又傳台灣上市企業遭LockBit攻擊 自動化設備大廠疑遭殃

某台灣著名的智慧自動化設備大廠,據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日,操作LockBit勒索軟體的背後駭客在其揭秘網站上,發布了對有關自動化設備大廠網路攻擊的訊息,目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節,然而卻發出最後通牒,威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行,沒有明顯的網路攻擊跡象,攻擊是否針對的是該公司的資料庫,暫仍不得而知。

LockBit 勒索軟體組織是誰?

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織,因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據,除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明,LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體,佔44 %全球勒索軟體事件。光是在美國,2020 年 1 月至 2023 年 5 月期間,LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊,累積了高達 9,100 萬美元的贖金。值得注意的是,該組織仍然出於經濟動機,沒有正式歸屬於任何特定的國家,但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」(一種自動提取資料的惡意軟體工具)而引起關注。該工具與更版的LockBit 2.0 一起發布,具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外,LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍,目標是Linux主機,特別是 ESXi 伺服器。2022 年 6 月,LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

2023 年 11 月,美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞),作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業,包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據,美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司,盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 www.billows.tech , 以免觸法”

北韓駭客Diamond Sleet針對台灣訊連科技(CyberLink)用戶發動供應鏈攻擊

Photo Credit: CybersecurityNews

在不斷發展的網路安全領域,出現了由北韓國家級駭客精心策劃的複雜供應鏈攻擊,他們將惡意檔案植入到合法的照片和影片編輯應用程式安裝檔案中。這次巧妙的攻擊涉及篡改合法的訊連科技應用程式,部署隱藏第二階段有效負載的惡意變體。11月23日,微軟透露,名為Diamond Sleet(又稱 Lazarus、Hidden Cobra)的北韓駭客入侵了台灣軟體開發商訊連科技,並對其一款合法應用程式進行木馬化,該應用程式被用作分發惡意軟體的管道。受感染的安裝程式雖然看起來合法並使用有效的訊連的憑證簽章,但隱藏了旨在下載和執行輔助負載的惡意程式碼。

該惡意軟體被稱為 LambLoad,既充當下載程式又充當載入程式。載入程式檢查以下進程名稱:

csfalconservice.exe  (CrowdStrike Falcon)

xagt.exe  (FireEye 代理程式)

taniumclient.exe  (Tanium EDR 解決方案)

該惡意軟體經過編程,可在啟動任何惡意活動之前檢查系統的日期和時間,確保其在預先配置的執行期內運行。LambLoad 的目標是沒有FireEye、CrowdStrike和Tanium等公司安全軟體的企業環境。如果偵測到這些廠牌的端點防護系統,該惡意軟體就會中止其惡意操作,並允許合法的訊連科技軟體暢通無阻地運作。如果不存在端點防護,則從受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載,該有效酬載在記憶體中可以被提取、解密和啟動,並將從C2接收駭客的命令。

研究人員發現,自10 月20 日首次觀察到該惡意安裝程式以來,包括日本、台灣、加拿大和美國在內的多個國家/地區的100 多台設備已受到該惡意安裝程式的影響。儘管研究人員迄今尚未確認任何入侵後的目的,但資料外洩的可能性、進一步向供應鏈下游移動以及對受害者環境的持續存取仍然是一個重大問題。

微軟高度確信這次攻擊是由北韓Diamond Sleet 發起的,該組織以針對全球媒體、國防和資訊科技產業而聞名。據微軟稱,Diamond Sleet 的活動包括間諜活動、資料竊取、經濟利益和破壞企業網路。自從發現該攻擊以來,Microsoft 已通知訊連科技和 Microsoft Defender 受活動影響的 Endpoint 客戶。這次攻擊也報告給了 GitHub,後者刪除了第二階段的有效酬載。

訊連科技是一家台灣軟體公司,以開發多媒體軟體(包括 PowerDVD)以及人工智慧臉部辨識技術而聞名。訊連科技擁有 200 多項專利技術並在全球銷售了超過 4 億個應用程式。

對於研究人員的發現,11月23 日下午,訊連科技發佈公告指出,在其產品「Promeo」的安裝程式中發現惡意軟體,已經移除問題,他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品,確認其他產品不受此攻擊行動影響。

LambLoad的部分入侵指標(Indicator of compromise -IOCs):

166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8be

089573b3a1167f387dcdad5e014a5132e998b2c89bff29bcf8b06dd497d4e63d

915c2495e03ff7408f11a2a197f23344004c533ff87db4b807cc937f80c217a1

hxxps[:]//update.cyberlink[.]com/Retail/Promeo/RDZCMSFY1ELY/CyberLink_Pr omeo_Downloader.exe

hxxps[:]//update.cyberlink[.]com/Retail/Patch/Promeo/DL/RDZCMSFY1ELY/Cyb erLink_Promeo_Downloader.exe

五大家族甫成立,觸角已然伸入台灣高科技產業!

駭客界的紐約黑手黨翻版,五大家族於上月下旬宣布結盟,旨在共享駭客團體間的資訊,宣稱是為了網路地下世界中的每一個人建立更好的聯繫與團結,一時間造成資安界人心惶惶。正當眾人還在猜測,究竟是西方世界的哪一個企業會成為這個網路黑手黨的目標時,不曾想到台灣的高科技企業竟然已經成為第二名受害者。。

就在今天9月8日,五大家族的聯繫網路裡已經流傳著一份台灣某上市主機板大廠的客戶與員工的敏感資訊,該公司主要生產並供應電腦主機板、顯示卡、固態硬碟等等硬體設備。該份資料是由五大家族之一的GhsotSec提供,該組織在烏克蘭戰爭期間也積極針對俄羅斯軍隊進行網路滲透攻擊。

此駭客聯盟透過Telegram分享了兩個連結,其中就包括從此次攻擊中竊取的數據檔案下載網址,同時也批評了該公司薄弱、甚至是毫無保護的安全基礎設施。更多關於五大家族的訊息,請參閱竣盟科技先前的報導,可以獲得更多詳細資訊。

台灣高科技產業絕對是駭客的攻擊目標:

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

中國APT駭客組織Mustang Panda小檔案:

別名:Bronze President、HoneyMyte、Red Lich、TEMP.HEX、TA416、RedDelta、LuminousMoth、PKPLUG

主要目標行業:非政府組織(NGOs)、政府、電信業

攻擊向量:魚叉式網路釣魚、垃圾郵件、DLL 側載、誘騙

目標地區:北美、西/東歐、南亞、中亞、東亞、非洲、大洋洲

常使用的惡意軟體:PlugX、Hodur、Toneins、ToneShell、PubLoad、Poison Ivy

利用的漏洞:CVE-2021-26855、CVE-2021-27065、CVE-2017-0199

常使用的工具:Cobalt Strike

Mustang Panda,也被稱為青銅總統(Bronze president),TA416和 Earth Preta等,是一個由中國國家資助的高級持續威脅 (APT) 組織,至少從2017 年開始活躍。該組織主要針對東南亞的組織,重點是政府、軍事和外交實體,並以其使用的定製版本的 PlugX 惡意軟體對全球組織進行數據竊取攻擊而聞名,中國APT駭客組織 Mustang Panda在今年開始的攻擊中部署了一個名為MQsTTang的新自訂義後門。

Mustang Panda 的新 MQsTTang惡意後門似乎並非基於以前的惡意軟體,這表明駭客為了逃避檢測開發了它。根據3 月 2 日ESET
發布的報告,其研究人員在 2023 年 1 月開始並且仍在進行的活動中發現了 MQsTTang,該活動針對歐洲和亞洲的政府和政治組織,重點是台灣和烏克蘭。它的目標顯然是向中國提供必要的情報,以避免負面報導或影響其他國家的政策。例如,在俄烏戰爭期間,駭客組織通過載有與俄羅斯襲擊烏克蘭相關的主題和新聞的文件將歐洲組織作為目標。

Mustang Panda最新的活動目標 Photo Credit: ESET

據悉,惡意軟體通過魚叉式網路釣魚電子郵件進行分發,而有效負載是從與之前的 Mustang Panda 活動相關聯的用戶建立的 GitHub 存儲庫中下載的。該惡意軟體是壓縮在 RAR 檔案中的可執行檔案,其名稱帶有外交主題,例如外交使團成員的護照掃描件、大使館照會等。

新的 MQsTTang 後門

ESET 將 MQsTTang 描述為Barebones後門,使駭客組織能夠在受害者的機器上遠端執行命令並接收其輸出。這個新的 MQsTTang 後門提供了一種遠端Shell,沒有任何與該組織的其他惡意軟體家族相關的附加功能,”ESET 報告中寫道。

啟動後,惡意軟體會使用命令行參數建立自身副本,執行各種任務,例如啟動 C2 通信、建立持久性等。

惡意軟體執行的任務 Photo Credit: ESET

通過在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”下添加一個新的註冊表項來建立持久性,這會在系統啟動時啟動惡意軟體,重啟後,只執行C2通信任務。

攻擊鏈 Photo Credit:ESET

新型後門的一個不尋常特徵是使用 MQTT 協議進行C2伺服器通信。MQTT為惡意軟體提供了對 C2 攻擊的良好彈性,通過代理傳遞所有通信來隱藏攻擊者的基礎設施,並使其不太可能被尋找更常用的 C2 協定的防禦者檢測到。

MQTT Broker位於 C2和受害機器之間 Photo Credit: ESET

為了逃避檢測,MQsTTang 會檢查主機上是否存在除錯工具(Debuggers)或監控工具,如果發現,它會相應地更改其行為。

Trend Micro 的分析師在2022 年 3 月至 2022 年 10 月期間觀察到另一項最近的 Mustang Panda 行動,他們報告說看到了針對澳洲、日本、台灣和菲律賓組織的嚴重目標。

在那次活動中,威脅組織使用了三種惡意軟體變種,即 PubLoad、ToneIns 和 ToneShell,這三種惡意軟體在 ESET 發現的 2023 年活動中並不存在。

MQsTTang 是否會成為Mustang Panda長期武器庫的一部分,或者它是否是為專門特定操作所開發的,還有待觀察。

MQsTTang的部分入侵指標(Indicator of compromise -IOCs):

a0d7e541d5c579d2e0493794879fee58d8603b4f3fb146df227efa34c23d830e

74fe609eb8f344405b41708a3bb3c39b9c1e12ff93232d4b7efe648d66ea7380

554b27f3fb4b11b2b4e996959f0c70710986eb9ccf49efa29b2620d8d5cae152

329cacf1ef98fe7914fc682ca34893a9a68593b1ee944335cd911b865cb84bb3

新型勒索軟體PLAY來襲,揭秘網站首公開,18家受害公司名單中,驚見某台灣上市顯示卡公司疑遭鎖定

PLAY揭秘網站上的受害公司(頁面1)

竣盟科技於11月27日發現PLAY勒索軟體首度公開其揭秘網站PLAY NEWS,PLAY NEWS上已出現18家受害公司,目前只有八家公司名稱和資訊被披露,其餘10家公司名稱尚未公開,然而,受害名單中出現了台灣顯卡大廠的頁面,該大廠近幾來年積極布局智慧醫療領域,提供多元性的醫療解決方案。據觀察,目前該企業的網站運作正常,在公開資訊觀測站上沒有有關資安事件的重訊。但PLAY聲稱已盜取約355GB的數據,並已先公開外洩10GB數據作為入侵的證據,據PLAY稱,如該企業未在14天內付贖金,將發布所有盜來的數據。在外洩的數據中包含了合約,協議,研究數據及敏感資料的檔案,PLAY也在該顯卡大廠頁面中提供download link及密碼供任何人下載使用。

認識PLAY勒索軟體

PLAY勒索軟體於2022年 6 月首次出現,並因加密檔案後的.play副檔名而得名。有趣的是,操作PLAY勒索軟體的背後駭客並沒有像其他典型的勒索軟體一樣提供詳細的勒索信或說明,Play的勒索信異常的短且簡單。PLAY 的ReadMe.txt勒索信不會在每個檔案夾中建立,僅建立在硬碟的根目錄 (C:\) 中,並且只包含“PLAY”一詞和聯繫的Email地址,如下圖顯示:

2022 年 8 月中旬,當一名叫Luis Ernesto Zegarra的記者發現阿根廷科爾多瓦司法機構(Argentina’s Judiciary of Córdoba)受害時,宣布了第一起PLAY勒索軟體公開入侵事件,阿根廷司法部證實了這次

攻擊,並將其描述為有史以來對公共機構最嚴重的攻擊,司法部IT系統斷網及其數據庫被破壞,導致職員們被迫使用筆和紙來建立和處理法院的文件。據悉,PLAY使用常見的Big Game Hunting策略,例如利用保持連線的 SystemBC RAT 和Cobalt Strike的滲透工具,並使用自訂義 PowerShell 腳本和 AdFind 進行枚舉,使用 WinPEAS 進行權限升級,並使用 RDP或SMB 在目標網路內進行橫向移動。

PLAY是如何攻擊?

Play使用被入侵的有效帳戶、暴露的RDP 伺服器和 FortiOS 漏洞 CVE-2018-13379 和 CVE-2020-12812 來獲得對組織網路的初期存取。在獲得存取權限後,開始使用“ lolbins ”二進製檔案,將其用作攻擊的一部分,之後通過群組原則(GPO)在內部網路中分發可執行檔,然後運行任務排程的PsExec 或 wmic,在獲得對內部網路的完全存取權後,他們會使用“.play” 副檔名的加密檔。

值得指出的是,根據研究PLAY是擅長一個採取間歇性加密(Intermittent Encryption)的勒索軟體組織,間歇性加密是通過只加密部分檔案而非所有內容,可加速加密或是毀損資料的程序,也可躲避以統計分析為檢測方式的安全系統。另外, PLAY在常見問題中表示,會在收到贖金的一個小時內刪除盜來的數據及提供解密工具給受害者,然而根據PCrisk 的統計及評估,儘管受害者滿足贖金的要求,但通常不會收到解密數據的必要工具。

PLAY揭秘網站上的FAQ頁面

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55

fc2b98c4f03a246f6564cc778c03f1f9057510efb578ed3e9d8e8b0e5516bd49

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”