談判破裂?! Underground Team一口氣公開十一名受害者 包含一家台灣Nas設備業者

5 月1日,竣盟科技在Underground Team的暗網揭秘網站上,發現該組織公開了十一名受害者,當中包括某台灣Nas大廠,據了解,該大廠疑是在2023 年七月中旬遭到Underground Team攻擊,被盜51GB的資料。在Nas大廠的頁面,Underground Team 公開了竊盜得到的資料夾包含該大廠的德國子公司資料,目前尚不清楚此次攻擊的立足點是德國子公司或是台灣總部。

Underground Team勒索軟體使用 Microsoft Visual C/C++ 編寫,在 64 位元系統上運作。當它感染電腦時,會執行各種操作,例如刪除檔案的備份副本、更改Windows登錄檔中的設定以及停止名為 MSSQLSERVER 的特定資料庫服務。為了實現這些操作,勒索軟體使用特定的命令。例如,它使用命令刪除電腦上儲存的檔案的備份副本,使用戶更難恢復檔案。它還使用命令來調整與遠端桌面Session相關的設置,以影響遠端存取電腦的方式。

根據Cyble的研究報告,Underground Team還會強制停止 MSSQLSERVER 服務,這會導致破壞特定類型資料庫的功能。之後,勒索軟體會尋找受害電腦上的磁碟機和檔案系統,透過使用作業系統提供的某些功能來實現此目的。一旦辨識出驅動器,它就會在電腦上的各個資料夾中投放名為「!!readme!!!.txt」的勒索字條。接下來,勒索軟體便開始搜尋要加密的檔案和目錄並透過逐一掃描它們來做到這一點。此外,Underground Team會從加密過程中排除某些檔案名稱、檔案副檔名和特定資料夾。一旦檔案被識別,勒索軟體就會對其進行加密,使其無法讀取,但不會更改加密檔案的名稱或新增任何新的副檔名。加密完成後,Underground Team 勒索軟體會建立一個名為「temp.cmd」的檔案並執行它。該檔案旨在刪除特定文件、清除事件日誌以及將其自身從電腦中刪除,這樣做是為了隱藏它的存在並掩蓋其蹤跡。

Photo Credit: Cyble

勒索軟體和相關的數據洩露事件會嚴重影響業務流程,使組織無法存取營運和提供關鍵服務所需的數據。

竣盟科技建議您針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

有關Underground Team的部分入侵指標(Indicator of compromise -IOCs):

059175be5681a633190cd9631e2975f6

fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6

d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

加拿大連鎖藥局London Drugs受網路攻擊 系統癱瘓 關閉所有門市

約80家門市週日(4/28)突然關閉,至今已停業三日,目前沒有重新開業的時間

Photo Credit: Ben Nelms/CBC News

上週日(4月28日),據CityNewsCTV報道,加拿大連鎖藥局 London Drugs在檢測到網路攻擊後,關閉所有門市,直到另行通知。根據媒體報道London Drugs拒絕回答有關入侵的具體問題,包括是否部署了勒索軟體 ,但發表聲明表示,出於高度謹慎的考慮,在2024 年 4 月 28 日發現自己成為網路安全事件的受害者後,加拿大西部各地的 London Drugs 商店暫時關閉,直至另行通知。在發現這起事件後,London Drugs公司立即採取對策保護其網路和數據,包括聘請領先的第三方網路安全專家協助遏制、補救和進行取證調查, London Drugs建議顧客如果有“緊急藥房需求”,請致電當地藥房進行安排。據CTV報道,有London Drugs的客戶服務代表表示,「我們所有的系統都癱瘓了」,門市暫時無法處理任何交易。

London Drugs在太平洋時間4月28日下午5:30左右通過電子郵件發送給加拿大CBC News的聲明中表示,目前我們沒有理由相信客戶或員工數據受到影響。此外該公司表示,藥劑師隨時待命以應對緊急需求。然而該公司的電話線路也仍然處於停機狀態,但表示顧客可以親自前往當地商店,那裡的工作人員將為他們提供協助。

London Drugs在X(以前稱為Twitter)上發文證實了其門市的關閉

由於London Drugs已停業三日,有專家指出今次網路攻擊情況嚴重,建議公眾考慮更改信用卡密碼,保障帳戶安全。加拿大互聯網註冊局網路安全和域名系統副總裁Jon Ferguson表示,即使London Drugs尚未確認事件具體細節,但相信情況相當嚴重,又指事件該提醒公司和市民要保護自己,避免受到網路攻擊。

加拿大網路安全專家Sam Lau指,曾光顧London Drugs的市民,可以考慮更改信用卡密碼,以保障自己的銀行帳戶安全。Sam Lau說:「現時很多大公司,都會把顧客的信用卡資料紀錄在系統中,因此他們的系統需要經常更新,並要有加密措施來保障客戶。」

根據 IBM X-Force 威脅情報指數 2024 的報告,在北美,醫療保健是 2023 年第三大網路攻擊目標產業,佔攻擊的 15%。 2023 年,醫療保健在全球攻擊份額中排名第六,佔目標的 6.3%,高於 2022 年的 5.8%。另外2023 年醫療保健資料外洩的平均成本為1,093 萬美元,比2020 年成長53.3%,與其他產業的資料外洩相比,醫療保健資料外洩的成本最高。

關於DragonForce 勒索軟體–您需要了解的訊息

研究人員發現 LockBit 和 DragonForce 勒索軟體之間的關聯

一種名為 DragonForce 的相對較新的勒索軟體在發生一系列備受矚目的攻擊後引起關注,研究員觀察到一種名為 新型勒索軟體DragonForce 使用了臭名昭著的 LockBit勒索軟體的製作工具(Builder)。據信DragonForce 勒索軟體於 2023 年 11 月出現,與許多其他勒索軟體組織一樣,DragonForce透過加密企業組織的電腦和數據,從而從受感染的系統中竊取數據向受害者勒索金錢並威脅透過暗網將數據發布給其他人。

DragonForce 最早已知的勒索軟體攻擊是針對俄亥俄州彩票公司的。在那起事件中,DragonForce 宣稱它竊取了超過 600 GB 的數據,其中包括 300 萬筆記錄,其中包含姓名、電子郵件地址、社會安全號碼和其他敏感資訊。其他聲稱的受害者包括澳洲養樂多公司(95.19 GB 的公司資料外洩)和新加坡的可口可樂(413.92 GB)。最近,2024 年 3 月中旬,帛琉政府遭受勒索軟體攻擊,導致電腦被鎖定。奇怪的是,勒索信是來自兩個勒索軟體組織,一份來自LockBit,一份來自 DragonForce。

根據資安公司Cyble的研究人員最近的分析顯示,DragonForce 的二進位檔案基於外洩的LOCKBIT Black的製作工具,該製作工具允許加密模式、檔案名稱混淆、進程模擬、檔案和資料夾排除以及勒索信範本等自訂。Cyble 透露,迄今為止,全球已有超過 25 名受害者被揭露,DragonForce利用洩漏的 LOCKBIT 基礎設施來提高營運效率,同時透過重新命名的「DragonForce」身分保持低調。分析程式碼後發現,DragonForce勒索軟體使用了洩漏的LOCKBIT產生器,該產生器在設計和功能方面具有許多共同特徵。

執行後,病毒會停止許多進程和服務,例如Oracle、Microsoft Office 應用程式、防毒軟體,甚至備份解決方案以加速加密。 加密的檔案被賦予一個隨機名稱,後面跟著「.AoVOpni2N」副檔名。

犯罪者還在每個加密資料夾中放​​入了名為「AoVOpni2N.README.txt」的勒索字條。它包含有關如何支付解密費用的說明。

DragonForce 勒索軟體顯示了 LOCKBIT Black 等惡意軟體建構者的製作工具洩露的情況是多麼危險。 這些類型的程式允許威脅行為者無需太多努力即可快速創建個人化勒索軟體,使國際公司更難保護自己免受這些勒索軟體的侵害。 報告稱,這種資料竊取和加密方法表明,網路攻擊者不斷發展其策略,透過勒索軟體攻擊造成最大的金錢損失,例如 DragonForce 等組織利用「雙重勒索」方法進行的勒索軟體攻擊。

Dragon Force的案例再次提醒我們,為什麼需要存在強有力的保護措施,以應對勒索軟體團體所構成的不斷變化的威脅,儘管尚不清楚誰是負責操作Dr​​agonForce 勒索軟體,但網路安全社群中的一些人已將勒索軟體與名為DragonForce Malaysia的馬來西亞駭客組織和論壇聯繫起來。

有關DragonForce的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5  2915b3f8b703eb744fc54c81f4a9c67f                   

FileHash-MD5       7bdbd180c081fa63ca94f9c22c457376         

FileHash-MD5       d54bae930b038950c2947f5397c13f84                

FileHash-SHA1       bcfac98117d9a52a3196a7bd041b49d5ff0cfb8c          

FileHash-SHA1       e10361a11f8a7f232ac3cb2125c1875a0a69a3e4

Hunters International 再度入侵台灣 跨國上市電子公司遭殃

4月16日,竣盟科技在Hunters International 的暗網揭秘網站上發現台灣某跨國電子大廠的頁面,Hunters聲稱已取得該公司約1.2TB的資料共約420萬份檔案。該受害電子大廠主要從事鍵盤、影像相關產品、電源供應器、智慧家居產品等製造及代理各品牌電腦週邊設備等。目前Hunters International 沒有公佈確切發佈資料的日期及要求的贖金金額。 最近日本光學大廠Hoya也傳出成為Hunters 的受害者,被盜約200萬份資料及勒索1千萬美元的贖金。截至目前,Hoya被盜的資料還沒有在網路上出現,攻擊者也沒有公布他們是如何滲透到 Hoya 的。然而,Hoya 與網路犯罪分子之間談判過程的螢幕截圖已在網路上洩露,突顯了緊張的局勢。Hoya事件的直接結果是,一些生產工廠和某些產品的訂購系統受到了影響。 台灣電子大廠的生產線是否也如Hoya受到直接的影響,目前仍不得而知。

Hunters International於 2023 年第三季才浮出水面上,儘管只有幾個月的歷史,該組織的發展速度仍超出了任何人的預期,但這樣一個新組織為何能如此迅速地崛起呢?答案相對簡單:Hunters似乎是 Hive 勒索軟體的繼承者。Hive曾經是世界上最危險、資金充足、足智多謀的勒索軟體組織之一,該勒索軟體於 2023 年 1 月被 FBI 攻破,停止了Hive 勒索軟體的操作。據觀察Hunters International,是一種針對 Windows 和 Linux 環境的勒索軟體,一旦勒索軟體組織完成資料洩露,就會在受害者電腦上的加密檔案中加入.LOCKED副檔名。截至目前,他們列出的全球受害者,涉及健康、汽車、製造、物流、金融、教育、食品等產業。另外,根據Bitdefender 的報告,Hive 的程式碼與 Hunters International 的程式碼之間有重大相似之處,兩者程式碼有60%重疊。

此前,2023 年 11 月中, Hunters宣稱入侵了台灣某上市生醫並已盜取約236GB的資料,當中檔案的範圍包含客戶投訴數據-資料庫備份檔(HR相關、CRM相關和其他)-財務數據(付款、報告、審計等)-營業單位數據(訂單,產品配方,實驗室測試,包裝等) – 美國子公司數據(網路設置、稽核、供應商、員工數據等)-客戶數據(訂單、混合配方、產品處方、實驗室測試、郵件等。

根據 Cyber​​news的數據,Hunters International 是上個月最活躍的勒索軟體前五名之一。Hunters在 3 月聲稱有 23 名受害者,此外,自 2023 年 10 月以來總共有 89 名受害者。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

48b0a224697ead43ca1272c34a4777662049964913f083a40a5458a4ee1f78a6

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

美國政府因俄羅斯駭客竊取微軟重要信件而保持高度戒備

美國政府表示,午夜暴雪 (Midnight Blizzard)對微軟公司電子郵件帳戶的入侵「給聯邦機構帶來了嚴重且不可接受的風險」

Photo Credit: CISA

美國網路安全與基礎設施安全局(CISA) 週四(4/2)發布了一項緊急指令(ED 24-02),敦促聯邦機構在最近微軟系統遭到入侵並導致​​電子郵件通訊被盜後,尋找入侵跡象並制定預防措施。

今年稍早曝光的攻擊被認為是俄羅斯APT駭客組織 Midnight Blizzard(又名 APT29 或 Cozy Bear)所為。上個月,微軟透露攻擊者成功存取了部分原始碼儲存庫,但指出沒有證據表明面向客戶的系統遭到破壞。

CISA表示:“駭客正在利用最初從企業電子郵件系統洩露的資訊,包括微軟客戶和微軟通過電子郵件共享的身份驗證詳細資訊,來獲得或試圖獲得對微軟客戶系統的額外訪問權限。”

該機構表示,政府實體和微軟之間的電子郵件通訊被盜帶來了嚴重的風險,敦促有關各方分析洩露的電子郵件內容,重置受損的憑證,並採取額外措施確保特權Microsoft Azure 帳戶的身份驗證工具的安全性。

目前尚不清楚有多少聯邦機構的電子郵件交換在事件發生後被洩露,但 CISA 表示所有機構都已收到通知。

該機構還敦促受影響的實體在2024 年4 月30 日之前執行網路安全影響分析,並在2024 年5 月1 日晚上11:59 之前提供狀態更新。建議受該入侵影響的其他組織聯繫各自的Microsoft 帳戶團隊,並跟進任何問題。

CISA 表示:“無論直接影響如何,強烈鼓勵所有組織採用嚴格的安全措施,包括強密碼、多重身份驗證 (MFA) 以及禁止通過不安全的渠道共享未受保護的敏感資訊。”

這項進展正值 CISA發布了名為Malware Next-Gen的新版本惡意軟體分析系統之際,該系統允許組織提交惡意軟體樣本(匿名或以其他方式)和其他可疑工件進行分析。

微軟:中國利用生成式 AI 在美國和台灣散播假訊息 鎖定台美選民

與中國有關聯的駭客組織Storm-1376利用人工智慧(AI)生成的內容和虛假的社交媒體帳號,來煽動美國、台灣和其他地方的分裂,旨在加劇社會的混亂。

根據微軟威脅分析中心(MTAC)在4 月 6 日發布名為 Same targets, new playboks: East Aisa threat actors employ unique methods的報告,在過去七個月裡,中國的認知作戰的活動加強利用人工智慧在(AI)全球散佈虛假資訊並煽動不和,報告稱,微軟觀察到了國家支持的駭客組織的顯著趨勢,這表明駭客不僅在熟悉的目標上加倍努力,而且還試圖使用更複雜的影響技術來實現他們的目標,特別是激增的生成式AI內容也被用來增強與中國有關的線上認知作戰(Influence Operations) 的活動。

AI生成的虛假內容影響台灣選舉的時間表 Photo Credit: 微軟

微軟指出,它發現1月台灣總統選舉期間更複雜細緻的AI內容遽增,包括出現一個AI創造的假音檔片段,音檔中假造的郭台銘聲音表示,他支持另一位總統後選人。這是微軟威脅情報首次詳細介紹國家級駭客組織利用人工智慧產生的內容來試圖影響國外選舉的情況。微軟進一步說,我們稱之為 Storm-1376 的駭客組織,也稱為 Spamouflage 和 Dragonbridge,在台灣選舉日,它發布了由人工智慧生成的前候選人郭台銘(他於 2023 年 11 月退出競選)在總統競選中支持另一位候選人的虛假音訊。實際上,郭台銘並沒有發表過這樣的言論。

報告指出,Storm-1376 推廣了一系列人工智慧生成的梗圖(Memes),內容涉及台灣當時的民進黨(DPP)總統候選人賴清德、其他台灣官員以及世界各地的中國異議人士。其中包括至少從 2023 年 2 月起,Storm-1376 就開始越來越多地使用人工智慧生成的電視新聞主播。微軟觀察到在台灣的選舉中國宣傳團體製作人工智慧生成的新聞廣播,並配有假主播,以影響選舉。其中一些剪輯是使用 CapCut 產生的,CapCut 是位元組跳動(Tik Tok母公司)旗下的人工智慧編輯工具。

值得注意的是,與中國政府相關的帳號也發布了人工智慧生成的媒體片段,旨在煽動美國的混亂。報告指出,人工智慧生成的一張圖片將 2023 年夏威夷火災歸咎於美國製造的氣象武器,Storm-1376 使用人工智慧生成的燃燒的沿海道路和住宅圖像使內容更加引人注目,並以至少 31 種語言發布文字。在另一個案例中,該組織針對感恩節假期期間發生的肯塔基州火車脫軌事件發起了一場社群媒體活動。這些貼文散佈了這樣的說法:美國政府可能造成了這次脫軌,並且故意隱瞞了一些事情。此外,許多中國社群媒體訊息都要求追隨者評論他們支持哪位美國總統候選人。微軟表示,這些帳號的運作可能是為了增加圍繞美國關鍵投票人口統計的情報收集。

微軟預計中國網路和認知作戰的參與者將努力瞄準今年稍後舉行的一系列關鍵選舉,包括印度、韓國和美國,利用人工智慧協助他們的活動。研究人員警告說,雖然直接影響可能很小,但隨著時間的推移,中國的能力可能會變得更加複雜。除了影響選舉之外,微軟的報告還強調了北京如何擴大與情報收集相關的駭客行動。這些行動旨在更好地了解友好國家和敵對國家的政治進程並竊取敏感技術。

新版本的Vultur銀行木馬 模仿成McAfee安全應用程式攻擊用戶

Photo Credit: Fox-IT

Vultur,一種Android銀行木馬,已觀察到整合了新的技術特點,使得惡意軟體操作者能夠遠端與受害者的行動裝置通訊。此外,Vultur開始通過加密其C2通信、使用多個動態解密的載荷以及在合法程序的假象下執行其惡意活動,以掩蓋其惡意行為。Vultur具有按鍵記錄和與受害者裝置的屏幕互動等功能,主要針對銀行應用程序進行遠端控制和按鍵記錄。

Vultur於 2021 年 3 月下旬首次被發現,它透過 AlphaVNC 的 VNC(虛擬網路運算)獲得了受害者設備的全面可見性。2021 年 7 月,ThreatFabric 研究人員發現了 Android 版本的 Vultur,它使用螢幕錄製和鍵盤記錄來捕獲登入憑證。過去,Vultur利用ngrok和AlphaVNC兩款聲譽良好的軟體應用程式來遠端存取運行在受害者設備上的VNC伺服器。根據Fox-IT 的一份報告顯示,威脅行為者利用簡訊入侵和電話引誘目標下載帶有 Brunhilda 惡意軟體植入程式的 McAfee 安全應用程式的武器化版本。然後,安裝應用程式將執行與 Vultur 相關的有效負載,從而啟用輔助功能服務和命令與控制伺服器連線。

在最近的一次活動中,Brunhilda下載器通過短信和電話呼叫進行混合攻擊的傳播, 第一條短訊指引受害者進行電話呼叫。當受害者撥打號碼時,詐騙者會向受害者發送一條第二條短訊,其中包含下載器的鏈接:McAfee Security應用程式的修改版本。

Vultur的新技術特點

  • 下載、上傳、刪除、安裝、尋找檔案;
  • 使用 Android 輔助功能服務控制受感染的裝置(發送命令以執行捲動手勢、滑動手勢、點擊、靜音/取消靜音音訊等);
  • 阻止應用程式運行;
  • 在狀態列中顯示自訂通知;
  • 停用鍵盤防護以繞過鎖定螢幕安全措施。

Vultur 透過以下方式增強了逃避偵測和反分析的方法:

  • 修改合法應用程式(使用 McAfee Security 和 Android Accessibility Suite 軟體包名稱);
  • 使用本機程式碼來解密有效負載;
  • 在多個有效負載上傳播惡意程式碼;
  • 使用 AES 加密和 Base64 編碼進行 C2 通訊。

值得一提的是,該惡意軟體可能會使用 Android 的輔助服務來遠端連接受感染的裝置。操作Vultur的攻擊者可以傳輸命令,執行諸如滑動、點擊和捲動等操作。研究人員表示,檔案總管功能包括下載、上傳、刪除、安裝和尋找檔案的功能,這實際上使攻擊者能夠更好地控制受感染的設備。

阻止受害者與裝置的應用程式互動是另一個有趣的新功能。此功能允許惡意軟​​體操作者指定一個應用程式列表,一旦偵測到在裝置上運行,就應重新啟動這些應用程式攻擊鏈。

攻擊鏈

威脅行為者使用由兩條簡訊和一個電話組成的混合攻擊,誘騙無辜者安裝惡意軟體。

最初,受害者會收到一條短訊,告訴他們撥打一個號碼,以防他們不批准大筆交易。儘管這筆交易從未發生,但它給受害者留下了必須立即執行的印象,從而使其上當行騙。在通話過程中,系統會向受害者發送第二條短訊,指示他們點擊連結以安裝木馬版本的 McAfee Security 應用程式。

該程序本質上是Brunhilda下載器,對受害者來說看似無害,因為它具有McAfee Security應用程式中的功能。

此植入程式解密並執行三個與 Vultur 相關的有效負載,使威脅行為者能夠完全控制受害者的行動裝置。在最近提交的Vultur樣本的專家注意到,新功能不斷的增加,這表明該惡意軟體仍在積極開發中,根據這些觀察結果,預計在不久的將來 Vultur 會添加更多功能。

Vultur的部分入侵指標(Indicator of compromise -IOCs):

Photo Credit: Fox -IT

2023年有170億筆個資因資料外洩而曝光

Photo Credit: Flashpoint

根據 Flashpoint 的2024 年全球威脅情報報告( Global Threat Intelligence Report), 2023 年報告的資料外洩事件增加了 34.5%,全年超過 170 億筆個資記錄遭到洩露。

該公司去年記錄了 6077 起公開報告的資料外洩事件,其中包括姓名、社會安全號碼和財務資料等敏感資訊。

其中超過 70% 的事件是由來自受影響組織外部的未經授權的存取造成的。

研究人員還觀察到,與去年同期相比,2024 年前兩個月被盜或洩露的個人資料激增 429%,有 18,970 億筆個人記錄和憑證遭到洩露。

2023 年,美國佔全球資料外洩事件的大部分(60%),通報事件為 3804 起。與 2022 年相比,成長了 19.8%。

勒索軟體是資料外洩激增的主要驅動因素

資料外洩激增的罪魁禍首是勒索軟體攻擊,Flashpoint 強調,2023 年記錄的事件增加了 84%。

此外,與 2023 年同期相比,2024 年頭兩個月公開勒索軟體攻擊數量增加了約 23%,達到 637 起。

報導稱,LockBit 勒索軟體集團去年共造成 1,049 名受害者,佔 2023 年所有已知勒索軟體攻擊的五分之一以上。

2024 年 2 月,在克諾司行動 (Cronos Operation)期間,全球執法部門破壞了這個多產勒索軟體攻擊者的基礎設施。

研究人員還指出,Clop 勒索軟體組織利用 2023 年 5 月出現的 MOVEit Transfer 檔案應用程式漏洞對資料外洩格局產生了「深遠」影響。

他們確定,MOVEit 攻擊總共造成了 2023 年報告的所有資料外洩事件的 19.3%。這個數字包括那些在其供應鏈上透過第三方竊取資料的組織。

去年最受勒索軟體攻擊的產業是建築和工程(18.7%),共發生 416 起公共事件。其次是專業服務(13.7%)、網路軟體和服務(13.2%)以及醫療保健提供者和服務(12.29%)。

總體而言,勒索軟體和未經授權的存取佔所有公開披露的資料外洩事件的 85%。

記錄漏洞揭露和利用情況

報告發現,2023年是漏洞揭露的高峰期,總數達到 33,137 個。

其中,超過一半 (52%) 在通用漏洞評分系統 (CVSS) 下的嚴重程度得分為高至嚴重 (7.0-10.0),為勒索軟體等攻擊的發生提供了關鍵途徑。

Flashpoint 研究人員表示,他們記錄了超過 10 萬個常見漏洞和暴露 (CVE) 未被報告的漏洞,其中許多影響了谷歌和微軟等大公司。

Photo Credit: Flashpoint

因此,他們估計嚴格依賴 CVE 的組織可能不知道近三分之一的已知漏洞風險。

TheMoon惡意軟體在一月和二月感染了 40,000 台設備

在3月第一周的活動,該惡意軟體在不到72 小時內針對6,000多個華碩路由器進行了攻擊

Photo Credit: Black Lotus Labs

根據黑蓮花實驗室(Black Lotus Labs)發布的報告,已經發現一個名為「TheMoon」的新變體惡意軟體僵屍網絡正在全球 88 個國家感染數千台過時的小型辦公室和家庭辦公室(SOHO)路由器和物聯網(IoT)設備。TheMoon 與「Faceless」代理服務相關聯,該服務使用一些受感染的設備作為代理,將流量路由給希望匿名化其惡意活動的網路犯罪分子。

黑蓮實驗室的研究人員正在監控最新的 TheMoon 活動,該活動始於 2024 年 3 月初,他們觀察到在不到 72 小時內有 6,000 台華碩路由器成為攻擊目標。威脅分析人員報告稱,惡意軟體操作,如 IcedID 和 SolarMarker 目前使用代理僵屍網路來混淆其線上活動。

針對華碩路由器

針對華碩路由器 TheMoon 首次於 2014 年被發現,當時研究人員警告稱,該惡意軟體正在利用漏洞感染 LinkSys 設備。該惡意軟體的最新活動已在一周內感染了將近 7,000 台設備,黑蓮實驗室表示,他們主要針對華碩路由器。

「通過 Lumen 的全球網路可見性,黑蓮實驗室已識別出 Faceless 代理服務的邏輯地圖,其中一個始於 2024 年 3 月的活動在不到 72 小時內針對了超過 6,000 台華碩路由器。」黑蓮實驗室的研究人員警告道。然而研究人員並未具體說明入侵華碩路由器所使用的確切方法,但鑒於所針對的設備型號已達到生命周期終點,攻擊者可能利用韌體中已知的漏洞。攻擊者還可能通過暴力破解管理員密碼或測試的預設和弱憑證。

一旦惡意軟體獲得設備存取權限,它會檢查特定 shell 環境的存在(「/bin/bash」、「/bin/ash」或「/bin/sh」);否則,它將停止執行。

如果偵測到相容的 shell,載入程式會解密、刪除並執行名為「.nttpd」的有效負載,該負載會建立一個具有版本號(目前為 26)的 PI​​D 檔案。

接下來,惡意軟體設定 iptables 規則以丟棄連端口 8080 和 80 上傳入 TCP的流量,同時允許來自特定 IP 範圍的流量。這種策略可以保護受感染的設備免受外部干擾。

接下來,惡意軟體會嘗試聯絡合法 NTP 伺服器列表,以偵測沙箱環境並驗證網路連線。

最後,惡意軟體透過循環存取一組硬編碼的 IP 位址來與命令和控制 (C2) 伺服器連接,C2 會以指令進行回應。

在某些情況下,C2 可能會指示惡意軟體擷取其他元件,例如掃描連port 80 和 8080 上易受攻擊的 Web 伺服器的蠕蟲模組或代理受感染裝置上流量的「.sox」檔案。該檔案用於代理受感染設備上的流量。

Sox 範例與 Faceless 伺服器通信 Photo Credit: Black Lotus Labs

Faceless 代理服務

Faceless 是網路犯罪代理服務,可透過受感染的裝置為僅使用加密貨幣付款的客戶路由網路流量。本服務不使用「了解您的客戶」驗證流程,任何人都可以使用。

購買 Faceless 代理服務的存取權限 來源:Black Lotus Labs

為了保護他們的基礎設施不被研究人員繪製地圖,Faceless 操作員確保每台受感染的設備在感染持續期間僅與一台伺服器通訊。

Black Lotus Labs 報告稱,三分之一的感染會持續 50 天以上,而 15% 的感染會在 48 小時內消失。這表明後者受到更好的監控,並且可以快速檢測到危害。

受感染裝置的生命週期 來源:Black Lotus Labs

儘管 TheMoon 和 Faceless 之間存在明顯的聯繫,但這兩個操作似乎是獨立的網路犯罪生態系統,因為並非所有惡意軟體感染都成為 Faceless 代理殭屍網路的一部分。

為了防禦這些殭屍網路,請使用強管管理員密碼並將裝置的韌體升級到解決已知缺陷的最新版本。如果設備已達到 EoL,請將其替換為有效支援的型號。路由器和物聯網上惡意軟體感染的常見跡象包括連線問題、過熱和可疑的設定變更。

有關於TheMoon 惡意軟體的的部分入侵指標(Indicator of compromise -IOCs):

abee3860601d8a8f10fa2d0ef9e058c8c9b0b977a87e8c95fb66d3f630281c23  
d4fa6a239895a94f83740db0319601a14896a2b06fff912364f214b0832ee230  
84b45dad03eeb5be10b8313b25de1426b108064b12e2848eaa94cddd58bca297
701531793ecd583e05cdbd853bec8c0ece4c106fc9a6658af2d1b2f6becb70ad  
7724caac245c1e5af1662fc3a1261e02fe097a7a98c129986e6dad41606d0df1
f9ac395dbab71d37b0a22cbacba2613540b51a4be501632320e523531716a057  
9e10aadba51daa66b72ea442a97b31b12b4f718866328109d21d1c03b0e76780  
ab3d693470e7cf8ff2a21338c0a20302465ca7e18c33fc8fe488b0abb8f201f0

欲了解更多,請參考: https://blog.lumen.com/the-darkside-of-themoon/

美國CISA 敦促針對中國APT駭客伏特颱風採取防禦行動

美國網路安全機構建議關鍵基礎設施領導者採取多種最佳實踐和防禦措施,以防範中國政府發動的攻擊

美國網路安全與基礎設施安全局(CISA) 昨天向關鍵基礎設施組織的領導人發出嚴厲警告,警告中華人民共和國(PRC) 國家支持的被稱為「伏特颱風」的駭客組織所構成的迫在眉睫的威脅。

CISA 與國家安全局 (NSA)、聯邦調查局 (FBI) 以及其他美國政府和國際合作夥伴合作,於 2024 年 2 月 7 日發布了一份重要公告。 該通報證實,Volt Typhoon 5年來一直進入某些美國關鍵基礎設施組織,攻擊者在某些受害 IT 環境中保持存取和立足點至少五年。CISA 表示,Volt Typhoon 一直在積極滲透美國關鍵基礎設施組織的網路。這種滲透被視為一種戰略舉措,一旦涉及美國及其盟友的地緣政治緊張局勢或軍事衝突升級,可能會擾亂或摧毀關鍵服務。根據該報告,Volt Typhoon 已成功危害各部門的組織,包括通訊、能源、運輸系統以及供水和廢水處理系統。

這種滲透不僅對美國的組織而且對盟國都構成了重大的商業風險。為了應對這一迫在眉睫的威脅,CISA 及其合作夥伴於週二(3/20)發布了一份情況說明書,旨在為關鍵基礎設施實體的執行領導人提供有關優先保護關鍵基礎設施和功能的指導。

該 情況說明書強調了將網路風險視為核心業務風險的重要性,這對於良好治理和國家安全都至關重要。它敦促領導者授權網路安全團隊做出明智的資源決策,並採取主動措施來檢測和防禦 Volt Typhoon 和其他惡意網路活動。 此外,鼓勵領導者保護供應鏈,在組織內推動網路安全文化,並確保制定強有力的事件回應計畫。

CISA 表示:“Volt Typhoon 不依賴惡意軟體來維持對網路的存取並進行活動。” “相反,他們使用系統的內置功能。這種被稱為‘離地生活’的技術使他們能夠輕鬆逃避檢測。為了防止離地生活,組織需要採取全面、多方面的方法。”此外,CISA 表示關鍵基礎設施領導者應進行桌面演習並制定資訊安全計畫。

諮詢中寫道:“領導者應確保所有業務部門的人員,包括行政領導層,都參與該計劃的製定、簽署,並了解自己的角色和責任。” “確保全面且經過測試的計劃到位並獲得批准,使網路安全團隊能夠做出適當的風險知情決策。”

在專門保護組織供應鏈的部分中,情況說明書建議建立強大的供應商風險管理流程「以評估和監控第三方風險」。 CISA 表示,對於參與採購的人員,這些領導者應使用安全設計原則來為與哪些硬體和軟體供應商合作相關的決策提供資訊。

CISA 還表示,關鍵基礎設施領導者應透過倡導風險評估和審計、與外部安全專家合作以及提高對社交工程策略的認識來培養強大的網路安全文化。該機構鼓勵「IT、OT、雲端、網路安全、供應鏈和業務部門之間的合作,使安全措施與業務目標和風險管理策略保持一致」。

欲了解更多,請參考: https://www.cisa.gov/sites/default/files/2024-03/Fact-Sheet-PRC-State-Sponsored-Cyber-Activity-Actions-for-Critical-Infrastructure-Leaders-508c_0.pdf