CISA 警告:Akira 勒索軟體利用 Cisco ASA/FTD 中存在的漏洞

美國網際安全暨基礎設施安全局 (CISA) 週四(2/15)在已知遭濫用之漏洞清單 ( KEV )中新增了一個思科現已修補的安全漏洞,有報告指出Akira 勒索軟體利用思科自適應安全設備(Cisco Adaptive Security Appliance,ASA)和思科威脅防禦系統(Cisco Firepower Threat Defense,FTD)中先前修補的安全漏洞。該漏洞被稱為CVE-2020-3259(CVSS 評分:7.5),這是一個高嚴重性的資訊外洩漏洞,攻擊者無需經過授權,便可通過利用該漏洞檢索受影響設備上的記憶體內容,進行類似如下所示的惡意攻擊:

遠端獲取連接到思科VPN用戶的當前Session ID,影響用戶的正常使用;

利用獲取到的用戶當前Session ID,登錄思科VPN客戶端,從而滲透到公司的內部網路;

遠端獲取思科ASA內存中的其他機密資訊,如電子郵件地址、憑證等。

作為 2020 年 5 月發布的更新的一部分,思科對其進行了修補。但由於最近被發現Akira 勒索軟體在攻擊中使用,故已被添加到 CISA 的已知遭濫用之漏洞清單 ( KEV )中。上個月末,網路安全公司 Truesec 表示,它發現的證據表明,在過去的一年裡,Akira 勒索軟體攻擊者已將其武器化,以危害多個易受攻擊的 Cisco Anyconnect SSL VPN 設備。Truesec執行的八個最新事件回應任務進行的分析(其中部署了Akira 勒索軟體,並且被確認Cisco Anyconnect SSL VPN為入口點)顯示,至少有六台受感染的設備正在運行不同版本的易受攻擊的設備。

據 Palo Alto Networks Unit 42 ,Akira 是 2023 年新設立勒索軟體的 25 個組織之一,於3 月首次被發現。Akira公開聲稱有近 200 名受害者,據信Akria與臭名昭著的Conti之間存在聯繫,因為Akira被發現將贖金收益發送至 Conti錢包地址。僅在 2023 年第四季度,Akira就在其暗網網站上列出了 49 名受害者,排在LockBit(275 名)、Play(110 名)、ALPHV/BlackCat(102 名)、 NoEscape(76 名)、8Base(75 名)之後。)和BlackBasta(72)。CISA要求聯邦民事行政部門 (FCEB) 機構必須在 2024 年 3 月 7 日之前修復已發現的Cisco ASA/FTD 中存在的漏洞CVE-2020-3259,以確保其網路免受潛在威脅。

CVE-2020-3259 遠非唯一被利用來傳播勒索軟體的漏洞,本月早些時候,Arctic Wolf Labs披露了濫用CVE-2023-22527(Atlassian Confluence 資料中心和 Confluence 伺服器最近發現的漏洞)來部署 C3RB3R 勒索軟體以及加密貨幣挖礦程式和遠端存取木馬的情況。

Backmydata勒索軟體攻擊導致多達100 家羅馬尼亞醫院受到影響 系統離線

羅馬尼亞當局證實針對醫療資訊系統(HIS)的勒索軟體攻擊已擾亂至少100家醫院的運作,受影響的醫院都必須放棄使用電腦系統,回到紙筆時代,手寫病歷。

羅馬尼亞 100 家醫院的醫療管理系統遭到Backmydata勒索軟體攻擊後,系統已關閉。醫院用來管理醫療活動和病患資料的醫療資訊系統(Healthcare /Hospital Information System,簡稱為HIS)在上周末遭到攻擊,資料庫被加密後現已離線。已確認 25 家醫院的資料已被攻擊者加密,為防止損害進一步蔓延,在調查事件期間,使用HIS 的其他 75 家醫療機構也已將其系統關閉。據羅馬尼亞國家網路安全局 (DNSC) ,攻擊者首先在星期六(2 月 10 日)對一家兒童醫院的數據進行了加密,並在 2 月 11 日至 2 月 12 日期間對其餘24家醫院進行了攻擊。DNSC 還表示,與 HIS 系統連接的其他 75家醫療機構已被切斷網路連接,調查人員正在試圖確定它們是否也受到了影響。

據 DNSC 稱,大多數受影響的醫院都有最新的資料備份,這應該可以快速恢復所有系統。然而,在一個設施中,備份不包括最近 12 天的資料。週二(2 月 13日),DNSC宣布受影響的醫院數量已增加到 26 家,攻擊者已提出 3.5 比特幣(約 175,000 美元)的贖金要求。DNSC 已要求所有醫院隔離受影響的系統,保存勒索信和系統日誌,調查日誌以確定進入點,保持受影響的系統處於開啟狀態,以便從記憶體中檢索證據,並將事件通知所有相關方、使用備份還原受影響的系統,並確保所有應用程式和作業系統都是最新的。

一個癌症治療組織週一告訴當地新聞媒體,所有伺服器都已關閉,網路也已斷開,以防止資料外洩。光是這家醫院,週一就有 180 多名入院病人進行了紙本登記,血液檢查也印在紙本上。

這次攻擊中使用的 Backmydata屬於 Phobos勒索軟體系列的變種,該勒索軟體通常透過利用遠端桌面協定 (RDP) 服務中的漏洞(包括弱登入憑證)來感染系統。在受感染的系統上,Backmydata 實現持久性、停用防火牆、刪除影集副本以及加密和洩漏資料。

在勒索信中,駭客聲稱竊取了機密數據,如果不支付贖金,這些數據將被出售,並提供受害者用於通訊的電子郵件地址。

Backmydata勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

396a2f2dd09c936e93d250e8467ac7a9c0a923ea7f9a395e63c375b877a399a6

70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4

AnyDesk事件後 客戶憑證外洩並在暗網上兜售

根據AnyDesk於2024 年 2 月 2 日發表的公開聲明,「作為預防措施,我們 (AnyDesk) 撤銷我們入口網站 my.anydesk.com 的所有密碼,如果使用相同的憑證,我們建議使用者更改密碼。」根據許多(BleepingComputerThe Hacker News等)資安媒體報道,攻擊者竊取了原始碼和程式碼簽署憑證;不過,AnyDesk未證實這項消息,只確認該事件並非勒索軟體攻擊。

AnyDesk 對此事件做出回應,撤銷了所有與安全相關的憑證和系統,替換或修復了其系統。它還計劃使用新的二進位檔案撤銷先前的程式碼簽署憑證。據 AnyDesk 稱,他們的調查顯示,沒有證據表明網路攻擊導致任何可用於存取最終用戶設備的私鑰、令牌或密碼被盜。此外,該公司已確認,目前沒有跡象表明漏洞對任何最終用戶設備產生了任何影響。

然而在2 月 4 日,根據資安公司Resecurity有駭客者暗網上出售大量 AnyDesk 客戶憑證,網路犯罪分子獲得的此類資訊可能會成為新攻擊的催化劑,包括有針對性的網路釣魚活動。有了有關特定客戶的更多背景資訊,成功入侵的可能性可能會顯著增加。例如,一種可能的情況可能涉及這些詳細資訊被用於代表軟體供應商、託管服務提供者(MSP) 或IT 外包公司發送的惡意電子郵件,其目的是獲取敏感資訊- 在這種情況下,下游商的入侵可重要了。獲取此類數據的來源和方法可能會有所不同,並且取決於特定駭客的策略、技術和程序 (TTP)。透過訪問AnyDesk 的portal ,駭客可以了解有關客戶的有意義的詳細資訊,包括但不限於使用的license密鑰、活動連接數量、會話持續時間、客戶ID 和聯繫資訊、與帳號關聯的電子郵件以及啟動遠端存取管理軟體的主機總數,及其線上或離線狀態和 ID。

化名「Jobaaaaa」的駭客,在著名的暗網論壇 Exploit[.] 上列出了超過 18,000 個 AnyDesk 客戶憑證以供出售 Photo Credit: Resecurity

目前尚不清楚這些憑證是如何獲得的,但 Resecurity 表示,鑑於密碼可以重置,網路犯罪分子可能會急於利用可用的客戶憑證來獲利。因為他們知道 AnyDesk 可能會採取主動措施來重置其憑證。此類資料對於初始存取代理程式和熟悉 AnyDesk 的勒索軟體團體來說可能非常有價值,AnyDesk 經常被濫用為成功網路入侵後的工具之一。據了解,暗網上大多數外洩的帳號都沒有啟用 2FA。

Photo Credit: Resecurity

Hudson Rock聯合創辦人兼首席技術長 Alon Gal 等其他網路安全專家也注意到了這起事件,並向社群發出了警報。據 Gal 稱,由於資訊竊取者的活動,超過 30,000 個用戶憑證可能在暗網上流通。

AnyDesk 的活動發生在 Cloudflare宣布成為攻擊目標及微軟和慧與科技也揭露了俄羅斯國家駭客所實施的網路安全事件之後。值得一提,Resecurity 已通知 AnyDesk其多個消費者和企業憑證已在暗網上被公開。

史無前例 美國CISA下令聯邦機構緊急在48小時內斷開Ivanti VPN 設備的連接

Photo Credit: CISA

為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險,CISA採取了史無前例的舉措,要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。

CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示:“盡快且不晚於2024 年2 月2 日星期五晚上11:59,斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ,該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。

CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”,並監控可能暴露的身份驗證或身份管理服務。該機構表示,聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離,並繼續審核特權等級存取帳號。為了使產品重新投入使用,CISA 表示,各機構需要匯出設備配置設定,按照 Ivanti 的說明完成出廠重置,並重建設備並升級到完全修補的軟體版本。

自去年 12 月以來,中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞,分別為 CVE-2023-46805CVE-2024-21887。 Ivanti 週三表示,它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示,它還觀察到一些針對聯邦機構的初步目標。

Ivanti 記錄了四個獨立的漏洞:

  • CVE-2023-46805 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞,允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2,已確認為被利用零日漏洞。
  • CVE-2024-21887 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
  • CVE-2024-21888 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure(9.x、22.x)的 Web 元件中存在權限提升漏洞,允許使用者將權限提升至行政人員,CVSS 評分為8.8。
  • CVE-2024-21893 — Ivanti Connect Secure(9.x、22.x)、Ivanti Policy Secure(9.x、22.x)和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞,允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。

Ivanti還警告說,情況仍在不斷發展,多個威脅行為者迅速調整其策略、技術和程序,以在其活動中利用這些漏洞。Ivanti稱,CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為,並且預計一旦該資訊公開,利用行為就會急劇增加。Ivanti 表示,情況仍在不斷發展,將隨著更多資訊的出現,更新其知識庫文章,該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。

三週前,Volexity 首次發現了對這些漏洞的利用,並警告說,中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。 資安公司 Volexity 的創辦人 Steven Adair表示,迄今為止,至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人,不過 Volexity 指出「總數可能要高得多」。

資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」,並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱,網絡犯罪組織已利用公開的漏洞部署加密器和後門。

Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):

施耐德電機證實其永續發展部門遭到勒索軟體攻擊 幕後黑手指向仙人掌勒索軟體

該部門因勒索軟體攻擊導致資料外洩及平台中斷

施耐德電機資源顧問平台上的停用消息

1 月 30 日,根據BleepingComputer報道,能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊,導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門,攻擊擾亂了其部分資源顧問雲端平台,該平台至今仍處於中斷的狀態。據報道,勒索軟體在網路攻擊期間竊取了數TB 的公司數據,並正在威脅該公司,如果不支付贖金,就會洩露被盜的數據。雖然尚不清楚被盜的資料類型,但永續發展業務部門為企業組織提供諮詢服務,就再生能源解決方案提供建議,並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件,該攻擊影響了其資源諮詢產品(永續發展資訊的數據視覺化工具)以及「部門特定系統」。然而,施耐德表示,公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統,也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據,包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而,該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍,截至撰寫本文時,該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱,該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟的TTPs,Photo Credit: Kroll

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標,並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號,它還使用 開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具(例如Splashtop、AnyDesk、SuperOps RMM)來實現遠端訪問,並在  後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限,駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外,仙人掌使用 Rclone 工具進行資料洩露,並使用名為 TotalExec 的 PowerShell 腳本(BlackBasta勒索軟體過去曾使用過該腳本) 來自動部署加密過程。一月初,仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73

繼微軟後 慧與科技也遭俄羅斯國家駭客入侵

Photo Credit: Shutterstock

最近入侵微軟(Microsoft)的俄羅斯駭客也成功滲透了另一家大型IT公司:慧與科技(Hewlett Packard Enterprise-HPE) 。根據CNNBleeping ComputerThe Washington Post等多家國外媒體的報導,HPE在一份提交美國證券交易委員會(SEC)備案文件中披露,俄羅斯國家駭客已經在長達七個多月的時間裡進入了其企業電子郵件收件匣。這家矽谷巨頭通知投資者,來自俄羅斯聯邦對外情報局(Russian Foreign Intelligence Service)的駭客於 2023 年 5 月首次滲透了基於雲端的電子郵件服務。HPE表示,直到 12 月 12 日,該公司才收到通知後發現了入侵行為。監管文件稱,這些駭客“據信”是Midnight Blizzard,也稱為APT29、Nobelium 和 CozyBear。

微軟幾天前才透露,同樣的駭客已經入侵了其公司高階領導層的收件匣。2021 年,駭客在 SolarWinds 開發的 IT 基礎設施軟體中插入後門後,白宮將威脅行為者與莫斯科聯繫起來。

HPE表示,在這起最新事件中,駭客入侵了屬於我們資安部、進入市場策略部(go-to-market)、商用部等單位的電子郵件,郵件遭到非法存取及下載。

監管文件稱,電子郵件駭客攻擊可能與該公司在 2023 年 6 月了解到的同一駭客組織的早期活動有關。該活動涉及 2023 年 5 月未經授權訪問 HPE SharePoint 伺服器以及“洩露有限數量的文件” 」。

威脅情報公司 Mandiant 於 2022 年 8 月警告稱,俄羅斯駭客組織特別關注 Microsoft 365,這是一套無處不在的生產力和雲端儲存應用程式。APT 29使用 Microsoft 雲端中的虛擬機器來隱藏其痕跡。

根據2021 年 4 月的諮詢報告,聯邦政府早在 2018 年就注意到該組織轉向以雲端資源為目標,“特別是電子郵件”,並減少對惡意軟體的依賴。

一位HPE的公司代表表示,我們的調查得出的結論,出於高度謹慎,符合美國證券交易委員會有關網路事件的新法規的精神,公司就決定披露此次駭客攻擊。美國證券交易委員會去年投票通過了 12 月生效的法規,要求上市公司的大型公司在確定重要性後的四個工作日內披露“重大網路安全事件”。

HPE表示,到目前為止,該事件尚未對其營運產生重大影響,但對其財務狀況的潛在影響仍有待觀察。該公司當天收盤上漲1.68%,但盤後交易中下跌1.02%。 HPE 本月稍早發布了新聞,宣布與網路設備製造商Juniper Networks達成140 億美元的收購協議,並宣稱該交易是讓合併後的公司在新興的人工智慧市場中定位的方式。

中國國家級駭客利用VMware 關鍵漏洞長達兩年 CISA將此越界寫入漏洞增至其已知遭濫用之漏洞清單

1 月 18 日,VMware 確認 CVE-2023-34048被利用後,Mandiant 將該活動歸因於一個與中國關係密切的駭客組織,並透露該攻擊活動至少從 2021 年底開始。根據 Mandiant 的最新研究,至少自 2021 年底以來,與中國相關的 APT 組織UNC3886一直在利用一個編號為vCenter Server 的零日漏洞CVE-2023-34048 。vCenter Server 是 VMware 虛擬化和雲端運算軟體套件中的關鍵元件。它作為VMware虛擬化資料中心的集中式綜合管理平台。Mandiant在周五的一份報告中表示:“UNC3886 擁有利用零日漏洞在不被發現的情況下完成攻擊任務的記錄,而這個最新的例子進一步證明了它們的能力。

Photo Credit: Mandiant

另外,Critical Start網路威脅研究資深經理Callie Guenther表示:「CVE-2023-34048 的利用反映了深厚的技術敏銳度,顯示在識別和利用VMware 等廣泛使用的軟體中的複雜漏洞方面具有高水平的熟練程度。 」

去年10 月 25 日,VMware 首次揭露了一個編號為 CVE-2023-34048 的越界寫入漏洞(Out-of-bounds Write)以及一個編號為 CVE-2023-34056 的部分資訊外洩漏洞,這些漏洞影響了 vCenter Server。該供應商警告說,利用越界寫入漏洞(CVSS評分為 9.8)可使攻擊者能夠在易受攻擊的電腦上遠端執行程式碼。Mandiant 的研究人員於 2022 年 9 月首次 詳細介紹了該組織的活動,當時他們在 VMware ESXi Hypervisor 中發現了一種新穎的惡意軟體持久性技術。惡意軟體作者使用該技術在 VMware ESXi Hypervisor 中實現管理訪問,並接管適用於 Windows 和 Linux 的 vCenter 伺服器和虛擬機器。

這次攻擊的高度針對性和規避性使專家們相信,攻擊是由中國國家級駭客 UNC3886出於網路間諜目的而實施的。

在 Mandiant 於 2022 年 9 月調查的攻擊中,攻擊者依靠惡意 vSphere 安裝套件 (VIB)在 ESXi 虛擬機器管理程式上安裝兩個後門,分別為 VIRTUALPITA 和 VIRTUALPIE。 VIB 是設計用於管理虛擬系統的檔案集合,它們可用於建立啟動任務、自訂防火牆規則或在 ESXi 電腦重新啟動時部署自訂二進位。Mandiant 進行的進一步調查顯示,UNC3886 組織使用了其他技術來針對多個組織以避免 EDR 解決方案。

Mandiant 和 VMware Product Security 對“vmdird” 核心崩潰檔案的分析表明,進程崩潰與 CVE-2023-34048 的利用密切相關,

2023年末,Mandiant 注意到 VMware vmdird 服務在部署後門前幾分鐘就當機。Mandiant 和 VMware Product Security 對「vmdird」核心崩潰檔案的分析表明,進程當機與 CVE-2023-34048 的利用有密切的關係。Mandiant 觀察到 2021 年底至 2022 年初期間發生了多起 UNC3886 事件。研究人員還注意到,在觀察到這些崩潰的大多數環境中,日誌條目被保存了下來,但『vmdird』核心崩潰檔案本身卻被刪除

“VMware 的預設配置會將核心崩潰檔案無限期地保留在系統上,這表明攻擊者故意刪除了核心崩潰檔案,以試圖掩蓋其踪跡。”報告總結道。 “正如 VMware 通報中提到的,此漏洞已在 vCenter 8.0U2 中得到修補,Mandiant 建議 VMware 用戶更新到最新版本的 vCenter,以應對此漏洞被廣泛利用的情況。”週三,VMware 以新資訊更新該通報,警告客戶越界寫入漏洞正受到攻擊。

根據Shadowserver Foundation 的數據,目前有數百個暴露於網際網路的 VMware vCenter Server 執行個體可能存在漏洞。

Photo Credit: CISA

VMware 產品成為惡意攻擊者攻擊目標的情況並不少見。美國安全機構 CISA 維護的已知遭濫用之漏洞清單目前包括 21 個VMware 產品漏洞。今天(1月24日)CISA在其已知遭濫用之漏洞清單(KEV)中新增了CVE-2023-34048漏洞,並下令聯邦機構在 2024 年 2 月 12 日之前修復此漏洞,也建議私人機構審查該清單並解決其基礎設施中的漏洞。

美國CISA和FBI警告 惡意軟體AndroxGh0st攻擊Laravel和Apache HTTP伺服器 鎖定竊取 AWS、Azure 和 Office 365 憑證

美國網安全與基礎設施安全局 (CISA) 和聯邦調查局 (FBI)警告,部署AndroxGh0st惡意軟體的攻擊者正在建立一個殭屍網路,用於「在目標網路中識別和利用受害者」。AndroxGh0st是一種基於 Python 的惡意軟體, 於 2022 年 12 月首次被記錄。

此雲端攻擊工具能夠滲透易受已知安全漏洞影響的伺服器,以存取 Laravel 環境檔案並竊取 Amazon Web Services (AWS)、Microsoft Office 365、SendGrid 和 Twilio 等知名應用程式的憑證。

CISA 和 FBI 指出,該威脅還濫用簡單郵件傳輸協定 (SMTP) 進行掃描、利用被盜憑證和 API 以及 Web shell 部署。根據該通報,Androxgh0st 操作背後的網路犯罪分子也被發現使用腳本掃描特定漏洞的網站,其中包括CVE-2017-9841,這是一個 PHPUnit 漏洞,導致透過 HTTP POST 請求執行 PHP 程式碼。這些攻擊的目標是將 /vendor 資料夾暴露在網路上的網站。警報稱:「惡意行為者使用 Androxgh0st 將惡意檔案下載到託管網站的系統。威脅參與者還能夠設定可透過 URI 存取的虛假(非法)頁面,以提供對網站的後門存取。這使得威脅行為者能夠為其操作下載額外的惡意檔案並存取資料庫。」。

該通報稱,Androxgh0st 殭屍網路使用 Laravel 框架掃描網站,尋找包含附加服務憑證的公開在根目錄的.env檔案。然後惡發出請求以檢索儲存在這些文件中的敏感資訊。

「Androxgh0st 惡意軟體還可以存取網站上 Laravel 應用程式的應用程式金鑰。如果威脅者成功識別 Laravel 應用程式金鑰,他們將嘗試使用該金鑰加密 PHP 程式碼來進行利用。”

作為此活動的一部分,威脅行為者利用 CVE-2018-15133,這是一種不受信任資料的反序列化,允許他們將檔案上傳到易受攻擊的網站,CISA週二(1/16)將該安全漏洞添加到其已知遭濫用之漏洞清單(Known Exploited Vulnerabilities (KEV) catalog)中。

操作Androxgh0st的攻擊者也針對CVE-2021-41773,這是 Apache HTTP Server 版本 2.4.49 和 2.4.50 中的路徑遍歷,導致執行遠端程式碼。如果攻擊者使用上述方法獲得任何服務的憑證,他們可能會使用這些憑證存取敏感資料或使用這些服務進行其他惡意操作。

不到一週前,SentinelOne 揭露了一種名為FBot的相關但獨特的工具,攻擊者正在利用該工具來破壞 Web 伺服器、雲端服務、內容管理系統 (CMS) 和 SaaS 平台。表示:“雲端威脅格局將繼續借用其他工具的程式碼,並將它們整合到一個整體生態系統中,這就是我們看到的 AlienFox 和 Legion 分別與 AndroxGh0st 和 FBot 所做的事情。

“隨著攻擊者找到利用雲端服務獲利的新方法,我們預計會看到針對這些服務的定制工具的出現,就像這些工具專注於利用郵件服務進行垃圾郵件攻擊一樣。NETSCOUT 也發出警報,表示自 2023 年 11 月中旬以來殭屍網路掃描活動大幅增加,並於 2024 年 1 月 5 日達到近 130 萬個不同設備的峰值。大多數來源 IP 位址與美國、中國相關、越南、台灣、俄羅斯。

這些機構發布了與 Androxgh0st 惡意軟體操作相關的入侵指標(IoCs)以及建議的緩解措施,敦促組織盡快應用它們。除了更新作業系統、軟體和韌體之外,也要確保所有URI預設配置為拒絕所有請求,並且所有Laravel應用不應處於除錯或是測試模式。

Androxgh0st 惡意軟體的的部分入侵指標IoCs:

hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt 59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4 

hxxps://chainventures.co[.]uk/.well-known/aas

dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6  hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066 

hxxps://pastebin[.]com/raw/zw0gAmpC ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72  hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php

京鼎遭LockBit勒索軟體攻擊

1 月 16 日,鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持,顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵,駭客挾持京鼎公司網站

根據聯合報的報導,操作勒索軟體LockBit的 駭客還直接在網頁上留下兩大段訊息,第一段訊息是告知客戶,駭客集團已拿下京鼎的客戶資料,如果京鼎不付錢,那麼,客戶的所有個人資料都將被公開在網路上,第二段訊息則是告知員工,如果京鼎管理階層不與駭客集團聯繫,那麼,駭客將會摧毀京鼎所有的資料,而且這些資料將不能恢復,這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示,在檢測到攻擊後不久,該公司於下午恢復了其網站,並補充說正在與安全專家合作。京鼎在聲明中表示,該公司的初步評估顯示,該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示,去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區,平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

美國CISA將 Ivanti Connect Secure 和 Microsoft SharePoint 漏洞新增至其已知遭濫用之漏洞清單 聯邦機構須於2024 年 1 月 31 日前修補這些漏洞

Photo Credit: CISA

1 月 11 日,美國網路安全與基礎設施安全局 (CISA) (Known Exploited Vulnerabilities (KEV) catalog)新增了 Ivanti Connect Secure 和 Policy Secure 漏洞(編號為CVE-2024-21887CVE-2023-46805)以及 Microsoft SharePoint Server 漏洞(編號為CVE- 2023-29357) 在其已知遭濫漏洞清單中。

1 月 10 日,軟體公司 Ivanti報告稱,駭客在利用其 Connect Secure (ICS) 和 Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。漏洞編號為 CVE-2023-46805,嚴重程度評分為 8.2。它允許駭客「透過繞過控制檢查來存取受限資源」。另一個漏洞 CVE-2024-21887 可協助攻擊者向設備發送命令,嚴重程度為 9.1。攻擊者可以連結這兩個漏洞,向未修補的系統發送特製請求並執行任意命令。

Ivanti 發布的公告,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用漏洞可不需要身份驗證,並使駭客能夠製作惡意請求並在系統上執行任意命令。該公司正在提供緩解措施,並確認正在開發安全修補程式,最終修補將於 2 月 19 日內發布。

另外,資安公司Volexity 研究人員觀察到駭客已積極在利用這兩個零日漏洞。2023 年 12 月,Volexity 調查了一次攻擊,攻擊者利用這些漏洞在多個內部和面向外部的 Web 伺服器上放置 Webshel​​l。

此外新增至 CISA KEV 清單的第三個漏洞是 Microsoft SharePoint Server 權限升級漏洞CVE-2023-29357,未經身份驗證的攻擊者獲得偽造 JWT (JSON Web Token)身份驗證令牌存取權限,使用它們來執行繞過身份驗證的網路攻擊,並允許他們獲得經過身份驗證的用戶的權限。漏洞可允許未經身份驗證的攻擊者在成功利用不需要使用者互動的低複雜度攻擊後獲得管理權限。

根據約束性操作指令22-01( Binding Operational Directive 22-01 ) ,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB),都必須針對相關漏洞進行處理,在截止日期前解決已識別的漏洞,以保護其網路免受利用清單中的漏洞攻擊,專家也建議私人機構審查KEV清單並解決其基礎設施中的漏洞。

CISA 命令聯邦機構在 2024 年 1 月 31 日之前修復以上三個漏洞。

Ivanti Connect Secure漏洞的部分入侵指標(Indicator of compromise -IOCs):
206.189.208.156
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
75.145.243.85
71.127.149.194
173.53.43.7