情資才是王道 - 竣盟科技

中國APT駭客組織針對電信公司進行有關5G的網路間諜活動，旨在竊取與5G技術相關的數據

Posted on 2021 年 3 月 17 日 by blogadmin

McAfee的報告中稱，這項名為”Operation Diànxùn電信行動”的活動是由於在多個國家/地區禁止在5G推廣中使用中國技術而引起的。據安全廠商稱，活動背後的威脅者正在使用中國APT野馬熊貓(Mustang Panda) 在攻擊中使用的策略和相關手法，研判該行動出自他們之手，該組織先前已被多家安全廠商確認為中國政府資助的駭客。

根據McAfee的研究，攻擊的目標位於美國，歐洲和東南亞，特別針對德國和越南的電信公司。資料顯示受害者會被誘騙到一個偽裝成是華為求職的釣魚網站，從網站上研究員發現了偽裝為Flash應用程式的惡意軟體，這些惡意軟體會連接到受駭客控制下的網域“ hxxp：/ /update.careerhuawei.net”，hxxp：//career.huawei.com” 這些惡意網址經過精心設計，看起來像極合法的華為求職網站。研究員在12月還觀察到此行動中使用新的網址：“hxxp：//update.huaweiyuncdn.com。”

儘管數十個政府最初對華為和中興等中國公司建立5G感興趣，但近幾個月來，美國和一些歐洲國家已敦促各國對中國政府在一定程度上的封殺，華為被廣泛認為是5G領域的中國領導者，但包括美國、澳洲、日本、英國、法國等在內的國家的政府都禁止使用華為的5G技術，因為擔心華為的5G技術可能包含可以進行廣泛間諜活動的後門，但McAfee也補充說，沒有任何跡象顯示華為與當前的威脅活動有任何關連。

據安全廠商稱，目前尚不清楚攻擊者最初是如何誘騙受害者到釣魚網站的，但受害者一旦連接就會到一個與華為的求職網站非常相似的網頁。攻擊者使用虛假網站下載了偽裝成Flash應用程式的惡意軟體，還精心設計了從中下載的Flash應用程式的網站，使其外觀類似於Flash在中國的官方網頁，該惡意軟體還可以在受感染系統上下載Cobalt Strike滲透工具。

報告稱由於攻擊者利用虛假的華為網站，提供了更多有關行動的線索，相信該行動旨在竊取敏感數據與監視5G技術相關的電信公司，McAfee研究員Thomas Roccia又稱，觀察到大多數組織都是對中國推出的5G技術表示擔心的，這表明電信行動(Operation Diànxùn)與全球部署下一代通信技術(next-gen communications)息息相關。

Source:

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-dianxun.pdf

研究人員揭露與中國國家級駭客有關的新型Linux惡意後門“ RedXOR ”，發現台灣和印尼已有惡意軟體樣本上傳至VirusTotal。

Posted on 2021 年 3 月 11 日 by blogadmin

資安公司Intezer的研究人員發現了一種針對Linux端點和伺服器的新型複雜後門程式。後門被Intezer稱為“ RedXOR ”，RedXOR會偽裝成polkit daemon，發現與中國APT駭客Winnti Group使用的PWNLNX，XOR.DDOS和Groundhog等惡意軟體有相似。

RedXOR的源由：由於RedXOR使用基於XOR的技術對網路數據進行編碼，並且在舊版的Red Hat Enterprise Linux上使用舊版GCC編譯器進行的編碼，這表明該惡意軟體是針對舊版Linux的針對性攻擊而部署的系統，在系統中建立後門後，使攻擊者可以完全控制受感染的電腦。在部署成功後，RedXOR允許攻擊者瀏覽檔案，上傳和下載檔案，竊取數據，部署Web Shell或將網路流量連線傳輸到另一個目的地。

RedXOR除了在整體流程和功能和PWNLNX之間使用XOR編碼重疊之外，後門還採用了未剝離的64位ELF檔案（“ po1kitd-update-k”）的形式，並帶有錯別字名稱（“ po1kitd”與“ polkitd”），在執行之前，會先建立一個隱藏目錄來存儲與惡意軟體有關的檔案，甚至將其自身安裝到機器上。Polkit是用於定義和處理授權的工具包，允許非特權進程與特權進程進行通信。

此外，該惡意軟體帶有加密的配置，其中包含通過TCP Socket連線，C& C，IP address 和端口以及向C2伺服器進行身份驗證所需的密碼。通信不僅被偽裝成無害的HTTP流量，而且還使用XOR加密技術對兩種通信進行了編碼。

RedXOR支援多種功能，包括收集系統資料（MAC address，用戶名，distribution，clock speed，kernel版本等），執行檔案操作，以系統特權執行命令，運行任意的Shell命令，甚至是遠端更新惡意軟體。

受RedXOR攻擊的用戶可通過終止進程並刪除與該惡意軟體有關的所有檔案來採取保護措施。

針對Linux系統的攻擊活動越來越多，部分原因是IoT設備，Web伺服器和雲端伺服器廣泛採用Linux操作系統，導致攻擊者將其現有Windows工具移到Linux或新開發支援兩個平台的工具。Intezer和IBM X-Force的聯合研究發現了56個Linux惡意軟體家族，比2019年增長了40％，自2010年以來增長了500％。

Intezer表示，在2月23日至24日在VirusTotal發現由台灣和印尼上傳的兩個惡意軟體樣本，台灣和印尼經常受到中國APT駭客的攻擊。研究人員認為，與中國政府有聯繫的駭客組織正在使用RedXOR。它與Winnti Group也稱APT 41以前使用的惡意軟體和殭屍網路具有關鍵性相似之處。

Source: https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/

SolarWinds事件又有新進展，微軟和FireEye分別發表技術報告，微軟發現3個新的惡意軟體分別為GoldMax, Sibot, GoldFinger，FireEye發現新的後門程式SUNSHUTTLE

Posted on 2021 年 3 月 5 日 by blogadmin

微軟命名SolarWinds事件的幕後駭客為”NOBELIUM”

微軟和FireEye的研究人員分別披露了發現去年12月份SolarWinds事件的駭客組織使用了其他的惡意軟體。

FireEye的報告只詳細描述有一個惡意軟體，而根據微軟的報告，總共發現了三種新的惡意軟體，這三個惡意軟體分別是：

GoldMax : 基於Go的後門程式，攻擊者用來執行在安裝了惡意軟體之前已經遭到破壞的系統上執行各種命令，充當攻擊者的C2後門，GoldMax還可以部署誘餌的網路流量，允許惡意程式碼及其通信混入正常的網路流量中。FireEye報告中以SUNSHUTTLE的名稱詳細介紹了該惡意軟體，SUNSHUTTLE一樣用Go編寫，並且該第二階段後門具有一些逃避檢測的功能。該惡意程式碼似乎於2020年8月由位於美國的一家實體上載到惡意軟體存儲庫上。

Sibot : 一種VBScript惡意軟體，它旨在受感染的設備上實現持久性，然後從C2伺服器下載並執行其他payloads，發現Sibot有三種不同的變種。

GoldFinger : 另一個基於Go的惡意軟體。這是一個自定義HTTP跟踪器工具，用於檢測伺服器和重導（如受感染設備與C2伺服器之間的網路安全設備）。

之前已公佈過SolarWinds駭客使用的惡意軟體，包括：

Sunspot : 駭客在SolarWinds的內部網路中部署的惡意軟體，可以破壞Orion應用程式的構建過程。

Solorigate（Sunburst） : 在SolarWinds Orion應用程式中引入的惡意軟體在2020年3月至2020年6月之間進行了更新。該惡意軟體充當偵察工具，可幫助威脅者識別他們以後要瞄準的公司。

Teardrop : Teardrop通過Sunburst在選定網路上部署的惡意軟體，充當執行其他命令的後門。

Raindrop :在某些網路不部署Teardrop而部署Raindrop，充當第二階段後門。

新的惡意軟體是為受害者網路量身定制的

微軟表示，在其一些客戶的網路上發現了三種新的惡意軟體(GoldMax, Sibot, GoldFinger)在某些情況下，發現惡意軟體可追溯到2020年6月，而在其他情況下，惡意軟體的使用可追溯到2020年9月。

此外，惡意軟體還通過不同的方法植入。一些客戶通過受感染的SolarWinds Orion應用程式更新而受到入侵，而其他客戶則在駭客獲得了對該公司內部網路的合法憑據的訪問權限後，也感染了相同的惡意軟體。

無論採用哪種方式，無論最初的訪問媒介如何，微軟都表示，惡意軟體與SolarWinds的事件有關，微軟今天首次使用代號Nobelium命名SolarWinds事件的駭客。

“它們是為特定網路量身定制的，經過評估，是在參與者通過受到破壞的憑據或SolarWinds二進製檔獲得訪問權之後，以及在通過TEARDROP和其他手動鍵盤操作橫向移動之後引入的” Microsoft描述了這三種惡意軟體。

Microsoft補充說：“這些功能不同於以前已知的NOBELIUM工具和攻擊模式，並重申了駭客的複雜性。”

“在攻擊的所有階段，參與者都表現出對網路中常見的軟體工具，部署，安全軟體和系統以及事件回應團隊經常使用的技術的深入了解。”

今年1月5日，美國四個政府機構正式將SolarWinds供應鏈攻擊描述為“可能源於俄羅斯”。

針對美國實體的新第二階段後門GoldMax/SUNSHUTTLE的情資 :

https://otx.alienvault.com/pulse/60413cd1bb43dcf1d22c274b

https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html

雲端資安公司Qualys成為Accellion FTA事件的最新受害者，同時成為CLOP的敲詐對象，資料外洩被公開到CL0P ^ _- LEAKS網站上

Posted on 2021 年 3 月 5 日2021 年 3 月 5 日 by blogadmin

提供雲端安全與合規的Qualys遭受了數據外洩露，據稱駭客利用了Accellion FTA伺服器中的零時差漏洞並安裝一個名為“DEWMODE”的web shell，用於下載存儲在目標受害者FTA伺服器上的相關檔案。由十二月開始，一連串的攻擊針對Accellion FTA檔案傳輸應用程式的零時差漏洞，該漏洞使攻擊者能夠竊取伺服器上存儲的檔案。從那時起，CLOP勒索軟體就一直通過在其揭秘網站上發布盜來的數據來勒索這些受害者，如下圖已知的受害者包括交通運輸的新南威爾士州，新加坡電信，龐巴迪，Jones Day律師事務所，科技企業Danaher等

Qualys擁有大約19,000個客戶，其中包括Capital One和Experian等大型金融公司，對於熱衷於公開敏感數據的勒索者而言，Qualys是一個有吸引力的目標。

Qualys的資訊安全長 Ben Carr在周三晚上的一份聲明中說，承認該公司在DMZ環境中已使用了Accellion檔案傳輸技術來進行與客戶支援相關的檔案傳輸，攻擊者已存取了Accellion伺服器上託管的檔案。Carr說，Qualys通知了受此未經授權存取影響的客戶，但拒絕透露有多少客戶受到影響，並正在等待進行的調查結束，Carr補充說該事件並未影響Qualys Cloud Platform上託管的Qualys生產環境，codebase或客戶數據。

CLOP勒索軟體背後駭客聲稱已從Qualys竊取了數據，而根據外媒得到的截圖，洩露的數據包括了公司發票、採購訂單、稅務文件和掃描報告等

另外為了應對攻擊，Accellion FTA 伺服器供應商已經發布了多個安全修補，並且將在2021年4月30日淘汰該FTA伺服器軟體。

駭客利用Accellion FTA進行數據盜竊和勒索的有關情資:

https://otx.alienvault.com/pulse/6033df085aef66991b0b0462

有關Accelion FTA事件受影響的其他公司, 我們之前也有相關的報導:

http://billows.tech/MeTv1

又一Accellion用戶受其遇駭風波影響，加拿大飛機製造商龐巴迪（Bombardier）今揭露資料外洩!!軍用飛機產品的CAD圖被CL0P勒索軟體駭客對外公開!!!

Microsoft緊急發布4個零時差漏洞的修補，請立即更新

Posted on 2021 年 3 月 3 日 by blogadmin

KEY POINTS:

*微軟表示一個中國政府資助新的駭客組織”Hafnium”開採了其郵件伺服器程式碼中新發現的漏洞

*目標包括美國傳染病研究人員，律師事務所，高等教育機構，國防承包商，政策智庫和非政府組織

微軟在3月2日表示，中國政府資助新的國家級駭客組織正在利用攸關其Exchange伺服器中以前未被發現的四個零時差漏洞，從遠端入侵電子郵件信箱。微軟稱，Hafnium能利用這四個新發現的零時差漏洞闖入了公司網路上運行的Exchange電子郵件伺服器，從而使攻擊者能夠從受害者的組織中竊取數據（例如電子郵件帳戶和通訊錄），並且能夠植入惡意軟體，已發現Hafnium能將四個零日漏洞組合一起同時開採，形成一條攻擊鏈，該攻擊鏈可破壞運行的Exchange 2013或更新版本的落地伺服器(包括Exchange Server 2013、2016和2019。)

為了使攻擊起作用，駭客需要存取微軟落地版Exchange伺服器上的port 443 ，如果可用存取，則可使駭客利用以下漏洞獲取遠端存取：

CVE-2021-26855是一個伺服器端請求偽造(Server-Side Request Forgery)漏洞，在該漏洞中，伺服器（在這種情況下為落地Exchange Server）可能會被誘騙到運行本不應被允許運行的命令中，例如通過Exchange伺服器本身進行身份驗證。

攻擊者使用CVE-2021-26857在目標Exchange伺服器上的“系統”帳戶下運行他們選擇的程式碼。其他兩個零時差漏洞（CVE-2021-26858和CVE-2021-27065）可能使攻擊者可以將文件寫入伺服器的任何部分。

**使用nmap腳本指令可掃出Microsoft Exchange Server的弱點示意圖**

微軟表示，利用這些漏洞獲得初始訪問權限後，Hafnium在受感染的伺服器上部署了Web Shell。Web Shell本質上是軟體後門，它使攻擊者可以竊取數據並執行其他惡意操作，從而進一步破壞安全性。

在Microsoft和資安公司Volexity今日發布的報告中，兩家公司表示，Hafnium使用這四個Exchange零時差漏洞作為多部分攻擊鏈的一部分，以繞過身份驗證過程，獲取管理員特權，然後安裝ASPX Web Shell在受感染的伺服器上。

一旦攻擊者在組織的Exchange伺服器中立足，他們便開始導出電子郵件收件箱和地址簿的內容，並可將數據上傳到遠端伺服器。

Volexity表示是在其兩個客戶的Exchange伺服器上檢測到的這些可疑上傳。隨後的調查發現了持續的攻擊，該安全公司表示已將調查結果報告給了Microsoft。Volexity還表示，它可以追溯到2021年1月的攻擊。微軟還說，它也收到了丹麥資安公司Dubex關於攻擊的第二份報告。

微軟拒絕透露已經看到多少次成功的攻擊，但將其描述為“有限的”。

提供關於此次事件的惡意IPs清單，供貴司的SIEM或Logger使用:

103.77.192.219

104.140.114.110

104.250.191.110

108.61.246.56

149.28.14.163

157.230.221.198

167.99.168.251

185.250.151.72

192.81.208.169

203.160.69.66

211.56.98.146

5.254.43.18

5.2.69.14

80.92.205.81

91.192.103.43

有關駭客組織Hafnium開採Microsoft Exchange Server的零時差漏洞的情資:

https://otx.alienvault.com/pulse/603eb1abdd4812819c64e197

https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities

俄羅斯國家級駭客橫行，繼之前被美國指控為SolarWinds事件的幕後黑手，現烏克蘭政府正式將矛頭指向俄羅斯APT組織，入侵其文件管理系統。

Posted on 2021 年 2 月 26 日2021 年 2 月 26 日 by blogadmin

The @ncsccUA warns of a cyberattack on the document management system of state bodies. The attack belongs to the so-called supply chain attacks. Methods and means of carrying out this cyberattack allow to connect it with one of Russia's hacker spy groups.https://t.co/ICgYxuuflH
— NSDC of Ukraine (@NSDC_ua) February 24, 2021

在昨天烏克蘭政府指責替俄羅斯效力的APT駭客組織，襲擊了其文件管理系統，即行政機關電子互動系統（System of Electronic Interaction of Executive Bodies）。行政機關電子互動系統是一個基於網路的入口網站，烏克蘭政府機構使用該入口網站在彼此之間以及與公共機構之間分發文件。烏克蘭國家安全與防禦委員會(NSDC)的官員今天在一份聲明中說，攻擊的目的是大規模感染當局的資訊資源。

烏克蘭官員說，攻擊者在該入口網站上載了誘餌文件嵌入了一個巨集(Macro)腳本。該巨集打開時會秘密下載惡意軟體，從而使駭客能夠遠端控制受害者的電腦。

NSDC官員說： “進行這種網路攻擊的方法和手段使我們可以將其與俄羅斯的一個駭客間諜組織聯繫起來。”即使烏克蘭官員也沒有將攻擊歸因於特定的俄羅斯APT駭客群。但是官員們確實發布了攻擊中使用的入侵指標（IOC）。包括：

Domain：enterox.ru

IP address：109.68.212.97

URL：http://109.68.212.97/infant.php

國外媒體報導說，基於這些IOC能夠將該組織與俄羅斯政府資助的駭客組織Gamaredon連結起來，該組織一直以烏克蘭為攻擊目標。

關於Gamaredon的情資:

https://otx.alienvault.com/pulse/60352ce7950d179bd0aff18b

https://otx.alienvault.com/pulse/5fd7a4c5ad06715cb8630ecb

又一Accellion用戶受其遇駭風波影響，加拿大飛機製造商龐巴迪（Bombardier）今揭露資料外洩!!軍用飛機產品的CAD圖被CL0P勒索軟體駭客對外公開!!!

Posted on 2021 年 2 月 24 日 by blogadmin

Key Points:

*龐巴迪有關的數據已經被公開在CL0P ^ _- LEAKS的網站上

*鑑識分析顯示，與員工，客戶和供應商有關的個人和其他機密資料受到入侵

*CL0P ^ _- LEAKS網站於2020年3月啟動，發布不付贖金的受害者數據以作威脅和勒索

*最近成為Clop勒索軟體受害者的公司包括超級市場巨頭Kroger，Singtel，美國運輸局，律師事務所Jones Day等，Jones Day是前美國總統Donald Trump的法律顧問

*金融網路犯罪組織FIN11被認為是最近一系列Clop勒索軟體活動的幕後黑手

*外洩的一些檔案似乎顯示了GlobalEye雷達和任務系統的規格

龐巴迪是使用Accellion第三方檔案傳輸服務的公司之一，飛機製造商龐巴迪在今天發布的新聞稿，揭露資料外洩，值得一提的是，瑞典薩博(SAAB)公司(SAAB) 的第一款「全球眼」預警機(GlobalEye)，是用龐巴迪全球6000(Bombardier Global 6000)公務機改裝的。據了解CL0P勒索軟體揭秘網站上，駭客發布了瑞典國防公司薩博開發的 GlobalEye 預警機和控制平臺的規格和機制。同時也發布包括龐巴迪客戶，供應商和員工有關的機密資料。

龐巴迪說:“初步調查顯示，未經授權的一方通過利用第三方文件傳輸應用程式的漏洞來訪問和提取數據，該漏洞運行在與主要龐巴迪IT網路隔離的特定伺服器上。” 龐巴迪在新聞稿中沒有評論CL0P勒索軟體發布有關他們的數據。龐巴迪僅表示，位於哥斯達黎加的大約130名員工受到了影響，龐巴迪一直在積極聯繫其數據可能受到損害的客戶和其他外部利益相關者。正在進行的調查表明，未經授權的訪問僅限於存儲在特定服務器上的數據。生產和客戶支援操作沒有受到影響或中斷。

2020年12月，一個駭客組織在Accellion FTA軟體件中發現了一個零時差漏洞攻陷其檔案傳輸設備軟體，並開始攻擊全球的公司。攻擊者接管了系統，安裝了Web Shell，然後偷走了敏感數據。

Accellion在昨天的新聞稿中表示，其300個客戶在運行的FTA伺服器，其中100個受到攻擊，並且大約25個客戶的數據被盜。

根據安全公司FireEye的說法，攻擊者試圖勒索被駭客攻擊的公司，要求支付贖金，否則他們將盜來的數據公開。

從本月初開始，一些Accellion FTA客戶的數據開始出現在暗網CLOP勒索軟體揭秘網站上，引發了人們對Accellion產品的擔憂。

駭客利用Accellion FTA進行數據盜竊和勒索的有關情資:

https://otx.alienvault.com/pulse/6033df085aef66991b0b0462

有關Accelion FTA事件受影響的其他公司, 我們之前也有相關的報導:

http://billows.tech/MeTv1

中國間諜工具軟體的程式碼是從美國國家安全局（NSA）複製而來的!!!

Posted on 2021 年 2 月 23 日2021 年 2 月 23 日 by blogadmin

以色列資安研究人員於2月22日聲稱，中國國家級駭客組織APT31盜用了最初由美國國安局旗下的Equation Group開發的軟體程式碼，進行駭客行動。Check Point週一發布的報告，指這份程式碼和中國有關的惡意軟體Jian「箭」的部分功能非常相似，而「箭」與美國國安局於2017年被盜並被放在網路上散播的網路攻擊工具非常相似。

Amazing research by @megabeets_ and @EyalItkin revealing how American exploits potentially leaked over to China – years before anyone ever heard of the Shadow Brokershttps://t.co/C50ReDcXPR
— Yaniv Balmas (@ynvb) February 22, 2021

Checkpoint研究負責人Yaniv Balmas稱「箭」為山寨(Copycat) 和中國複製品(Chinese replica)，積極使用了美國國安局旗下的網路攻擊組織（Equation Group）的攻擊工具程式碼“ EpMe”。

據Zdnet援引Checkpoint說，中國APT31的「箭」和美國的Equation Group的「EpMe」都是為了提升攻擊者在本地Windows環境中的許可權。這一工具是在攻擊者獲得最初存取目標電腦的許可權後（例如通過釣魚郵件等）使用的，授予攻擊者最高的權限，這樣他們就可以在已經受感染的電腦上為所欲為。據報導，這兩個組織，中國的APT31和美國的Equation Group利用了當時未知的Windows漏洞（CVE-2017-0005），為了”提高受感染機器上攻擊者的特權”。

報告提到，中國駭客組織有可能是在Equation Group攻擊中國目標時取得了程式碼，也可能是在其攻擊Equation Group的基礎建設時捕獲了程式碼。研究還提到，APT31利用「箭」，在2015年至2017年3月期間進行了網路攻擊，直到Microsoft修補了它利用的漏洞。據研究人員稱，箭是“EpMe”的山寨，該產品也被包括在2017年 Shadow Brokers的“ Lost in Translation”資料外洩中，並被“重新設計”來攻擊美國公民。

專家認為美國間諜應該投入更多資源來修復軟體的缺陷，而不是開發和部署惡意軟體來進一步利用它。Broadcom旗下的資安公司Symantec在2019年類似的事件報告中表示，NSA多年來一再失去對自己惡意軟體的控制

美國國安局和華盛頓的中國大使館沒有對Checkpoint報告發表評論。

有關情資，請連結竣盟科技代理的 AlienVault OTX 情資平台:

https://otx.alienvault.com/pulse/6033e08d756155d3fc8d8f1c

*****竣盟科技快報歡迎轉載，但請註明出處。

Source:

https://research.checkpoint.com/2021/the-story-of-jian/

美國聯邦檢察官指控三名北韓Lazarus Group的駭客共謀竊取超過13億美元

Posted on 2021 年 2 月 19 日2021 年 2 月 19 日 by blogadmin

美國司法部於美國時間昨天2月17日正式指控3名北韓國家級駭客，3名駭客分別是36歲的樸金赫(Park Jin Hyok)、31歲的鍾昌赫(Jon Chang Hyok)和27歲的金日(Kim Il)，根據起訴書他們均效力於北韓情報機構北韓偵察總局，同為Lazarus Group駭客集團的成員，指控他們串謀發起一系列大規模駭客攻擊，從金融機構和企業竊取和勒索13億美元以上的現金和加密貨幣，從以獲得資金來支持北韓政權。起訴書也稱，3名駭客密謀開發和發布惡意加密貨幣應用程式。

根據起訴書，三人有時駐紮在北韓以外的其他國家，包括俄羅斯和中國。由於西方的制裁削弱了北韓的經濟，司法部警告說，北韓正在開發一些先進的能力來線上竊取金錢。其中一位駭客是北韓情報機構的官員樸鎮赫（Park Jin-hyok），在2018年朴鎮赫(Park Jin Hyok ，譯音)被控犯下2014年美國索尼影業公司（Sony Pictures）遭駭案、製作勒贖軟體WannaCry，以及2016年從孟加拉央行竊取8100萬美元等。

這次新增兩名被告─鍾昌赫（Jon Chang Hyok，譯音）和金日（Kim Il，譯音），他們也與朴鎮赫在北韓軍事情報機構的偵察總局（Reconnaissance General Bureau）工作。這三人被指控開發了幾種惡意的加密貨幣應用程式，這為它們提供了進入受害者電腦的後門。他們通過加密貨幣搶劫獲得了至少1.12億美元的收益。其中包括2017年來自斯洛文尼亞加密貨幣交易所的7500萬美元; 2018年從印尼交易所獲得近2500萬美元; 以及八月份來自紐約一家金融服務公司的1,180萬美元，駭客在其中利用CryptoNeuro Trader應用程式作為後門。

他們還被指控針對美國國防承包商，能源，航空航天和技術公司以及國務院和五角大樓進行魚叉式網路釣魚(Spear phishing)活動駭入受害電腦。另外，他們建立了一個假的加密貨幣公司並發布Marine Chain Token。美國司法部表示，該計劃允許用戶通過加密貨幣token購買海上船隻的所有權，從而使北韓能夠獲得投資者資金並繞過美國的制裁。

美國助理司法部長John Demers表示，北韓駭客使用鍵盤而非槍枝，竊取加密貨幣而非直接搶劫現金，形容他們是世界上最大的銀行搶劫犯和帶有國旗的犯罪集團。

除了美國司法部的指控外，美國國土安全部網路安全暨基礎安全局（CISA）昨天還發布了有關AppleJeus惡意軟體的報告， AppleJeus是 Lazarus Group在攻擊行動目標大多與加密貨幣實體相關使用的惡意軟體。

有關AppleJeus惡意軟體的情資

https://otx.alienvault.com/pulse/602d5044d7b695af9c39ce5f

有關Lazarus Group的情資

https://otx.alienvault.com/pulse/5f453929b07a627ecdfd9af9

https://otx.alienvault.com/pulse/601052e27a2c451b3ba5ed31

https://otx.alienvault.com/pulse/60103a3268891c63b1f24d74

Source:

https://www.justice.gov/usao-cdca/press-release/file/1367721/download

https://www.justice.gov/opa/pr/three-north-korean-military-hackers-indicted-wide-ranging-scheme-commit-cyberattacks-and

Accellion安全檔案傳輸服務商的客戶被CL0P勒索軟體入侵，包含新加坡電信公司SingTel，美國驗船協會，法律事務所Jones Day等被CLOP列為最新受害公司！

Posted on 2021 年 2 月 17 日2021 年 2 月 17 日 by blogadmin

CL0P勒索軟體揭秘網站上的五個最新受害者有兩個共同點。第一，最明顯的是，他們被CL0P勒索。第二，他們使用了Accellion安全檔案傳輸服務，以傳送分享大型檔案。

Accellion Inc.在2月1日宣布，其Accellion FTA是一個複雜的網路攻擊的目標。該公司表示，所有FTA客戶都已在12月23日立即收到攻擊通知。

上週，新加坡國有電信公司SingTel，美國驗船協會( American Bureau of Shipping)，律師事務所Jones Day，總部位於荷蘭的Fugro和生命科學公司Danaher被添加到CL0P的揭秘網站。以上五家被駭公司都使用web portal讓客戶或第三方使用Accellion檔案傳輸服務發送或接收大型檔案。

CL0P勒索軟體公開有關Singtel資料的頁面，紅下劃線為五個最新受害公司，他們同時為Accellion的客戶。

目前還不知道CL0P勒索軟體在對Accellion客戶的攻擊中起了什麼作用。或是Clop勒索軟體的駭客可能只是在幫助其他攻擊者從而盜竊數據來獲利。另外，CLOP的背後駭客告訴《華爾街日報》，它直接入侵了律師事務所Jones Day的伺服器，並且沒有參與Accellion的攻擊。

Screenshot credit: DataBreaches.net

無論哪種方式，對於Accellion客戶來說都是一個不好的兆頭。本週，新加坡電信，美國科羅拉多大學和澳洲昆士蘭醫學研究組織QIMR Berghofer Medical Research Institute公開披露了其為Accellion檔案傳輸服務漏洞的受害者。

在2020年10月攻擊了德國企業軟體巨頭Software AG ，在11月加密韓國零售巨頭E-Land，勒索了龐大的贖金。

CLOP勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42