Lynx(山貓)勒索軟體盯上台灣傳統產業——上市重電大廠與精機大廠淪為最新受害者

近期,竣盟科技在暗網上的勒索軟體曝光網站發現,上市某某電機與某某國際精機等傳統製造業企業遭受 Lynx 勒索軟體攻擊。此事件進一步印證製造業已成為勒索軟體的主要攻擊目標,駭客利用企業對生產線與供應鏈的高度依賴性,透過加密關鍵系統與資料來施壓,迫使企業支付贖金以恢復運營。

Lynx 勒索軟體的起源與發展

Lynx 勒索軟體於 2024 年中首次被發現,據信是 2023 年出現的 INC 勒索軟體的進階變種。據Palo Alto的研究報導,INC 勒索軟體的源碼曾在暗網論壇上出售,這可能促成 Lynx 的開發,使其成為更具威脅性的變體。

Lynx 採取「勒索軟體即服務」(Ransomware-as-a-Service, RaaS)模式,其運營團隊採用雙重勒索策略——不僅加密受害者數據,還威脅公開機敏資訊,以加大受害者壓力。據觀察,Lynx 針對的是全球多個產業的 Windows 系統。報告稱,美國是受害者數最多的國家,加拿大和英國則位居第二。製造業和建築業佔受害者的近一半。

重大網路攻擊事件與受害者概況

自 2024 年 7 月以來,Lynx 勒索軟體已涉入多起重大網路事件,利用加密與資料洩露雙重策略,對受害企業造成嚴重影響。以下為部分典型案例:

  • 羅馬尼亞電力公司Electrica Group(2024 年 12 月):攻擊導致營運中斷,大量機敏資料外洩。
  • Hunter Taubman Fischer & Li LLC(2025 年 1 月):美國專注於公司法與證券法的律師事務所遭攻擊,導致敏感客戶資訊洩露。

Lynx 主要針對北美與歐洲的中小型企業(SMB),涵蓋能源、製造、工程及法律服務等行業。雖然該組織聲稱不攻擊「具社會重要性」的機構,如政府機關、醫院與非營利組織,但其攻擊行為仍對企業生存與數據安全構成重大威脅。

攻擊手法與影響分析

  1. 滲透手法:Lynx 常透過魚叉式網路釣魚(Spear Phishing)、漏洞利用與供應鏈攻擊等手段入侵企業內部網路。一旦取得初始存取權限,攻擊者便會橫向移動,提升權限,最終加密關鍵數據與系統。
  2. 業務影響
    • 生產線與供應鏈管理系統遭加密,導致營運中斷與訂單延誤。
    • 客戶與供應商關係受損,影響商譽與合作信任。
    • 機敏資料外洩可能觸發法律與合規問題。

應對策略與防範措施

  1. 強化員工意識:定期進行資安培訓,提高對網路釣魚與社交工程攻擊的警覺性。
  2. 漏洞管理與補丁更新:確保所有系統與軟體及時更新,以防駭客利用已知漏洞入侵。
  3. 網路分段:將關鍵生產系統與辦公網絡隔離,限制攻擊者橫向移動的可能性。
  4. 多因素驗證(MFA):對關鍵系統與敏感數據採用多因素驗證,以降低未經授權存取風險。
  5. 定期備份與演練:建立離線備份機制,並定期測試備份的可用性與完整性,以確保業務可迅速恢復。
  6. 導入專業資安服務:與專業網路安全機構合作,進行資安評估、滲透測試與持續監測,及早發現並應對潛在威脅。

Lynx 勒索軟體的崛起凸顯了勒索軟體威脅的持續演變,企業應積極採取多層次安全防護策略,以降低遭受攻擊的風險並強化應變能力。

Lynx勒索軟體相關的部分入侵指標(Indicator of compromise -IOCs):

001938ED01BFDE6B100927FF8199C65D1BFF30381B80B846F2E3FE5A0D2DF21D

0260258F6F083AFF71C7549A6364CB05D54DD27F40CA1145E064353DD2A9E983

06F10C935FAE531E070C55BDE15EE3B48B6BB289AF237E96EEC82124C19D1049

0E4246409CDAD59E57C159C7CC4D75319EDF7D197BC010174C76FE1257C3A68E

16A0054A277D8C26BEB97850AC3E86DD0736AE6661DB912B8782B4EB08CFD36E

16B0F643670D1F94663179815BFAC493F5F30A61D15C18C8B305B1016EECE7EF

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

醫療資安震撼警鐘:馬偕醫院勒索軟體攻擊解析與企業防禦對策

馬偕紀念醫院勒索軟體攻擊事件時間軸:

2月9日(星期日) 馬偕醫院發現系統異常,立即啟動資安應變機制,並通報衛生福利部資安聯防平台(H-ISAC)及調查局台北市調查處。此次攻擊影響台北與淡水兩院區的急診室系統,導致約500台電腦當機,醫療作業受阻。

2月11日(星期二) 衛福部資訊處處長李建璋表示,攻擊自2月9日開始,駭客揚言將持續攻擊。為應對危機,衛福部聯合資安署成立快速反應小組,進駐馬偕醫院提供技術支援與應變處理。

2月12日(星期三) 媒體報導指出,攻擊者使用名為CrazyHunter的勒索軟體,透過AD主機派送惡意程式,並利用BVOYD技術來規避偵測,顯示此次攻擊極具計畫性與隱匿性。

事件啟示與資安思維

醫療機構資安防護刻不容緩醫療機構管理著大量病患的敏感資訊,一旦系統遭到攻擊,不僅影響醫療服務的即時性,甚至可能造成病歷遺失,對病患安全構成嚴重威脅。

攻擊手法日益進化,傳統防護恐難應對此次駭客透過AD主機派送惡意程式,並運用BVOYD技術避開資安偵測,展現現代勒索軟體攻擊的高度隱蔽性與精準性,傳統的防禦機制已無法有效阻擋新型態攻擊。

跨部門協作是關鍵衛福部與資安署迅速聯手成立快速反應小組,展現政府部門間的高效協作能力。企業與機構面對資安威脅時,也應建立跨部門的應變機制,以提升應對效率並降低損害。

竣盟科技資安防護方案

面對日益嚴峻的勒索軟體威脅,竣盟科技提供全方位的資安解決方案,幫助企業和機構強化防護能力,確保系統穩定運行。

主動監測與即時防禦透過UCM整合式資安監控服務,提供持續性網路監測,能及早偵測勒索軟體滲透行為,阻擋未經授權的存取與破壞,確保企業資料完整與安全。

全視覺化監控系統UCM服務搭載全視覺化操作介面,即使非專業人員也能輕鬆掌握資安狀況。技術,能夠在攻擊發生時迅速偵測並阻擋威脅,有效降低受害風險。

法規遵循與信任度提升竣盟科技協助企業分析並制定合規的資安管理策略,降低法規風險,同時提升客戶、供應鏈及合作夥伴對企業的信任度。

竣盟欺敵誘捕(Billows Deception)竣盟科技採用先進的欺敵誘捕技術(Deception Technology),主動佈建誘捕環境,模擬關鍵系統與機敏數據,誘導攻擊者進入假目標,並即時監測駭客行為軌跡。這不僅能夠攔截惡意攻擊,更可深入分析攻擊手法,強化企業的防禦策略。

  1. 即時威脅偵測:偵測異常存取行為,識別內部潛在威脅。
  • 欺敵技術誘導攻擊者:透過精心設計的假目標,使攻擊者誤判,暴露其攻擊策略與工具。
  • 威脅情報共享:整合情資分析,將攻擊模式與惡意行為特徵回饋至資安系統,持續優化防禦機制。

竣盟欺敵誘捕技術可有效提高企業資安可見度,主動攔截攻擊並提前應對可能的資安威脅。

竣盟科技助您強化資安防禦,確保業務持續運行

資安威脅無所不在,唯有建立多層次防禦機制,才能有效抵禦攻擊、保障企業核心業務不受影響。竣盟科技將持續提供專業資安解決方案,幫助企業在數位化時代穩健發展。

立即聯繫竣盟科技,讓我們為您的企業打造最堅實的資安防線!

衛福部提供CrazyHunter勒索軟體攻擊的入侵指標(Indicator of compromise -IOCs):

檔案名稱           SHA256 Hash

av-1m.exe         EE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CF

av.exe        3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D

bb.exe       2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA

crazyhunter.exe           F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B

crazyhunter.sys       5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BA

go.exe       754D5C0C494099B72C050E745DDE45EE4F6195C1F559A0F3A0FDDBA353004DB6

go2.exe    983F5346756D61FEC35DF3E6E773FF43973EB96AABAA8094DCBFB5CA17821C81

go3.exe    F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B

ru.bat        15160416EC919E0B1A9F2C0DC8D8DC044F696B5B4F94A73EC2AC9D61DBC98D32

ru.bat        731906E699ADDC79E674AB5713C44B917B35CB1EABF11B94C0E9AD954CB1C666

zam64.sys       2BBC6B9DD5E6D0327250B32305BE20C89B19B56D33A096522EE33F22D8C82FF1

zam64.sys       BDF05106F456EE56F97D3EE08E9548C575FC3188AC15C5CE00492E4378045825

ta.bat        527ED180062E2D92B17FF72EA546BB5F8A85AD8B495E5B0C08B6637B9998ACF2

CrazeHunter.zip      D202B3E3E55DF4E424F497BA864AB772BAAF2B8FE10B578C640477F8A8A8610C

Reference Links: https://geneonline.news/%E6%95%B8%E7%99%BC%E9%83%A8-%E5%B0%88%E5%AE%B6%E9%80%B2%E9%A7%90-%E9%A6%AC%E5%81%95%E9%86%AB%E9%99%A2-%E5%8D%94%E5%8A%A9%E6%87%89%E5%B0%8D%E5%8B%92%E7%B4%A2%E8%BB%9F%E9%AB%94%E6%94%BB%E6%93%8A/

https://www.ithome.com.tw/news/167327

外媒報導欣興電子遭勒索軟體攻擊:Sarcoma威脅公開377GB機密數據

Photo Credit : BleepingComputer

勒索軟體攻擊概況

2025年1月30日,台灣印刷電路板(PCB)製造龍頭——欣興電子(Unimicron Technology Corp.)旗下位於中國的子公司欣興科技(深圳)有限公司(聯能科技)遭受勒索軟體攻擊。根據欣興電子於台灣證券交易所(TWSE)市場觀測站(MOPS)發佈的公告,公司已緊急聘請外部資安專家進行數位鑑識分析,並強化資安防護措施,強調本次事件對業務營運影響有限。

然而,資安新聞網站Bleeping Computer報導指出,勒索軟體組織Sarcoma聲稱對此次攻擊負責,並已在暗網洩密網站上公佈部分竊取數據樣本。據悉,駭客組織宣稱竊得約377GB的SQL數據庫及商業文件,要求欣興電子在2025年2月20日前支付贖金,否則將公開所有竊取數據。

影響與資安風險分析

欣興電子為全球領先的高密度互連(HDI)PCB及半導體載板製造商,為蘋果、英特爾等國際科技企業供應關鍵零組件,在全球電子供應鏈中占據重要地位。此次攻擊不僅可能對欣興電子自身營運造成影響,還可能對全球科技產業供應鏈帶來潛在風險。

勒索軟體攻擊已成為製造業主要的資安威脅,尤其在供應鏈高度整合的環境下,任何企業的資安事件都有可能引發連鎖反應。攻擊者可能透過竊取的資料進行後續攻擊,例如進一步針對合作夥伴發動社交工程攻擊,甚至利用獲取的機密資訊進行詐欺或商業間諜活動。

Sarcoma勒索軟體組織剖析

Sarcoma是一個近年迅速崛起的勒索軟體組織,自2024年10月發動攻擊以來,短短一個月內便聲稱攻擊了36家企業,並在2024年11月被資安公司CYFIRMA警告為“快速增長的重大資安威脅”。

該組織採取雙重勒索策略,除了加密受害者系統外,還會竊取機密數據,並以公開洩露為威脅,以此迫使企業支付贖金。根據RedPiranha的報告,Sarcoma主要透過以下技術入侵企業網絡:

  • 釣魚郵件攻擊(Phishing):透過社交工程詐騙企業員工點擊惡意連結或下載受感染的附件。
  • 已知漏洞攻擊(n-day exploits):利用未及時修補的安全漏洞來獲取初始訪問權限。
  • 供應鏈攻擊(Supply Chain Attacks):針對合作夥伴或第三方服務商,以間接入侵目標企業。
  • 遠端桌面協議(RDP)攻擊:一旦獲得網路訪問權限,攻擊者會透過RDP進行橫向移動,以擴大影響範圍。

目前資安研究人員仍未完全解析Sarcoma的核心攻擊工具與技術,該組織的幕後操縱者依然成謎。

強化資安防禦,降低勒索風險

此次欣興電子遭受攻擊,再次警示全球製造業及半導體供應鏈須加強資安防護。針對此類勒索軟體攻擊,企業應採取以下措施,以降低潛在風險與業務損失:

  1. 強化端點安全與入侵偵測:確保所有關鍵系統均具備最新安全補丁,並部署端點偵測與回應(EDR)解決方案,以快速發現異常行為。
  2. 提升員工資安意識:透過定期資安培訓,提高員工對釣魚攻擊與社交工程詐騙的警覺性。
  3. 建立完善的資料備份與災難復原計劃(BCP/DRP):確保關鍵數據具備異地備份,並定期演練災難復原流程,以確保在遭遇攻擊時能迅速恢復業務運營。
  4. 與資安專家合作:部署威脅情報分析及安全監控機制,以主動預防潛在攻擊,並建立應變計畫,以應對可能發生的資安事件。

結語

勒索軟體攻擊不僅對個別企業造成財務與營運損失,更可能對產業供應鏈及全球經濟帶來深遠影響。Sarcoma等新興勒索軟體組織的崛起,顯示網路犯罪活動正變得更加複雜與具針對性。企業唯有積極強化資安防禦,建立完善的資安治理機制,才能有效應對日益嚴峻的網路威脅環境。

LockBit 4.0:更隱匿、更強大——企業如何有效應對?

全新 4.0 版本登場,Quiet Mode 進一步提升隱蔽性

在經歷一段時間的沉寂後,全球最惡名昭彰的勒索軟體集團 LockBit 捲土重來,並於 2024 年 12 推出更先進、更難偵測的 LockBit 4.0。這次更新強化了 隱匿性,進一步提高資安團隊的偵測與調查難度。

近期,德國 IT 服務公司 Topackt IT Solutions 遭受 LockBit 攻擊,該組織於 2025 年 2 月 2 在其網站上公開承認這起事件。然而,調查顯示,實際攻擊早在 1 月中旬 就已發生,這表明 LockBit 具備長時間潛伏、不被察覺的能力

LockBit 4.0 有哪些新變化?

LockBit 4.0 不只是一次小幅更新,而是 重大升級,目標是讓攻擊變得 更安靜、更持久、更難追蹤

🔹 「靜默模式」大幅提升隱匿性

LockBit 4.0 新增了一項 「靜默模式」(Quiet Mode,該模式讓加密過程更加隱蔽:

  • 加密後的檔案仍保留原始副檔名與修改時間,受害者不易察覺異常。
  • 部分偵測依賴檔案變動的防毒軟體可能會失效,增加攻擊成功率。
  • 啟用此模式時,不會投放勒索信,讓企業的資安團隊無法透過傳統的 IoC(入侵指標)迅速發現攻擊跡象。

這種隱匿技術讓攻擊行動幾乎無跡可尋,大幅增加防禦與事件調查的挑戰。

🔹 更強的加密與反逆向工程機制

LockBit 4.0 進一步提升了 加密效率與速度,讓受害者即使不願支付贖金,也更難透過技術手段恢復資料。此外,新版本還強化了 反逆向工程機制,讓資安研究人員更難分析其內部運作方式。

🔹 專攻虛擬化環境,企業 IT 基礎架構成為目標

根據 美國司法部(DOJ)2024 年 12 月的起訴書,LockBit 擴大攻擊範圍,將目標瞄準企業常用的虛擬化環境,例如:

  • VMware ESXi
  • Proxmox
  • Nutanix

這顯示 LockBit 正積極尋找企業級 IT 基礎架構的弱點,透過加密 虛擬機(VMs 來癱瘓企業運營,迫使受害者支付贖金。

LockBit 勒索軟體的進化史

LockBit 近年來不斷升級,每一個版本都帶來更大的威脅:

  • LockBit Red(2.0 – 加快自動化攻擊,提高感染速度。
  • LockBit Black(3.0 – 採用 BlackMatter 勒索軟體 的技術,提升加密與防偵測能力。
  • LockBit Green(2023基於 Conti 勒索軟體原始碼開發,進一步強化攻擊效能。
  • LockBit 4.0(2024加入靜默模式、強化加密技術、擴展攻擊範圍至虛擬化環境

目前分析的 LockBit 4.0 樣本顯示其版本編號為 LockBitGreen4.0-rc-577,這與 2023 年初 LockBit 推出的 Green 版本 有關,顯示其仍在吸收過往不同勒索軟體家族的技術來強化自身攻擊能力。

如何防範 LockBit 4.0

面對更加隱匿與強大的 LockBit 4.0,企業應採取 多層次安全防護,以降低風險:

監控異常行為,精準偵測入侵 – 即使攻擊者試圖隱藏痕跡(如維持文件時間戳不變),透過 行為分析 仍可發現可疑活動,例如短時間內大量檔案存取、異常 I/O 行為或進程異常交互。

啟用不可變(Immutable)備份,確保資料最後防線 – 讓備份無法被勒索軟體刪除或加密,並搭配欺敵機制(Deception,例如設置假備份目錄或蜜罐檔案,引導攻擊者暴露行蹤。

強化虛擬化環境安全,阻斷攻擊途徑 – LockBit 4.0 針對 VMware ESXi、Proxmox、Nutanix 發動攻擊,企業應落實存取權限管理、網路隔離及零信任架構,並透過虛擬化誘捕系統(Deception VM 誘導並分析攻擊行為,進一步提升防禦能力。

修補已知漏洞,部署欺敵陷阱,減少攻擊入口 – 勒索軟體常透過 RDP(遠端桌面協議)暴露、未修補的系統漏洞或社交工程 進行入侵。企業應定期更新系統、強化帳號管理,並在 RDP 端口或關鍵服務上設置誘餌帳號,主動識別攻擊者活動並攔截攻擊。

結論

LockBit 4.0 再次推高 勒索軟體攻擊的隱匿性與威脅水準,透過「靜默加密」、強化偵測規避技術,並鎖定企業級 IT 基礎架構,讓傳統的防禦機制變得 愈發無效

勒索軟體攻擊手法不斷演變,你的企業準備好了嗎?

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

CISA 最新警告:Microsoft Outlook、Sophos XG Firewall 漏洞遭攻擊,列入「已知被利用漏洞」清單

美國網路安全與基礎設施安全局(CISA) 近期擴大其 「已知被利用漏洞」(Known Exploited Vulnerabilities, KEV)目錄,新增多項已被攻擊者利用的高風險漏洞。這一舉措顯示,不論是 政府機構還是私營企業,都應立即採取行動,修補這些已知安全缺陷,以防止大規模網路攻擊的發生。

新增至 KEV 目錄的關鍵漏洞

CISA 最新公布的重大安全漏洞,包括:

  • CVE-2025-0411 – 7-Zip 網路標記(Mark of the Web)繞過漏洞
  • CVE-2022-23748 – Dante 探索程序控制漏洞
  • CVE-2024-21413 Microsoft Outlook 不當輸入驗證漏洞(遠端程式碼執行 RCE)
  • CVE-2020-29574 – CyberoamOS (CROS) SQL 注入漏洞
  • CVE-2020-15069Sophos XG Firewall 緩衝區溢出漏洞

其中,以下兩項漏洞對企業與機構的威脅尤為嚴重:

Microsoft Outlook RCE(CVE-2024-21413)—— 高風險攻擊向量

CVE-2024-21413CVSS 評分為 9.8,屬於 遠端程式碼執行(RCE)漏洞,攻擊者可利用該漏洞在 Microsoft Outlook 上執行惡意程式,並獲取 讀取、寫入及刪除 權限,影響層面極廣。

Microsoft 官方安全公告指出:

「成功利用此漏洞的攻擊者可繞過 Office 保護檢視(Protected View),讓文件直接以編輯模式開啟,而非受保護模式。」

這代表攻擊者可透過 惡意郵件附件 直接執行惡意程式碼,繞過 Microsoft 內建的安全機制。考慮到 Outlook 在全球企業中的廣泛使用,這個漏洞極有可能被 針對性網路釣魚攻擊(Spear Phishing) 濫用,進而引發資料洩露、惡意程式感染,甚至是勒索軟體攻擊。

Sophos XG Firewall 緩衝區溢出漏洞(CVE-2020-15069)—— 企業網路防線的潛在破口

另一個 CVSS 9.8 分的漏洞 CVE-2020-15069 影響 Sophos XG Firewall 17.x 至 17.5 MR12 版本,屬於 緩衝區溢出(Buffer Overflow)漏洞,允許攻擊者遠端執行任意程式碼,甚至獲取 防火牆管理權限

防火牆作為企業 安全防線的第一道關卡,若遭利用,將可能導致:

  • 網路邊界防禦失效,攻擊者可直接滲透內部網路
  • APT(高級持續性威脅)組織進行橫向移動(Lateral Movement)
  • 散佈後門或其他惡意程式
  • 癱瘓網路安全監測機制,導致企業無法察覺攻擊行為

這類漏洞特別容易被 供應鏈攻擊(Supply Chain Attacks)國家級駭客組織 利用,因此應 優先修補,避免淪為高風險目標。

企業與機構應立即採取的行動

根據 Binding Operational Directive(BOD)22-01《降低已知被利用漏洞的重大風險》,美國聯邦機構必須在 2025 年 2 月 27 日前修復這些漏洞,以防範攻擊者利用已知安全弱點發動攻擊。

雖然該指令主要針對 美國聯邦機構,但 私營企業 亦應主動採取行動,以降低潛在風險。

建議防禦措施

  1. 立即部署安全修補程式(Patch Updates)
    • Microsoft Outlook、Sophos XG Firewall、Dante、CyberoamOS 與 7-Zip 用戶應立即更新至最新版本,確保漏洞已修補。
  2. 強化威脅監測與入侵偵測(Threat Hunting & Detection)
    • 針對 CVE-2024-21413,應加強郵件日誌分析,檢查是否有 可疑郵件附件或 Outlook 進程異常行為
    • 針對 CVE-2020-15069,應強化防火牆監控,檢測 異常流量模式未授權存取行為
    • 部署 端點偵測與回應(EDR)網路入侵偵測系統(NIDS),提高即時威脅感知能力。
  3. 強化存取控制與網路分段(Access Control & Network Segmentation)
    • 落實 零信任架構(Zero Trust Architecture, ZTA),確保敏感系統只允許授權存取。
    • 限制防火牆管理介面的存取權限,並對所有 管理帳號 強制啟用 多重驗證(MFA)
  4. 提升員工安全意識與事件應變能力(Security Awareness & Incident Response)
    • 針對 CVE-2024-21413,強化 員工資安教育,讓員工識別釣魚郵件,避免點擊可疑附件。
    • 測試 事件應變(Incident Response, IR)計畫,確保能在漏洞被利用時 即時應變、阻止擴散

結論:提早防範,減少攻擊風險

CISA 此次將 Microsoft OutlookSophos XG Firewall 等漏洞納入 KEV 目錄,再次提醒企業 核心業務應用與安全基礎設施 仍是駭客的首要攻擊目標。

面對日益複雜的網路攻擊環境,企業應 積極部署漏洞修補,強化 威脅偵測機制,並透過 零信任架構、網路分段及安全教育 提升整體資安防禦能力。

唯有 超前佈署與持續監控,才能有效降低攻擊風險,確保企業與組織在面對新型態網路威脅時,具備 更強的抵禦能力與恢復力

LockBit升級至 4.0強勢回歸!企業亟需強化資安防禦應對新興威脅!!

2024年12月20日,竣盟科技報導——知名網路犯罪組織 LockBit 宣布計劃於2025年2月3日正式發布全新版本的勒索軟體 LockBit 4.0,企圖重振其在全球勒索軟體市場的影響力。這一消息凸顯出企業應立即強化資安防護,以應對潛在攻擊風險。

LockBit 4.0 利用新漏洞擴大攻擊面,Fortigate 與 VMware 用戶須嚴加防範

最新情報顯示,農曆春節期間,數家台灣企業遭受 LockBit 4.0 攻擊。調查發現,攻擊者成功利用 CVE-2024-55591 漏洞,繞過 Node.js WebSocket 身份驗證機制,對 Fortinet 旗下產品構成威脅。

1月中旬在漏洞曝光後,Fortinet 已緊急發布安全公告,強烈建議 FortiOS 7.0.x 用戶 立即升級至 7.0.17 或更高版本,以防範潛在攻擊並降低風險。

此外,LockBit 4.0 亦成功利用 VMware vCenter 的漏洞發動攻擊,進一步擴大受害範圍。企業 IT 團隊務必針對 vCenter 進行全面漏洞檢測與修補,確保所有虛擬化環境均處於最新安全狀態,以防範駭客滲透企業核心基礎設施。

LockBit 4.0 樣本包含 disallowedcertstl.cab 檔案以逃避偵測

部分防毒軟體 (AV) 引擎或偵測規則預設排除對 CAB 檔案的掃描或過濾,導致當 CAB 檔案被混淆時,端點安全引擎難以偵測。此技術先前已被其他惡意軟體家族,如 DarkGate、Avaddon Ransomware 和 ChromeLoader 利用,LockBit 4.0 進一步將其應用於最新攻擊活動。

Fortigate 與 VMware vCenter 必須落實以下防護措施

🔹 Fortigate 資安強化建議:

  • 關閉所有 Internet 管理服務(除非必要,僅保留 ping 功能)以降低暴露面。
  • 若仍使用 FortiOS 7.0.x,請立即升級至 7.0.17 或更高版本,以避免遭受攻擊。

🔹 VMware vCenter 防護建議:

  • 立即執行漏洞掃描,確保 vCenter 無已知漏洞。
  • 應用最新安全修補,防止 LockBit 4.0 等勒索軟體利用漏洞入侵。

勒索軟體攻擊手法進化,企業須強化主動防禦

勒索攻擊的本質已從傳統入侵轉變為高度組織化、針對性強的滲透攻擊,並遵循完整的攻擊鏈(Cyber Kill Chain),涵蓋初始入侵、橫向移動、權限提升、資料加密等步驟。企業若僅依賴傳統被動防禦機制,將難以有效應對新一代威脅,需建立更完整的資安監控、威脅獵捕與即時應變機制。

竣盟科技提供整合資安防禦,助企業提升應變能力

作為專注於資安合規與主動防禦的領導廠商,竣盟科技提供一系列資安即時監控與防護服務,確保企業資安防禦體系完善並符合合規標準。

  • Billows UCM 平台 —— 確保企業符合資安法規,並可在資安事件發生時自動通報,加速事件應變與營運恢復。
  • Billows Deception 主動式誘捕技術 —— 透過欺敵(Deception)策略,誘導駭客進入誘捕環境,主動識別攻擊行為,甚至逆向追蹤駭客,實現主動防禦與被動監控並行的雙層資安策略。

企業應積極提升資安韌性,防範新一波網路攻擊

隨著勒索軟體攻擊技術的不斷演進,企業務必採取積極資安策略,以降低資安風險。

竣盟科技建議:

✅ 定期更新防火牆與虛擬化環境,修補已知漏洞。

✅ 關閉不必要的遠端管理服務,降低暴露風險。

✅ 落實威脅監測與事件應變機制,以提升營運持續性。

LockBit 4.0的部分入侵指標(Indicator of compromise -IOCs):

2f5051217414f6e465f4c9ad0f59c3920efe8ff11ba8e778919bac8bd53d915c

1BE78F50BB267900128F819C55B8512735C22418DC8A9A7DD4FA1B30F45A5C93

998AECB51A68208CAA358645A3D842576EEC6C443C2A7693125D6887563EA2B4

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

Morpheus與HellCat勒索軟體的共享程式碼基礎揭示了新興威脅模式

Morpheus和HellCat的勒索信 Photo Credit: SentinelOne

背景概述:
近期,對Morpheus和HellCat勒索軟體的分析揭露了一個日益複雜的網路犯罪生態,這兩個新興勒索軟體家族透過共享程式碼基礎展現了彼此的聯繫。這一發現強調了勒索軟體作為服務(RaaS)模式的持續演化,以及攻擊者在開發工具和運營策略上的高效協作。

根據SentinelOne的最新報告,這些樣本的關鍵相似性表明,它們可能源於相同的構建工具或程式碼庫,這對企業的防禦策略提出了更高的要求。

技術詳解:Morpheus與HellCat的負載特性
從技術層面看,Morpheus和HellCat雖然是新進者,但其負載設計顯示了精心策劃的工程能力。

  1. 64位便攜執行檔:
    每個負載均為64位便攜執行檔,並需要指定路徑作為參數,這表明攻擊者可能利用自動化腳本或工具精確鎖定目標資料。
  2. 排除特定目標:
    它們避免加密Windows核心目錄(如\Windows\System32)及特定擴展名(如.dll、.sys等),表明攻擊者有意避免導致系統完全崩潰的風險,以確保受害者仍能訪問基礎系統,並支付贖金。
  3. 加密特徵:
    • 加密過程中使用Windows加密API進行密鑰生成,採用BCrypt演算法進一步提升加密的複雜度。
    • 不更改受影響檔案的副檔名,讓受害者難以快速識別受感染的檔案範圍。
  4. 未設置持久化機制:
    攻擊者選擇了一種“輕量級”的負載運行方式,僅加密檔案並投放勒索信,而未執行其他系統修改,如更改桌面背景或植入持久化後門。這種策略可能是為了快速執行攻擊,並減少被安全工具檢測到的風險。

聯繫與RaaS模式的威脅分析
Morpheus與HellCat之間的關聯反映了RaaS生態系統的日益碎片化和分散化:

  • 共享代碼基礎:
    兩者的勒索信模板與2023年出現的“Underground Team”類似,但功能實現上存在差異。這表明,攻擊者可能正在利用共享的程式碼庫或構建工具快速生成負載,而不是重新編寫程式碼。
  • 相同的合作夥伴網絡:
    RaaS模式促進了分散式運營,攻擊者可通過“租賃”方式接觸多個勒索軟體家族的工具,這不僅增加了執法追蹤的困難,也使新興團隊能快速進入市場。

威脅格局與應對建議
當前的勒索軟體生態系統愈加複雜,呈現出分散化、小型化和高度靈活的特點。根據NCC Group的數據,2024年12月的勒索軟體攻擊數量達到創紀錄的574起,其中新興群體(如FunkSec)尤為活躍。

  1. 持續監控與威脅情報分享:

企業需部署以行為分析為核心的入侵檢測系統(IDS),實現全天候網絡活動監控,精準發現異常與潛在威脅。同時,應與威脅情報共享平台緊密合作,定期更新威脅數據庫,獲取最新攻擊模式和技術的深入洞察,從而迅速調整安全策略,增強應對新型威脅的能力

  1. 加強防禦策略:
    • 嚴格限制外部訪問,確保遠端桌面協議(RDP)和網路文件共享(SMB)服務的安全性。
    • 定期執行修補管理,防止已知漏洞被利用。
  2. 數據備份與恢復計劃:
    採用多層次的備份策略,確保關鍵數據可快速恢復。同時測試恢復流程,確保實用性與可靠性。
  3. 安全意識培訓:
    提高員工對勒索軟體攻擊的認識,特別是在釣魚郵件和社交工程攻擊方面的防範意識。

結語:
Morpheus和HellCat的崛起標誌著勒索軟體威脅的新階段。對於安全專家來說,理解這些新興威脅的技術基礎和運營模式是制定有效防禦策略的關鍵。同時,企業應積極部署多層次的防禦措施,降低這些分散化威脅的影響力。

Morpheus和HellCat的部分入侵指標(Indicator of compromise -IOCs):

b834d9dbe2aed69e0b1545890f0be6f89b2a53c7 (HellCat)
f62d2038d00cb44c7cbd979355a9d060c10c9051 (Morpheus)
f86324f889d078c00c2d071d6035072a0abb1f73 (Morpheus)

QNAP修復了NAS備份與恢復應用程式中的六個Rsync漏洞

Photo Credit: QNAP

背景概述:

QNAP近期修復了六個Rsync漏洞,這些漏洞可被攻擊者利用,在未修補的網路附加儲存(NAS)設備上實現遠端代碼執行(RCE)。這些漏洞特別危險,因為它們可能被組合成完整的攻擊鏈,對用戶資料和基礎設施構成嚴重威脅。

Rsync作為一個開源檔案同步工具,功能強大且應用廣泛。不僅支持守護進程直連同步和SSH傳輸,還具有增量傳輸功能,有效節省時間和頻寬。由於其高效性,Rsync被廣泛應用於備份解決方案(如Rclone、DeltaCopy、ChronoSync),以及雲端管理、伺服器運營和公共檔案分發。

技術詳解:

這次修復的漏洞包括:

CVE-2024-12084: 堆疊的緩衝區溢位,可導致執行任意程式碼

CVE-2024-12085:未初始化堆疊導致資訊洩露,可能使攻擊者取得敏感資料。

CVE-2024-12086:伺服器可洩漏任何用戶端檔案,威脅資料安全性。

CVE-2024-12087:透過–inc-recursive選項實現的路徑遍歷,允許攻擊者繞過檔案系統限制。

CVE-2024-12088:可繞過–safe-links選項,實現不受控制的符號連結存取。

CVE-2024-12747:符號連結競態條件,能使攻擊者控製檔案指向。

受影響的主要是QNAP的HBS 3 Hybrid Backup Sync 25.1.x,這是一款多功能數據備份與災難恢復解決方案,支持本地、遠端和雲端存儲。

安全應對:

QNAP已在HBS 3 Hybrid Backup Sync 25.1.4.952版本中修補了這些漏洞,並敦促所有用戶立即更新至最新版本。

更新方法:

登錄QTS或QuTS hero系統,確保以管理員身份操作。

打開應用中心,搜尋並找到HBS 3 Hybrid Backup Sync。

點擊“更新”,並在提示確認時點擊“確定”。

風險與威脅分析:

這些漏洞若被結合利用,將允許攻擊者建立一條完整的攻擊鏈,最終實現系統遠端控制。例如,結合CVE-2024-12084(堆緩衝區溢出)與CVE-2024-12085(資訊洩露),攻擊者能夠在伺服器上執行任意程式碼。此外,伺服器若允許匿名訪問,風險將大幅增加。

根據CERT/CC,攻擊者不僅可針對公開伺服器進行攻擊,還可通過控制惡意伺服器讀取或寫入任何已連接的客戶端數據。

潛在影響範圍:

Shodan搜索顯示,全球有超過70萬個暴露Rsync伺服器的IP地址。儘管其中具備有效匿名訪問的伺服器比例未知,但仍顯示出巨大的潛在風險。

專家建議:

立即更新: 將HBS 3 Hybrid Backup Sync升級至25.1.4.952版本或以上。

強化安全配置: 禁止匿名訪問,採用強認證機制。

部署監控: 使用入侵檢測系統(IDS)及流量監控工具,識別並阻止可疑活動。

長期審核:定期審核伺服器設置與軟體版本,確保無已知漏洞。

網路安全是一場持久戰,此次Rsync漏洞的修補提醒我們,即使是常用且成熟的工具,也需持續保持更新與監控,避免成為攻擊者的突破口。

Murdoc Botnet 利用陞泰 AVTECH 攝影機與華為路由器啟動高階物聯網攻擊

資安研究人員揭露了一場高度複雜的網路攻擊行動,此行動利用陞泰Avtech攝影機與華為 HG532 路由器的漏洞擴展 Mirai 變種惡意網路,稱為 Murdoc Botnet。這起大規模攻擊凸顯了物聯網(IoT)漏洞被用於建立惡意網路的日益增長的威脅。


行動概述與發現

根據 Qualys 資安研究員 Shilpesh Trivedi 的說法,Murdoc Botnet 展現出「增強的能力,能利用漏洞入侵設備並建立大規模的惡意網路」。該行動至少自 2024 年 7 月起活躍,目前已有超過 1,370 台設備被感染,主要分布於馬來西亞、墨西哥、泰國、印尼及越南等地區。


Photo credit: Qualys

攻擊鏈的技術分析

該惡意網路利用已知的漏洞,例如 CVE-2017-17215CVE-2024-7029,以獲取物聯網設備的未授權訪問權限。一旦入侵成功,攻擊者便部署 Shell 腳本下載並執行針對目標設備架構的惡意程式。

此惡意程式的主要目的是將受感染設備武器化,用於執行 分散式阻斷服務(DDoS)攻擊,進一步干擾重要服務與基礎設施。這一動向與其他 Mirai 變種的活動不謀而合,例如 2024 年底針對工業路由器的「gayfemboy」攻擊。


物聯網漏洞的更廣泛影響

近期報告亦顯示,針對電信、雲端運算、銀行與遊戲等高價值領域的惡意網絡活動顯著增加。證據顯示,55% 以上的受感染設備位於印度,其次是南非、巴西、孟加拉與肯亞。

Trend Micro指出,Murdoc Botnet 採用 MiraiBASHLITE 衍生的惡意程式變種,具備執行複雜 DDoS 攻擊、更新惡意程式及提供代理服務的能力。攻擊者透過利用弱密碼與未修補的漏洞滲透物聯網設備,部署下載惡意程式的加載器,並與指揮控制(C2)伺服器連接,接受進一步指令。


防護建議

為防範物聯網惡意網絡威脅,建議採取以下資安措施:

  1. 漏洞管理:定期更新設備韌體,修補已知漏洞(如 CVE-2017-17215 和 CVE-2024-7029)。
  2. 憑證強化:將預設用戶名與密碼更改為複雜且唯一的憑證。
  3. 網路監控:部署入侵偵測與防禦系統(IDPS),以監控異常流量模式並阻止未授權訪問。
  4. 端點防護:採用進階端點防護方案,偵測並緩解惡意進程與腳本。
  5. 網路分區:將物聯網設備隔離至專用網路區段,減少橫向移動攻擊的風險。

更大的挑戰

Murdoc Botnet 再次提醒我們,未保護的物聯網設備帶來的風險日益嚴重。隨著攻擊者逐漸利用物聯網生態系統,企業必須優先考慮這些設備的資安防護,以保護基礎設施,並防止其被用於大規模惡意網路行動。

採取主動措施,包括資安意識提升與持續漏洞修補,對於應對不斷演變的威脅環境至關重要。

有關Murdoc Botnet的部分入侵指標(Indicator of compromise -IOCs):

c9fe390890a8b0586e8d5ac410685a7c4ed147858b10eb75459fa1afca8dc84d 

c0ae1eb249705f61d45ca747c91c02a411557a28792f4064c1d647abb580bc10

f5aa93311d8dcde50d87ec010274fdd7a7653eed51264f0e2e648403ec4177d0

76ebd9695aef87cc975d63b3a7a9ecc7d31bcd53a29e70ba97464a61e102cf52

7b1c7eb73f5d668c11af8f7131883863774902883ad95aa520a1eb203cf50fe1

駭客IntelBroker聲稱入侵HPE 洩露敏感數據並公開出售

臭名昭著的駭客 IntelBroker 近日聲稱,成功入侵位於美國德州休士頓的全球科技解決方案提供商慧與科技(Hewlett Packard Enterprise-HPE),並竊取了包括源始碼、憑證及個人身份信息(PII)在內的大量敏感數據。目前,這些數據已被上架出售,交易方式要求以 Monero(XMR)加密貨幣支付,以確保交易匿名且難以追蹤。

駭客聲稱直接攻擊 HPE 基礎設施

IntelBroker 通過 Breach Forums(駭客論壇)宣布此事件,並在與資安媒體 Hackread的專訪中進一步闡述入侵細節。根據 IntelBroker 的說法,此次攻擊直接針對 HPE 的內部基礎設施,並未利用第三方供應商作為攻擊途徑,這與近期一些類似事件有所不同。

洩露數據的具體內容

IntelBroker 公開了一份詳細的數據樹與兩張來自 HPE 系統內部的截圖,據稱展示了開源軟體與專屬套件管理系統的混合開發環境。根據Hackread 初步分析,洩露數據包括但不限於:

  • 產品源始碼:涵蓋 Zerto 與 iLO 等產品,檔案如 ilo_client.py 和 zerto_bootstrapper.py 暗示專有資訊已被外洩。
  • 開發資產:包含私有 GitHub 儲存庫、Docker 構建文件及 .tar 壓縮文件。
  • 憑證與密鑰:如 ca-signed.key 和 hpe_trusted_certificates.pem,可能涉及敏感加密材料的暴露。
  • 用戶與系統資料:包括舊版交付相關的個人身份信息(PII),以及對 API、WePay、自行托管 GitHub 儲存庫的訪問權限。
  • 部署文件:如 VMW-esx-7.0.0-hpe-zertoreplication.zip 和 ZertoRunner.exe,表明已洩露已編譯的軟體包和部署資產。

內部系統截圖的安全隱患

駭客分享的兩張截圖揭露了 HPE 系統的敏感細節:

  1. SignonService Web 服務:包括服務端點地址、WSDL 連結與實現類,可能進一步暴露內部基礎設施的設置。
  2. 配置與憑據:如 Salesforce 和 QIDs 的憑據、SAP S/4 HANA 報價服務的內部 URL,以及用於錯誤日誌記錄的占位電子郵件地址,暴露了系統內部的多重安全漏洞。
Photo Credit: Hackread
Photo Credit: Hackread

HPE 與 HP 的區別

需注意,此次洩露事件針對的是慧與科技(HPE),而非惠普公司(HP Inc.)。兩家公司自 2015 年分拆後,擁有獨立的管理與運營方向:

  • HPE:專注於企業級 IT 解決方案,包括伺服器、存儲、網路和雲計算。
  • HP Inc.:主攻消費市場,產品涵蓋筆記型電腦、桌面電腦及打印機等。

駭客 IntelBroker 的歷史與背景

IntelBroker 已涉及多起高調網路攻擊

  • 思科(Cisco)事件:2024 年 10 月,該組織聲稱攻破思科並竊取數 TB 資料。事後,思科證實,攻擊者利用了一個配置錯誤的公開 DevHub 資源。
  • 諾基亞(Nokia)事件:2024 年 11 月,通過第三方承包商攻破系統,相關數據以 2 萬美元出售。
  • AMD(超威半導體公司)事件:同年,該組織聲稱洩露了 AMD 的員工及產品資料。

總結

此次針對 HPE 的攻擊如被證實,將對企業及相關生態系統造成重大影響,並進一步暴露網路攻擊對全球企業的持續威脅。此事件亦強調加強內部系統安全與加密保護的重要性,以防範類似攻擊再度發生。

1 月 20 日,根據 BleepingComputer 的報導,慧與科技(HPE)表示,目前尚未發現任何入侵的相關證據,並已針對 IntelBroker 的聲明展開深入調查。