標籤: News

      據信中國國家級駭客越來越多地部署勒索軟體，以造成干擾並為其間諜活動提供掩護，美國網路安全公司SentineOne分享的一份報告中顯示，ChamelGang（又名CamoFei）在2022年使用CatB勒索軟體變種針對印度主要醫療機構 (All India Institute of Medical Sciences (AIIMS)和巴西總統辦公室發起的攻擊，以及在2023年針對東亞政府實體和印度次大陸航空組織的攻擊。研究人員表示，ChamelGang 組織反覆部署勒索軟體和加密器，「目的是獲取經濟利益、破壞、分散注意力、入侵歸屬或刪除證據」。 據稱，ChamelGang 先前曾針對多種組織發動攻擊，包括東亞政府、南亞航空組織以及美國、台灣和日本等其他國家的政府和私人組織。

      由於程式碼重疊，研究人員將CatB勒索軟體和BeaconLoader與ChamelGang關聯起來。進一步調查顯示，ChamelGang經常將BeaconLoader偽裝成Windows服務或軟體元件，例如TSVIPSrv.dll和TPWinPrn.dll並可能透過它部署Cobalt Strike來執行偵察命令、其他工具以及竊取NTDS.dit Active Directory等文件資料庫，儲存關鍵資訊。

      ChamelGang的武器庫中擁有許多工具，包括BeaconLoader、Cobalt Strike、AukDoor和DoorMe等後門，以及名為CatB的勒索軟體變種。根據其共通性，該勒索軟體已被確認用於針對巴西與印度的攻擊。

      研究人員還發現ChamelGang使用Jetico BestCrypt 和Microsoft BitLocker來加密端點並索取贖金的入侵，在2021年初至2023年中期影響了北美、南美和歐洲的各個垂直產業。據估計多達37個組織，主要是美國製造業，受到的影響最大。

      使用BestCrypt和BitLocker的入侵以及類似於LIFARS案例中的勒索紀錄，已歸因於名為TimisoaraHackerTeam和DeepBlueMagic的勒索軟體組織。這些組織與針對以色列HillelYaffe 醫療中心等醫療機構的攻擊有關，以色列當局表示懷疑是中國勒索軟體組織為幕後黑手。

      根據俄羅斯資安研究公司Positive Technologies於2021年首次紀錄，ChamelGang被評估為一個與中國有聯繫的組織，其運作動機多種多樣，包括情報收集、資料竊取、經濟利益、拒絕服務(DoS)攻擊和資訊操作。

      SentineOne的報告強調ChamelGang是一個持續存在的全球網路間諜組織，其目標是受戰略利益、區域競爭、地緣政治緊張局勢和技術競爭力驅動的印度和東亞等關鍵基礎設施部門(包含醫療保健、航空和製造業)。

      SentineOne進一步表示，不能排除這些活動是更廣泛的網路犯罪計畫的一部分的可能性，特別是考慮到國家級駭客也不時參與出於經濟動機的攻擊。

      安全研究人員Aleksander Milenkoski告訴  : 「我們觀察到的活動與過去的入侵重疊，涉及與疑似中國和北韓APT駭客組織相關的工作。」他表示，可見性限制可能導致無法檢測到惡意工具本身。偽裝成勒索軟體活動的網路間諜活動為敵對國家提供了一個機會，透過將這些行為歸咎於獨立的網路行為者而不是國家支持的駭客組織，從而聲稱可以進行合理的推諉。

      「網路間諜駭客組織使用勒索軟體模糊了網路犯罪和網路間諜活動之間的界線，從戰略和營運角度為對手提供了優勢。」

中國APT駭客ChamelGang相關的部分的入侵指標（IOCs）:

5a6baf931adad480b920394568c52a9d              

7b5bbc29e6addfa1fdaea839e500f995                          

88ef5955f8fa58e141da85580006b284                          

8dfeaaf7351f695024ed3604a4985e98                

b9337830c32f71a6ecccec60ba42de00              

edc87da8654e966bee0e5c9b92ed67cb                       

098e60cd5053ec9613d32a7ced68e44f1a417353             

09959be9b5f8ca21caa55577ce620034632a3f92              

0c762bff5b4a0bf5abbdf28afc15cfc6dce575b1

#BAN

美國政府宣布，由於來自俄羅斯的安全風險，禁止銷售卡巴斯基軟體，並敦促公民更換該軟體

美國政府週四(6/20)宣布禁止在該國銷售卡巴斯基防毒軟體，並且呼籲目前使用卡巴斯基相關產品的美國境內企業、消費者儘快更改到其他軟體服務。拜登政府宣布，由於俄羅斯對美國國家安全構成的風險，將禁止銷售卡巴斯基防病毒軟體。美國政府正在實施一項新規定，以俄羅斯構成國家安全風險為理由並利用在川普政府期間建立的權力來禁止銷售卡巴斯基軟體。美國商務部工業與安全局 (Bureau of Industry and Security，BIS) 宣布了一項最終裁決，禁止俄羅斯防毒軟體和網路安全公司的美國子公司卡巴斯基實驗室直接或間接提供防毒服務。美國商務部長吉娜·雷蒙多(Gina Raimondo)在周四的新聞發布會上告訴記者，當你想到國家安全時，你可能會想到槍支、坦克和飛彈，但事實是，它越來越與技術與軍民有關，而且與數據有關。 根據商務部長雷蒙，俄羅斯已經顯示出其有能力和意圖利用像卡巴斯基這樣的俄羅斯公司來收集和武器化美國人的個人資訊，因此美國政府必須採取行動的原因。

美國政府專家認為，俄羅斯克里姆林宮對卡巴斯基的影響構成了重大風險，據路透社報導，俄羅斯相關駭客可以濫用該軟體對電腦系統的特權存取權，從美國電腦中竊取敏感資料或散播惡意軟體。

這並不是西方政府首次禁止卡巴斯基，但該俄羅斯公司一直否認與俄羅斯政府有任何聯繫。 路透社報導稱，美國政府將採取另一項措施，將卡巴斯基的三個部門列入貿易限制名單。此舉將大大影響該公司在美國的銷售，並將打擊卡巴斯基的聲譽。據TechCrunch報導，該禁令將於7月20日開始，但該公司的活動，包括向其美國客戶提供軟體更新，將於9月29日被禁止。

「這意味著您的軟體和服務將降級。這就是為什麼我強烈建議您立即找到卡巴斯基的替代方案。」雷蒙多說。

雷蒙多呼籲卡巴斯基的客戶更換他們的軟體，並解釋說，已經使用卡巴斯基防病毒軟體的美國客戶並未違法。

「繼續使用或已有卡巴斯基產品和服務的美國個人和企業並未違法，您沒有做錯任何事，您也不會受到任何刑事或民事處罰。」雷蒙多補充說。「然而，我以最強烈的方式敦促您立即停止使用該軟體，並切換到其他替代方案，以保護自己、您的數據和您的家人。」

卡巴斯基回應指，他們相信美國的決定是基於當前地緣政治氣候和理論擔憂，而非對卡巴斯基產品和服務完整性的全面評估。

6月19日，美國晶片巨頭AMD( Advanced Micro Devices) 稱正在調查潛在的網路攻擊，根據BleepingComputer報道，化名為「IntelBroker」的駭客正在出售其聲稱是從本月在AMD.com 漏洞中獲得的數據，AMD在一份聲明中證實，他們正在調查這起資料被盜事件。

AMD 在給媒體聲明中表示：“我們發現一個網路犯罪組織聲稱擁有被盜的 AMD 資料。我們正在與執法官員和第三方託管合作夥伴密切合作，調查這一說法和數據的重要性。” 前一天(6月18日)，名為 IntelBroker 的網路犯罪組織在一個駭客論壇上發布該消息，聲稱6月某個時間點入侵了 AMD。被盜數據涉嫌包括即將推出的產品規格和計畫的數據，以及涵蓋員工和客戶資料的數據庫。其他被盜數據包括 AMD 的財務狀況、原始碼和韌體和ROM。為了增加駭客稱攻擊的可信度，IntelBroker 公佈了一些被盜數據的截圖，包括 AMD 員工的公司電子郵件地址和內部電話號碼。但顯示的員工資料均被標記為無效(Inactive)，可表明這些員工已經不再在公司工作，電子郵件已經失效。IntelBroker 也沒有公佈任何被盜的客戶資訊，因此不清楚具體被盜的資訊有哪些。但其他截圖顯示了似乎是 AMD 內部文件的內容。特別是，一個截圖文件提到了包括 Ryzen 和 EPYC 晶片系列在內的各種 AMD 晶片的規格發布。另外，2022 年勒索軟體組織RansomHouse曾聲稱從AMD竊得450GB 數據。

今天6月19日， IntelBroker在同一個駭客論壇聲稱入侵了Apple，並現已獲得了三種常用Apple 工具的原始碼，包含Apple Connect-SSO、 Apple -HWE-Confluence-advanced、Apple巨集插件。目前未看到Apple對駭客的聲稱有任何回應，IntelBroker的聲稱仍未獲得證實。根據CyberNews如果屬實，外洩的工具的名稱可表明Apple用於各種系統的單一登入驗證、協作和自動化，可能會危及公司的內部工作流程。然而，未經證實，其程度和影響仍不確定。另外值得注意的是IntelBroker對AMD及Apple的聲稱入侵都是發生在6月。

IntelBroker 以針對知名目標進行高調入侵而聞名，在過去，曾出售據稱從歐洲刑警組織、家得寶 (The Home Depot ) 、匯豐和健康保險市場 DC Health Link等竊取的數據。

    根據近期外媒CRN 和BleepingComputer相繼報導荷蘭軍事情報和安全局(The Dutch Military Intelligence and Security Service-MIVD)發現自2月以來，中國駭客威脅組織在2022年和2023年的幾個月內利用了一個關鍵的FortiOS和FortiProxy遠端程式碼執行零日漏洞CVE-2022-42475，部署於全球至少20,000個易受攻擊的FortiGate防火牆上。

在該活動期間內，Fortinet 於2022年12月披露遠端程式碼執行(REC)漏洞之前的兩個月內，有14000台設備受到滲透並發現西方政府、國防工業國家和國際組織都是目標之一。該活動中利用的RCE漏洞編號為 CVE-2022-42475（CVSS風險評為9.8分），該漏洞與今年早些時候與中國的APT駭客組織Volt Typhoon的攻擊有關。美國相關機構二月份表示，已知Volt Typhoon透過利用包括Fortinet在內的多家供應商的網路設備來獲得相關關鍵基礎設施IT系統的初步存取權限。

 美國機構當時表示，在美國機構分享的一個「已確認的入侵」案例中，Volt Typhoon「可能透過利用網路外圍FortiGate 300D防火牆中的CVE-2022-42475 漏洞獲得關鍵基礎設施IT系統的初始存取權限」。

MIVD表示：”攻擊中使用的Coathanger遠端存取木馬(RAT)惡意軟體也在用於非機密專案研發(R&D)的荷蘭國防部網路中被發現。儘管如此，由於網路分段，攻擊者仍被阻止轉移到其他系統。MIVD發現這種以前未知的惡意軟體可以在系統重啟和韌體升級後幸存下來，是由中國APT的駭客組織在針對荷蘭及其盟國的政治間諜活動中部署的。這使得駭客能夠永久存取系統，即使受害者安裝了FortiGate的安全更新，駭客仍可繼續保留這種存取權限。

Fortinet當時發佈了一篇博文，指出”組織需要制定強大的修補管理計畫，並遵循最佳實踐以確保基礎設施的安全”。Fortinet在2月向CRN提供的聲明中表示：”我們繼續督促客戶即時修補並持續監控其網路是否在異常活動，以幫助減輕網路風險。”

MIVD認為，中國駭客依然可以接觸到許多受害者，因為Coathanger木馬程式很難檢測，因為它會攔截系統呼叫以避免暴露其存在，而且由於它在韌體升級後仍然存在，因此很難將其刪除。

    2024年以來資安產品的CVE漏洞越來越頻繁，尤其以存取閘道資安漏洞最嚴重。所以全方位的存取閘道資安政策(情資)部署，包含身份認證辨識保護、威脅監控、威脅情資搜尋與事件比對、資安強度評估、全面性視覺化資安監控，是強化存取閘道安全最重要的資安防禦措施。竣盟科技的Billows UCM-資通安全威脅偵測管理平台，就是建立存取閘道的資訊安全高強度以及企業完善的資安防護運營。

最近揭露的 Ivanti Connect Secure (ICS) 設備中的兩個安全漏洞正被用來部署臭名昭著的Mirai 殭屍網路。

根據Jupiter威脅實驗室的研究人員報告稱 ，駭客正在利用Connect Secure (ICS) 和Policy Secure 中的兩個零日漏洞（CVE-2023-46805、CVE-2024-21887）在目標網關上執行遠端任意命令。CVE-2023-46805（CVSS 評分 8.2） 存在於 Ivanti ICS 9.x、22.x 和 Ivanti Policy Secure 的 Web 元件中，是一個驗證繞過漏洞，攻擊者可透過繞過控制檢查來存取受限資源而 CVE-2024-21887 是一個命令注入漏洞（CVSS 評分 9.1），是 Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure Web 元件中的指令注入漏洞，經過身份驗證的管理員可以透過發送特製請求並在裝置上執行任意命令來利用該漏洞。攻擊者可以連結這兩個漏洞向未修補的系統發送特製請求並執行任意命令。

Ivanti發布的公告稱，如果 CVE-2024-21887 與 CVE-2023-46805 結合使用，利用該漏洞不需要身份驗證，並使攻擊者能夠製作惡意請求並在系統上執行任意命令。

據觀察到的實例攻擊者利用 CVE-2023-46805 漏洞取得端點「/api/v1/license/key-status/;」的存取權限。然後攻擊者利用命令注入漏洞來注入他們的有效負載。

以下是專家觀察到的攻擊中使用的請求：

GET /api/v1/totp/user-backup-code/../../license/keys-status/{Any Command}

觀察到攻擊者使用curl和基於Python的反向shell來利用此漏洞的實例，使他們能夠控制易受攻擊的系統。專家表示，遇到了透過 shell 腳本傳遞的 Mirai 有效負載。觀察到的請求之一包括一個編碼的 URL，解碼後會顯示一個命令序列，試圖擦除檔案、從遠端伺服器下載腳本、設定可執行權限並執行腳本。然後腳本瀏覽系統目錄，從特定 URL 下載檔案，授予執行該檔案的權限，並使用特定參數運行它。研究人員分析了有效負載，並將其識別為 Mirai機器人網路。

研究人員進一步說，越來越多的人嘗試利用 Ivanti Pulse Secure 的身份驗證繞過和遠端程式碼執行漏洞，這對網路安全構成了重大威脅。透過這些漏洞傳播 Mirai 殭屍網路的發現突顯了網路威脅不斷變化的格局。Mirai 透過此漏洞傳播的事實也意味著其他有害惡意軟體和勒索軟體的部署也是可以預料的。因此了解如何利用這些漏洞並識別它們造成的特定威脅對於防範潛在風險至關重要。

有關Mirai殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

53f6cedcf89fccdcb6b4b9c7c756f73be3e027645548ee7370fd3486840099c4

67d989388b188a817a4d006503e5350a1a2af7eb64006ec6ad6acc51e29fdcd5

9b5fe87aaa4f7ae1c375276bfe36bc862a150478db37450858bbfb3fb81123c2

3e785100c227af58767f253e4dfe937b2aa755c363a1497099b63e3079209800

5b20ed646362a2c6cdc5ca0a79850c7d816248c7fd5f5203ce598a4acd509f6b

c27b64277c3d14b4c78f42ca9ee2438b602416f988f06cb1a3e026eab2425ffc