傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍,迄今一直針對知名目標。

*主要針對 VPN 設備,尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明,未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面,駭客聲稱已盜得該業者的公司機敏資料,包括工程檔案、財務資料、客戶資訊、個人身份文件,資料庫備份等。作為證據,駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限,相對於其他被勒索的公司,本次的台灣業者被盜的資料顯然較少,仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅,利用各種策略來破壞企業網路並部署勒索軟體。據觀察,該組織以 VPN 設備為初始存取目標,並利用已知漏洞在受害者環境中站穩腳跟,同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現,透過利用已知漏洞(尤其是VPN 設備中的漏洞)、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動,迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載,這有助於逃避安全工具的偵測。 仙人掌也使用 Cobalt Strike 等工具,並利用 TotalExec 等腳本來自動化加密過程,這與 BlackBasta 勒索軟體組織使用的策略非常相似。 仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中,採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法,到組織重新啟動執行和枚舉網路共享,Cactus 展示了多方面的攻擊方法,確保其活動不僅成功,而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務(每 5 分鐘運行一次)來確保其在受感染系統中持續存在,從而將勒索軟體作為SYSTEM 運行,並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子,除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。據觀察,仙人掌可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成,仙人掌就會在使用者的電腦上發布勒索資訊。

仙人掌發布的勒索信–cAcTuS.readme.txt

以下提供仙人掌相關的部分的入侵指標(IOCs):

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

Hunters International 近期密集入侵台灣上市製造與代工業 恐引起產業供應鏈危機

兩個月內出現第三家台灣受害公司

今年4月中旬經濟日報工商時報皆報導國內電子零組件大廠群光電子遭駭客組織Hunters International 入侵,約1.2TB、414萬個檔案被竊取並加密鎖住。相隔不到一個月,大紀元時報報導Hunters International於5月中旬駭進台塑美國取得1.2TB約230萬份資料,包含訴訟文件、PII(個人識別資訊)、訴財務數、客戶數據和技術數據等。昨天(5/23) 竣盟科技在暗網發現Hunters International已公佈駭進國際知名GPU半導體大廠 NVIDIA的某合格供應鏈國內廠商(專營電子連接器/線組) 並竊取435GB的資料,約53萬個檔案。值得一提的是,Hunters International 已把檔案設置為”View”供任何可連結到其暗網的人下載。

Hunters International 近期對台的駭動異常頻繁,從台灣知名的IPO製造、代工大廠甚至到供應商做整體產業鏈入侵,竊取資料並加密鎖住資料,企圖威脅造成產業營運損失(包含重要資訊外洩)企業競爭力受影響。

Hunters International 是一個勒索軟體組織,以其廣泛而具影響力的攻擊聞名。他們針對包括醫療保健、汽車、製造、物流、金融服務、教育和食品等多個行業,展示了他們廣泛而機會主義的方法,以最大化他們的贖金要求。該組織使用各種策略和技術,借鑒了 Hive 勒索軟體的操作手冊,同時進行修改以提高可靠性和功能性。Hunters International的勒索軟體可以在 Windows 和 Linux 環境中加密檔案,在受影響的檔案上添加“.LOCKED” 副檔名,並將「Contact Us.txt」檔案留在目錄中,指導受害者如何在暗網上發起協商。

Hunters International 有一個專用洩漏站點數據洩露網站(Dedicated Leak Site-DLS),並根據國家列出受害者,利用這個平台通過威脅暴露敏感數據來壓迫受害者支付贖金。這個網站還有助於提高他們在網絡犯罪社區中的聲譽。有趣的是,Hunters International最近將他們的 DLS 移至一個表網網域名,該網域原本在2017年至2021年是合法的網站,現已被改用於Hunters International的惡意活動,該網站使用欺騙策略來掩蓋他們的真實身份,並且有跡象表明他們與尼日利亞和可能的俄羅斯有聯繫。

Hunters International勒索軟體使用各種命令行參數來實現功能和靈活性,包括指定用戶憑證進行通信、啟動日誌記錄和設置文件加密參數。他們還有一種攻擊模式,可以禁用備份和終止進程,以防止數據恢復。總而言之,Hunters International 的活動突顯了勒索軟體威脅的持久性和不斷演變的性質,強調了需要強大的網路安全措施、定期數據備份以及與執法部門的合作以減少風險。

無論是半導體或晶圓製造甚至零組件供應商,都是台灣當前重要的產業。高科技精密產業的相關數據資料是產業的核心競爭關鍵,如何做好資訊安全防護絕對是各資訊長的當務之急。

有鑑於此,政府近年來密集要求及督導相關產業落實資安合規,就是希望透過資安合規協助企業做資安健診,讓企業了解自身資安漏洞後,進而建置完整的資安防禦。當企業與供應鏈廠商之間建構安全的資安防護網後,資安無慮產業運營更順利。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af                  

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e                  

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion            

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

Hunters International 再度入侵台灣 跨國上市電子公司遭殃

4月16日,竣盟科技在Hunters International 的暗網揭秘網站上發現台灣某跨國電子大廠的頁面,Hunters聲稱已取得該公司約1.2TB的資料共約420萬份檔案。該受害電子大廠主要從事鍵盤、影像相關產品、電源供應器、智慧家居產品等製造及代理各品牌電腦週邊設備等。目前Hunters International 沒有公佈確切發佈資料的日期及要求的贖金金額。 最近日本光學大廠Hoya也傳出成為Hunters 的受害者,被盜約200萬份資料及勒索1千萬美元的贖金。截至目前,Hoya被盜的資料還沒有在網路上出現,攻擊者也沒有公布他們是如何滲透到 Hoya 的。然而,Hoya 與網路犯罪分子之間談判過程的螢幕截圖已在網路上洩露,突顯了緊張的局勢。Hoya事件的直接結果是,一些生產工廠和某些產品的訂購系統受到了影響。 台灣電子大廠的生產線是否也如Hoya受到直接的影響,目前仍不得而知。

Hunters International於 2023 年第三季才浮出水面上,儘管只有幾個月的歷史,該組織的發展速度仍超出了任何人的預期,但這樣一個新組織為何能如此迅速地崛起呢?答案相對簡單:Hunters似乎是 Hive 勒索軟體的繼承者。Hive曾經是世界上最危險、資金充足、足智多謀的勒索軟體組織之一,該勒索軟體於 2023 年 1 月被 FBI 攻破,停止了Hive 勒索軟體的操作。據觀察Hunters International,是一種針對 Windows 和 Linux 環境的勒索軟體,一旦勒索軟體組織完成資料洩露,就會在受害者電腦上的加密檔案中加入.LOCKED副檔名。截至目前,他們列出的全球受害者,涉及健康、汽車、製造、物流、金融、教育、食品等產業。另外,根據Bitdefender 的報告,Hive 的程式碼與 Hunters International 的程式碼之間有重大相似之處,兩者程式碼有60%重疊。

此前,2023 年 11 月中, Hunters宣稱入侵了台灣某上市生醫並已盜取約236GB的資料,當中檔案的範圍包含客戶投訴數據-資料庫備份檔(HR相關、CRM相關和其他)-財務數據(付款、報告、審計等)-營業單位數據(訂單,產品配方,實驗室測試,包裝等) – 美國子公司數據(網路設置、稽核、供應商、員工數據等)-客戶數據(訂單、混合配方、產品處方、實驗室測試、郵件等。

根據 Cyber​​news的數據,Hunters International 是上個月最活躍的勒索軟體前五名之一。Hunters在 3 月聲稱有 23 名受害者,此外,自 2023 年 10 月以來總共有 89 名受害者。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

48b0a224697ead43ca1272c34a4777662049964913f083a40a5458a4ee1f78a6

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

又傳台灣上市企業遭LockBit攻擊 自動化設備大廠疑遭殃

某台灣著名的智慧自動化設備大廠,據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日,操作LockBit勒索軟體的背後駭客在其揭秘網站上,發布了對有關自動化設備大廠網路攻擊的訊息,目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節,然而卻發出最後通牒,威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行,沒有明顯的網路攻擊跡象,攻擊是否針對的是該公司的資料庫,暫仍不得而知。

LockBit 勒索軟體組織是誰?

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織,因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據,除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明,LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體,佔44 %全球勒索軟體事件。光是在美國,2020 年 1 月至 2023 年 5 月期間,LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊,累積了高達 9,100 萬美元的贖金。值得注意的是,該組織仍然出於經濟動機,沒有正式歸屬於任何特定的國家,但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」(一種自動提取資料的惡意軟體工具)而引起關注。該工具與更版的LockBit 2.0 一起發布,具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外,LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍,目標是Linux主機,特別是 ESXi 伺服器。2022 年 6 月,LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

2023 年 11 月,美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞),作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業,包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據,美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司,盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 www.billows.tech , 以免觸法”

北韓駭客Diamond Sleet針對台灣訊連科技(CyberLink)用戶發動供應鏈攻擊

Photo Credit: CybersecurityNews

在不斷發展的網路安全領域,出現了由北韓國家級駭客精心策劃的複雜供應鏈攻擊,他們將惡意檔案植入到合法的照片和影片編輯應用程式安裝檔案中。這次巧妙的攻擊涉及篡改合法的訊連科技應用程式,部署隱藏第二階段有效負載的惡意變體。11月23日,微軟透露,名為Diamond Sleet(又稱 Lazarus、Hidden Cobra)的北韓駭客入侵了台灣軟體開發商訊連科技,並對其一款合法應用程式進行木馬化,該應用程式被用作分發惡意軟體的管道。受感染的安裝程式雖然看起來合法並使用有效的訊連的憑證簽章,但隱藏了旨在下載和執行輔助負載的惡意程式碼。

該惡意軟體被稱為 LambLoad,既充當下載程式又充當載入程式。載入程式檢查以下進程名稱:

csfalconservice.exe  (CrowdStrike Falcon)

xagt.exe  (FireEye 代理程式)

taniumclient.exe  (Tanium EDR 解決方案)

該惡意軟體經過編程,可在啟動任何惡意活動之前檢查系統的日期和時間,確保其在預先配置的執行期內運行。LambLoad 的目標是沒有FireEye、CrowdStrike和Tanium等公司安全軟體的企業環境。如果偵測到這些廠牌的端點防護系統,該惡意軟體就會中止其惡意操作,並允許合法的訊連科技軟體暢通無阻地運作。如果不存在端點防護,則從受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載,該有效酬載在記憶體中可以被提取、解密和啟動,並將從C2接收駭客的命令。

研究人員發現,自10 月20 日首次觀察到該惡意安裝程式以來,包括日本、台灣、加拿大和美國在內的多個國家/地區的100 多台設備已受到該惡意安裝程式的影響。儘管研究人員迄今尚未確認任何入侵後的目的,但資料外洩的可能性、進一步向供應鏈下游移動以及對受害者環境的持續存取仍然是一個重大問題。

微軟高度確信這次攻擊是由北韓Diamond Sleet 發起的,該組織以針對全球媒體、國防和資訊科技產業而聞名。據微軟稱,Diamond Sleet 的活動包括間諜活動、資料竊取、經濟利益和破壞企業網路。自從發現該攻擊以來,Microsoft 已通知訊連科技和 Microsoft Defender 受活動影響的 Endpoint 客戶。這次攻擊也報告給了 GitHub,後者刪除了第二階段的有效酬載。

訊連科技是一家台灣軟體公司,以開發多媒體軟體(包括 PowerDVD)以及人工智慧臉部辨識技術而聞名。訊連科技擁有 200 多項專利技術並在全球銷售了超過 4 億個應用程式。

對於研究人員的發現,11月23 日下午,訊連科技發佈公告指出,在其產品「Promeo」的安裝程式中發現惡意軟體,已經移除問題,他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品,確認其他產品不受此攻擊行動影響。

LambLoad的部分入侵指標(Indicator of compromise -IOCs):

166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8be

089573b3a1167f387dcdad5e014a5132e998b2c89bff29bcf8b06dd497d4e63d

915c2495e03ff7408f11a2a197f23344004c533ff87db4b807cc937f80c217a1

hxxps[:]//update.cyberlink[.]com/Retail/Promeo/RDZCMSFY1ELY/CyberLink_Pr omeo_Downloader.exe

hxxps[:]//update.cyberlink[.]com/Retail/Patch/Promeo/DL/RDZCMSFY1ELY/Cyb erLink_Promeo_Downloader.exe

五大家族甫成立,觸角已然伸入台灣高科技產業!

駭客界的紐約黑手黨翻版,五大家族於上月下旬宣布結盟,旨在共享駭客團體間的資訊,宣稱是為了網路地下世界中的每一個人建立更好的聯繫與團結,一時間造成資安界人心惶惶。正當眾人還在猜測,究竟是西方世界的哪一個企業會成為這個網路黑手黨的目標時,不曾想到台灣的高科技企業竟然已經成為第二名受害者。。

就在今天9月8日,五大家族的聯繫網路裡已經流傳著一份台灣某上市主機板大廠的客戶與員工的敏感資訊,該公司主要生產並供應電腦主機板、顯示卡、固態硬碟等等硬體設備。該份資料是由五大家族之一的GhsotSec提供,該組織在烏克蘭戰爭期間也積極針對俄羅斯軍隊進行網路滲透攻擊。

此駭客聯盟透過Telegram分享了兩個連結,其中就包括從此次攻擊中竊取的數據檔案下載網址,同時也批評了該公司薄弱、甚至是毫無保護的安全基礎設施。更多關於五大家族的訊息,請參閱竣盟科技先前的報導,可以獲得更多詳細資訊。

台灣高科技產業絕對是駭客的攻擊目標:

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

中國APT駭客組織Mustang Panda小檔案:

別名:Bronze President、HoneyMyte、Red Lich、TEMP.HEX、TA416、RedDelta、LuminousMoth、PKPLUG

主要目標行業:非政府組織(NGOs)、政府、電信業

攻擊向量:魚叉式網路釣魚、垃圾郵件、DLL 側載、誘騙

目標地區:北美、西/東歐、南亞、中亞、東亞、非洲、大洋洲

常使用的惡意軟體:PlugX、Hodur、Toneins、ToneShell、PubLoad、Poison Ivy

利用的漏洞:CVE-2021-26855、CVE-2021-27065、CVE-2017-0199

常使用的工具:Cobalt Strike

Mustang Panda,也被稱為青銅總統(Bronze president),TA416和 Earth Preta等,是一個由中國國家資助的高級持續威脅 (APT) 組織,至少從2017 年開始活躍。該組織主要針對東南亞的組織,重點是政府、軍事和外交實體,並以其使用的定製版本的 PlugX 惡意軟體對全球組織進行數據竊取攻擊而聞名,中國APT駭客組織 Mustang Panda在今年開始的攻擊中部署了一個名為MQsTTang的新自訂義後門。

Mustang Panda 的新 MQsTTang惡意後門似乎並非基於以前的惡意軟體,這表明駭客為了逃避檢測開發了它。根據3 月 2 日ESET
發布的報告,其研究人員在 2023 年 1 月開始並且仍在進行的活動中發現了 MQsTTang,該活動針對歐洲和亞洲的政府和政治組織,重點是台灣和烏克蘭。它的目標顯然是向中國提供必要的情報,以避免負面報導或影響其他國家的政策。例如,在俄烏戰爭期間,駭客組織通過載有與俄羅斯襲擊烏克蘭相關的主題和新聞的文件將歐洲組織作為目標。

Mustang Panda最新的活動目標 Photo Credit: ESET

據悉,惡意軟體通過魚叉式網路釣魚電子郵件進行分發,而有效負載是從與之前的 Mustang Panda 活動相關聯的用戶建立的 GitHub 存儲庫中下載的。該惡意軟體是壓縮在 RAR 檔案中的可執行檔案,其名稱帶有外交主題,例如外交使團成員的護照掃描件、大使館照會等。

新的 MQsTTang 後門

ESET 將 MQsTTang 描述為Barebones後門,使駭客組織能夠在受害者的機器上遠端執行命令並接收其輸出。這個新的 MQsTTang 後門提供了一種遠端Shell,沒有任何與該組織的其他惡意軟體家族相關的附加功能,”ESET 報告中寫道。

啟動後,惡意軟體會使用命令行參數建立自身副本,執行各種任務,例如啟動 C2 通信、建立持久性等。

惡意軟體執行的任務 Photo Credit: ESET

通過在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”下添加一個新的註冊表項來建立持久性,這會在系統啟動時啟動惡意軟體,重啟後,只執行C2通信任務。

攻擊鏈 Photo Credit:ESET

新型後門的一個不尋常特徵是使用 MQTT 協議進行C2伺服器通信。MQTT為惡意軟體提供了對 C2 攻擊的良好彈性,通過代理傳遞所有通信來隱藏攻擊者的基礎設施,並使其不太可能被尋找更常用的 C2 協定的防禦者檢測到。

MQTT Broker位於 C2和受害機器之間 Photo Credit: ESET

為了逃避檢測,MQsTTang 會檢查主機上是否存在除錯工具(Debuggers)或監控工具,如果發現,它會相應地更改其行為。

Trend Micro 的分析師在2022 年 3 月至 2022 年 10 月期間觀察到另一項最近的 Mustang Panda 行動,他們報告說看到了針對澳洲、日本、台灣和菲律賓組織的嚴重目標。

在那次活動中,威脅組織使用了三種惡意軟體變種,即 PubLoad、ToneIns 和 ToneShell,這三種惡意軟體在 ESET 發現的 2023 年活動中並不存在。

MQsTTang 是否會成為Mustang Panda長期武器庫的一部分,或者它是否是為專門特定操作所開發的,還有待觀察。

MQsTTang的部分入侵指標(Indicator of compromise -IOCs):

a0d7e541d5c579d2e0493794879fee58d8603b4f3fb146df227efa34c23d830e

74fe609eb8f344405b41708a3bb3c39b9c1e12ff93232d4b7efe648d66ea7380

554b27f3fb4b11b2b4e996959f0c70710986eb9ccf49efa29b2620d8d5cae152

329cacf1ef98fe7914fc682ca34893a9a68593b1ee944335cd911b865cb84bb3

新型勒索軟體PLAY來襲,揭秘網站首公開,18家受害公司名單中,驚見某台灣上市顯示卡公司疑遭鎖定

PLAY揭秘網站上的受害公司(頁面1)

竣盟科技於11月27日發現PLAY勒索軟體首度公開其揭秘網站PLAY NEWS,PLAY NEWS上已出現18家受害公司,目前只有八家公司名稱和資訊被披露,其餘10家公司名稱尚未公開,然而,受害名單中出現了台灣顯卡大廠的頁面,該大廠近幾來年積極布局智慧醫療領域,提供多元性的醫療解決方案。據觀察,目前該企業的網站運作正常,在公開資訊觀測站上沒有有關資安事件的重訊。但PLAY聲稱已盜取約355GB的數據,並已先公開外洩10GB數據作為入侵的證據,據PLAY稱,如該企業未在14天內付贖金,將發布所有盜來的數據。在外洩的數據中包含了合約,協議,研究數據及敏感資料的檔案,PLAY也在該顯卡大廠頁面中提供download link及密碼供任何人下載使用。

認識PLAY勒索軟體

PLAY勒索軟體於2022年 6 月首次出現,並因加密檔案後的.play副檔名而得名。有趣的是,操作PLAY勒索軟體的背後駭客並沒有像其他典型的勒索軟體一樣提供詳細的勒索信或說明,Play的勒索信異常的短且簡單。PLAY 的ReadMe.txt勒索信不會在每個檔案夾中建立,僅建立在硬碟的根目錄 (C:\) 中,並且只包含“PLAY”一詞和聯繫的Email地址,如下圖顯示:

2022 年 8 月中旬,當一名叫Luis Ernesto Zegarra的記者發現阿根廷科爾多瓦司法機構(Argentina’s Judiciary of Córdoba)受害時,宣布了第一起PLAY勒索軟體公開入侵事件,阿根廷司法部證實了這次

攻擊,並將其描述為有史以來對公共機構最嚴重的攻擊,司法部IT系統斷網及其數據庫被破壞,導致職員們被迫使用筆和紙來建立和處理法院的文件。據悉,PLAY使用常見的Big Game Hunting策略,例如利用保持連線的 SystemBC RAT 和Cobalt Strike的滲透工具,並使用自訂義 PowerShell 腳本和 AdFind 進行枚舉,使用 WinPEAS 進行權限升級,並使用 RDP或SMB 在目標網路內進行橫向移動。

PLAY是如何攻擊?

Play使用被入侵的有效帳戶、暴露的RDP 伺服器和 FortiOS 漏洞 CVE-2018-13379 和 CVE-2020-12812 來獲得對組織網路的初期存取。在獲得存取權限後,開始使用“ lolbins ”二進製檔案,將其用作攻擊的一部分,之後通過群組原則(GPO)在內部網路中分發可執行檔,然後運行任務排程的PsExec 或 wmic,在獲得對內部網路的完全存取權後,他們會使用“.play” 副檔名的加密檔。

值得指出的是,根據研究PLAY是擅長一個採取間歇性加密(Intermittent Encryption)的勒索軟體組織,間歇性加密是通過只加密部分檔案而非所有內容,可加速加密或是毀損資料的程序,也可躲避以統計分析為檢測方式的安全系統。另外, PLAY在常見問題中表示,會在收到贖金的一個小時內刪除盜來的數據及提供解密工具給受害者,然而根據PCrisk 的統計及評估,儘管受害者滿足贖金的要求,但通常不會收到解密數據的必要工具。

PLAY揭秘網站上的FAQ頁面

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55

fc2b98c4f03a246f6564cc778c03f1f9057510efb578ed3e9d8e8b0e5516bd49

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”