標籤: IOCs

RansomHub 再進化:全面攻擊 Windows、ESXi、Linux 與 FreeBSD作業系統

Posted on by blogadmin

RansomHub 勒索軟體集團迅速崛起,成為 2024–2025 年度最猖獗的網路犯罪組織之一。該組織透過擴展攻擊範圍,鎖定 Windows、VMware ESXi、Linux 及 FreeBSD 作業系統,發動全球性攻擊。

高度進化的攻擊手法

RansomHub 勒索軟體集團運用先進的規避技術、跨平台加密機制,並針對企業基礎架構漏洞進行攻擊。根據 Group-IB 的調查,該集團已成功入侵超過 600 家組織,涵蓋醫療、金融及關鍵基礎設施等產業。

2月16日,竣盟科技發現RansomHub勒索軟體組織聲稱對位於台北市的上市記憶體大廠發動了網路攻擊。該組織聲稱已竊取 74GB 的機密數據,並威脅如果未能滿足其要求,將於 2025 年 2 月 28 日公開這些數據。RansomHub 以雙重勒索模式著稱,除了加密受害者數據,還威脅公開洩露,以施壓企業支付贖金。該組織自 2024 年 2 月活躍以來,迅速崛起,並與 ALPHV 和 LockBit 等知名勒索軟體組織前附屬成員合作,針對醫療、政府機構及製造業等大型企業發動攻擊,成為當前網路犯罪領域的活躍威脅。

多作業系統加密能力

RansomHub 針對不同環境開發專屬勒索軟體變種,並依平台調整指令參數與加密機制。

powershell RansomHub.exe -pass <SHA256> -fast -disable-net -skip-vm “VM1”

在執行期間,勒索軟體會解密 JSON 設定檔,其中包含白名單目錄、進程與服務終止列表,以及橫向移動所需的憑證。

  • ESXi 加密器 (C++ 開發):透過 vim-cmd 指令強制關閉虛擬機,並使用 ChaCha20 與 Curve25519 演算法加密 .vmdk、.vmx 檔案。
  • 漏洞 (防禦技巧):在 /tmp/app.pid 中寫入 -1 可觸發無限迴圈,阻止加密。

// ESXi 加密器程式的片段:

if (access(“/tmp/app.pid”, F_OK) == 0) {

    pid_t pid = read_pid();

    if (kill(pid, 0) == 0) {

        kill(pid, SIGKILL);

        exit(0);

    }

}

  • Linux 變種:使用間歇性加密技術 (1 MB 區塊),並終止 syslog 服務以降低偵測機率。
  • FreeBSD 變種:識別為 Ransom.FreeBSD.INTERLOCK.THJBBBD,避開 /boot、/etc 等關鍵目錄,並將 .interlock 附加於加密檔案。

初始攻擊與漏洞利用

RansomHub 夥伴攻擊者透過已知漏洞入侵企業網路,例如:

  • CVE-2024-3400 (Palo Alto Networks 防火牆)
  • CVE-2021-42278 / CVE-2020-1472 (Active Directory 權限提升攻擊)
Palo Alto 發布的安全公告摘錄(來源 – Group-IB)

企業受害後的攻擊行為

攻擊者入侵後通常部署以下工具:

  • PCHunter:終止 EDR 進程並刪除系統日誌。
  • FileZilla:將竊取的數據上傳至 C2 伺服器。
  • BYOVD 攻擊:利用漏洞驅動程式 (POORTRY.sys) 禁用安全工具。

此外,RansomHub 透過從已關閉的 Knight 勒索軟體集團取得的勒索軟體管理面板,允許夥伴攻擊者自訂勒索訊息與資料外洩網站整合。

// 已解密的 RansomHub 設定檔片段

{

    “master_public_key”: “a1b2c3…”,

    “extension”: “.6706c3”,

    “note_file_name”: “README.txt”,

    “kill_processes”: [“MsMpEng.exe”, “TaniumCX.exe”]

}

緊急防禦建議

美國 CISA (Cybersecurity and Infrastructure Security Agency) 呼籲組織立即:

  1. 修補 CVE-2024-3400 及其他相關漏洞。
  2. 強化遠端服務存取管控,防範未授權入侵。
  3. 部署 YARA 規則偵測 RansomHub 二進位文件。
  4. 監控可疑的 PowerShell 命令,例如:

Get-CimInstance Win32_ShadowCopy | Remove-CimInstance

  1. 封鎖已知攻擊指標 (IoC),如:
    • IP 位址 10.10.10.10:22
    • TOR 網址 (請參閱最新 IoC 資訊)

隨著 RansomHub 積極招募已解散的 ALPHV / LockBit 攻擊者,企業必須加強端點安全性,並確保備份資料離線隔離,以降低遭受攻擊的風險。

Ransom Hub 勒索軟體相關的部分入侵指標(Indicator of compromise -IOCs):

09e382be8dc54551cbfc60557d5a70b0              

0cd4b7a48220b565eb7bd59f172ea278              

19209b41db4a3d67e2c2c1962d91bd25  

19ebefbb1e4cb0fc5ce21b954f52e1bc      

3034b61a52ddc30eabdb96f49334453b              

392880023da7df0f504056be9e58d141     

477293f80461713d51a98a24023d45e8    

8c8916d8ea8c44e383d55e919a9f989f     

a1dd2dff2859b22bcf6a3a4d868a2dbc

Lynx(山貓)勒索軟體盯上台灣傳統產業——上市重電大廠與精機大廠淪為最新受害者

Posted on by blogadmin

近期,竣盟科技在暗網上的勒索軟體曝光網站發現,上市某某電機與某某國際精機等傳統製造業企業遭受 Lynx 勒索軟體攻擊。此事件進一步印證製造業已成為勒索軟體的主要攻擊目標,駭客利用企業對生產線與供應鏈的高度依賴性,透過加密關鍵系統與資料來施壓,迫使企業支付贖金以恢復運營。

Lynx 勒索軟體的起源與發展

Lynx 勒索軟體於 2024 年中首次被發現,據信是 2023 年出現的 INC 勒索軟體的進階變種。據Palo Alto的研究報導,INC 勒索軟體的源碼曾在暗網論壇上出售,這可能促成 Lynx 的開發,使其成為更具威脅性的變體。

Lynx 採取「勒索軟體即服務」(Ransomware-as-a-Service, RaaS)模式,其運營團隊採用雙重勒索策略——不僅加密受害者數據,還威脅公開機敏資訊,以加大受害者壓力。據觀察,Lynx 針對的是全球多個產業的 Windows 系統。報告稱,美國是受害者數最多的國家,加拿大和英國則位居第二。製造業和建築業佔受害者的近一半。

重大網路攻擊事件與受害者概況

自 2024 年 7 月以來,Lynx 勒索軟體已涉入多起重大網路事件,利用加密與資料洩露雙重策略,對受害企業造成嚴重影響。以下為部分典型案例:

  • 羅馬尼亞電力公司Electrica Group(2024 年 12 月):攻擊導致營運中斷,大量機敏資料外洩。
  • Hunter Taubman Fischer & Li LLC(2025 年 1 月):美國專注於公司法與證券法的律師事務所遭攻擊,導致敏感客戶資訊洩露。

Lynx 主要針對北美與歐洲的中小型企業(SMB),涵蓋能源、製造、工程及法律服務等行業。雖然該組織聲稱不攻擊「具社會重要性」的機構,如政府機關、醫院與非營利組織,但其攻擊行為仍對企業生存與數據安全構成重大威脅。

攻擊手法與影響分析

  1. 滲透手法:Lynx 常透過魚叉式網路釣魚(Spear Phishing)、漏洞利用與供應鏈攻擊等手段入侵企業內部網路。一旦取得初始存取權限,攻擊者便會橫向移動,提升權限,最終加密關鍵數據與系統。
  2. 業務影響
    • 生產線與供應鏈管理系統遭加密,導致營運中斷與訂單延誤。
    • 客戶與供應商關係受損,影響商譽與合作信任。
    • 機敏資料外洩可能觸發法律與合規問題。

應對策略與防範措施

  1. 強化員工意識:定期進行資安培訓,提高對網路釣魚與社交工程攻擊的警覺性。
  2. 漏洞管理與補丁更新:確保所有系統與軟體及時更新,以防駭客利用已知漏洞入侵。
  3. 網路分段:將關鍵生產系統與辦公網絡隔離,限制攻擊者橫向移動的可能性。
  4. 多因素驗證(MFA):對關鍵系統與敏感數據採用多因素驗證,以降低未經授權存取風險。
  5. 定期備份與演練:建立離線備份機制,並定期測試備份的可用性與完整性,以確保業務可迅速恢復。
  6. 導入專業資安服務:與專業網路安全機構合作,進行資安評估、滲透測試與持續監測,及早發現並應對潛在威脅。

Lynx 勒索軟體的崛起凸顯了勒索軟體威脅的持續演變,企業應積極採取多層次安全防護策略,以降低遭受攻擊的風險並強化應變能力。

Lynx勒索軟體相關的部分入侵指標(Indicator of compromise -IOCs):

001938ED01BFDE6B100927FF8199C65D1BFF30381B80B846F2E3FE5A0D2DF21D

0260258F6F083AFF71C7549A6364CB05D54DD27F40CA1145E064353DD2A9E983

06F10C935FAE531E070C55BDE15EE3B48B6BB289AF237E96EEC82124C19D1049

0E4246409CDAD59E57C159C7CC4D75319EDF7D197BC010174C76FE1257C3A68E

16A0054A277D8C26BEB97850AC3E86DD0736AE6661DB912B8782B4EB08CFD36E

16B0F643670D1F94663179815BFAC493F5F30A61D15C18C8B305B1016EECE7EF

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

LockBit升級至 4.0強勢回歸!企業亟需強化資安防禦應對新興威脅!!

Posted on by blogadmin

2024年12月20日,竣盟科技報導——知名網路犯罪組織 LockBit 宣布計劃於2025年2月3日正式發布全新版本的勒索軟體 LockBit 4.0,企圖重振其在全球勒索軟體市場的影響力。這一消息凸顯出企業應立即強化資安防護,以應對潛在攻擊風險。

LockBit 4.0 利用新漏洞擴大攻擊面,Fortigate 與 VMware 用戶須嚴加防範

最新情報顯示,農曆春節期間,數家台灣企業遭受 LockBit 4.0 攻擊。調查發現,攻擊者成功利用 CVE-2024-55591 漏洞,繞過 Node.js WebSocket 身份驗證機制,對 Fortinet 旗下產品構成威脅。

1月中旬在漏洞曝光後,Fortinet 已緊急發布安全公告,強烈建議 FortiOS 7.0.x 用戶 立即升級至 7.0.17 或更高版本,以防範潛在攻擊並降低風險。

此外,LockBit 4.0 亦成功利用 VMware vCenter 的漏洞發動攻擊,進一步擴大受害範圍。企業 IT 團隊務必針對 vCenter 進行全面漏洞檢測與修補,確保所有虛擬化環境均處於最新安全狀態,以防範駭客滲透企業核心基礎設施。

LockBit 4.0 樣本包含 disallowedcertstl.cab 檔案以逃避偵測

部分防毒軟體 (AV) 引擎或偵測規則預設排除對 CAB 檔案的掃描或過濾,導致當 CAB 檔案被混淆時,端點安全引擎難以偵測。此技術先前已被其他惡意軟體家族,如 DarkGate、Avaddon Ransomware 和 ChromeLoader 利用,LockBit 4.0 進一步將其應用於最新攻擊活動。

Fortigate 與 VMware vCenter 必須落實以下防護措施

🔹 Fortigate 資安強化建議:

  • 關閉所有 Internet 管理服務(除非必要,僅保留 ping 功能)以降低暴露面。
  • 若仍使用 FortiOS 7.0.x,請立即升級至 7.0.17 或更高版本,以避免遭受攻擊。

🔹 VMware vCenter 防護建議:

  • 立即執行漏洞掃描,確保 vCenter 無已知漏洞。
  • 應用最新安全修補,防止 LockBit 4.0 等勒索軟體利用漏洞入侵。

勒索軟體攻擊手法進化,企業須強化主動防禦

勒索攻擊的本質已從傳統入侵轉變為高度組織化、針對性強的滲透攻擊,並遵循完整的攻擊鏈(Cyber Kill Chain),涵蓋初始入侵、橫向移動、權限提升、資料加密等步驟。企業若僅依賴傳統被動防禦機制,將難以有效應對新一代威脅,需建立更完整的資安監控、威脅獵捕與即時應變機制。

竣盟科技提供整合資安防禦,助企業提升應變能力

作為專注於資安合規與主動防禦的領導廠商,竣盟科技提供一系列資安即時監控與防護服務,確保企業資安防禦體系完善並符合合規標準。

  • Billows UCM 平台 —— 確保企業符合資安法規,並可在資安事件發生時自動通報,加速事件應變與營運恢復。
  • Billows Deception 主動式誘捕技術 —— 透過欺敵(Deception)策略,誘導駭客進入誘捕環境,主動識別攻擊行為,甚至逆向追蹤駭客,實現主動防禦與被動監控並行的雙層資安策略。

企業應積極提升資安韌性,防範新一波網路攻擊

隨著勒索軟體攻擊技術的不斷演進,企業務必採取積極資安策略,以降低資安風險。

竣盟科技建議:

✅ 定期更新防火牆與虛擬化環境,修補已知漏洞。

✅ 關閉不必要的遠端管理服務,降低暴露風險。

✅ 落實威脅監測與事件應變機制,以提升營運持續性。

LockBit 4.0的部分入侵指標(Indicator of compromise -IOCs):

2f5051217414f6e465f4c9ad0f59c3920efe8ff11ba8e778919bac8bd53d915c

1BE78F50BB267900128F819C55B8512735C22418DC8A9A7DD4FA1B30F45A5C93

998AECB51A68208CAA358645A3D842576EEC6C443C2A7693125D6887563EA2B4

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

Murdoc Botnet 利用陞泰 AVTECH 攝影機與華為路由器啟動高階物聯網攻擊

Posted on by blogadmin

資安研究人員揭露了一場高度複雜的網路攻擊行動,此行動利用陞泰Avtech攝影機與華為 HG532 路由器的漏洞擴展 Mirai 變種惡意網路,稱為 Murdoc Botnet。這起大規模攻擊凸顯了物聯網(IoT)漏洞被用於建立惡意網路的日益增長的威脅。

行動概述與發現

根據 Qualys 資安研究員 Shilpesh Trivedi 的說法,Murdoc Botnet 展現出「增強的能力,能利用漏洞入侵設備並建立大規模的惡意網路」。該行動至少自 2024 年 7 月起活躍,目前已有超過 1,370 台設備被感染,主要分布於馬來西亞、墨西哥、泰國、印尼及越南等地區。

Photo credit: Qualys

攻擊鏈的技術分析

該惡意網路利用已知的漏洞,例如 CVE-2017-17215CVE-2024-7029,以獲取物聯網設備的未授權訪問權限。一旦入侵成功,攻擊者便部署 Shell 腳本下載並執行針對目標設備架構的惡意程式。

此惡意程式的主要目的是將受感染設備武器化,用於執行 分散式阻斷服務(DDoS)攻擊,進一步干擾重要服務與基礎設施。這一動向與其他 Mirai 變種的活動不謀而合,例如 2024 年底針對工業路由器的「gayfemboy」攻擊。

物聯網漏洞的更廣泛影響

近期報告亦顯示,針對電信、雲端運算、銀行與遊戲等高價值領域的惡意網絡活動顯著增加。證據顯示,55% 以上的受感染設備位於印度,其次是南非、巴西、孟加拉與肯亞。

Trend Micro指出,Murdoc Botnet 採用 MiraiBASHLITE 衍生的惡意程式變種,具備執行複雜 DDoS 攻擊、更新惡意程式及提供代理服務的能力。攻擊者透過利用弱密碼與未修補的漏洞滲透物聯網設備,部署下載惡意程式的加載器,並與指揮控制(C2)伺服器連接,接受進一步指令。

防護建議

為防範物聯網惡意網絡威脅,建議採取以下資安措施:

  1. 漏洞管理:定期更新設備韌體,修補已知漏洞(如 CVE-2017-17215 和 CVE-2024-7029)。
  2. 憑證強化:將預設用戶名與密碼更改為複雜且唯一的憑證。
  3. 網路監控:部署入侵偵測與防禦系統(IDPS),以監控異常流量模式並阻止未授權訪問。
  4. 端點防護:採用進階端點防護方案,偵測並緩解惡意進程與腳本。
  5. 網路分區:將物聯網設備隔離至專用網路區段,減少橫向移動攻擊的風險。

更大的挑戰

Murdoc Botnet 再次提醒我們,未保護的物聯網設備帶來的風險日益嚴重。隨著攻擊者逐漸利用物聯網生態系統,企業必須優先考慮這些設備的資安防護,以保護基礎設施,並防止其被用於大規模惡意網路行動。

採取主動措施,包括資安意識提升與持續漏洞修補,對於應對不斷演變的威脅環境至關重要。

有關Murdoc Botnet的部分入侵指標(Indicator of compromise -IOCs):

c9fe390890a8b0586e8d5ac410685a7c4ed147858b10eb75459fa1afca8dc84d 

c0ae1eb249705f61d45ca747c91c02a411557a28792f4064c1d647abb580bc10

f5aa93311d8dcde50d87ec010274fdd7a7653eed51264f0e2e648403ec4177d0

76ebd9695aef87cc975d63b3a7a9ecc7d31bcd53a29e70ba97464a61e102cf52

7b1c7eb73f5d668c11af8f7131883863774902883ad95aa520a1eb203cf50fe1

台灣照明控制領域製造商遭 RansomHub 攻擊,揭示企業資安風險與挑戰

Posted on by blogadmin

2024年1月16日,竣盟科技在RansomHub的暗網揭密網站上發現,台灣一家知名照明控制系統製造商遭受勒索軟體集團RansomHub的攻擊。RansomHub聲稱已獲取該企業46 GB的敏感數據,並威脅將於1月24日公開這些資料,這些資料包括客戶資料、設計文件及財務資訊。此次攻擊對該企業的運營及聲譽造成了嚴重影響,凸顯了在數位轉型過程中對資安防護的迫切需求。

RansomHub 的攻擊模式與策略

RansomHub 以其高效的「雙重勒索」策略而著名:

  • 加密數據:攻擊者鎖定企業的關鍵數據,要求高額贖金以解鎖。
  • 洩露威脅:若受害企業拒絕支付,攻擊者將公開機密資料,增加壓力。

RansomHub 通常針對技術密集型產業進行攻擊,利用釣魚郵件、弱密碼漏洞及不當配置進行滲透,並利用橫向移動技術擴大對系統的控制。

傳統製造業的資安挑戰

此次事件暴露了傳統製造業在數位轉型過程中對資安的重視不足。儘管該企業在技術研發方面領先市場,但其資安防護能力顯然未能應對日益複雜的網路威脅。

應對RansomHub攻擊的策略建議

建議企業採取以下策略來加強防禦:

  1. 強化員工教育與終端防護
    定期進行資安培訓,幫助員工識別釣魚攻擊和社交工程手段,並部署端點偵測與回應工具(EDR),即時偵測並回應可疑活動。
  2. 採用零信任架構(Zero Trust Architecture)
    實現強化的身份驗證和最低權限訪問原則,確保即便攻擊者成功滲透系統,也無法在內部橫向移動,擴大對其他資源的控制。
  3. 資料加密與離線備份策略
    對所有敏感資料進行強加密,並確保備份系統與主網隔離,定期測試備份恢復流程,確保業務能夠在遭受勒索攻擊後迅速恢復。
  4. 規劃前瞻性資安技術
    企業應評估並規劃採用後量子密碼學(PQC)等技術,提前做好準備以應對未來可能出現的高級加密破解威脅,確保在面對新型攻擊時保持競爭力。
  5. 引入欺騙技術(Deception Technology)
    部署欺騙技術,在企業內部設置假目標或虛擬資源,誘使攻擊者進行錯誤的行動或揭示其入侵路徑。這樣的策略能有效迷惑攻擊者,減少實際資源的暴露風險,並為安全團隊爭取更多反應時間。

台灣製造業的資安危機與未來展望

2024 年,RansomHub 頻繁鎖定台灣企業,以下是一些主要攻擊事件:

  1. 2024 年 6 :攻擊台灣一家電腦大廠,造成數據洩露。
  2. 2024 年 8 :攻擊台灣知名教科書大廠,竊取敏感資料。
  3. 2024 年 9 :入侵台灣日系電機廠商,疑似竊取機密資料。
  4. 2024 年 10 :攻擊台灣被動元件大廠,洩露核心技術資料。

攻擊頻率和規模顯著上升,特別是針對照明控制領域巨頭的攻擊,進一步提醒企業,網絡安全不僅是技術問題,更是企業治理和風險管理的核心議題。資安專家強調,企業必須將資安納入整體數位轉型戰略,建立全面的防禦體系,以應對日益複雜的跨境威脅,保護數據資產與競爭力。

結語:未來行動的迫切性

RansomHub 的持續活動顯示,全球網路威脅正在快速演變。對台灣企業而言,這既是警示,也是機遇。加強資安投入,提升風險抵禦能力,將是未來避免類似事件發生的關鍵。

有關RansomHub勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

5089fd6ce6d8c0fca8d9c4af7441ee9198088bfba6e200e27fe30d3bc0c6401c

3e2272b916da4be3c120d17490423230ab62c174

b2a2e8e0795b2f69d96a48a49985fb67d22d1c6e8b40dadd690c299b9af970d4

173.44.141.226

185.174.101.240

38.180.81.153

104.238.61.144

88.119.175.65

23.227.193.172

Clop 勒索軟體利用 Cleo 檔案傳輸漏洞進行大規模攻擊 至少 66 家公司數據外洩

Posted on by blogadmin

近期,Clop 勒索軟體集團再次展開攻擊,聲稱成功利用 Cleo 檔案傳輸工具的安全漏洞,竊取至少 66 家企業的敏感數據。本次攻擊主要針對 Cleo 的企業級 MFT(Managed File Transfer)解決方案,包括旗下系統 Harmony、VLTrader 和 LexiCom,此事件迅速引發全球網路安全領域的高度警戒。Clop 在其暗網的勒索網站上曝光部分受害企業名單,並威脅在 48 小時內公開完整名單,除非企業支付贖金以阻止數據外洩。

2024 年 12 月 13 日,CISA(美國網路安全與基礎設施安全局)證實,攻擊者利用 Cleo MFT 軟體中的關鍵漏洞 CVE-2024-50623,該漏洞允許未經身份驗證的攻擊者在受害主機上執行任意的 Bash 或 PowerShell 指令。此漏洞源自自動運行目錄的預設配置,導致攻擊者能遠端部署惡意程式,並在網路中建立持久化訪問通道。CISA 更在其公告中警告,此漏洞已被實際用於勒索軟體攻擊,對企業安全構成重大威脅。

資安公司 Huntress 於 12 月 9 日首次發出警告,表示從 12 月 3 日開始偵測到針對 Cleo 系列 MFT 工具的攻擊活動,並懷疑攻擊者正在利用未修補的漏洞進行大規模入侵行動。隨後,Huntress 進一步披露,Cleo 曾於 10 月份針對該漏洞發布修補,但修補措施不完整,可能間接導致此次事件的發生。

Clop 勒索軟體的手法分析

1. 攻擊技術與漏洞利用

Clop 展現了高超的漏洞挖掘與攻擊技巧,針對 Cleo 檔案共享系統中的安全漏洞發起精準攻擊。這些工具廣泛應用於企業的大型敏感數據傳輸,其漏洞一旦被利用,便可能對數據安全造成嚴重影響。

此次攻擊的技術特徵包括:

  • 針對未修補漏洞的高效利用:攻擊者可能掌握零日漏洞,並迅速部署攻擊工具。
  • 廣泛但有針對性的目標選擇:Clop 聚焦於依賴 Cleo 工具的企業,目標明確且具有高價值。

2. 雙重勒索策略

Clop 採用了熟練的雙重勒索模式,威脅受害者若不支付贖金,將公開其敏感數據。他們在公告中提到:

「我們擁有許多使用 Cleo 的公司的數據。我們的團隊正在聯繫貴公司,並提供專屬秘密聊天。如果您不確定我們是否擁有您的數據,請通過以下郵件聯繫:
unlock@he1p-me[.com
unlock@cl-leaks[.com
support@he1p-center[.com
您有 48 小時時間,否則我們將公佈受害公司的名稱!」

Huntress 和資安業界的初步應對

Huntress 於 12 月 9 日提醒業界注意 Cleo 檔案傳輸工具中的可疑活動,並呼籲企業立即採取行動修補漏洞。此外,資安專家建議受影響企業採取以下措施:

  1. 漏洞修補:檢查 Cleo 檔案傳輸工具的版本,並應用供應商最新的安全更新。
  2. 數據分類與加密:將最敏感的數據進行加密處理,即使被竊取也難以利用。
  3. 多因素身份驗證(MFA:提高檔案傳輸工具的使用安全性,降低帳戶被攻破的風險。
  4. 網路隔離:對受影響系統進行隔離,防止進一步的攻擊蔓延。

Clop攻擊模式的長期影響

Clop 對 Cleo 工具的攻擊延續了其針對檔案傳輸工具的戰略。在過去數年內,Clop 也曾利用 Accellion、GoAnywhere 和 MOVEit 的漏洞發起類似攻擊,影響數百家企業。此次事件再次強調了以下風險:

  • 供應鏈安全挑戰:企業使用的第三方工具漏洞可能成為重大威脅。
  • 文件傳輸工具的關鍵性:這類工具在數據交換中的核心角色使其成為高價值攻擊目標。

結論與建議

本次 Clop 勒索軟體針對 Cleo檔案傳輸漏洞的攻擊,對全球企業敲響了警鐘。企業應立即加強對檔案傳輸工具的安全監控,並建立完備的應急回應計劃。同時,網路安全業界需要加強威脅情報共享,推動供應商加速漏洞修補流程,以降低此類事件重演的可能性。

對於受影響的組織而言,應保持警惕,與法律機構和資安專家合作,採取全面的應對措施,最大程度減輕攻擊帶來的影響。

有關Clop勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

Play 勒索軟體聲稱入侵 Krispy Kreme,威脅洩露公司機密數據

Posted on by blogadmin

重點摘要

  1. Krispy Kreme 資料外洩事件
    知名的 Play 勒索軟體集團公開聲稱對 Krispy Kreme 的資料外洩事件負責,並威脅於 48 小時內公開相關數據。
  2. 數據洩露風險
    該組織揚言洩露公司內部敏感資料,對企業聲譽與運營構成重大威脅。
  3. 雙重勒索策略
    Play 勒索軟體採用「雙重勒索」手法,先竊取資料後加密系統,迫使企業支付贖金。
  4. 全球目標與影響
    Play 勒索軟體集團曾多次對全球多個行業發動攻擊,具備高度威脅性。
  5. 國際背景與連結
    最新報告指出,該集團與北韓APT駭客存在合作關係,進一步加劇其攻擊的複雜性與破壞性。

事件詳情

Krispy Kreme 作為廣受喜愛的甜甜圈品牌,於 2024 年 12 月 11 日正式披露其美國業務因資料外洩而受到影響。

當時攻擊者身份尚未明確,但竣盟科技的暗網研究於 2024 年 12 月 19 日發現,Play 勒索軟體集團(亦稱 PlayCrypt)已在其暗網揭秘網站上公開承認此次攻擊的責任,並表示若企業不在指定期限內回應要求,將公開內部機密資料。根據聲稱,可能洩露的資料包括:

  • 身份證明文件
  • 客戶相關檔案
  • 員工薪資資訊
  • 財務相關數據
  • 預算與會計記錄
  • 稅務文件
  • 私密及個人機密信息

背景與威脅評估

Play 勒索軟體集團自 2022 年 6 月首次現身以來,迅速成為全球網路安全領域的重大威脅。他們專門針對商業、政府、基礎建設、醫療以及媒體等多個領域發動攻擊,足跡遍及北美、南美及歐洲,展現其攻擊範圍與技術的高度成熟性。

該集團採用「雙重勒索模式」,不僅加密受害者的數據,還威脅公開其敏感信息,以進一步施壓受害者支付贖金。2023 年 6 月,該組織針對瑞士政府部門發動的一次攻擊,導致數十萬人個人信息被洩露,成為其最具影響力的事件之一。

在 2024 年 7 月,Play 勒索軟體針對 Linux ESXi 環境推出新型變體,攻擊手段再度升級。同年 10 月,Palo Alto Networks 的 Unit 42 團隊揭示,該集團與北韓政府支持的駭客合作,進一步提升攻擊的國際化與組織化程度。

總結與建議

此次 Krispy Kreme 事件再度凸顯勒索軟體集團的威脅性與其攻擊手段的多樣化。隨著與國家支持駭客合作的跡象浮現,Play 勒索軟體集團已成為全球企業面臨的重大安全挑戰。建議企業加強內部資安防禦能力,採取多層次的應對策略,並確保針對此類威脅具備迅速回應的機制,以降低可能帶來的業務與聲譽損害。

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

e12f93d462a622f32a4ff1e646549c42                  

f01eae4ee3cc03d621be7b0af7d60411

540853beffb0ba9b26cf305bcf92fad82599eb3c

e3069713add2d99750af6c30580fb3595a0b6abc             

254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be7

99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e   

b1ac26dac205973cd1288a38265835eda9b9ff2edc6bd7c6cb9dee4891c9b449

b4f5d37732272f18206242ccd00f6cad9fbfc12fae9173bb69f53fffeba5553f

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

支付298萬美元贖金無濟於事:角川集團仍難擋BlackSuit勒索軟體洩密風暴

Posted on by blogadmin

報導,日本知名媒體巨頭角川公司在2024年6月遭受了嚴重的網路攻擊,最終向與俄羅斯有關的BlackSuit勒索軟體集團支付了298萬美元贖金。然而,即便如此,該組織仍違背承諾,洩露了大量被盜數據。

什麼是 BlackSuit 勒索軟體?

BlackSuit 是一種具有高針對性和高破壞力的勒索軟體,自 2023 年底以來,Darktrace 已偵測到其滲透進入多家美國企業的網路。該勒索軟體的攻擊範圍廣泛,目標行業涵蓋藝術、娛樂、房地產、公共管理、國防以及社會保障等領域。

根據報導,BlackSuit 勒索軟體已索要超過 5 億美元的贖金,單次最高要求達到 6,000 萬美元。在過去BlackSuit針對的目標包括,CDK Global(一家專注於汽車零售技術的全球公司);多家教育機構(特別是美國的高等教育機構);Octapharma Plasma(一家專注於血漿治療的全球生物醫藥公司);巴西政府(影響其多個公共部門運營)等等。

攻擊始末與初步影響

這場網路攻擊於6月8日首次發生,目標鎖定角川的伺服器,涵蓋支援流行視訊串流平台Niconico及其相關服務的系統。攻擊者BlackSuit聲稱對此事件負責,並表示在發動攻擊前幾週已成功滲透角川網路,利用系統漏洞存取了大量敏感數據,包括員工詳細資料、合約文件以及財務記錄等。

BlackSuit駭客組織向角川高層發送的電子郵件,Photo Credit: 共同通訊社

作為日本媒體領域的龍頭企業,角川以其多元的出版、電影及網路服務業務享譽業界。然而,這次攻擊對其運營帶來了毀滅性影響。Niconico服務被迫中斷數週,角川不得不採取臨時措施以維持部分平台功能。此外,其出版和商品業務也因延誤而受挫,進一步損害了公司聲譽與財務穩定性。

緊張的贖金談判

根據網路安全公司Unknown Technologies曝光的內部信件,角川公司與攻擊者之間的談判充滿緊張與不確定性。BlackSuit初步索要825萬美元的巨額贖金,然而,角川子公司Dwango Co.的營運長栗田茂隆(Shigetaka Kurita)表示該數額無法接受。栗田在與攻擊者的溝通中指出,由於公司在此前涉及東京奧運賄賂醜聞後採取了更加嚴格的合規政策,支付金額被限制在300萬美元以下。

最終,雙方協議支付價值298萬美元的比特幣(44枚),以換取攻擊者刪除被盜數據的承諾。然而,支付完成後,BlackSuit仍洩露了大部分敏感數據,包括Dwango Co.所有員工的個人信息及其他公司機密資料。

資料洩露與後續影響

此次數據洩露對角川公司及其相關利害關係人造成了深遠影響。雖然角川公司聲明未涉及信用卡資訊洩露,但洩露的員工個資與公司敏感數據嚴重損害了其公眾形象,並引發用戶及投資人的強烈不滿。

據分析,這些資料已被BlackSuit在暗網公開展示。角川公司對外表示,警方已介入調查,並拒絕正面回應是否支付贖金。然而,支付贖金的消息經洩露後,再次引發了有關勒索談判的道德與實際效果的激烈討論。專家警告稱,向攻擊者支付贖金不僅可能鼓勵其繼續犯罪,還不能保證資料不被洩露或受害者不被再次攻擊。

結語

角川的經歷提醒我們,面對不斷進化的勒索軟體攻擊,企業不僅需要加強技術防禦,更應在管理層面建立更健全的資安文化與預案。將資源投入於預防與恢復能力建設,才是最有效的應對方式。

BlackSuit勒索軟體的部分的入侵指標(IOCs):

0bb61c0cff022e73b7c29dd6f1ccf0e2                 

1b2b0fc8f126084d18c48b4f458c798b                

3900ebc7766f3894fb1eb300460376ad

3bf1142b3294c23852852053135ec0df

519dc779533b4ff0fc67727fecadba82

6015e6e85d0d93e60041fa68c6a89776    

76a2363d509cc7174c4abee9a7d7ae68   

820cfde780306e759bb434da509f7a91

b54240c98ca23202e58a1580135ad14c

bed5688a4a2b5ea6984115b458755e90

Salt Typhoon 狂襲:美國 8 家電信巨頭與數十國深陷駭客風暴

Posted on by blogadmin

中國駭客組織「Salt Typhoon」已入侵數十個國家的電信公司,範圍涵蓋美國、印太地區、歐洲和其他地方

Photo Credit: Daily Security Review

在週三(12月4日)的白宮記者會上,美國總統拜登的副國家安全副顧問安妮·紐伯格(Anne Neuberger)警告,中國國家支持的駭客組織「Salt Typhoon」已經成功入侵數十個國家的電信公司,並對全球通訊基礎設施造成嚴重威脅。Neuberger透露,其中包括美國的八家主要電信公司,當中有四家公司此前未被公開報導過,突顯攻擊的廣泛性與隱蔽性。

她表示:「這些駭客活動可能已經持續了一至兩年,其影響範圍不僅限於印太地區,還波及歐洲及其他地區的電信企業。」她強調:「這是一項針對性極強的間諜行動,目標直指政府官員的敏感通訊,以及企業的核心智慧財產權。」

加密技術成為應對核心建議
在週二(12月3日),CISA 和 FBI 的高級官員共同建議美國民眾立即採用加密技術來保護通訊安全。他們指出,加密是應對此類網路攻擊的關鍵手段:「無論是文字訊息還是語音通訊,加密都能有效阻止駭客攔截後解讀信息。」這一建議不僅針對個人用戶,也適用於企業和政府部門,旨在大幅降低敏感數據被利用的風險。

T-Mobile與其他電信企業遭受攻擊
T-Mobile的資安長上週表示,公司的系統是透過一個有連接的有線網路供應商而被攻擊,但目前已經看不到任何駭客活動的跡象。Salt Typhoon這個駭客組織也被稱為FamousSparrow、Earth Estries、Ghost Emperor和UNC2286,自2019年起便針對東南亞的政府機構與電信公司進行入侵活動。CISA和FBI在10月底證實了這次駭客攻擊,Salt Typhoon入侵了多家電信公司的網路,包括T-Mobile、Verizon、AT&T和Lumen Technologies。

攻擊的規模與隱患
聯邦調查揭示,Salt Typhoon 不僅成功侵入部分美國政府官員的私人通訊平台,甚至深入竊取了政府執法部門的監聽平台數據,包括特定執法記錄與客戶通話詳情。這些行動表明駭客已在美國的關鍵基礎設施內部取得立足點,並可能進行長期的情報蒐集。

根據《華爾街日報》的分析,中國駭客可能已控制這些網路數月甚至更長時間,竊取包括企業與個人數據流量在內的海量資料,對國家安全與商業機密構成雙重威脅。

國際合作與防禦升級
為應對這次攻擊,CISA 聯合 FBI、國家安全局(NSA)及多個國際合作機構於週二(12月3日)發佈了專門針對 Salt Typhoon 的防禦指南。指南針對通訊基礎設施提出多項強化建議,包括:

*立即修補漏洞:要求企業和機構更新所有系統軟體,避免利用已知漏洞的攻擊。
*提升通訊保密性:鼓勵部署端到端加密的通訊方案,防止數據攔截。
*強化網路分段與監控:加強內部網路隔離,縮小駭客可能擴散的範圍。
*定期安全評估:要求系統管理員定期進行漏洞掃描和滲透測試,以提高網路防禦的敏捷性。

國際上,相關受害國家也加強了情報共享,並呼籲對中國的網路間諜行為採取更強有力的外交回應。這起事件可能推動更多國家參與制定全球網路安全協議,加強跨境協作應對日益頻繁的國家級網路攻擊。

對未來的影響與啟示
Salt Typhoon 的攻擊揭示了現代電信基礎設施的潛在風險,也暴露出全球在應對網路間諜行為上的防禦漏洞。以下是可行的下一步措施:

全球網路安全標準化:在國際層面推動建立統一的網絡安全規範,增強全球一致性。
技術創新投入:加速部署人工智能驅動的威脅檢測技術,探索量子密碼學應用,構建更加安全的通訊環境。
建立常態化聯合演習機制:促進政府、企業與技術專家的合作,模擬與測試應對大規模網路攻擊的能力。
Salt Typhoon 的事件不僅是一場網路安全危機,也是一個重要的警鐘,提醒全球必須更加專注於數位基礎設施的長期韌性與安全性。

Salt Typhoon駭客組織相關的部分的入侵指標(IOCs):

505b55c2b68e32acb5ad13588e1491a5
9218e2c37c339527736cdc9d9aad88de728931a3
25b9fdef3061c7dfea744830774ca0e289dba7c14be85f0d4695d382763b409b
2b5e7b17fc6e684ff026df3241af4a651fc2b55ca62f8f1f7e34ac8303db9a31
44ea2e85ea6cffba66f5928768c1ee401f3a6d6cd2a04e0d681d695f93cc5a1f
6d64643c044fe534dbb2c1158409138fcded757e550c6f79eada15e69a7865bc
b63c82fc37f0e9c586d07b96d70ff802d4b707ffb2d59146cf7d7bb922c52e7e

SmokeLoader 惡意軟體重出檯面,針對台灣的製造業和 IT 產業

Posted on by blogadmin

SmokeLoader 惡意軟體因其多功能性與進階的規避技術而聞名,台灣企業成為最新目標

Photo Credit: SOC Prime

台灣的製造業、醫療保健及資訊科技等領域的企業,近日成為新的 SmokeLoader 惡意軟體攻擊活動的目標。SmokeLoader 是一款以其適應性和規避技術聞名的模組化惡意軟體。在此次攻擊中,它被用來直接執行惡意程式及指令,而非僅作為其他惡意軟體的下載媒介。

網路安全公司 Fortinet FortiGuard Labs 在一份報告中指出:「SmokeLoader 因其多功能性與高階的規避技術而聞名,其模組化的設計使它能執行廣泛的攻擊模式。」「雖然 SmokeLoader 主要是作為下載器來傳送其他惡意軟體,但在此案例中,它是從指令與控制(C2)伺服器下載外掛程式來自行執行攻擊。」

SmokeLoader 是一款於 2011 年首次在網路犯罪論壇上公開的惡意軟體下載器,主要用途是執行後續的惡意程式及指令。此外,它還能下載更多模組,擴充其功能以竊取資料、發動分散式阻斷服務(DDoS)攻擊,以及進行加密貨幣挖礦。

雲端運算安全公司 Zscaler ThreatLabz 對該惡意軟體的分析表示:「SmokeLoader 會偵測分析環境,生成假的網路流量,並混淆程式碼來規避偵測及阻礙分析。」「該惡意軟體系列的開發者持續提升其功能,透過引入新功能及混淆技術來阻礙分析工作。」

在 2024 年 5 月下旬,由歐洲刑警組織(Europol)主導的 Operation Endgame 行動中,與數個惡意軟體家族(例如 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot)相關的基礎設施被拆除,導致 SmokeLoader 的活動大幅減少。

多達 1,000 個與 SmokeLoader 連結的 C2 網域被移除,超過 50,000 個受感染系統經由遠端清理。然而,該惡意軟體仍舊被網路威脅團體利用,透過新的 C2 基礎設施散發惡意程式及指令。Zscaler 表示,這主要歸因於網路上公開流通的許多破解版本,使得該惡意軟體仍具有活躍性。

根據 FortiGuard Labs 的發現,最新攻擊鏈的起點是一封帶有微軟 Excel 附件的網路釣魚電子郵件。當附件被開啟時,利用了多年前的安全漏洞(例如 CVE-2017-0199CVE-2017-11882),挾帶一個名為 Ande Loader 的惡意軟體載入器,隨後將 SmokeLoader 部署到受感染的主機上。

SmokeLoader 包含兩個元件:stager 和主模組。

  • Stager 的目的是解密、解壓縮並將主模組注入到 explorer.exe 程序中執行。
  • 主模組則負責建立並維續持續性、與 C2 基礎設施通訊並執行指令。

該惡意軟體支持數種外掛程式,可以竊取登錄憑證、FTP 驗證資料、電子郵件地址、Cookie,以及來自網頁瀏覽器、Outlook、Thunderbird、FileZilla 和 WinSCP 的其他資訊。

FortiGuard Labs 提出幾項防禦措施以應對如 SmokeLoader 的威脅:

  • 防毒軟體保護: 確保防毒軟體的特徵碼是最新版本,以有效偵測及阻絕惡意軟體。
  • 網路釣魚攻擊意識培訓: 鼓勵企業組織利用免費資源來進行資訊安全意識的培訓。
  • 內容拆解與重建(CDR): 建置 CDR 服務,能使檔案文件中嵌入的惡意巨集失效。

Fortinet 解釋:「SmokeLoader 是一種能適應不同需求的模組化惡意軟體。在此案例中,SmokeLoader 是透過其外掛程式來執行攻擊,而非下載完整檔案來完成最後階段。這展現了 SmokeLoader 的靈活度,同時也警示分析人員,即使面對像這樣的知名惡意軟體,也需要特別謹慎小心。」

 SmokeLoader 惡意軟體相關的部分的入侵指標(IOCs):

15b00779bb5d457e76712ec3dd196c46
5fc6f24d43bc7ca45a81d159291955d1
89212a84f1b81d0834edb03b16a9db49
9ac835c38d4d0c6466e641427a2cf8f1
9edbf77e52249cc7c179ed1334847cdb
d0c53c25e4814001be39bd8e1d19e1f2
d20d31a0e64cf722051a8fb411748913
108a8b5f1eaf9ef078a3dc0210e6aa961d6b3787
431d44995111a40b0f8934c2f6e2406119ceeb92
4b37270aedc88397c027703f444ccaed9c23b862