美國司法部與FBI聯手清除PlugX惡意軟體,打擊高階持續性威脅

Posted on by blogadmin
Photo Credit: FBI

美國司法部1月14日宣布,聯邦調查局(FBI)成功完成了一項大規模的網路安全行動,從全美超過4,200台電腦中移除了由中國APT駭客組織「Mustang Panda」(又稱Twill Typhoon)部署的PlugX惡意軟體。此行動代表針對高階持續性威脅(APT)之國際合作的又一次重要成功。

PlugX:多功能惡意軟體的滲透與威脅

PlugX是一種模組化的遠端存取木馬(RAT),以其隱蔽性與持續性著稱,長期被用於網路間諜與滲透活動。此次揭露的PlugX變種具有蠕蟲功能,可透過USB隨身碟快速傳播,感染範圍可迅速擴大至數千台設備。

此惡意軟體的攻擊目標反映出攻擊者的高精準策略,包括:

  • 2024針對歐洲航運業;
  • 2021年至2023攻擊多個歐洲政府機構;
  • 全球範圍內的中國異見團體
  • 印太地區多國政府機構,包括台灣、香港、日本、印度、越南等地。

PlugX的活動展現了Mustang Panda精心策劃的網路間諜策略,並將目標範圍擴大至戰略性地區與行業,對國際網路安全構成嚴峻挑戰。

行動詳情:精準清除與多國合作

這次行動由法國執法機構與網路安全公司Sekoia於2024年7月率先發起。他們成功從法國感染設備中移除了PlugX,並於同年8月將行動範圍擴大至美國。FBI隨後獲得九份法院授權令,對美國境內感染設備進行清理。

FBI採取了精確的技術步驟來刪除PlugX,包含:

  1. 刪除惡意文件:清除PlugX在設備上創建的所有檔案;
  2. 移除自動啟動機制:刪除PlugX的相關註冊表鍵,阻止其自啟動;
  3. 徹底清理系統:執行腳本刪除PlugX應用程式及其殘留檔案與目錄。

行動於2025年1月3結束,成功清除了超過4,258台受感染設備。FBI強調,該行動對設備功能與數據完整性未造成任何影響。

全球威脅應對典範

此次行動展現了國際網路安全合作的重要性。Sekoia於2024年4月接管PlugX的指揮與控制(C2)伺服器,監測到來自170個國家的2,500,000次連接,為行動提供了關鍵情報支持。

行動結束後,FBI正透過網路服務供應商通知受影響設備的擁有者,並重申行動僅限於刪除惡意軟體,未收集或干擾合法數據。

從PlugX中學到的啟示

PlugX案例展示了APT攻擊的複雜性與全球性,其威脅提醒所有企業與機構需採取以下措施:

  1. 提升威脅監測能力:部署能識別並阻止多層威脅的安全解決方案;
  2. 管控外部設備使用:限制USB與其他外部儲存設備的使用;
  3. 強化國際情報分享:參與跨國威脅情報合作,快速應對全球威脅;
  4. 提高員工安全意識:培訓員工識別APT技術與入侵方式,降低人為風險。

此次PlugX清除行動證明,高階威脅需要技術、法律與國際合作的全面應對。APT攻擊已超越單一國家的問題,成為全球數位生態共同面對的挑戰。唯有持續創新並深化合作,我們才能捍衛未來的網路安全。

Ivanti 漏洞成為攻擊焦點,Connect Secure 和 Policy Secure 面臨高風險

Posted on by blogadmin

# CVE-2025-0282

# CVE-2025-0283

Photo credit: Ivanti

概述
1 月 8 日Ivanti 發布重要公告,指出 Connect SecurePolicy SecureZTA Gateways 產品中的安全漏洞自 2024 年 12 月中旬起已遭到積極利用。被利用的關鍵漏洞為 CVE-2025-0282,這是一個基於堆疊的緩衝區溢出,CVSS 分數為 9.0,影響以下版本:

  • Ivanti Connect Secure:22.7R2.5 之前的版本
  • Ivanti Policy Secure:22.7R1.2 之前的版本
  • Ivanti Neurons for ZTA Gateways:22.7R2.3 之前的版本

成功利用 CVE-2025-0282 可能導致 未經身份驗證的遠端代碼執行(RCE。Ivanti 的 Integrity Checker Tool (ICT) 在攻擊當天偵測到惡意活動,從而能迅速回應並開發修補程式。

其他漏洞:CVE-2025-0283

另一個高危漏洞 CVE-2025-0283(CVSS 分數:7.0)允許 本地特權提升,目前已修補。以下版本受影響:

  • CVE-2025-0282:影響 Ivanti Connect Secure 22.7R2 至 22.7R2.4、Policy Secure 22.7R1 至 22.7R1.2,以及 ZTA Gateways 22.7R2 至 22.7R2.3。
  • CVE-2025-0283:影響 Ivanti Connect Secure 22.7R2.4 及更早版本、9.1R18.9 及更早版本,Policy Secure 22.7R1.2 及更早版本,以及 ZTA Gateways 22.7R2.3 及更早版本。

Ivanti 確認有限數量的客戶因 CVE-2025-0282 遭受攻擊,尚未發現 CVE-2025-0283 被武器化的跡象。

威脅行為者歸因與利用細節

Mandiant 的調查將 CVE-2025-0282 的利用活動歸因於 UNC5337,這是一個與中國相關的威脅行為者,評估為 UNC5221 的一部分。攻擊鏈涉及在受損設備中部署 SPAWN 惡意軟體生態系統,並使用其他惡意軟體系列,如 DRYHOOKPHASEJAM,這些均為首次記錄的惡意軟體家族。

主要的漏洞利用策略包括:

  1. 停用 SELinux 並重新掛載檔案系統。
  2. 植入和執行網頁後門以維持訪問權限。
  3. 修改系統日誌(例如刪除 SELinux 核心訊息和系統崩潰痕跡)以逃避檢測。
  4. 劫持關鍵程序以實現重啟和升級後的持久性。

PHASEJAM 的功能包括:

  • 在關鍵檔案(getComponent.cgi、restAuth.cgi)中插入網頁後門。
  • 通過修改 DSUpgrade.pm 檔案阻止合法的系統升級。
  • 覆蓋 remotedebug 可執行檔案,以執行任意命令。

高級攻擊能力

  • 網路偵查:使用工具(如 nmap 和 dig)進行內部網路地圖繪製。
  • 憑證提取:部署如 DRYHOOK 的腳本,從會話快取和目錄中提取敏感資料。
  • 橫向移動:利用 LDAP 服務帳戶進行查詢,並通過 SMB 或 RDP 攻擊內部網路中的其他系統。

Mandiant 還發現攻擊者使用公開可用的隧道工具(如 SPAWNMOLE)進行指揮與控制(C2)通信。威脅行為者的高度複雜性體現在其系統性刪除日誌痕跡的能力上,包括核心訊息、崩潰記錄和命令歷史記錄。

戰略影響

美國網路安全與基礎設施安全局(CISA)已將 CVE-2025-0282 列入「已知被利用漏洞目錄」(KEV),要求聯邦機構在 2025 年 1 月 15 之前完成修補。CISA 呼籲所有組織:

  • 立即升級受影響的 Ivanti 產品版本。
  • 搜索環境中是否存在被攻擊的跡象,包括異常活動日誌和未經授權的腳本。
  • 報告任何事件並升級受感染系統以進行深入取證分析。

建議

  1. 修補管理:迅速應用修補程式並測試修復效果。
  2. 加強監控:部署工具監控 SELinux 或 syslog 的異常行為。
  3. 日誌分析:回顧日誌檔案,搜尋利用步驟的證據(例如 SELinux 變更或可執行檔案被修改)。
  4. 網路分段:隔離 Ivanti 設備,減少對敏感資源的潛在影響,並實施最小權限原則。
  5. 事件回應:制定並測試針對勒索軟體和網頁後門部署的事件回應計畫。

鑒於此次攻擊的持久性,優先解決這些漏洞是保護關鍵基礎設施免受進一步威脅的關鍵措施。

SpaceBears 勒索軟體稱入侵台灣某 CRM 系統大廠:威脅8天後公開資料

Posted on by blogadmin
SpaceBears的暗網網站

太空熊(Space Bears)是一個相對較新的勒索軟體組織,於 2024 年 4 月首次出現,其背後的駭客採用雙重勒索策略,竊取受害者的敏感資料,藉此向受害者施壓要求支付贖金。若受害者拒絕支付,他們則威脅將這些被竊資料公開於暗網上。自 2024 年 4 月 5 日起,Spacebears已將來自全球不同產業(包括醫療、科技、汽車、電信、航太及航空業)的 45 名受害者 添加至其洩密網站,藉此進一步施壓並迫使受害者支付贖金。1 月 8 日,竣盟科技在SpaceBears經營的暗網網站上 ,發現SpaceBears 公開宣稱已成功滲透並入侵台灣某知名 CRM 系統大廠的核心系統,並聲稱將於 8 天後(1 月 16 日)公開所竊取的資料。目前,SpaceBears 尚未透露所竊取資料的具體數量與種類,受害企業也尚未對外發表任何聲明。

攻擊細節仍待查明
SpaceBears 在暗網平台上發布了一則公告,宣稱此次攻擊的目的是揭示企業對數據保護的疏忽,並威脅若不滿足他們的要求(可能涉及贖金支付),將公開敏感數據。然而,公告未透露進一步技術細節,如攻擊手法或已竊取的資料範圍。據推測,此次攻擊可能涉及以下步驟:

  • 初始滲透: 利用針對性的魚叉式網絡釣魚或社交工程獲取系統的初步存取權限。
  • 橫向移動: 利用未修補漏洞或憑證竊取技術,攻擊者可能進一步進入關鍵系統。
  • 數據外洩: 竊取包括客戶名單、交易記錄等高價值資料作為談判籌碼。

勒索與恐嚇策略

SpaceBears以其雙重勒索策略聞名,通常在加密企業資料的同時,外洩部分數據作為威脅。本次行動中,攻擊者選擇設下「8天期限」,以壓力逼迫受害企業妥協。此策略旨在:

• 製造輿論壓力: 通過公開威脅,進一步損害企業的商譽。

• 增強談判籌碼: 在未來的贖金要求中佔據優勢。

企業需重視連帶影響

1. 潛在數據外洩風險: 如果所盜資料涉及用戶個人資訊或商業機密,可能對企業客戶及其合作夥伴造成重大影響,包括商業競爭力下降、用戶信任流失及可能的法律責任。

2. 供應鏈效應: 作為 CRM 系統大廠,其客戶多為其他企業,若相關數據外洩,可能引發連鎖反應,波及多家產業鏈上下游夥伴。

3. 勒索支付與未來攻擊風險: 一旦企業選擇支付贖金,不僅難以確保資料不被公開,還可能讓攻擊者認為該企業為「易受攻擊目標」,成為後續攻擊的重點對象。

立即應對與長期策略

1. 強化內部溝通與風險評估: 企業應立即組建資安應變小組,針對資料被竊取的可能範圍進行內部調查,並快速評估潛在影響。

2. 對外危機管理: 主動公開事件進展並透明溝通,避免造成客戶與公眾的不信任,同時降低攻擊者透過輿論製造壓力的效果。

3. 提高資安防護層級:

• 立即檢查與封鎖可疑的入侵路徑,並修補所有已知漏洞。

• 部署零信任架構,限制內部系統的橫向存取能力。

• 建立即時威脅偵測與回應機制,以快速攔截未來可能的攻擊行為。

 4. 與資安專業機構合作: 聯繫資安服務商或執法機構,獲取技術支援與威脅情報,並探索破解勒索軟體或遏制外洩資料的方案。

結語

SpaceBears 的此次行動展現了勒索軟體組織日益精密的攻擊手法與心理壓力策略。對企業而言,資安已不僅是技術議題,更是商譽與生存的關鍵。企業應藉此事件重新審視自身資安防護機制,強化系統韌性,以應對不斷升級的威脅。

有關SpaceBears勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
8c69830a50fb85d8a794fa46643493b2
bbcf7a68f4164a9f5f5cb2d9f30d9790

中國APT駭客如何滲透美國財政部系統

Posted on by blogadmin
Photo Credit: Getty Image

事件概述

美國財政部近日揭露了一起嚴重的網路攻擊事件,攻擊者疑似為中國國家支持的高級持續性威脅(APT)組織。此攻擊透過入侵第三方供應商 BeyondTrust 的 API 金鑰,成功取得遠端工作站的控制權,並存取財政部內部未分類文件。這一事件不僅突顯了供應鏈漏洞的危險性,更對全球資安體系敲響警鐘。

攻擊手法與細節

關鍵漏洞:API 金鑰管理不足
2024 年 12 月 8 日,BeyondTrust 通知美國財政部,攻擊者已取得其雲端遠端支援系統的 API 金鑰。此金鑰被用於:

  1. 繞過服務安全機制:攻擊者利用金鑰,直接存取系統內部資源。
  2. 遠端存取終端設備:成功操控部分財政部工作站。
  3. 檔案存取:檢索並可能洩露未分類的內部文件。

此類攻擊手法展現了駭客如何透過供應鏈薄弱環節滲透高價值目標,並利用信任機制在不被偵測的情況下執行惡意行動。

專業分析:供應鏈與系統風險

  1. 供應鏈的脆弱性
    BeyondTrust 作為領先的遠端支援解決方案提供商,其安全漏洞對多個關鍵客戶造成潛在影響。攻擊者的策略顯然針對供應鏈核心節點,進一步放大攻擊範圍與影響力。
  2. API 安全性不足
    API 金鑰的洩漏,顯示業界在敏感憑證管理上的重大缺陷。API 金鑰若無妥善設置存取範圍或定期輪替,將成為攻擊者進行橫向移動的有效工具。
  3. 事件回應與透明性欠缺
    財政部並未公開具體的入侵指標指標(IOCs),如攻擊行為模式、惡意 IP 地址或相關流量特徵,導致其他受影響的潛在目標無法即時應對,延誤整體防禦部署。
  4. 監控機制不足
    此次事件凸顯出對第三方供應商的行為監控缺失,尤其是 API 層級的日誌分析與異常偵測,這是供應鏈攻擊中常見的盲點。

強化供應鏈與憑證管理

  1. 加強 API 金鑰管理
    • 推行 零信任架構,確保敏感金鑰洩漏後仍有多重機制進行防護。
    • 利用 硬體安全模組(HSM)密鑰管理服務(KMS) 管理 API 金鑰,並設定更細緻的使用權限。
    • 定期審計 API 使用情況,並進行金鑰輪替以降低風險。
  2. 供應鏈安全優化
    • 要求供應商遵守更高安全標準,例如實施多因素驗證(MFA)與更強的存取控制機制。
    • 在採購階段進行嚴謹的安全評估,並定期審查供應商的安全政策和事件回應能力。
  3. 提升異常監控能力
    • 部署基於行為分析的偵測工具,針對 API 活動異常進行即時告警。
    • 加強第三方服務的日誌紀錄分析,並設定異常流量的自動化應對措施。
  4. 促進情報共享與透明化
    • 與國內外資安組織建立情資共享機制,確保攻擊模式能被快速識別並回應。
    • 公開具體的妥協指標,協助業界和相關機構快速防禦類似攻擊。

戰略意涵與國際影響

事件進一步揭露了中國 APT 在網路空間的情報蒐集能力與戰略意圖。攻擊目標包括美國財政部的外國資產控制辦公室(OFAC)及財政部長辦公室,顯示中國致力於滲透美國核心經濟與政策制定機構。

對台灣來說,這一事件提供了重要的資安教訓:

  1. 供應鏈風險需高度重視
  2. 加強與國際情報機構的合作
  3. 強化敏感系統的異常偵測能力

結論是,網路攻擊已不僅是技術層面的挑戰,更是國家安全的重要課題。唯有全面提升資安能力,才能在這場資訊戰中立於不敗之地。

Reference links:

https://twitter.com/jsrailton/status/1873869371829084484

https://www.bleepingcomputer.com/news/security/us-treasury-department-breached-through-remote-support-platform

https://www.beyondtrust.com/remote-support-saas-service-security-investigation

CVE-2024-3393 緊急警告:漏洞恐致防火牆重啟,立即更新 PAN-OS!

Posted on by blogadmin

12月27日,Palo Alto Networks 公布了一個高危漏洞 CVE-2024-3393(CVSS 評分:8.7),該漏洞可能導致防火牆進入服務阻斷(DoS)狀態,對網路防護造成重大威脅。漏洞影響 PAN-OS 10.X 和 11.X 版本,以及 Prisma Access(使用 PAN-OS 10.2.8 或低於 11.2.3 版本)。

Photo Credit: Palo Alto Networks

漏洞概要

該漏洞存在於 DNS Security 功能中,攻擊者可藉由傳送惡意封包,觸發防火牆重新啟動。若攻擊持續,設備可能進入維護模式,必須人工干預才能恢復正常運作。

特別注意:僅啟用了 DNS Security 日誌記錄 的防火牆會受到影響。

重要修補版本:

• PAN-OS 10.1.14-h8

• PAN-OS 10.2.10-h12

• PAN-OS 11.1.5 • PAN-OS 11.2.3

• 以及所有後續版本。

注意:PAN-OS 11.0 已於 2024 年 11 月 17 日停止支援(EOL),無法獲得修補,務必升級至更新版本!

如何應對?

優先選擇:升級! 立即更新至上述修補版本,以完全解決漏洞問題。 暫時措施(適用於無法立刻升級的情況):

1.手動禁用 DNS Security 日誌記錄(適用於未受管理或由 Panorama 管理的防火牆)

    • 導覽至:Objects > Security Profiles > Anti-spyware > DNS Policies > DNS Security。

    • 將所有 DNS Security 分類的 Log Severity 設為「none」。

    • 提交更改,待升級完成後恢復設定。

    2. 由 Strata Cloud Manager (SCM) 管理的防火牆或 Prisma Acces

    • 開啟支援案件,請求在所有設備上暫時停用 DNS Security 日誌記錄,並視情況要求加速升級進度。

    竣盟科技的建議

    1. 優化網路防護能力:防火牆是網路安全的核心設備,漏洞可能使攻擊者輕易癱瘓防護系統,升級至最新版本是當務之急。

    2. 立即執行暫時措施:對於無法即時升級的設備,請依照官方建議禁用相關日誌功能,以降低被攻擊的風險。

    3. 強化安全監控:建議加強對網路流量的即時監控,快速辨識並阻擋可能的攻擊行為。

    4. 建立漏洞管理流程:定期檢視設備軟體版本與支援狀態,確保即時更新,避免使用已達生命週期(EOL)的版本。

    結論:

    CVE-2024-3393 是一個具有高危險性的漏洞,可能對企業的網路防護造成重大威脅。請立即升級受影響的 PAN-OS 版本,或採取暫時措施進行風險控制,以確保組織網路安全性與業務穩定性。

    回顧2024年:十大網路安全事件盤點

    Posted on by blogadmin

    2024年是網路安全領域極具挑戰的一年。
    我們目睹了多起重大資安事件,包括全球性IT中斷、史上最高額的勒索金支付、政府機構數據被駭以及私人對話資料遭到全面曝光。這些事件不僅對企業和個人造成了深遠影響,也徹底改變了對資安威脅的認知與應對模式。

    以下是2024年十大網路安全事件的詳細解析,涵蓋事件背景、駭客使用的技術與手法,並探討對未來可能帶來的影響。

    1.克諾司行( Cronos Operation)動重創網路犯罪與LockBit

    2024年2月20日國國家犯罪局(NCA)發起的克諾司行動,成功打擊全球網路犯罪,特別針對 LockBit 勒索軟體集團重拳出擊。行動成就包括: 1. 瓦解犯罪基礎設施,癱瘓多個非法平台。 2. 逮捕超過50名嫌疑人,包括 LockBit 核心成員。 3. 凍結數百萬英鎊非法資產,削弱資金流動。 4. 阻止多起高風險勒索攻擊,曝光 LockBit源始碼與獲得上千個解密金鑰。

    技術分析:

    • 伺服器去中心化打擊: 全球定位並關閉34台用於洩密與協調攻擊的伺服器,成功削弱其營運能力。
    • 解密工具發布: 將駭客內部代碼逆向工程,提供免費解密工具,幫助受害企業恢復資料。
    • 假網站誘捕: 透過模仿駭客官方網站,引發內部混亂,削弱其可信度與組織凝聚力。

    此次行動導致多名成員被捕,對勒索軟體生態系統形成重創。

    2. 醫療巨頭Change Healthcare遭勒索攻擊——弱點配置的重大代價

    2024年2月,Alphv/BlackCat勒索軟體組織利用Change Healthcare遠端存取系統中的身份驗證漏洞,成功滲透其內部系統。攻擊導致多家醫療機構的業務中斷,包括藥房、醫院及保險索賠平台,全面癱瘓超過48小時。

    攻擊手法:

    弱點滲透: 鎖定未啟用多因素驗證(MFA)的Citrix遠端portal,使用暴力破解攻擊登入系統。

    雙重勒索策略: 攻擊者在加密資料之前,先將敏感數據外洩到私人伺服器,作為勒索威脅的籌碼。

    橫向擴展攻擊:駭客利用內網特權進行橫向移動,快速感染其他醫療合作夥伴的系統。

    該事件揭示了醫療產業資安防護的脆弱性,也再度強調MFA及網路分段的重要性。

    3. 中國駭客Salt Typhoon入侵多家美國主要電信公司,揭示國家級網路間諜活動的新高度

    2024年11月13日,美國CISA和FBI聯合確認,中國國家支持的駭客Salt Typhoon成功滲透多家美國主要電信公司的核心系統,執行了一系列高度精密的網路間諜行動。這些駭客利用攻擊奪取了大量敏感數據,包括客戶的通話記錄、與政府或政治活動相關人士的私人通信,甚至複製了部分受美國執法請求保護的關鍵信息。這類數據對間諜活動和國家安全威脅具有極高價值,可能被用於進一步的定向攻擊或政治操縱。《華爾街日報》進一步披露,受害者包括知名電信企業AT&T、Verizon和Lumen Technologies,T-Mobile隨後也承認遭受攻擊。值得注意的是,攻擊背後可能涉及利用電信網路的漏洞及高階的持續滲透技術(APT)。

    此次事件中,攻擊者可能採用了以下技術與策略:

    • 供應鏈攻擊:透過攻擊電信供應商的關鍵設備或服務,獲取持久性的後門訪問權限。
    • 憑證竊取與濫用:利用已洩露或非法取得的管理憑證進行未授權訪問,繞過傳統安全機制。
    • 隱匿性高的持久滲透:在電信基礎設施內維持長期隱蔽的存在,收集高價值數據並將其悄悄滲出。

    4. CrowdStrike更新失誤引發IT中斷

    2024年7月,由於CrowdStrike Falcon的更新引發內核衝突,導致超過850萬台Windows設備陷入系統崩潰,造成企業業務中斷並引發大規模用戶投訴。

    技術細節:

    • 更新驗證不足: 更新檔未經完整性檢查,包含的錯誤文件直接部署到客戶端。
    • 系統內核錯誤: 更新與部分驅動程式不相容,觸發藍屏及無限重啟問題。

    該事件再次提醒企業供應鏈安全的重要性,也強調了對更新流程的嚴格管控需求。

    5. Dark Angels勒索集團創下7500萬美元贖金紀錄

    今年夏季,Zscaler 的 ThreatLabz 團隊揭露了一起重大的勒索軟體案件:一名未具名的受害者向「黑暗天使」(Dark Angels)勒索軟體支付了高達 7500 萬美元的贖金<該組織自 2022 年 5 月以來一直是網路安全界的關注對象。

    根據 ThreatLabz 在 7 月發佈的《2024 年勒索軟體報告》,這筆付款刷新了公開記錄中最高的勒索金額。研究人員指出,這筆巨款代表了勒索軟體攻擊者的一項「成就」,可能會激發其他網路犯罪組織效仿,進一步助長勒索軟體威脅的蔓延。Zscaler 隨後在 X(前 Twitter)上的貼文披露,受害組織是一家位列財富 50 強的企業。

    隨後在 9 月,彭博社的報導指向一家上市製藥巨頭 Cencora,稱其因「黑暗天使」攻擊而支付了這筆創紀錄的贖金。Cencora 是 2024 年《財富》500 強排名第 18 的企業,儘管該公司未明確承認支付贖金,但早在 2 月便披露了一起資料外洩事件。此次攻擊導致攻擊者洩露了個人識別信息 (PII) 和個人健康信息 (PHI)。

    行動建議
    企業應迅速審查其安全防禦措施,定期更新員工培訓以提高對社交工程攻擊的警惕,並考慮部署全面的勒索軟體防禦策略,以防範未然。

    6. 美國總統競選遭駭,突顯選舉網路安全挑戰

    2024年8月,伊朗國家支持的駭客成功滲透川普競選團隊內部系統,意圖利用網路攻擊煽動政治分裂,削弱公眾對民主制度的信任。

    CISA指出,雖然此次攻擊未對選舉結果構成實質威脅,但事件凸顯了國家級威脅行為者對選舉基礎設施的持續關注與攻擊企圖。攻擊可能涉及魚叉式網路釣魚、零日漏洞利用和社交工程等技術,表明對手正以更複雜手段影響民主進程。

    這起事件警示各方需持續強化選舉安全,包括加強攻擊面管理、實施零信任策略,以及強化選舉系統的威脅檢測與事件應對能力,以捍衛選舉完整性。

    7. 23andMe 資料外洩:責任推諉是否掩蓋了更深層的安全漏洞?

    基因檢測巨頭 23andMe 去年遭受大規模資料外洩,近 700 萬客戶的基因與血統數據 被攻擊者竊取。駭客通過 暴力破解 方式入侵數千帳戶,進一步擴大資料洩露範圍。然而,該公司直到事件發生後才推出 多重身份驗證(MFA),這項本可顯著降低攻擊風險的基本安全措施。

    事件後,23andMe 將責任轉嫁給用戶,聲稱受害者未能妥善保護帳戶安全。此舉遭到廣泛批評,代表數百名受害者的律師稱其指控「毫無根據」,強調企業應承擔其安全防護不力的責任。同時,英國與加拿大監管機構宣布展開聯合調查,以釐清 23andMe 是否在數據保護義務上存在重大疏漏。

    事件的影響不僅限於數據外洩。23andMe 在今年進一步裁減 40% 員工,凸顯公司在財務和聲譽上的嚴峻挑戰。更令人關注的是,其龐大的基因資料庫,作為醫療研究和個人隱私的核心資產,也可能成為惡意行為者的目標。

    此次事件揭示了基因檢測產業面臨的網路安全挑戰:

    • 零信任架構:加強內部與外部訪問控制,限制數據不必要的共享與存取。
    • 強化帳戶安全:強制實施 MFA、監測異常活動並提供安全教育。
    • 快速應對漏洞威脅:縮短補救延遲,積極協助受害者減輕影響

    8. Ivanti零日漏洞引發的國家級威脅——CISA遭駭風波

    2024年1月10日,Ivanti Connect Secure產品爆出兩個零日漏洞,被中國國家級駭客迅速武器化。甚至連美國網路安全與基礎設施安全局(CISA)也因該漏洞遭受攻擊,洩露多項敏感數據。

    攻擊技術解析:

    • 漏洞武器化:利用CVE-2024-21887實現命令注入與身份繞過,迅速獲取高權限控制權。
    • 資料竊取: 應用隧道協議進行流量隱藏,持續抽取敏感信息至外部伺服器。
    • 建立後門: 植入永久性木馬,確保後續操作不受干擾。

    此事件再次證明零日漏洞的高度危險性,並強調資安威脅的國際性與複雜性。

    9. 微軟Recall功能的隱私爭議——科技便利的兩面刃

    2024年5月,微軟推出新功能Recall,允許用戶快速回顧屏幕操作記錄。然而,由於類似鍵盤側錄的特性,資安專家對其可能被濫用或造成數據洩露提出了強烈批評。

    風險評估:

    • 數據集中化問題: 雖然微軟聲稱採用加密存儲,但任何數據集中化的架構都容易成為攻擊目標。
    • 潛在濫用: 該功能可能被用作監控工具,侵犯用戶隱私。

    該事件引發社會對隱私權與科技進步間平衡的深刻討論。

    10. Synnovis 勒索軟體攻擊:NHS 長期中斷與數據洩露危機

    今年 6 月,英國病理學服務提供商 Synnovis 遭到 Qilin 勒索軟體組織攻擊,導致倫敦東南部的國民醫療服務(NHS)遭遇數月中斷,嚴重影響醫療服務。此次攻擊造成 數千名患者無法接受血液檢測,並導致 1,700 多次外科手術取消 及數千個門診預約推遲。

    專家指出,此次攻擊可能因缺乏基本的雙重身份驗證(MFA)而得以成功,暴露了 Synnovis 在關鍵基礎設施安全管理上的漏洞。 Unite 工會 指出,事件期間員工被迫超時工作且長期無法使用基本電腦系統,對其心理健康和工作條件造成極大壓力,並宣布於 12 月進行為期五天的罷工。

    據 Qilin 勒索軟體組織聲稱,其竊取了 400 GB 的敏感數據,包括患者姓名、醫療系統註冊號碼以及血液檢測相關詳細信息。雖然受影響患者的具體數量尚未完全披露,但數據洩露的潛在影響可能進一步擴大,對患者隱私和信任構成威脅。

    此次攻擊凸顯醫療機構在網絡安全方面的不足,也對 NHS 的運營穩定性提出了警示。事件的延續影響表明,增強關鍵基礎設施的安全措施、部署多層防護機制,以及提升員工網絡安全意識已刻不容緩。

    結語
    2024年的資安事件帶給我們的不僅是震撼,更是一堂深刻的教訓。面對持續升級的威脅,企業與個人必須正視自身的資安策略。這是一場與時間的競賽,而我們每一位都無法置身事外。

    “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

    Clop 勒索軟體利用 Cleo 檔案傳輸漏洞進行大規模攻擊 至少 66 家公司數據外洩

    Posted on by blogadmin

    近期,Clop 勒索軟體集團再次展開攻擊,聲稱成功利用 Cleo 檔案傳輸工具的安全漏洞,竊取至少 66 家企業的敏感數據。本次攻擊主要針對 Cleo 的企業級 MFT(Managed File Transfer)解決方案,包括旗下系統 Harmony、VLTrader 和 LexiCom,此事件迅速引發全球網路安全領域的高度警戒。Clop 在其暗網的勒索網站上曝光部分受害企業名單,並威脅在 48 小時內公開完整名單,除非企業支付贖金以阻止數據外洩。

    2024 年 12 月 13 日,CISA(美國網路安全與基礎設施安全局)證實,攻擊者利用 Cleo MFT 軟體中的關鍵漏洞 CVE-2024-50623,該漏洞允許未經身份驗證的攻擊者在受害主機上執行任意的 Bash 或 PowerShell 指令。此漏洞源自自動運行目錄的預設配置,導致攻擊者能遠端部署惡意程式,並在網路中建立持久化訪問通道。CISA 更在其公告中警告,此漏洞已被實際用於勒索軟體攻擊,對企業安全構成重大威脅。

    資安公司 Huntress 於 12 月 9 日首次發出警告,表示從 12 月 3 日開始偵測到針對 Cleo 系列 MFT 工具的攻擊活動,並懷疑攻擊者正在利用未修補的漏洞進行大規模入侵行動。隨後,Huntress 進一步披露,Cleo 曾於 10 月份針對該漏洞發布修補,但修補措施不完整,可能間接導致此次事件的發生。

    Clop 勒索軟體的手法分析

    1. 攻擊技術與漏洞利用

    Clop 展現了高超的漏洞挖掘與攻擊技巧,針對 Cleo 檔案共享系統中的安全漏洞發起精準攻擊。這些工具廣泛應用於企業的大型敏感數據傳輸,其漏洞一旦被利用,便可能對數據安全造成嚴重影響。

    此次攻擊的技術特徵包括:

    • 針對未修補漏洞的高效利用:攻擊者可能掌握零日漏洞,並迅速部署攻擊工具。
    • 廣泛但有針對性的目標選擇:Clop 聚焦於依賴 Cleo 工具的企業,目標明確且具有高價值。

    2. 雙重勒索策略

    Clop 採用了熟練的雙重勒索模式,威脅受害者若不支付贖金,將公開其敏感數據。他們在公告中提到:

    「我們擁有許多使用 Cleo 的公司的數據。我們的團隊正在聯繫貴公司,並提供專屬秘密聊天。如果您不確定我們是否擁有您的數據,請通過以下郵件聯繫:
    unlock@he1p-me[.com
    unlock@cl-leaks[.com
    support@he1p-center[.com
    您有 48 小時時間,否則我們將公佈受害公司的名稱!」

    Huntress 和資安業界的初步應對

    Huntress 於 12 月 9 日提醒業界注意 Cleo 檔案傳輸工具中的可疑活動,並呼籲企業立即採取行動修補漏洞。此外,資安專家建議受影響企業採取以下措施:

    1. 漏洞修補:檢查 Cleo 檔案傳輸工具的版本,並應用供應商最新的安全更新。
    2. 數據分類與加密:將最敏感的數據進行加密處理,即使被竊取也難以利用。
    3. 多因素身份驗證(MFA:提高檔案傳輸工具的使用安全性,降低帳戶被攻破的風險。
    4. 網路隔離:對受影響系統進行隔離,防止進一步的攻擊蔓延。

    Clop攻擊模式的長期影響

    Clop 對 Cleo 工具的攻擊延續了其針對檔案傳輸工具的戰略。在過去數年內,Clop 也曾利用 Accellion、GoAnywhere 和 MOVEit 的漏洞發起類似攻擊,影響數百家企業。此次事件再次強調了以下風險:

    • 供應鏈安全挑戰:企業使用的第三方工具漏洞可能成為重大威脅。
    • 文件傳輸工具的關鍵性:這類工具在數據交換中的核心角色使其成為高價值攻擊目標。

    結論與建議

    本次 Clop 勒索軟體針對 Cleo檔案傳輸漏洞的攻擊,對全球企業敲響了警鐘。企業應立即加強對檔案傳輸工具的安全監控,並建立完備的應急回應計劃。同時,網路安全業界需要加強威脅情報共享,推動供應商加速漏洞修補流程,以降低此類事件重演的可能性。

    對於受影響的組織而言,應保持警惕,與法律機構和資安專家合作,採取全面的應對措施,最大程度減輕攻擊帶來的影響。

    有關Clop勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

    LockBit 勒索軟體組織透過 4.0 版本策劃強勢回歸

    Posted on by blogadmin

    全新 4.0 版本的計劃與背景

    2024年12月19日,竣盟科技的暗網研究發現,LockBit 勒索軟體組織宣布計劃於2025年2月3日推出全新版本 LockBit 4.0,預示其試圖重新進入網路犯罪市場,並恢復因全球執法行動而大幅削弱的影響力。

    此次 LockBit 4.0 版本的推出,距離 2024 年初的全球執法行動(Cronos Operation)已近一年。該行動對 LockBit 造成了重大打擊,導致其核心成員被捕,並成功追回近 7,000 把解密密鑰,這在一定程度上為許多受害者帶來了救助。隨著此行動的發生,競爭對手如 RansomHub 等迅速崛起,並迅速成為當前市場中最活躍的勒索軟體組織。

    LockBit 在其公告中以挑釁的語氣宣稱:“想擁有蘭博基尼、法拉利,甚至更多……女孩嗎?立即加入我們,僅需五分鐘便可開始你的『滲透測試億萬富翁之路』。” 這種言辭不僅凸顯其對受害者的冷酷態度,也揭示了該組織對新成員的招募策略,藉由誘惑與極端的暴利承諾來吸引更多人加入其犯罪行列,進一步擴大其影響力。

    LockBit 4.0 的會員平台

    該平台提供了一個簡潔且高效的登入介面,用戶可透過幾個簡單的步驟註冊。登入過程中,用戶需輸入使用者名稱、密碼及驗證碼以完成身份驗證。

    此登入過程支援兩種主要的付款方式:

    1. 比特幣 (BTC) — 最常用於暗網交易的加密貨幣,具備廣泛的接受度和流通性。
    2. 門羅幣 (XMR) — 以其卓越的匿名性而聞名,使得交易較比特幣更難以追蹤,增強了隱私保護。

    這一雙重支付選項為有意參與的附屬會員提供了更大的靈活性,並顯示出 LockBit 集團在確保交易匿名性與安全性方面的高度重視。

    存取費用:777美元

    要完全存取 LockBit 4.0 平台並掌握勒索軟體的操作,會員需支付 0.007653 BTC,約合 777 美元。LockBit向任何願意付費的人開放 LockBit 4.0 代表著勒索軟體商業模式的徹底轉變。過去,此類先進工具的存取權限僅限於少數經過挑選且值得信賴的附屬會員。

    LockBit 4.0 平台提供什麼?

    一旦付款並完成註冊,用戶立即可以存取勒索軟體控制面板。從這個平台可以:

    • 為 Windows、ESXi 和 Linux 系統建立自訂勒索軟體版本。
    • 以有組織且自動化的方式管理勒索軟體攻擊活動。
    • 與受害者溝通協商贖金並處理付款請求。
    • 下載高級加密工具以快速有效地鎖定受害者的系統。

    挑戰與不確定性:LockBit 能否重振旗鼓?

    LockBit 能否成功以 4.0 版本重返網路犯罪的主導地位仍然存在諸多不確定性。該組織過去一年遭遇的重大打擊,包括成員被捕、執法機構的持續追蹤以及解密密鑰的外洩,已經大幅削弱其信譽和市場影響力。

    自 LockBit 3.0 推出以來已超過兩年時間。根據執法行動的時點推測,4.0 版本的開發可能涉及對其技術架構的重大改動,尤其是如果執法機構曾獲得部分源代碼,則可能進一步限制其技術迭代的能力。

    LockBit 的回歸之路並不平坦,該組織的可信度因與其他勒索軟體即服務(RaaS)組織的激烈競爭而進一步下降。目前市場中,RansomHub、 Hunters International、PLAY等競爭對手已明顯佔據主導地位。

    未來展望:是否轉變策略?

    隨著 RaaS 模式的擴展,LockBit 的未來行動策略將受到威脅研究員的密切關注,包括其可能選擇改變目標或攻擊地區以減少國際執法機構的壓力。

    LockBit 4.0 的推出標誌著其試圖回歸市場的重大一步。然而,面對激烈的競爭環境以及執法機構的不斷施壓,其能否重新獲得市場主導地位,仍需要時間來觀察。

    “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

    Play 勒索軟體聲稱入侵 Krispy Kreme,威脅洩露公司機密數據

    Posted on by blogadmin

    重點摘要

    1. Krispy Kreme 資料外洩事件
      知名的 Play 勒索軟體集團公開聲稱對 Krispy Kreme 的資料外洩事件負責,並威脅於 48 小時內公開相關數據。
    2. 數據洩露風險
      該組織揚言洩露公司內部敏感資料,對企業聲譽與運營構成重大威脅。
    3. 雙重勒索策略
      Play 勒索軟體採用「雙重勒索」手法,先竊取資料後加密系統,迫使企業支付贖金。
    4. 全球目標與影響
      Play 勒索軟體集團曾多次對全球多個行業發動攻擊,具備高度威脅性。
    5. 國際背景與連結
      最新報告指出,該集團與北韓APT駭客存在合作關係,進一步加劇其攻擊的複雜性與破壞性。

    事件詳情

    Krispy Kreme 作為廣受喜愛的甜甜圈品牌,於 2024 年 12 月 11 日正式披露其美國業務因資料外洩而受到影響。

    當時攻擊者身份尚未明確,但竣盟科技的暗網研究於 2024 年 12 月 19 日發現,Play 勒索軟體集團(亦稱 PlayCrypt)已在其暗網揭秘網站上公開承認此次攻擊的責任,並表示若企業不在指定期限內回應要求,將公開內部機密資料。根據聲稱,可能洩露的資料包括:

    • 身份證明文件
    • 客戶相關檔案
    • 員工薪資資訊
    • 財務相關數據
    • 預算與會計記錄
    • 稅務文件
    • 私密及個人機密信息

    背景與威脅評估

    Play 勒索軟體集團自 2022 年 6 月首次現身以來,迅速成為全球網路安全領域的重大威脅。他們專門針對商業、政府、基礎建設、醫療以及媒體等多個領域發動攻擊,足跡遍及北美、南美及歐洲,展現其攻擊範圍與技術的高度成熟性。

    該集團採用「雙重勒索模式」,不僅加密受害者的數據,還威脅公開其敏感信息,以進一步施壓受害者支付贖金。2023 年 6 月,該組織針對瑞士政府部門發動的一次攻擊,導致數十萬人個人信息被洩露,成為其最具影響力的事件之一。

    在 2024 年 7 月,Play 勒索軟體針對 Linux ESXi 環境推出新型變體,攻擊手段再度升級。同年 10 月,Palo Alto Networks 的 Unit 42 團隊揭示,該集團與北韓政府支持的駭客合作,進一步提升攻擊的國際化與組織化程度。

    總結與建議

    此次 Krispy Kreme 事件再度凸顯勒索軟體集團的威脅性與其攻擊手段的多樣化。隨著與國家支持駭客合作的跡象浮現,Play 勒索軟體集團已成為全球企業面臨的重大安全挑戰。建議企業加強內部資安防禦能力,採取多層次的應對策略,並確保針對此類威脅具備迅速回應的機制,以降低可能帶來的業務與聲譽損害。

    有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

    e12f93d462a622f32a4ff1e646549c42                  

    f01eae4ee3cc03d621be7b0af7d60411

    540853beffb0ba9b26cf305bcf92fad82599eb3c

    e3069713add2d99750af6c30580fb3595a0b6abc             

    254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be7

    99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e   

    b1ac26dac205973cd1288a38265835eda9b9ff2edc6bd7c6cb9dee4891c9b449

    b4f5d37732272f18206242ccd00f6cad9fbfc12fae9173bb69f53fffeba5553f

    “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

    支付298萬美元贖金無濟於事:角川集團仍難擋BlackSuit勒索軟體洩密風暴

    Posted on by blogadmin

    報導,日本知名媒體巨頭角川公司在2024年6月遭受了嚴重的網路攻擊,最終向與俄羅斯有關的BlackSuit勒索軟體集團支付了298萬美元贖金。然而,即便如此,該組織仍違背承諾,洩露了大量被盜數據。

    什麼是 BlackSuit 勒索軟體?

    BlackSuit 是一種具有高針對性和高破壞力的勒索軟體,自 2023 年底以來,Darktrace 已偵測到其滲透進入多家美國企業的網路。該勒索軟體的攻擊範圍廣泛,目標行業涵蓋藝術、娛樂、房地產、公共管理、國防以及社會保障等領域。

    根據報導,BlackSuit 勒索軟體已索要超過 5 億美元的贖金,單次最高要求達到 6,000 萬美元。在過去BlackSuit針對的目標包括,CDK Global(一家專注於汽車零售技術的全球公司);多家教育機構(特別是美國的高等教育機構);Octapharma Plasma(一家專注於血漿治療的全球生物醫藥公司);巴西政府(影響其多個公共部門運營)等等。

    攻擊始末與初步影響

    這場網路攻擊於6月8日首次發生,目標鎖定角川的伺服器,涵蓋支援流行視訊串流平台Niconico及其相關服務的系統。攻擊者BlackSuit聲稱對此事件負責,並表示在發動攻擊前幾週已成功滲透角川網路,利用系統漏洞存取了大量敏感數據,包括員工詳細資料、合約文件以及財務記錄等。

    BlackSuit駭客組織向角川高層發送的電子郵件,Photo Credit: 共同通訊社

    作為日本媒體領域的龍頭企業,角川以其多元的出版、電影及網路服務業務享譽業界。然而,這次攻擊對其運營帶來了毀滅性影響。Niconico服務被迫中斷數週,角川不得不採取臨時措施以維持部分平台功能。此外,其出版和商品業務也因延誤而受挫,進一步損害了公司聲譽與財務穩定性。

    緊張的贖金談判

    根據網路安全公司Unknown Technologies曝光的內部信件,角川公司與攻擊者之間的談判充滿緊張與不確定性。BlackSuit初步索要825萬美元的巨額贖金,然而,角川子公司Dwango Co.的營運長栗田茂隆(Shigetaka Kurita)表示該數額無法接受。栗田在與攻擊者的溝通中指出,由於公司在此前涉及東京奧運賄賂醜聞後採取了更加嚴格的合規政策,支付金額被限制在300萬美元以下。

    最終,雙方協議支付價值298萬美元的比特幣(44枚),以換取攻擊者刪除被盜數據的承諾。然而,支付完成後,BlackSuit仍洩露了大部分敏感數據,包括Dwango Co.所有員工的個人信息及其他公司機密資料。

    資料洩露與後續影響

    此次數據洩露對角川公司及其相關利害關係人造成了深遠影響。雖然角川公司聲明未涉及信用卡資訊洩露,但洩露的員工個資與公司敏感數據嚴重損害了其公眾形象,並引發用戶及投資人的強烈不滿。

    據分析,這些資料已被BlackSuit在暗網公開展示。角川公司對外表示,警方已介入調查,並拒絕正面回應是否支付贖金。然而,支付贖金的消息經洩露後,再次引發了有關勒索談判的道德與實際效果的激烈討論。專家警告稱,向攻擊者支付贖金不僅可能鼓勵其繼續犯罪,還不能保證資料不被洩露或受害者不被再次攻擊。

    結語

    角川的經歷提醒我們,面對不斷進化的勒索軟體攻擊,企業不僅需要加強技術防禦,更應在管理層面建立更健全的資安文化與預案。將資源投入於預防與恢復能力建設,才是最有效的應對方式。

    BlackSuit勒索軟體的部分的入侵指標(IOCs):

    0bb61c0cff022e73b7c29dd6f1ccf0e2                 

    1b2b0fc8f126084d18c48b4f458c798b                

    3900ebc7766f3894fb1eb300460376ad

    3bf1142b3294c23852852053135ec0df

    519dc779533b4ff0fc67727fecadba82

    6015e6e85d0d93e60041fa68c6a89776    

    76a2363d509cc7174c4abee9a7d7ae68   

    820cfde780306e759bb434da509f7a91

    b54240c98ca23202e58a1580135ad14c

    bed5688a4a2b5ea6984115b458755e90