LockBit聲稱駭入台積電?! 勒索7千萬美元!

台積電則表示只是其供應鏈中的一個廠商遭入侵

臭名昭著的勒索軟體集團於今天(6月30)在其暗網揭秘網站上宣布,已入侵台積電並要求高達7千萬美元的贖金以換作不散播盜來的資料。LockBit聲稱若台積電拒絕付款,將公佈入侵該企業網路的切入點、密碼和公司登錄帳號,然而該貼文並未公佈包含任何數據樣本或其他表明攻擊者可能掌握的資料類型,但LockBit已設定支付贖金的最後期限為 8 月 6 日。

根據國外資安媒體SecurityWeek,台積電最近獲悉其供應商經歷了一場資安事件,導致與初始伺服器設定和配置相關的資料遭到外洩。然而,台積電則表示因所有進入其公司之硬體設備包括其安全設定皆須在進廠後通過公司完備程序做相對應的調整,包括安全配置。經審查,該事件並未影響台積電的業務運營,也沒有外洩任何台積電的客戶資料。事件發生後,台積電已根據公司的安全協議和標準操作程序立即終止與該供應商的數據交換。據了解,遭攻擊的供應商是台灣的擎昊科技(Kinmax Technology),一家提供IT、SI系統諮詢與整合服務的廠商。根據經濟日報擎昊科技也已發布聲明如下:

「本公司於 2023 年 6 月 29 日上午,發現公司內部特定測試環境中,遭受外部團體之網路攻擊,並擷取相關資訊,資訊內容主要為本公司為客戶提供之各式系統裝機準備資訊,因揭露之資訊中出現特定客戶之名稱,造成客戶之困擾,除先向受到影響之客戶致歉外,本公司已就此次資安事件進行排查與防護強化,特此通知。」

後續該公司也特別針對該資安事件在其官網發出說明的公告:

LockBit 勒索軟體集團自 2019 年以來一直存在,並以其同名惡意軟體而聞名。自 2022 年初以來,該集團一直在勒索軟體領域佔據主導地位,成為市場上最多產的勒索軟體集團。它主要採用勒索軟體即服務模式(RaaS),將部分贖金利潤支付給實施攻擊的會員,這個臭名昭著的勒索集團擁有 1,800 多名受害者。

LockBit聲稱已成功入侵南韓國稅局,並將公開盜竊得來的數據

3月29日,LockBit勒索軟體集團在其揭秘網站上張貼了關於韓國國家稅務的頁面,聲稱已功入侵該機構並將於韓國時間4月1日晚上8時公開盜取得來的數據。不過與其他攻擊案例不同的是,此次並沒發布機構圖片、相關內容和樣本等,引發外界的好奇及揣測。

根據韓國多家媒體報導,韓國國稅局駁稱LockBit的說法不屬實,稱目前還沒有任何資料外洩的情形。國稅局進一步解釋,稅務資料單獨存儲在未連網的內部網路中,並沒有外部入侵的跡象。此外還補充說明,目前尚無已知事件表明國稅局職員已打開任何電子郵件而遭勒索病毒感染,國稅局也稱LockBit沒有正式向其聯繫要求任何的贖金。

韓媒稱,國稅局隸屬經濟及財政部,如果此次入侵屬實將可造成嚴重的影響。韓國資安公司S2W特別呼籲,隨著針對南韓網路威脅不斷加劇,攻擊者掌握了韓國的資安應對方法和水平,組織需做出更強而有力的回應。此次之前,LockBit勒索軟體在2022年7 月 入侵了局意大利國稅局 (L’Agenzia delle Entrate),聲稱竊取了100MB數據並在其揭秘網站上公開一些樣本作為攻擊的證明。

2023 年 3 月,美國FBI、CISA及MS-ISAC共同發佈了LockBit3.0勒索軟體的資安通告,該警報概述了入侵指標和緩解建議。這些建議包括:

*遵循強密碼實踐和管理

*啟用防網絡釣魚的多重身份驗證 (MFA)

*分段網路以防止惡意軟體橫向移動

*禁用未使用的端口

*禁用命令行和腳本操作的權限

*保持離線備份,對其進行加密並定期維護

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

LockBit為攻擊加拿大Sickkids醫院道歉,首次釋出免費解密工具,專家稱醫院仍需數月完全恢復系統

臭名昭著的LockBit勒索軟體集團,在承認其會員(Affiliate) 之一是加拿大最大兒科醫院(Sickkids) 網路攻擊的幕後黑手後,罕見地道歉並免費釋出解密工具給與受害醫院。12 月 18 日,多倫多病童醫院 (SickKids ) 遭到勒索軟體攻擊,導致該機構無法存取其許多關鍵系統,該事件影響了醫院內部系統、醫院電話線路和網站。雖然這次攻擊只加密了幾個系統,但 SickKids表示,該事件導致實驗室和影像系統的接收延遲,導致患者等待時間的增加,該醫院同時發出了灰色代碼(Code Grey)警示。截至 12 月 29 日,SickKids說它已重新恢復近 50% 的優先系統(Priority system),包括那些導致診斷和治療延誤的系統。12 月 31 日,LockBit 勒索軟體集團在其揭秘網站發出道歉聲明,LockBit 為這次攻擊道歉並發布了解密工具,LockBit道,“我們對加拿大Sickkids醫院的攻擊正式道歉,並免費提供解密工具,攻擊這家醫院的會員違反了我們的規定,已被封鎖,不能再加入我們的會員聯盟中。”

LockBit為Sickkids醫院提供解密工具
LockBit向Sickkids醫院道歉,SickKids 是多倫多的一家教學和研究醫院,專注於為患病兒童提供醫療保健。

根據Bleeping Computer的及報導,解密工具明顯地只適用於Linux/VMware ESXi系統,不支援 Windows,這表明 LockBit的會員只加密了醫院網路上的虛擬機。Sickkids在 1 月 1日表示,在獲悉勒索軟體組織在網上發布的聲明,其中包括提供免費解密工具以恢復受網路攻擊事件影響的系統,已聘請第三方專家來驗證和評估解密工具,並補充說他們沒有支付任何贖金。目前尚不清楚,為什麼 LockBit花了將近兩週的時間才向 SickKids 提供免費解密,值得注意的是,在過去LockBit也曾針對醫院發動攻擊但並沒有釋出解密工具的紀錄,。例如,在2022年8 月,LockBit向法國醫院 Centre Hospitalier Sud Francilien勒索1000萬美元的贖金在醫院拒付後和最終外洩患者數據。2022年6 月,日本德島縣鳴門市醫院遭LockBit入侵,導致電子病歷無法存取。

Lockbit勒索軟體集團以勒索軟體即服務(Ransomware as a service,RaaS) 的操作來運營,負責建立及維護勒索軟體、加密工具和網站,其會員負責入侵受害者的網路、竊取數據和加密設備,該集團從所有贖金中抽取 20%作為報酬,其餘80%則交給會員。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit 3.0 勒索軟體集團在雙12公布了十家受害組織,驚見兩家台灣企業榜上有名

台灣汽機車機電系統整合大廠及觸控面板大廠疑遭駭

12月12日LockBit勒索軟體集團一口氣列出十家遭其入侵的企業,以國家來劃分,當中台灣、日本、墨西哥及越南各佔了兩家,委內瑞拉及美國各佔一家,可見LockBit已有鎖定亞洲的趨勢。

據LockBit的聲稱,台灣某汽機車機電系統整合大廠為其12/12公布的受害企業之,該整合大廠為國內外提供排放控制解決方案、機電一體化(OEM)代工服務等服務,工廠遍布福建、上海、印度、越南及桃園等地。LockBit給與13天的談判時間,如雙方沒達到合作成共識,受害企業的數據將在聖誕節當天被公開。另外,另一受害企業為觸控面板大廠,生產電容式觸控面板、薄膜按鍵觸控面板,電阻式觸控面板等, LockBit聲稱將在12月22日公布觸控面板大廠的相關資料,目前尚未不清楚這兩家公司有多少數據被盜。

某汽機車機電系統整合大廠
某觸控面板大廠

根據竣盟科技的統計,從2022年6月LockBit的版本升級至3.0以來,我國出現超過十家遭LockBit.30攻擊的受害公司,製造業為最常被攻擊的目標。

LockBit 3.0的版本的顯著功能,包括:

*逃避 Anti-virus 和 EDR 系統的反檢測機制

*啟動時都需要一個獨有的 32 個字符的密碼,這可產生反分析功能

*LockBit 3.0 要求在執行時提供參數作為存取權杖

*新版本比舊版本更具規避性,速度更快

*增加了新的anti-debug功能

*還存在用於禁用 Windows Defender 和調試 Windows 事件日誌的機制。

執行後,LockBit 3.0 會嘗試禁用 Windows Defender 以防止其檢測,如上所述。

竣盟科技建議您:

*使用多因素身份驗證來保護員工的帳戶

*執行每日備份並保持離線狀態以避免丟失數據

*通過建立獨立的網段、清晰的訪問層次結構以及活動目錄、網域管理員和本地域的額外安全性來破壞網路移動/調查——從而使 LockBit 3.0 的操作複雜化。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

LockBit 3.0 的”部分”入侵指標(Indicator of compromise -IOCs):

Hashes~

cf1f380d736c035793581d87868952efe789520a

1d8596310e2ea54b1bf5df1f82573c0a8af68ed4da1baf305bcfdeaf7cbf0061

77c5fb080bf77f099c5b5f268dcf4435

f019495a1d4feecc07769dc1fbecccb871634cc707c43befe1ea7aa2c629e337

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

研究人員發現LockBit成員利用Amadey Bot惡意軟體,部署勒索軟體LockBit3.0

根據韓國資安公司 AhnLab,已確認攻擊者正在利用 Amadey Bot惡意軟體續進行 LockBit。研究人員表示用於安裝 LockBit 的惡意軟體 Amadey Bot 正在通過兩種方式分發:一種是使用惡意 Word 文檔文件,另一種則是偽裝成 Word 檔案圖示(icon)的可執行檔案,從電子郵件主題來看,攻擊是針對公司的,以工作申請或版權侵權通知作為誘餌,進行網路釣魚。

Amadey Bot於 2018 年首次被發現,是一個殭屍網路資料竊取工具(Infostealer),可在地下犯罪組織中以 600 美元的價格購買,Amadey的主要功能是從受感染的主機中收集敏感資料,並進一步兼作傳遞下一階段的渠道,如執行網路系統偵察、資料洩露和payloads的載入,今年 7 月初,被發現用於散布 SmokeLoader 惡意軟體。

在10月初,AhnLab的研究人員發現Amadey Bot惡意軟體以KakaoTalk(一種在韓國流行的即時通訊服務)為幌子傳播,作為網路釣魚活動的一部分。

PhotoCredit: AhnLab

第二個案例發生 10 月下旬,發現使用帶有名為“Resume.exe”(Amadey Bot) 的檔案的電子郵件附件,該檔案並偽裝成 Word 檔案圖示,誘使收件人打開,兩種分發路徑都會導致使用相同C2網址受Amadey Bot的感染。

AhnLab的最新分析基於 2022 年 10 月 28 日上傳到 VirusTotal 的 Microsoft Word 檔案(“ 심시아.docx ”),該檔案包含一個惡意 VBA 宏,當受害者啟用該宏時,它會運行 PowerShell 命令下載並運行 Amadey Bot。

在另一個攻擊鏈中,Amadey 偽裝成一個看似無害的Word 檔案圖示的文件,但實際上是一個通過網路釣魚傳播的可執行檔案Resume.exe。在成功執行 Amadey Bot後,惡意軟體會從遠端伺服器獲取並啟動其他命令,其中包括 PowerShell (.ps1) 或二進制 (.exe) 格式的 LockBit 勒索軟

研究人員總結說,由於 LockBit 勒索軟體正在通過各種方法傳播,用戶在打開附件前務必要格外謹慎,另外竣盟科技也觀察到某台灣上市生技集團於本週被列入LockBit3.0的受害名單中,勒索軟體集團給予7天的協商期限,若談判未果將於11/16發佈盜來的數據,該生技集團為在上海在海外生產基地,並為歐美地區國際性著名化妝品品牌生產製造化妝品,為國際性專業品牌做 O.E.M 或 O.D.M 服務等,目前尚未不淸楚所盜的資料量。

LockBit 3.0,也稱為LockBit Black,於 2022 年 6 月推出,同時推出了一個新的暗網入口網站和第一個針對勒索軟體操作的漏洞賞金計劃,承諾在其網站和軟體中發現漏洞可獲得高達 100 萬美元的獎勵。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

MD5

– 13b12238e3a44bcdf89a7686e7179e16: Malicious Word Document (Sia_Sim.docx)

– ae59e82ddd8d9840b79bfddbe4034462: Downloaded malicious VBA macro (v5sqpe.dotm)

– bf4d4f36c34461c6605b42c456fa4492: Downloader LNK (skeml.lnk)

– 56c9c8f181803ece490087ebe053ef72: Amadey (1234.exe)

– bf331800dbb46bb32a8ac89e4543cafa: Amadey (Resume.exe)

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

法國達利思集團Thales Group二次遇駭,再一次遭LockBit勒索軟體集團入侵!

#時隔九個月又被同一勒索軟體集團入侵

#第一次中LockBit2.0第二次中LockBit 3.0

Photo credit: Redhotcyber

2022 年 1 月,法國Thales Group遭LockBit2.0攻擊,LockBit勒索軟體集團將其相關資訊公開在暗網中,然而Thales Group對外聲稱沒有遭攻擊的跡象,也沒有收到勒索信,最終其數據在倒數計時結束後(1月17日)即被公開,如下圖所示:

今早,LockBit在其揭秘網站上透露,6天後將公佈Thales的數據,顯然Thales Group又遭到了LockBit勒索軟體集團的入侵,而這次是已經升級至3.0版本的LockBit勒索軟體;又稱為LockBit Black。

LockBit稱將在11 月 7 日公開從Thales Group盜來的數據,當中包括公司運營、商業文件、會計記錄、客戶檔案、客戶結構計劃和軟體資訊等。值得一提的是,LockBit在Thales Group的貼文中,鼓勵Thales的客戶對該公司採取法律途徑,表示就客戶而言,應聯繫相關組織,對這家嚴重忽視保密規定的公司採取法律行動。

LockBit是目前其中最成功的勒索軟體即服務(Ransomware-as-a-Service;RaaS)之一,持續修補及更版,LockBit於 2019 年 9 月以 ABCD 的名義開始運營,在2021年6月推出升級版 LockBit 2.0帶來了多項新功能,號稱是史上加密速度最快的勒索軟體,可於3小時內加密25台伺服器與225個work stations,並在2022年 6 月打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版。

LockBit 3.0 引入了幾個新功能,可概括為:

延長倒時計:可以花錢延長數據公佈的時間

銷毀所有數據:可以付費銷毀受害者組織中洩露的所有數據;

隨時下載數據: 可以付費下載從受害公司竊取到的所有資料。

顯然地,每種“服務”的成本是不同的,可使用比特幣或門羅幣支付。

Thales集團是位居全球技術領先的國際集團,領域橫跨航太、地面交通運輸、國防科技、安全、數位科技暨服務等各方面,Thales遍佈全球68個國家總計捌萬多名員工。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1     

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0又出手,台灣某上市軟體系統整合商遭殃;台灣跨國上市網通品牌疑遭駭客組織SiegedSec入侵

上市公司資安事件頻傳,落實資安管理與防護為當務之急!

某上市軟體系統整合商被列入LockBit3.0受害者名單

竣盟科技最近觀察到多起對台灣上市企業網路攻擊的情形,包含台灣某上市軟體系統整合商( System Integration-SI) 勒索軟體LockBit3.0加密;上市網通大廠遭駭客組織SiegedSec攻擊,226份檔案遭外洩,及上週某上市半導體遭勒索軟體LockBit3.0入侵。

根據NCC 集團全球威脅情報團隊發布的研究,勒索軟體LockBit 3.0 佔 8 月份所有攻擊事件的40%,是當月威脅最大的勒索軟體,共涉及 64 起事件。

據觀察,典型的 LockBit 3.0 攻擊過程包括:

*透過受感染的電子郵件附件、種子網站或惡意廣告來散播勒索軟體 LockBit 3.0。

*LockBit 3.0 感染受害者的設備,加密檔案,並將加密檔案的副檔名改為“HLjkNskOq”。

*然後需要一個稱為“-pass”的命令行參數密鑰來執行加密。

*LockBit 3.0建立多個線程同時執行多個任務,從而可以在更短的時間內完成數據加密。

*LockBit 3.0 刪除了某些服務或功能,使加密和洩露過程變得更加容易。

*API用於隱藏服務控制管理器數據庫存取。

*受害者的Desktop桌布會更改,以便他們知道自己受到攻擊。

駭客組織SiegedSec在Telegram上發布上市網通大廠的相關資料

另外,本週觀察到某網通大廠遭SiegedSec攻擊,被盜兩百多個檔案,當中包含工具跟設定檔和韌體更新等檔案,SiegedSec在其Telegram頻道上發布從該網通大廠盜竊得來的資料的Mega連結,任何加入這個頻道的人,都可任意下載。根據The Tech Outlook的報導,SiegedSec 是一個很小且很新的駭客團體,但成員遍布全球。該團體成立於 2022 年初,以偷竊數據為目標,攻擊時不會佈勒索軟體加密受害系統,SiegedSec因攻擊韓國IT監控服務公司WhaTap並從WhaTap儀表板刪掉其項目而得外界關注,此次被SiegedSec攻擊的網通大廠為第二家台灣廠商,2022 年6月,一家台灣電信公司也曾遭SiegedSec入侵並外洩數據。

台灣上市公司遭受駭客攻擊的情況愈演愈烈,竣盟科技建議您:

*通過關閉或強化 RDP、計劃如何以及何時進行安全更新以及培訓用戶發現惡意電子郵件來避免最初的存取。

*通過使用最小權限原則、分割您的網路和部署 EDR,使權限升級和橫向移動盡可能困難。

*使用可以識別勒索軟體並有回滾保護機制的反惡意軟體解決方案。

*使用攻擊者無法觸及的異地離線備份確保數據安全。

*接受即使有最好的防禦,入侵行為仍然可能發生,而準備災難復原計畫

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

竣盟科技在9月20日在LockBit的揭秘網站上,驚見又一台灣上市半導體被列為受害者,該企業位於新竹科學園區是我國半導體重鎮的知名廠商,以再生晶圓及晶圓薄化起家。

目前,LockBit勒索軟體集團聲稱在9/19成功加密該半導體大廠並給予8天的談判時間,如果在9/28前未付贖金將公布所有盜竊得來的數據。資安研究員 Dominic Alvieri也在其推特上公佈這家台灣半導體

LockBit發出第一筆Bug Bounty獎金

最近,LockBit公告已發出第一筆Bug Bounty的獎金,據悉此筆金額為5萬美元,挖掘漏洞為一名暱稱叫Aussie的駭客,發現了LockBit加密算法存在漏洞可允許恢復特定檔案類型,主要是 VHDK、VMDK 和備份檔案,目前LockBit已修補好該漏洞。

本週,BleepingComputer報導,有人在Twitter上散布勒索軟體LockBit 3.0(又稱LockBit Black)的產生器(Builder),該產生器包含受密碼保護的7z archive “LockBit3Builder.7z”,檔案包含:

Build.bat;

builder.exe;

config.json;

keygen.exe.

LockBit的產生器流程圖

根據Bleeping Computer,已證實此勒索軟體產生器確實是LockBit所持有的檔案,據悉是由對LockBit組織心懷不滿的開發者所外洩的。這些檔案在不久的將來很可能被其他駭客利用,對防守者將帶來更大的威脅。該產生器由四個檔案組成,其中之一是“config.json” 檔案。駭客可以通過多種方式存取它並自訂義加密器,包括修改贖金記錄、更改配置選項、決定停止哪些進程和服務,甚至指定加密器的C2伺服器。

BleepingComputer在測試產生器時,能夠輕鬆地對其進行修改,以利用他們的本地的C2伺服器,加密數據及解密數據。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1     

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302

e35a702db47cb11337f523933acd3bce2f60346d

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

警訊響起了!兩天內4家台灣企業紛紛落入勒索軟體LockBit3.0毒手

受害名單包括:

*知名上市IT代理商

*某日本上市集團在台子公司(工廠自動化零件生產商)

*國際知名運動品牌成衣製造商

*精品磁磚建材供應商

根據竣盟科技的觀察,分別在9月5和6日,我國共有 4 家公司被列入為LockBit3.0的受害名單。當中值得注意,某名知上市IT代理商,主要針對企業網路之架設、網路系統安全、網路管理及備援系統等領域,提供整體性的規劃及系統整合服務,為各大小公司提供資安服務及產品,為專業網路系統加值代理商,在業界享譽盛名,LockBit 3.0聲稱將於9月16日發布所有從該公司盜竊得來的數據,懷疑談判破局。

某知名上市IT代理商
某日本上市集團在台子公司(工廠自動化零件生產商)

針對日商在台子公司(專門生產螺絲・螺栓,FA・模具零件、工具・工場消耗品) 目前已設時間器(Timer),摧毀資料Destory all information)及可下載數據(Download data at any moment)的按鈕,可供任何願意付錢的人仕延長24小時間及消毀或下載數據。有趣的是,LockBit 3.0給予日商在台子公司長達99天的協商期限。

國際知名運動品牌成衣製造商
精品磁磚建材供應商

根據日本共同社的報導,LockBit的幹部日前接受其採訪,表示擁有100人以上夥伴,其中包括多名日籍駭客,還將招募更多的日籍夥伴,該幹部稱,LockBit是“以金錢為目的的完全非政治組織”,“成員不僅來自前蘇聯國家,還有日本人、中國人及美國人”。該人表示勒索的金額因企業規模及加密數據的價值而異,大致是年銷售額或年收入的0.5%~10%。該人未透露迄今獲得的錢款總額。

針對語言而招募特定國籍的駭客似乎是一個趨勢,值得我們思量的是LockBit是否也已招募了台籍駭客,使其攻擊更加順利,然而就目前的觀察,仍不能太早下結論,但值得我們持續關注下去!

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標,該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示, LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵,一旦運行惡意 DLL 以解密系統,就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下,最初的網路入侵是通過未修補的 VMWare Horizo​​n 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同,攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案,以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式,它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時,MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL,該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中,攻擊者建立了自己的mpclient.dll武器化版本,並將其放置在優先載入惡意版本 DLL 檔案的位置,再將從 c0000015.log 檔案(加密的Beacon)載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

Photo credit: Sentinel Labs

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon,但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍;因此,企業需檢查他們的安全控制,並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1      

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302 

e35a702db47cb11337f523933acd3bce2f60346d 

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223