Argonauts Group 勒索軟體現形:三家台灣企業受害,揭開暗網新危機

隨著新的勒索軟體集團如ChortTermiteKairos等的揭秘網站近期陸續在暗網上出現,竣盟科技注意到另一個名為「Argonauts Group」的勒索軟體組織也悄然浮現。截至目前,他們在其暗網揭秘網站中聲稱已經攻擊了 10 名受害者,其中包括 3 家台灣企業,涉及關鍵產業。

台灣是其攻擊行動中的重要目標之一,截至目前,Argonauts已揭露 10 起攻擊案例,其中包含 3 家台灣企業,涉及醫療、半導體和安全監控產業。這些攻擊表明,台灣的核心產業正面臨日益嚴峻的網路威脅,且勒索軟體集團的行動日益精準化。

台灣受害者概況

從目前揭露的資訊來看,Argonauts Group 針對台灣的攻擊明顯帶有策略性:

  • 2024 年 9 月 15 :某台灣領先的醫學研究公司,顯示該集團對醫療數據的高需求。被盜200GB的數據,目前Argonauts已放出截圖,聲稱已取得該單位的細胞療法、專利科技、用戶數據及合作的醫院單位的資料等等
  • 2024 年 10 月 6 日:南台灣半導體零組件大廠,暗示對科技供應鏈的針對性滲透。目前未被公開任何盜來的資料,須輸入密碼以得到其他資訊,硏判仍在判中。
  • 2024 年 11 月 8 日:某上市安全監控大廠,突顯該集團可能針對智慧城市或安防技術的興趣。目前未被公開任何盜來的資料,須輸入密碼以得到其他資訊,硏判仍在判中。

新型勒索軟體的精確攻擊策略

Argonauts Group 的攻擊方式已不再是隨機發作,而是針對特定目標,尤其是涉及敏感數據和關鍵基礎設施的企業。他們使用勒索軟體即服務(RaaS)模式,通過合作夥伴擴大攻擊規模。手法包括:

  • 初步入侵:利用釣魚郵件、公共系統漏洞或未更新的應用程式進行入侵。
  • 內網滲透與持續性攻擊:一旦入侵,便利用工具進行內網橫向移動。
  • 雙重勒索策略:先竊取機密信息,再威脅公開資料以逼迫受害者支付贖金。
  • 防禦規避:使用 BYOVD 技術禁用防毒軟體並清除系統日誌,增加防禦難度。

強化台灣企業防禦措施的緊迫性

Argonauts Group 的崛起提醒我們,台灣作為關鍵產業聚集地,必須加強資安防護。以下措施尤為重要:

  • 漏洞管理與更新:定期更新系統,修補漏洞,減少攻擊面。
  • 多重身份驗證:啟用多重身份驗證,增加攻擊者滲透的難度。
  • 數據備份:定期進行數據備份並測試恢復流程,確保在勒索攻擊後能夠迅速恢復。
  • 網絡異常監控:加強網絡檢測系統,快速識別潛在威脅。

隨著 Argonauts Group 的持續擴展及其針對台灣的精確攻擊,台灣企業必須高度警覺,提升資安防禦,確保數據與業務運營不成為下個勒索的目標。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/ 以免觸法”

星巴克因其供應鏈管理軟體廠商 Blue Yonder 遭到勒索軟體攻擊而受影響

針對 Blue Yonder 的勒索軟體攻擊破壞了星巴克用於追蹤員工工時的平台,該公司正在恢復手動追蹤

Photo Credit: Dark Reading

供應鏈管理軟體供應商 Blue Yonder 遭受勒索軟體攻擊,導致部分客戶業務受到嚴重干擾,其中包括多家大型企業。

位於亞利桑那州的 Blue Yonder 於 11 月 21 日表示,其托管服務環境因遭受到勒索軟體攻擊而導致中斷。公司立即展開調查並開始修復受影響的服務。在 11 月 24 日公司網站發布的最新消息中,Blue Yonder 表示修復工作進展順利,但尚未提供完整恢復服務的時間。

Blue Yonder 表示已聘請一家資安公司協助進行調查和修復,但未透露有關此次攻擊的其他細節。

目前尚無任何已知的勒索軟體組織承認對此次攻擊負責。不過,這類網路犯罪團體通常僅在受害者拒絕支付贖金或談判破裂時,才會公佈受害者的名稱並洩露資料。

Blue Yonder 提供一個端到端 (end-to-end) 的供應鏈平台,公司聲稱擁有來自 76 個國家、超過 3,000 家客戶,其中包括零售商、製造商和物流服務供應商。

多家知名客戶已確認因 Blue Yonder 的服務中斷而受到影響,其中一家是星巴克(Starbucks)。星巴克表示,針對 Blue Yonder 的勒索軟體攻擊致使該公司用於管理員工排班和工時記錄的平臺運作中斷。不過,星巴克計劃採取一切必要措施,以確保員工薪資不受影響。

星巴克發言人表示,公司正在與該供應商 (Blue Yonder) 密切合作,以解決平臺中斷問題。然而,公司已向門市經理及員工提供指導,教授如何手動記錄相關資訊。根據公司聲明指出,此次攻擊並未影響星巴克的一般顧客服務,因此行動點單與門市運作均照常進行。

根據《The Grocer》報導,在英國,兩大超市連鎖品牌 Morrisons 和 Sainsbury’s 也受到影響。

Morrisons 使用 Blue Yonder 的倉庫管理解決方案,因中斷而採用手動備援系統。該公司表示,此事件影響了供應商的交貨以及某些產品的供應情況。Sainsbury’s 也確認受到影響,但他們表示已啟動緊急應對措施以減輕此次事件的影響。

根據 CNN 的報導,Blue Yonder 的解決方案同樣被美國的超市連鎖品牌(例如 Albertsons 和 Kroger)以及其他類型的公司(例如 福特 Ford寶僑 Procter & Gamble  和 百威 Anheuser-Busch)使用,但目前尚不確定這些公司是否有受其影響。

穆迪(Moody’s)供應鏈策略資深總監 John Donigian 表示,此次攻擊凸顯出這些技術在全球供應鏈管理中的重要性。

他指出:「當這些系統中斷時,重要的工作流程(例如庫存管理、需求預測、倉庫管理和運輸規劃等)將會受到干擾,進而使整個供應鏈陷入停頓。」他認為這次事件強調了此類技術在零售、物流等行業中的不可或缺的地位。

企業或連鎖零售商在面對勒索軟體組織的網路攻擊時,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的作業系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

中國支持的駭客 Liminal Panda 滲透南亞及非洲電信網路

Liminal Panda 自 2020 年起就開始滲透南亞和非洲的電信網路

Photo Credit: CrowdStrike

自 2020 年起,一個新的中國關聯的網路間諜團體被發現持續瞄準南亞與非洲的電信企業發動一系列針對性網路攻擊,其目的是進行情報蒐集。根據網路安全公司 CrowdStrike 的分析,該團體被命名為 Liminal Panda,其成員對於電信網路的運作模式、底層協定,以及不同電信服務供應商之間的互聯結構擁有深入了解。

Liminal Panda 是 CrowdStrike 所追蹤的 63 個不同的「Panda」之一。「Panda」是該網路安全公司用來指涉及中國內部或與中國有聯繫的網路入侵者的命名方式。自 2020 年起,Liminal Panda 就開始滲透南亞和非洲的電信網路。

CrowdStrike 指出,Liminal Panda 使用一系列專門設計的惡意工具來實現隱匿訪問、指令及控制(C2)和資料外洩。這些工具被用於滲透受害者的電信伺服器,並將攻擊範圍擴大至其他地區的服務供應商。該團體還利用支援行動通訊的協定,例如模擬全球行動通訊系統(GSM)協議進行 C2 操作,並開發工具來檢索行動用戶資訊、通話詮釋資料 (call metadata) 和簡訊(SMS)。

值得注意的是,部分與 Liminal Panda 有關的滲透活動早在 2021 年 10 月就已被記錄,但當時被錯誤地歸咎於另一個威脅團體 LightBasin(又名 UNC1945。LightBasin 自 2016 年起便以攻擊電信企業而惡名昭彰,這次錯誤主要是因為有多個駭客團體都在同一受感染網路中進行惡意活動所導致。經過深入分析,CrowdStrike 確認這是一個全新的威脅團體,並揭露其專屬的工具組和攻擊模式。

Liminal Panda 的工具組包括數款專門針對電信協定設計的惡意軟體。例如,SIGTRANslator 是一個 Linux ELF 二進位檔案,能透過 SIGTRAN 協定進行資料傳輸;CordScan 是一款具備封包攔截與網路掃描功能的工具,專門用於辨識和檢索與電信協定相關的資料;PingPong 則是一個後門程式,能監聽特殊的 ICMP 回應請求,並建立反向的 TCP 殼層連結。這些工具展現了該團體對電信網路基礎設施的深厚理解。

該團體還採用開源後門工具 TinyShell 和公開的 SGSN 模擬器(稱為 sgsnemu)來進行指令與控制 (C2) 通訊。攻擊者常利用密碼噴灑攻擊法 (password spraying) 滲透外部 DNS(eDNS)伺服器,特別針對使用極弱密碼或與第三方相關的密碼進行攻擊。攻擊的最終目標是蒐集網路遙測資料與用戶資訊,或是利用電信業者之間的互聯需求,進一步滲透其他電信服務提供者。

Liminal Panda 的活動利用電信業者之間的信任關係,以及許多網路安全政策的漏洞。藉此由外部主機進而取得核心基礎設備的存取權限,進一步滲透受害者的網路。

CrowdStrike已追蹤中國關聯的網路威脅超過 20 年,據內部人員表示,這些攻擊行動已經從早期的「搶劫式突襲」進化為針對高價值目標個體和資訊的精準活動。這通常意味著鎖定能提供政治和軍事機密的來源,或者可能增進中國國家利益的智慧財產。

與此同時,法國網路安全公司 Sekoia 強調,中國的網路攻擊生態系統是一個由多方組成的合作體系,包括國家支持單位(如國家安全部 MSS 和公安部 MPS)、民間駭客以及民營機構。這些單位組織共同參與漏洞研究與攻擊工具開發,形成了一個緊密的合作網路。Sekoia 進一步指出,這種生態系統不僅涵蓋了攻擊的操作執行,還涉及販賣被盜資訊、提供攻擊服務與工具等多種業務,展現了國家與民間之間複雜而互補的協同關係。

這些針對電信業的攻擊行動,包括 Liminal Panda 以及其他如 Salt Typhoon 的中國相關威脅團體,突顯了電信業及其他關鍵基礎設施面臨的國家支持攻擊威脅。在這樣的背景下,強化通訊協定安全與防護電信供應商間信任模式下的漏洞成為各大電信業者的當務之急。

Liminal Panda 駭客組織相關的部分的入侵指標(IOCs):

3a5a7ced739923f929234beefcef82b5
9728cd06b3e5729aff1a146075d524c34c5d51df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中國關聯的駭客組織利用 Fortinet VPN 零日漏洞竊取憑證

Fortinet VPN 客戶端的零日漏洞被利用來提取憑證及 VPN 伺服器資訊

Photo Credit: Cyber Insider

中國政府有關聯的駭客組織正在利用 Fortinet 的 Windows VPN 客戶端中的零日漏洞來竊取憑證和其他資訊。這個零日漏洞使得網路威脅者在可以在用戶透過 VPN 裝置進行身份驗證後,從記憶體中竊取憑證資訊。

Volexity 威脅情報團隊指出,他們於今年夏天稍早發現了此漏洞並向 Fortinet 報告,目前該問題尚未被修復,亦未被給予 CVE 編號。

報告解釋道,「Volexity 在 2024 年 7 月 18 日將此漏洞向 Fortinet 報告,Fortinet 在 2024 年 7 月 24 日確認了這個問題,截至目前為止該問題尚未解決。」

此攻擊是由北京支持的駭客團體「BrazenBamboo」發起,他們素以開發和部署針對 Windows、macOS、iOS 和 Android 系統的高階惡意程式而著名,主要用於監視行動。

Volexity 解釋,網路威脅者在其攻擊中使用了多種惡意程式,包括 LightSpy 和 DeepPost。

  • LightSpy 惡意程式主要在記憶體中執行。它包含外掛程式來記錄按鍵、音訊和影像;收集 Cookies、存儲的憑證,以及已安裝軟體和服務的詳細資訊。
  • DeepPost 惡意程式則用於從受感染系統中竊取檔案。

Volexity 的報告重點介紹了 DeepData,一款用於 Windows 的模組化後滲透工具,具備多個外掛程式,專門用於竊取目標資料

最新版本的DeepData於去年夏天被發現,內含一個專為 FortiClient 設計的外掛程式,利用產品中的零日漏洞來提取憑證(帳號、密碼)及 VPN 伺服器資訊。

DeepData 定位並解密 FortiClient 處理程序記憶體中的 JSON 物件,由於憑證會存留於記憶體中,便可透過 DeepPost 將資料外傳至攻擊者的伺服器。

透過入侵 VPN 帳戶,BrazenBamboo 能夠獲取企業網路的初始存取權,然後進行橫向移動、駭入敏感系統,並擴張其間諜活動

Volexity 發現 DeepData 在 2024 年 7 月中旬利用了 FortiClient 零日漏洞,並指出它與 2016 年的一個漏洞相似(該漏洞亦未有 CVE 編號),該漏洞係因硬編碼 (hardcoded) 記憶體致使憑證暴露而遭利用。然而,2024 年的漏洞則是全新且不同以往的,僅出現於包括最新版本 v7.4.0 在內的近期釋出版本。

Volexity 解釋,問題出在 FortiClient 未能從記憶體中清除敏感資訊,包括帳號、密碼、VPN gateway (閘道器),這些資訊仍以 JSON 物件形式存於記憶體中

在 Fortinet 確認漏洞並釋出修復更新之前,建議限制 VPN 存取權並監控不尋常的登入活動。與最新 BrazenBamboo 活動相關的入侵指標(IoC)可在此處查閱

Fortinet VPN 零日漏洞相關的部分的入侵指標(IOCs):

707d410a72a630d61168593f17116119
7efb1bc15ee6e3043f8eaefcf3f10864
a2fee8cfdabe4fdeeeb8faa921a3d158
cad4de220316eebc9980fab812b9ed43
ef92e192d09269628e65145070a01f97
f162b87ad9466381711ebb4fe3337815
fb99f5da9c0c46c27e17dc2dc1e162d7
0563225dcc2767357748d9f1f6ac2db9825d3cf9
174519da762cf673051ed1c02a6edb9520886fec
30e33f1188ca4cffc997260c9929738594e7488c

亞馬遜遭受 MOVEit Transfer 駭客攻擊而造成重大資料外洩

MOVEit Transfer 資料洩露事件中,亞馬遜受到的影響最大

Photo Credit: Daily Security Review

去年發生的 MOVEit Transfer 資料洩露事件,是近年來規模最大的事件之一,如今對各大企業仍存在深遠影響。最近一位自稱「資料激進駭客分子」的駭客將數百萬筆用戶資料公佈於資料洩露論壇。

亞馬遜是這次洩露中影響最大的公司,約有近 300 萬筆紀錄被洩露。亞馬遜證實,這次資料外洩中暴露了員工的電話號碼、電子郵件地址和辦公地點等資訊。然而,亞馬遜和 AWS 系統並未遭遇到資安事件的影響。

據網路安全公司 Hudson Rock ,其他受影響的公司還包括銀行巨頭匯豐(HSBC)、瑞銀集團(UBS)、City National Bank,還有科技大廠 HP 和聯想(Lenovo)。甚至連速食連鎖店麥當勞(McDonald’s)也在名單上。

攻擊者可能利用洩露的資訊來進行社交工程、網路釣魚攻擊和憑證填充攻擊(credential-stuffing attack),從而導致這些公司內部出現進一步的資料外洩事件。

有趣的是,發布這個龐大資料集的攻擊者自稱為「資料安全佈道者」,並且在知名資料洩露論壇上宣稱此舉是為了提高安全意識。

據 Hudson Rock 稱,數十家公司受影響,洩露了數百萬筆紀錄。但並非所有企業組織受影響的程度皆相同,有些公司僅有數千筆紀錄被洩露,而其他公司則從 50 萬筆到 280 萬筆不等。受影響的主要公司名單包括有 Amazon,MetLife,HSBC,U.S. Bank,HP,Delta Airlines 等。

根據 Hudson Rock 的資料,上週洩露的資訊包括 25 家「主要企業組織」的員工目錄。Hudson Rock 指出,「這些目錄包含詳細的員工資訊,包括姓名、電子郵件地址、電話號碼、成本中心代碼,甚至某些還包含完整的組織架構資訊。」「這樣的資料對於尋求進行網路釣魚、身份盜竊甚至大規模社交工程攻擊的網路犯罪分子來說,無疑是個金庫。」

去年,已解散的勒索軟體組織 Clop 利用 MOVEit Transfer(一種管理檔案傳輸的軟體)中的零日漏洞進行了攻擊。該漏洞現已修補,但之前攻擊者能夠進入 MOVEit Transfer 的伺服器,存取並下載公司客戶儲存於其中的資料。

據估計,Clop 在 MOVEit 攻擊行動中透過勒索贖金就賺取了 7500 萬到 1 億美元的收益

Clop的一系列攻擊影響了多家公司,包括殼牌、荷蘭國際集團(ING Bank)、德意志銀行、Postbank、美國航空、Radisson Americas 等。根據網路安全公司 Emisoft 的資料,有超過 2700 家企業組織受到影響,而且多達 9500 萬用戶的資料遭暴露。

MOVEit Transfer攻擊相關的部分的入侵指標(IOCs):

c82059564d6e7a6f56d3b1597cdfe98dfc4e30a2050024bd744f12a3ef237bb5
d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899
f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7
2931994f3bde59c3d9da53e0062e4d993dc6fc655a1bd325e90af6dc494ed1fa
3ff0719da7991a38f508e72e32412a1ee498241bf84f65e973d6e93dc8fd1f66
bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b
6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d
c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4
3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b
de4ad0052c273649e0aca573e30c55576f5c1de7d144d1d27b5d4808b99619cd

與中國結盟的 MirrorFace 駭客組織利用 2025 年世博會誘餌攻擊歐盟外交機構

MirrorFace是隸屬於APT10的一個分支組織,又名Earth Kasha

Photo Credit: Trend Micro

根據網路安全公司ESET最新發布的報告,中國政府支持的駭客組織正在利用合法的VPN工具來隱藏他們在受害者網路中的活動。

ESET於週四 (11/7) 發布的報告中詳述了這些國家支持的資安威脅的最新狀況,並指出隨著受害目標清單的不斷增加,專家們認為這個計劃的用意,是進一步實現北京方面蒐集情報的目的。

該中國相關組織被稱為「MirrorFace」,通常是針對日本地區,但最近被觀察到針對歐盟的一個外交機構進行攻擊,這是該駭客組織首次針對歐洲地區的目標。

ESET在2024年4月至9月期間的APT活動報告中表示,「在此次攻擊中,網路威脅者以即將於2025年在日本大阪舉辦的世界博覽會為誘餌進行攻擊。」「這顯示即使擴展到新的地理區域,MirrorFace仍專注於日本及其相關的活動。」

MirrorFace,又稱為 Earth Kasha,被認為是隸屬於APT10的一個分支組織,其他分支組織還包括像Earth Tengshe和Bronze Starlight等。自2019年以來,MirrorFace主要是針對日本的機構,但在2023年初有觀察到新的攻擊活動延伸至台灣和印度地區。

多年以來,這個駭客組織的惡意軟體工具不斷地演進,包括後門程式如ANEL(又稱UPPERCUT)、LODEINFO和NOOPDOOR(又稱HiddenFace),以及一款名為MirrorStealer的憑證竊取工具。

ESET表示,MirrorFace的攻擊具有高度針對性,每年通常只有少於10次的攻擊事件。這些入侵的最終目標是進行網路間諜活動和資料竊取。而且,這並非首次有外交機構遭該駭客組織鎖定。

在ESET偵測到的最新攻擊中,受害者收到了一封魚叉式網路釣魚電子郵件,內含一個指向名為「The EXPO Exhibition in Japan in 2025.zip」ZIP壓縮檔案的連結,該壓縮檔案是適用於Microsoft OneDrive應用程式。

該壓縮檔案包含一個Windows捷徑檔案「The EXPO Exhibition in Japan in 2025.docx.lnk」,當啟動時會觸發一系列的感染,其最終目的是部署ANEL和NOOPDOOR等惡意軟體。

「ANEL在2018年底或2019年初左右就消聲匿跡,當時一般認為它已被LODEINFO取代,當時LODEINFO是在2019年後出現。」ESET表示,「因此,看到ANEL在將近五年後重新浮出檯面是值得深思細究。」

中國支持的駭客組織,例如Flax Typhoon、Granite Typhoon和Webworm等,日益依賴開源和多平台的SoftEther VPN軟體,以維持對目標網路的存取權,這樣的發展走向,也在近期的事件中得到印證。

此事件的消息緊隨著彭博社的另一篇報導之後,據報導中國關聯的 Volt Typhoon 曾入侵新加坡電信公司(Singtel)當作「測試回合」,這是針對電信公司和其他關鍵基礎設施的更大規模行動的一部分。消息人士指出,這起網路入侵事件於2024年6月被發現。

此外,美國的電信業者和網路服務供應商如AT&T、Verizon和Lumen Technologies也成為另一個中國國家級駭客組織「Salt Typhoon」(又稱FamousSparrow和GhostEmperor)的攻擊目標。

MirrorFace駭客組織相關的部分的入侵指標(IOCs):
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台灣企業的FB粉專成為駭客的目標 遭受散佈竊資軟體的攻擊威脅

Infostealer Phishing 攻擊正瞄準台灣企業的粉絲專頁管理員及廣告管理員

Photo Credit: Infosecurity Magazine

一個尚未辨識的網路威脅者正在針對台灣企業粉絲專頁或是廣告管理員用戶進行網路釣魚攻擊,其目的是散布像是 Lumma 或 Rhadamanthys 這樣的資訊竊取惡意軟體。

這些誘餌訊息內含一個連結,當受害者點擊後,便會被引導至Dropbox或Google Appspot網域,進而觸發下載動作,下載的是包裹著假PDF執行檔的RAR壓縮檔,藉而由此傳送資訊竊取惡意軟體。

誘餌電子郵件和偽造的PDF檔名假冒公司法律部門的樣子,試圖引誘受害者下載並執行惡意軟體。

此外,這些不法行為者還以台灣一家知名工業馬達製造商和另一家知名網路商店的名義發送網路釣魚郵件,聲稱受害者的業務上有侵犯版權的行事。

根據威脅情資團隊 Cisco Talos 研究人員表示:「這些郵件要求受害者在24小時內移除侵權內容,停止未經授權的使用,並警告倘若不遵循,將會面臨可能的法律行動和賠償索求。」

他們還指出,這些網路威脅者還使用了多種的技術和工具,以規避防毒軟體偵測和沙箱分析,例如Shellcode加密、程式碼混淆,並將LummaC2和Rhadamanthys等資訊竊取惡意軟體嵌入合法的系統程式之中。

Lumma Stealer 是一種專門從被入侵系統中竊取資訊的惡意軟體,其目標包括系統詳細資訊、網頁瀏覽器及瀏覽器擴充功能等資料。

Rhadamanthys 是一種在地下論壇出售的高階資訊竊取工具,首次浮出檯面是在兩年前,這支惡意軟體專門用來蒐集系統資訊、帳戶憑證、加密貨幣錢包、密碼、Cookies以及其他應用程式中的資料。

這次的網路釣魚行動至少自7月以來持續進行中,最初的攻擊手法是透過網路釣魚郵件附帶的惡意軟體下載連結。這些郵件中使用繁體中文的誘騙內容,由此可推斷其目標對象為使用中文的用戶。

另外,也有觀察到一些網路釣魚活動是假冒OpenAI來進行,其目標指向全球的企業,指示他們點擊令人混淆的超連結以更新付款資訊。

「這次攻擊事件是由單一網域向超過1000位收件者發送的」,根據Barracuda的報告指出:「郵件內容使用了不同的超連結,可能是為了規避偵測。這些郵件通過了DKIM和SPF驗證,表示郵件是從該網域授權的郵件伺服器發出的。然而,該網域本身卻是非常可疑。」

LummaC2 和 Rhadamanthys相關的部分的入侵指標(IOCs):

03ed5c2b3a8b34f8c7ef110f78926c42
ff1156ab3a8226f8ac89bae78c990ebb85f3138b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北韓駭客與 Play 勒索軟體聯手發動全球攻擊

駭客組織 Jumpy Pisces 進行攻擊活動的時間軸

Photo Credit: Unit 42

網路安全公司 Palo Alto Networks 的威脅情報小組 Unit 42 針對最近的一起事件回應案例揭露出令人憂慮的發展——北韓政府支持的駭客組織與一個以金錢為導向的勒索軟體集團之間的合作。

Jumpy Pisces 駭客組織,也稱為 Onyx Sleet 和 Andariel(亦稱為「和平守護者」APT 組織,曾是著名的HBO資料外洩事件的幕後黑手),歷來涉足於網路間諜活動、金融犯罪,以及部署客製化的勒索軟體像是 Maui。Unit 42 的調查揭示了 Jumpy Pisces 在戰術上的轉變,顯現出他們可能愈來愈頻繁地參與勒索軟體攻擊。

2022年,卡巴斯基(Kaspersky)發現 Jumpy Pisces 在針對日本、俄羅斯、越南以及印度的攻擊中部署 Maui 勒索軟體,隨後美國政府也證實了此事。

此次事件涉及的 Play 勒索軟體,是一種在2022年中期首次被發現的網路威脅工具。雖然 Play 勒索軟體背後的組織 Fiddling Scorpius 被認為採用勒索軟體即服務(RaaS)模式運作,然而他們在洩漏網站上否認了這一點。

Unit 42 的調查揭示了一連串事件,最終都導向到有關 Play 勒索軟體的部署。2024年5月,Jumpy Pisces 通過遭入侵的使用者帳戶獲取初步存取權。到了2024年 5月 至 9月期間,他們運用開源的 Sliver (一種通用的跨平台植入框架) 和客製化的 DTrack 惡意軟體進行橫向移動,並遊走各個網路,維持持續性的活動。

2024年9月初,一個未被識別的駭客通過同一個被入侵的帳戶進入了目標網路,似乎是為了 Jumpy Pisces 發動攻擊前的準備工作。該網路攻擊者執行了進行勒索軟體攻擊之前的前期操作,其中包括了憑證收取和 EDR 感應器移除,然後於當月稍晚即進行 Play 勒索軟體的部署。

此次攻擊中使用的客製化版本 Sliver C2 框架讓他們能夠維持持續性的指令與控制(C2)通訊,並允許遠端指令的執行。DTrack 則是客製化的惡意軟體,作為資訊竊取的工具,從受影響系統中蒐集機敏資訊,並壓縮成偽裝的 GIF 檔案以逃避偵測。

北韓駭客與 Play 勒索軟體在全球攻擊中的合作

根據Palo Alto Networks Unit 42 的報告,攻擊者使用 PowerShell 腳本來執行指令、傳輸檔案並與系統互動,同時 Mimikatz (windows系統中的安全測試工具) 則被用來從記憶體中提取明文密碼 (plaintext password),以進一步取得額外帳戶的存取權。

研究人員還觀察到 PsExec 的使用,一種允許於遠端系統上執行程序的指令列工具 (command-line tool),支援橫向移動及權限提升。此外,攻擊者也使用了 TokenPlayer,一種用來操控與利用 Windows 存取權杖 (access token) 的工具,透過竊取權杖來冒充高權限使用者。

目前尚不確定 Jumpy Pisces 的角色是作為 Play 勒索軟體的正式附屬成員,或只是作為初始存取仲介者(Initial Access Broker, IAB)來出售網路存取權。不過,此類型的合作模式,是首次有文件記錄下的例子,令人擔憂北韓駭客團體可能更頻繁地參與勒索軟體活動,對全球的企業和組織構成更大的威脅。

無論 Jumpy Pisces 是附屬成員還是初始存取仲介(滲透測試者),他們與勒索軟體集團在幕後協同合作,使北韓的威脅攻擊者得以規避國際的制裁。

資安意識培訓公司 KnowBe4 的資安意識提倡人 Erich Kron 指出,北韓近期積極參與勒索軟體活動顯示出因財務動機而進行的戰略合作。儘管北韓網路攻擊者在網路存取方面的技術嫻熟,然而他們對勒索軟體的運作模式較不熟悉,因此與成熟組織的合作會更加有利。Kron 強調說,考量到勒索軟體對社交工程的高度依賴性,企業組織應更加專注於防範網路釣魚郵件的攻擊。

Jumpy Pisces 駭客組織及 Play 勒索軟體相關的部分的入侵指標(IOCs):

76cb5d1e6c2b6895428115705d9ac765
879fa942f9f097b74fd6f7dabcf1745a
e12f93d462a622f32a4ff1e646549c42
540853beffb0ba9b26cf305bcf92fad82599eb3c
6624c7b8faac176d1c1cb10b03e7ee58a4853f91
6e95d94d5d8ed2275559256c5fb5fc6d01da6b46
243ad5458706e5c836f8eb88a9f67e136f1fa76ed44868217dc995a8c7d07bf7
2b254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be713a
99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e

中國駭客組織 Evasive Panda 使用 CloudScout 工具組瞄準台灣

駭客組織 Evasive Panda 的活動主要針對台灣、香港等地的各類目標

Photo Credit: ESET

台灣的一個政府機構和宗教組織早前曾遭到與中國有關聯的 APT (進階持續性威脅) 組織「Evasive Panda」攻擊,該組織使用一套代號為「CloudScout」的全新入侵後 (post-compromise) 工具組進行滲透。

電腦安全軟體公司 ESET 安全研究員 Anh Ho表示,CloudScout 工具組能夠利用竊取的網路工作階段 (web session) cookie 來從不同的雲端服務獲取資料。透過外掛程式,CloudScout 更能與 Evasive Panda 的代表性惡意軟體框架「MgBot」,進行天衣無縫的搭配運作。

根據 ESET 的發現,這個基於 .NET 的惡意軟體工具是在 2022 年 5 月至 2023 年 2 月期間被偵測到,其中包含 10 個不同的模組,主要以 C# 程式編寫,其中三個模組專門用於從 Google Drive、Gmail 和 Outlook 之中竊取資料。

「Evasive Panda」,又稱「Bronze Highland」、「Daggerfly」和「StormBamboo」,是一個專門進行網路間諜活動的組織,自2012年以來陸續被發現其活動,主要針對台灣、香港等地的各類目標,並且以對西藏流亡組織發動「水坑攻擊」(watering-hole attack)和供應鏈攻擊而聲名大噪。

ESET解釋道:「Evasive Panda一路以來積累了多樣化的攻擊手法。我們觀察到該組織運用了像是供應鏈攻擊、水坑攻擊以及DNS劫持 (DNS hijacking) 等複雜技術,同時也利用了針對Microsoft Office、Confluence及網路伺服器應用程式的最新CVE漏洞。」

「該組織也展現了極強大的惡意軟體開發能力,這方面特別體現於他們一系列適用於Windows、macOS及Android平台上的後門程式(backdoors)。」

CloudScout之中已辨識的三個模組——CGD、CGM及COL——各有不同的用途:CGD針對Google Drive,CGM針對Gmail,而COL則是以Outlook 為目標。每個模組皆是利用盜取的Cookie繞過雙重身份驗證,以便能直接存取雲端儲存的資料。

CloudScout的主要功能包括:

  • 無縫整合 Evasive Panda 的主要惡意軟體框架 MgBot。
  • 透過模仿已驗證的 user session (伺服器上儲存的使用者操作的資訊) 來存取目標雲端服務。
  • 無需使用者憑證,就能自動地從 Google Drive、Gmail 及 Outlook 中提取資料。

CloudScout的內部框架經過精密設計,能夠執行複雜的任務,包括調整組態 (configuring)、管理以及解密各模組所需的Cookie,以建立網路請求。

CloudScout的CommonUtilities套裝軟體也讓其運作更加地順利,這個套裝軟體負責管理HTTP請求以及Cookie語法解析,使這個工具能適應各個標的服務的不同結構。此惡意軟體能夠自動地監控目錄中是否有新的組態設定檔,並觸發資料提取循環,並在每個循環後即刪除掉之前的活動痕跡。

研究人員也觀察到,CloudScout採用了專門針對台灣用戶的特定手法,這可從其模組內嵌的語言偏好及區域特定設置中看出端倪。

分析還指出,CloudScout可能還具備額外的模組,目標鎖定Facebook以及Twitter等社群媒體,雖然現階段這些模組並未在活動部署中被發現。

Evasive Panda駭客組織相關的部分的入侵指標(IOCs):

be17d056039267973e36043c678a5d56
c02b6a7cc4f4da2d6956049b90ff53ba
4a5bcdaac0bc315edd00bb1fccd1322737bcbeeb
621e2b50a979d77ba3f271fab94326cccbc009b4
67028aeb095189fdf18b2d7b775b62366ef224a9
84f6b9f13cdcd8d9d15d5820536bc878cd89b3c8
93c1c8ad2af64d0e4c132f067d369ecbebae00b7
b3556d1052bf5432d39a6068ccf00d8c318af146
c058f9fe91293040c8b0908d3dafc80f89d2e38b
73d50eabd0b377e22210490a06ecf2441191558d97ce14ba79517c0e7696318b

RansomHub 駭客組織近日聲稱成功入侵台灣某上市被動元件大廠

RansomHub 勒索軟體集團日前駭入台灣某製造業大廠,總計 150 GB 資料遭竊

竣盟科技 於今年9月曾報導 RansomHub 勒索軟體集團攻擊台灣某大日系電機廠商,並竊取大量機敏資料。經沉寂一段時日之後,該集團又對台灣廠商出手。

近日,RansomHub 駭客組織聲稱成功入侵台灣某上市被動元件大廠,這是一家年營收接近 30 億美元的製造業巨擘。

據該組織宣稱,外洩資料量達 150 GB,其中內容涵蓋技術設計、相關協定及證書等機密資訊。而支付贖金的截止日期為 2024 年 10 月 31 日。

根據RansomHub組織暗網上發布之資訊,受駭的製造業大廠有完整的產品線,及遍布全球的運輸平台,共計有超過 30 個生產據點,提供多樣性的電子產品類型及服務。

該組織於聲明中威脅道,給受駭公司一週時間與他們進行談判,否則就會把資料公布於他們的 Blog。同時他們也釋出多張圖片,包括電子產品的電路板照片等機密資訊。

該公司於 10 月 23 日發出重大資訊揭露,聲明中表明公司部分資訊系統遭受駭客網路攻擊,並說明公司於遭受網路攻擊時,立即啟動相關防禦機制,避免影響安全。

至於預計可能的損失或影響,公司目前評估並沒有個資或內部文件資料外洩之虞等情事,對公司營運尚無重大影響。而關於改善情形及未來因應措施,公司表示會持續提升網路與資訊基礎架構之安全管控,持續密切監控,以確保資訊安全。

被動元件產業是台灣電子製造業的關鍵部分,供應全球市場各種電子零組件。這些元件被廣泛應用於智慧型手機、電腦、汽車電子等產品中。因此,這類公司往往成為駭客組織的目標,因為它們擁有龐大的技術資料和商業機密。

勒索軟體攻擊的特點是加密受害者的資料並索取贖金,以換取資料解密鑰匙。這不僅可能導致企業的日常運營中斷,還可能讓公司的競爭對手或不法分子獲得關鍵技術資料,進一步威脅其市場競爭力。此外,對於一家上市公司而言,這類安全事件如果處理不當,可能會導致股價下跌及品牌信譽受損。

台灣的電子製造業高度依賴全球供應鏈,這意味著這類企業持續面臨來自世界各地的網絡威脅。近年來,隨著台灣企業在全球市場中的地位上升,針對台灣高科技產業的駭客攻擊也日益增多。台灣的網路安全專家已多次警告,企業需要投資更多的資源以強化其資訊安全防護系統。

這次攻擊再次提醒了企業加強網絡安全的重要性。專家建議,企業應該定期進行網絡安全風險評估,並且建立更完善的數據備份與還原計畫,以應對未來可能發生的攻擊事件。只有通過強化防護和快速應對,才能在這個充滿網絡威脅的時代中維持企業競爭力。

RansomHub 勒索軟體相關的部分的入侵指標(IOCs):

0cd57e68236aaa585af75e3be9d5df7d
407dcc63e6186f7acada055169b08d81
57556d30b4d1e01d5c5ca2717a2c8281
676259a72f3f770f8ad20b287d62071b
da3ba26033eb145ac916500725b7dfd5
de8e14fdd3f385d7c6d34b181903849f
f17ceae8c5066608b5c87431bac405a9
ff1eff0e0f1f2eabe1199ae71194e560
189c638388acd0189fe164cf81e455e41d9629d6