標籤: 情資才是王道

在11月29日，感恩節週末，DoppelPaymer勒索軟體的背後駭客加密了富士康墨西哥工廠的系統（位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG MX設施）。該工廠於2005年開業，富士康將其用於向南美洲和北美洲的所有地區組裝和運輸電子設備，駭客聲稱在加密目標系統之前已經竊取了未加密的檔案。富士康在全球擁有80萬名員工，2019年的收入為1,720億美元。DoppelPaymer在其揭秘網站上聲稱：

-已加密約1,200台伺服器

-竊取了100 GB的未加密檔案

-刪除的20-30 TB備份

在DoppelPaymer的揭秘網站上已上載了部分富士康的數據，屬於富士康NA的檔案。

DoppelPaymer網站上富士康的頁面

DoppelPaymer對富士康的勒索信，勒索信說：“如果在3個工作日內沒有聯繫，則第一部分數據將被公開。” 鑑於最後期限是上週，富士康有可能已經聯繫了駭客。勒索信中包含一個指向DoppelPaymer Tor付款站，含富士康頁面的鏈接，DoppelPaymer索要1804.0955 BTC的贖金，按今天的比特幣價格計算，約為34,686,000美元。

資安媒體BleepingComputer報導了這次攻擊的消息並稱“洩漏的數據包括通用業務文檔和報告，但不包含任何財務資料或員工的個人詳細資料。” DoppelPaymer向媒體表示：“我們加密了北美廠區，並非整個Foxconn，大約是1200-1400台服務器，並且不只工作站，還有大約75TB的雜項備份，我們銷毀了大約20-30TB的數據。” 此次之前，DoppelPaymer也曾攻擊仁寶電腦。

關於DoppelPaymer的情資就在竣盟科技代理的 AlienVault OTX 情資平台上：

https://otx.alienvault.com/pulse/5d9378b8f36a91c436c5f93c

https://otx.alienvault.com/pulse/5d2c622be8a567f673db85cd

*****竣盟科技快報歡迎轉載，但請註明出處

#情資才是王道

資安專家警告說，一個新的勒索軟體組正在迅速升級威脅活動，到目前為止，第四季度已有數十名受害者受到勒索攻擊。

根據Digital Shadow，Egregor勒索軟體的背後網路罪犯最初是在10月份對Barnes＆Noble以及視頻遊戲開發商Ubisoft和Crytek發起攻擊的。

實際上，該罪犯組織自9月以來就一直活躍，當時它使15名受害者受害。從9月25日（15個事件）到10月31日（51個事件），Egregor受害者增加了240％，到11月17日，該事件增加了43％，使事件總數達到71

許多Egregor受害者來自工業品和服務業（38％），到目前為止，目前絕大多數（83％）都來自美國。

Digital Shadows稱，該惡意軟體本身為具有多種內置的反分析技巧，例如代碼混淆和打包payload。更具體地說，利用Windows的API 來加密payloads的數據。除非資安團隊可以提供正確command line的參數，否則無法解密數據，也無法分析惡意軟體。

“當提供正確的command line參數時，惡意軟體將通過注入iexplore.exe進程來執行，對所有文本文件和文檔進行加密並在加密文件的每個文件夾中放入勒索信，此過程包括遠端電腦和伺服器上的檔案，都是通過檢查LogMeIn事件日誌得來”

另外包括Cybereason 和 Sentinel One的報告都指出， Egregor除了使用滲透測試工具Cobalt Strike外，也同時利用RCLONE的Client端進行用戶數據滲透。

關於Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

*****竣盟科技快報歡迎轉載，但請註明出處

Proofpoint的研究人員觀察到中國APT駭客組織TA416通過新的惡意軟體變種恢復了其惡意活動。該惡意活動的目標是在全球的外交使團收集數據和監視通信。

TA416，也稱為“Mustang Panda”和“RedDelta”，是中國國家級駭客組織，在針對性惡意的活動中使用其PlugX惡意軟體載入器。該組織因修改其工具庫以逃避檢測而使安全研究人員難以進行分析而聞名。

Proofpoint觀察到TA416發動了新的網路釣魚活動，該網路攻擊的對象是與梵蒂岡和中國共產黨（CCP）建交實體。TA416駭客組織同時還針對緬甸境內的實體以及在非洲努力進行外交的組織。攻擊者利用社交工程，引用了梵蒂岡與中國共產黨最近續簽的協議。研究人員還發現了欺騙性的電子郵件標頭，這些標頭看起來像是來自天主教亞洲新聞聯盟的記者所報導的。

PlugX惡意軟體

Proofpoint研究人員已經辨認了兩個RAR檔，可以用作為PlugX惡意軟體的droppers。TA416會在其網路釣魚電子郵件中添加Google Drive或Dropbox URL，這些電子郵件用於傳遞包含PlugX惡意軟體和相關的檔案。

據ThreatPost報導，PlugX遠端訪問工具（RAT）允許遠端用戶未經許可或授權竊取數據，甚至控制受影響的系統。PlugX使攻擊者能夠複製，移動，重命名，執行和刪除文件以及鍵盤側錄，對受感染系統進行特徵識別等等。

Proofpoint研究人員發現TA416工具集的更新，用於提供PlugX惡意軟體的payload。更具體地說，他們檢測到TA416的PlugX惡意軟體載入器的Golang變體，並注意到PlugX惡意軟體在針對性的活動中始終使用。研究人員說，這表明該組織持續改變其工具集以持續規避檢測。

關於中國APT駭客組織TA416的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fbc0c5ec4bfeaa7f7956ff4

Source:

https://www.proofpoint.com/us/blog/threat-insight/ta416-goes-ground-and-returns-golang-plugx-malware-loader

Reference:

https://www.recordedfuture.com/reddelta-targets-catholic-organizations/

*****竣盟科技快報歡迎轉載，但請註明出處

根據韓國INews 24報導，在11月22日清晨時韓國企業和零售巨頭E-Land集團， 遭受了Clop勒索軟體攻擊，內部網路系統癱瘓，E-Land為了阻止惡意軟體在網路散播，暫停了某些銷售管理系統（POS）的終端操作，導致50家NC百貨商店和NewCore Outlet零售商店中的23家緊急關閉。

E-Land擁有60個零售品牌如SPAO，Teenie Weenie; Who.A.U; Shane Jeans等等主要專注於服裝，並通過5,000家專營零售出售。E-Land還擁有New Balance，Berghaus， Ellesse ，K-Swiss等全球品牌在韓國的經營權，E-Land集團在韓國還經營酒店和餐館。

Clop勒索軟體主要透過附加到Word（.doc）和Excel（.xls）等檔案中，並通過電子郵件進行分發。如果用戶打開惡意檔案，則PC中的某些數據將被加密，並且數據將被鎖定。

根據韓國資安專家提交到Virus Total上Clop 勒索軟體的hash樣本3d94c4a92382c5c45062d8ea0517be4011be8ba42e9c9a614a99327d0ebdf05b,其惡意比例為41/69,如下圖:

韓國資安專家流出有關Clop給E-Land集團旗下商店的勒索信，如上圖

另外，根據Dark Tracer取得Clop背後駭客開放給E-Land的線上聊天室，如果該集團不付4千萬美元同等的比特幣，駭客揚言公開2佰萬張信用卡的資料。

有關Clop勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

*****竣盟科技快報歡迎轉載，但請註明出處

在上週FBI 發佈了被稱為MU-000140-MW的Flash Alert 給各行業的合作夥伴，警告Ragnar Locker攻擊有所增加。該警報包含技術細節，建議的緩解措施，旨在幫助網路安全專業人員防範網路參與者的持續惡意行為。FBI的說法，由Ragnar Locker造成的損害已經在各個行業得到證實，包含雲端服務提供商，電信，建築，旅遊和企業軟體公司等，並且這種情況正持續在上升。

FBI的警報還提到了一名不透露名字的Ragnar Locker的受害者，據說Ragnar Locker背後的駭客團隊威脅要洩漏10TB盜來的數據，包括賬單，合同，交易，客戶和合作夥伴的機密資料，要求約1100萬美元。儘管FBI沒有提供有關這家在4月份被加密的公司的進一步資料，但這些細節與針對跨國能源巨頭葡萄牙Energias de Portugal（EDP）的攻擊完全吻合。

以下是FBI在同一份警報中針對Ragnar Locker的描述:

• Ragnar Locker可以訪問受害者的網路，執行偵察活動，並尋找網路資源，備份或其他敏感檔案以竊取數據。在攻擊的最後階段，攻擊者手動部署勒索軟體來加密受害者的數據。
• Ragnar Locker頻繁切換payloads混淆技術來逃避檢測，以及使用自定義打包演算法並從其系統上部署的Windows XP虛擬機中加密受害者的檔案
• 經過偵察和預部署階段之後，Ragnar Locker參與者會投放高針對性的勒索軟體的執行檔，該執行檔會有“ RGNR_” 的副檔名。
• 勒索軟體具有嵌入式RSA-2048密鑰，並且還在加密系統上投放自定義勒索信。

FBI建議的緩解措施以盡可能減輕損失。

-離線備份重要數據。

-確保在雲端中或外部硬碟或存儲設備上有重要數據的副本。

-隔離備份，使數據不可訪問，無法從數據所在的系統進行修改或刪除。

-在所有主機上安裝防病毒或防惡意體，並定期更新。

-使用安全的網路，避免使用公共Wi-Fi網路。考慮使用VPN。

-使用有強密碼的多因素身份驗證。

-修補電腦設備和應用程式，以使其保持最新狀態

有關Ragnar Locker的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fb7f6cd3444c292042e41db

Flash Alert:

https://www.waterisac.org/system/files/articles/FLASH-MU-000140-MW.pdf

*****竣盟科技快報歡迎轉載，但請註明出處

在過去的兩年，一個新的中國國家級駭客組織（APT）已經在東南亞感染了200多個系統。

根據資安公司Bitdefender今天發布一份最新的報告，惡意軟體感染是一個名為FunnyDream的組織展開的廣泛網路間諜活動的一部分，攻擊主要針對東南亞國家的政府實體。雖然Bitdefender尚未列出任何受害國家，但據Kaspersky今年春季時發布的一份報告稱，FunnyDream至少自2018年以來一直活躍，並瞄準了馬來西亞，泰國，台灣和菲律賓等亞洲國家的一些政黨，然而大多數受害者都在越南，該組織主要針對政府組織。

Bitdefender和Kaspersky都表示，該組織直到今天仍然活躍，並且主要展開網路間諜活動，主要是以監視受害者的活動並從受感染主機上竊取敏感文件，特別是國家安全和工業間諜活動。

據研究人員稱，不僅有大約200台機器都顯示與攻擊活動有關的攻擊指標，而且有證據表明，威脅行動者可能入侵了受害者網路上的網域控制站，從而使它們可以橫向移動並控制其他系統。

研究人員也稱，多數攻擊都遵循一種模式，但同時結合了三種惡意軟體的payload -包含Chinoxy，PCShare和FunnyDream（FunnyDream惡意軟體隨後被命名為該組織名稱）。

三種惡意軟體中的每一種都具有精確的作用。Chinoxy被部署為最初使用的惡意軟體，充當切入點存取的簡單後門。

PCShare是一個已知的中文開源遠端木馬，它通過Chinoxy進行了部署，並用於探索受感染的主機。

FunnyDream是在PCShare的幫助下部署的，它是三者中功能最強大且功能最豐富的，具有更高級的持久性和通信功能，並用於數據收集和滲透。

　　　　　　　　　　　　

研究人員也還發現了從2019年5月出現使用上述FunnyDream後門的功能，該後門具有收集用戶數據，清除惡意軟體部署痕跡，阻止檢測和執行惡意命令的多種功能，其結果最後被傳輸回位於香港，中國大陸，韓國和越南的C&C伺服器。

有關FunnyDream的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fb55924659ab82b7e2571a3

https://otx.alienvault.com/pulse/5fb446087749d98182f7a340

Source:

https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

*****竣盟科技快報歡迎轉載，但請註明出處

#情資才是王道

ESET的資安研究員發現了一種新型針對銷售點（POS）的惡意軟體，他們將其稱為ModPipe。 ModPipe能影響Oracle的MICROS RES 3700 POS系統，該系統已被全球成千上萬的酒吧，餐廳和酒店業使用。

Oracle將RES 3700描述為“當今業界安裝最廣泛使用的餐營管理軟體”。該軟體套件用於管理PoS，會員計劃，報告，庫存，促銷和行動支付。

ModPipe後門以其模組化結構而著稱，可實現進階功能。由專家分析的模組之一，名為GetMicInfo，使用了一種演算法可允許操作員通過從Windows註冊表中解密密碼來收集數據庫密碼。

“讓該後門程式與眾不同的是它的可下載模組及其功能，它包含一種自定義演算法，該演算法旨在通過從Windows註冊表值中解密來收集RES 3700 POS數據庫密碼。”ESET的分析:“這表明後門的作者對目標軟體有深入的了解，並選擇了這種複雜的方法，而不是通過諸如鍵盤記錄之類的更簡單的方法來收集數據。”

ModPipe過濾的憑證允許操作員訪問數據庫內容，包括各種定義和配置，狀態表以及有關POS交易的資料。

儘管財務數據（例如信用卡號和有效期）受到RES 3700 POS系統中實施的加密的保護，但威脅執行者可以使用另一個可下載的模組來解密數據庫的內容。

ModPipe的模組化體系結構由基本組件和可下載模組組成：

• Initial dropper 其中包含下一階段持久性加載程式的二進位檔（32位和64位），並將適當的版本安裝到受感染的電腦上。

• Persistent loader，可解壓縮並加載主模組的下一個階段。

• Main module是執行惡意軟體主要功能的核心組件。它能建立與其他惡意模組進行連線的管道，卸載或安裝這些模組，並充當處理模組與攻擊者的C&C伺服器之間的連線調度。

• Networking module 用於與C&C連線。

• Downloadable modules是旨在向後門添加特定功能的組件，例如能夠竊取數據庫密碼和配置資料，掃描特定IP地址或獲取正在運行的進程及其加載的模組的列表功能。

ESET也詳細介紹的其他模組包含“ ModScan 2.20”，用於收集有關已安裝的POS系統的其他數據（例如版本，數據庫伺服器數據），以及“ Proclist”，用於收集有關當前正在運行的進程的詳細資料。

研究人員總結說：“ ModPipe的體系結構，模組及其功能也表明其編寫者對目標RES 3700 POS軟體具有廣泛的了解。” “編寫者的熟練程度可能來自多種情況，包括竊取專有軟體產品並對其進行反向工程，濫用其洩漏的零件或從暗網市場購買程式碼。

有關ModPipe後門的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fad7ec43bd4572731eec59d

Source: https://www.welivesecurity.com/2020/11/12/hungry-data-modpipe-backdoor-hits-pos-software-hospitality-sector/

*****竣盟科技快報歡迎轉載，但請註明出處

資安研究員發現首次一種規模比較大的 Windows 勒索軟體被移植到 Linux 系統，以進行有針對性的入侵，卡巴斯基的研究人員分析了Linux版本的RansomExx勒索軟體，RansomExx也被稱為Defray777，是一種相對較新的勒索軟體，於今年6月初首次被發現，同時也是一種人為操作勒索軟體(Human-operated ransomware)，這意味著攻擊者在獲得對目標網路的訪問權限後便得手動感染系統。

RansomExx於2020年6月對德州運輸部的發動了攻擊； 8月攻擊了柯尼卡美能達（Konica Minolta）；9月對美國政府承包商泰勒技術公司(Tyler Technologies) 發動了攻擊；以及最近對巴西法院系統（STJ）的攻擊。

最近發現當針對Linux伺服器時，RansomExx會部署一個名為“ svc-new”的ELF可執行檔，用於加密受害者的伺服器。

根據卡巴斯基:經過初步分析，我們注意到Trojan木馬的程式碼，勒索信件的文字和勒索方法的相似之處，這表明我們已經遇到了以前已知的勒索軟體家族RansomEXX的Linux版本。研究員說在啟動後該木馬會生成一個256位密鑰，並使用它來加密屬於受害者的所有檔案，這些檔案可以使用ECB模式下的AES分組密碼來訪問。AES密鑰通過嵌入特洛伊木馬程式中的公共RSA-4096密鑰進行加密，並附加到每個加密檔案中。

但專家指出，RansomEXX缺乏Trojan木馬的其他功能，如C2通信，反分析功能以及殺死進程的功能，也與Windows版本不同，Linux版本不會擦除可用空間。

專家注意到，當受害者支付贖金時，他們將同時獲得Linux和Windows解密工具，以及相應的RSA-4096私鑰和嵌入在執行檔中的加密文件副檔名。

最近Linux版本的IOC:

aa1ddf0c8312349be614ff43e80a262f

早期Windows版本的IOC:

fcd21c6fca3b9378961aa1865bee7ecb

RansomExx勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa577b4aa9de26c3b347142

Source: https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/?es_p=12938065

*****竣盟科技快報歡迎轉載，但請註明出處

日本遊戲開發商遭受了勒索軟體攻擊，Ragnar Locker勒索軟體的背後操作駭客稱他們是從在卡普空美國，日本和加拿大的公司網路中竊取了1TB敏感數據。

昨天，Capcom宣布他們在2020年11月2日遭受了網路攻擊，導致其部分公司網路暫停以防止攻擊蔓延。據了解，昨天卡普空並未透露網路攻擊的詳細資訊，今在資安研究員pancak3lullz發現了勒索軟體樣本，證實操作Ragnar Locker的駭客對卡普空進行了攻擊。BleepingComputer也取得了Ragnar Locker對卡普空勒索的信件。如下圖:

勒索信中包含七個print.sc 的URL，顯示被盜檔案的截圖，包括員工離職協議，日本護照，八月份的Steam銷售報告，銀行對賬單，承包商協議以及AA用戶和卡普空Windows網域的電腦MMC的截圖。下圖為被盜的卡普空2020年8月Steam銷售報告:

勒索信也包含Ragnar Locker Tor談判站點的連結，卡普空可以在該站點與攻擊者討論贖金。目前卡普空尚未使用聊天頁面，另資安研究員pancak3lullz對BleepingComputer表示，Ragnar Locker聲稱已經在Capcom的網路上加密了2,000台設備，並要求提供1100萬美元的比特幣作為交換解密工具。贖金還包括承諾刪除所有被盜數據以及提供網路滲透安全報告。

Ragnar Locker今年4月攻擊了包括對葡萄牙跨國能源巨頭Energias de Portugal，要求1090萬美元的贖金。9月，他們攻擊了了法國海上運輸和物流公司CMA CGM，導致網路和運營大量停工。另今也傳出意大利飲料供應商Campari受到Ragnar Locker攻擊，並已關閉了很大一部分IT網路。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

#情資才是王道

*****竣盟科技快報歡迎轉載，但請註明出處