情資才是王道 - 竣盟科技

AT&T Alien Labs研究人員警告說，TeamTNT駭客集團已通過新增開源檢測逃避功能來升級對Linux平台的挖礦操作。

Posted on 2021 年 1 月 29 日 by blogadmin

擅長挖礦蠕蟲的TeamTNT駭客集團新增了一個利用開源程式庫中複製的檢測逃避工具。自2020年4月以來，TeamTNT一直活躍，眾所周知以Docker系統為目標。TeamTNT通常會掃描Internet以查找配置錯誤的Docker容器，鎖定Docker傳輸埠的分散式阻斷服務攻擊（DDoS）殭屍網路並植入惡意挖礦程式，它還可以從受感染的伺服器竊取憑証，在去年8月更發現該殭屍網路擴大範圍到配置錯誤的Kubernetes系統。

現在根據AT&T Alien Labs的研究人員的發現，TeamTNT已新增了另一個工具。該工具名為libprocesshider，是自2014年以來在GitHub上可用的開源工具，libprocesshider旨在從處理程序查詢工具（例如ps和lsof）中隱藏惡意程序，有效地作為防禦規避技術。

Alien Labs研究員Ofer Caspi補充說“libprocesshider可在ld預先載入器的幫助下用於隱藏任何Linux程序，執行readdir（）函數，該函數被”ps”等程序用於讀取 /proc 目錄以查找正在運行的程序，並在找到的程序與隱藏所需的程序之間存在匹配的情況下修改回應值。

Libprocesshider部署在在TeamTNT ircbot或cryptominer二進位檔案中並隱藏在base64編碼script中，在二進位檔執行後，bash腳本將執行許多任務，包括：

修改網路DNS配置。

通過systemd設置持續性。

投放並啟用新工具作為服務。

下載最新的IRC bot配置。

清除活動證據，使潛在的防禦行動變得困難。

首先將新工具設為磁碟上隱藏的tar檔案，然後透過script解壓縮，並寫入“ /usr/local/lib/systemhealt.so”，然後添加到“‘/etc/ld.so.preload”這樣就實現了預先載入技術，這使攻擊者可以覆蓋某些常用功能。

研究人員補充：“雖然libprocesshider的功能是逃避檢測和其他基本功能，但它可以作為在主機上搜尋惡意活動時要考慮的指標。”

有關TeamTNT新增逃避檢測工具的情資: https://otx.alienvault.com/pulse/5fc7e6165ab5e91b7c87aea3

SolarWinds事件又延伸，包括Qualys，Fidelis，Palo Alto Networks 和Mimecast的四家資安廠商披露因SolarWinds事件受駭

Posted on 2021 年 1 月 27 日 by blogadmin

SolarWinds供應鏈攻擊的後果比最初想像的要糟，最新的受害者Qualys，Fidelis，Palo Alto Networks 和Mimecast證實安裝了SolarWinds Orion應用程式的惡意木馬更新。

NETRESEC的資安專家本周透露，資安供應商Qualys也是SolarWinds事件的受害者。富比士雜誌報導資安公司Netresec的創辦人Erik Hjelmvik的調查結果，詳細描述了SolarWinds背後的駭客將第二階段payloads部署到他們認為價值很高的受感染網路的23個新domains。

這23個新domains中有2個corp.qualys.com，表明Qualys也是攻擊者的目標。

在Qualys在向富比士發表的聲明中，Qualys說入侵沒有看上去那麼大，聲稱其工程師在實驗室環境中安裝了一個木馬化版本的 SolarWinds Orion 應用程式，用於測試目的，與其主要網路分開。Qualys也說，隨後的調查沒有發現任何進一步惡意活動或數據洩露的證據。

然而，一些資安研究員並不認同Qualys的聲明，暗示”corp.qualys.com”的domain表明，駭客確實能存取其主網路，而不是像該公司聲稱的那樣進入實驗室環境。

Fidelis網路安全公司的首席信息安全官Chris Kubic在部落格說，他們也在2020年5月安裝了一個木馬化版本的SolarWinds的 Orion 應用程式，作為軟體評估(software evaluation)。Kubic 說，儘管攻擊者努力升級他們在Fidelis內部網路的存取許可權，但惡意軟體安裝被追溯到一台配置為測試系統的機器，它與核心網路隔離，並且”很少打開電源”，所以攻擊者無法部署第二階段payloads。但根據NETRESEC的調查，Fidelis的HQ.FIDELIS domain也在受感染網路的23個新domains中。

Mimecast是上述Mimecast是上述資安公司中第一個披露重大資安漏洞的，它透露威脅者破壞了其內部網路，並利用其產品之一使用的數位驗證來存取其某些客戶的Microsoft 365帳戶。

Microsoft 通知Mimecast，他們用於對Microsoft 365 Exchange Web Services的Mimecast同步和恢復，連續性監視器和IEP產品進行身份驗證的憑證已被

入侵破壞。Mimecast表示大約 10% 的客戶使用這種連接，有跡象表明在我們客戶的 M365 租戶中，有少數人成為攻擊的目標。

“我們的調查現已證實，這一事件與 SolarWinds Orion 軟體的有關，並且是由同一組駭客所為。

Mimecast調查還顯示，駭客存取並可能滲透某些由美國和英國託管的客戶創建的加密服務帳戶憑證。

Palo Alto Networks的代表告訴富比士，它發現了2020年9月和2020年10月發生的兩起與SolarWinds相關的事件。據富比士報導，“ Palo Alto說，它自己的工具通過查看其異常行為來檢測到該惡意軟體，因此被阻止了。”。“我們的安全運營中心隨後立即隔離了伺服器，進行了調查並驗證了我們的基礎架構是安全的。此外，我們的SOC將觀察到的活動通知了SolarWinds。我們的SOC進行的調查得出的結論是，嘗試的攻擊未成功，並且沒有數據受到破壞。”

之前有被報導受到SolarWinds供應鏈攻擊影響的其他資安公司包括FireEye（最初揭露了整個 SolarWinds 供應鏈攻擊的初始入侵）， Microsoft（入侵者訪問了公司的一些原始程式碼）， CrowdStrike（攻擊者入侵失敗）和 Malwarebytes （由SolarWinds攻擊者在另一事件中入侵，訪問了公司的一些電子郵件帳戶）。

深入了解Solorigate(Sunburst)第二階段活動：從SUNBURST到TEARDROP和Raindrop的情資:

https://otx.alienvault.com/pulse/60088b53da5e673bc2825ce8

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

資安廠商Malwarebytes遭駭，幕後黑手同為入侵SolarWinds供應鏈的駭客組織，Malwarebytes稱它們並沒使用SolarWinds產品，另在SolarWinds供應鏈攻擊中發現第四種新的惡意軟體Raindrop的出現!

Posted on 2021 年 1 月 20 日2021 年 1 月 20 日 by blogadmin

Key Points:

＊Malwarebytes揭露遭攻擊SolarWinds供應鏈的同一駭客組織入侵

＊Malwarebytes表示入侵與SolarWinds供應鏈無關，因為該其公司內網未使用任何SolarWinds軟體。

＊SolarWinds供應鏈事件中發現了第四種惡意軟體變種Raindrop

＊目前僅有四件 Raindrop 樣本，專家發現它跟另一款惡意軟體Teardrop 分工

反惡意軟體資安廠商Malwarebytes在其周二的blog文章中，證實遭SolarWinds供應鏈攻擊的駭客組織入侵，入侵不是通過SolarWinds的IT軟體發生的，相反，攻擊者利用了其公司Office 365和Microsoft Azure的帳戶作為切入點。

駭客通過Microsoft的Azure Active Directory入侵，公司可用於確保員工訪問公司 IT 系統。在12月15日（即SolarWinds駭客事件公開後的第二天），Microsoft告訴Malwarebytes，它注意到了來自Malwarebytes的Office 365系統內第三方應用程式的可疑活動並利用了Malwarebytes安裝在Office 365租戶中的一個休眠的電子郵件保護產品。

Malwarebytes表示“在特定的情況下，威脅參與者將帶有憑證的自簽名證書添加到服務主體帳戶。從那裡，他們可以使用密鑰進行身份驗證並進行呼叫API，以透過MSGraph（Microsoft Graph）請求電子郵件。

Malwarebytes聯合創始人兼CEO， Marcin Kleczynski今天說： “經過全面廣泛的調查，我們確定攻擊者僅能訪問公司內部電子郵件的一部分。我們的內部系統沒有任何證據表明在任何就地部署和生產環境中都有未經授權的存取或損害，且我們的軟體仍然可以安全使用。＂

另外，在SolarWinds供應鏈攻擊中，Symantec資安人員發現第四種新的惡意體Raindrop，並表示Raindrop與Teardrop惡意軟體類似，在很少數的入侵攻擊中被用作第二階段payload，目前為止僅發現了4個樣本。研究人員已將Raindrop認定為用於滲透後（post-compromise）活動的攻擊工具。根據賽門鐵克分析師的說法，這是一種後門安裝了Cobalt Strike，以幫助攻擊者更有效地通過受害者網路橫向移動攻擊。Raindrop似乎已被用來在受害者的網路中傳播。目前賽門鐵克尚未發現Sunburst直接分發Raindrop的證據。取而代之的是，它出現在已被Sunburst破壞的電腦網路上。

雖然Raindrop與Teardrop類似，但是Symantec表示他們使用不同的 packers，並且Cobalt Strike配置有所不同。在一個Raindrop的實例中，Cobalt Strike被配置為使用SMB命名管道作為通信協議，而不是HTTPS，這使專家們認為，受損的設備無法直接存取網路，迫使攻擊者透過網路上的另一台電腦路由 C&C 連線。在目前Symantec僅發現有四件 Raindrop 樣本，並相信Raindrop 跟Teardrop 分工合作散佈Cobalt Strike。

有關Raindrop的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/6007149a5ff246c7c18229c1

SolarWinds供應鏈攻擊的後遺症，駭客設網站高調出售來自Microsoft，Cisco， FireEye和SolarWinds的原始碼。

Posted on 2021 年 1 月 13 日2021 年 1 月 13 日 by blogadmin

駭客建立了一個全新的網站solarleaks.net，公開出售在SolarWinds供應鏈攻擊中竊取得來的原始碼。網站所有者聲稱他們是入侵SolarWinds的駭客組織，並正在拍賣從Microsoft，Cisco，SolarWinds和FireEye竊取到的原始碼，眾所周知，所有這些公司都在供應鏈攻擊中遭到入侵。據了解SolarLeaks網站所有者在模仿Shadow Brokers的方式，聲稱將分批出售盜來的數據，並將在以後發布更多資料。

Solarleaks.net網域名只有1天的歷史，在2021年1月11日註冊，並使用瑞典的隱私託管服務商Njalla來註冊。Njalla是APT駭客組織Fancy Bear和Cozy Bear的首選註冊商。僅此一項就已經表明，該網站背後的人們至少對俄羅斯作案手法（Modus operandi）是有所了解的。當然，這也可能是一個騙局（Scam）。

目前尚不清楚Solarleaks網站販售的數據的真實性，但相信由於Infosec的目光都在看著這事件的發展，值得我們持續關注。

目前Solarleaks網站以60萬美元的價格出售Microsoft原始碼和存儲庫，以50萬美元價格出售Cicso原始碼和內部的bugtracker dump，以50萬美元價格出售Fireye的紅隊工具原始碼，和以25萬美元的價格出售SolarWinds原始碼和客戶的portal dump。

該網站說，只要花費100萬美元，就可以獲得所有洩露的數據！

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局（FBI）發布了對私人企業的通知，警告Egregor勒索軟體積極瞄準私人企業進行攻擊。

Posted on 2021 年 1 月 8 日 by blogadmin

2021年1月7日-FBI敦促所有私人企業警惕Egregor勒索軟體背後駭客組織的潛在惡意活動。FBI的最新警報說，自9月該組織成立以來，Egregor已在全球入侵了150間企業。已知的受害者名單包括 Cencosud， Crytek， Kmart，Ubisoft，Barnes and Noble和大溫哥華運輸公司TransLink等。

美國情報與安全服務局(US intelligence and security service)說：“由於部署Egregor勒索軟體涉及的駭客眾多，因此部署Egregor時所採用的戰術、技術和流程(TTP可能會截然不同，給防禦和緩解帶來了重大挑戰。”

“ Egregor勒索軟體利用多種機制來破壞企業網路，包括針對與企業網路或設備共享存取權限的企業網路和員工個人帳戶。” 一旦獲得對目標網路的存取權限，駭客便會使用Cobalt Strike，Qakbot / Qbot，Advanced IP Scanner和AdFind來提升特權並橫向移動，使用Rclone和7zip等工具來竊取數據。

FBI官員表示：“一旦受害公司的網路遭到破壞，Egregor的背後駭客就會竊取數據並加密網路上的檔案。” “勒索軟體在電腦上留下勒索信，指示受害者通過線上聊天與駭客進行通信。”FBI補充說：“Egregor經常利用受害者的印表機來列印勒索信。” “如果受害者拒絕付款，Egregor會將受害者數據發佈到公共站點上。”

FBI還分享了一系列建議的緩解措施，這些措施應有助於抵禦Egregor的攻擊：

＊離線備份重要數據。

＊確保關鍵數據的副本位於雲中或外部硬碟或存儲設備上。

＊保護您的備份，並確保無法從數據所在的系統存取該數據以進行修改或刪除。

＊在所有主機上安裝並定期更新防病毒或防惡意軟體。

＊僅使用安全網路，避免使用公共Wi-Fi網路。

＊使用雙因素認證，請勿點擊電子郵件中未經請求的附件或連結。

＊優先修補面向公眾的遠端訪問產品和應用程式的修補，包括最近的RDP漏洞（CVE-2020-0609，CVE-2020-0610，CVE-2020-16896，CVE-2019-1489，CVE-2019-1225，CVE-2019 -1224，CVE-2019-1108）。

＊查看可疑的.bat和.dll檔案，具有偵察數據的檔案（例如.log檔案）和滲透工具。

＊使用多因素驗證或強密碼，通過限制訪問來安全地配置RDP。

有關Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載，但請註明出處

大溫哥華交通運輸公司TransLink警告，駭客在網路攻擊中非法存取了員工的銀行個人資訊，敦促員工使用信用卡監控服務!

Posted on 2021 年 1 月 5 日2021 年 1 月 5 日 by blogadmin

加拿大的大溫哥華公共交通TransLink的員工被告知，在12月初的網路攻擊中駭客存取了個人銀行資訊和其他檔案，建議員工使用信用卡監控服務。TransLink於2020年12月1日宣布遭網路攻擊後，交通網路的電腦系統出現問題。IT技術問題影響了公司的電話和線上服務，以及客戶用信用卡或預付卡付款的功能。但TransLink的運輸服務不受勒索軟體攻擊引起的IT問題所影響。

事件發生後，TransLink在一份聲明中透露： “我們現在可以確認TransLink的某些IT基礎設施已經成為勒索軟體的攻擊目標。”“此攻擊包括通過印表機與TransLink通信。” 在攻擊期間，從印表機印出的勒索信，辨識到為Egregor勒索軟體。

由《Global News》在上週三獲得並看到TransLink的內部電子郵件中，告訴員工攻擊者“已存取並可能已從受限制的網路磁碟機複製了檔案”，

所存取的磁碟機包含TransLink，Coast Mountain Bus Company（CMBC）和大溫哥華交通警察的員工薪資資訊。電子郵件說：“那些受限制的網路磁碟機包括含有銀行資訊和一些社會保險號的檔案。”

Global News的記者Jordan Armstrong在推特上關於TransLink最新進展的推文:

The internal email “strongly” urges all staff to sign up for two-year credit monitoring, as previously offered to employees by the company. pic.twitter.com/gtHsWf82Ny
— Jordan Armstrong (@jarmstrongbc) December 31, 2020

截至目前，在Egregor勒索軟體攻擊之後，大多數TransLink的系統仍處於關閉狀態，包括實時GPS數據，追踪(tracking)和報告(reporting)系統，其公司技術人員仍正在努力盡快恢復它們。

TransLink建議想要追踪公車時程的客戶“暫時”使用Google trip planner，直到追踪系統重新上線。

另外，儘管有證據顯示駭客在攻擊過程中存取了它們的磁碟機，但TransLink表示目前仍在確定受影響的員工數目以及攻擊者打開或複制的檔案。TransLink還敦促所有員工盡快註冊為所有員工免費提供的兩年信用卡監控。

關於Egregor的情資就在竣盟科技代理的 AlienVault OTX 情資平台上：

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

美國家電製造巨頭惠而浦(Whirlpool) 遭 Nefilim勒索軟體入侵，數據被公開!

Posted on 2020 年 12 月 29 日 by blogadmin

惠而浦公司將以一種不愉快的方式結束2020年，這家市值數十億美元的電器製造商已成為臭名昭著的Nefilim勒索軟體的受害者。

自從Covid 19大流行初期以來，Nefilim一直很活躍，並因揚言在發出勒索信後一周內釋放受害者的數據而聲名狼藉。

雖然Nefilim對惠而浦的攻擊在聖誕節後第二天就曝光了，但據外媒報導最初的攻擊發生在12月的第一周。然而根據惠而浦的一份聲明，入侵可能發生在11月。聲明說：“上個月在我們的環境中發現了勒索軟體，該惡意軟體被檢測到並被迅速遏制。” Whirlpool確認了攻擊，並稱其系統已從攻擊中完全恢復。惠浦的聲明斷言，在公司繼續調查和實施補救措施的過程，沒有發現消費者數據受到影響，也沒有影響任何營運。

Nefilim與惠而浦的談判失敗後，洩漏了從該公司盜來的第一批數據，其中包括員工福利，住宿和醫療資料申請，背景調查等有關檔案。

洩漏數據並不是Nefilim背後駭客進行報復的唯一方式。駭客稱惠而浦的網路防禦能力不足，誇口說他們能第二次滲透到該公司的網路中。

十月份，Nefilim勒索軟體的背後駭客洩露了屬於意大利眼鏡和眼保健巨頭Luxottica的檔案。另外其他受害者包括法商電信巨擘Orange，德國最大的私人多服務提供商 Dussman Group和 Toll Group等。

有關Nefilim勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

美國參議員Ron Wyden在其Twitter上表示，美國數十個財政部(US Treasury) 的Email帳戶已被攻擊SolarWinds的背後駭客入侵。

Posted on 2020 年 12 月 23 日2020 年 12 月 23 日 by blogadmin

I am extremely concerned about the breach at Treasury. Hackers accessed dozens of email accounts, and the full extent of the damage is still unknown. It's time to get serious about cybersecurity, and put an end to any plan that weakens encryption. https://t.co/fqQpFGjKVO
— Ron Wyden (@RonWyden) December 22, 2020

參議員Ron Wyden“我非常擔心財政部被入侵事件。駭客存取了數十個電子郵件帳戶，其破壞程度尚不清楚。現在該認真考慮網路安全，並結束任何削弱加密的計劃。”該Twitter發文是在美國財政部和美國國稅局（Internal Revenue Service）向委員會通報SolarWinds供應鏈攻擊事件後發布的。雖然沒有證據表明美國國稅局本身或任何納稅人的數據在這次持續的攻擊活動中遭到破壞，但這位參議員說，“財政部被駭客入侵意味相對重大。”

數十個美國國庫電子郵件帳戶被盜

“根據財政部的工作人員，該機構遭受了嚴重的入侵，在7月開始，但其深度尚不清楚”，Wyden說: “Microsoft通知財政部，發現它們有數十個email帳戶被盜。”

這位參議員還補充說，SolarWinds供應鏈攻擊的背後駭客還入侵了美國財政部部門最高官員辦公室的系統，Wyden說：“財政部仍然不知道駭客的所有入侵行動，也不知道什麼資料被盜。”

在發現SolarWinds供應鏈被入侵後，多個組織包括FireEye，Microsoft，Cisco和VMware等披露了同樣遭駭客攻擊被植入了木馬程式。

微軟還透露，這一系列持續的攻擊破壞了其40多個客戶的網路，其中80％來自美國，44％來自IT部門。

FireEye更成為了攻擊者第二階段的目標，策劃攻擊的國家級駭客組織從其系統中盜取了紅隊工具。

自攻擊以來，已知受SolarWinds Orion平臺波及的組織不斷增加，目前已確認其網路遭到破壞的美國各州和政府機構：

美國財政部

美國國家電信和信息管理局（NTIA）

美國國務院

美國國立衛生研究院（NIH）（美國衛生部的一部分）

美國國土安全部（DHS）

美國能源部（DOE）

美國國家核安全局（NNSA）

美國的某些州（未披露的特定州）

有關SolarWinds供應鏈攻擊的情資，就在竣盟科技代理的 AlienVault OTX 情資平台上：

*****竣盟科技快報歡迎轉載，但請註明出處

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

路透社今報導Microsoft同樣遭使用SolarWinds作為攻擊的俄羅斯駭客入侵，微軟證實受到供應鏈攻擊，但否認駭客轉向生產系統並濫用其軟體來攻擊客戶。

Posted on 2020 年 12 月 18 日2020 年 12 月 18 日 by blogadmin

微軟已經證實他們在最近的SolarWinds供應鏈中遭到駭客攻擊，但否認他們的軟體在供應鏈攻擊中受到感染，從而感染了客戶。

在過去一週發現俄羅斯政府資助的駭客入侵了 SolarWinds，並使用其自動更新機制向客戶分發了惡意後門。該惡意軟體是一個名為Solarigate（Microsoft命名）或Sunburst（FireEye命名）的後門程式，更新到大約18,000個客戶的基礎架構中，包括美國財政部，美國NTIA和美國國土安全部等等同為受害者。

路透社在不久前於今天12月18日發布了一份報導，消息來源指出，微軟不僅在SolarWinds供應鏈攻擊受到入侵，同時也有軟體被修改為惡意檔案分發到客戶端。

pic.twitter.com/2GBfCTRSQx
— Frank X. Shaw (@fxshaw) December 18, 2020

微軟公司通信部副總Frank Shaw在推文中表示，”我們一直在積極尋找該攻擊者的入侵指標，可以確認的是我們在環境中檢測到到惡意的SolarWinds binary檔，並對其進行了隔離和刪除，我們未找到存取我們生產系統服務或客戶數據的證據。我們正在進行的調查也完全沒有發現我們的系統曾被用來攻擊他人的跡象。”

隨著Microsoft 證實受駭，成為另一了備受矚目的實體，實際上受害者中絕大多數是美國政府機構，例如：

美國財政部

美國商務部國家電信和信息管理局（NTIA）

衛生署國立衛生研究院（NIH）

網路安全和基礎設施局（CISA）

國土安全部（DHS）

美國國務院

國家核安全局（NNSA）（今天也已披露）

美國能源部（DOE）（今天也披露）

美國的三個州（今天也已披露）

奧斯丁市（今天也公開）

有關SolarWinds供應鏈的情資，就在竣盟科技代理的 AlienVault OTX 情資平台上：

*****竣盟科技快報歡迎轉載，但請註明出處

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

另有關SolarWinds供應鏈的報導:

Microsoft(微軟) 宣布將隔離與APT駭客入侵相關的SolarWinds應用!!!

FireEye 攻擊事件後續追蹤, 證實為 SolarWinds 的供應鏈攻擊事件.

全球最大的資安公司之一FireEye披露內部資安事件，被APT駭客入侵，紅隊工具被偷取

#情資才是王道

全球最大的資安公司之一FireEye披露內部資安事件，被APT駭客入侵，紅隊工具被偷取

Posted on 2020 年 12 月 9 日 by blogadmin

FireEye是許多美國聯邦機構和州選擇的資安公司，並與FBI和美國國家安全局合作，在今天資安公司FireEye首席執行長Kevin Mandia表示其內部系統被一個擁有頂級進攻能力的威脅參與者針對性的攻擊。攻擊者鎖定了目標並竊取了FireEye用於測試其客戶網路的紅隊工具，並且有可能針對同一位客戶或其他客戶，在尋求與某些政府客戶有關的資料。

在FireEye攻擊中，駭客竭盡全力避免被人看見，建立了數千個IP address(其中許多在美國），以前從未在攻擊中使用過。利用這些IP address進行攻擊，可以使駭客更好地隱藏其下落。由於這種攻擊的複雜性，FireEye表示該攻擊“與多年來我們應對的數以萬計的事件有所不同” 。“

Mandia補充說:“攻擊者量身定制專門針對FireEye的攻擊，他們似乎在操作安全方面接受了嚴格的培訓，並表現出紀律與專心。他們秘密採取行動，使用應對資安工具和鑑識檢查的方法。他們使用了我們或我們的合作夥伴過去從未見過的新穎技術組合。”

FireEye沒有透露它認為哪個國家APT駭客攻擊了他們，但是《華盛頓郵報》和《華爾街日報》報導說，聯邦調查人員以不願透露姓名的消息來源為由認為是俄羅斯。

根據FireEye的說法，入侵者偷走了紅隊工具，並向FireEye的政府客戶（有很多）尋求資料。該公司表示，已發布了的IOC並還制定了對策，可以檢測或阻止被盜的Red Team工具的使用，這些對策也可以在GitHub上獲得，以防攻擊者決定重用它們。

關於FireEye紅隊工具對策的情資就在竣盟科技代理的 AlienVault OTX 情資平台上：

https://otx.alienvault.com/pulse/5fcfeee9a2d10a389ab72630

*****竣盟科技快報歡迎轉載，但請註明出處

#情資才是王道