中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

GIMMICK 是一種新發現的 macOS 植入載體(Implant),由中國國家級駭客組織Storm Cloud 開發,用於針對亞洲各地的組織。2021 年末,資安公司Volexity 研究員調查了他們正在監控的環境中的一次入侵,並發現了有執行 macOS 11.6 (Big Sur) 的作業系統的MacBook Pro,被一種被追踪為GIMMICK的惡意程式感染。研究人員解釋說,他們在過去的調查中發現了相同植入載體,但都是針對Windows版本的電腦而來,專家們並將此次針對macOS用戶的攻擊歸因於中國國家級駭客Storm Cloud,Storm Cloud被認為是一組進階且多才多藝的駭客組織,擅長調整其工具集以匹配其目標使用的不同操作系統。

Photo Credit: Volexity

macOS版的惡意軟體GIMMICK主要使用 Objective C 編寫,而Windows版本則同時使用 .NET 和 Delphi編寫。但兩者使用的C2架構、檔案路徑、攻擊模式相同,且濫用 C2 的公有雲託管服務(例如 Google Drive)來逃避檢測。部署後,GIMMICK可以作為守護程式啟動,也可以以客製化應用程式的形式啟動,並旨在模擬目標用戶經常啟動的程式。該惡意軟體被配置為僅在工作日與其基於 Google Drive 的 C2 伺服器進行通信,以進一步融入目標環境中的網路流量。

更重要的是,後門除了從C2伺服器檢索任意檔案和執行命令外,還具有自我解除安裝功能,使其能夠從受感染的機器中自我刪除。

為了保護用戶免受惡意軟體的侵害,Apple 已於2022 年 3 月 17 日為其內置的反惡意軟體保護套件 XProtect發布了新特徵碼,以通過其惡意軟體刪除工具(Malware Removal Tool – MRT)攔截和刪除感染。

研究員總結分析說,將這種惡意軟體移植並使其系統適應新的操作系統 (macOS) 所涉及的開發並非易事,這表明其惡意軟體的背後參與者資源充足、熟練且多才多藝。

有關GIMMICK的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f

SHA 1:

fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8

MD5:

943c3743f72f06e58e60fa147481db83

美國安局(NSA)的頂級後門Bvp47被中國研究員曝光,10年來已入侵45個國家和地區,涉及287個組織

該頂級後門程式是由國安局旗下菁英駭客組織方程式(Equation Group)所打造的

Photo Credit: Pangu Lab

本週三(23日),來自中國盤古實驗室(Pangu Lab)的一組研究員發表了一份長達 56頁的報告,披露了一種頂級後門程式技術細節和攻擊組織關聯的詳細介紹,該後門被追踪為 Bvp47,用於入侵後監視並控制受害組織網路,據稱是由隸屬於美國國家安全局(National Security Agency-NSA)的一流駭客組織Equation Group所打造的。揭露此後門的中國盤古實驗室以iPhone 越獄技術(JailBreak)而聞名,去年曾以一項iOS漏洞在中國大型駭客大賽天府杯上贏得了30 萬美元。

該後門是在2013年研究員在中國某重點部門的主機進行深入取證調查期間從Linux系統中提取的,經研究發現這個後門程式需要與主機綁定的驗證碼才能正常運行,隨後研究人員又破解了驗證碼,並成功運行了這個後門程式,從部分行為功能上斷定這是一個頂級的後門程式,但是進一步調查需要攻擊者的非對稱加密私鑰才能啟動遠控功能,至此研究人員的調查受阻,並以基於樣本中最常見的字串“ Bvp ”和加密演算法中使用的數值“0x47”,稱該後門為Bvp47。

駭客組織The Shadow Brokers於2016 年和 2017 年先後洩露了一系列據稱從 Equation Group 竊取來的駭客工具和數據。2016 年 10 月末,在駭客洩露的檔案中,發現包含被 NSA旗下組織 Equation Group入侵的伺服器清單,盤古實驗室的研究員也在 The Shadow Brokers 洩露的數據中發現了可啟動Bvp47頂級後門的非對稱加密私鑰的檔案。根據洩露的數據,Equation Group 在 10 年來,在俄羅斯、日本、西班牙、德國、意大利等 45 個國家成功入侵了超過 287 個目標。該組織針對的目標,包括政府、電信、航空航天、能源、金融機構、核研究、石油和天然氣、軍事、運輸和開發加密技術的公司等。

盤古實驗室已將涉及利用Bvp47後門攻擊的活動稱為電幕行動(Operation Telescreen),並稱該後門包含 rootkit、繞過安全功能、反鑑識、自毀設計和其他功能等,旨在允許Equation Group實現對受感染設備的長期控制,窺視被入侵機構的內部網路系統。根據技術分析,後門可以攻擊包括Linux系統、AIX、Solaris、SUN等在內所有作業系統,研究員認為該後門設計精良、架構靈活、功能強大且適用廣泛,能在隱蔽的控制下毫不費力地收集數據,若搭配上零時差漏洞更能使它的網路攻擊力勢不可擋,可讓Equation Group在各國的網路對抗中處於絕對的主導地位。

該實驗室的報告,除了對Bvp47 的技術描述外,還包括強調惡意後門、Equation Group和 美國NSA 之間的關聯,欲了解更多,您可以按此下載

有關Bvp47的部分入侵指標(Indicator of compromise -IOCs):

MD5:

58b6696496450f254b1423ea018716dc

SHA 256:

7989032a5a2baece889100c4cfeca81f1da1241ab47365dad89107e417ce7bac

SHA 1:

ad0197db424b35314a479552875e18893a4ba95a

hostname:

vsn1radius1.vsn1.net.in

ultra10.nanya.edu.tw

win.hallym.ac.kr

www.nursat.kz

汽車零件供應商巨頭日本Denso(電裝公司),疑遭新型勒索軟體Rook入侵, 駭客稱已盜1.1TB數據

12月27日,新型勒索軟體Rook在其揭秘網站宣稱已攻陷日本最大、世界第二大汽車零部件供應商Denso,並竊得1.1TB資料,目前這個操作Rook的背後駭客並未透露更多細節,所以無法得知贖金金額,或駭客給予Denso多久的交涉時間等。

名為 Rook 的新型勒索軟體,前不久才浮出水面,於 11月26日首次在VirusTotal發現其樣本,Rook勒索軟體的背後駭客在其揭秘網站的直白簡介,引起資安界的關注,Rook稱他們迫切需要大量的錢並吹噓一定能滲透目標系統,Rook於 11 月 30 日宣布第一個受害者為一家哈薩克的銀行Zilstroysber Bank。除了加密該組織的檔案外,Rook還竊取了大約1123GB 的數據,用於敲詐勒索。

據了解,Rook勒索軟體是通過第三方滲透框架Cobalt Strike散布的,並使用UPX、VMProtect封裝 ,根據 SentinelOne研究人員表示,也觀察到挾帶了 Rook的網路釣魚電子郵件。一旦Rook在受害者的機器上執行,惡意軟體會嘗試終止所有可能阻礙加密過程的進程。攻擊者還試圖禁用安全產品,以及刪除卷影副本,以防止受害者恢復他們的數據。在加密過程中,勒索軟體會將 .ROOK 的副檔名附加到加密文件中,一旦該過程完成,它會從機器中自我刪除。另外,由於Rook 使用與Babuk勒索軟體相同的 API 調用來檢索每個正在運行的服務的名稱和狀態,並使用相同的函數來終止它們。研究人員相信Rook是來自Babuk勒索軟體的最新產物,據信,是以Babuk原始碼修改而成的新勒索軟體,而該原始碼源於 6月在俄語論壇上洩露的,專家普遍認為之後也會陸續有其他新型勒索軟體的出現,因此企業應準備好有可靠的網路防禦和定期的備份。

Rook勒索軟體的IOCs:

SHA1

104d9e31e34ba8517f701552594f1fc167550964

19ce538b2597da454abf835cff676c28b8eb66f7

36de7997949ac3b93b4b88600

SHA256

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789

c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac

96f7df1c984c1753289600f7f373f3a98a4f09f82acc1be8ecfd5790763a355b

新型殭屍網路Abcbot鎖定中國雲端供應商,會是日後DDoS攻擊的信號嗎?!

惡意指令列腳本(shell script)以騰訊、百度和阿里雲、華為雲等的雲端伺服器為目標,旨在消除其他競爭惡意軟體並連接到Abcbot殭屍網路。

資安研究人員發現了一個新的惡意軟體殭屍網路,在過去幾個月中,它專門針對中國雲端託管服務提供商的基礎設施。資安公司Cado Security 在今天的一份報告中表示,名為 Abcbot的殭屍網路的目標是阿里雲、百度、騰訊和華為雲等公司託管的伺服器,而這報告正與TrendMicro和奇360 Netlab之前的調查結果相呼應 。

CADO資安研究員Matt Muir表示,不論是華為雲,騰訊雲和百度雲等新一代雲端供應商都沒有像AWS的發展成熟。Muri進一步解釋,AWS的發展其中包括一個示警機制,即如果以不安全的方式部署雲端instance時,即會自動產生警報。

研究員表示,Abcbot殭屍網路的攻擊通常針對這些公司託管的 Linux 伺服器,這些伺服器使用弱密碼保護或運行未修補的應用程式。根據 Cado Security的說法,在找到初始入口點後,Abcbot會部署一個 Linux bash 腳本,該腳本禁用 SELinux 安全保護,為攻擊者建立一個後門,然後掃描受感染的主機以查找其他惡意軟體殭屍網路的跡象。有趣的是,如發現競爭的惡意軟體,Abcbot 會终止已知與其他殭屍網路相關的進程以及與加密挖操作相關的進程。Abcbot還採取了其他殭屍網路未曾見過的步驟,即刪除SSH密鑰,僅保留自己的密鑰。

研究員說從對這個指令列腳本的分析中可以明顯看出,Abcbot 背後的威脅參與者投入了大量資金,以保持他們對雲端安全威脅形勢的了解。該惡意軟體包含從主機中刪除加密挖礦和以雲為中心的惡意軟體的特定命令,例如 WatchDog 和 Kinsing。研究還指出,攻擊者針對和騰訊使用的監控解決方案,指向駭客針對特定雲端供應商。Cado研究人員分析的Abcbot樣本包含將受感染系統進行圍堵的功能, TrendMicro分析的Abcbot樣本有包括用於加密貨幣挖礦的模組,Netlab 分析的樣本有包括用於 DDoS 攻擊的功能。

研究人員綜合Abcbot採取的步驟和功能,認為其最終目的是為攻擊者創造加密貨幣的利潤。目前Abcbot殭屍網路的規模仍然未知,但相信鑒於惡意軟體針對特定的雲端供應商,這表明傳播有限。但認為Abcbot的不斷發展,可用於在未來發動DDoS攻擊。

殭屍網路(Botnet)也稱機器人網路(RobotNetwork),病毒通常會隨著 e-mail、即時通訊軟體或電腦系統漏洞,入侵電腦,再藏身於任何一個程式裡。

殭屍網路與木馬程式的使用方式相仿,但木馬只會攻擊特定目標,較不會藉由被植入木馬的電腦主機,再去攻擊其他電腦。 反觀殭屍網路不但會攻擊其他電腦,且具有蠕蟲的特性,會慢慢在網路空間中爬行,一遇到有漏洞的電腦主機,就自行展開攻擊。

Abcbot 殭屍網路的入侵指標(Indicator of compromise -IOCs):

SHA256:
56d677ed192b5010aa780d09c23b8ee8fdff94d39b20a07c7de76705e5f8c51f
22b521f8d605635e1082f3f33a993979c37470fe2980956064aa4917ea1b28d5
IPs:
http://103[.]209[.]103[.]16:26800/ff.sh
http://103[.]209[.]103[.]16:26800/xlinux

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

11月30日,在勒索軟體Snatch的揭秘網站上,發布了富豪汽車Volvo Car頁面,表示Snatch已經攻擊了上市汽車公司Volvo,但Snatch沒有公開透露有關盜來數據容量的大小,目前也不清楚勒索的金額。

據了解,Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體,Snatch於2019年4 月開始活躍,大量發動攻擊,隨後於2020 年突然消失,但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密,以躲避防毒軟體的偵測的勒索軟體,Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊,透過暴力破解,利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路,之後會收集該企業相關的重要敏感資訊,上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄,可見自11月25日以來已有12名受害者,除了Volvo Cars外,還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導,在流出的螢幕截圖中,可看到富豪汽車虛擬的3D 建模檔案,然而富豪汽車沒有證實,或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道:“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論,但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721

研究人員在華為的AppGallery中發現了190 多款包含Android.Cynos.7.origin木馬的遊戲,約930萬部Android手機受感染

安裝量超過 2,000,000 次的 “快點躲起來”遊戲
#drweb
安裝量超過 427,000 次的“Cat adventures”遊戲:

大約930個 Android木馬偽裝成190多個不同的應用程式,上架在華為 AppGallery,並已被大量下載作,成為大規模惡意軟體活動。俄羅斯防毒公司Dr. Web的報告,已將該木馬識別為Android.Cynos.7.origin,用途在收集的用戶敏感數據,該木馬程式為 Cynos惡意軟體的變種。

目前Dr.Web已經將此發現和報告通報給華為,並協助華為從他們的AppGallery中刪除了檢測到的應用程式,但在Android手機上已安裝應用程式的用戶還是需要手動進行刪除。

據了解在Android應用程式中,攻擊者將他們的惡意軟體偽裝成模擬器、街機遊戲、平台遊戲、RTS 策略遊戲以及分別為俄語、中文與國際用戶推出的射擊遊戲,受惡意軟體感染的熱門遊戲包括 Drive school 或 Cat Adventures等。在安裝這些應用程式後木馬的攻擊性就顯現出來,例如它會請求允許執行與遊戲無關的活動,撥打電話、偵測使用者位置等。該惡意軟體還允許攻擊者竊取以下數據:

電話號碼

地理位置數據

WiFi 網路的詳細資訊

行動網路參數和標識符

電話硬體和軟體規格

Dr.Web研究人員,乍一看,手機號碼外洩似乎是一個微不足道的問題。然而,實際上,它會嚴重傷害用戶,特別是考慮到兒童是遊戲的主要目標受眾。即使手機號碼是成人註冊的,但從下載的遊戲也很可能表明孩子是實際使用手機的人。值得思考的是,父母是否希望上述手機數據不僅傳到未知的外國伺服器,或發送到任何外人上。

此處提供了Dr.Web 歸類為感染了Cynos惡意軟體版本的所有遊戲

入侵指標(Indicator of compromise -IOCs):

URL | App name | Package name | SHA-1

http://appgallery.huawei.com/#/app/C102937601 | 3D City Hunting | com.sns.csls3d.huawei | 8b1de0c1fdea45ff8f4ae250307c0a8f69c3d426

http://appgallery.huawei.com/#/app/C103277985 | 3D Cartoon man Parkour | com.szlh.zhebushikualan.huawei | f70f195fd9deffbde2ee812c93b327d07e18443f

http://appgallery.huawei.com/#/app/C103662071 | 3D City Wild Racing | com.zjld.tejimotuoche.huawei | fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d

http://appgallery.huawei.com/#/app/C104481373 | 3d Man action run | com.zjld.zbsklmar.huawei | e6024ce99966f4ecaff0efdae7781d9d448b2c79

http://appgallery.huawei.com/#/app/C104633441 | Ace of sky hero | com.hsrj.zhandoujiash.huawei | e5ed0eda9513f41b5c9ebd7b14529180a4e5d822

http://appgallery.huawei.com/#/app/C104684815 | Acrobatics diving training | com.zjld.xytsadt.huawei | d4c1b4b2a65279b768338f2c0d12b695572b101b

http://appgallery.huawei.com/#/app/C103622351 | Adventures of Magical Girl | com.yly.mengdongjielong.huawei | 532b2d05f528ee68a1f89d02fa2477a8fac7c88b

http://appgallery.huawei.com/#/app/C104374449 | Airplane master | com.hxy.fzfjam.huawei | fec03ced8741a8241fcb5f272ede566a634ba539

http://appgallery.huawei.com/#/app/C103616693 | All-Star Basketball Championship  com.cchl.guanlandazuozhan.huawei | f4b9517b19f8c4cee7295f653dca4af8f9e62a13

http://appgallery.huawei.com/#/app/C103768237 | almighty carry company | com.ccsk.quannenglaosiji.huawei | d4a1e722adda57f72f9daafdfd338630b48ae55f

http://appgallery.huawei.com/#/app/C104284813 | Ancient escape | com.yly.ywscae.huawei | 5599dfea0b274e4edbfdabad72d68e271b99e72d

http://appgallery.huawei.com/#/app/C103895857 | Anti-terrorism actions | com.xstk.csata.huawei | aeb5f642538bfdf6b2a8eb5cf3214035a634506f

http://appgallery.huawei.com/#/app/C103562987 | Anti-terrorist police battle | com.sns.qingsongduobi.huawei | b1112a4847c4006f126f0a5ab08b191df039adb7

http://appgallery.huawei.com/#/app/C103623983 | Ants survive in the wilderness | com.cchl.mayishengcunmoniqi.huawei | fb1b5402a51ebc00b17670d6e6b49dba28d36704

http://appgallery.huawei.com/#/app/C103171043 | Armed air attack at sea | com.zjld.jisulingyun.huawei | f05119b12fc28aca89f48b5a939d6e1928c04bc6

http://appgallery.huawei.com/#/app/C103562027 | Armed escort prisoners | com.hs.wuzhuangyajieqiufan.huawei | 7bf6516b2176363de9d7a7993445ede9f697260d

http://appgallery.huawei.com/#/app/C104457167 | Armed shooting raid | com.hxy.csasr.huawei | c4f1405bba22826a69e94ef20763cb664bc3b44c

http://appgallery.huawei.com/#/app/C103233993 | Armed zombie Tower Defense | com.cchl.baoweixiangrikui.huawei | c30291b34ec74128196612b0a80034424de2ea67

http://appgallery.huawei.com/#/app/C104338383 | Army car transport prisoners | com.sns.wzyjqfactp.huawei | f56151b7fd4096f73574717075f6c08e32ff4765

http://appgallery.huawei.com/#/app/C104661821 | Assassination Sniper | com.xstk.yjbzas.huawei | fca6cb15168ac7b256da4bbb442cf93050981b61

http://appgallery.huawei.com/#/app/C104338933 | Assassination time 3D | com.hsrj.yjbzat.huawei | 78e48efac48d7ed9ea53a7a7df294da0a97de066

http://appgallery.huawei.com/#/app/C104143713 | Battle of tanks | com.zjld.xintankebot.huawei | c80fee5ffccf9ce85ff15b7d085d700ae70aef98

http://appgallery.huawei.com/#/app/C104694107 | Battlefield assault team | com.yly.csbat.huawei | 4a4abab1e69ef629c1c622fd3be280c013e4e9fd

http://appgallery.huawei.com/#/app/C104173375 | Beach ambulance | com.hsrj.htjydba.huawei | b860d5303d8921fed08c5e374483ac127ee2385e

http://appgallery.huawei.com/#/app/C104735997 | Beach Emergency team | com.cchl.htyjxz.huawei | b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1

http://appgallery.huawei.com/#/app/C104516919 | Beach rescue driving | com.sns.htjydbrd.huawei | 38ab82696f45fdf52c04d3ba760e8b752b07df6d

http://appgallery.huawei.com/#/app/C104151447 | Beat the buddy | com.szlh.mtcrbtb.huawei | a4dbe44e0cbef5db32651050189848e9207e28ed

http://appgallery.huawei.com/#/app/C103162445 | Brave Ninja saves Princess | com.zjld.jiantoudaren.huawei | 1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb

http://appgallery.huawei.com/#/app/C104859673 | Bumper Car Arena | com.hsrj.debibca.huawei | 81ae7a0fac2f385b2984669356d92cf7e807fbb7

http://appgallery.huawei.com/#/app/C104621857 | Busy road driving | com.cchl.jyztcbrd.huawei | 7795827b9feb3e6d8a86f30a48686d3fe816ab30

http://appgallery.huawei.com/#/app/C104276919 | Car battle ground | com.xstk.kbphwcng.huawei | 6c748786e3d18321b7e2f6c64b578ecb310d5b82

http://appgallery.huawei.com/#/app/C103920731 | Car destruction war | com.yly.kbphwcdw.huawei | 195bad41d7c0cee3a388ec072353e9b62c923c67

http://appgallery.huawei.com/#/app/C103920329 | Car drive master | com.zjld.jcddcdm.huawei | 664e47cebb0464339d5e75efb4279c1fa86e131a

http://appgallery.huawei.com/#/app/C103955065 | Car merge shooting | com.szlh.xxlpdcms.huawei | f57efc2ee390c43d42dde0e6dde81a2c5dd1958b

http://appgallery.huawei.com/#/app/C104402277 | Car shooting defend war | com.yly.xxlpdcsdw.huawei | 6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72

http://appgallery.huawei.com/#/app/C104114723 | Cat adventures | com.hxy.xmlxjca.huawei | 18558dca2734d6b098d91d570e0ca13623e0a851

http://appgallery.huawei.com/#/app/C104415377 | Cat cute diary | com.szlh.xmlxjccd.huawei | aa2f1784fe24b564fdeb577a340d439661db1571

http://appgallery.huawei.com/#/app/C103823729 | Cat game room | com.hs.xiaomaolixianji.huawei | 79ddb48ac25eb392c9e92dc44d32bbc522e19fae

http://appgallery.huawei.com/#/app/C104429049 | City car parking test | com.sns.jyztcccpt.huawei | 30abca107e63b3858bc661f27e2ab56ee3fbb471

擁槍團體美國全國步槍協會,遭Grief勒索軟體入侵

10 月 28 日,據美國NBC新聞報導,操作Grief勒索軟體的俄羅斯駭客組織聲稱已經成功入侵了美國全國步槍協會 (NRA),週三在其揭秘網站上發布了來自全國步槍協會數據庫的13 個檔案,威脅說如果不支付贖金,就會發布敏感資訊。美國全國步槍協會( National Rifle Association ; NRA ; 簡稱美國槍會 )是美國最大規模的槍械組織,有超過五百萬名會員,美國槍會積極參加美國當地的政治活動,具有重大政治影響力。目前尚不清楚 Grief是否攻擊了美國槍會的一個較小的分支機構,或是攻擊了的中央網路。

Grief勒索軟體揭秘網站

根據消息人士,美國槍會沒有回應 NBC 就此次駭客事件發表評論的請求,但據報導,美國槍會只稱是它們的電子郵件系統遇到了技術問題。隨後,美國槍會在Twitter一條推文中表示,它們不討論是其實體或電子安全相關的問題,並補充說它們採取非常措施來保護會員和捐助者的資料。

近年來,針對各種公司和組織的勒索軟體攻擊激增,但很少有像美國槍會那樣具有政治敏感性的目標。該組織長期以來一直與美國共和黨高層立法者保持密切聯繫,並且一直是共和黨候選人的主要支持者。全國步槍協會在過去兩次總統選舉中花費了數千萬美元幫Donald Trump助選。

BleepingComputer,Grief 勒索軟體與名為 Evil Corp. 的俄羅斯駭客組織有關,Evil Corp 自 2009 年以來一直活躍,並參與了許多惡意網路活動,包括分發Dridex木馬以竊取網上銀行憑證和竊取資金。

駭客組織在 2017 年轉向勒索軟體,當時他們發布了名為 BitPaymer 的勒索軟體。BitPaymer 後來在 2019 年演變為 DoppelPaymer 勒索軟體操作。

在多年攻擊美國利益後,美國司法部指控 Evil Corp 成員竊取超過 1 億美元,並將該駭客組織列入外國資產控制辦公室 (OFAC) 制裁名單。

不久之後,美國財政部隨後警告說, 勒索軟體談判人員可能會因協助向制裁名單上的駭客組織支付贖金而面臨民事處罰。

從那時起,Evil Corp 就經常以不同的名稱發布新的勒索軟體,以逃避美國的制裁。這些勒索軟體系列包括 WastedLocker、  Hades、  Phoenix CryptoLocker、  PayLoadBin,以及最近的 Macaw Locker。然而,他們最初的勒索軟體 DoppelPaymer 以相同的名稱運作了多年,直到 2021 年 5 月,他們停止在揭秘網站點上列出新的受害者。

一個月後,Grief 勒索軟體出現了,基於程式碼的相似性資安研究人員認為這是DoppelPaymer 的品牌重塑。

有關Grief勒索軟體的入侵指標Indicators of compromise (IOCs):

SHA256 :

b5c188e82a1dad02f71fcb40783cd8b910ba886acee12f7f74c73ed310709cd2

91e310cf795dabd8c51d1061ac78662c5bf4cfd277c732385a82f181e8c29556

dda4598f29a033d2ec4f89f4ae687e12b927272462d25ca1b8dec4dc0acb1bec

0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0

b21ad8622623ce4bcdbf8c5794ef93e2fb6c46cd202d70dbeb088ea6ca4ff9c8

研究人員發現,俄羅斯APT駭客組織Turla 在攻擊目標系統上部署新型的second-chance後門程式

研究人員發現俄羅斯國家級駭客 Turla是一系列新的入侵活動的幕後黑手,該攻擊活動使用以前未被記錄過的新型後門程式來入侵美國、德國和阿富汗的系統。根據Cisco Talos的研究,俄羅斯的APT 駭客組織Turla (又名Snake、Venomous Bear、Uroburos和WhiteBear) Turla至少自2004年以來就一直活躍。多年來,該組織以美國、烏克蘭或阿拉伯國家為目標,開發並維護了一套龐大的攻擊工具,如Crutch或Kazuar。

這一系列新的入侵活動利用一個隱蔽的second-chance後門” TinyTurla”來維持被感染的設備的存取權限。在這裡”second-chance “意指可作為第二次入侵的使用,據了解Tiny Turla後門很難被清除,即使被感染的機器清除了主要的惡意軟體,攻擊者也能繼續保持對系統的存取,同時還可以用作第二階段的dropper,用其他惡意軟體感染系統。此外,TinyTurla 可以上傳和執行檔案或將敏感數據從受感染的機器傳輸到遠端伺服器,同時每五秒請求一次C2伺服器以獲取最新的命令。

TinyTurla的入侵活動涉及使用.BAT 檔案來部署惡意軟體,但確切的入侵途徑尚不清楚,另外研究人員發現,這個新穎的後門——偽裝成一個無害但虛假的微軟 Windows 時間服務(“ w32time.dll ”),能夠上傳、執行或竊取檔案,被編排以註冊自身與攻擊者控制的伺服器建立通信,以接收進一步的指令,範圍從下載和執行任意進程到將命令的結果上傳回伺服器。

由於TinyTurla的功能有限且編碼高效,反惡意軟體工具很難檢測到它是惡意軟體。這也就解釋了為什麼儘管攻擊者從2020年就開始部署它,但是一直沒有被發現。

有關TinyTurla的入侵指標Indicators of compromise (IOCs):

SHA256:

030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01

SHA1: 02c37ccdfccfe03560a4bf069f46e8ae3a5d2348

MD5:

028878c4b6ab475ed0be97eca6f92af9

FBI 針對勒索軟體會員(Ransomware affiliate )首次發出警報,直接點名”OnePercent Group”

美國聯邦調查局(Federal Bureau of Investigation;FBI) 在8月23日,針對勒索軟體會員的作案手法發布了其首個公開警報(警報編號為CU-000149-MW的FBI Flash )。勒索軟體會員(Ransomware affiliate) 一個相對較新的術語,是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。

美國聯邦調查局點名的勒索軟體會員為”OnePercent Group”,FBI表示該團體至少自 2020 年 11 月以來一直活躍,積極針對組織進行勒索軟體攻擊。根據 FBI 警報,該團體主要依靠以下策略進行攻擊:

*利用網路釣魚電子郵件活動用 IcedID 木馬感染受害者。

*利用 IcedID 木馬在受感染的網路上部署額外的payloads。

*利用 Cobalt Strike 滲透工具在受害者的網路中橫向移動。

*利用 Rclone 從受害者的伺服器中竊取敏感數據。

*加密數據並要求贖金。

*給受害者打電話或發電子郵件威脅說,如果他們不付款,就會在暗網上出售他們被盜的數據。

OnePercent Group是知名勒索軟體REvil、Maze 和 Egregor 的會員

雖然 FBI 沒有指出OnePercent Group哪一個勒索軟體的會員,但根據業內人士的消息,OnePercent Group與運作 REvil (Sodinokibi) 勒索軟體的駭客有長期合作,並且還與 Maze和 Egregor合作。雖然 FBI 沒有提供有關 OnePercent Group 過去攻擊的任何資訊,但 FBI 的 IOC 列表中提到的兩個C2伺服器(golddisco[.]top 和 june85[.]cyou)也出現在 FireEye 關於 UNC2198 駭客組織的報告中,該駭客組織利用IcedID 部署了 Maze 和 Egregor 勒索軟體。

有關 OnePercent Group的入侵指標(Indicator of compromise -IOCs):

Onion Domain:

5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad.onion

IPs and Domains

157.245.239.187

31.187.64.199

206.189.227.145

167.71.224.39

80.82.67.221

138.197.179.153

134.209.203.30

nix1.xyz

golddisco.top

delokijio.pw

june85.cyou

intensemisha.cyou

biggarderoub.cyou

d30qpb9e10re4o.cloudfront.net

SHA256

Rclone.exe (64 bit)

ECA9FAC6848545FF9386176773810F96323FEFF0D575C4B6E1C55F

8DB842E7FE

SHA1

Rclone.exe (64 bit)

C00CFB456FC6AF0376FBEA877B742594C443DF97

SHA256

Rclone.exe (32 bit)

E70ED531C8A12E7ECCE83223D7B9AA1895110DC140EDF85AFC31C

8C5CD580116

SHA1

Rclone.exe (32 bit)

A1D985E13C07EDDFA2721B14F7C9F869B0D733C9

TOR URL: http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty

3zad. Onion