情資才是王道 - 竣盟科技

得不償失！Ryuk勒索軟體通過一名學生安裝盜版軟體後，獲得切入點，使一家在歐洲從事COVID-19的生物分子研究機構，損失了研究數據。

Posted on 2021 年 5 月 7 日2021 年 5 月 7 日 by blogadmin

大多數勒索軟體的感染途徑是使用網路釣魚，然後再針對具有漏洞的伺服器。但是歐洲出現了一起新案例，根據安全公司Sophos的說法，一名能夠存取歐洲研究機構網路的學生在安裝了盜版軟體後暴露了他的登錄憑證，該盜版軟體也被證實是盜竊密碼的惡意軟體。歐洲一家未具名的生物分子研究所的學生在安裝了一個“破解”軟體後，意外地為該研究所打開了被勒索軟體攻擊的大門。

該研究所一直在進行COVID-19研究，並與歐洲當地大學建立了緊密的合作關係，使學生能夠通過Citrix的遠端存取客戶端連接到該機構的內部網路。不幸的是，一個可以存取網路的學生下載了一個盜版軟體，這使研究機構受到攻擊。

據Sophos稱，這位不願透露姓名的學生，想擁有一個在研究工作中使用data visualization 的軟體，但該軟體license每年需花費數百美元，該學生搜索了可在Windows電腦上使用的“破解版” 軟體下載並安裝。該檔案實際上是純惡意軟體，並在下載安裝過程中觸發了Windows Defender發送了安全警報，但該學生仍繼續下載並disable了Windows防病毒程式和電腦上的防火牆。

在下載成功後該學生得到的不是惡意破解的可視化工具，而是一個竊取資料的惡意軟體(info-stealer)，一旦安裝，就開始記錄按鍵動作，竊取瀏覽器，Cookie和剪貼板數據等等，因而也找到了學生對研究機構網路的存取憑據。

Sophos推測，竊取資料的惡意軟體的背後駭客，將登錄憑據出售給臭名昭著的Ryuk勒索軟體的背後駭客。在安裝了盜版軟體的13天後，利用學生的登錄憑證與研究機構建立了神秘的遠端桌面(RDP)連接。研究人員指出，這連接是通過一台名為龍貓(Totoro)的電腦進行的，“在建立這種連接的十天後，部署了Ryuk勒索軟體”，Sophos補充說。

這次事件，由於備份尚未完全更新，該研究機構損失了一周的研究數據。此外，在研究所恢復正常運作之前，必須從頭開始重建系統和伺服器檔案。

有關Ryuk的情資，請參考如下:

https://otx.alienvault.com/pulse/602d94a51d5a1e11cc85feef

https://otx.alienvault.com/pulse/5f99dd6b17da45dfb9dc296e

https://otx.alienvault.com/pulse/5ff75814478f6984b7bf5515

https://otx.alienvault.com/pulse/606dc14b4af856929a578e3a

Source:

MTR in Real Time: Pirates pave way for Ryuk ransomware

REvil的揭秘網站上廣達的頁面不見了，這意味著什麼?

Posted on 2021 年 4 月 28 日2021 年 4 月 28 日 by blogadmin

使用REvil勒索軟體的駭客組織在其暗網Happy Blog中突然移除廣達的頁面，同時也刪除了有關蘋果MacBook 的設計圖。

由4月21發現REvil背後的駭客組織稱成功入侵台灣代工大廠廣達並取得大量機密資料，包含蘋果MacBook 設計圖等，但日前突然傳出上載到REvil暗網的Mac 產品設計圖已被移除，同時有關廣達的頁面也被刪除了。如下圖顯示:

另外根據bleepingComputer的報導，REvil突然將檔案從暗網移除(或隱藏起來)，與他們一貫手法有異，猜測駭客是為了與廣達談判而暫時將數據洩漏頁隱藏，同時又停止向媒體爆料，BleepingComputer取得REvil給廣達最新的贖金倒數頁面:

駭客從之前勒索5千萬美元降價至2千萬美元，並將截止付款日延後至5月7日，另外駭客也揚言如沒有得到廣達的回應，將公開新的Apple logo和 iPad計劃等資料。

根據法國資安媒體LeMagIT統計，REvil在過去12個月裡已知攻擊的數量如下圖所示，僅在4月份已入侵了26個機構。

在昨天4月27日，REvil背後的駭客發布了一個新的受害者頁面，Kajima Corp即日本鹿島建設株式會社，REvil稱已從日本鹿島建設株式會社竊取了大量機密資料，如合約，保密協議和藍圖，設計圖等，共盜13000000個檔案，並”建議”該株式會社在5月1日前買回檔案，REvil背後的駭客無疑為當今最活躍的網路犯罪團體之一。

有關REvil的情資，請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

勒索軟體Babuk入侵美國首都華盛頓特區警察局，駭客揚言不付贖金即聯繫當地黑幫曝露警方線人

Posted on 2021 年 4 月 27 日2021 年 4 月 27 日 by blogadmin

在Babuk勒索軟體背後的駭客在其暗網洩露了盜來數據的螢幕截圖之後，美國華盛頓哥倫比亞特區大都會警察局(Metropolitan Police Department of the District of Columbia)已承認他們遭受了網路攻擊，駭客威脅除非DC警察局同意支付勒索贖金，否則將洩露敏感的警察檔案，這些檔案可暴露警方的調查和線人。

哥倫比亞特區大都會警察局是華盛頓特區的執法機構，它是美國十大警察部隊之一，僱有大約4,000名警察和600名輔助人員。

華盛頓特區警察局的公共發言人Sean Hickman在對外媒的聲明中，表示DC警察知道伺服器受到入侵，FBI正在調查此事。

“我們知道我們伺服器上的未經授權的存取。在確定全部影響並繼續審查活動的同時，我們正與FBI進行了全面調查。” -大都會警察局。

螢幕截圖顯示Babuk勒索軟體的駭客已獲得存取調查報告，軍官紀律檔案，在地黑幫檔案，嫌犯大頭照和管理檔案的權限。

Babuk data leak page for the Metropolitan Police Department

使用Babuk勒索軟體的駭客稱它從DC警察局伺服器下載了250 GB以上的數據。

駭客組織現在給DC警察官員三天時間來回應他們的贖金要求。否則，他們將與當地黑幫聯繫並暴露警方線人。

Babuk勒索軟體的駭客是當今最新的勒索軟體組織之一，該組織於2021年1月開始運營，已經入侵了一些大型公司，例如西班牙電話零售連鎖店 Phone House 和NBA的 Houston Rockets。

該組織最獨特的功能之一是其勒索軟體payload能夠加密存儲在VMWare eSXI共享虛擬hard drives上的檔案。它是可以做到這一點的僅有的三個勒索軟體品種之一（另外兩個為勒索軟體Darkside和RansomExx）。

但是安全公司 Emsisoft警告說，此功能經常有問題，並可能導致永久破壞受害者檔案。

有關Babuk的情資，請參考如下:

https://otx.alienvault.com/pulse/60212e7202feb173ebc48a26

https://otx.alienvault.com/pulse/6006d3a92b7c02cbe3f952e4

https://otx.alienvault.com/pulse/5ff78f0d8ae18856ebda8c28

*****竣盟科技快報歡迎轉載，但請註明出處

DarkSide勒索軟體的背後駭客擴展其敲詐技倆–賣空受害者的股價

Posted on 2021 年 4 月 23 日2021 年 4 月 23 日 by blogadmin

DarkSide勒索軟體的背後駭客正在擴展其勒索策略，針對在美國那斯達克(NASDAQ)或其他股票市場上市的公司。

DarkSide的駭客其暗網站上發布的公告說，它願意提前通知不當的市場交易者，以便他們可以賣空公司的股票價格，然後才在其暗網公佈受害者資料。

圖片的內容: 現在我們的團隊和合作夥伴對許多在那斯達克和其他證券交易所進行交易的公司進行加密。如果公司拒絕付款。我們準備在公佈之前提供資料，這樣就可賺取股票下跌的部分，寫信給我們與我們聯繫，我們將為您提供詳細資訊。

DarkSide認為，讓一家上市交易公司的名字在其網站上的負面影響將足以導致其股價下跌，並使狡猾的交易者獲利。

根據Recorded Future的資安分析師Dmitry Smilyanets說，儘管其他勒索軟體組織曾討論過如何利用公開披露攻擊對股市造成影響，但這從未成為他們官方攻擊媒介，DarkSide正式成為第一個利用攻擊打擊受害公司股價的勒索軟體。

DarkSide的公告同時也是以一種間接手段來威脅被入侵的公司，即不支付贖金可導致負面新聞報導，其影響力足以影響其股市市場，並足以迫使一些受害者支付所要求的贖金。

這種方法毫無疑問只是勒索軟體組織不斷增加的勒索工具庫中的最新敲詐手法之一。資安分析師說，我們的研究證明，支付贖金的人越來越少，這意味著勒索軟體參與者必須找到新的方法來勒索受害者的錢，去年，我們看到了DDoS攻擊的威脅，但這些威脅似乎並沒有真正發揮作用，因此他們不斷尋找其他方法。

一般勒索軟體組織敲詐手法:

*受到DDoS的攻擊

*打電話給要從備份中恢復數據的受害者

*試圖對負責批准贖金支付的高管提出人身威脅

*威脅要通知受害公司業務合作夥伴

*威脅受害公司，他們會將安全漏洞通知記者

*威脅將有關違規行為通知隱私監管機構，以便該公司可被罰款

*甚至發送電子郵件給受害者的客戶，要求客戶向公司施加壓力，要求其支付贖金，並避免客戶的數據在線上洩漏

有關DarkSide的情資:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/603d19ff5e6680fa73bbf7b3

外媒爆廣達電腦遭REvil入侵，被勒索5千萬美元，REvil同時以竊取的資料來勒索Apple電腦

Posted on 2021 年 4 月 21 日 by blogadmin

根據國外媒體報導，就在今天4月21，發現REvil背後的駭客在暗網稱成功入侵廣達並取得大量機密資料，由於廣達拒絕付款以取回其被盜的數據，因此，REvil決定公布其主要客戶(Apple)的資料，施壓廣達同時並轉向勒索Apple。REvil公布了Apple的機密設計圖，並稱若 5 月 1 日不付贖金，這批包括 Mac 產品等資料，之後就會出售給其他品牌商並公布內容。REvil同時透露還有Apple Watch、Macbook Pro以及ThinkPad Z60m等設計圖。REvil最先公布的是已經發佈的Macbook Air M1設計圖，同時表示，若持續不付款，將每天公佈不同的設計圖讓各界檢視。

根據Tor付款頁面，廣達必須在4月27日之前支付5000萬美元，或者在計時結束後支付1億美元。

REvil在過去的一個月裡一直瘋狂地進行攻擊，針對宏碁要求（5000萬美元），針對Pierre Fabre要求（2500萬美元）和針對日月光旗下的Asteelflash要求（2400萬美元）極高的贖金。

有關REvil的情資，請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

美國正式將SolarWinds事件歸咎俄羅斯對外情報局，驅逐10名外交官，制裁六家俄羅斯科技公司，知名資安公司Positive Technologies也上榜

Posted on 2021 年 4 月 16 日2021 年 4 月 16 日 by blogadmin

4月15日-在白宮週四一份聲明中稱，俄羅斯對外情報局(Sluzhba Vneshney Razvedki，SVR)要為SolarWinds事件負責。該事件導致九家聯邦機構和數百家私營企業數據外洩。白宮的新聞稿證實了過去的媒體報導，俄羅斯對外情報局SVR是SolarWinds事件的幕後黑手，正式指責SVR通過其部門的特工駭客(通常稱為APT29，The Dukes或Cozy Bear) 開展廣泛的網路間諜活動。

通過破壞SolarWinds供應鏈，SVR存取全球超過16,000台電腦，能監視或潛在破壞那些電腦，多個美國政府機構是這場廣泛的網路間諜活動的受害者，國務院，司法部，能源部，網路安全和基礎設施局以及財政部是披露被入侵的最大機構。資安公司如FireEye，Malwarebytes，Microsoft，Mimecast等也是針對特定目標。白宮的摘要指出：“美國情報界對SVR的歸因評估充滿高度信心。” 根據美國政府的說法，這種入侵的範圍涉及國家安全和公共安全。而且給大多數私營機構的受害者帶來了不適當的負擔，俄羅斯須承擔這一事件的異常高昂的代價。

目前許多政府已經出來支持美國對SolarWinds的歸因評估。英國也同時發布了歸因評估目前，14個國家政府在其官方網站上發布了支持性推文，另有7個發布了支持性書面聲明和推文。

Quite a lot of governments have come out in support of the US attribution assessment on Solarwinds. As of this writing, 14+7 published a supporting tweet and 7 released written statements on their official websites. Guess the NATO+EU angle works very well to rally public support. pic.twitter.com/1Z0D6JXtRV
— Stefan Soesanto (@iiyonite) April 15, 2021

此外，國家安全局（NSA），網路安全和基礎設施安全局（CISA）和聯邦調查局（FBI）共同發布了一份諮詢報告，警告企業SVR積極利用五個已知的漏洞進行初步攻擊立足於受害設備和網路:

CVE-2018-13379 -Fortinet FortiGate VPN

CVE-2019-9670 – Synacor Zimbra Collaboration Suite

CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN

CVE-2019-19781 – Citrix Application Delivery Controller and Gateway

CVE-2020-4006 – VMware Workspace ONE Access

企業應注意該警告，並採取必要的步驟來識別和防禦SVR進行的惡意活動。

根據拜登總統今天發布的行政命令，美國財政部對以下俄羅斯科技公司已實施制裁，六家科技公司被指控幫助SVR，俄羅斯聯邦安全局（FSB）和俄羅斯主要情報局（GRU）對美國進行惡意網路活動。

被制裁的六家科技公司或機構包括:

ERA Technopolis –由俄羅斯國防部資助和運營的研究中心和技術園區。ERA Technopolis擁有並支持俄羅斯主要情報局（GRU），負責進攻性網路和資訊作戰，並利用俄羅斯技術部門的人員和專業知識來開發軍事和雙重用途技術。

Pasit –位於俄羅斯的IT公司，進行研究和開發以支持俄羅斯對外情報局服務（SVR）的惡意網路操作。

SVA –俄羅斯國有研究機構，專門研究位於俄羅斯的先進資訊安全系統，進行研究和開發，以支持SVR的惡意網路操作。

Neobit –位於俄羅斯聖彼得堡的IT安全公司，其客戶包括俄羅斯國防部，SVR和俄羅斯聯邦安全局（FSB）。Neobit進行研究和開發，以支持由FSB，GRU和SVR進行的網路運營。Neobit還根據與網路相關的EO 13694（經EO 13757，與WMD相關的EO 13382和由《打擊制裁的美國對手》（CAATSA）修訂）的指定，為GRU提供物質支援。

AST –俄羅斯IT安全公司，其客戶包括俄羅斯國防部，SVR和FSB。AST為FSB，GRU和SVR進行的網路運營提供了技術支持。AST還根據EO 13694，EO 13382和CAATSA被指定為FSB提供支援。

Positive Technologies –一家俄羅斯資安全公司，為包括FSB在內的俄羅斯政府客戶提供支援。Positive Technologies為俄羅斯企業，外國政府和國際公司提供電腦網路安全解決方案，並舉辦大型會議，這些會議被用作FSB和GRU的招募活動。Positive Technologies還根據EO 13694，EO 13382和CAATSA被指定為FSB提供支援。

值得注意的是，美國財政部的制裁名單還包括俄羅斯資安公司Positive Technologies，該公司以其在網路安全漏洞研究方面的工作而聞名全球。

美國公司和金融機構不再能夠與上述的公司或機構開展業務，除非獲得美國的外國資產管制處（Office of Foreign Assets Control，OFAC）申請的許可。

SolarWinds供應鏈攻擊的有關情資:

https://otx.alienvault.com/pulse/60413cd1bb43dcf1d22c274b

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7

https://otx.alienvault.com/pulse/5ffccc003adfeeafe1d401a8

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

美國聯邦調查局（FBI）從被駭客入侵的Microsoft Exchange伺服器移除Web Shell，該FBI行動是在未事先通知伺服器擁有者的情況下進行的。

Posted on 2021 年 4 月 14 日 by blogadmin

美國司法部周二宣布一項法院授權聯邦調查局(FBI)的行動，從美國數百台Microsoft Exchange電子郵件伺服器中“複製並刪除”後門，以清除先前入侵該系統的駭客留下的Web Shell，同時也宣布了該項行動成功。

在美國司法部發布新聞稿中，FBI獲得搜查令可存取仍然受到威脅的Exchange伺服器，複製Web Shell作為證據，然後從伺服器中刪除Web Shell，同時因受害者不願或無法迅速修補其系統，執法部門在面對大規模駭客行動時能會採取一些更積極的步驟。該行動是回應在3月時駭客利用Microsoft Exchange 伺服器中的漏洞入侵還竊取受害者的電子郵件。由於其中一些Web Shell沒有得到妥善保護，使中國駭客可重複使用相同的密碼來存取被入侵的Exchange伺服器的權限，聲明寫道，在這種情況下，聯邦調查局“刪除了一個較早時候駭客組織剩餘的Web Shell，這些Web Shell可以用來維持和升級對美國網路未經授權存取的持久性。”

為了清理已識別的Microsoft Exchange伺服器，FBI使用駭客也使用的已知密碼存取了Web Shell，將Web Shell複製為證據，然後執行命令從受感染的伺服器上移除Web Shell。

FBI說：“ FBI人員存取Web Shell，輸入密碼，製作Web Shell證據的副本，然後通過Web Shell向伺服器發出命令以刪除Web Shell本身。” 。

FBI 補充說，Web Shell是駭客打開的界面，以便他們可以在以後與易受攻擊的系統進行通信，聯邦調查局通過Web Shell向伺服器發出命令進行了刪除，該命令旨在使伺服器僅刪除Web Shell，但是FBI指出，行動並未修補基礎系統本身，也未刪除可能已安裝在伺服器上的任何其他惡意軟體。

FBI現在將通知他們在該行動中存取的Exchange伺服器的擁有者，將通過官方FBI.gov電子郵件帳戶發送電子郵件發通知，或使用服務提供商（ISP）與擁有者聯繫。

關於Exchange伺服器的情資:

https://otx.alienvault.com/pulse/603eb1abdd4812819c64e197

*****竣盟科技快報歡迎轉載，但請註明出處

REvil又來了，印度最大鋼鐵生產商塔塔鋼鐵，遭REvil勒索軟體入侵，藍圖被公開

Posted on 2021 年 4 月 7 日 by blogadmin

Key Points:

*塔塔鋼鐵(Tata Steel) 沒有與駭客談判，也沒有支付贖金

*由於沒有談判，駭客已公開了塔塔鋼鐵生產線機器的Autocad技術圖紙

*據稱加密發生在2021年3月25日，所以已經有十多天了

根據LeMagIT，最初的贖金需求為400萬美元，後來又增加了一倍，變成相當於800萬美元的門羅幣，在贖金的網頁上已經沒有其他可加倍的金額，據相信下一階段駭客將發布樣本的檔案，並將其餘竊取到的檔案出售給其他駭客或感興趣的買家。

REvil勒索軟體最近特別活躍，繼先前3月20日宏碁集團中REvil勒索軟體遭勒索5000萬美元後，在4月5日，日月光代子公司環旭電子公告，其控股子公司Asteelflash Group有部分伺服器也感染REvil勒索軟體。

在過去的幾年中，REvil（又名Sodinokibi）一直是最泛濫的勒索軟體即服務（RaaS）之一，藉由招募合作夥伴，以提供勒索軟體為手法，於獲得贖金後再拆帳的模式經營。REvil曾利用Pulse Secure VPN漏洞，入侵倫敦外匯交易公司Travelex的網路而聞名。

在3月29日The DFIR Report的資安研究員觀察到REvil入侵始於惡意垃圾郵件，該惡意垃圾郵件將含有IcedID（Bokbot）丟到受害環境中，以允許隨後存取分發REvil勒索軟體。在入侵過程中，威脅參與者將權限提升為Domain Administrator，竊取數據，並使用REvil加密所有的系統。根據該研究報告:

*REvil的攻擊勒索時間Time to Ransom(TR): 4小時

*入侵初期Initial Access使用: IcedID

*Discover使用: nltest, net, wmic, AdFind, BloodHound, etc.

*權限提升使用: UAC-TokenMagic & Invoke-SluiBypass

*逃避偵測使用: Safe Mode & new GPO

*滲透使用: Rclone

*C2使用: CobaltStrike

攻擊時程如下:

更多有關報告的資訊，請參見: https://thedfirreport.com/2021/03/29/sodinokibi-aka-revil-ransomware/

有關REvil的情資，請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

日月光旗下環旭電子的法國子公司Asteelflash也中了 REvil 勒索軟體

Posted on 2021 年 4 月 6 日2021 年 4 月 6 日 by blogadmin

Key Points:

*日月光旗下子公司環旭電子持股100%的控股公司 Asteelflash Group 於 4月2日公佈在IT團隊的例行檢查中發現部分伺服器感染REvil勒索軟體。

*根據TechNadu 的報導切入點疑是Microsoft RPC遠端程式呼叫服務

*根據BleepingComputer的報導，勒索金高達2400萬美元

*此次之前，Acer也被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

REvil對Asteelflash集團的勒索贖金約2400萬美元 (Photo credit:BleepingComputer)

根據BleepingComputer的報導，REvil最初索要1200萬美元的贖金，但隨著時間過去，贖金加倍，達到2400萬美元。BleepingComputer取得了REvil與Asteelflash在Tor付款頁面上的談判對話，REvil為了證明攻擊成功，分亨了一份名為asteelflash_data_part1.7z的檔案。至此兩方之間的對話陷入僵局，沒有更多有關對贖金部分的資訊。

另外，根據TechNews，環旭電子對此一資安事件也發布聲明，指出 Asteelflash發現伺服器被感染後，及時啟動應急回應措施，避免進一步傳播擴散。雖有部分生產據點的產能受到影響，但經過 IT 人員和外部安全顧問的努力，目前 Asteelflash集團的訊息系統已恢復正常，而受影響的生產據點已全部恢復正常運營。

Revil 也稱為Sodinokibi，於2019年4月問世，成為當今世界上危害最大的和最多產和的勒索軟體之一，根據日本資安研究員辻伸弘的統計，由2019年12月直至2021年3月REvil共加密了193受害公司。

另外，值得關注的是,REvil勒索軟體已演變能通過網路將目標電腦重啟動到安全模式 (Safe mode) 來運作以逃避/disable EDR,附上Malware Hunter team研究人員發現 REvil 的最新sample如下 :

Argument: -smode

有關REvil的情資，請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Facebook爆中國國家級駭客利用其平台監控海外維吾爾族人，Facebook封殺Evil Eye設的約百個帳號!!!

Posted on 2021 年 3 月 26 日2021 年 3 月 26 日 by blogadmin

Facebook表示，中國駭客利用偽造賬戶和建立仿冒網站來鎖定維吾爾族人的手機，以便進行監控

Key Points:

*中國國家級駭客Evil Eye(邪惡之眼)利用臉書，鎖定中國境外，包含美國、澳洲、土耳其、敘利亞、加拿大、土耳其、哈薩克等國家的維吾爾族等少數民族之維權人士、記者或異議人士，透過發送指向惡意軟體的連結，用惡意軟體感染設備並實現監控。

* Facebook指Android惡意軟體由兩間中國公司，北京畢思特聯合科技有限公司（Beijing Best United Technology）和大連9Rush科技有限公司(9Rush) 所開發，偽裝成維吾爾語鍵盤和祈禱應用程式，實則上存有ActionSpy或PluginPhantom等木馬惡意程式，有些惡意網站則直接嵌入了iOS間諜程式Insomnia。

*利用社交工程：Evil Eye使用Facebook上的假帳戶創建虛構的角色，冒充人權倡導者，記者，維吾爾族成員或學生，以建立與目標人群的信任，並誘使他們點擊惡意連結。

Facebook在3月24日宣布，已對利用假賬戶監視維吾爾族穆斯林的中國駭客組織Evil Eye採取了行動，阻止了Evil Eye濫用其平台和架構，發佈惡意程式和入侵其他用戶。

Facebook 表示Evil Eye的手法十分高明，他們會檢查目標對象的iOS，是否使用指定的語言、國家、系統版本、瀏覽器、IP位址等，駭客只會對符合相關條件的用戶下手，避免了大規模攻擊而太早被發現。駭客亦會製作一些假網站，偽裝像真的維吾爾族或土耳其的新聞網站，當目標不小心瀏覽時，就會在其iOS裝置上安裝一些監控程式。而且中國駭客們為了監控維吾爾族人士亦相當用心，會製作一些假帳戶，而這些假帳戶會慢慢向目標建立信任，最終被選中的目標因為以為這些假帳戶是真朋友，而不小心按入有關網站，令自己的手機或電腦被監控。Facebook亦發現有不少由了製作的Android apps，以維吾爾族的主題做包裝，例如維吾爾語鍵盤和祈禱應用程式，這些apps都藏有惡意程式。Facebook續指有兩間中國公司涉及在內，由他們開發相關惡意程式。

據路透社報導，Facebook表示與駭客組織相關的目標少於500個，帳戶約於100個。

回顧之前有關Evil Eye的報導:

https://www.facebook.com/BillowsTechTW/posts/526372064693028