根據資安外媒Privacy Affairs,在入侵宏碁印度(Acer India)僅三天後,駭客組織 Desorden表示已經入侵宏碁台灣總部的伺服器,在伺服器上發現儲存了有關其員工和產品資訊的數據,並同時聲稱也已在宏碁馬來西亞和印尼網路上發現了漏洞,就此次入侵事件駭客組織Desorden Group以email聯繫了Privacy Affairs,並表示他們並沒有竊取所有數據,只下載了與宏碁員工有關的詳細資訊。這次網路攻擊主要是想證明,宏碁的全球網路系統很容易就被入侵,另外Desorden聲稱在入侵後,立即通知了宏碁的管理層,隨後宏碁也將受入侵影響的伺服器下線。
據了解,在資料外洩的樣本中顯示了最近在10月14 日的數據,表明所謂的駭攻應該是發生在14日左右的某個時間,被盜的資料包括登錄資訊,位於台灣的伺服器和內部管理面板的密碼等。
這次新的駭客攻擊事件是在上一次Desorden攻擊了宏碁印度之後三天發生的, Desorden 表示經濟動機(financially motivated )是其駭攻原因之一,但目前仍不清楚駭客實際要求多少贖金。
Key Points:
*繼今年3月宏基遭REvil勒索軟體加密並被勒索天價14億台幣後,現被爆其印度子公司被名為”Desorden Group”的駭客組織盜取了60GB的數據
*宏基印度子公司在2012年亦曾遭駭,被盜20,000個用戶憑證
最近有駭客在一個論壇上宣傳出售宏碁超過 60 GB 的數據後,台灣電腦品牌大廠宏碁的一位發言人今天證實,該公司遭遇了今年第二次網攻事件,一個名為 Desorden Group 的駭客組織在RAID論壇 (RAID是過去幾年駭客用來勒索公司和出售被盜數據使用的論壇)上表示,它從宏碁印度(Acer India)伺服器中竊取了超過 60GB 的檔案和數據,其中包括屬於宏碁印度零售商和分銷商的客戶、公司和財務數據以及登錄的詳細資訊。作為證據,Desorden Group 還提供了一段視頻,其中展示了被盜檔案和數據庫、10,000 名客戶的記錄以及 3,000 家印度宏碁分銷商和零售商的被盜憑證。這是繼REvil在3月份的勒索攻擊之後,這家電腦巨頭的系統今年第二次遭到入侵。
宏碁發言人企業傳訊部的 Steven Chung在一封電子郵件中證實了駭攻,並聲明如下:
我們最近檢測到對我們在印度當地售後服務系統的孤立攻擊(isolated attack)。一經發現,我們立即啟動了安全協議並對我們的系統進行了全面掃描。我們正在通知印度所有可能受影響的客戶。該事件已報告給當地執法部門和印度Cert,對我們的運營和業務連續性沒有重大影響。
Desorden Group最近也曾發動過攻擊,在9月23日,Desorden 在嘉里物流馬來西亞分公司ABX Express的伺服器偷取了200GB數據,1500 萬條客戶記錄被盜,數據洩露還涉及ABX Express合作夥伴(Lazada、Shopee 等)
日本科技巨頭Olympus證實,它在周末遭到網攻,迫使其關閉了在美國、加拿大和拉丁美洲(Americas)的 IT 系統。Olympus在其網站上的一份聲明中表示:
*於 10 月 10 日在美洲的 IT 系統檢測到可疑活動,並正在努力解決此問題
*Olympus已暫停受影響的系統;事件對其他地區沒有已知的影響
Olympus沒有透露在潛在的網路安全事件期間,客戶或公司數據是否被存取或被盜,表示調查仍在進行中,也會陸續提供有關此事件的更新。這與Olympus上個月在其歐洲、中東和非洲(EMEA)的IT系統遭到網路攻擊後發表的聲明幾乎相同。上個月,儘管Olympus沒有分享任何關於攻擊者身份的資訊,但據知情人士透露,Olympus的EMEA的IT系統是從勒索軟體攻擊中恢復過來,在受感染的系統上留下了來自 BlackMatter勒索軟體組織的勒索信。
Olympus沒有透露有關襲擊其美洲 IT 系統的攻擊性質的詳細資訊,但眾所周知,勒索軟體組織會在周末和假期進行攻擊以延遲檢測。FBI 和 CISA在 8 月發布的聯合諮詢中表示,他們“觀察到在美國的假期和周末(辦公室通常關閉時)發生的極具影響力的勒索軟體攻擊有所增加。
資安公司Egnyte表示,在短短一個月內像Olympus這樣的科技巨頭的第二次網路攻擊是一個重要的警示:任何大型跨國公司都不應認為自己可以避免於勒索軟體攻擊。
美國網路安全和基礎設施安全局 (CISA)和聯邦調查局(FBI)今天向美國政府和私營企業發布了一份聯合安全警告,敦促組織在假期和周末持續並積極地監控勒索軟體的威脅,並建議確認 IT人員在這些時間”隨叫隨到”,以應對勒索軟體攻擊。由於攻擊者意識到,如果他們在 IT或資安團隊下班或人數較少時進行破壞並在公司內部網路中移動,他們更有可能不被發現。即使他們的入侵被檢測到,但一些警報可能不會被及即時讀取或注意到,讓攻擊者在入侵時占得先機。
再加上大多數勒索軟體都更新了他們的程式碼以加快加密程式,大多數攻擊通常只需要幾個小時就能從最初的破壞到加密公司的伺服器,這讓 IT團隊幾乎沒有時間做出反應。
CISA和FBI表示,網路犯罪分子和APT駭客傾向在假期期間不休息而進行攻擊,勒索軟體在母親節、美國陣亡將士紀念日(Memorial Day)和美國獨立日假期等各大節慶的週末發動攻擊的趨勢在今年飆升,組織得思量相對應的營運模式以對抗及防禦勒索攻擊。他們敦促組織採取措施保護他們的系統,減少他們的暴露,並可能“在他們的網路上進行先發制人的威脅搜尋,以尋找威脅行為者的跡象”。
CISA和 FBI 點名3起在周末和假期發生的知名勒索軟體事件:
*操作Darkside 勒索軟體組織於 5 月 7 日(星期六)攻擊了美國最大燃油管道公司Colonial Pipeline。Colonial Pipeline 還向 DarkSide支付了 440 萬美元的贖金,(美國司法部後來沒收了一個 DarkSide 加密貨幣錢包,收回了大部分已支付的贖金)。
*REvil 勒索軟體對JBS Foods的攻擊發生在美國陣亡將士紀念週末假期,JBS向 REvil付了 1100 萬美元的贖金。
*REvil 勒索軟體對IT軟體製造商Kaseya的攻擊發生在 7 月 4 日美國假期期間,攻擊了數十名 Kaseya 客戶和多達 1,500 家其他下游企業。
另外,CISA和FBI建議組織可採取多種措施來保護他們的系統,包括:
*對數據進行離線備份
*避免點擊可疑的連結
*保護和監控遠端桌面協議的端點
*更新操作系統和軟體
*使用高強度密碼
*使用多因素身份驗證
CISA和FBI還建議在週末讓IT人員輪班並敦促組織適應這種新的營運模式並相應地改變他們的防禦措施, 根據 FBI 網路犯罪投訴中心 (IC3) 的數據,在過去一個月裡,發現以下勒索軟體的攻擊最活躍:
*Conti
*PYSA
*LockBit
*RansomEXX/Defray777
*Zeppelin
*Crysis/Dharma/Phobos
CISA 和 FBI補充說,即使他們今天發布了這份聯合公告,但沒跡象表明即將到來的美國勞動節(Labor Day)周末會發生重大勒索軟體攻擊。
新加坡電腦網路危機處理暨協調中心(SingCert)已針對ALTDOS發出警報
Key Points:
*已知受害目標包括新加坡房地產商OrangeTee、泰國互聯網服務提供商3BB、孟加拉跨國企業集團BEXIMCO、Audio House、Vhive、CGSEC 等公司
* 自 2020 年 12 月以來,ALTDOS 駭客組織對孟加拉、新加坡和泰國的公司進行攻擊和勒索
*已看到該組織部署勒索軟體,用被盜數據勒索公司,或在駭客論壇上出售數據。
*傳出最新的受害者寫信給駭客:“你們複雜的攻擊讓我們筋疲力盡,不論在精神上還是經濟上。”
在過去的八個月裡,一個自稱為 ALTDOS 的網路犯罪組織在東南亞肆虐,對企業發動攻擊,以竊取他們的數據並勒索贖金或在暗網論壇上出售。該組織於 2020 年 12 月首次被發現,對孟加拉、新加坡和泰國等地的公司遭入侵有關。與俄羅斯駭客組織要求的高額贖金,ALTDOS要求的金額相對地低,據了解,已有70%受害企業願意支付贖金,據外媒報導,ALTDOS的作案手法只能用混亂來形容,他們沒有特定的方式,該組織有時候被發現部署勒索軟體來加密受害者的數據,有時候也被發現只竊取機密資訊。此外,在某些案例,ALTDOS聯繫受害者並要求支付贖金,但也發現在另外一些案例,ALTDOS只是直接在網上拍賣或發布受害者的數據。
就在本月,ALTDOS仍在繼續製造新的受害者,新加坡今天發布了一份警報,說明了該組織最常見的策略。根據這份的警報,ALTDOS 入侵通常發生在該組織開採面向公眾的 Web 伺服器中的漏洞之後,他們最常見的目標是 Apache Web 伺服器。
一旦他們獲得初步立足點,該組織就會部署後門以建立持久性,然後部署 Cobalt Strike 滲透工具以擴展他們對其他系統的存取。
在該組織竊取受害者的數據後,也曾看到 ALTDOS也曾見過他們以硬碟抹除方式, 擦去可供鑑識的足跡。
一旦入侵進入最後階段,如果該組織尚未部署勒索軟軟體,他們通常會使用電子郵件聯繫受害者並要求支付贖金。如果受害者不付款,他們通常會在暗網上洩露數據。對於大型的企業,ALTDOS還會利用 DDoS 攻擊來施壓力。
ALTDOS曾入侵的公司包括:
Key Points:
* Liquid的新加坡子公司Quoine PTE疑是駭客攻進的破口
*Liquid 還公佈了攻擊者的錢包地址
8月19日,總部位於東京的加密貨幣交易所 Liquid 表示,駭客入侵了其伺服器並竊取了以今天的匯率估計至少價值約 9700 萬美元的加密資產,為了應對這次攻擊,交易所將資產轉移到離線存儲的冷錢包中,另外要求用戶不要將加密貨幣資產存入他們的 Liquid 錢包,暫停了存取款服務,這起攻擊事件目前仍然在調查中,但根據日本Liquid的部落格發文,此次攻擊追溯到 Liquid 的新加坡子公司 Quoine PTE,並表示是因Quoine PTE的多方計算(Multi-Party Computation,MPC)錢包遭駭客入侵所引起,但也沒有再透露更多細節。
區塊鏈分析公司Elliptic追踪到 Liquid被盜的資金,確定被盜貨幣價值將近 1 億美元,並表示駭客使用去中心化交易所(例如 Uniswap 和 SushiSwap)將其中有價值4500萬美元的加密貨幣,透過去中心化交易所轉換成以太幣,以避免資產被凍結。據了解,這已不是 Liquid 第一次遭到駭客攻擊,2020 年 11 月底,該交易所也曾遭駭客攻擊,雖然沒有任何加密資產的損失,但駭客成功盜取其顧客資料。
Liquid 還公佈了駭客的錢包地址,分別爲:
BTC 地址:1Fx1bhbCwp5LU2gHxfRNiSHi1QSHwZLf7q
ETH 地址:0x5578840aae68682a9779623fa9e8714802b59946
TRX 地址:TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp
XRP 地址:rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby
上週,另一起針對加密貨幣的攻擊,一名綽號為Mr. White Hat的駭客從 Poly Network竊取了價值 6 億美元的加密貨幣,後來表態歸還,並獲Poly Network邀他出任首席安全顧問。
根據Palo Alto Networks資安研究人員的一份報告,eCh0raix 勒索軟體,也稱為 QNAPCrypt,現在有一個新的變種,可同時感染 QNAP (威聯通)和 Synology(群暉) 網路附加存儲(NAS)設備。
eCh0raix 勒索軟體早在2019年以來就一直活躍,並以攻擊存儲大量數據的NAS為攻擊目標,eCh0raix利用已知的漏洞進行暴力攻擊針對QNAP製造的易受攻擊的NAS伺服器。該勒索軟體被Intezer追踪為“QNAPCrypt” 被 Anomali追踪為“eCh0raix”,是用Go語言編寫,並使用AES 加密演算法來加密檔案。
今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零時差漏洞,用eCh0raix勒索軟體攻擊其NAS設備。而安全專家也觀察到,4月19日至26日期間遭eCh0raix勒索軟體的攻擊激增。同時,QNAP還警告其用戶AgeLocker勒索軟體攻擊的爆發。
2019年,Anomali研究人員還報告了一波eCh0raix針對Synology NAS設備的攻擊,攻擊者利用了暴力破解的方式入侵。
近日,Palo Alto Networks的Unit 42的研究人員發現一種新的eCh0raix變種,是有史以來第一次支援同時攻擊上述兩家供應商NAS設備的勒索軟體。
“Unit 42研究人員發現了一種針對Synology NAS和QNAP NAS設備的eCh0raix勒索軟體的新變種。攻擊者還利用CVE-2021-28799向QNAP設備投遞新的eCh0raix勒索軟體變種。”報告指出:“雖然eCh0raix是已知的勒索軟體,它歷來在不同的活動中分別針對QNAP和Synology的NAS設備,但這個新變種是觀測到的,首次具備同時攻擊QNAP和Synology NAS設備的功能,這表明一些勒索軟體開發人員正在投資針對優化SOHO居家辦公環境中常見的設備。”
根據來自 Cortex Xpanse的數據,Palo Alto 研究人員表示,約有 250,000 台 QNAP 和 Synology NAS 設備暴露在互聯網上。攻擊者分別對於兩個廠牌的設備,利用了CVE-2021-28799漏洞攻擊與暴力破解的方式入侵。
研究人員為保護家庭辦公室免受勒索軟體攻擊提供了以下建議:
*更新設備韌體,防止此類攻擊
*採用複雜的登錄密碼
*允許特定IP位址的裝置才能連線
有關eCh0raix勒索軟體新的變體的入侵指標(Indicator of compromise -IOCs):
Domain: veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion
URL: http://2.37.149.230/1/crp_linux_arm
URL: http://2.37.149.230/1/crp_linux_386
IPv4: 98.144.56.47
IPv4: 64.42.152.46
IPv4: 183.76.46.30
SHA 256: fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349
fe4efccf56f989bf1b326dd9890681d21c97309fee61fdac8eb2081398e4d2b1
f6f6e34e93c4ec191807819bd0a3e18fe91bd390ec6c67fadc970d01c25f517b
d2ebe2a961d07501f0614b3ba511cf44cb0be2e8e342e464a20633ed7f1fc884
4691946e508348f458da1b1a7617d55d3fa4dc9679fff39993853e018fc28f8e
3c533054390bc2d04ba96089302170a806c5cdb624536037a38c9ecb5aeea75d
3b93b18ae4f3aad450897e7d02346b843e38358a0c51b834d1971824c0a30b97
Key Points:
*香奈兒韓國分公司發生了資料庫不法存取事件,造成客戶個資外洩。
*被洩露的數據將成為社交工程和網路釣魚攻擊者手中的豐富資源。
*受香奈兒事件影響的潛在受害者數量未被公開,韓國香奈兒未提供任何身份盜用保護服務
據外媒Korea Times的報導,國際奢侈品牌香奈兒(Chanel)韓國分公司公司傳出客戶資料遭外洩,由於銷售的是昂貴奢侈品,高端客戶和貴婦們對其個資看待尤其嚴謹,因此,此事件在當地引起極大的關注。目前尚不清楚受數據洩露影響的客戶是否會對這家法國奢侈品牌的韓國公司採取法律行動。
香奈兒通知其客戶稱,駭客在 2021 年 8 月 5 日至 8 月 6 日期間入侵韓國香奈兒(Chanel Korea)管理的數據中心,由於這是存儲客戶資料的地方,因此造成敏感資料被存取甚至複製。
據了解已洩露的個資包括:姓名、生日、電話號碼和產品購買清單,同時還包含同意提供其地址、性別和電子郵件的客戶個資也被竊取了,但這家法國奢侈品牌補充說,被盜數據不包括註冊會員的用戶名和密碼。
韓國香奈兒在6日發現事件後,立即封鎖了IP和非法存取路徑,修補了用於破壞網路的漏洞,目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局(Korea Internet & Security Agency,KISA) 和個人信息保護委員會 (PIPC) 進行調查,韓國香奈兒也稱,這次駭客入侵攻擊沒有對其他系統造成損害。
目前尚不清楚此事件是單一事件(只在南韓)或有機會影響全球香奈兒的客戶。今年6月麥當勞遭駭,台灣、南韓客戶及員工個資被竊。
美國國家安全局 (NSA) 和網路安全與基礎設施安全局 (CISA)發布了一份 59 頁有關強化 Kubernetes 集群的安全技術指南,以加強組織的 Kubernetes 系統的安全性。
Kubernetes最初由 Google 工程師開發,後來在 Cloud Native Computing Foundation 下開源, 是一種流行的開源解決方案。Kubernetes 主要用於基於雲的基礎架構,允許系統管理員使用軟體容器輕鬆部署新的 IT 資源。它提供了更大的靈活性,但也經常成為攻擊者的目標,該報告建議對Kubernetes系統進行加固。
由於 Kubernetes與傳統的單體式軟體平台不同,因此許多系統管理員常遇到了安全性錯誤配置的問題。在過去幾年中,發現一些加密貨幣採礦殭屍網路營運組織針對這些錯誤配置,威脅參與者掃描互聯網上的 Kubernetes Management feature,這些功能在沒有身份驗證的情況下暴露在網上,或在大型 Kubernetes 集群上運行的應用程式(如 Argo Workflow或 Kubeflow),獲得對 Kubernetes 後端的存取權限,然後使用此存取權限在受害者的雲端基礎設施內部部署加密挖礦程式。這些攻擊在 2017 年初開始發生,但現在已到達多個威脅參與組織爭相在攻擊同一錯誤配置。
CISA 和 NSA 的聯合報告還詳細介紹了公司和政府機構可以實施的基本緩解措施,以防止或限制 Kubernetes 被入侵的嚴重程度。這些包括:
*掃描容器和 Pod 是否存在漏洞或錯誤配置。
*以盡可能最少的權限運行容器和 Pod。
*使用網路分離來控制入侵可能造成的損害程度。
*使用防火牆限制不需要的網路連接和加密以保護機密性。
*使用強式身份驗證和授權來限制用戶和管理員存取以及限制攻擊面。
*使用日誌審核,以便管理員可以監控活動並就潛在的惡意活動收到警報。
*定期檢查所有 Kubernetes 設置並使用弱點掃描來幫助確保適當考慮風險並應用安全修補程式。
Source:
https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF
根據國內媒體報導,府院、軍方、縣市長及朝野政黨等100多位高層政要,驚傳通訊軟體LINE遭駭客入侵,且鎖定的對象非常精準,看起來是遭有心人士駭入,意圖竊取資料。對此,LINE台灣總公司上週發現有用戶的相關內容遭擷取外流後,立即著手清查所有用戶,據報導駭客入侵的管道有用戶端與主機兩種途徑,要鎖定特定的用戶端、植入惡意程式並不容易。但LINE主要是綁定手機號碼,若有心要取得政要高層的號碼,是否是以此破壞安全機制,登入主機系統入侵,須由資安人員再進一步調查查驗。因事涉國安,LINE已緊急強化本身系統安全機制、提醒可能的受害用戶,近日也赴總統府向國安會報告,國安會目前正著手進行調查。
本次之所以會有政要 LINE 遭到入侵,疑似是Letter Sealing被駭客設定為關閉,懷疑是駭客使用間諜軟體飛馬Pegasus所致,亦可能是有內鬼通外鬼,詳細原因尚在調查。可以確定的是,若能確保訊息保護 Letter Sealing功能處於開啟狀態,Letter Sealing為LINE開發的點對點加密(End-to-End Encryption)就能降低訊息外流可能,建議您在LINE的隱私設定中檢查Letter Sealing設定是否為開啟。另外,可用工具包檢測手機是否被飛馬Pegasus入侵,國際特赦組織(Amnesty International)透過 Github 上發佈的 Mobile Verification Toolkit工具包,來檢查手機是否成為惡意軟體飛馬的入侵目標,為了調查間諜軟馬是否在手機留下痕跡,得先輸入有關飛馬Pegasus的入侵指標(IOCs),IOCs亦可在 GitHub 下載。
據目前自由時報報導所知,國安高層證實說,確實有公部門人員接獲LINE示警資安風險的訊息,但包括蔡英文總統及副總統賴清德等政府高層,不用LINE傳遞重要訊息,更不會在這類通訊軟體傳輸政府重要文件。
有關情資: Forensic Methodology Report: How to catch NSO Group’s Pegasus
Source:
https://news.ltn.com.tw/news/politics/paper/1463246
https://news.ltn.com.tw/news/politics/breakingnews/3618756
https://www.ctwant.com/article/130982
了解更多有關Mobile Verification Toolkit: