施耐德電機證實其永續發展部門遭到勒索軟體攻擊 幕後黑手指向仙人掌勒索軟體

該部門因勒索軟體攻擊導致資料外洩及平台中斷

施耐德電機資源顧問平台上的停用消息

1 月 30 日,根據BleepingComputer報道,能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊,導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門,攻擊擾亂了其部分資源顧問雲端平台,該平台至今仍處於中斷的狀態。據報道,勒索軟體在網路攻擊期間竊取了數TB 的公司數據,並正在威脅該公司,如果不支付贖金,就會洩露被盜的數據。雖然尚不清楚被盜的資料類型,但永續發展業務部門為企業組織提供諮詢服務,就再生能源解決方案提供建議,並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件,該攻擊影響了其資源諮詢產品(永續發展資訊的數據視覺化工具)以及「部門特定系統」。然而,施耐德表示,公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統,也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據,包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而,該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍,截至撰寫本文時,該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱,該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟的TTPs,Photo Credit: Kroll

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標,並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號,它還使用 開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具(例如Splashtop、AnyDesk、SuperOps RMM)來實現遠端訪問,並在  後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限,駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外,仙人掌使用 Rclone 工具進行資料洩露,並使用名為 TotalExec 的 PowerShell 腳本(BlackBasta勒索軟體過去曾使用過該腳本) 來自動部署加密過程。一月初,仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73

駭客利用名為RedDriver的瀏覽器劫持程式,瞄準微軟的中文用戶

Key Points:

*研究人員已識別未被記錄過的惡意驅動程式RedDriver的多個版本,這是一種基於驅動程式的瀏覽器劫持程式,至少從 2021 年起就一直活躍,並使用 Windows 過濾平台 (WFP) 來攔截瀏覽器流量。

*RedDriver 利用 HookSignTool 偽造其簽章時間戳以繞過 Windows 驅動程式簽章策略。

*RedDriver感染鏈的開發中使用了多個開源工具的程式碼,包括 HP-Socket 和 ReflectiveLoader

Photo Credit:思科 Talos

根據資安人員的研究,駭客正利用一種名為RedDriver的工具來針對微軟的中文用戶,該工具允許他們攔截網路瀏覽器流量。思科Talos團隊的表示,他們已經發現了RedDriver的多個版本,他們認為這些版本至少從 2021 年起就已經在使用。研究人員表示,RedDriver的作者似乎擅長驅動程式開發,並且對 Windows 操作系統有深入的了解,驅動程式幫助操作系統與印表機和顯示器等硬體進行通信。研究人員進一步說,從RedDriver只搜索中文瀏覽器進行劫持,可推定這種威脅針對以中文為母語的用戶,此外,RedDriver作者本人很大可能是會說中文的。然而,思科 Talos 並未將 RedDriver 歸咎於特定的駭客組織。

根據研究人員的說法,攻擊始於一個名為DNFClient的惡意檔案-這是一個中國流行的線上遊戲《地下城與勇士》的參考檔案。檔案執行後,就會啟動 RedDriver 的下載,思科將其稱為多階段感染鏈的關鍵組件,最終劫持瀏覽器流量並將其重定向到本地主機。RedDriver 本質上是通過利用被盜憑證偽造簽章時間戳,有效繞過 Windows 內的驅動程序強制策略簽章,使操作系統信任它。據 Talos 稱,這樣的中斷使駭客能夠使用 Windows 過濾平台 (WFP) 攔截瀏覽器流量,該公司表示,它認為目標受害者是中文用戶,因為該惡意軟體包含及谷歌瀏覽器和微軟Edge中文瀏覽器名稱的目標清單。根據Recorded Future News微軟發言人承認該公司最近被告知經微軟 Windows 硬體開發者計劃 (MWHDP) 認證的驅動程式在後期處理中被惡意使用。

微軟確認該活動,但稱“僅限於濫用多個開發者計劃帳戶,並且尚未發現任何微軟帳戶被盜的情況。我們已暫停合作夥伴的賣家賬戶,並對所有報告的惡意驅動程式實施阻止檢測,以幫助保護客戶免受這種威脅。”微軟進一步指出,在趨勢科技和思科 Talos 提供更多報告之前,安全公司 Sophos 的研究人員於 2 月份首次向該公司發出了有關這一情況的警報。微軟還發布了 Windows 安全更新,可以過濾有問題的驅動程式,保護客戶免受惡意使用的合法簽章驅動程式的影響。

思科Talos研究人員表示,他們仍不清楚瀏覽器流量重定向的最終目標,但無論如何,這對任何感染 RedDriver 的系統都是一個重大威脅。在他們的研究中,他們注意到RedDriver的早期版本與網吧使用的軟體打包在一起,因為許多名稱屬於網吧管理軟體、顯卡驅動程式和瀏覽器。Talos表示,中國的網吧成為網路犯罪團體的目標並不罕見,該公司指出,2018 年,中國各地網吧的 10 萬多台電腦曾感染了加密貨幣挖礦惡意軟體,為駭客帶來了超過 80 萬美元的收益。他們補充說,RedDriver 的感染鏈還使用從中文論壇上的貼文複製得來的程,在調查期間發現的所有域名都解析為中國的 IP位址。

研究人員對 RedDriver作者的技巧感到驚嘆,他們表示WFP是一個實施起來很複雜的平台,通常需要豐富的驅動程式開發經驗才能完全理解它,認為RedDriver的作者還展示了對軟體開發生命週期的熟悉或經驗,並指出開發不會當機的惡意驅動程式是多麼困難。

RedDriver的部分入侵指標(Indicator of compromise -IOCs):

0201c2999e723d9bbb8b4df8c41030dd25a12ea39671dce2fe4b084b77c4a0d4

fb29ef2e46335719421b747b23096bc6f98df3dc6cd1c0ff9b9174a3827562d5

f8a1828bc25c8d311e05314ff1da37f9901147a48fbd715e8d1b96c724d71fa0

522b00f45a033c3f7d27a7c0db7dd51dff239fdac56c7a8acf7ff9c542b1e797

ba961c5896b46447cb555dc93f64a78d99da0b2a0a531979545fe7f40279c9c3

24c900024d213549502301c366d18c318887630f04c96bf0a3d6ba74e0df164f

5a13091832ef2fd837c33acb44b97c37d4f1f412f31f093faf0ce83dcd7c314e

9e59eba805c361820d39273337de070efaf2bf804c6ea88bbafc5f63ce3028b1

c96320c7b57adf6f73ceaf2ae68f1661c2bfab9d96ffd820e3cfc191fcdf0a9b

87565ff08a93a8ff41ea932bf55dec8e0c7e79aba036507ea45df9d81cb36105

新型勒索軟體PLAY來襲,揭秘網站首公開,18家受害公司名單中,驚見某台灣上市顯示卡公司疑遭鎖定

PLAY揭秘網站上的受害公司(頁面1)

竣盟科技於11月27日發現PLAY勒索軟體首度公開其揭秘網站PLAY NEWS,PLAY NEWS上已出現18家受害公司,目前只有八家公司名稱和資訊被披露,其餘10家公司名稱尚未公開,然而,受害名單中出現了台灣顯卡大廠的頁面,該大廠近幾來年積極布局智慧醫療領域,提供多元性的醫療解決方案。據觀察,目前該企業的網站運作正常,在公開資訊觀測站上沒有有關資安事件的重訊。但PLAY聲稱已盜取約355GB的數據,並已先公開外洩10GB數據作為入侵的證據,據PLAY稱,如該企業未在14天內付贖金,將發布所有盜來的數據。在外洩的數據中包含了合約,協議,研究數據及敏感資料的檔案,PLAY也在該顯卡大廠頁面中提供download link及密碼供任何人下載使用。

認識PLAY勒索軟體

PLAY勒索軟體於2022年 6 月首次出現,並因加密檔案後的.play副檔名而得名。有趣的是,操作PLAY勒索軟體的背後駭客並沒有像其他典型的勒索軟體一樣提供詳細的勒索信或說明,Play的勒索信異常的短且簡單。PLAY 的ReadMe.txt勒索信不會在每個檔案夾中建立,僅建立在硬碟的根目錄 (C:\) 中,並且只包含“PLAY”一詞和聯繫的Email地址,如下圖顯示:

2022 年 8 月中旬,當一名叫Luis Ernesto Zegarra的記者發現阿根廷科爾多瓦司法機構(Argentina’s Judiciary of Córdoba)受害時,宣布了第一起PLAY勒索軟體公開入侵事件,阿根廷司法部證實了這次

攻擊,並將其描述為有史以來對公共機構最嚴重的攻擊,司法部IT系統斷網及其數據庫被破壞,導致職員們被迫使用筆和紙來建立和處理法院的文件。據悉,PLAY使用常見的Big Game Hunting策略,例如利用保持連線的 SystemBC RAT 和Cobalt Strike的滲透工具,並使用自訂義 PowerShell 腳本和 AdFind 進行枚舉,使用 WinPEAS 進行權限升級,並使用 RDP或SMB 在目標網路內進行橫向移動。

PLAY是如何攻擊?

Play使用被入侵的有效帳戶、暴露的RDP 伺服器和 FortiOS 漏洞 CVE-2018-13379 和 CVE-2020-12812 來獲得對組織網路的初期存取。在獲得存取權限後,開始使用“ lolbins ”二進製檔案,將其用作攻擊的一部分,之後通過群組原則(GPO)在內部網路中分發可執行檔,然後運行任務排程的PsExec 或 wmic,在獲得對內部網路的完全存取權後,他們會使用“.play” 副檔名的加密檔。

值得指出的是,根據研究PLAY是擅長一個採取間歇性加密(Intermittent Encryption)的勒索軟體組織,間歇性加密是通過只加密部分檔案而非所有內容,可加速加密或是毀損資料的程序,也可躲避以統計分析為檢測方式的安全系統。另外, PLAY在常見問題中表示,會在收到贖金的一個小時內刪除盜來的數據及提供解密工具給受害者,然而根據PCrisk 的統計及評估,儘管受害者滿足贖金的要求,但通常不會收到解密數據的必要工具。

PLAY揭秘網站上的FAQ頁面

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55

fc2b98c4f03a246f6564cc778c03f1f9057510efb578ed3e9d8e8b0e5516bd49

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

GIMMICK 是一種新發現的 macOS 植入載體(Implant),由中國國家級駭客組織Storm Cloud 開發,用於針對亞洲各地的組織。2021 年末,資安公司Volexity 研究員調查了他們正在監控的環境中的一次入侵,並發現了有執行 macOS 11.6 (Big Sur) 的作業系統的MacBook Pro,被一種被追踪為GIMMICK的惡意程式感染。研究人員解釋說,他們在過去的調查中發現了相同植入載體,但都是針對Windows版本的電腦而來,專家們並將此次針對macOS用戶的攻擊歸因於中國國家級駭客Storm Cloud,Storm Cloud被認為是一組進階且多才多藝的駭客組織,擅長調整其工具集以匹配其目標使用的不同操作系統。

Photo Credit: Volexity

macOS版的惡意軟體GIMMICK主要使用 Objective C 編寫,而Windows版本則同時使用 .NET 和 Delphi編寫。但兩者使用的C2架構、檔案路徑、攻擊模式相同,且濫用 C2 的公有雲託管服務(例如 Google Drive)來逃避檢測。部署後,GIMMICK可以作為守護程式啟動,也可以以客製化應用程式的形式啟動,並旨在模擬目標用戶經常啟動的程式。該惡意軟體被配置為僅在工作日與其基於 Google Drive 的 C2 伺服器進行通信,以進一步融入目標環境中的網路流量。

更重要的是,後門除了從C2伺服器檢索任意檔案和執行命令外,還具有自我解除安裝功能,使其能夠從受感染的機器中自我刪除。

為了保護用戶免受惡意軟體的侵害,Apple 已於2022 年 3 月 17 日為其內置的反惡意軟體保護套件 XProtect發布了新特徵碼,以通過其惡意軟體刪除工具(Malware Removal Tool – MRT)攔截和刪除感染。

研究員總結分析說,將這種惡意軟體移植並使其系統適應新的操作系統 (macOS) 所涉及的開發並非易事,這表明其惡意軟體的背後參與者資源充足、熟練且多才多藝。

有關GIMMICK的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f

SHA 1:

fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8

MD5:

943c3743f72f06e58e60fa147481db83

美國安局(NSA)的頂級後門Bvp47被中國研究員曝光,10年來已入侵45個國家和地區,涉及287個組織

該頂級後門程式是由國安局旗下菁英駭客組織方程式(Equation Group)所打造的

Photo Credit: Pangu Lab

本週三(23日),來自中國盤古實驗室(Pangu Lab)的一組研究員發表了一份長達 56頁的報告,披露了一種頂級後門程式技術細節和攻擊組織關聯的詳細介紹,該後門被追踪為 Bvp47,用於入侵後監視並控制受害組織網路,據稱是由隸屬於美國國家安全局(National Security Agency-NSA)的一流駭客組織Equation Group所打造的。揭露此後門的中國盤古實驗室以iPhone 越獄技術(JailBreak)而聞名,去年曾以一項iOS漏洞在中國大型駭客大賽天府杯上贏得了30 萬美元。

該後門是在2013年研究員在中國某重點部門的主機進行深入取證調查期間從Linux系統中提取的,經研究發現這個後門程式需要與主機綁定的驗證碼才能正常運行,隨後研究人員又破解了驗證碼,並成功運行了這個後門程式,從部分行為功能上斷定這是一個頂級的後門程式,但是進一步調查需要攻擊者的非對稱加密私鑰才能啟動遠控功能,至此研究人員的調查受阻,並以基於樣本中最常見的字串“ Bvp ”和加密演算法中使用的數值“0x47”,稱該後門為Bvp47。

駭客組織The Shadow Brokers於2016 年和 2017 年先後洩露了一系列據稱從 Equation Group 竊取來的駭客工具和數據。2016 年 10 月末,在駭客洩露的檔案中,發現包含被 NSA旗下組織 Equation Group入侵的伺服器清單,盤古實驗室的研究員也在 The Shadow Brokers 洩露的數據中發現了可啟動Bvp47頂級後門的非對稱加密私鑰的檔案。根據洩露的數據,Equation Group 在 10 年來,在俄羅斯、日本、西班牙、德國、意大利等 45 個國家成功入侵了超過 287 個目標。該組織針對的目標,包括政府、電信、航空航天、能源、金融機構、核研究、石油和天然氣、軍事、運輸和開發加密技術的公司等。

盤古實驗室已將涉及利用Bvp47後門攻擊的活動稱為電幕行動(Operation Telescreen),並稱該後門包含 rootkit、繞過安全功能、反鑑識、自毀設計和其他功能等,旨在允許Equation Group實現對受感染設備的長期控制,窺視被入侵機構的內部網路系統。根據技術分析,後門可以攻擊包括Linux系統、AIX、Solaris、SUN等在內所有作業系統,研究員認為該後門設計精良、架構靈活、功能強大且適用廣泛,能在隱蔽的控制下毫不費力地收集數據,若搭配上零時差漏洞更能使它的網路攻擊力勢不可擋,可讓Equation Group在各國的網路對抗中處於絕對的主導地位。

該實驗室的報告,除了對Bvp47 的技術描述外,還包括強調惡意後門、Equation Group和 美國NSA 之間的關聯,欲了解更多,您可以按此下載

有關Bvp47的部分入侵指標(Indicator of compromise -IOCs):

MD5:

58b6696496450f254b1423ea018716dc

SHA 256:

7989032a5a2baece889100c4cfeca81f1da1241ab47365dad89107e417ce7bac

SHA 1:

ad0197db424b35314a479552875e18893a4ba95a

hostname:

vsn1radius1.vsn1.net.in

ultra10.nanya.edu.tw

win.hallym.ac.kr

www.nursat.kz

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

汽車零件供應商巨頭日本Denso(電裝公司),疑遭新型勒索軟體Rook入侵, 駭客稱已盜1.1TB數據

12月27日,新型勒索軟體Rook在其揭秘網站宣稱已攻陷日本最大、世界第二大汽車零部件供應商Denso,並竊得1.1TB資料,目前這個操作Rook的背後駭客並未透露更多細節,所以無法得知贖金金額,或駭客給予Denso多久的交涉時間等。

名為 Rook 的新型勒索軟體,前不久才浮出水面,於 11月26日首次在VirusTotal發現其樣本,Rook勒索軟體的背後駭客在其揭秘網站的直白簡介,引起資安界的關注,Rook稱他們迫切需要大量的錢並吹噓一定能滲透目標系統,Rook於 11 月 30 日宣布第一個受害者為一家哈薩克的銀行Zilstroysber Bank。除了加密該組織的檔案外,Rook還竊取了大約1123GB 的數據,用於敲詐勒索。

據了解,Rook勒索軟體是通過第三方滲透框架Cobalt Strike散布的,並使用UPX、VMProtect封裝 ,根據 SentinelOne研究人員表示,也觀察到挾帶了 Rook的網路釣魚電子郵件。一旦Rook在受害者的機器上執行,惡意軟體會嘗試終止所有可能阻礙加密過程的進程。攻擊者還試圖禁用安全產品,以及刪除卷影副本,以防止受害者恢復他們的數據。在加密過程中,勒索軟體會將 .ROOK 的副檔名附加到加密文件中,一旦該過程完成,它會從機器中自我刪除。另外,由於Rook 使用與Babuk勒索軟體相同的 API 調用來檢索每個正在運行的服務的名稱和狀態,並使用相同的函數來終止它們。研究人員相信Rook是來自Babuk勒索軟體的最新產物,據信,是以Babuk原始碼修改而成的新勒索軟體,而該原始碼源於 6月在俄語論壇上洩露的,專家普遍認為之後也會陸續有其他新型勒索軟體的出現,因此企業應準備好有可靠的網路防禦和定期的備份。

Rook勒索軟體的IOCs:

SHA1

104d9e31e34ba8517f701552594f1fc167550964

19ce538b2597da454abf835cff676c28b8eb66f7

36de7997949ac3b93b4b88600

SHA256

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789

c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac

96f7df1c984c1753289600f7f373f3a98a4f09f82acc1be8ecfd5790763a355b

新型殭屍網路Abcbot鎖定中國雲端供應商,會是日後DDoS攻擊的信號嗎?!

惡意指令列腳本(shell script)以騰訊、百度和阿里雲、華為雲等的雲端伺服器為目標,旨在消除其他競爭惡意軟體並連接到Abcbot殭屍網路。

資安研究人員發現了一個新的惡意軟體殭屍網路,在過去幾個月中,它專門針對中國雲端託管服務提供商的基礎設施。資安公司Cado Security 在今天的一份報告中表示,名為 Abcbot的殭屍網路的目標是阿里雲、百度、騰訊和華為雲等公司託管的伺服器,而這報告正與TrendMicro和奇360 Netlab之前的調查結果相呼應 。

CADO資安研究員Matt Muir表示,不論是華為雲,騰訊雲和百度雲等新一代雲端供應商都沒有像AWS的發展成熟。Muri進一步解釋,AWS的發展其中包括一個示警機制,即如果以不安全的方式部署雲端instance時,即會自動產生警報。

研究員表示,Abcbot殭屍網路的攻擊通常針對這些公司託管的 Linux 伺服器,這些伺服器使用弱密碼保護或運行未修補的應用程式。根據 Cado Security的說法,在找到初始入口點後,Abcbot會部署一個 Linux bash 腳本,該腳本禁用 SELinux 安全保護,為攻擊者建立一個後門,然後掃描受感染的主機以查找其他惡意軟體殭屍網路的跡象。有趣的是,如發現競爭的惡意軟體,Abcbot 會终止已知與其他殭屍網路相關的進程以及與加密挖操作相關的進程。Abcbot還採取了其他殭屍網路未曾見過的步驟,即刪除SSH密鑰,僅保留自己的密鑰。

研究員說從對這個指令列腳本的分析中可以明顯看出,Abcbot 背後的威脅參與者投入了大量資金,以保持他們對雲端安全威脅形勢的了解。該惡意軟體包含從主機中刪除加密挖礦和以雲為中心的惡意軟體的特定命令,例如 WatchDog 和 Kinsing。研究還指出,攻擊者針對和騰訊使用的監控解決方案,指向駭客針對特定雲端供應商。Cado研究人員分析的Abcbot樣本包含將受感染系統進行圍堵的功能, TrendMicro分析的Abcbot樣本有包括用於加密貨幣挖礦的模組,Netlab 分析的樣本有包括用於 DDoS 攻擊的功能。

研究人員綜合Abcbot採取的步驟和功能,認為其最終目的是為攻擊者創造加密貨幣的利潤。目前Abcbot殭屍網路的規模仍然未知,但相信鑒於惡意軟體針對特定的雲端供應商,這表明傳播有限。但認為Abcbot的不斷發展,可用於在未來發動DDoS攻擊。

殭屍網路(Botnet)也稱機器人網路(RobotNetwork),病毒通常會隨著 e-mail、即時通訊軟體或電腦系統漏洞,入侵電腦,再藏身於任何一個程式裡。

殭屍網路與木馬程式的使用方式相仿,但木馬只會攻擊特定目標,較不會藉由被植入木馬的電腦主機,再去攻擊其他電腦。 反觀殭屍網路不但會攻擊其他電腦,且具有蠕蟲的特性,會慢慢在網路空間中爬行,一遇到有漏洞的電腦主機,就自行展開攻擊。

Abcbot 殭屍網路的入侵指標(Indicator of compromise -IOCs):

SHA256:
56d677ed192b5010aa780d09c23b8ee8fdff94d39b20a07c7de76705e5f8c51f
22b521f8d605635e1082f3f33a993979c37470fe2980956064aa4917ea1b28d5
IPs:
http://103[.]209[.]103[.]16:26800/ff.sh
http://103[.]209[.]103[.]16:26800/xlinux

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

11月30日,在勒索軟體Snatch的揭秘網站上,發布了富豪汽車Volvo Car頁面,表示Snatch已經攻擊了上市汽車公司Volvo,但Snatch沒有公開透露有關盜來數據容量的大小,目前也不清楚勒索的金額。

據了解,Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體,Snatch於2019年4 月開始活躍,大量發動攻擊,隨後於2020 年突然消失,但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密,以躲避防毒軟體的偵測的勒索軟體,Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊,透過暴力破解,利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路,之後會收集該企業相關的重要敏感資訊,上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄,可見自11月25日以來已有12名受害者,除了Volvo Cars外,還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導,在流出的螢幕截圖中,可看到富豪汽車虛擬的3D 建模檔案,然而富豪汽車沒有證實,或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道:“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論,但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721

研究人員在華為的AppGallery中發現了190 多款包含Android.Cynos.7.origin木馬的遊戲,約930萬部Android手機受感染

安裝量超過 2,000,000 次的 “快點躲起來”遊戲
#drweb
安裝量超過 427,000 次的“Cat adventures”遊戲:

大約930個 Android木馬偽裝成190多個不同的應用程式,上架在華為 AppGallery,並已被大量下載作,成為大規模惡意軟體活動。俄羅斯防毒公司Dr. Web的報告,已將該木馬識別為Android.Cynos.7.origin,用途在收集的用戶敏感數據,該木馬程式為 Cynos惡意軟體的變種。

目前Dr.Web已經將此發現和報告通報給華為,並協助華為從他們的AppGallery中刪除了檢測到的應用程式,但在Android手機上已安裝應用程式的用戶還是需要手動進行刪除。

據了解在Android應用程式中,攻擊者將他們的惡意軟體偽裝成模擬器、街機遊戲、平台遊戲、RTS 策略遊戲以及分別為俄語、中文與國際用戶推出的射擊遊戲,受惡意軟體感染的熱門遊戲包括 Drive school 或 Cat Adventures等。在安裝這些應用程式後木馬的攻擊性就顯現出來,例如它會請求允許執行與遊戲無關的活動,撥打電話、偵測使用者位置等。該惡意軟體還允許攻擊者竊取以下數據:

電話號碼

地理位置數據

WiFi 網路的詳細資訊

行動網路參數和標識符

電話硬體和軟體規格

Dr.Web研究人員,乍一看,手機號碼外洩似乎是一個微不足道的問題。然而,實際上,它會嚴重傷害用戶,特別是考慮到兒童是遊戲的主要目標受眾。即使手機號碼是成人註冊的,但從下載的遊戲也很可能表明孩子是實際使用手機的人。值得思考的是,父母是否希望上述手機數據不僅傳到未知的外國伺服器,或發送到任何外人上。

此處提供了Dr.Web 歸類為感染了Cynos惡意軟體版本的所有遊戲

入侵指標(Indicator of compromise -IOCs):

URL | App name | Package name | SHA-1

http://appgallery.huawei.com/#/app/C102937601 | 3D City Hunting | com.sns.csls3d.huawei | 8b1de0c1fdea45ff8f4ae250307c0a8f69c3d426

http://appgallery.huawei.com/#/app/C103277985 | 3D Cartoon man Parkour | com.szlh.zhebushikualan.huawei | f70f195fd9deffbde2ee812c93b327d07e18443f

http://appgallery.huawei.com/#/app/C103662071 | 3D City Wild Racing | com.zjld.tejimotuoche.huawei | fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d

http://appgallery.huawei.com/#/app/C104481373 | 3d Man action run | com.zjld.zbsklmar.huawei | e6024ce99966f4ecaff0efdae7781d9d448b2c79

http://appgallery.huawei.com/#/app/C104633441 | Ace of sky hero | com.hsrj.zhandoujiash.huawei | e5ed0eda9513f41b5c9ebd7b14529180a4e5d822

http://appgallery.huawei.com/#/app/C104684815 | Acrobatics diving training | com.zjld.xytsadt.huawei | d4c1b4b2a65279b768338f2c0d12b695572b101b

http://appgallery.huawei.com/#/app/C103622351 | Adventures of Magical Girl | com.yly.mengdongjielong.huawei | 532b2d05f528ee68a1f89d02fa2477a8fac7c88b

http://appgallery.huawei.com/#/app/C104374449 | Airplane master | com.hxy.fzfjam.huawei | fec03ced8741a8241fcb5f272ede566a634ba539

http://appgallery.huawei.com/#/app/C103616693 | All-Star Basketball Championship  com.cchl.guanlandazuozhan.huawei | f4b9517b19f8c4cee7295f653dca4af8f9e62a13

http://appgallery.huawei.com/#/app/C103768237 | almighty carry company | com.ccsk.quannenglaosiji.huawei | d4a1e722adda57f72f9daafdfd338630b48ae55f

http://appgallery.huawei.com/#/app/C104284813 | Ancient escape | com.yly.ywscae.huawei | 5599dfea0b274e4edbfdabad72d68e271b99e72d

http://appgallery.huawei.com/#/app/C103895857 | Anti-terrorism actions | com.xstk.csata.huawei | aeb5f642538bfdf6b2a8eb5cf3214035a634506f

http://appgallery.huawei.com/#/app/C103562987 | Anti-terrorist police battle | com.sns.qingsongduobi.huawei | b1112a4847c4006f126f0a5ab08b191df039adb7

http://appgallery.huawei.com/#/app/C103623983 | Ants survive in the wilderness | com.cchl.mayishengcunmoniqi.huawei | fb1b5402a51ebc00b17670d6e6b49dba28d36704

http://appgallery.huawei.com/#/app/C103171043 | Armed air attack at sea | com.zjld.jisulingyun.huawei | f05119b12fc28aca89f48b5a939d6e1928c04bc6

http://appgallery.huawei.com/#/app/C103562027 | Armed escort prisoners | com.hs.wuzhuangyajieqiufan.huawei | 7bf6516b2176363de9d7a7993445ede9f697260d

http://appgallery.huawei.com/#/app/C104457167 | Armed shooting raid | com.hxy.csasr.huawei | c4f1405bba22826a69e94ef20763cb664bc3b44c

http://appgallery.huawei.com/#/app/C103233993 | Armed zombie Tower Defense | com.cchl.baoweixiangrikui.huawei | c30291b34ec74128196612b0a80034424de2ea67

http://appgallery.huawei.com/#/app/C104338383 | Army car transport prisoners | com.sns.wzyjqfactp.huawei | f56151b7fd4096f73574717075f6c08e32ff4765

http://appgallery.huawei.com/#/app/C104661821 | Assassination Sniper | com.xstk.yjbzas.huawei | fca6cb15168ac7b256da4bbb442cf93050981b61

http://appgallery.huawei.com/#/app/C104338933 | Assassination time 3D | com.hsrj.yjbzat.huawei | 78e48efac48d7ed9ea53a7a7df294da0a97de066

http://appgallery.huawei.com/#/app/C104143713 | Battle of tanks | com.zjld.xintankebot.huawei | c80fee5ffccf9ce85ff15b7d085d700ae70aef98

http://appgallery.huawei.com/#/app/C104694107 | Battlefield assault team | com.yly.csbat.huawei | 4a4abab1e69ef629c1c622fd3be280c013e4e9fd

http://appgallery.huawei.com/#/app/C104173375 | Beach ambulance | com.hsrj.htjydba.huawei | b860d5303d8921fed08c5e374483ac127ee2385e

http://appgallery.huawei.com/#/app/C104735997 | Beach Emergency team | com.cchl.htyjxz.huawei | b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1

http://appgallery.huawei.com/#/app/C104516919 | Beach rescue driving | com.sns.htjydbrd.huawei | 38ab82696f45fdf52c04d3ba760e8b752b07df6d

http://appgallery.huawei.com/#/app/C104151447 | Beat the buddy | com.szlh.mtcrbtb.huawei | a4dbe44e0cbef5db32651050189848e9207e28ed

http://appgallery.huawei.com/#/app/C103162445 | Brave Ninja saves Princess | com.zjld.jiantoudaren.huawei | 1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb

http://appgallery.huawei.com/#/app/C104859673 | Bumper Car Arena | com.hsrj.debibca.huawei | 81ae7a0fac2f385b2984669356d92cf7e807fbb7

http://appgallery.huawei.com/#/app/C104621857 | Busy road driving | com.cchl.jyztcbrd.huawei | 7795827b9feb3e6d8a86f30a48686d3fe816ab30

http://appgallery.huawei.com/#/app/C104276919 | Car battle ground | com.xstk.kbphwcng.huawei | 6c748786e3d18321b7e2f6c64b578ecb310d5b82

http://appgallery.huawei.com/#/app/C103920731 | Car destruction war | com.yly.kbphwcdw.huawei | 195bad41d7c0cee3a388ec072353e9b62c923c67

http://appgallery.huawei.com/#/app/C103920329 | Car drive master | com.zjld.jcddcdm.huawei | 664e47cebb0464339d5e75efb4279c1fa86e131a

http://appgallery.huawei.com/#/app/C103955065 | Car merge shooting | com.szlh.xxlpdcms.huawei | f57efc2ee390c43d42dde0e6dde81a2c5dd1958b

http://appgallery.huawei.com/#/app/C104402277 | Car shooting defend war | com.yly.xxlpdcsdw.huawei | 6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72

http://appgallery.huawei.com/#/app/C104114723 | Cat adventures | com.hxy.xmlxjca.huawei | 18558dca2734d6b098d91d570e0ca13623e0a851

http://appgallery.huawei.com/#/app/C104415377 | Cat cute diary | com.szlh.xmlxjccd.huawei | aa2f1784fe24b564fdeb577a340d439661db1571

http://appgallery.huawei.com/#/app/C103823729 | Cat game room | com.hs.xiaomaolixianji.huawei | 79ddb48ac25eb392c9e92dc44d32bbc522e19fae

http://appgallery.huawei.com/#/app/C104429049 | City car parking test | com.sns.jyztcccpt.huawei | 30abca107e63b3858bc661f27e2ab56ee3fbb471

擁槍團體美國全國步槍協會,遭Grief勒索軟體入侵

10 月 28 日,據美國NBC新聞報導,操作Grief勒索軟體的俄羅斯駭客組織聲稱已經成功入侵了美國全國步槍協會 (NRA),週三在其揭秘網站上發布了來自全國步槍協會數據庫的13 個檔案,威脅說如果不支付贖金,就會發布敏感資訊。美國全國步槍協會( National Rifle Association ; NRA ; 簡稱美國槍會 )是美國最大規模的槍械組織,有超過五百萬名會員,美國槍會積極參加美國當地的政治活動,具有重大政治影響力。目前尚不清楚 Grief是否攻擊了美國槍會的一個較小的分支機構,或是攻擊了的中央網路。

Grief勒索軟體揭秘網站

根據消息人士,美國槍會沒有回應 NBC 就此次駭客事件發表評論的請求,但據報導,美國槍會只稱是它們的電子郵件系統遇到了技術問題。隨後,美國槍會在Twitter一條推文中表示,它們不討論是其實體或電子安全相關的問題,並補充說它們採取非常措施來保護會員和捐助者的資料。

近年來,針對各種公司和組織的勒索軟體攻擊激增,但很少有像美國槍會那樣具有政治敏感性的目標。該組織長期以來一直與美國共和黨高層立法者保持密切聯繫,並且一直是共和黨候選人的主要支持者。全國步槍協會在過去兩次總統選舉中花費了數千萬美元幫Donald Trump助選。

BleepingComputer,Grief 勒索軟體與名為 Evil Corp. 的俄羅斯駭客組織有關,Evil Corp 自 2009 年以來一直活躍,並參與了許多惡意網路活動,包括分發Dridex木馬以竊取網上銀行憑證和竊取資金。

駭客組織在 2017 年轉向勒索軟體,當時他們發布了名為 BitPaymer 的勒索軟體。BitPaymer 後來在 2019 年演變為 DoppelPaymer 勒索軟體操作。

在多年攻擊美國利益後,美國司法部指控 Evil Corp 成員竊取超過 1 億美元,並將該駭客組織列入外國資產控制辦公室 (OFAC) 制裁名單。

不久之後,美國財政部隨後警告說, 勒索軟體談判人員可能會因協助向制裁名單上的駭客組織支付贖金而面臨民事處罰。

從那時起,Evil Corp 就經常以不同的名稱發布新的勒索軟體,以逃避美國的制裁。這些勒索軟體系列包括 WastedLocker、  Hades、  Phoenix CryptoLocker、  PayLoadBin,以及最近的 Macaw Locker。然而,他們最初的勒索軟體 DoppelPaymer 以相同的名稱運作了多年,直到 2021 年 5 月,他們停止在揭秘網站點上列出新的受害者。

一個月後,Grief 勒索軟體出現了,基於程式碼的相似性資安研究人員認為這是DoppelPaymer 的品牌重塑。

有關Grief勒索軟體的入侵指標Indicators of compromise (IOCs):

SHA256 :

b5c188e82a1dad02f71fcb40783cd8b910ba886acee12f7f74c73ed310709cd2

91e310cf795dabd8c51d1061ac78662c5bf4cfd277c732385a82f181e8c29556

dda4598f29a033d2ec4f89f4ae687e12b927272462d25ca1b8dec4dc0acb1bec

0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0

b21ad8622623ce4bcdbf8c5794ef93e2fb6c46cd202d70dbeb088ea6ca4ff9c8