FBI 針對勒索軟體會員(Ransomware affiliate )首次發出警報,直接點名”OnePercent Group”

美國聯邦調查局(Federal Bureau of Investigation;FBI) 在8月23日,針對勒索軟體會員的作案手法發布了其首個公開警報(警報編號為CU-000149-MW的FBI Flash )。勒索軟體會員(Ransomware affiliate) 一個相對較新的術語,是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。

美國聯邦調查局點名的勒索軟體會員為”OnePercent Group”,FBI表示該團體至少自 2020 年 11 月以來一直活躍,積極針對組織進行勒索軟體攻擊。根據 FBI 警報,該團體主要依靠以下策略進行攻擊:

*利用網路釣魚電子郵件活動用 IcedID 木馬感染受害者。

*利用 IcedID 木馬在受感染的網路上部署額外的payloads。

*利用 Cobalt Strike 滲透工具在受害者的網路中橫向移動。

*利用 Rclone 從受害者的伺服器中竊取敏感數據。

*加密數據並要求贖金。

*給受害者打電話或發電子郵件威脅說,如果他們不付款,就會在暗網上出售他們被盜的數據。

OnePercent Group是知名勒索軟體REvil、Maze 和 Egregor 的會員

雖然 FBI 沒有指出OnePercent Group哪一個勒索軟體的會員,但根據業內人士的消息,OnePercent Group與運作 REvil (Sodinokibi) 勒索軟體的駭客有長期合作,並且還與 Maze和 Egregor合作。雖然 FBI 沒有提供有關 OnePercent Group 過去攻擊的任何資訊,但 FBI 的 IOC 列表中提到的兩個C2伺服器(golddisco[.]top 和 june85[.]cyou)也出現在 FireEye 關於 UNC2198 駭客組織的報告中,該駭客組織利用IcedID 部署了 Maze 和 Egregor 勒索軟體。

有關 OnePercent Group的入侵指標(Indicator of compromise -IOCs):

Onion Domain:

5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad.onion

IPs and Domains

157.245.239.187

31.187.64.199

206.189.227.145

167.71.224.39

80.82.67.221

138.197.179.153

134.209.203.30

nix1.xyz

golddisco.top

delokijio.pw

june85.cyou

intensemisha.cyou

biggarderoub.cyou

d30qpb9e10re4o.cloudfront.net

SHA256

Rclone.exe (64 bit)

ECA9FAC6848545FF9386176773810F96323FEFF0D575C4B6E1C55F

8DB842E7FE

SHA1

Rclone.exe (64 bit)

C00CFB456FC6AF0376FBEA877B742594C443DF97

SHA256

Rclone.exe (32 bit)

E70ED531C8A12E7ECCE83223D7B9AA1895110DC140EDF85AFC31C

8C5CD580116

SHA1

Rclone.exe (32 bit)

A1D985E13C07EDDFA2721B14F7C9F869B0D733C9

TOR URL: http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty

3zad. Onion

APT駭客組織利用未修補的Fortinet VPN漏洞入侵了美國地方政府的網路,FBI再次發出有關Fortinet漏洞的警告

5月27日美國聯邦調查局(FBI)繼續警告進階持續性威脅(APT)的駭客組織積極地鎖定Fortinet VPN漏洞發起攻擊。FBI最新版本的警告,在2021年5月檢測到APT駭客入侵了美國某當地政府的網路,駭客組織利用了一個Fortigate設備來存取託管在美國市政府網域的網路伺服器, FBI又指出,發起攻擊的APT駭客通過建立了名為 elie 和 WADGUtilityAccount的後門帳戶對網路進行了惡意攻擊包含收集和竊取數據,後門帳戶用於從受感染的Fortinet VPN設備進一步轉到受害人的內部網路。當駭客獲得受害者內部網路的存取權限,他們會建立更多的後門帳戶,以便之後在其他系統如網域控制器,伺服器,工作站和AD獲得存取權限。

此次攻擊的駭客正是開採FBI和CISA在4月曾示警的Fortinet軟體漏洞來發起攻擊,使用了以下三個已知漏洞:

CVE-2018-1337­(允許駭客解讀系統檔案,進而發現儲存的明文密碼,再登入系統)

CVE-2020-12812 (讓駭客在子網域下設立假LDAP伺服器來攔截重要資訊)

CVE-2019-5591 (讓駭客繞過多因素驗證和主系統建立SSL VPN連線)

FBI再次敦促組織修補他們的Fortinet設備,希望通過這次受害實體的事件,組織能比以往更加認真地看待他們發出的警告。