竣盟科技 - Billows 技術/情資訊息分享

美國CISA和FBI警告惡意軟體AndroxGh0st攻擊Laravel和Apache HTTP伺服器鎖定竊取 AWS、Azure 和 Office 365 憑證

Posted on 2024 年 1 月 19 日2024 年 1 月 19 日 by blogadmin

美國網路安全與基礎設施安全局 (CISA) 和聯邦調查局 (FBI)警告稱，部署AndroxGh0st惡意軟體的攻擊者正在建立一個殭屍網路，用於「在目標網路中識別和利用受害者」。AndroxGh0st是一種基於 Python 的惡意軟體，於 2022 年 12 月首次被記錄。

此雲端攻擊工具能夠滲透易受已知安全漏洞影響的伺服器，以存取 Laravel 環境檔案並竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

CISA 和 FBI 指出，該威脅還濫用簡單郵件傳輸協定 (SMTP) 進行掃描、利用被盜憑證和 API 以及 Web shell 部署。根據該通報，Androxgh0st 操作背後的網路犯罪分子也被發現使用腳本掃描特定漏洞的網站，其中包括CVE-2017-9841，這是一個 PHPUnit 漏洞，導致透過 HTTP POST 請求執行 PHP 程式碼。這些攻擊的目標是將 /vendor 資料夾暴露在網路上的網站。警報稱:「惡意行為者使用 Androxgh0st 將惡意檔案下載到託管網站的系統。威脅參與者還能夠設定可透過 URI 存取的虛假（非法）頁面，以提供對網站的後門存取。這使得威脅行為者能夠為其操作下載額外的惡意檔案並存取資料庫。」。

該通報稱，Androxgh0st 殭屍網路使用 Laravel 框架掃描網站，尋找包含附加服務憑證的公開在根目錄的.env檔案。然後惡發出請求以檢索儲存在這些文件中的敏感資訊。

「Androxgh0st 惡意軟體還可以存取網站上 Laravel 應用程式的應用程式金鑰。如果威脅者成功識別 Laravel 應用程式金鑰，他們將嘗試使用該金鑰加密 PHP 程式碼來進行利用。”

作為此活動的一部分，威脅行為者利用 CVE-2018-15133，這是一種不受信任資料的反序列化，允許他們將檔案上傳到易受攻擊的網站，CISA週二(1/16)將該安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities (KEV) catalog)中。

操作Androxgh0st的攻擊者也針對CVE-2021-41773，這是 Apache HTTP Server 版本 2.4.49 和 2.4.50 中的路徑遍歷，導致執行遠端程式碼。如果攻擊者使用上述方法獲得任何服務的憑證，他們可能會使用這些憑證存取敏感資料或使用這些服務進行其他惡意操作。

不到一週前，SentinelOne 揭露了一種名為FBot的相關但獨特的工具，攻擊者正在利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。表示：“雲端威脅格局將繼續借用其他工具的程式碼，並將它們整合到一個整體生態系統中，這就是我們看到的 AlienFox 和 Legion 分別與 AndroxGh0st 和 FBot 所做的事情。

“隨著攻擊者找到利用雲端服務獲利的新方法，我們預計會看到針對這些服務的定制工具的出現，就像這些工具專注於利用郵件服務進行垃圾郵件攻擊一樣。NETSCOUT 也發出警報，表示自 2023 年 11 月中旬以來殭屍網路掃描活動大幅增加，並於 2024 年 1 月 5 日達到近 130 萬個不同設備的峰值。大多數來源 IP 位址與美國、中國相關、越南、台灣、俄羅斯。

這些機構發布了與 Androxgh0st 惡意軟體操作相關的入侵指標(IoCs)以及建議的緩解措施，敦促組織盡快應用它們。除了更新作業系統、軟體和韌體之外，也要確保所有URI預設配置為拒絕所有請求，並且所有Laravel應用不應處於除錯或是測試模式。

Androxgh0st 惡意軟體的的部分入侵指標IoCs:

hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt 59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4

hxxps://chainventures.co[.]uk/.well-known/aas

dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6 hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066

hxxps://pastebin[.]com/raw/zw0gAmpC ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72 hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php

。

京鼎遭LockBit勒索軟體攻擊

Posted on 2024 年 1 月 17 日 by blogadmin

1 月 16 日，鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持，顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵，駭客挾持京鼎公司網站

根據聯合報的報導，操作勒索軟體LockBit的駭客還直接在網頁上留下兩大段訊息，第一段訊息是告知客戶，駭客集團已拿下京鼎的客戶資料，如果京鼎不付錢，那麼，客戶的所有個人資料都將被公開在網路上，第二段訊息則是告知員工，如果京鼎管理階層不與駭客集團聯繫，那麼，駭客將會摧毀京鼎所有的資料，而且這些資料將不能恢復，這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示，在檢測到攻擊後不久，該公司於下午恢復了其網站，並補充說正在與安全專家合作。京鼎在聲明中表示，該公司的初步評估顯示，該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示，去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區，平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

美國CISA將 Ivanti Connect Secure 和 Microsoft SharePoint 漏洞新增至其已知遭濫用之漏洞清單聯邦機構須於2024 年 1 月 31 日前修補這些漏洞

Posted on 2024 年 1 月 12 日2024 年 1 月 12 日 by blogadmin

1 月 11 日，美國網路安全與基礎設施安全局 (CISA) (Known Exploited Vulnerabilities (KEV) catalog)新增了 Ivanti Connect Secure 和 Policy Secure 漏洞（編號為CVE-2024-21887和CVE-2023-46805）以及 Microsoft SharePoint Server 漏洞(編號為CVE- 2023-29357) 在其已知遭濫漏洞清單中。

1 月 10 日，軟體公司 Ivanti報告稱，駭客在利用其 Connect Secure (ICS) 和 Policy Secure 中的兩個零日漏洞（CVE-2023-46805、CVE-2024-21887）在目標網關上執行遠端任意命令。漏洞編號為 CVE-2023-46805，嚴重程度評分為 8.2。它允許駭客「透過繞過控制檢查來存取受限資源」。另一個漏洞 CVE-2024-21887 可協助攻擊者向設備發送命令，嚴重程度為 9.1。攻擊者可以連結這兩個漏洞，向未修補的系統發送特製請求並執行任意命令。

Ivanti 發布的公告，如果 CVE-2024-21887 與 CVE-2023-46805 結合使用，利用漏洞可不需要身份驗證，並使駭客能夠製作惡意請求並在系統上執行任意命令。該公司正在提供緩解措施，並確認正在開發安全修補程式，最終修補將於 2 月 19 日內發布。

另外，資安公司Volexity 研究人員觀察到駭客已積極在利用這兩個零日漏洞。2023 年 12 月，Volexity 調查了一次攻擊，攻擊者利用這些漏洞在多個內部和面向外部的 Web 伺服器上放置 Webshell。

此外新增至 CISA KEV 清單的第三個漏洞是 Microsoft SharePoint Server 權限升級漏洞CVE-2023-29357，未經身份驗證的攻擊者獲得偽造 JWT (JSON Web Token)身份驗證令牌存取權限，使用它們來執行繞過身份驗證的網路攻擊，並允許他們獲得經過身份驗證的用戶的權限。漏洞可允許未經身份驗證的攻擊者在成功利用不需要使用者互動的低複雜度攻擊後獲得管理權限。

根據約束性操作指令22-01( Binding Operational Directive 22-01 ) ，在 CISA 公布新的已遭用於攻擊漏洞時，所有美國聯聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB)，都必須針對相關漏洞進行處理，在截止日期前解決已識別的漏洞，以保護其網路免受利用清單中的漏洞攻擊，專家也建議私人機構審查KEV清單並解決其基礎設施中的漏洞。

CISA 命令聯邦機構在 2024 年 1 月 31 日之前修復以上三個漏洞。

Ivanti Connect Secure漏洞的部分入侵指標(Indicator of compromise -IOCs):
206.189.208.156
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
75.145.243.85
71.127.149.194
173.53.43.7

BlackCat對Ultra Intelligence & Communications的攻擊造成瑞士空軍大量敏感資訊外洩

Posted on 2024 年 1 月 10 日2024 年 1 月 10 日 by blogadmin

一家為全球國防公司提供通訊技術的美國安全公司Ultra Intelligence & Communications(簡稱ULTRA)成為勒索軟體攻擊的受害者，ULTRA是一家全球領先的科技公司，總部位於英國。該公司提供先進的情報、通訊和安全技術解決方案，服務的客戶包括美國國防部、聯邦調查局(FBI)、緝毒局、北約、美國電話電報公司、瑞士聯邦國防部和國防承包商RUAG 等，這一廣泛的客戶群突顯了此次外洩事件對全球潛在的影響。

據稱在攻擊事件發生後，瑞士聯邦國防部證實瑞士空軍受到了攻擊的影響並確認有資料外洩，瑞士當局隨即對此事件展開了調查。

根據瑞士廣播電視台 (SRF) 報道，駭客竊取了美國著名國防公司ULTRA的數萬份文件，大約 30 GB 的部分敏感和機密瑞士空軍文件已上傳到暗網，可供公眾存取。

Photo Credit: https://securityaffairs.com/

DDPS 對暗網外洩的回應

在這一重大事件發生後，瑞士聯邦國防部民防及體育部(Federal Department of Defense, Civil Protection and Sport-DDPS) 一直在積極應對這一情況。發言人告訴 Keystone-SDA 通訊社，瑞士武裝部隊和國防部立即收到了有關網路攻擊的通知。DDPS 認為，瑞士武裝部隊的作業系統並未受到此次惡意軟體攻擊的影響。

暗網上外洩的價值數百萬美元的合約

外洩的資料中包括 DDPS 和 Ultra 之間價值近 500 萬美元的重要合約等文件。該合約對於瑞士空軍的加密通訊技術至關重要。

此外，在暗網上還發現了與這些交易相關的電子郵件通訊和付款收據。

對暗網資料外洩的持續調查

雖然 DDPS 發言人提供的細節有限，但他們承認瑞士武裝部與Ultra 公司之間存在業務關係。迄今為止，外洩的數據主要類型是商業數據，但對事件全面範圍的調查仍在進行中。

BlackCat聲稱對資料被盜負責

BlackCat勒索軟體聲稱對這次攻擊負責，據報導該攻擊發生在 2023 年 12 月底。BlackCat於2021年11月中旬首次被Malwarehunterteam研究人員揭露，是第一個基於RUST語言編寫的專業勒索軟體系列，並因其高度客製化和個人化的攻擊而迅速氾濫。BlackCat攻擊過知名企業包括高梅國際酒店集團（MGM Resorts International）、Bandai Namco(萬代南夢宮)、台灣上市不銹鋼和Henry Schein漢瑞祥等等。網路安全專家認為BlackCat起源於俄羅斯，是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand)，而BlackMatter又是 DarkSide 的改名，該組織因2021年攻擊美國美運油供應商Colonial Pipeline而臭名昭著。2023 年 12 月FBI查封BlackCat的線上基礎設施，瓦解多個BlackCat經營的網站，然而這次針對ULTRA的入侵並盜取其商業客戶的機密資料攻擊證實BlackCat勒索軟體已成功另起爐灶。

瑞士聯邦數據網路攻擊的最新歷史

此事件標誌著過去六個月內針對瑞士聯邦數據的第三次重大網路攻擊。先前的事件涉及針對瑞士公司 Xplain 和 Concevis 的勒索軟體攻擊，這兩家公司都與 DDPS 和其他聯邦組織有聯繫。

總而言之，最近對 Ultra 的網路攻擊導致瑞士空軍資料在暗網上未經授權發布，這清楚地提醒人們國家安全基礎設施面臨持續的網路威脅。正在進行的調查強調了加強網路安全措施以保護敏感國防資訊的重要性。

美國資安公司 Mandiant的X(Twitter)帳號遭到駭客入侵6小時

Posted on 2024 年 1 月 5 日2024 年 1 月 5 日 by blogadmin

週三，Google旗下的美國資安公司Mandiant 的 X（前身為 Twitter）帳號被身份不明的攻擊者入侵了六個多小時，以傳播加密貨幣騙局。駭客劫持了Mandiant的 X 帳號，並利用該帳號傳播了一個連結，試圖從點擊該帳號的人那裡竊取加密貨幣。該騙局虛假承諾向 25 萬名用戶免費提供 $PHNTM 代幣，甚至轉發真實 Phantom 帳號的貼文以顯得可信。

Mandiant在一份聲明中寫道：“我們意識到該事件影響了Mandiant的 X 帳號，並正在努力解決該問題。”“我們已經重新獲得了對該帳號的控制權，目前正在努力恢復它。”該聲明沒有回答有關該公司是否已確定該帳號是如何被盜用的問題。

目前尚不清楚該帳號是如何被盜用的，猜測是透過社群工程進行網路釣魚，或是利用社群媒體平台中的漏洞。

但據一直在監視事件的MalwareHunterTeam 的研究人員指出，被駭的 Mandiant帳號最初被重新命名為“@phantomsolw”，以冒充 Phantom 加密錢包服務。具體來說，該帳號的詐騙貼文宣傳了空投詐騙，敦促用戶點擊虛假連結並賺取免費代幣，隨後被駭的帳號後來被用來攻擊Mandiant，要求其更改密碼。但在許多情況下，社群媒體帳號劫持涉及濫用第三方服務，而不是直接攻擊帳號。Mandiant採取行動恢復帳號，但駭客在復原過程中一度重新獲得了控制權，MalwareHunterTeam指出考慮到一些 X 用戶在遭受駭客攻擊後花了幾天甚至更長的時間才重新完全控制其帳號，Mandiant 並沒有花很長時間來恢復該帳號。

Mandiant 並不是第一個帳號被劫持的知名組織或個人。2020 年亞馬遜創辦人 Jeff Bezos、微軟聯合創辦人Bill 、美國前總統歐巴馬和特斯拉執行長馬斯克（在他購買該網站之前）的帳號被接管以宣傳比特幣騙局。另外，加拿大參議員阿米娜·格巴 (Amina Gerba) 的 X 帳號也發生過類似的入侵事件，該帳號也被用來宣傳詐欺計劃。

這些攻擊的性質突顯了網路犯罪分子利用政府和商業機構的社群媒體平台進行加密貨幣詐騙的手段日益複雜。

截至撰寫本文時，Mandiant帳號已在社交媒體平台上恢復。

麒麟勒索軟體攻擊澳洲法院系統聽證紀錄遭竊

Posted on 2024 年 1 月 3 日 by blogadmin

法院稱首次檢測到攻擊是在12月21日，但根據事後的調查，入侵發生於12月8日。

1月2日，澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露，法院案件和法庭受到網路安全事件的影響，造成法庭內視聽技術網路被中斷，影響錄音和轉譯服務，攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的，當時工作人員的電腦被鎖定，螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示，需要時間來確定哪些錄音和筆錄受到影響，Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊，該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下，受影響的系統立即被隔離和停用，然而根據隨後的調查顯示，該入侵發生在更早的日期，即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊；11月1日之前的一些聽證會錄音已在網路攻擊中被存取，據信，一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說，以下法院和司法管轄區受到了安全事件的影響：

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會，並於 2023 年 11 月舉行兩次地區聽證會。

縣法院－2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院－2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭－2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知，並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件，他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統，但維多利亞州法院的運作不會受到影響，預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字，但接受澳洲 ABC News採訪的消息人士稱，此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動，但後來更名為麒麟。2022 年 10 月，台灣某上市製藥大廠也被列為其受害者。2023 年 11 月，一般來說，麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者，以存取其網路並竊取敏感數據，一旦麒麟完成初始存取，它通常會在受害者的基礎設施中橫向傳播，試圖找到要加密的關鍵統計數據。加密資料後，麒麟留下勒索字條“您的網路/系統已加密，加密的檔案具有新的檔案副檔名”，並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

中國APT駭客利用Barracuda電子郵件安全閘道器中的零日漏洞鎖定美國、亞太及日本的政府、科技組織

Posted on 2023 年 12 月 29 日2023 年 12 月 29 日 by blogadmin

#CVE-2023-7102

美國資安廠商Barracuda 透露，中國國家級駭客利用其電子郵件安全網關（ESG）設備中的零日漏洞在「有限數量」的設備上部署後門，ESG漏洞（編號為 CVE-2023-7102）是一個影響「Spreadsheet::ParseExcel」的任意程式碼執行漏，「Spreadsheet::ParseExcel」是 ESG 裝置用來檢查 Excel 電子郵件附件是否有惡意軟體的開源程式庫。攻擊者可以在特製的 Excel 檔案中植入惡意程式碼，並將其作為附件發送給目標組織。當 ESG 裝置掃描電子郵件時，惡意程式碼會在沒有任何使用者互動的情況下執行，使攻擊者能夠存取系統並竊取有價值的資料。

Barracuda將該活動歸因於Mandiant 追踪的中國APT駭客UNC4841，該組織此前曾積極利用Barracuda 設備中另一個零日漏洞（CVE-2023-2868，CVSS 評分：9.8 ）。UNC4841於12 月20 日被發現利用零日漏洞CVE-2023-7102，但有證據表明該活動於11 月30 日左右開始。駭客利用 CVE-2023-7102 向 Barracuda 客戶提供 SeaSpy 和 SaltWater 惡意軟體的新變種。這些攻擊是 UNC4841 網路間諜活動的一部分，針對的是政府、IT 和高科技組織，主要位於美國以及亞太和日本 (APJ) 地區。

Barracuda迅速做出回應，部署更新來修復漏洞以及可能受到新發現的惡意軟體變體危害的 ESG 設備。Barracuda發布了一個安全更新，該更新已於 2023 年 12 月 21 日“自動應用”，客戶無需採取進一步行動。Barracuda還進一步指出，它一天後「部署了一個修補來修復受入侵的 ESG 設備，該設備顯示出與新識別的惡意軟體變體相關的入侵跡象」，然而它沒有透露入侵的規模。也就是說，Spreadsheet::ParseExcel Perl 模組（版本 0.65）中的原始漏洞仍未修補，並已被指派 CVE 識別碼CVE-2023-7101，需要下游使用者採取適當的補救措施。

據一直在調查該組織活動的 Mandiant 稱，自 2022 年 10 月以來，估計至少有 16 個國家的一些私營和公共部門組織受到了影響。Google Cloud 表示，不早於 2023 年 11 月 30 日，它觀察到針對高科技、資訊科技供應商和政府實體的 CVE-2023-7102 漏洞利用，這些實體主要位於美國和亞太地區。最新的發展再次證明了UNC4841 的適應性，利用新的策略和技術在現有漏洞被堵住的情況下保留對高優先目標的存取權。Mandiant 預計，UNC4841未來可能會將其目標攻擊面擴大到其他設備，並利用更多種類的漏洞。

Barracuda電子郵件安全閘道設備（ESG）漏洞的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

803cb5a7de1fe0067a9eeb220dfc24ca 56f3f571a986180e146b6cf387855bdd

952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd

118fad9e1f03b8b1abe00529c61dc3edf da043b787c9084180d83535b4d177b7

23.224.99.242

23.225.35.238

107.148.41.146

三家德國醫院在平安夜遭到LockBit勒索軟體的攻擊

Posted on 2023 年 12 月 29 日2023 年 12 月 29 日 by blogadmin

德國東威斯特法倫天主教醫院協會(Katholische Hospitalvereinigung Ostwestfalen-KHO) 已證實由其經營的三家醫院Franziskus Hospital Bielefeld、Sankt Vinzenz Hospital Rheda-Wiedenbrück和 Mathilden Hospital Herford在2023 年 12 月 24 日凌晨遭到網路攻擊，造成整個 IT 系統中斷。KHO發布的公告中寫道：“身份不明的攻擊者已經存取了醫院 IT 基礎設施的系統，並加密了數據。初步調查表明，這可能是 Lockbit 3.0 的網路攻擊，目前無法預見解決時間。出於安全原因，所有系統一經發現立即關閉，並通知所有必要的各方和機構。”由於目前，調查正在進行中，入侵程度以及攻擊者是否竊取資料尚未確定。

根據BleepingComputer的報道，KHO營運的以下三家醫院受到了網路攻擊的影響：

Franziskus Hospital Bielefeld 醫院 – 614 床、10 個專科科室、390 名醫生和工作人員

Sankt Vinzenz Hospital Rheda-Wiedenbrück 醫院 – 614床，5個專科室，200名醫生和工作人員

Mathilden Hospital Herford 醫院 – 614 床、8 間專科室、230 位醫生和工作人員

上述醫院在德國的所在地提供醫療保健服務方面發揮著關鍵作用，因此影響其 IT 系統的網路攻擊會給處於醫療緊急情況的人帶來可怕的影響。

根據KHO的聲明，受影響醫院的患者治療繼續正常進行，所有診所業務仍然可用，但存在一些技術限制。透過成功恢復備份，仍然可以存取重要的患者資訊。然而，KHO 的三家醫院無法提供緊急護理，因此急需醫療護理的人員被轉移到其他地方，可能會導致嚴重的延遲。

截至本文撰寫時，LockBit 勒索軟體集團尚未將 KHO 添加到在其暗網揭秘網站中，因此網路犯罪分子是否竊取了患者資料或其他敏感資訊尚未確定。

Black Basta攻擊已過兩個月多倫多公共圖書館至今仍是犯罪現場對外服務將於明年一月逐步恢復?!

Posted on 2023 年 12 月 27 日2023 年 12 月 27 日 by blogadmin

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中，Black Basta攻擊限制了其服務，令TPL的運作方式大規模的改變。圖書館人員以手工核對材料，任何退回的書本或物品都無法重新登入系統中，，大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉，無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿，解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示，該圖書館擁有 100 個分館，擁有 5,000 多名員工，其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務，但圖書館的線上帳戶仍然無法使用，公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示，雖然許多圖書館服務仍在繼續運營，但隨著調查的繼續，圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜，我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道，我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求，這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說，家庭、研究人員和其他人告訴圖書館，他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示，儘管遇到了困難，圖書館仍能允許顧客借閱 50 萬個實體資料，仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說，漫長的恢復過程需要幾個月的時間，因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長，但我們期待著全面回歸，」Bowles說。“儘管這些犯罪分子傷害了我們，但他們當然沒有阻止我們履行我們的使命，即提供免費和公平的圖書館服務，以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織，已被用來攻擊全球超過 329 個組織，並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體，Black Basta 沒有採用激進的前端策略，而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前，Conti的線上聊天內容被洩露，暗示其與俄羅斯政府有聯繫，並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現，自 2022 年以來，Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略，先竊取被害者敏感檔案和資訊，並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體，同時也有感染 Windows 系統的版本。此外，許多攻擊都利用 Qakbot（也稱為 QBot）來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年，多個城市圖書館系統面臨攻擊，其中包括涉及大英圖書館（世界上最大的圖書館之一、英國國家圖書館）的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32

104.194.10.130

104.243.38.65

105.111.60.60

美國密蘇里州的自由醫院遭新型勒索軟體Inc.攻擊後轉移病患

Posted on 2023 年 12 月 22 日2023 年 12 月 22 日 by blogadmin

Photo Credit: https://twitter.com/BrettCallow/status/1737657266105667895

密蘇里州堪薩斯城(Kansas City)的一家名為自由(Liberty) 的醫院本週因網路攻擊限制其系統而難以為患者提供護理。自由醫院在周三(12/21)的更新中表示，該醫院仍在處理週二開始的電腦系統中斷問題。該機構最初不得不將一些患者轉移到其他醫院，但官員表示情況已經穩定，我們繼續按照標準的斷網方案照顧患者。我們沒有在一夜之間將任何額外的患者轉移到其他設施。今天，我們繼續積極調查中斷的根源。

醫院在周三的更新中表示，病患的安全和照護以及讓我們的系統恢復上線是我們的首要任務。我們預計這個過程需要時間。我們的初級和專科護理診所繼續接待某些患者，並根據需要重新安排其他患者。如果您需要重新配藥，請致電您的提供者辦公。

週二(12/20)，醫院敦促那些需要醫療護理的人去其他醫院。官員表示，一些患者被轉移到其他機構，多家當地新聞媒體報道稱，醫院聯繫了堪薩斯城消防局等消防和緊急醫療服務部門，尋求幫助轉移患者。

週二，自由醫院營運長Mike Hopkins告訴《堪薩斯城星報》，消防部門運送了約 30 名患者，另有 10 至 15 名患者被緊急醫療服務機構送往其他醫院。該醫院在周二的聲明中解釋說，在電腦系統癱瘓的情況下，它仍一直在努力記錄患者護理情況。

官員們無法透露這個問題會持續多久，醫生正在與預約的患者聯繫，以找出替代方案。幾名患者告訴當地新聞媒體的記者，他們對不得不重新安排所需的預約感到沮喪，有些患者是在到達醫院後才發現的。

儘管該醫院沒有回應有關這是否是勒索軟體事件的置評請求，但KMBC 報道稱，獲得了獨家消息，該醫院的官員收到了一張勒索信。“我們已經入侵你並下載了你公司的所有機密資料。據報道，該消息稱，它可以傳播給人們和媒體。你的名譽將會被毀掉。不要猶豫，拯救您的生意。我們是能夠快速恢復您的系統的人。從現在開始，您有72小時的時間聯繫我們。” 資安專家Brett Callow亦在其X貼文中證實，Inc.勒索軟體為這次的幕後黑手。

Inc.勒索軟體是2023 年 7 月出現的新型勒索軟體，Inc.將自己定位為受害者挽救聲譽的服務提供者， Inc.勒索軟體業者針對多個行業，這包括對醫療保健、教育和政府實體的攻擊。觀察到的方法包括魚叉式網路釣魚電子郵件以及針對易受攻擊的服務。這包括 Citrix NetScaler 中CVE-2023-3519的利用。一旦威脅行為者獲得初步存取權限，就會利用各種COTS或LOLBIN來繼續內部偵察和橫向移動。與 Inc. 勒索軟體操作相關的工具包括：

NETSCAN.EXE – 多協定網路掃描器和分析器

MEGAsyncSetup64.EXE – 用於 MEGA 檔案共用/同步/雲端服務的桌面應用程式

ESENTUTL.EXE – 用於資料庫管理和復原的 Microsoft 實用程式

AnyDesk.exe – 遠端管理/遠端桌面

勒索軟體攻擊者不休假，這次聖誕節假期攻擊為勒索軟體組織持續專門針對醫療機構的災難性的一年畫上句號。2023 年全年，數十家醫院在勒索軟體攻擊後被迫轉移救護車並關閉部門，危及數千人的生命。