竣盟科技 - Billows 技術/情資訊息分享

美國500強企業之一, 科技巨頭Xerox全錄公司被納入Maze迷宮勒索軟體的名冊，成為了Maze的受害者!

Posted on 2020 年 7 月 1 日2020 年 7 月 24 日 by blogadmin

在越來越多的勒索軟體中，Maze的名聲不能否認是最響亮的，Maze以不付贖金就公開受害公司的隱私資料和和文件受到矚目。據稱Maze已於6月25日完成加密Xerox全錄的系統，但尚未得到Xerox的回應和證實，從Maze背後駭客組織於其架設的Maze News揭秘網站上的螢幕截圖顯示，至少一個Xerox域上的電腦已被加密。Maze一如往常提供入侵受害系統的佐證，並沒透露這起攻擊的其他細節。

Maze背後駭客稱，他們已經從Xerox公司竊取了100GB以上的文件，如果Xerox選擇不參與贖金的談判，他們將公開所有文件。“在付贖金後，數據將從我們的disks刪除，並為您提供解密工具，以便您可以還原所有文件，”勒索信上寫道。

圖片顯示，由Xerox Corporation管理的“ eu.xerox.net”上的主機受到了攻擊，其他域上的系統也可能受到影響。

根據Bleeping Computer, Maze勒索軟體入侵了歐洲的Xerox分公司的域，並暗示主機在倫敦。

Xerox全錄公司在至少160個國家/地區擁有龐大的業務。它在2020年第一季度的收入超過18億美元，在全球擁有27,000名員工。它是「財富」美國500強企業之一，目前排名第347位，去年收入超過90億美元。

Maze勒索軟體一直入侵大公司，受害者包括LG電子，晶片製造商MaxLinear，IT巨頭Cognizant和商業服務公司Conduent等等。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

AlienVault OTX情資平台有針對Maze 勒索軟體的相關情資：

https://otx.alienvault.com/pulse/5df8fc8ca909fd8ac4ccc2ac

參考來源：https://www.bleepingcomputer.com/news/security/business-giant-xerox-allegedly-suffers-maze-ransomware-attack/

*****竣盟科技快報歡迎轉載，但請註明出處。

駭客也來發新聞稿!

Posted on 2020 年 6 月 23 日2020 年 7 月 24 日 by blogadmin

竣盟科技快報: 惡名遠播的Maze 勒索軟體來發新聞稿! Maze背後駭客組織於6月22日在其架設的Maze News揭秘網站上, 發佈官方新聞稿, 根據Maze勒索軟體駭客組織稱, 多間試圖解密他們的Maze Locker的企業,花費了比贖金更高昴的三, 四倍價格來聘請第三方資安公司為他們來解密, 不但沒成功,更拖延了公司的正常運作, 他們呼籲嘗試解密並不是在恢復, 而是試圖自殺, 可見Maze對其入侵攻擊充滿信心和狂妄!

以下附上Maze News揭秘網站上的公開新聞稿,

Maze也特別公開點名有聘用第三方資安公司(為談判者的角色) 的四個個案，包括ST Engineering新加坡新科工程, MaxLinear Inc半導體巨擘麥凌威, IT 網路提供商Conduent Inc , 和M.J.BRUNNER。以下內容Maze為舉例說明:

1.ST engineering 已在談判中損失了被公開的5%的資訊和千萬美元,Maze說他們持有ST engineering武器合約, 獨裁國家的合約, 政府資安架構等等。

2. Conduent 和它的子公司的客戶資料包括財務資訊將會被公開。

3. MaxLinear在所謂的談判過程中, 損失了他們的IT 產品的原始碼,還有他們為Intel Corporation的所有開發同時也包約合約和財政報告等等, 損失會高達4億美元

4. 在M.J. Brunner個案中，談判破裂,Maze利用Ragnar Locker 盜來的數據攻擊了另一家公司Seic(https://seic.com/)，數據將很快被外洩，因為“談判者在要求不存在的文件”

在Maze 陳述4個跟他們談判的個案時, 他們同時也預警將有LG的資料被公開(綠框部分), 看來這次的新聞稿目標旨在讓受害者”從善如流”的付贖金。

***以上內容單純是資料分享, 不代表本站立場。

參考來源: https://twitter.com/shad0wintel/status/1275181278703255552

*****竣盟科技快報歡迎轉載，但請註明出處。

禍不單行, 日本麒麟Kirin 旗下澳洲Lion公司二度受駭！

Posted on 2020 年 6 月 22 日2020 年 7 月 24 日 by blogadmin

禍不單行, 日本麒麟Kirin 旗下澳洲Lion公司二度受駭！

澳洲飲料公司Lion在幾天內遭受第二次網路攻擊，日本麒麟控股Kirin的澳洲子公司Lion 於6月8日發布公告，稱其系統遭遇網路攻擊而癱瘓，它們已採關閉IT系統等措施，影響了其生產線和客戶供應服務等問題。據了解駭客使用REvil勒索軟體攻入Lion，加密了Lion公司的文件並破壞其IT系統，在第一次攻擊時，導致製造流程和客戶服務中斷，據Lion官方網站，它們於6月15日在恢復其系統的運作已經取得良好的進展, 另外也積極地儘快恢復生產缐。Lion公司並未付贖金，據了解REvil經常會在受害者未付贖金的情況下，在暗網上洩漏少量文件作為威脅，將其作為一種討價還價的手段。

雪梨晨鋒報Sydney Morning Herald報導 , Lion公司的CEO, Stuart Irvine在周四(6月18)下午3點的員工會議上對員工說，它們遭到了第二次的網路攻擊，繼而使它們的IT系統進一步被破壞。該公司沒有透露第二次攻擊的詳細過程和相關資訊，僅只證實了第二次攻擊是預期的，攻擊手法也一樣，它們已僱用資安公司Accenture協助其進行恢復運作。

消息人士稱， Irvine對員工說這次攻擊被形容對公司的對網路危機的重大挑戰, 但Irvine也進一步表示, Lion公司現在已經採取了新的控制措施和技術來防止進一步的攻擊。

另外根據資安研究員Shadow Intelligence 的twitter上, 可見REvil 背後的駭客組織已公開他們盜來有關Lion公司的資訊。

#REvil #ransomware just disclosed a new victim:https://t.co/ibAppymAFg

"Lion is one of Australasia’s largest food and beverage companies, employing over 7,000 people across Australia and New Zealand."#infosec #breach #CyberSecurity #leaked pic.twitter.com/cEf6VVpqB9
— Shadow Intelligence (@shad0wintel) June 17, 2020

根據Sydney Morning Herald報導REvil 的駭客組織要求80萬美金相等於116萬澳元的Monero加密貨幣來解密Lion公司的文件, Lion拒絕評論80萬美元勒索的報導。

有關REvil 的情資: https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

參考來源: https://read01.com/8aEjmx0.html

https://www.smh.com.au/technology/cyber-crisis-deepens-at-lion-as-second-attack-bites-beer-giant-20200618-p5540c.html

*****竣盟科技快報歡迎轉載，但請註明出處

Maze勒索軟體入侵泰國基礎建設-電力公司巨頭, 首次伸延至東南亞!

Posted on 2020 年 6 月 20 日2020 年 7 月 24 日 by blogadmin

⚠️Maze勒索軟體的毒手首次伸延至東南亞，入侵泰國基礎建設-電力公司巨頭Provincial Electricity Authority(PEA)

根據網路資安研究員Ransom Leaks爆料，Maze勒索軟體團隊已經入侵和盜取泰國最大電力公司PEA的敏感資訊,並已將8.5GB的公司資料放在”Maze News”的揭秘網站上。

如下圖

根據小編在twitter上的觀察, 從今天早上開始已有民眾投訴不能使用PEA的Kplus系統付費,而PEA官方Twitter也回應，它們的系統目前在維護中,請客戶親臨門市付費。以下附上在Twitter看到PEA客戶對系統不能正常運作的回報及PEA的回覆。如下圖

關於泰國電力公司PEA（全稱Provincial Electricity Authority）：

泰國省際電力公司PEA作為東南亞最重要的電力企業之一，是泰國最大的電力公司, 負責泰國74個省的電力供應，電網業務覆蓋泰國99.98%的國土面積，

服務1700萬客戶，擁有512個變電站和914個office，

電力傳輸長達10,173 cct-km，電力傳輸光纖資源達到24000 km。

*****竣盟科技快報歡迎轉載，但請註明出處。

紐西蘭CERT發佈的資安警報, 直接引用了OTX平台上針對Nefilim 勒索軟體的相關情資, 值得參考!

Posted on 2020 年 6 月 20 日2020 年 6 月 20 日 by blogadmin

紐西蘭CERT(電腦緊急應變團隊)已發布安全警報，警告有關Nefilim勒索軟體組織的攻擊,

CERT NZ提醒遠端工作可能使您的網路面臨Nefilim勒索軟體的風險並發佈了有關利用遠端桌面（RDP）技術和Nefilim勒索軟體活動的資訊,

紐西蘭Cert特別在這份警報裹,引用了AlienVault OTX情資平台上針對Nefilim勒索軟體的相關入侵指標和情資, 在此提供您參考

https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

https://otx.alienvault.com/pulse/5ed88c3876496dea6e1403e5

紐西蘭CERT的資安警報: https://www.cert.govt.nz/it-specialists/advisories/active-ransomware-campaign-leveraging-remote-access-technologies/

北韓駭客 Lazarus Group 又透過社交工程出手，在LinkedIn進行網路間諜活動…

Posted on 2020 年 6 月 18 日 by blogadmin

資安研究人員近日揭露了針對“大型航空公司和軍事企業”的網路間諜釣魚和惡意軟體活動，相信該活動是由 2014 年攻擊 Sony Pictures 的同一北韓駭客集團 Lazarus Group 發起的.

網路資安研究人員周三表示，駭客冒充美國航空和國防巨頭 Collins Aerospace 和 General Dynamics 的 HR 招募人員，在 LinkedIn 上闖入歐洲的軍事承包商網路。

斯洛伐克的網路安全公司 ESET 說，在去年年底時, 網路間諜透過提供美國公司的工作機會來接觸受害者，從而破壞了中東和歐洲至少兩家國防和航空公司的系統。

ESET 威脅研究負責人 Jean-Ian Boutin 說，攻擊者利用 LinkedIn 的私人訊息功能，發送能誘騙受害者打開惡意代碼的文件。

ESET 以客戶機密為由，拒絕透露受害者的名字，也不透露是否有任何資料被盜。雷神科技公司 Raytheon Technologies Corporation 所擁有的 General Dynamics 和 Collins Aerospace 也拒絕評論。

ESET 無法 100% 確定駭客的身份，但表示此次攻擊與一個名為北韓駭客集團 Lazarus Group 有一定關聯，該組織被美國檢察官指控策劃了一系列針對性的網路攻擊，其中包括 Sony Pictures 和孟加拉中央銀行的搶案。

研究人員說，一旦進入目標網路，犯罪者將試圖強行使用他們可以找到的任何 Active Directory 管理員帳戶，通過將數據捆綁到 RAR 壓縮檔中，並試圖將其上傳到 Dropbox 帳戶中以竊取數據。

在受害者被捲入後，Lazarus 會試圖誘使他們下載受密碼保護的 RAR 存檔，其中包含“ LNK 文件”。一旦點擊該 LNK 文件包含工作資料的 PDF 就會出現在受害者面前。受害者其實是下載了一個惡意執行檔 (.EXE)，這個執行檔會建立許多文件夾，並在 Windows 工作排程器設定為每隔一段時間執行一次遠端腳本。

圖片來源: ESET , 這使攻擊者可以在目標公司內部獲得最初的立足點，並在受到感染的電腦上獲得持久性，圖片說明了導致入侵的步驟。

攻擊者要求受害者在使用 Internet Explorer 的 Windows 電腦上回應他們的工作機會。駭入後進到 Powershell，並利用了預設公開可用的 PowerShdll 執行 PowerShell 命令，這也間接證明 Lazarus Group 在嘗試進行暴力破解之前，會先透過連接的 domain 來列舉所有 Active Directory 帳戶，接下來就是暴力破解取得管理員權限。

另外，這些攻擊並不是 LinkedIn 首次被國際間諜活動所困擾，對手使用 LinkedIn 來挑選軍事和國防公司的目標，隨後向他們提供假的工作機會。攻擊者不怕直接接觸，並與受害者聊天，說服他們打開惡意文件。

LinkedIn表示已找出並刪除了攻擊者使用的帳戶。該公司的資安負責人 Paul Rockwell 說：“我們積極尋找平台上由國家級駭客的活動的跡象，並迅速採取行動對付不良行為者。

關於這起間諜攻擊的資安事件, OTX 的情資平台也有相關的 MITRE ATT&CK 攻擊手法和相關情資, 請點擊以下連結

https://otx.alienvault.com/pulse/5eea47f6776f5e41c8346a31

另外也附上Lazarus Group的相關情資

https://otx.alienvault.com/pulse/5ebaee4cb570b4824f773f44

參考來源:

https://www.welivesecurity.com/wp-content/uploads/2020/06/ESET_Operation_Interception.pdf

https://www.techtimes.com/articles/250404/20200617/hackers-hacking-campaign-targets-aerospace-and-military-staff-with-cyberattackers-posing-as-hr-offering-fake-jobs.htm

V怪客來襲! 假冒台灣疾病管制署進行惡意釣魚攻擊…

Posted on 2020 年 6 月 17 日2020 年 7 月 24 日 by blogadmin

竣盟科技資安快報: 台灣的防疫成功, 衞生福利部疾病管制署功不可沒! 也因為台灣的成功, 引來了駭客虎視眈眈並進行攻擊, 以竊取機密情報, 一個神秘的駭客組織 ” V怪客” 被發現一直在冒充台灣疾病管制署 CDC，鎖定盜取某些台灣用戶的敏感數據, 根據外媒 Cyberscoop 報導, V 怪客(Vendetta)駭客組織特別挑選了攻擊對象–其中可能包括向台灣疾病管制中心的員工發出精心編寫的惡意釣魚郵件, 這起資安事件是由西班牙電信 Telefonica 資安部門的 ElevenPaths 所發現並披露的。在 5 月初時，駭客向某些台灣用戶發送了魚叉式網路釣魚電子郵件，敦促他們進行新型冠狀病毒測試，電子郵件附帶了一個名為 Nanocore RAT 的遠端駭客工具，能夠竊取登錄憑證並劫持網路攝影機，使駭客能控制和盜竊受害者系統中的資料。ElevenPaths 的威脅情安分析師 MiguelÁngel de CastroSimón 說: 由工具的類型和選擇的目標, 顯示了駭客的入侵是在尋找特定情報，而且主要是政府方面的情報。”

V 怪客組織是網路犯罪領域中一個相對較新的參與者，僅在最近兩個月才出現, 該組織活動的最初跡象於今年 4 月間發現。研究人員說，他們擅長以多種語言冒充機構官員, V 怪客是一個多產的組織，主要以 Covid-19 相關的惡意釣魚電子郵件活動作為攻擊手段。在澳洲，墨西哥，埃及，羅馬尼亞，奧地利和中國已經觀察到該組織的攻擊，目標是盜取商業和政府部門組織的敏感資料與情報。

研究人員說 V 怪客組織的武器庫包括特制工具以及商業軟體, 其中包括 Nanocore RAT，AgentTesla，Remcos 和 Formbook，ReZer0，Azolurt，Warzone RAT (Ave Maria) 或Hawkeye。V 怪客還使用不同的手動打包器例如 ConfuserEx，Eazfuscator，IntelliLock 或 iLProtector。

另外當被問及台灣有多少用戶受到攻擊時， CastroSimón 說：“這類組織不會進行大規模攻擊，但是[有選擇性]，因此[受害者]的數量不會太多，CastroSimón 再説道，目前尚不清楚網路釣魚是否成功。

參考來源:

‘Vendetta’ hackers are posing as Taiwan’s CDC in data-theft campaign

如果您想知道關於 V 怪客的相關情資和 MITRE ATT&CK 的攻擊手法, 請直接點向以下連結：

https://otx.alienvault.com/pulse/5ebeb6c93487c96715a4d504

竣盟科技快報歡迎轉載，但請註明出處

關於奧地利最大的電信公司 A1 Telekom 長期間遭駭事件

Posted on 2020 年 6 月 17 日2020 年 7 月 16 日 by blogadmin

在吹哨人 Libertas 向 IT 部落客 Haschek 和德國媒體 Heise.de 投信揭發並曝光後，奧地利最大的網際網路服務提供商 A1 Telekom，本周承認存在安全漏洞。A1 Telekom 在去年 11月發現網路受惡意軟體感染, 但資安團隊在 12月才檢測到確切的惡意軟體, 同時發現該惡意軟體難以移除, 致使他們花了六個月才能將該惡意軟體連根拔起並取回 Web 伺服器的控制權。

A1 Telekom是奧地利最大的電信公司之一，他們擁有包括 FTTH 連接在內的各種 IT 基礎架構業務。他們的年收約為 25億歐元，擁有 8,300 多名員工。A1 Telekom 在向奧地利的多個偏遠地區提供行動電話連接和 Internet 服務, 實際上具有壟斷性的地位。

在 2019年 12發現了駭客透過利用未公開的 Microsoft 產品漏洞, 設法破壞了 A1 的企業網路。由於 A1 內部回應團隊未能及時做出有效回應，故當他們在2020年5月22日方能阻止漏洞時，時間已經過了六個月。據報導在 A1 Telekom 被駭客攻擊的事件中，駭客組織利用惡意軟體感染了 Web 伺服器並安裝了 Web Shell。從此之後，他們就可以任意安裝其他工具，以便他們在 A1 網路探索游走。

A1 Telekom 在接受在德國新聞網站 Heise.de 的採訪中表示，儘管持續了六個多月相當嚴重的漏洞影響，但攻擊者”並未獲得任何客戶的敏感數據。” A1 稱內部網路的複雜性阻止了駭客訪問他們的其他系統，“因為成千上萬的數據庫及其關係對於外部人員而言並不容易理解”

至於被洩露了什麼樣的數據? 消息人士稱，駭客訪問了公司的內部和一些外部客戶數據庫。吹哨者說，駭客總共可以訪問 12,000台伺服器，但遭 A1 否認並稱攻擊者只能訪問「一個不包含任何客戶數據的 SQL 數據庫」。 A1也聲稱儘管駭客在六個月內對系統持續不間斷的訪問，但從未訪問或洩露過任何敏感的客戶端數據。

後記: 相信是出自於外交的考慮，A1 Telekom 並未指明這次攻擊事件駭客的身份。但根據吹哨者透露這次資安漏洞是由中國國家級 Gallium 駭客組織引起, Microsoft 威脅情資中心(MSTIC) 在 2019年 12月 12日發佈了關於 Gallium 駭客組織的安全警報，警告電信業者提高警覺, 因為可能將要面臨著大規模的持續攻擊行動。而眾所周知，Gallium 駭客組織會在已被入侵的電信公司中, 搜尋所有範圍內的機密資料。

參考來源:

https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/

https://blog.haschek.at/2020/the-a1-telekom-hack.html

*****本文歡迎轉載，但請註明出處。

Anonymous “匿名者”預警了?! 美國遭到 DDoS 重大攻擊 , T-Mobile, Verizon, Instagram, Facebook…等, 呈現斷網狀態…

Posted on 2020 年 6 月 16 日 by blogadmin

竣盟科技快報: Anonymous “匿名者”預警了?! 美國遭到 DDoS 重大攻擊 , T-Mobile, Verizon, Instagram, Facebook 呈現斷網狀態…

根據 ”匿名者” 在 Twitter 發佈的推文, 下圖可見, 代表全球駭客組織的匿名者, 認為美國正面臨大規模的 DDoS 攻擊, 情況也極為嚴重.

The U.S. is currently under a major DDoS attack. https://t.co/7pmLpWUzUp pic.twitter.com/W5giIA2Inc
— Anonymous (@YourAnonCentral) June 15, 2020

美國時間 6月15日由於電信服務被中斷, 影響的範圍甚廣, 美國三大電信公司之一, T-Mobile 證實它們在全美國各地正處於斷網狀態, 客戶無法撥打電話或發簡訊。

Our engineers are working to resolve a voice and data issue that has been affecting customers around the country. We’re sorry for the inconvenience and hope to have this fixed shortly.
— Neville (@NevilleRay) June 15, 2020

上圖為 T-Mobile 的技術總監在 Twitter 推文上, 向客戶致歉。

另外, 在 Downdetector 的網站上,列出了正處於斷網狀態的一系列美國網站, 包括 T-Mobile, Metro, Verizon, AT&T, Sprint, Consumer Cellular, US Cellular, 網路提供商 Spectrum, Comcast, CenturyLink, Cox, 社交媒體平台 Facebook, Instagram, Twitter, Snapchat, Twitter, 遊戲和遊戲服務 Fortnite, Roblox, Call of Duty, Steam, Xbox Live, Playstation Network, 流行媒體服務 Netflix, Hulu, HBO Now, Twitch, 金融業如大通銀行, 美國銀行, 送貨服務 Doordash 和其他主要平台, 例如 Google 和 Zoom.

“匿名者” 也聲稱 DDoS 攻擊的來源仍然未知, 但推測可能是中國, 因為南北朝鮮之間的局勢目前正在惡化。

The source of the DDoS attack on the United States is currently unknown. We speculate it may be China as the situation between South and North Korea is currently deteriorating.
— Anonymous (@YourAnonCentral) June 15, 2020

有趣的是 CloudFlare 的創辦人兼 CEO. Matthew Prince 似乎並不認為這些網路中斷與 DDos 攻擊有關, Matthew Prince 在他的推文寫道: 目前，針對美國的“大規模 DDoS 攻擊”引起了廣泛關注，並附有令人恐懼的圖表（請參閱下面的 Tweet）。儘管在當前已經很戲劇化的時期成為了很好的頭條新聞，但這並不準確。實際上可能只是個無趣的事件。

There’s a lot of buzz right now about a “massive DDoS attack” targeting the US, complete with scary-looking graphs (see Tweet below). While it makes for a good headline in these already dramatic times, it’s not accurate. The reality is far more boring. 1/X https://t.co/4wDIlKnfQg
— Matthew Prince 🌥 (@eastdakota) June 15, 2020

DDoS attack (distributed denial-of-service attack)，中文名稱為分散式阻斷服務攻擊，DDoS 攻擊是一種分散式阻斷攻擊，旨在破壞網頁或服務，並讓實際使用它的用戶無法訪問。與普通的直接阻斷服務攻擊不同，因為 DDoS 攻擊來自廣泛的來源，所以使得防止變得更加困難。這種攻擊經常使得伺服器因請求過載而無法提供服務。

#竣盟科技資安快報

#Billows #竣盟科技

#美國 DDoS 攻擊

#需要👽SIEM👽記得找竣盟科技唷

#資安交流 #誘捕專家Acalvio的ShadowPlex平台竣盟科技也有代理喔

#快follow竣盟科技的粉絲專頁吧^^