort prisoners | com.hs.wuzhuangyajieqiufan.huawei | 7bf6516b2176363de9d7a7993445ede9f697260d

http://appgallery.huawei.com/#/app/C104457167 | Armed shooting raid | com.hxy.csasr.huawei | c4f1405bba22826a69e94ef20763cb664bc3b44c

http://appgallery.huawei.com/#/app/C103233993 | Armed zombie Tower Defense | com.cchl.baoweixiangrikui.huawei | c30291b34ec74128196612b0a80034424de2ea67

http://appgallery.huawei.com/#/app/C104338383 | Army car transport prisoners | com.sns.wzyjqfactp.huawei | f56151b7fd4096f73574717075f6c08e32ff4765

http://appgallery.huawei.com/#/app/C104661821 | Assassination Sniper | com.xstk.yjbzas.huawei | fca6cb15168ac7b256da4bbb442cf93050981b61

http://appgallery.huawei.com/#/app/C104338933 | Assassination time 3D | com.hsrj.yjbzat.huawei | 78e48efac48d7ed9ea53a7a7df294da0a97de066

http://appgallery.huawei.com/#/app/C104143713 | Battle of tanks | com.zjld.xintankebot.huawei | c80fee5ffccf9ce85ff15b7d085d700ae70aef98

http://appgallery.huawei.com/#/app/C104694107 | Battlefield assault team | com.yly.csbat.huawei | 4a4abab1e69ef629c1c622fd3be280c013e4e9fd

http://appgallery.huawei.com/#/app/C104173375 | Beach ambulance | com.hsrj.htjydba.huawei | b860d5303d8921fed08c5e374483ac127ee2385e

http://appgallery.huawei.com/#/app/C104735997 | Beach Emergency team | com.cchl.htyjxz.huawei | b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1

http://appgallery.huawei.com/#/app/C104516919 | Beach rescue driving | com.sns.htjydbrd.huawei | 38ab82696f45fdf52c04d3ba760e8b752b07df6d

http://appgallery.huawei.com/#/app/C104151447 | Beat the buddy | com.szlh.mtcrbtb.huawei | a4dbe44e0cbef5db32651050189848e9207e28ed

http://appgallery.huawei.com/#/app/C103162445 | Brave Ninja saves Princess | com.zjld.jiantoudaren.huawei | 1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb

http://appgallery.huawei.com/#/app/C104859673 | Bumper Car Arena | com.hsrj.debibca.huawei | 81ae7a0fac2f385b2984669356d92cf7e807fbb7

http://appgallery.huawei.com/#/app/C104621857 | Busy road driving | com.cchl.jyztcbrd.huawei | 7795827b9feb3e6d8a86f30a48686d3fe816ab30

http://appgallery.huawei.com/#/app/C104276919 | Car battle ground | com.xstk.kbphwcng.huawei | 6c748786e3d18321b7e2f6c64b578ecb310d5b82

http://appgallery.huawei.com/#/app/C103920731 | Car destruction war | com.yly.kbphwcdw.huawei | 195bad41d7c0cee3a388ec072353e9b62c923c67

http://appgallery.huawei.com/#/app/C103920329 | Car drive master | com.zjld.jcddcdm.huawei | 664e47cebb0464339d5e75efb4279c1fa86e131a

http://appgallery.huawei.com/#/app/C103955065 | Car merge shooting | com.szlh.xxlpdcms.huawei | f57efc2ee390c43d42dde0e6dde81a2c5dd1958b

http://appgallery.huawei.com/#/app/C104402277 | Car shooting defend war | com.yly.xxlpdcsdw.huawei | 6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72

http://appgallery.huawei.com/#/app/C104114723 | Cat adventures | com.hxy.xmlxjca.huawei | 18558dca2734d6b098d91d570e0ca13623e0a851

http://appgallery.huawei.com/#/app/C104415377 | Cat cute diary | com.szlh.xmlxjccd.huawei | aa2f1784fe24b564fdeb577a340d439661db1571

http://appgallery.huawei.com/#/app/C103823729 | Cat game room | com.hs.xiaomaolixianji.huawei | 79ddb48ac25eb392c9e92dc44d32bbc522e19fae

http://appgallery.huawei.com/#/app/C104429049 | City car parking test | com.sns.jyztcccpt.huawei | 30abca107e63b3858bc661f27e2ab56ee3fbb471

全球最大網站代管暨網域名註冊商GoDaddy遭駭，WordPress逾120萬筆個資受影響

Posted on 2021 年 11 月 23 日2021 年 11 月 23 日 by blogadmin

GoDaddy 週一(11/22)表示，一名駭客獲得了其代管服務WordPress超過 120 萬客戶個資的存取權，並向美國證券交易委員會提交了文件，GoDaddy證實於11 月17 日發現其代管的WordPress環境遭入侵，根據隨後的調查發現，入侵者早在9 月6 日就已在存取其內部的客戶數據，表示駭客存取其伺服器長達兩個多月，據悉，入侵者使用洩露的密碼存取了GoDaddy託管的WordPress舊的原始碼庫中的配置系統。WordPress 是一種基於 Web 的內容管理系統，數百萬人使用它來建立部落格或網站，GoDaddy 代管在他們的伺服器上WordPress。

根據目前的調查證據，駭客獲得了以下資料及GoDaddy的應對：

*其代管服務WordPress的平台上，多達120 萬的活躍和不活躍的客戶的電子郵件地址和客戶編號遭外洩。僅表示電子郵件地址的暴露存在網路釣魚攻擊的風險。

*GoDaddy 在建立站點時向客戶發放的原始 WordPress 管理員密碼。如果這些憑證仍在使用中，我們將重置這些密碼

*活躍客戶的sFTP 和數據庫用戶名和密碼被洩露。我們重置了密碼

*一部分活躍客戶的 SSL 私鑰遭公開。我們為這些客戶頒發和安裝新的 SSL證書

GoDaddy目前仍在調查入侵者的身份，正在通知受影響的客戶。GoDaddy在去年5月也曾遭入侵，當時提醒客戶，網站代管的28,000 個客戶帳號遭不明人士透過SSH存取。