LockBit 勒索軟體集團聲稱對多倫多教育局 (TDSB) 發動攻擊

多倫多教育局Toronto District School Board (TDSB) 是加拿大最大的公立教育局

Photo Credit: CBC News

日前 LockBit 勒索軟體集團聲稱對加拿大最大的地區教育局多倫多教育局 (TDSB) 發動攻擊,同時間當局也確認這個發生於今年 6 月的攻擊事件,造成 2023/2024 學年度學生的個人資訊受到侵害,確切受到影響的學生人數尚不明朗。

多倫多教育局 (TDSB) 是加拿大最大的地區教育局,共計有 582 所學校和大約 235,000 名學生。6月的時候,教育局通知學生家長,其技術部門使用的測試系統有偵測到未經授權的活動。此測試環境與教育局的官方網路是分隔開的。當發現異常後,TDSB 的資安團隊迅速採取相應措施,以確保資料安全並保護重要系統。

遭到洩露的學生資訊包含了姓名、學校名稱、年級、TDSB 電子郵件地址、TDSB 學號和出生月份/ 日期等。

儘管 TDSB 的資安團隊和外部專家將此次事件對學生所造成的風險評估為“低”,並且據報導遭駭資料當時並沒有被公開,後來LockBit 勒索軟體集團聲稱參與此次攻擊事件,並且要求於兩週內支付贖金。

TDSB 表示,並不知道學生資料是否在明網和暗網上公開揭露。不過TDSB 立即採取了應對措施,像是隔離並確保受影響的系統安全、斷開測試環境、加強資訊安全措施以及通知執法部門等。多倫多教育局同時也向安大略省資訊和隱私專員公署通報了這起事件。

研究人員 Dominic Alvieri 報告中稱,Lockbit勒索軟體集團聲稱對多倫多地區教育局的攻擊事件負責,並且威脅如果教育局沒有在 2 週內支付贖金,將會洩露遭竊資料。然而,這個惡名昭彰的勒索軟體組織另外也聲稱對其他企業或組織發動了數十次的攻擊,但該組織發布的一些公告顯然是錯誤滿篇,其中有些其實是其他勒索軟體集團過去公布的資料外洩事件。

近幾個月來,加拿大境內陸續遭受到多起網路安全事件的打擊,政府網路和私人企業都感受到了強烈的衝擊。

今年4 月 28 日,總公司位於加拿大卑詩省 (British Columbia) 的知名零售和藥局連鎖商店London Drugs宣布,由於遭遇到嚴重的網路侵襲,被迫暫時關閉遍布於加拿大西部的商店。這次的攻擊事件非常嚴重,導致電話線路中斷,連鎖藥局只能於實體店面現場針對有「緊急」需求的病患提供服務。

同時期發生的,還有卑詩省圖書館 (BC Libraries) 通報了一起單獨的網路攻擊事件,一名駭客從剛上線運行的伺服器中竊取資料後試圖勒索贖金,並威脅道如果無法滿足其要求就要公開相關資訊。

7 月底,兩名外國籍人士 Ruslan Magomedovich Astamirov 和 Mikhail Vasiliev在紐華克聯邦法院 (Newark federal court) 認罪,承認他們在LockBit勒索軟體 行動中所擔任的角色。 LockBit 勒索軟體行動自 2020 年 1 月以來一直十分活躍,該組織陸續攻擊了超過 2,500 個受害機構,範圍跨越120 個國家,其中美國境內就有 1,800 個機構遭受過其攻擊。

LockBit勒索軟體組織的攻擊目標涵蓋了個人、企業、醫院、學校和政府機構等。該組織一路以來收取了共計約 5 億美元的贖金,另外更造成了數十億美元連帶相關的經濟損失。

LockBit勒索軟體相關的部分的入侵指標(IOCs):

54d67710488b0e50ae015dbcadf9fb24
5a07502eb5e854aa8bd883453fc9decb
9c15aac2f31dd9e1e8d64cf8f04ea5d6
be8bf725892ddd7a200d0a1906b9387f
1f5638cf71fac8d51253360b4537b074292e70ff
28d09d35d3e5a8490ef4a4ebaa36262fa411afba
582a24a72b29e70f2de26a8d217492c7a6b983ff
78f3d5588a75efbe6a272c1f1a789d20e0ccd0c3
aaeeb05a24f6e7ef77d46ba71794490afbc414ab
166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980

RansomHub再度入侵上市企業 台灣知名日系電機廠商機敏資料疑遭竊

RansomHub勒索軟體組織宣稱竊取總計500 GB的資料,其中包括產品設計圖

竣盟科技 日前發現RansomHub勒索軟體集團攻擊台灣某大出版廠商之後,台灣老牌日系電機廠商又驚傳成為RansomHub的攻擊目標。

據勒索軟體集團暗網所洩資料,其中包含該台灣電機廠商的10張產品設計圖及廠房圖紙等。相關資料亦透露這次駭客行動所竊之資料達500 GB,另外勒索軟體集團指定的贖金期限為9月9日。

RansomHub 是今年初才興起的勒索軟體集團,然而崛起之勢非常驚人,台灣陸續受到波及的企業就有三家,前後包括知名上市公司藍天電腦、某大教科書/出版廠商,以及這次的日系電機廠商,情勢不容小覷。

自2024 年2 月開始活動以來,RansomHub 已加密並竊取了至少210 個受害企業組織的資料,這些受害單位包括用水和汙水處理、資訊產業、政府單位、醫療保健和公共衛生機構、緊急服務、糧食和農業、金融服務機構、商業設施、製造業、運輸和通訊等重要基礎設施領域。

根據美國網路安全暨基礎設施安全局CISA 於8月29日發布的資料,RansomHub 隸屬團體通常會使用網路釣魚電子郵件 [ T1566 ]、利用已知漏洞 [ T1190 ] 和密碼噴灑攻擊 (Password spraying) [ T1110.003 ]等方法來侵害對向網際網路系統 (internet facing systems) 和使用者端點。而密碼噴灑攻擊的目的是侵入鎖定之帳戶,然後進一步造成資料外洩。

也發現RansomHub集團使用AngryIPScanner、Nmap等工具進行網路掃描,還有一種利用所謂living off the land (利用受害電腦裡現成的工具,來執行攻擊行動的有關任務)攻擊手法,是透過PowerShell來執行網路掃描[ T1018 ][ T1046 ][ T1059.001 ]。

自今年年初以來,RansomHub 聲稱已成功駭入包括美國非營利信用合作社Patelco、連鎖藥局Rite Aid佳士得拍賣行、美國電信商Frontier Communications和石油產業巨擘哈里伯頓等公司。Frontier Communications 隨後也發出通知警告共計超過 75 萬名客戶,他們的個人資訊因這次事件而遭到外洩。

FBI、CISA、跨州資訊共享和分析中心 (MS-ISAC) 以及衛生及公共服務部 (HHS) 發布的聯合公告也證實,網路攻擊者是以雙重勒索的方式展開攻擊行動。

這些聯邦政府機構建議,企業組織應該優先致力於修補已經被利用的漏洞,並且針對網路郵件、虛擬私人網路 (VPN) 和連結到重要系統的帳戶都要使用高強度密碼和多因子驗證 (MFA)。同時也建議保持軟體更新並執行弱點掃描,並將其作為資訊安全規範的標準程序。

聯邦機構補充道:「不鼓勵受害企業支付贖金,因為支付贖金並不能保證受害者的檔案資料會完全復原。」

「除此之外,支付贖金還可能促使駭客集團更大膽地去對其他企業組織發動攻擊,同時也間接鼓勵其他網路犯罪者去參與勒索軟體的散布或是資助這類非法活動。」

RansomHub勒索軟體相關的部分的入侵指標(IOCs):

34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7
a96a0ba7998a6956c8073b6eff9306398cc03fb9866e4cabf0810a69bb2a43b2
e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23
ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00
fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e

勒索軟體 RansomHub 再度來襲,台灣知名教科書大廠成為目標

勒索軟體RansomHub日前攻擊台灣某大教科書/出版廠商

Photo Credit: RansomHub Dark Web

竣盟科技近日於勒索軟體RansomHub的揭秘網站發現,台灣某大教科書/出版廠商成為勒索軟體RansomHub 的攻擊目標,被駭資料共計425GB。

這並不是RansomHub第一次對台灣企業廠商發動攻擊。2024年6月,臺灣上市公司藍天電腦傳出遭到勒索軟體攻擊的消息,當時勒索軟體集團RansomHub聲稱他們竊取了藍天電腦200 GB的資料,並公布屬於該公司的10份文件,此外攻擊者表示他們是透過網路釣魚的手法侵入系統。

RansomHub 是一個相對較新的勒索軟體集團,被認為是 Knight 勒索軟體的繼任者。該組織在 2024 年 2 月浮出檯面後,迅速在網路威脅領域崛起,並引發相當大的關注。

一般相信,RansomHub 發源於俄羅斯,採用勒索軟體即服務(RaaS)的模式進行運作,這種商業模式讓合作夥伴可獲得高達 90% 的贖金收入,而剩下的 10% 則歸該集團所有。RansomHub 的攻擊目標遍及全球,包括美國、巴西、印尼和越南等國,且攻擊模式靈活多變,非常難以預測。

RansomHub 的勒索軟體以 Golang 語言編寫,這樣的選擇反映出勒索軟體開發者對該語言的偏好。Golang 的使用可能預示著未來的勒索軟體攻擊將更加地複雜且難以偵測,對現有的防護機制來說是更嚴峻的挑戰。

英國資安軟體和硬體公司Sophos早前揭露勒索軟體集團RansomHub在今年5月發起的攻擊行動,駭客先利用名為EDRKillShifter的惡意程式,企圖停用受害電腦上的Sophos端點防護程式;隨後,這個工具會利用存在漏洞的舊版驅動程式,進行BYOVD(自帶驅動程式)攻擊,試圖癱瘓端點防護系統,但此舉動也引起了注意。

EDRKillShifter 是一種「自帶驅動程式攻擊」(BYOVD) 工具,使用包含密碼字串的指令列來執行;最終的目的是利用驅動程式之中一個比較容易攻擊的合法驅動程式,以獲得權限來解除 EDR 的防護。

BYOVD的技術原理,使得攻擊者可以載入存在漏洞的合法驅動程式,以便他們可以覆寫核心附近的程式碼來執行特許權限功能。危險的地方在於核心驅動程式並不是惡意的,造成檢測上更加地困難。一旦載入了驅動程式,就可以更深入地探入系統,並且能夠擁有更大的權限來操控系統。

如何防護企業組織的資訊安全

加強監控端點安全,強化企業網路衛生 (cyber hygiene) 並維持系統最新的更新狀態。EDRKillShifter 工具的使用現況確實令人擔憂,從他們對 RansomHub 勒索軟體的使用上來看,顯示出他們的經驗豐富而且非常堅決。他們現階段正利用這種專門用於癱瘓端點偵測和回應 (EDR) 軟體的新工具,這表示他們的攻擊行動是非常地精細複雜。

RansomHub勒索軟體相關的部分的入侵指標(IOCs):

02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292
104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2
2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad
34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7

Toyota豐田汽車及CannonDesign被駭資料遭到外洩

 Toyota豐田汽車遭到勒索軟體集團駭入,共計240GB資料外洩

Photo Credit: StealthLabs

日前Toyota豐田汽車證實,他們的客戶資料遭到洩露。一名網路攻擊者在駭客論壇上洩露了他們從豐田的IT系統中竊取的 240GB 檔案資料。

針對這起事件,豐田回應道:「我們已經了解事件狀況。此次事件的範圍是局部性的,並沒有擴及整個IT系統。」

豐田補充說,「他們正在聯繫受到影響的客戶及人員,並在需要時提供協助。」目前尚未提供有關何時發現被入侵、攻擊者如何獲得存取權限以及有多少人的資料被暴露等資訊。

攻擊參與者 ZeroSevenGroup 聲稱已入侵豐田美國分公司,並竊取了 240GB 的檔案資料,內容涵蓋包括聯絡人、財務、客戶資料、計畫方案、員工資料、照片、資料庫、網路基礎設施、電子郵件和大量其他資料。

他們聲稱已經使用開源 ADRecon 工具收集了網路基礎設施資訊,包含憑證,這類工具可以幫助於從 Active Directory 環境中提取大量資訊。

豐田並未透露資料遭洩的確切日期,根據報導發現這些檔案被竊最早可以追溯到 2022 年 12 月 25 日。在這個時間點,攻擊者侵入備分伺服器,進而取得儲存於此的資料。

2023 年 12 月,豐田金融服務公司 (Toyota Financial Services) 通知客戶,公司遭遇了資料外事件,敏感性的個人資料及財務資料因勒索軟體攻擊而洩露,這起攻擊事件的影響範圍波及豐田的歐洲和非洲分公司。

2023 年 11 月 17 日,Medusa 勒索軟體集團 聲稱 參與了這起攻擊,並且威脅豐田如果不支付贖金,就會洩露被駭的資料。

CannonDesign資料外洩

Cannon Corporation (佳能集團) 旗下CannonDesign 正向 13,000 多名客戶發送資料外洩通知,告知客戶在 2023 年初的一次攻擊事件中駭客入侵了公司網路並竊取資料。

CannonDesign 是一家總部位於美國紐約州,屢獲殊榮的建築、工程和顧問公司,在學術性建築、醫院和體育場館等項目上的卓越表現而受到業界認可。

CannonDesign 開始向受影響的個人發送通知信,信中通報了 2023 年 1 月 19 日至 25 日這段期間發生的資安事件,該事件涉及未經授權的網路存取和資料外洩。

根據調查顯示,這場攻擊背後的執行者可能取得了姓名、地址、社會安全號碼 (SSNs) 和駕照號碼等資訊。

2023 年 2 月 2 日,Avos Locker 勒索軟體集團宣稱他們入侵了 CannonDesign 的系統,並且持有 5.7 TB 的被駭資料,其中包括公司和客戶相關檔案資料。

在勒索軟體集團索要贖金的計畫可能失敗後,他們將盜取資料轉到 Dunghill Leaks網站,該網站於 2023 年 9 月 26 日公佈了從 CannonDesign 竊取的 2TB 資料。這些資料包括資料庫轉儲 (database dumps)、專案圖表、聘僱文件、客戶詳細資訊、行銷資料、IT和基礎設施詳細資訊以及品質保證報告等。

Dunghill Leaks是 Dark Angels勒索軟體組織於 2023 年 4 月推出的資料外洩網站,用於迫使受害者支付勒索軟體集團要求的贖金。

攻擊豐田的勒索軟體Medusa的部分的入侵指標(IOCs):

a57f84e3848ab36fd59c94d32284a41e
e4b7fdabef67a0550877e6439beb093d
042ce9ab1afe035e0924753f076fcb20de0d1a1d
0823d067541de16325e5454a91b57262365a0705
4d5992de4601c4306885c71b0ba197184bb69221
78daa8b99d2fa422926465f36e13f31587b9e142
db5e29c0729486ba3833426093652451c5fca9b5
ee4575cf9818636781677d63236d3dc65652deab
3e19d1653c08206c55e1f835bd890b067b652b99a7b38bad4d78ad7490c6a0f8
4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6

美國Kootenai Health醫院資料外洩事件影響超過 464,000名病患

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

Photo Credit: GBHackers

 Photo Credit: GBHackers庫特內醫院(Kootenai Health)近日披露了一起資料外洩事件,超過464,088名病患的個資受到影響,這些資料是被名為ThreeAM(3AM)的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心,提供全方位的醫療服務,包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名,並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信,2024年3月2日,公司發現部分IT系統出現異常,隨即展開調查,並尋求業界頂尖的資安專家協同合作。

調查顯示,2024年2月22日左右,網路攻擊者入侵了庫特內醫院的網路,竊取了病患的個人資訊,包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示,目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患,並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明,依據受害者遭到洩露的是哪種資料,會予以相應的個資保護服務。

庫特內醫院表示,發現異常活動後,立刻採取相應措施以確保數位環境的安全。經過全面性的查驗,確認受影響的資料後,於2024年8月1日,庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件,庫特內醫院宣布實施額外的安全措施,並已通知當地執法單位,包括聯邦調查局(FBI)。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊,並在他們的暗網入口網頁上洩露了被駭資料,這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案,這個檔案免費提供使用,任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示,3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫,在開始加密程序之前,它會嘗試中斷多種服務,並在加密完成後試圖刪除磁碟區陰影副本(Volume Shadow copies)。

被加密的檔案其檔名末端會被添加“.threeamtime”,此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到,他們發現3AM和Conti,the Royal等勒索軟體集團之間有著顯著的關聯性,表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標(IOCs):

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22
307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e
680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4
991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af
ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc
832a3c90b047e7c5dcfd373d238d16e33e238354d9b1af673003af22f4376e4c

EastWind行動-中國駭客組織鎖定俄羅斯政府和IT企業

EastWind攻擊行動背後是與中國關聯的駭客組織APT27及APT31

Photo Credit: lexisnexis

自2024 年 7 月底開始,發生一系列針對性的網路攻擊事件,其目標鎖定在俄羅斯政府組織和 IT 企業所使用的數十個系統,據瞭解這一系列攻擊事件與中國關聯的 APT27 和 APT31 駭客組織有關。

俄羅斯電腦安全公司Kaspersky (卡巴斯基) 日前發現該系列攻擊行動,並將之稱為“EastWind” (東風行動),報告稱該行動使用了更新版的CloudSorcerer 後門程式,目標是俄羅斯政府。在 2024 年 5 月類似的網路間諜活動中,也發現有使用相同的後門程式。

要特別注意的是CloudSorcerer 攻擊行動並不局限於俄羅斯,在 2024 年 5 月, 電子郵件防護廠商Proofpoint 記錄了一次針對美國智庫的攻擊事件,其中也有使用CloudSorcerer。

EastWind東風攻擊手法

網路攻擊者先寄出帶有 RAR 檔案附件的網路釣魚電子郵件,其中含有用來安裝惡意軟體的 Windows 捷徑。攻擊者藉由雲端儲存服務 Dropbox 向惡意軟體發出指令,以安裝額外的木馬程式,像是網路間諜組織APT31使用的工具就是這類,另外還有一種名為 GrewApacha 的更新版CloudSorcerer後門程式也是。

卡巴斯基發布的報告中提到:「攻擊者使用一種典型的 DLL (動態連結程式庫) sideloading (側載入) 技術:當desktop.exe執行檔啟動時,惡意的 VERSION.dll 程式庫就會載入到對應的程序之中。」 「這個程式庫是一組包含 VMProtect 工具的後門程式。一旦啟動,它會嘗試使用hardcoded (編碼寫死) 的授權憑證來連結 Dropbox 雲端服務。當連接到雲端,後門程式就會從儲存裝置內含的< computer name >/a.psd檔之中讀取要執行的指令。」

然後惡意軟體將這些指令的執行結果上傳到雲端儲存的檔案 < computer name >/b.psd 之中。

EastWind 攻擊行動中也使用變異版本的 CloudSorcerer 後門程式 (一種名為 GetKey.exe的工具程式),其中包含 VMProtect 保護程式,這個惡意軟體的目的是用於加密只能在受駭使用者電腦上解密的傳輸資料。

其他在EastWind攻擊中發現的植入程式還有一種透過 CloudSorcere後門程式帶入的PlugY,這是一個前所未知的新種後門程式。

PlugY 在 C2(Command and Control) 通訊部份具備高度多功能性,包括能夠執行檔案操作指令、shell (外層) 指令執行、螢幕截圖、鍵盤記錄和剪貼簿監控等等。

卡巴斯基的分析指出,PlugY後門程式中使用的程式碼之前曾在 APT27 駭客組織的攻擊中出現過。

卡巴斯基評論道,由於 EastWind 攻擊中使用的後門程式明顯不同,因此要在被入侵的電腦上偵測出所有的後門程式是有相當難度。需要注意的項目包括:

  • 「C:\Users\Public」目錄中超過 5MB 的 DLL (動態連結程式庫) 檔案
  • 檔案系統中未簽署的「msedgeupdate.dll」檔案
  • 每個使用者登入時啟動的「msiexec.exe」執行程序

在 EastWind攻擊行動中,駭客組織使用精密且高階的程式工具組合來掩飾網路流量中的惡意行動。攻擊者利用 GitHub、Dropbox、Quora 等常見的網路服務以及 LiveJournal 和 Yandex.Disk 等俄羅斯的系統平台,將這些平台用作命令伺服器。EastWind行動涉及到兩個與中國關聯的 APT 駭客組織,APT27APT31,這部分也顯示出 APT 組織是如何地緊密合作並且共享惡意軟體工具。

EastWind行動相關的部分的入侵指標(IOCs):

1f5c0e926e548de43e0039858de533fc
67cfecf2d777f3a3ff1a09752f06a7f5
bed245d61b4928f6d6533900484cafc5
d0f7745c80baf342cd218cf4f592ea00
f6245f64eaad550fd292cfb1e23f0867
faf1f7a32e3f7b08017a9150dccf511d
426bbf43f783292743c9965a7631329d77a51b61
bce22646f0d7c3abc616996cd08b706590e724e1
c0e4dbaffd0b81b5688ae8e58922cdaa97c8de25
e1cf6334610e0afc01e5de689e33190d0c17ccd4

中國駭客組織StormBamboo入侵網路服務供應商 (ISP)

StormBamboo自 2012 年以來一直頻繁活動,主要目標在中國大陸、港澳、東南亞等地

Photo Credit: welivesecurity

一個名為 StormBamboo 的中國駭客組織日前入侵一家尚未揭露的網路服務供應商 (ISP),他們利用自動軟體更新的漏洞來進行惡意軟體的散播。

這個網路間諜組織同時也以 Evasive Panda、Daggerfly 和 StormCloud等名稱為人所知,自 2012 年以來他們一直有所活動,主要的目標是鎖定在中國大陸、香港、澳門、奈及利亞以及東南亞和東亞的幾個國家。

上週,網路安全公司Volexity的威脅事件研究人員透露,他們發現 StormBamboo 利用改變DNS 中有關網域的查詢回應,將之連結到自動軟體更新的步驟。網路攻擊者利用像是 HTTP 之中不安全的更新機制來發動攻擊,並且由於無法驗證安裝程式的數位簽名,使用者以為是做更新程式的安裝,但實際上安裝卻是惡意軟體。

這種攻擊手法的關鍵是一種名為中間人man-in-the-middle (MITM)的技術,攻擊者在鎖定攻擊的設備和可信任伺服器 (trusted server) 之間取得有利位置,這樣做的目的是為了攔截和操控兩邊之間的通訊傳輸資料。 

一般 ISP 遭到入侵的情況是,攻擊者駭入 DNS 請求程序,這是將網站位址轉換為數字 IP 位址的關鍵功能程序。然後攻擊者通過篡改 DNS 回應,將使用者重新導向到意在竊取敏感資訊的惡意網站。

其中一個例子是,他們利用5KPlayer 發出請求來更新 youtube-dl dependency (youtube 下載軟體相依性),其最終目的是推送後門安裝程式到 C2 伺服器上。

當網路攻擊者入侵了攻擊目標的系統之後,他們會安裝Google Chrome 擴充元件 (ReloadText),這是一種惡意軟體,藉此他們能夠收攏和竊取包括瀏覽器 cookie 以及郵件資料。

Volexity研究人員解釋說:「當這些應用程式發出檢索相關更新時,接下來並不會安裝你想要的更新,結果卻是被安裝上了惡意軟體,這其中包括MACMA 和POCOSTICK(又名MGBot)。」

2023年4月,電腦安全軟體公司ESET的威脅研究人員也觀察到,該駭客組織利用騰訊QQ通訊軟體上自動更新機制的漏洞,部署Windows後門程式Pocostick(MGBot),藉以攻擊國際NGOs(非政府組織)。

一年後的2024 年 7 月,賽門鐵克的威脅獵捕團隊也發現中國駭客集團利用最新的 Macma macOS 後門程式和惡意軟體版本的 Nightdoor Windows,攻擊對象是位於中國的一家美國非政府組織和台灣的多個企業機構。

研究人員補充道:「Volexity 觀察到 StormBamboo 近期的活動中,目標針對多個軟體廠商,利用這些廠商目前使用的更新作業流程安全性上的漏洞。」

「Volexity 立即通知了該家 ISP 並與之共同合作,尋求解決方案,該ISP 著手調查了在其網路上提供流量路由服務 (traffic-routing service) 的數個關鍵設備。隨後 ISP 系統重新啟動並關掉網路系統中的數個元件,DNS 中毒的情況總算獲得解決。」

中國駭客組織 StormBamboo 入侵ISP相關的入侵指標(IOCs):

4c8a326899272d2fe30e818181f6f67f
acfc69c743b733dd80c1d551ae01172b
ce5fdde7db4ee41808f9c7d121311f78
038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc
37ee872f05a0273446dc7e2539b9dbf9bf7d80b4
66346b3d841dc56a387f48b4dfba96083c37ec2e
68853cafd395edd08cd38ab6100c58e291a3a3d7
84875b2cf9f8c778ff1462ef478918b4ac964afe
bb030c405f33557bc5441165a0f8bf9a6d5a82a6
c68e86985a4cb2f69e16fb943723af63833859b3

FBI:Akira勒索軟體從250多名受害者中獲利4200萬美元

4月19日,根據FBI、CISA、歐洲犯罪中心(EC3)以及荷蘭國家網絡安全中心(NCSC-NL)的聯合通告,Akira勒索軟體行動已經侵入了250多個組織的網路,並從勒索金中賺取了大約4200萬美元。

Akira於2023年3月出現,並迅速因為針對全球各行業的受害者而聞名。

到2023年6月,該組織的勒索軟體開發人員已經開發並部署了一個Linux加密器,以針對廣泛在企業組織中使用的VMware ESXi虛擬機器。

根據BleepingComputer獲取的談判記錄,Akira操作者要求的贖金從20萬美元到數百萬美元不等,具體取決於受影響組織的規模。

“截至2024年1月1日,勒索軟體組織影響了超過250個組織,聲稱大約從勒索軟體中獲得了4200萬美元的收入,”聯合通告警告說。

“自2023年3月以來,Akira勒索軟體影響了北美、歐洲和澳洲的各種企業和關鍵基礎設施。”

2023年12月,Akira聲日產大洋洲(Nissan Oceania)進行了勒索軟體攻擊,日產大洋洲在2024年3月警告客戶警惕潛在的詐騙電子郵件和傳播惡意軟體的訊息,並稱發生的資料外洩事件

影響了 10 萬人; 另外斯坦福大學,也在上個月透露在四個多月的時間裡未能偵測到Akira勒索軟體的入侵,造成27,000 人的個資被盜。

Akira自從去年浮出水面以來,該勒索軟體組織已經在其暗網洩露網站上新增了超過230個組織。

今天的諮詢還提供了有關減少與這個勒索軟體幫派攻擊相關的影響和風險的指導。

FBI強烈建議網路防禦者優先修補已經被利用的漏洞,並在所有服務中實施使用強密碼的多因素身份驗證(MFA),尤其是對於網路郵件、VPN和與關鍵系統相關的帳號。

此外,組織應定期更新和修補軟體到最新版本,並將漏洞評估作為其標準安全協議的組成部分。

這四個機構還提供了Akira的入侵指標(IOCs)以及在2024年2月FBI調查中識別出Akira的戰術、技術和程序(TTPs)的資訊。

Hunters International 再度入侵台灣 跨國上市電子公司遭殃

4月16日,竣盟科技在Hunters International 的暗網揭秘網站上發現台灣某跨國電子大廠的頁面,Hunters聲稱已取得該公司約1.2TB的資料共約420萬份檔案。該受害電子大廠主要從事鍵盤、影像相關產品、電源供應器、智慧家居產品等製造及代理各品牌電腦週邊設備等。目前Hunters International 沒有公佈確切發佈資料的日期及要求的贖金金額。 最近日本光學大廠Hoya也傳出成為Hunters 的受害者,被盜約200萬份資料及勒索1千萬美元的贖金。截至目前,Hoya被盜的資料還沒有在網路上出現,攻擊者也沒有公布他們是如何滲透到 Hoya 的。然而,Hoya 與網路犯罪分子之間談判過程的螢幕截圖已在網路上洩露,突顯了緊張的局勢。Hoya事件的直接結果是,一些生產工廠和某些產品的訂購系統受到了影響。 台灣電子大廠的生產線是否也如Hoya受到直接的影響,目前仍不得而知。

Hunters International於 2023 年第三季才浮出水面上,儘管只有幾個月的歷史,該組織的發展速度仍超出了任何人的預期,但這樣一個新組織為何能如此迅速地崛起呢?答案相對簡單:Hunters似乎是 Hive 勒索軟體的繼承者。Hive曾經是世界上最危險、資金充足、足智多謀的勒索軟體組織之一,該勒索軟體於 2023 年 1 月被 FBI 攻破,停止了Hive 勒索軟體的操作。據觀察Hunters International,是一種針對 Windows 和 Linux 環境的勒索軟體,一旦勒索軟體組織完成資料洩露,就會在受害者電腦上的加密檔案中加入.LOCKED副檔名。截至目前,他們列出的全球受害者,涉及健康、汽車、製造、物流、金融、教育、食品等產業。另外,根據Bitdefender 的報告,Hive 的程式碼與 Hunters International 的程式碼之間有重大相似之處,兩者程式碼有60%重疊。

此前,2023 年 11 月中, Hunters宣稱入侵了台灣某上市生醫並已盜取約236GB的資料,當中檔案的範圍包含客戶投訴數據-資料庫備份檔(HR相關、CRM相關和其他)-財務數據(付款、報告、審計等)-營業單位數據(訂單,產品配方,實驗室測試,包裝等) – 美國子公司數據(網路設置、稽核、供應商、員工數據等)-客戶數據(訂單、混合配方、產品處方、實驗室測試、郵件等。

根據 Cyber​​news的數據,Hunters International 是上個月最活躍的勒索軟體前五名之一。Hunters在 3 月聲稱有 23 名受害者,此外,自 2023 年 10 月以來總共有 89 名受害者。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

48b0a224697ead43ca1272c34a4777662049964913f083a40a5458a4ee1f78a6

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

新版本的Vultur銀行木馬 模仿成McAfee安全應用程式攻擊用戶

Photo Credit: Fox-IT

Vultur,一種Android銀行木馬,已觀察到整合了新的技術特點,使得惡意軟體操作者能夠遠端與受害者的行動裝置通訊。此外,Vultur開始通過加密其C2通信、使用多個動態解密的載荷以及在合法程序的假象下執行其惡意活動,以掩蓋其惡意行為。Vultur具有按鍵記錄和與受害者裝置的屏幕互動等功能,主要針對銀行應用程序進行遠端控制和按鍵記錄。

Vultur於 2021 年 3 月下旬首次被發現,它透過 AlphaVNC 的 VNC(虛擬網路運算)獲得了受害者設備的全面可見性。2021 年 7 月,ThreatFabric 研究人員發現了 Android 版本的 Vultur,它使用螢幕錄製和鍵盤記錄來捕獲登入憑證。過去,Vultur利用ngrok和AlphaVNC兩款聲譽良好的軟體應用程式來遠端存取運行在受害者設備上的VNC伺服器。根據Fox-IT 的一份報告顯示,威脅行為者利用簡訊入侵和電話引誘目標下載帶有 Brunhilda 惡意軟體植入程式的 McAfee 安全應用程式的武器化版本。然後,安裝應用程式將執行與 Vultur 相關的有效負載,從而啟用輔助功能服務和命令與控制伺服器連線。

在最近的一次活動中,Brunhilda下載器通過短信和電話呼叫進行混合攻擊的傳播, 第一條短訊指引受害者進行電話呼叫。當受害者撥打號碼時,詐騙者會向受害者發送一條第二條短訊,其中包含下載器的鏈接:McAfee Security應用程式的修改版本。

Vultur的新技術特點

  • 下載、上傳、刪除、安裝、尋找檔案;
  • 使用 Android 輔助功能服務控制受感染的裝置(發送命令以執行捲動手勢、滑動手勢、點擊、靜音/取消靜音音訊等);
  • 阻止應用程式運行;
  • 在狀態列中顯示自訂通知;
  • 停用鍵盤防護以繞過鎖定螢幕安全措施。

Vultur 透過以下方式增強了逃避偵測和反分析的方法:

  • 修改合法應用程式(使用 McAfee Security 和 Android Accessibility Suite 軟體包名稱);
  • 使用本機程式碼來解密有效負載;
  • 在多個有效負載上傳播惡意程式碼;
  • 使用 AES 加密和 Base64 編碼進行 C2 通訊。

值得一提的是,該惡意軟體可能會使用 Android 的輔助服務來遠端連接受感染的裝置。操作Vultur的攻擊者可以傳輸命令,執行諸如滑動、點擊和捲動等操作。研究人員表示,檔案總管功能包括下載、上傳、刪除、安裝和尋找檔案的功能,這實際上使攻擊者能夠更好地控制受感染的設備。

阻止受害者與裝置的應用程式互動是另一個有趣的新功能。此功能允許惡意軟​​體操作者指定一個應用程式列表,一旦偵測到在裝置上運行,就應重新啟動這些應用程式攻擊鏈。

攻擊鏈

威脅行為者使用由兩條簡訊和一個電話組成的混合攻擊,誘騙無辜者安裝惡意軟體。

最初,受害者會收到一條短訊,告訴他們撥打一個號碼,以防他們不批准大筆交易。儘管這筆交易從未發生,但它給受害者留下了必須立即執行的印象,從而使其上當行騙。在通話過程中,系統會向受害者發送第二條短訊,指示他們點擊連結以安裝木馬版本的 McAfee Security 應用程式。

該程序本質上是Brunhilda下載器,對受害者來說看似無害,因為它具有McAfee Security應用程式中的功能。

此植入程式解密並執行三個與 Vultur 相關的有效負載,使威脅行為者能夠完全控制受害者的行動裝置。在最近提交的Vultur樣本的專家注意到,新功能不斷的增加,這表明該惡意軟體仍在積極開發中,根據這些觀察結果,預計在不久的將來 Vultur 會添加更多功能。

Vultur的部分入侵指標(Indicator of compromise -IOCs):

Photo Credit: Fox -IT