勒索軟體LockBit2.0攻擊泰國的曼谷航空,乘客的個人識別資訊(PII)遭外洩, 200多GB的數據被公開

Photo Credit: The record future

曼谷航空(Bangkok Airways)公司在8 月26 日給客戶的一份聲明中,就涉及護照資訊和其他個人數據的外洩發表道歉,該公司表示最初的入侵發生在 8 月 23 日,到目前為止,調查發現攻擊者可能已經存取了一些個人數據,但未說明有多少乘客受到影響。

操作LockBit2.0勒索軟體的背後駭客聲稱他們是這次攻擊曼谷航空的肇事者,並在其揭秘網站上發布消息,威脅該公司如果不支付高額贖金,就會洩露數據。LockBit2.0給了該航空公司五天的時間來付贖金,但很明顯的曼谷航空沒有乖乖就範而自行公開被入侵的情況,因此Lockbit2.0也在週六(8月28日)公佈了從曼谷航空盜來的200多GB的數據。

雖然大部分被盜資料似乎是與其業務有關的檔案,但曼谷航空公司表示,駭客仍設法竊取了包含部分乘客個人識別資訊的檔案。根據航空公司的說法,被盜檔案中包含的一些個人數據包括乘客姓名、姓氏、國籍、性別、電話號碼、電子郵件、地址、聯繫資訊、護照資訊、歷史旅行資訊,部分信用卡資訊和特殊餐飲資訊等數據,根據曼谷航空新聞稿,該公司在發現事件後,立即採取行動,在網路安全團隊的協助下調查並遏制該事件。目前,該公司正在緊急進行調查,核實洩露的數據和受影響的乘客,並採取相關措施加強其IT系統,並已將入侵行為通知了當地執法部門。

該公司建議乘客留意要警惕任何聲稱來自該航空公司的電子郵件或電話,因為這些可能是使用被盜數據進行的網路釣魚。曼谷航空公司還建議乘客盡快聯繫他們的銀行或信用卡提供商並更改密碼。

LockBit2.0是在 REvil、DarkSide 和 Avaddon 等競爭對手在今年夏天退出勒索市場之後,當今發動最多攻擊的勒索軟體之一。

本月早些時候,澳洲網路安全中心發布了一項警報,指出該LockBit勒索軟體在中斷其活動後重新啟動,並在第二波中以更大的力度回歸成為新的LockBit 2.0,其攻擊的特點是利用 CVE-20218-13379,這是 Fortinet FortiOS 和 FortiProxy 中的一個已知漏洞,允許駭客獲得對受感染網路的初始存取控制權。另外,LockBit2.0稱其工具StealBit是世上最迅速盜竊數據的神器,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

在美國西維吉尼亞州及俄亥俄州的連鎖醫療系統遭到Hive攻擊後,FBI發布了針對 Hive 勒索軟體的警報

自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已付Hive贖金以換取解密金鑰

在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。

FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,

FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:

*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver

*7zG.exe – version 19.0.0 of the 7-Zip file archiver

*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt

Photo Credit: BleepingComputer

到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。

美國醫院協會網路安全高級顧問 John Riggi表示,Hive是醫療機構特別關注的勒索軟體。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

新型勒索軟體Hive作惡,致使美國醫療連鎖機構使用的Memorial Health System的IT系統大當機,病患個資遭外洩。

Key Points:

*Hive的攻擊使美國西維吉尼亞州及俄亥俄州的三家醫院,數十個門診,被迫取消預約的手術,患者被迫轉移至其他醫療機構。

*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等

*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構

Image

“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。

Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。

Hive是一種新型的勒索軟體,於2021年6月浮出水面,儘管活動時間很短,但已經發起多次攻擊,Hive跟其他勒索軟體一樣,在暗網設有揭秘網站,一個名為Hive Leaks的網站,用作公開受害者有關數據和資訊以作威脅與敲詐,勒索軟體攻擊導致醫療系統長時間當機和其他系統的中斷給醫護帶來了嚴峻的挑戰和驚人的影響。2021年 5 月份Scripps Health遭勒索軟體攻擊,長達一個月的網路中斷,醫院公布有14萬餘病人資訊被洩漏,6月份病患提告Scripps Health未能保護其個資,該事件總共造成1.127 億美元的損失。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain: hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion

SHA 1: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

SHA 256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA 256: fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

SHA 256: e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e

SHA 256: c04509c1b80c129a7486119436c9ada5b0505358e97c1508b2cfb5c2a177ed11

IT顧問巨頭埃森哲(Accenture)遭LockBit2.0勒索軟體攻擊,被盜6TB 數據,勒索5千萬美元

財富 500 強公司埃森哲(Accenture)已成為LockBit2.0勒索軟體攻擊的受害者, 在8月11日表示,該事件並未影響其營運,並且已經從備份中恢復了受影響的系統。儘管埃森哲強調未受影響,但根據資安公司 Cyble,LockBit2.0取得了 6TB 的數據並要求 5,000 萬美元的贖金,同時也表示他們的入侵可能是在埃森哲的內鬼(insider)幫助下達成的, 外媒ZDnet還報導稱,網路犯罪情報公司 Hudson Rock表示,有 2,500 台員工和合作夥伴的電腦在此次LockBit2.0攻擊中遭到入侵, 另外根據Darkfeed,取得了有關LockBit2.0分享進入埃森哲網路的證據(包含帳號密碼等)。據Darkfeed的說法,LockBit2.0是從埃森哲旗下的子公司”Industry X”的雲端環境下進行入侵和加密的,同時也表示為內鬼通外鬼所作的。

8月初,BleepingComputer曾報導,LockBit2.0積極招募目標企業的內鬼,幫助他們入侵和加密企業的網路,並會以百萬美元作為報酬。

LockBit2.0是LockBit背後的駭客在今年6 月底升級的版本,主打各項性能提升,稱其最新的工具StealBit是世上最迅速盜竊數據的神器,包括加密 100 GB 的資料只要 4 分 30 秒、回傳資料速率高達 100GB/20 分鐘,表現的數據凌駕在其他知名的勒索軟體如 REvil、DarkSide、Ragnar Locker、Thanos等

LockBit2.0加密速度對比表

自7月至今,LockBit2.0攻擊的個案激增,澳洲的網路安全局(ACSC)亦於早前發布警告,提醒企業提防此勒索軟體的入侵。據觀察。據觀察,LockBit2.0沒有特定的攻擊國家,包含台灣某電阻公司也於七月份受其攻擊。另外東南亞國家如越南,馬來西亞,新加坡等也有LockBit2.0的受害者。

LockBit2.0自七月起,其揭秘網站上的受害者激增,附圖為一小部分
此日本公司也被LockBit2.0攻擊

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

研究人員發現了新的eCh0raix勒索軟體的變種,同時針對兩家NAS供應商威聯通與群暉發動攻擊

根據Palo Alto Networks資安研究人員的一份報告,eCh0raix 勒索軟體,也稱為 QNAPCrypt,現在有一個新的變種,可同時感染 QNAP (威聯通)和 Synology(群暉) 網路附加存儲(NAS)設備。

eCh0raix 勒索軟體早在2019年以來就一直活躍,並以攻擊存儲大量數據的NAS為攻擊目標,eCh0raix利用已知的漏洞進行暴力攻擊針對QNAP製造的易受攻擊的NAS伺服器。該勒索軟體被Intezer追踪為“QNAPCrypt” 被 Anomali追踪為“eCh0raix”,是用Go語言編寫,並使用AES 加密演算法來加密檔案。

今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零時差漏洞,用eCh0raix勒索軟體攻擊其NAS設備。而安全專家也觀察到,4月19日至26日期間遭eCh0raix勒索軟體的攻擊激增。同時,QNAP還警告其用戶AgeLocker勒索軟體攻擊的爆發。

2019年,Anomali研究人員還報告了一波eCh0raix針對Synology NAS設備的攻擊,攻擊者利用了暴力破解的方式入侵。

近日,Palo Alto Networks的Unit 42的研究人員發現一種新的eCh0raix變種,是有史以來第一次支援同時攻擊上述兩家供應商NAS設備的勒索軟體。

“Unit 42研究人員發現了一種針對Synology NAS和QNAP NAS設備的eCh0raix勒索軟體的新變種。攻擊者還利用CVE-2021-28799向QNAP設備投遞新的eCh0raix勒索軟體變種。”報告指出:“雖然eCh0raix是已知的勒索軟體,它歷來在不同的活動中分別針對QNAP和Synology的NAS設備,但這個新變種是觀測到的,首次具備同時攻擊QNAP和Synology NAS設備的功能,這表明一些勒索軟體開發人員正在投資針對優化SOHO居家辦公環境中常見的設備。”

根據來自 Cortex Xpanse的數據,Palo Alto 研究人員表示,約有 250,000 台 QNAP 和 Synology NAS 設備暴露在互聯網上。攻擊者分別對於兩個廠牌的設備,利用了CVE-2021-28799漏洞攻擊與暴力破解的方式入侵。

研究人員為保護家庭辦公室免受勒索軟體攻擊提供了以下建議:

*更新設備韌體,防止此類攻擊

*採用複雜的登錄密碼

*允許特定IP位址的裝置才能連線

有關eCh0raix勒索軟體新的變體的入侵指標(Indicator of compromise -IOCs):

Domain: veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion

URL: http://2.37.149.230/1/crp_linux_arm

URL: http://2.37.149.230/1/crp_linux_386

IPv4: 98.144.56.47

IPv4: 64.42.152.46

IPv4: 183.76.46.30

SHA 256: fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349

fe4efccf56f989bf1b326dd9890681d21c97309fee61fdac8eb2081398e4d2b1

f6f6e34e93c4ec191807819bd0a3e18fe91bd390ec6c67fadc970d01c25f517b

d2ebe2a961d07501f0614b3ba511cf44cb0be2e8e342e464a20633ed7f1fc884

4691946e508348f458da1b1a7617d55d3fa4dc9679fff39993853e018fc28f8e

3c533054390bc2d04ba96089302170a806c5cdb624536037a38c9ecb5aeea75d

3b93b18ae4f3aad450897e7d02346b843e38358a0c51b834d1971824c0a30b97

駭客分贓鬧不和,Conti勒索軟體遭會員爆料公開其攻擊和培訓的技術手冊

提供勒索軟體即服務(Ransomware-as-a-Service, RaaS)的組織Conti,其會員因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊。據了解,該技術手冊內容含如何在被駭公司內部存取、橫向移動和升級存取權限,同時還包含如何在加密檔案之前將數據盜取等。

心懷不滿的Conti RaaS會員在XSS論壇發布的帖子

一般來說,操作Conti勒索軟體的核心團隊在每次分贓可賺取贖金的20-30%,而其餘部分的則由其會員賺取。此次的爆料事件,疑是因為Conti會員只分到了$1500美元,而核心成員卻分到過百萬美元所引起的。這名深深不忿的Conti會員,今天將Conti的資訊包括Cobalt Strike C2伺服器的 IPs和包含大量工具和用於進行勒索軟體攻擊的培訓資料約 110 MB 的存檔,上傳到XSS駭客論壇,引起轟動。

快把Conti的IPs阻擋起來- 162.244.80.235/ 85.93.88.165/185.141.63.120/ 82.118.21.1

另外,根據國外資安媒體報導,外洩的手冊包含有關如何執行以下操作的指南:

*使用 MEGA 帳戶配置 Rclone軟體以進行數據洩露

*將AnyDesk 軟體配置作為受害者網路中的持久性和遠端存取的方法[一種已知的 Conti 策略

*配置和使用 Cobalt Strike

*使用 NetScan 工具掃描內部網路

 *在虛擬專用服務器 (VPS) 上安裝 Metasploit 滲透測試框架

*使用Ngrok 安全隧道通過 RDP 連接到被駭的網路

*在公司的被駭網路中提升並獲得管理員權限

*接管網域控制器

*從 Active Directory 轉儲密碼(NTDS 轉儲)

*執行 SMB 暴力攻擊

*強力路由器、NAS 設備和安全攝像頭

*使用 ZeroLogon 漏洞

*執行Kerberoasting攻擊

*禁用 Windows Defender 保護

*刪除卷影副本

*會員如何配置自己的操作系統以使用 Tor 匿名網路等

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

我國百名政要的LINE驚傳遭駭,進階加密的Letter Sealing功能被關,是間諜軟體飛馬Pegasus作惡?! 還是…?

LINE for iPad 正式亮相!電腦版、手機、平板三方一起 LINE!
Photo Credit: LINE

根據國內媒體報導,府院、軍方、縣市長及朝野政黨等100多位高層政要,驚傳通訊軟體LINE遭駭客入侵,且鎖定的對象非常精準,看起來是遭有心人士駭入,意圖竊取資料。對此,LINE台灣總公司上週發現有用戶的相關內容遭擷取外流後,立即著手清查所有用戶,據報導駭客入侵的管道有用戶端與主機兩種途徑,要鎖定特定的用戶端、植入惡意程式並不容易。但LINE主要是綁定手機號碼,若有心要取得政要高層的號碼,是否是以此破壞安全機制,登入主機系統入侵,須由資安人員再進一步調查查驗。因事涉國安,LINE已緊急強化本身系統安全機制、提醒可能的受害用戶,近日也赴總統府向國安會報告,國安會目前正著手進行調查。

本次之所以會有政要 LINE 遭到入侵,疑似是Letter Sealing被駭客設定為關閉,懷疑是駭客使用間諜軟體飛馬Pegasus所致,亦可能是有內鬼通外鬼,詳細原因尚在調查。可以確定的是,若能確保訊息保護 Letter Sealing功能處於開啟狀態,Letter Sealing為LINE開發的點對點加密(End-to-End Encryption)就能降低訊息外流可能,建議您在LINE的隱私設定中檢查Letter Sealing設定是否為開啟。另外,可用工具包檢測手機是否被飛馬Pegasus入侵國際特赦組織(Amnesty International)透過 Github 上發佈的 Mobile Verification Toolkit工具包,來檢查手機是否成為惡意軟體飛馬的入侵目標,為了調查間諜軟馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs),IOCs亦可在 GitHub 下載

據目前自由時報報導所知,國安高層證實說,確實有公部門人員接獲LINE示警資安風險的訊息,但包括蔡英文總統及副總統賴清德等政府高層,不用LINE傳遞重要訊息,更不會在這類通訊軟體傳輸政府重要文件。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

Source:

https://news.ltn.com.tw/news/politics/paper/1463246

https://news.ltn.com.tw/news/politics/breakingnews/3618756

https://www.ctwant.com/article/130982

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

您的手機是否被以色列飛馬間諜軟體入侵?! 快~下~載檢測工具包

上週末,國際17家媒體聯合調查,披露了色列網路公司 NSO Group開發的間諜軟體飛馬(Pegasus),能夠入侵iPhone或Android系統,提取訊息、照片和電子郵件,對通話進行錄音,並在使用者不知情的情況下遠端啟動手機的話筒和攝像頭,進行即時監控。由國際特赦組織(Amnesty International)和法國非牟利新聞機構Forbidden Stories獲取的潛在監控清單上有5萬多個電話號碼,這些可能被監控的5萬多組手機號碼來自全球50多個國家地區。

飛馬惡意軟體起初是以網路釣魚方式,向用戶發放一條惡意鏈接,用戶只要一點擊就會中招,後來發現可通過開採iPhone中Zero- click iMessage漏洞,從遠端安裝就能直接控制手機,讓 iPhone 使用者即使沒點選不明連結也會中招。國際特赦組織Citizen Lab 研究員 Bill Marczak在一條推文中表示,NSO Group開採的Zero Click漏洞適用於 iOS 14.6,直到目前iOS 14.6 仍是最新版本的系統。

但國際特赦組織表示,可透過 Github 上發佈的 Mobile Verification Toolkit,來檢查自己的手機是否成為惡意軟體飛馬的入侵目標,國際特赦組織表示, iPhone 更比Android 設備易於發現的鑑識痕跡, Mobile Verification Kit可掃描 iPhone 以及 Android 手機的備份,再從中檢查是否有惡意軟體飛馬。為了調查惡意軟體飛馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs) 例如:有沒有用 NSO 網域名所發出的簡訊或信件等,如果您有加密的 iPhone 備份,您還可以使用 MVT 來解密您的備份,而無需製作全新的副本。

有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus

了解更多有關Mobile Verification Toolkit:

https://github.com/mvt-project/mvt

Source:

https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus

https://www.amnesty.org/en/latest/news/2021/07/the-pegasus-project/

美國正式起訴中國政府資助的駭客組織APT 40的四名成員

7月19日美國聯合歐盟、英國、澳洲、加拿大、紐西蘭、日本與北大西洋公約組織(NATO)成員國,共同譴責中國發動惡意網路攻擊,以盜竊取智慧財產權、商業機密與傳染性疾病研究等,同時正式將3月初利用微軟Exchange Server的漏洞,對全球數以萬計的電腦及網路發動大型網路間諜行動歸咎於中國國家安全部,美國司法部今天同步公布5月一份起訴書,指控四名中國公民代表中國政府對世界各地的公司、政府機構和大學進行駭客攻擊。美國稱,這四名嫌疑人隸屬於中國國家安全部(China’s Ministry of State Security-MSS)下屬的海南省國家安全廳(Hainan State Security Department),並以一家名為海南仙盾科技的公司作為幌子公司從事駭攻,根據起訴書,至少自 2011 年以來,其中丁曉陽、程慶民與朱允敏3名被告為海南國安廳官員,負責協調、管理中共國安部旗下幌子公司內駭客,進行有利中國和相關企業的駭客行動。另一名被告吳淑榮則負責製造惡意軟體,對外國政府、企業與大學電腦系統進行網攻。

根據法庭文件,在APT40進行入侵時,常使用 Tor 網路來存取和操作他們的惡意軟體(BADFLICK, PHOTO, MURKYTOP, 和 HOMEFRY和駭客基礎設施(包含伺服器、網域、電子郵件、GitHub 和 Dropbox 帳戶。)該組織經常使用 GitHub 來存儲惡意軟體和被盜數據,並使用圖像隱碼術(Steganography)來隱藏程式碼,將數據隱藏在圖像中。由於大多數公司不會將 Dropbox 流量視為惡意流量,APT40還經常濫用 Dropbox 帳戶作為被盜數據的收集點。

起訴書指出,受害者遍及美國、英國、瑞士、奧地利、柬埔寨、加拿大、德國、印度尼西亞、馬來西亞、挪威、沙特阿拉伯等12國,遭鎖定產業也橫跨航空、國防、政府與生物製藥等,被盜的商業機密和數據包括用於潛水器(submersibles)和自動駕駛汽車的機密技術、特殊化學配方、商用飛機維修、專有基因定序技術等。APT40 還涉嫌從研究機構和大學竊取針對與伊波拉病毒中東呼吸症候群冠狀病毒、愛滋病、馬堡病毒和兔熱病等相關的傳染病研究數據。此外,美國調查人員表示,APT40 與海南和中國各地的多所大學密切合作。該組織利用他們的海南仙盾公司,與大學工作人員合作,從大學中招募駭客和語言學家,以助他們未來的入侵。

另外,在白宮宣布和司法部指控之後,CISA、國土安全部和聯邦調查局聯合發布了一份檢測 APT40 入侵和活動的技術指南,其中包含 50 多種觀察到中國網軍使用的網路攻擊戰術流程(Tactics, Techniques and Procedures),入侵指標( IOCs)和緩解措施。

有關情資:

Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department | CISA

微軟稱中國駭客開採了SolarWinds Serv-U中的零時差漏洞,並將攻擊歸因於DEV-0322

微軟週二表示,中國駭客開採了SolarWinds Serv-U FTP 伺服器中的漏洞,並積極瞄準美國國防和軟體公司。今天,SolarWinds 再一次更新了針對其Serv-U FTP 伺服器中的零時差漏洞的安全更新, CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中。當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。

攻擊的消息於 7 月 9 日星期五首次浮出水面,SolarWinds 發布了一個安全更新,以修補Serv-U中的一個已被開採的零時差漏洞。當時,SolarWinds 表示是在收到微軟的通知之後才知道漏洞 (CVE-2021-35211)受到持續的攻擊,但沒有發布 Serv-U 修補 (v15.2.3 HF2) 以外的任何其他細節。今微軟透露,很有把握對將這些攻擊歸因於一個名為“DEV-0322”的中國駭客組織。微軟威脅情報中心(Microsoft Threat Intelligence Center -MSTIC)在部落格文章中說,DEV-0322經常依賴由路由器或其他類型的物聯網設備組成的殭屍網路。

“MSTIC 觀察到 DEV-0322 以美國國防工業基地部門實體和軟體公司公開暴露的 Serv-U FTP 伺服器為目標,並已觀察到DEV-0322在基礎架構中使用商業 VPN和受損的消費者路由器。”

這些攻擊也標誌著中國駭客組織第二次濫用 SolarWinds 軟體來破壞企業和政府網路,早在 2020 年 12 月,就在俄羅斯策劃的 SolarWinds 供應鏈攻擊曝光的同時,中國駭客組織SPIRAL也在忙著利用 CVE-2020-10148 漏洞在 SolarWinds Orion IT 監控平台上安裝 web shell。

另外根據 Censys 的search query,自上週Solarwinds發布修補以來仍有超過 8,200 個 SolarWinds Serv-U 系統將其 SSH 端口暴露在網上,總而言之,使用 SolarWinds Serv-U FTP 伺服器的公司應通過安裝Solarwinds發布的修補或關閉對伺服器的 SSH 存取來保護自己免受 DEV-0322 攻擊。

有關情資:

Serv-U Remote Memory Escape Vulnerability being exploited in the wild CVE-2021-35211