印尼中央銀行-Bank Indonesia證實遭到勒索軟體攻擊,16台電腦遭殃,目前已有13.88 GB數據被駭客掌握,幕後黑手指向Conti

印尼中央銀行-印度尼西亞銀行(Bank Indonesia-BI)今天證實,上個月勒索軟體攻擊襲擊了其網路。據 CNN Indonesia報導,在此次事件中,攻擊者竊取了屬於印尼銀行員工的“非關鍵數據”,然後在該銀行網路上的16個系統上部署了勒索軟體有效負載 ,BI發言人 Erwin Haryono表示,我們的網路遭到了襲擊,但到目前為止,我們採取了預期措施,最重要的是Bank Indonesia的公共服務沒有受到影響,此次攻擊的風險已得到緩解,正從網路攻擊中復原。

印尼銀行


雖然BI發言人 Erwin Haryono 沒有將這次攻擊歸咎於特定的勒索軟體,但Conti在其揭秘網站聲稱成功攻擊了BI並從BI網路竊取了17034份檔案,如果BI不付贖金,該勒索軟體組織將外洩13.88 GB 的數據。

Conti是一項勒索軟體即服務 (Ransomware as a Service-RaaS)操作,與Wizard Spider俄羅斯網路犯罪組織有關聯,該組織也以其他臭名昭著的惡意軟體而聞名,包括 Ryuk、TrickBot和BazarLoader。在今天FBI發布的新Flash諮詢公告中,FBI 已正式將 Diavol勒索軟體與Wizard Spider組織聯繫起來,表明Wizard Spider在攻擊中會利用Conti和Diavol這兩支勒索軟體。據了解,研究人員在2021年6月初的同一勒索軟體攻擊中看到了Diavol和Conti勒索軟體有效負載部署在網路上。在分析了兩個勒索軟體樣本後,發現了相似之處,例如它們使用異步I / O操作進行檔案加密,以及為相同功能使用幾乎一致的命令列參數,由此可見,Wizard Spider犯罪組織的發展及動態是值得注意的。

Conti以攻擊知名及企業組織而聞名,在過去其受害者包括台灣研華科技,日本JVC KENWOOD愛爾蘭衛生健康署,遊戲公司卡普空Capcom

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain:

sammitng.com

SHA 256:

c867fbc963c6975918f6744e196e0cc648777c7252ca740254e6eed9918c6fd1

bea4dcabc10ad8b7ef79579a1c511ec42cb98ddd1cf607a5a5ee369b28aa144b

a290ce75c6c6b37af077b72dc9c2c347a2eede4fafa6551387fa8469539409c7

63de40c7382bbfe7639f51262544a3a62d0270d259e3423e24415c370dd77a60

9d63a34f83588e208cbd877ba4934d411d5273f64c98a43e56f8e7a45078275d

5c649554d9ea77e98dbf0df0d4010255075c6c5324fc7526c667a180c06a050a

37b264e165e139c3071eb1d4f9594811f6b983d8f4b7ef1fe56ebf3d1f35ac89

31f8ad3f818ef0635109cecfff8f2e03f5e47a9a62a2fe548bc10393e3318d4f

24f692b4ee982a145abf12c5c99079cfbc39e40bd64a3c07defaf36c7f75c7a9

SHA 1:

e115f1be72f730bf3a7b7d9e2ec9e4b7b7a4b5e7

c07dbec39149a3bb20a54b9eeb2e453a7c5bdd2f

856366815cac27775b944a236ad3a6f523a4136d

bf92ce7c065568c1b893c1ababa04eeffedadcca

7ed8d5a2e09d48ccb84d790abfa7a1556b9d4990

6a31edc3e73957bb25e51abfd4efb4fd5eb51dbc

4ff45fb8003ab1075bdbbc9d044b7c31374f3cdb

092ac6f8d072c4cf045e35a839d5bb8f1360f1ae

MD5

e35df3e00ca4ef31d42b34bebaa2f86e

b656845e2755920db24364b42ce2ea18

abbbd0e30c4e66ad59518b9460dbcdfd

72296b01b37d6baefaecbc5bdecfadb6

29154f55df2171ccfe6316a77496d451

215e0accdf538d48a8a7bf79009e8f9b

a0e9f5d64349fb13191bc781f81f42e1

Yara:

ca8476a53823a9644533a81cb37c52d4eb22750e

901a241c9bbd91aadda3ee7ed4cdc96eaa27d03a

d6a13a17c05f84c20b699785efba7b7af4b8cb7f

e458fa0d1dfe88ada943c9c77c7a17c938f30a2b

IPv4:

82.118.21.1

185.141.63.120

162.244.80.235

162.244.83.216

CVE:

CVE-2021-34527

CVE-2020-1472

Honeywell宣布採用Acalvio欺敵技術,推出共享解決方案以遏阻零時差攻擊

Honeywell和 Acalvio推出了一種新的解決方案,旨在檢測 (OT) 環境中的已知漏洞和未知的零時差(Zero Day)攻擊,由 Acalvio 提供支援的Honeywell威脅防禦平台(Honeywell Threat Defense Platform -HTDP) 採用主動防禦,自主欺敵策略來智取攻擊者,並提供高保真威脅檢測。HTDP 是業界第一個專注於保護企業用於管理OT系統的主動防禦解決方案,主動防禦是網路安全中一個全新且強大的概念,它提供了一種積極主動的方法來保護免受從惡意軟體到進階持續性滲透攻擊(Advanced Persistent Threat, APT)的各種威脅。

所有現有的 OT 網路安全解決方案都基於預防(防火牆、存取管理等)和基於日誌(網路流量、端點事件等)分析的被動檢測來保護系統。然而,根據Honeywell Constructing Applied Sciences 進行的一項最新調查,超過四分之一 (27%) 的受訪設施管理人員在過去 12 個月內經歷了其 OT 系統的網路入侵,他們認為管理 OT 網路安全是他們最困難的職責之一,攻擊者以針對性攻擊和勒索軟體攻擊來瞄準構建系統。這些攻擊不僅可以存取私人客戶數據,還可能破壞公共基礎設施、數據中心、醫院和機場等關鍵設施的營運。

Honeywell威脅防禦平台-HTDP 使用欺敵策略來混淆和誤導關鍵資產和設備的威脅,這種方法可以實現高檢測率和低誤報率,新產品還提供用於確認和調查威脅的分析功能,並旨在引導、誘騙攻擊者來攻擊看似有價值的 IT 和 OT 設備的誘餌資產,使他們無法存取企業資產和更難識別真實系統,以減緩攻擊者的速度並使資安團隊更快地採取行動。

Honeywell Building Technologies的全球網路資安全總監 Mirel Sehic 說:“不幸的是,網路攻擊的數量和複雜的性每天都在增加,這加強了營運商嚴格監控、維護和保護其 OT 環境的需求,將 Acalvio 的自主欺敵技術整合到我們的 OT 網路安全工具中,提供了一種高效的解決方案,有助於保護我們客戶的OT環境免受日益複雜的攻擊。”

在 Acalvio的欺敵技術的支援下,HTDP 將設計、理念和行業特定知識整合到工作流中,以在分散式企業OT 網路中部署有效的欺敵。使用特製的欺敵元素,有助HTDP準確快速地檢測勒索軟體甚至零時差漏洞,HTDP 使用高級分析來確認和調查威脅。

Acalvio Technologies 聯合創辦人兼首席執行長Ram Varadarajan表示: 我們很高興與Honeywell合作,確保OT系統的安全並保持其正常運作,同時保護整個組織的人員和數據,重要的是,這項技術可以使每座建築和設施受益,尤其是那些沒有網路專家團隊的建築和設施。它不需要事先了解攻擊者的策略,無需特殊培訓或修改現有的OT環境即可部署。Acalvio表示,HTDP 解決方案包括部署和持續監控,從而釋放內部安全團隊資源,先進的人工智慧使服務更簡單且可伸展。HTDP 可以作為本地產品或雲端服務部署在IT 和 OT 環境中。這項新產品還可以幫助客戶提高彈性和業務連續性,以滿足ESG(Environment, Social, Governance)的相關指標。

關於 Acalvio Technologies 

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者。其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio 已被美國授予聯邦政府風險與授權管理計劃FedRAMP Ready的資格,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技 [email protected] 電話: 02-25623952 ext. 16

Acalvio新聞稿: https://www.acalvio.com/honeywell-expands-ot-cybersecurity-portfolio-with-active-defense-and-deception-technology-solution/

竣盟科技官網:

https://www.billows.com.tw/

注意了! 繼去年四月的攻擊後,新的一波 QLocker勒索軟體再度針對 QNAP NAS 設備發動攻擊!!

專家警告稱,新一波Qlocker勒索軟體針對全球的 QNAP NAS 設備來襲,新的攻擊活動於 1 月 6 日開始,發現駭客在受感染的設備上放置名為 !!!READ_ME.txt 的勒索信。回顧去年5 月,台灣供應商威聯通QNAP警告其客戶更新在其網路附加存儲 (NAS) 設備上運行的 HBS 3 災難恢復應用程式,以防止 Qlocker 勒索軟體感染。

自2021年 4月19日那週開始,駭客大規模勒索軟體活動中針對 QNAP 的客戶,在破壞他們的 NAS 設備後,透過名為Qlocker的勒索軟體將檔案加密,檔案的副檔名全部變成7Z。QNAP 警告說,攻擊者正在利用 HBS 3 Hybrid Backup Sync 應用程式中寫死在韌體的硬式編碼漏洞CVE-2021-28799入侵用戶的設備並加密他們的檔案。

根據勒索軟體識別服務 ID-Ransomware的創建者Michael Gillespie提供的統計數據,這些攻擊於去年4月20 日首次被發現,感染數量每天飆升至數百次 。一旦勒索軟體感染了設備,它會將 NAS 上的所有文件移動到受密碼保護的7Z 檔案中,並要求支付 550 美元的贖金,並刪除snapshots以防止從備份中恢復數據,並在每個受影響的檔案夾中放置的勒索信(名為 !!!READ_ME.txt)。勒索信中包含通過 Tor 站點與Qlocker勒索軟體操作者取得聯繫的說明。

據BleepingComputer報導,2022 年 1 月 6日出現了新版本的 QLocker 勒索軟體稱為 QLocker2,並將舊的Qlocker勒索軟體稱為 QLocker1。目前還不確定,QLocker2與原始版本有什麼不同,但據悉用戶在感染後無法連接到 NAS。勒索信還包括 Tor 站點地址 ( gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion ),受害者會被提示存取以獲取有關他們需要支付多少費用才能重新存取其檔案的有關的資料。自這一系列新的 Qlocker 攻擊開始以來,BleepingComputer 看到的 Tor 受害者頁面顯示贖金在 0.02 到 0.03 比特幣之間即$840-$1300 美元。

QLocker的勒索信

不幸的是,不論Qlocker 1 或Qlocker 2並不是唯一針對 QNAP NAS 設備的勒索軟體,QNAP 去年還通知客戶保護他們的設備免受AgelockereCh0raix勒索軟體的攻擊。

本月早些時候,QNAP 還建議其客戶通過停用路由器上的端口轉發和機器上的 UPnP 功能來保護其連接 Internet 的 NAS 系統免受持續的勒索軟體和暴力攻擊。

您可以檢查NAS 並按照建議配置系統設置,以更好地保護您的設備並保護您的數據:

*刪除未知或可疑帳戶。

*刪除未知或可疑的應用程式。

*在 myQNAPcloud 中禁用自動路由器配置並設置設備訪問控制。

*禁用路由器上的端口轉發,使用 myQNAPcloud Link 或 QVPN 服務進行遠端連接。

*如果 NAS 直接連接到 Internet,請更改系統端口號。

*安裝並運行最新版本的 Malware Remover。

*更改所有帳戶的密碼。

*將已安裝的 QTS 應用程式更新至最新版本。

*將 QTS 更新到最新的可用版本。

*安裝 QuFirewall。

美國聯邦貿易委員會:立即修補 Log4j 漏洞否則將面臨巨額罰款

美國FTC今天在一篇關於嚴重安全漏洞Log4Shell的blog文章中警告說,未能保護消費者數據免受 Apache Log4j漏洞攻擊的公司有面臨法律訴訟和罰款的風險,FTC同時提到 2017 年 Equifax 因未修補漏洞以及其隨之而來的法律後果。

美國聯邦貿易委員會 (Federal Trade Commission -FTC)週二警告美國公司,如果他們的客戶受到涉及Log4j漏洞利用的攻擊的影響,他們可能會面臨法律訴訟。FTC 以 Equifax 為例,強調Equifax是三大信用報告機構之一,該公司未能在 2017 年修補已知的 Apache Struts漏洞後,導致 1.47 億消費者的敏感資訊洩露,當時美國聯邦貿易委員會和其他政府機構提出控告,該公司隨後同意支付 7 億美元達成和解。

FTC 表示,採取合理措施緩解已知軟體漏洞的責任涉及法律,其中包括《聯邦貿易委員會法》和《Gramm Leach Bliley法》,至關重要的是,使用日誌框架Log4j的公司及其供應商立即採取行動,以減少對消費者造成傷害的可能性,並避免 FTC 採取法律行動。

FTC 建議企業遵循 CISA 關於緩解Log4j 漏洞的指導:

*將Log4j 軟體包更新至最新的版本:https ://logging.apache.org/log4j/2.x/security.html

*參閱 CISA 指南 以緩解此漏洞

*確保採取修補措施,以確保貴公司的做法不違反法律,未能識別和修補此軟體的實體可能違反 FTC 法案

*將有關漏洞的資訊分發給可能容易受到攻擊的第三方和消費者。

FTC 發出警告之前,微軟本週也警告稱,Log4Shell漏洞對企業來說仍然是一個複雜且高風險的情況,並補充說在2021年 12月的幾個星期間,嘗試利用漏洞和測試仍然很頻繁。由於許多受影響的軟體和服務,以及更新的速度緩慢,預計企業需要花很長時間才能補完漏洞,並需要持續保持警戒。

美國CISA發布”Log4j-Scanner”掃描工具以識別受 Apache Log4j漏洞影響的Web服務;美國CISA、FBI、國安局和五眼聯盟同時發布旨在減緩 Log4Shell攻擊的指南

美國網路安全及基礎設施安全局(CISA)發布了一個開源的掃描工具(Scanner),企業可以使用它來查找易受Log4j漏洞CVE-2021-44228 和 CVE-2021-45046 攻擊的Web 服務,名為Log4jScanner的掃描器在Github存儲庫上,為log4j 遠端程式碼執行漏洞(CVE-2021-44228 和 CVE-2021-45046)提供了掃描解決方案,Log4j-scanner是CISA的快速行動小組和開源社區的成員衍生出來的一個項目,該存儲庫中的資訊和程式碼是“按原樣”提供的。

CISA 在log4j-scanner 的項目頁面上強調了以下功能:

*支援lists of URLs

*對 60 多個 HTTP Request Headers進行模糊測試

*對 HTTP POST 數據參數進行模糊測試

*對 JSON 數據參數進行模糊測試

*支援用於漏洞發現和驗證的 DNS callback

*繞過WAF的有效載荷

同時,網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、國家安全局 (NSA)、澳洲網路安全中心 (ACSC)、加拿大網路安全中心 (CCCS)、新西蘭電腦危機處理應急小組(CERT NZ)、新西蘭國家網路安全中心 (NZ NCSC) 和英國國家網路安全中心 (NCSC-UK) 發布了聯合諮詢,以提供有關解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 的Log4j漏洞緩解指南。“CISA 主任Jen Easterly聲明中說,Log4j 漏洞對世界各地的組織和政府構成了嚴重且持續的威脅;我們懇請所有實體立即採取行動,實施最新的緩解指南,以保護他們的網路。”

據了解,指南側重於保護面向 Internet 的設備和系統免受與 Log4Shell 相關的攻擊。然而, Java 在 IT 和 OT 系統中也無處不在,未分段的網路存在入侵者在系統之間橫向移動的風險。該警報警告組織將任何使用 Log4j 的產品視為可疑產品,並保留詳細的修補記錄以監控異常行為。

CISA、五眼聯盟評估對這些漏洞的利用,尤其是 Log4Shell,可能會持續增加並

維持很長一段時間,它們強烈敦促所有組織應用這些建議,以識別、減輕和更新受影響的資產。

Apache軟體基金會釋出Log4j 的2.17版為目前最新的修補,建議使用Log4j框架者立即下載更新。

有關Apache Log4j重大的漏洞 Log4Shell的更新的入侵指標(Indicator of compromise -IOCs):

Hostname:

agent.apacheorg.xyz

URLs:

http://agent.apacheorg.xyz:1234/v

http://93.189.42.8/kinsing

http://92.242.40.21/lh2.sh

http://82.118.18.201/kinsing

http://45.137.155.55/kinsing2

http://45.137.155.55/kinsing

http://80.71.158.44/kinsing

http://198.98.60.67/lh.sh

http://185.250.148.157:8005/index

SHA 256:

f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc

e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82

bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b

bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2

95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512

SHA1:

f568eb59fd37b2fe37db730292594d875d3a11e8

c927738922b87802cc75697dd99dd8c7d8cfdf1e

b21aa1107ecc79f4ad29f68a026a02e2abc952ef

9edd5d86fbb0236625c1c533e85d2fe76901979f

8d692f73e5b6c3309568a3f488a93f8685c6661a

8611063eefa5cc2bbec29870fb56779192eed454

82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4

其他相關Log4j的報導:

專家警告說,駭客火力全開積極利用第二個Log4j的漏洞,然而第三個漏洞也出現了!

Photo credit : the hacker news

資安公司 Cloudflare 警告,攻擊者正積極嘗試利用第二個Log4j的漏洞(CVE-2021-45046, CVE-2021-45046 的 CVSS 得分為 3.7,影響從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0(已發布以修補 CVE-2021-44228)的 Log4j 版本。可使攻擊者有進行分散式阻斷服務攻擊(DDoS),建議用戶必須迅速採取行動安裝最新版本,因為一連串的攻擊繼續攻擊未修補的系統各種惡意軟體。

Cloudflare認為即使之前已經更新到 2.15.0的 Log4j 版本,現在也應該盡快更新到 2.16.0 版本。2.16.0版本取消對訊息查找模式的支援並默認禁用 JNDI 功能來解決 CVE-2021-45046。

但更令人不安的是,緊隨 CVE-2021-45046 之後,根據資安公司 Praetorian 的研究人員警告說,發現2.15.0的 Log4j 版本中存在第三個單獨的安全漏洞,該漏洞可以在某些情況下洩露敏感數據。該漏洞的其他技術細節已被保留以防止進一步利用,但目前尚不清楚這是否已在 2.16.0 版中解決。目前Praetorian已將該問題的技術細節滙報給Apache軟體基金會。

全球基礎設施持續受到攻擊,已記錄了超過180 萬次嘗試Log4j 漏洞的利用,微軟研究人員報告說,來自中國、伊朗、北韓和土耳其的國家級駭客正在他們的活動中濫用Log4J的Log4Shell漏洞 (CVE-2021-44228)。據了解,一些利用該漏洞的組織是與中國有關的 Hafnium駭客組織和與伊朗有關的 Phosphorus駭客組織,前者利用該漏洞攻擊虛擬化基礎設施,後者部署勒索軟體。

微軟專家還表示,多個訪問代理已經開始使用 Log4Shell 漏洞來獲得對目標網絡的初始訪問權限,然後將其出售給勒索軟體即服務的附屬公司。

微軟專家還表示,多個access broker駭客服務業者已經開始使用Log4Shell漏洞來獲取對目標網路的初始存取權,然後將其出售給勒索軟體附屬會員。

專家建議立即安裝 Log4j的2.16.0 版本

其他相關Log4j的報導:

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門, CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

隨著 Log4j攻擊活動的增加,CrowdStrike週二表示,觀察到有一個伊朗國家級的駭客組織NEMESIS KITTEN正瞄準Log4Shell漏洞並部署到一個可以由伺服器觸發Log4j的類檔,另外Bitdefender 也表示,其研究人員已經觀察到攻擊者試圖利用該漏洞來分發名為Khonsari的新型勒索軟體。此攻擊涉及使用惡意 .NET 檔,該檔案一旦執行,就會列出易受攻擊系統上的所有硬碟,並對除C槽之外的所有硬碟進行加密,然而會在C槽中加密特定的檔案夾,包括文檔、視頻和下載。除了勒索軟體,Bitdefender還觀察到攻擊者試圖在企業網路的易受攻擊系統上部署一種名為 Orcus 的已知遠端存取木馬(RAT)。Bitdefender進一步說,攻擊者使用這種技術在系統中站穩腳跟,在這些易受攻擊的伺服器上部署反向Bash shell相對簡單,並且很可能在未來進行更全面的攻擊。

因Log4j中的漏洞被攻擊的設備種類–Photo Credit: Armis

與此同時,物聯網安全供應商 Armis 發現目標設備(上圖)的種類涵蓋各種設備,攻擊活動針對伺服器佔 42%,虛擬機佔 27%,連接互聯網的攝像機佔 12%。Armis 還發現了針對 HMI 面板和控制器等製造設備以及考勤系統的攻擊企圖。

Check Point的研究,試圖利用該漏洞的攻擊數量持續上升,從 12 月 11 日的 40,000 次攻擊到 12 月 13 日的超過 800,000 次攻擊,用於利用該漏洞的變種數量也增加到60個。對於攻擊者來說,該漏洞提供了一個幾乎前所未有的機會,可以嘗試攻擊和破壞全球數十億台設備。Akamai 是跟踪攻擊活動的幾家供應商之一,週二表示,它已經觀察到多個變體試圖以每小時250,000個漏洞利用請求的持續攻擊量來利用該漏洞。Akamai 表示,迄今為止,超過 50% 的攻擊來自已知的威脅行為者,並且新的漏洞利用變體的發展速度是前所未有

由於攻擊的數量加上漏洞的嚴重性,促使美國國土安全部的網路安全和基礎設施局(CISA)發出多次警告,並下令所有聯邦機構在 12 月 24 日之前完成修補漏洞。Log4j的2.15.10版本中的修補程式解決了常見漏洞和披露資料庫中已知的 CVE-2021-44228 漏洞。CISA 指出 ,要修補使用受影響版本的 Log4j 的產品和服務中的漏洞,這些產品和服務的維護人員必須實施此安全更新。該機構敦促供應商立即識別、緩解和修補受Log4j影響的產品,將包含該漏洞的產品告知最終用戶,並強烈敦促他們優先考慮軟體更新。據了解,如果無法更新,在 Log4j 配置中將log4j2.formatMsgNoLookups 選項設置為true也可以防止漏洞利用。

另外,如果您想查看資安供應商的產品是否仍然是易受攻擊,或使用易受攻擊版本的Log4j,或已完成修補,可參考以下連結:

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

有關Log4j漏洞的Indicators of Compromise (IOCs):

Hostname:

vyvdsvh.x.i.yunzhanghu.co

lnc7vvhztmjdfm221sdp76xnze5atz.burpcollaborator.net

jjug8i.xaliyun.com

e86eafcf9294.bingsearchlib.com

4568-3409-8076-3389.service.exfil.site

3be6466b6a20.bingsearchlib.com

0384eb5a.probe001.log4j.leakix.net

SHA 256:

fe98548300025a46de1e06b94252af601a215b985dad31353596af3c1813efb0

e20806791aeae93ec120e728f892a8850f624ce2052205ddb3f104bbbfae7f80

c38f0f809a1d8c50aafc2f13185df1441345f83f6eb4ef9c48270b9bd90c6799

c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a

c154d739cab62e958944bb4ac5ebad6e965a0442a3f1c1d99d56137e3efa8e40

b55ddbaee7abf1c73570d6543dd108df0580b08f730de299579570c23b3078c0

a3f72a73e146834b43dab8833e0a9cfee6d08843a4c23fdf425295e53517afce

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

776c341504769aa67af7efc5acc66c338dab5684a8579134d3f23165c7abcc00

6a8965a0f897539cc06fefe65d1a4c5fa450d002d1a9d5d69d2b48f697ee5c05

63d43e5b292b806e857470e53412310ad7103432ba3390ecd4f74e432530a8a9

6370939d4ff51b934b7a2674ee7307ed06111ab3b896a8847d16107558f58e5b

3f6120ca0ff7cf6389ce392d4018a5e40b131a083b071187bf54c900e2edad26

19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d

0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049

IPv4:

80.71.158.12

45.137.155.55

109.237.96.124

URL: http://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=

MD5:

648effa354b3cbaad87b45f48d59c616

6cead82e17c2dacbb83998cfe3841704

550f9f929bcb99aeaa3821779d8dea62

40e3b969906c1a3315e821a8461216bb

3dfbe75871e218d08328a01c56e1bb42

1db40b7e18cf228169d2f5d73bf27ef7

1348a00488a5b3097681b6463321d84c

日誌框架Log4j被曝核彈級漏洞,已出現攻擊行動,波及範圍廣泛,需儘速採取緩解措施

上周末,被全球企業、組織應用到不同網路服務的日誌框架Apache Log4j曝出一個重大風險漏洞,名為Log4Shell( CVE-2021-44228),影響包括Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft、Cloudflare、ElasticSearch、Red Hat、Twitter、百度、騰訊等科技公司和大型網站,Apache Log4j是一個基於Java的紀錄檔記錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。據了解,攻擊者只需傳送一則特殊的訊息到伺服器(含$的字串)就能觸發漏洞,遠端執行任意程式碼來控制目標伺服器,已出現攻擊行動的情況,漏洞波及面和危害程度均堪比2017年的永恆之藍(Eternal blue)漏洞,Apache軟體基金會也將Log4j漏洞的嚴重程度,評為最高的10分,任何人都可以從存在該漏洞的服務獲得電腦的完整存取權限。

事件時間軸:

11月24日,開源日誌資料庫Log4j的一個遠端程式碼執行(remote code execution,RCE)漏洞CVE-2021-44228被提交。

12月7日上午,Apache釋出了2.15.0-rc1版本更新。

12月9日晚,漏洞的利用細節被公開,影響範圍幾乎橫跨Log4j整個版本(從2.0到2.14.1-rc1)。

當大家紛紛升級到2.15.0-rc1之後發現,該修補依然可以被攻擊者繞過。

12月10日凌晨,Apache Log4j2緊急更新了2.15.0-rc2版本。

聯邦網路安全和基礎設施安全局 (CISA) 主任 Jen Easterly 在一份聲明中表示:這一漏洞正被越來越多的攻擊者廣泛利用,鑑於其廣泛使用,對網

路防禦者提出了緊迫挑戰。該漏洞已經影響到 Apache Log4j 的 2.0 到 2.14.1 版本,建議組織盡快更新到 2.15.0 版本。

Photo Credit : GovCert.ch

Log4Shell 漏洞出於 Log4j 裡有一個JNDI Lookup 功能,它是用來在執行階段對日誌中的文字紀錄進行加工後輸出,這本來在分析系統問題時很有用,不過同時也可以讓攻擊者有機可乘,例如刻意輸入下載軟體來執行的文字讓日誌記錄下來,就可以遠端執行任意程式碼。受影響的 Log4j 版本由 2.0 – 2.14 ,雖然版本 1.0 也受影響,不過由於版本 1.0 沒有「 JNDI Lookup 」功能,所以就無法執行惡意程式碼。故資安公司Cybereason認為只要關掉「 JNDI Lookup 」功能,就可緩解漏洞的影響,並推出名為Logout4Shell的疫苗程式。它的原理就是利用「 Log4Shell 」漏洞注入程式去修改 Log4j 的設定,關閉「 JNDI Lookup 」功能。

Cyber​​eason 聯合創辦人兼首席技術官 Yonatan Striem-Amit 表示,雖然更新到最新版本的 Log4j 無疑是最好的解決方案,但修補通常很複雜,需要一個發布週期和測試週期。許多公司發現很難去部署緊急修補,故Logout4Shell“疫苗”本質上為安全團隊爭取了一些時間,因為他們正在努力推出修補。他說,該修補程式禁用了該漏洞,並允許組織在更新伺服器時保持受到保護。

有關Log4j漏洞的IOCs:

Hostname: log.exposedbotnets.ru

URL: http://62.210.130.250:80/web/admin/x86_g

http://62.210.130.250/lh.sh

http://45.130.229.168:9999/Exploit.class

http://62.210.130.250:80/web/admin/x86

IPv4:

159.89.182.117

45.130.229.168

210.141.105.67

MD5:

d4cf8e4ab26f7fd15ef7df9f7937493d

f6e51ea341570c6e9e4c97aee082822b

ceb9a55eaa71101f86b14c6b296066c9

c717c47941c150f867ce6a62ed0d2d35

1718956642fbd382e9cde0c6034f0e21

Domain:

nazi.uy

台灣網路設備供應商威聯通QNAP警告,比特幣礦工正針對其NAS設備發動攻擊

台灣網路設備供應商威聯通(QNAP) , 12 月 7 日在其網站發布安全公告(Advisory),警告用戶一種新的加密挖礦惡意軟體正針對其網路附加儲存設備 (NAS)。

QNAP沒有分享有關設備如何被入侵的任何資訊,但表示一旦 NAS 被感染,CPU 使用率會變得異常的高,據了解,其中名為[oom_reaper]的進程將挖礦比特幣,該進程更會佔總 CPU 使用率的 50% 左右。QNAP進一步表示,在運行時該進程更會模仿成一個核心進程,但它的 PID 通常高於1000 。據信攻擊活動中使用的挖礦似乎缺乏持久性機制,這意味著重新啟動設備可刪除惡意軟體。

現階段QNAP正在調查有關感染的過程,並呼籲客戶採取主動措施應對攻擊,例如更新其設備的操作系統(稱為 QTS 或 QuTS)和所有 QNAP 附加應用程式。

此外,該公司還告訴用戶更改他們所有的 NAS 帳戶密碼,因為它不確定攻擊者是否利用了漏洞,或是暴力破解了使用弱密碼的連接互聯網的QNAP系統。

QNAP建議客戶,如懷疑他們的 NAS 感染了這個比特幣礦工的惡意軟體,應重新啟動他們的設備,以刪除惡意軟體。

QNAP 還建議客戶採取以下措施來保護他們的設備:

*將 QTS 或 QuTS hero 更新到最新版本。

*安裝 Malware Remover 並將其更新到最新版本。

*為您的管理員和其他用戶帳戶使用更強的密碼。

*將所有已安裝的應用程式更新到最新版本。

*不要將您的 NAS 暴露在互聯網上,或避免使用default的系統端口443 和 8080。

在過去幾年中,Muhstik、  QlockereCh0raixAgeLocker等勒索軟體亦曾針對 QNAP 設備,駭客可以存取客戶的NAS 系統,加密用戶數據,然後索要小額贖金。雖然加密挖掘惡意軟體比較少見,但以前也曾發生過。在 2020 年底和 2021 年初,QNAP NAS 設備成為Dovecat 加密挖礦惡意軟體的目標,該惡意軟體濫用弱密碼在QNAP系統上獲得切入點。

不明駭客在日本電子巨頭松下的內部停留達快5個月,Panasonic始於雙十一發現系統被入侵

日本企業集團松下(Panasonic)在11 月 26 日的新聞稿中表示,發現其內部網路在11 月 11 日被第三方非法存取, 並證實檔案伺服器(File server)上的一些數據在入侵期間被存取過。

根據日本媒體每日新聞NHKSecurity Next報導,松下遭受了約五個月未被發現的入侵,入侵行為實際上始於 6 月 22 日,在11 月 3 日結束。松下於 11 月 11 日首次檢測到系統曾被入侵,被入侵的伺服器上存儲了有關客戶、員工的詳細資料Panasonic 的技術文件和業務文件等,目前松下尚未確認哪些數據已被盜,也不清楚駭客的身份。這不是松下第一次成為駭客組織的目標,松下印度子公司在 2020 年遭受了數據盜外洩和勒索,數據於 2020 年 10 月被盜,贖金為 50 萬美元,松下沒有付款,攻擊者隨後在 11 月發布了 4 GB 的公司數據。

資安公司Netenrich Inc.的首席威脅研究員John Bambenek,表示但最初的入侵發生在6月,直到11月才被發現,這一事實表明,該公司落後於攻擊者,Bambenek認為入侵行為需要在幾小時內被發現,而不是幾個月後。

在2021年,曾遭受網路攻擊的日本大型科技公司包括:

*Olympus的歐洲分公司2021年9月份遭到BlackMatter勒索軟體攻擊,10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。