News - 竣盟科技

RansomHouse聲稱從美國晶片巨頭AMD竊得450GB 數據，AMD表示目前正在著手調查

Posted on 2022 年 6 月 29 日2022 年 6 月 29 日 by blogadmin

昨天，一個相對較新的勒索組織RansomHouse，聲稱入侵了 Advanced Micro Devices (AMD )並竊取了約 450GB 數據，該組織還發布了一個數據樣本作為證據。

根據Restore Privacy， RansomHouse發布的數據包括網路檔案、系統資料以及 AMD 的密碼。以下是 RansomHouse在其暗網網站上發布樣本的目錄:

目前AMD對這一說法的回應是，知道有一名不法分子聲稱擁有來自 AMD 的被盜數據，目前正在進行調查。

“簡單的密碼” 是數據外洩的原因?!

根據 RansomHouse 的說法，AMD使用簡單、好猜的密碼，例如“password”、“[email protected]” 、“amd!23”和“Welcome1”等來保護其網路。有趣的是，根據 RansomHouse向 BleepingComputer透露，其合作夥伴大約在一年前入侵了 AMD 的網路，RansomHouse進一步說， Data Leaked的日期2022 年 1 月 5 日，實際上是他們無法存取AMD網路的日期。另外，資訊科技網站Tom’s Hardware報導，此次AMD數據外洩事件，可能與之前技嘉遭RansomExx入侵其供應商及合作夥伴的資料外洩事件有關，推測RansomExx 勒索軟體與RansomHouse有關聯。

目前RansomHouse沒有聯繫 AMD 索要贖金，因為該勒索組織認為直接將資料出售給其他實體或駭客，可比等待AMD做出回應更有價值。

RansomHouse於2021年12月開始運營，該組織聲稱加拿大薩斯喀徹溫省酒類與賭博管理局（SLGA）是其第一個受害者，其後也陸續出現如非洲最大的連鎖超市Shoprite等的受害者，但目前RansomHouse只有6名受害者，如下圖所示:

與其他傳統的勒索軟體組織相比，RansomHouse 實際上並未聲稱自己是“勒索軟體”組織，他們的攻擊並不包含加密受害者系統上的檔案，而只是入侵受害組織並竊取機密資料，並再向受害者勒索。RansomHouse在其暗網”關於”即About頁面上將自己描述為專業調解員。

勒索軟體集團LockBit打著“讓勒索軟體再次偉大”的口號，正式推出新版LockBit3.0，並啟動漏洞賞金計劃

Posted on 2022 年 6 月 28 日2022 年 6 月 28 日 by blogadmin

LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號，推出3.0新版

據竣盟科技的觀察，LockBit勒索軟體集團已在上週日(6/26)推出了其惡意軟體的3.0 版本，LockBit自2019年9月開始運營以後來，發展成為最多產的勒索軟體之一，在Conti 勒索軟體關閉其運營後，2022年5月LockBit正式成為佔主導地位的勒索軟體，其攻擊佔勒索市場的 40%。

LockBit還啟動了一個漏洞賞金計劃(Bug Bounty Program)，號召旗下成員(Affiliate)或全球的駭客菁英加入新擴展的漏洞賞金計畫，找出有關其加密程式碼漏洞、公共基礎設施漏洞或其他勒索軟體組織成員和幕後老闆的 PII 數據的資料。

LockBit在其揭秘網站LockBit3.0 Leak Data上表示，我們邀請地球上所有安全研究人員、道德和不道德的駭客參與我們的漏洞賞金計劃，報酬金額從 1000 美元到 100 萬美元不等。

自LockBit 3.0推出以來已經有受害者，分別是兩家美國公司Metro Appliance& More和Longseal flooring，為了讓受害者付贖金，LockBit還帶來新的敲詐技倆，任何人可以在受害者頁面，以LockBit提供的售價購買以下選項:

1. 延長談判時間( 24小時)

2銷毀從受害公司竊取到的所有資料。

3. .隨時下載從受害公司竊取到的所有資料。

值得一提的是，這意味著LockBit受害公司的競爭對手可能會買下資料或直接銷毀資料，LockBit無疑將敲詐、威嚇的技倆，帶到另一個層次!

另外， LockBit新增加了一個How to buy Bitcoin頁面，教受害者如何使用不同的方式購買比特幣。

據了解，LockBit還在準備大量新的備份站點，以提高其基礎架構的彈性。

LockBit勒索軟體集團的經營已經達到了一定程度的成熟度，該集團如同在經營的正規企業般的策略，是當今的勒索軟體市場鮮有的。

供應鏈攻擊又添一樁，證實汽車軟管製造廠商Nichirin遭勒索軟體攻擊，自動生產控制停罷

Posted on 2022 年 6 月 24 日2022 年 6 月 24 日 by blogadmin

總部位於日本的汽車軟管製造商 Nichirin(株式會社日輪)週三(6/22)表示，其美國子公司Nichirin -Flex USA 在2022年6月14日遭勒索軟體攻擊，該公司在檢測到其網路上的未經授權存取並將操作切換到手動模式後立即做出反應，中斷了其電腦化生產控制，必須手動完成訂單，影響了產品分配及出貨。

勒索軟體攻擊說明了供應鏈安全在所有行業和部門中的重要性日益增加，在沒有日輪汽車零部件的情況下，可引起其他在供應鏈的企業無法完成訂單並滿足消費者的需求。

根據歐盟網路安全局 (European Union Agency for Cybersecurity-ENISA) 的數據，66%的供應鏈攻擊集中在供應商的程式碼上，其次是智慧財產權、個人識別資訊 (PPI)、內部流程圖和緊迫的生產時間線等，尤其吸引那些有經濟動機的駭客。

Nichirin在新聞稿中表示，承諾調查此次攻擊對合作夥伴和客戶的影響，並承諾及時披露任何必要的資訊。Nichirin 也在其官網上請求客戶提高警覺，留意聲稱與Nichirin有關的電子郵件，呼籲電郵收件人不要打開附件。

勒索軟體對汽車行業來說是一個日益嚴峻的挑戰，2021 年 2 月，起亞汽車(Kia)美國公司遭DoppelPaymer加密，關鍵性IT被破壞，網路廣泛性斷線，影響其UVO link的行動應用程式，支付系統，電話服務及入口網站等的運作; 2021 年 12 月Volvo富豪汽車疑遭Snatch勒索軟體加密; 2022 年 3 月日本汽車零件大廠電裝公司(Denso) 遭潘朵拉勒索軟體攻擊；同月為美國生產汽車剎車管和燃油管的三桜工業遭Conti勒索軟體毒手，現代派沃特(Hyundai Powertech) 也遭Cuba勒索軟體入侵等，可見勒索軟體對瞄準汽車生產中必不可少的零部件供應商表現出越來越大的興趣。

最好的進攻是良好的防守，在管理供應鏈也是如此。在製定管理供應鏈中斷的策略時，建議考慮以下幾點:

*制定供應鏈應急計劃

*建立庫存

*進行供應鏈漏洞稽核

*確定備用供應商

*多元化供應基地

*與物流專家合作

*採用風險評估工具

竣盟科技已經檢查了幾個主要勒索軟體組織的揭秘網站，但目前沒有一個組織聲稱攻擊了Nichirin。

美國聯邦機構：中國APT駭客利用常見漏洞，入侵電信公司，窺探網路流量，藉以竊取受害者數據

Posted on 2022 年 6 月 8 日2022 年 6 月 8 日 by blogadmin

美國國家安全局 (NSA)、網路安全暨基礎安全局 (CISA) 和聯邦調查局 (FBI)在周二(6/7)發布了聯合網路安全諮詢報告，警告說中國APT駭客如何通過利用眾所周知的漏洞來鎖定和入侵電信公司和網路服務提供商，受影響的網路範圍從小型企業的路由器到任何中型和大型企業的網路設備。一旦入侵，駭客會將這些設備用作他們自己的攻擊基礎設施的一部分，作為C2伺服器和proxy系統，使他們可以用來破壞更多的網路。

根據安全諮詢報告，自2020年以來，中國一直在利用特定技術和常見漏洞在網路攻擊活動中發揮其優勢。利用這些漏洞，他們可以建立廣泛的基礎設施網路，以針對目標的政府部門和私人機構。

一旦在電信組織或網路服務提供商獲得切入點後，中國APT駭客會先確認關鍵用戶和基礎設施，如對維護身份驗證，授權和會計安全性至關重要的系統，然後攻擊者再竊取憑證以存取底層 SQL 數據庫，並使用 SQL 命令從關鍵的遠端驗證撥入使用者服務 (RADIUS)伺服器轉儲用戶和管理員憑證。

聯邦機構進一步說，憑藉來自受感染的 RADIUS 伺服器和路由器配置的有效帳戶和憑證，攻擊者利用他們的存取權限和技術成功驗證和執行路由器命令，偷偷地將流量路由，捕獲和滲透到攻擊者控制的網路基礎設施。

以下常見漏洞 (CVEs)是美國聯邦機構表示，自 2020 年以來中國APT駭客最常利用的網路設備漏洞:

通過利用這些漏洞，中國APT駭客建立了廣泛的基礎設施網路，幫助他們進一步更廣泛的入侵政府部門和私人機構。

NSA、CISA 和 FBI 還敦促美國和盟國政府、關鍵基礎設施和私營行業組織應用一系列緩解措施，以幫助降低類似攻擊破壞其網路的風險。聯邦機構建議組織盡快應用安全修補，禁用不必要的端口和協議以縮小其攻擊面，並更換不再接收安全修補的報廢網路基礎設施。他們還建議對網路進行分段以阻止橫向移動，並在互聯網公開服務上啟用強大的日誌記錄以盡快檢測攻擊嘗試。

印度廉航香料航空SpiceJet遭到勒索軟體攻擊，航班停飛，大批乘客滯留機場

Posted on 2022 年 5 月 27 日2022 年 5 月 27 日 by blogadmin

綜合外媒報導，印度香料航空（SpiceJet airline）稱其 IT 基礎設施於24日晚上面臨了企圖的勒索軟體攻擊(Attempted ransomware attack)，導致航班延誤，許多乘客滯留在機場。根據該航空公司於25日早上在Twitter的公告，表示某些香料航空系統在24日晚遭勒索軟體攻擊，影響並減慢了25日早上的航班起飛，但表示其 IT 團隊成功阻止了此次攻擊，因此現已恢復正常運行的狀態。

#ImportantUpdate: Certain SpiceJet systems faced an attempted ransomware attack last night that impacted and slowed down morning flight departures today. Our IT team has contained and rectified the situation and flights are operating normally now.
— SpiceJet (@flyspicejet) May 25, 2022

然而，直到當地時間中午過後仍起飛延誤和航班取消，使旅客抱怨連連，據報導，許多人在登機後被困在飛機上數小時，被告知由於系統問題，航班無法起飛，多個乘客在Twitter 和 Facebook 上抱怨，反映了持續存在的航班延誤，無法通過電話進行客戶服務，預訂系統仍然不可用等問題

乘客在Twitter上抱怨

香料航空於25日傍晚發布了更新，稱雖然他們的 IT 團隊在很大程度上控制和糾正了這種情況，但這對我們的航班產生了連鎖反應，導致延誤，並補充說一些飛往限制夜間運營的機場的航班已被取消，因此香料航空正在就此問題與專家和當局保持聯繫。

根據BleepingComputer報導，香料航空網站的主頁(homepage)雖然可運作，然而大多數底層系統和網頁都無法載入。根據公開數據，香料航空是印度第二大航空公司，運營著由 102 架飛機組成的機隊，服務60多個目的地，當地市場佔有率約15%，並擁有超過 14,000 名員工。因此影響其運營的勒索攻擊會影響大量的印度和國際乘客，而這些長時間的延誤會轉化為重大的經濟損失。

香料航空過去曾面臨過網路安全問題，據TechCrunch 報導，2020 年 2 月，一名美國安全研究員暴力破解了香料航空系統，並獲得了一個未加密的數據庫備份檔案，該檔案包含超過 120 萬乘客的個資。據報導，研究人員向印度電腦緊急應變小組(Computer Emergency Response Team India , CERT-In) 通報，CERT-In確認了安全漏洞並將警報發布給香料航空，然而該航空公司拒絕證實 CERT-In 的調查結果。

航空公司經常成為駭客的熱門目標，在最近的一次攻擊中，發現一個伊朗國家級APT駭客組織濫用 Slack的 API，在一家亞洲航空公司的系統中部署後門，竊取航空公司數據。另外，勒索軟體LockBit2.0也曾在2021年8月攻擊了泰國的曼谷航空，導致乘客的個人識別資訊(PII)遭外洩， 200多GB的數據被公開。

國際刑警組織(Interpol)警告說，軍用的網路武器將在暗網上出現!

Posted on 2022 年 5 月 25 日2022 年 5 月 25 日 by blogadmin

Key Points:

*國際刑警組織秘書長Jurgen Stock表示，他擔心由國家開發的惡意軟體很快成為暗網上的商品，並估計這一進程難以逆轉。

*長期以來，網路戰爭一直是全球各國政府關注的話題，但在俄羅斯與烏克蘭的戰爭中，它又得到了新的聚焦。

*根據世界經濟論壇的《全球網路安全展望》報告，2021年全球網路攻擊的數量增加了一倍以上。

在科技持續發展、戰略不斷變化的時代，網路世界越來越重要，網路已經成為現代戰爭的新武器。最近在俄羅斯和烏克蘭之間持續的衝突中，由國家級駭客和非國家級駭客開發的惡意軟體對全球關鍵基礎設施和組織構成嚴重風險。週一（5月23日）國際刑警組織秘書長Jurgen Stock在瑞士Davos舉行的世界經濟論壇上表示，他擔心由國家開發的惡意軟體很快成為暗網上的商品，他解釋說，這已經成為現實世界中的一大主要問題——戰場上使用的武器逐漸落入有組織的犯罪集團手中，同樣地，數位武器也不例外，也許當前由軍方開發並使用，但明天將會被惡意駭客所利用。

Stock指出在俄羅斯入侵烏克蘭後的最初幾個月裡，資安公司觀察到針對烏克蘭政府實體和組織的多次襲擊。與俄羅斯有關的APT駭客組織使用資料破壞軟體wipers摧毀目標系統。本月初，歐盟譴責俄羅斯於 2 月 24 日對由衛星通訊業者 Viasat 運營的烏克蘭KA-SAT衛星網路發起網路攻擊，企圖癱瘓烏克蘭國內的通訊，以利俄羅斯軍隊的攻擊，這次攻擊導致烏克蘭的通訊中斷，還影響了幾個歐盟成員國。由於這次襲擊的溢出效應，德國的5800台Enercon風力渦輪機無法存取。SentinelLabs的安全研究人員調查了這次攻擊，發現了一個以前未被發現的破壞性刪除程式，被跟蹤為AcidRain，移除了KA-SAT數據機及路由器中的所有資料，造成KA-SAT衛星網路服務失效。

Stock呼籲商界領袖加強與政府及執法部門的合作，以防止國家級惡意軟體在暗網上擴散，確保更行之有效地監管網路犯罪。

他表示，“一方面，我們需要把握當前態勢；而另一方面，我們需要私營機構數據的支持。我們需要企業的網路入侵報告。沒有這些報告，我們將無法看到威脅形勢。”然而Stock說，目前大量的網路攻擊未被上報。

根據世界經濟論壇全球網路安全展望報告(World Economic Forum’s Global Cybersecurity Outlook report)，2021年全球網路攻擊數量增加了一倍以上。報告稱，勒索軟體仍是當下最流行的攻擊類型，各受訪組織每年平均被攻擊270次。

參與討論的企業高管和政府官員表示，網路安全事件正在令關鍵的能源基礎設施和供應鏈面臨風險。工控系統（ICS）安全公司Dragos聯合創始人兼CEO Robert Lee也敦促企業關注現實世界威脅的場景，比如2015年由俄羅斯APT駭客組織Sandworm對烏克蘭電網攻擊，今年4月烏克蘭已經成功抵擋住俄駭客企圖破壞電網的攻擊等，而非一味假設風險場景。

Lee總結道，我們的問題用不著Next gen AI、區塊鍊或者其他技術來解決。我們的問題在於，很多已經投資並開發完成的成果仍未得到實際的應用。

AvosLocker勒索軟體的變種濫用驅動程式檔案以禁用防毒軟體，藉以掃描Log4j漏洞

Posted on 2022 年 5 月 4 日2022 年 5 月 4 日 by blogadmin

資安研究人員披露了 AvosLocker勒索軟體的一種新變種，該變種通過利用未修補的安全漏洞log4shell，在破壞目標網路後禁用防毒軟體以逃避檢測， TrendMicro研究人員 Christoper Ordonez 和 Alvin Nieto在5月2日的研究分析中說，我們從美國觀察到的一種AvosLocker新變種的第一個樣本，該變種能使用合法的 Avast Anti-Rootkit 驅動程式檔案 (asWarPot.sys) 禁用防禦解決方案， AvosLocker勒索軟體還能夠使用 Nmap NSE Script掃描多個端點以查找Log4j漏洞，以將回調伺服器傳輸到其惡意中繼站。

AvosLocker是一個基於勒索軟體即服務(Ransomware as a Service, RaaS)組織，於 2021年7月首次被發現，與針對美國關鍵基礎設施（包括金融服務和政府設施）的一系列攻擊有關，如果受害目標實體拒絕支付贖金，AvosLocker通過拍賣從受害者那裡竊取的數據來實施雙重勒索。根據在2022 年 3 月的美國FBI發布的一份資安警告，AvosLocker勒索軟體聲稱的其他目標受害者位於敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿聯酋、英國、加拿大、中國和台灣，在2021 年 7 月 1 日至 2022 年 2 月 28 日期間，食品和飲料行業是受災最嚴重的行業，其次是技術、金融、電信和媒體業。

攻擊的入口點被認為是通過利用 Zoho的ManageEngine ADSelfService Plus 軟體中的遠端程式執行漏洞( CVE-2021-40539 )來運行託管在遠端伺服器上的 HTML 應用程式 ( HTA ) 來達成的。HTA執行了一個混淆的PowerShell 腳本，其中包含一個 shellcode，能夠連接回C2伺服器以執行任意命令，這包括從伺服器檢索 ASPX Web shell 以及AnyDesk遠端桌面軟體的安裝程式，後者用於部署其他工具以掃描本地網路、終止安全軟體並刪除勒索軟體有效負載。

複製到受感染端點的是一個 Nmap 腳本，用於掃描網路以查找 Log4Shell 遠端程式碼執行漏洞 ( CVE-2021-44228 )，以及一個名為 PDQ 的大規模部署工具，用於向多個端點傳遞惡意Batch script。Batch scrip配備了廣泛的功能，允許它禁用 Windows 更新、Windows Defender 和 Windows 錯誤恢復，此外還可以阻止安全產品的啟動執行、建立新的管理員用戶以及啟動勒索軟體二進製檔案。

另外，AvosLocker還使用了aswArPot.sys，一個合法的 Avast 反 rootkit 驅動程式，來阻止與不同安全解決方案相關的進程，其舊版本中存在漏洞，捷克資安公司Avast於 2021 年 6 月解決的驅動程式中已修補了漏洞。Avast表示，已與微軟密切合作，在 Windows 操作系統（10 和 11）中發布了一個組塊，無法將舊版本的 Avast 驅動程式加載到memory中，因此運行完全更新的Windows 10 和 11的系統不易受到此類攻擊。

AvosLocker 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96

a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9

14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8

05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5

中國APT駭客組織Naikon透過新的間諜攻擊，重新浮出水面

Posted on 2022 年 5 月 3 日2022 年 5 月 3 日 by blogadmin

資安研究員發現，在最近幾週，名為Naikon的中國APT駭客組織又重新露面，並發起了新的網路釣魚攻擊，再次針對東南亞國家，旨在竊取政府機構的情報資訊。

Naikon也稱為Override Panda、Hellsing 和 Bronze Geneva，至少自 2005 年以來，該組織就以代表中國政府利益展開針對亞太地區國家(如文萊、柬埔寨、印度尼西亞、老撾、馬來西亞、緬甸、菲律賓、新加坡、泰國和越南等)的情報收集行動。資安公司Cluster25在這數週發現的攻擊中，觀察到Naikon的攻擊鏈涉及使用附加到網路釣魚電子郵件的誘餌檔案，這些檔案旨在誘使目標受害者打開並使用惡意軟體危害受目標。去年4月，Naikon與針對東南亞的軍事組織的廣泛網路間諜活動有關，研究也指出在2021年8月發現Naikon參與了2020年底針對東南亞地區電信行業的網路攻擊。

Cluster25表示Naikon最新的攻擊與之前間諜活動沒有什麼不同，利用武器化的 Microsoft Office 檔案來啟動感染攻擊鏈，Naikon使用網路釣魚電郵來投遞名為“Viper”的紅隊的紅隊框架的信標，旨在啟動和執行一個載入型的 Shellcode Loader。

據了解，Viper是一種開源的滲透測試工具並可從GitHub下載，是一款由中國人開發的工具，大部分文檔都是用簡體中文編寫的。Viper具有圖形化的操作界面，讓用戶使用瀏覽器即可進行內網滲透。與 CobaltStrike工具一樣，Viper允許輕鬆生成有效負載，例如 Meterpreter、ReverseShell 和其他自定義的信標。據說， Viper具有 80 多個模組，使駭客能建立初始入侵存取、保持持久性、權限升級、憑證存取、橫向移動和執行任意指令等。

研究人員指出在分析過程中，通過觀察 Naikon的駭客武器庫，可以得出結論，該組織傾向於進行長期的情報和間諜活動，是典型旨在對外國政府和官員進行攻擊的組織，同時，Naikon為了避免檢測並最大化結果，隨著時間的推移更改了不同的 TTPs 和工具。Cluster25 在報告中表示，鑑於Naikon早期的攻擊的歷史，這次攻擊的目標極很可能同樣是針對東南亞國家的政府機構。

有關Naikon的部分入侵指標(Indicator of compromise -IOCs):

SHA256 05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd

SHA256 8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca

SHA256 ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a

SHA256 eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f

群暉Synology就多個產品中存在重大的Netatalk漏洞發出警告

Posted on 2022 年 4 月 29 日2022 年 4 月 29 日 by blogadmin

Synology群暉科技針對影響其產品中的重大的Netatalk漏洞發布了公告，目前已針對 DSM 7.1 發布了更新，升級至7.1-42661-1 可修補漏洞，但並非在所有設備上提供自動更新，Synology NAS 用戶可以手動將其操作系統升級到最新版本，Synology其他版本仍受到影響。如果您正在使用 AFP服務，請立即關閉(Disable)它。根據 bleepingComputer報導，Synology警告用戶，其部分網路附加存儲 (NAS) 設備的操作系統中存在重大的Netatalk 漏洞，面臨被駭客鎖定開採的風險。Synology 目前使用舊版本的 Netatalk 來運行 Apple網路協議，結果發現了一些嚴重的漏洞，威聯通Qnap也曾對這些漏洞發出警告，漏洞能讓攻擊者可以遠端獲取敏感數據並執行遠端任意程式碼，漏洞存在於 Synology 的 DiskStation Manager 操作系統、VS 韌體2.3 和 Synology Router Manager 1.2 的不同版本中。

Netatalk 是一種Apple Filing Protocol的開源軟體，它允許運行 *NIX/*BSD 的系統充當 macOS 用戶端的 AppleShare 檔案伺服器。Netatalk 開發團隊解決了3.1.1 版本中的安全漏洞，該版本於 3 月 22 日發布。Synology 目前正在努力更新，在易受攻擊的 NAS 系統上實施此修補，目前SM 7.1 的 7.1-42661-1 版本已修補漏洞，該公司表示，目前其他版本的修補仍在進行中。

Netatalk 漏洞

本週早些時候，另一家台灣 NAS 設備製造商 QNAP 敦促其客戶禁用其 NAS 設備的 AFP服務協議，直到它修補了關鍵的 Netatalk 安全漏洞。

威聯通表示，Netatalk 漏洞影響多個 QTS 和 QuTS hero 操作系統版本以及公司的雲端優化 NAS 操作系統 QuTScloud。

與 Synology 一樣，QNAP 已經為其中一個受影響的操作系統版本發布了修補，並且已經為運行 QTS 4.5.4.2012 build 20220419 及更高版本的設備提供了修補復程式，鑑於漏洞的嚴重性，呼籲用戶密切關注更新及版的本修補。

Stormous勒索軟體組織聲稱入侵了可口可樂，竊取了161 GB 的數據，可口可樂表示已展開調查

Posted on 2022 年 4 月 27 日2022 年 4 月 27 日 by blogadmin

Stormous在暗網上正以約 64,000 美元的價格出售這批數據，據稱包含財務數據、管理檔、電子郵件和密碼的文檔、用戶和支付資料等及壓縮檔，共13個檔。

4月26日Stormous勒索軟體組織在其Telegram頻道上，宣布入侵了跨國飲料公司可口可樂，並從一些可口可樂的伺服器中竊取了 161GB的數據。

在這之前，Stormous於4月20日在Telegram發起了一項線上投票活動，要其 Telegram頻道的追隨者投票決定誰應該成為他們下一個攻擊的受害者，並承諾攻擊將包括DDoS、數據入侵、外洩露軟體源始碼和客戶端數據，可口可樂以 72% 的選票贏得了該項活動，最終成為攻擊的對象。

Stormous是一個相對較新的勒索軟體組織的名字，於今年第一季度初出現，但目前沒有跡象顯示在受害者網路植入加密資料的檔案，在 Stormous宣布從 Epic Games 竊取約200 GB 數據後，開始獲得了關注。雖然Stormous並未表示將可口可樂對作為支持烏克蘭的報復，但在俄羅斯入侵烏克蘭後不久，Stormous迅速追隨勒索軟體Conti腳步，並宣布支持俄羅斯。可口可樂此前暫停了在俄羅斯的業務，並承諾捐款約150億美元，以援助和支持紅十字會和烏克蘭的救援工作。

可口可樂公司尚未證實他們的數據被盜，但目前正在與執法部門合作，正在調查這起事件。