中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

ToddyCat 的工具–Samurai後門和 Ninja木馬旨在為攻擊者提供對入侵網路的持久性和深度存取

被稱為 ToddyCat的APT 駭客組織使用兩個以前不為人知的工具,分別稱為“Samurai backdoor”和“Ninja Trojan”。據Kaspersky的分析顯示,ToddyCat 的活動始於 2020 年 12 月,針對台灣和越南三個組織的未修補的 Exchange 伺服器進行了攻擊。攻擊者使用未知漏洞破壞 Exchange 伺服器並在系統上部署China Chopper Web shell,然後使用 Web shell 啟動了一個多階段的感染鏈,其中涉及自訂義入程式,最終以一種新型的惡意軟體工具一個名為“Samurai”的被動式後門程式,部署在被侵的系統上。

Samurai後門旨在讓攻擊者持續存取面向 Internet 的 Web 伺服器,後門經由在Port 80 和 443 上運作,主要用於在受感染的系統上遠端執行任意C#程式,可配合多種模組,允許攻擊者執行遠端程式並在目標網路內橫向移動。

2020 年 12 月至 2021 年 2 月是第一波攻擊的時期,ToddyCat鎖定了台灣和越南少數的Exchange伺服器, 隨後從 2 月 26 日到 3 月初,ToddyCat的攻擊迅速升級,開採Exchange Server的ProxyLogon漏洞攻擊歐洲和亞洲的多個高知名度組織,包括政府、軍事單位和軍方外包商。Kaspersky表示,ToddyCat的受害者包括俄羅斯、英國、斯洛伐克、印度、伊朗和馬來西亞的組織,能實現可能與地緣政治利益相關的關鍵目標,屬於傳統上中國APT駭客組織感興趣的行業和部門。

攻擊鏈,Photo Credit: Kaspersky

研究人員在調查攻擊中也發現,雖然第一波的攻擊,植入Samurai 後門針對 MS Exchange伺服器,但在隨後的一些攻擊中使用 Samurai 後門啟動“Ninja”木馬程式,另一種以前沒被發現過的攻擊工具。

Ninja 是一種類似Cobalt Strike 的惡意軟體,用於在已經受到攻擊的系統上執行後攻擊活動(post-exploitation)的工具,允許攻擊者控制遠端系統,操縱檔案系統,操縱進程,在其他進程中注入任意程式碼,轉發 TCP 數據包,還能修改HTTP header及URL 路徑,偽裝惡意流量,躲避偵測。從技術角度來看,Ninja是一種協作工具,允許多個攻擊者同時在同一台機器上操作。

總括而言,使 Samurai 和 Ninja 變得危險的原因在於惡意軟體中包含的反取證和反分析技術。例如Samurai 旨在與 Microsoft Exchange 共享 TCP 端口 80 和 443,無法通過監視端口來檢測,該惡意軟體還使用複雜的載入方式來避免檢測並保持持久性。此外,它使用一種稱為控制流扁平化的技術來避免被靜態分析工具檢測到。Ninja Trojan是一種模組化惡意軟體,攻擊者可以輕鬆擴展其功能,另外,由於Ninja Trojan僅在內存中運行,從未出現在檔案系統上,因此更難被檢測。

有關ToddyCat的”部分”入侵指標(Indicator of compromise -IOCs):

Hostname:

eohsdnsaaojrhnqo.windowshost.us

SHA 256:

e9bd74e4609cdcaf77e191628ccde2124be03a8daf38f1615df6fe7d096b0fba

be34b508eaf7d58f853fc912d43b0b51e6b963726742e383c2a8b2b0828a736f

8e2cd616286a13df82c9639d84e90a3927161000c8204905f338f3a79fe73d13

2b0e66bb1a4877cfe650a027754e18085d0e34ab73025d9458e6136560120ec5

中國APT駭客組織Naikon透過新的間諜攻擊,重新浮出水面

資安研究員發現,在最近幾週,名為Naikon的中國APT駭客組織又重新露面,並發起了新的網路釣魚攻擊,再次針對東南亞國家,旨在竊取政府機構的情報資訊。

Naikon也稱為Override Panda、Hellsing 和 Bronze Geneva,至少自 2005 年以來,該組織就以代表中國政府利益展開針對亞太地區國家(如文萊、柬埔寨、印度尼西亞、老撾、馬來西亞、緬甸、菲律賓、新加坡、泰國和越南等)的情報收集行動。資安公司Cluster25在這數週發現的攻擊中,觀察到Naikon的攻擊鏈涉及使用附加到網路釣魚電子郵件的誘餌檔案,這些檔案旨在誘使目標受害者打開並使用惡意軟體危害受目標。去年4月,Naikon與針對東南亞的軍事組織的廣泛網路間諜活動有關,研究也指出在2021年8月發現Naikon參與了2020年底針對東南亞地區電信行業的網路攻擊。

Photo Credit: Cluster 25

Cluster25表示Naikon最新的攻擊與之前間諜活動沒有什麼不同,利用武器化的 Microsoft Office 檔案來啟動感染攻擊鏈,Naikon使用網路釣魚電郵來投遞名為“Viper”的紅隊的紅隊框架的信標,旨在啟動和執行一個載入型的 Shellcode Loader。

據了解,Viper是一種開源的滲透測試工具並可從GitHub下載,是一款由中國人開發的工具,大部分文檔都是用簡體中文編寫的。Viper具有圖形化的操作界面,讓用戶使用瀏覽器即可進行內網滲透。與 CobaltStrike工具 一樣,Viper允許輕鬆生成有效負載,例如 Meterpreter、ReverseShell 和其他自定義的信標。據說, Viper具有 80 多個模組,使駭客能建立初始入侵存取、保持持久性、權限升級、憑證存取、橫向移動和執行任意指令等。

研究人員指出在分析過程中,通過觀察 Naikon的駭客武器庫,可以得出結論,該組織傾向於進行長期的情報和間諜活動,是典型旨在對外國政府和官員進行攻擊的組織,同時,Naikon為了避免檢測並最大化結果,隨著時間的推移更改了不同的 TTPs 和工具。Cluster25 在報告中表示,鑑於Naikon早期的攻擊的歷史,這次攻擊的目標極很可能同樣是針對東南亞國家的政府機構。

有關Naikon的部分入侵指標(Indicator of compromise -IOCs):

SHA256        05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd

SHA256        8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca

SHA256        ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a

SHA256   eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f

日本跨國企業Panasonic和Konica Minolta傳二度遭駭,旗下子公司同遭Conti勒索軟體毒手,數據已在暗網公開!

2021年6 月日本松下(Panasonic)曾發現其系統遭不明駭客入侵長達五個月

2020年8月日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊

松下加拿大和柯尼卡美能達英國的截圖 Photo Credit: Conti Leaks

在清明連假期間的4月4日,日本Konica Minolta代旗下英國子公司Konica Minolta Marketing Services 公告,證實在3月23日發現非法第三方存取其內部系統,由於檢測到入侵行為,該公司已採取措施包括停止對外連線,恢復備份等相關程序,並稱沒有員工個資或客戶資料外洩,據觀察,操作Conti勒索軟體的駭客組織亦於4月3日在其揭秘網站Conti Leaks,發佈了部分從Konica Minolta英國盜來的相關數據,約370KB。

另外,根據Conti Leaks日本Panasonic的加拿大子公司Panasonic Canada,亦是Conti勒索軟體的受害者,Conti聲稱已盜出屬於Panasonic Canada內部銷售和其他敏感數據,目前已釋出約2.7GB的數據,Panasonic Canada暫沒針對是否遭Conti入侵或其內部發生資安事件作出回應。

Conti是目前的主流勒索軟體,亦是一個人為操作的「雙重勒索」型勒索軟體,採用威脅曝光企業資料和加密資料勒索的雙重勒索策略, Panasonic Canada和Konica Minolta Marketing Services很有可能已回絕駭客支付贖金的要求,因此數據遭外洩。值得一提的是, Konica Minolta 和Panasonic的日本母公司內部也分別發生過資安事件, 2020年7月底日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊,系統斷線數日; 2021年6 月日本松下(Panasonic)遭受了長達約五個月的入侵。

日本企業資安防禦不足,在去年和今年許多企業遭受網路攻擊,而這是值得台灣企業注意的警訊。

* 2022 年 3 月日本汽車零件大廠電裝公司(DENSO) 遭 Pandora勒索軟體攻擊

* 2022 年 3 月豐田的重要零部件供應商小島工業受到網路攻擊,最終導致豐田全國工廠必須停工。

* 2022 年 3 月三桜工業遭Conti勒索軟體攻擊毒手

*日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊

*2021年2 月底環球晶旗下GlobalWafers Japan遭新型勒索組織Pandora,被盜1Tb數據

*2021年12 月底日本的東京コンピュータサービス(東京計算機服務株式會社)的企業網路遭Night Sky勒索軟體的攻擊

*Olympus的歐洲分公司在2021年9月份遭到BlackMatter勒索軟體攻擊10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

有關Conti勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

fa13f5a811e591c79f3207500604455879f34edf6ace61d5e34d54c3a5e8af64

ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2

f0278073fc7f61f547b0580522abc519630041e41782f86af1113ad0242f2da0

f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81

e64e350861b86d4e05668bc25e6c952880f6b39ca921496ccce1487dbf6acab6

SHA 1:

de2569f4f8591fb7d56af7165360811f7a2858ff

b96d0b726e1a2ff46847db035599291b8423aff4

cfdd6e3a69b12d43af94cb0441db3e1ef93f74f8

b374eb643b20e47cd9c45811c09e4e73b5871506

駭客劫持未修補的 Exchange伺服器上的電郵,植入惡意的回覆內容來傳播惡意軟體IcedID

研究人員發現了一個新的釣魚郵件活動,該活動旨在劫持的電子郵件的回覆內容 (Email Thread Hijacking) 並植入難以發現的惡意payload,瞄準未修補和暴露網路上Microsoft Exchange伺服器,將用於資料竊取的IcedID惡意軟體傳送到受感染的機器上。

IcedID 是一種模組化銀行木馬,於 2017 年首次被發現,已發展成為駭客建立切入點,用於部署第二階段的惡意軟體,例如勒索軟體或Cobalt Strike工具。IcedID使攻擊者能連接到遠端伺服器並下載下一階段的植入程式和工具,使駭客能執行後續活動並在受影響的網路中橫向移動,以投放其他的惡意軟體。根據以色列資安公司Intezer週一(3/28) 發布的報告,此次活動針對以前的被盜電子郵件並偽造回覆,以用作說服收件者打開附件,值得注意的是,在3 月中旬檢測到的最新一波攻擊瞄準了能源、醫療保健、法律和製藥領域的組織。

Photo Credit: Intezer

攻擊是如何發生

據悉,雖然早期的 IcedID 活動利用網站聯繫表格(Website Contact Form)向組織發送帶有惡意軟體的鏈結,但此次活動的攻擊在易受攻擊的 Microsoft Exchange伺服器上從被劫持的帳號發送誘騙電子郵件,這表明社交工程攻擊的進一步發展。Intezer的研究人員Joakim Kennedy和Ryan Robinson說,payloads也已經從使用Office檔轉向使用帶有Windows LNK檔和DLL檔的ISO檔案,使用ISO檔案允許威脅行為者繞過Web標記控制,導致惡意軟體的執行而不會向使用者發出警告。

研究人員觀察到攻擊中使用的釣魚郵件帶有誘騙的警告,警告用戶在最近的合約中有未處理的付款,並指向附件中的法律文件,攻擊者在這些電子郵件中利用對話劫持,使用合法的、受感染的電子郵件並將自己插入現有對話中,使釣魚攻擊更具說服力,最終使用戶難以檢測到。

據悉,附件的 zip存檔文件受密碼保護,密碼在電子郵件中給出。存檔包含一個 ISO 檔案。當受害者點擊該檔案時,它會使用regsvr32.exe來執行一個 DLL 檔案,研究人員稱這是一種通過允許proxy執行 main.dll 的惡意程式碼來實現防禦規避的技術。

誰是新的 IcedID活動的幕後黑手?

雖然 Intezer 沒有在 IcedID 活動與網路犯罪組織TA551 的之間直接聯繫起來,但分析報告確實提及到 Proofpoint 在2021 年6月的一份報告,該報告強調了網路犯罪組織 TA577 和 TA551 傾向於使用 IcedID 作為其惡意軟體。但Intezer認為這次的活動由TA551發起,因為該組織已知以DDL的二進位檔proxy和受密碼保護的ZIP檔執行regsvr32.exe。

研究人員總結說,對話劫持的使用是一種強大的社交工程技術,可提高網路釣魚的成功率。

有關IcedID的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213

698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

GIMMICK 是一種新發現的 macOS 植入載體(Implant),由中國國家級駭客組織Storm Cloud 開發,用於針對亞洲各地的組織。2021 年末,資安公司Volexity 研究員調查了他們正在監控的環境中的一次入侵,並發現了有執行 macOS 11.6 (Big Sur) 的作業系統的MacBook Pro,被一種被追踪為GIMMICK的惡意程式感染。研究人員解釋說,他們在過去的調查中發現了相同植入載體,但都是針對Windows版本的電腦而來,專家們並將此次針對macOS用戶的攻擊歸因於中國國家級駭客Storm Cloud,Storm Cloud被認為是一組進階且多才多藝的駭客組織,擅長調整其工具集以匹配其目標使用的不同操作系統。

Photo Credit: Volexity

macOS版的惡意軟體GIMMICK主要使用 Objective C 編寫,而Windows版本則同時使用 .NET 和 Delphi編寫。但兩者使用的C2架構、檔案路徑、攻擊模式相同,且濫用 C2 的公有雲託管服務(例如 Google Drive)來逃避檢測。部署後,GIMMICK可以作為守護程式啟動,也可以以客製化應用程式的形式啟動,並旨在模擬目標用戶經常啟動的程式。該惡意軟體被配置為僅在工作日與其基於 Google Drive 的 C2 伺服器進行通信,以進一步融入目標環境中的網路流量。

更重要的是,後門除了從C2伺服器檢索任意檔案和執行命令外,還具有自我解除安裝功能,使其能夠從受感染的機器中自我刪除。

為了保護用戶免受惡意軟體的侵害,Apple 已於2022 年 3 月 17 日為其內置的反惡意軟體保護套件 XProtect發布了新特徵碼,以通過其惡意軟體刪除工具(Malware Removal Tool – MRT)攔截和刪除感染。

研究員總結分析說,將這種惡意軟體移植並使其系統適應新的操作系統 (macOS) 所涉及的開發並非易事,這表明其惡意軟體的背後參與者資源充足、熟練且多才多藝。

有關GIMMICK的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f

SHA 1:

fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8

MD5:

943c3743f72f06e58e60fa147481db83

華碩設備成為了俄羅斯國家級駭客的目標?!華碩針對Cyclops Blink惡意軟體攻擊其路由器產品發出警告!

一項的新研究發現,華碩設備成為了俄羅斯國家級駭客製作的Cyclops Blink殭屍網路的目標,專家至少從 2019 年 6 月開始觀察到 Cyclops Blink 殭屍網路的存在,認為Cyclops Blink和俄羅斯國家駭客組織Sandworm或Voodoo Bear有關,根據英國國家網路安全中心 (NCSC) 進行的分析,Cyclops Blink 是一種進階模組化的殭屍網路,擁有150多個C&C伺服器組成的龐大網路,英國和美國政府在 2 月下旬提出警告,表示網路安全供應商 WatchGuard 的設備受到攻擊並被用作殭屍網路基礎設施。今根據Trend Micro研究報告,Cyclops Blink瞄準並感染華碩的路由器,利用命令及控制(Command and Control,CnC)的攻擊基本元素感染受害者並將他們帶入更大的殭屍網路,Cyclops Blink 的作用是為設備上的威脅參與者建立持久性,使駭客能遠端控制受感染的網路。

用於寫入快閃記憶體的模組程式碼 Photo Credit: Trend Micro

Trend Micro警告說,該惡意軟體具有一個專門針對多個華碩路由器的模組,允許惡意軟體讀取快閃記憶體(Flash Memory)以收集有關關鍵檔案、可執行檔案、數據庫的資料,然後惡意軟體會接收到嵌套在快閃記憶體中並建立永久持久性(persistence)的命令,即使恢復設定(factory reset)也不會擦除該存儲空間。

華碩在 3 月 17 日發布的安全公告中,表示它確認有多個路由器型號容易受到與俄羅斯有關Cyclops Blink 惡意軟體的威脅,目前正在調查並致力於修補,該公告還包括受影響的路由器清單以及建議的緩解措施。WatchGuard 在 2 月份亦發布了類似的公告。

華碩受影響的產品清單如下:

GT-AC5300 firmware under 3.0.0.4.386.xxxx

GT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC5300 firmware under 3.0.0.4.386.xxxx

RT-AC88U firmware under 3.0.0.4.386.xxxx

RT-AC3100 firmware under 3.0.0.4.386.xxxx

RT-AC86U firmware under 3.0.0.4.386.xxxx

RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx

RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx

RT-AC3200 firmware under 3.0.0.4.386.xxxx

RT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx

RT-AC87U (EOL)

RT-AC66U (EOL)

RT-AC56U (EOL)

目前,華碩尚未發布新的韌體更新以防止Cyclops Blink,但已發布以下可用於保護設備的緩解措施:

*將設備重置為出廠default設定:登錄 Web GUI,進入管理 → 恢復/保存/上傳設置,點擊“初始化所有設定並清除所有數據日誌”,然後點擊“恢復”按鈕。

*更新到最新的可用韌體。

*確保default 管理員密碼已更改為更安全的密碼。

*關閉遠端管理(預設為關閉,只能通過進階設定啟用)。

*如果您使用停產的三種型號中的任何一種,請注意這些型號不再受支援,因此不會收到韌體安全更新。在這種情況下,建議您更換新設備。

有關Cyclops Blink的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

ccae8f66ef880ac02b9affdeaca07a7ddb9428b4f683fd55b35ea3ec20ead5ca

7923585e8e6117eb6b3fb4a12871bc31b81d54a7ed297927bf72715c45c41da6

IPv4: 96.80.68.197

IPv4: 96.80.68.196