麒麟出手 台灣大型代工鞋大廠疑遭竊2.12 TB 數據

2024 年 5 月 18 日,竣盟科技在勒索軟體麒麟(Qilin)的揭秘網站發現台灣某鞋子代工大廠的頁面,麒麟聲稱盜取了2.12TB的資料約一百五十萬份檔案。作為入侵的證據張貼了兩張截圖,從其中一張截圖顯示包含多款Adidas形號的價格、配方單價、開發文件、化工稽核資料等等。

麒麟也稱為「Agenda」,於 2022 年 8 月首次被發現,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名,是一種高度複雜且具威脅性的網路威脅,一直活躍且處於發展之中,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名。麒麟可以透過各種方法傳播,利用不同的載體來感染系統和網路。雖然麒麟的具體分發策略可能會演變,但勒索軟體常用的方法包括:

  1. 網路釣魚電子郵件:傳播勒索軟體最常見的方法之一是透過網路釣魚電子郵件。這些電子郵件通常包含惡意附件或鏈接,當毫無戒心的用戶打開或單擊時,可以啟動勒索軟體下載到系統上。
  2. 利用漏洞:勒索軟體可以透過利用軟體或作業系統中的漏洞進行傳播。攻擊者不斷掃描具有尚未修補或更新的已知漏洞的系統,並利用這些漏洞獲得未經授權的存取並部署勒索軟體。
  3. 偷渡式下載:當使用者造訪受感染或惡意網站時,就會發生偷渡式下載,導致勒索軟體在使用者不知情的情況下自動下載到其裝置上。
  4. 勒索軟體即服務 (RaaS)有些組織在 RaaS 模式下運作,將勒索軟體基礎設施出租給其他網路犯罪分子,然後由他們實施攻擊。隨著各種攻擊者利用勒索軟體,這種方法可能會導致廣泛傳播。
  5. 社會工程策略:除了網路釣魚之外,其他形式的社會工程也可用於誘騙個人安裝惡意軟體。這可能涉及透過虛假軟體更新、欺詐性技術支援電話或其他欺騙手段來操縱用戶。
  6. 網路傳播:一旦網路中的單一電腦受到感染,某些勒索軟體變體就可以在整個網路中自我傳播。他們利用網路協定或使用橫向移動技術傳播到其他連接的系統。
  7. 惡意廣告:這涉及將惡意廣告注入合法廣告網路。點擊這些廣告的使用者可能會被重新導向到託管勒索軟體的惡意網站。
  8. 使用遠端桌面協定 (RDP)攻擊者也可能使用暴力攻擊或竊取的憑證,透過遠端桌面協定 (RDP)(一種遠端管理系統的常用方法)來存取系統。
  9. 供應鏈攻擊:損害供應鏈內的軟體供應商或服務可能會導致勒索軟體分發給受感染軟體或服務的所有使用者。
  10. 可移動媒體:雖然不太常見,但勒索軟體可以透過受感染的可移動媒體(例如 USB 隨身碟)傳播。

在加密過程上,麒麟的技術已經達到了高度成熟。他們對先進加密技術的掌握對於他們成功有效地使受害者無法存取文件和資料至關重要。麒麟加密策略的核心是高級加密標準(AES),金鑰長度為256位,通常表示為AES-256。這種加密演算法因其強大的安全特性而聞名並被廣泛採用。 AES-256 因其絕對的複雜性和大量可能的加密金鑰而以其抵抗加密攻擊的能力而聞名。實際上,這意味著使用 AES-256 加密的檔案在沒有相應解密金鑰的情況下無法解密。至關重要的是,麒麟確保只有攻擊者擁有解鎖加密檔案和資料所需的唯一解密金鑰。該密鑰被安全地保存在他們的控制之下,使其成為難以捉摸且受到嚴密保護的秘密。如果沒有這個解密金鑰,解密加密檔案將成為一項巨大的挑戰。麒麟透過結合 RSA-2048 加密,進一步增強了解密過程的安全性。 RSA 以其發明者 Rivest、Shamir 和 Adleman 的名字命名,是一種廣泛使用的非對稱加密演算法。在 麒麟勒索軟體中,RSA-2048 用於加密解密金鑰本身。這為解密和恢復過程增加了額外的複雜性。實際上,RSA-2048 加密意味著加密檔案的解密金鑰不僅由攻擊者安全地持有,而且還受到計算上無法破解的加密機制的保護。 AES-256 和 RSA-2048 加密的組合為尋求重新存取其加密檔案和資料的人設置了巨大的障礙。

值得一提的是,麒麟似乎專注於滲透那些會造成巨大損失的知名目標,這也意味著麒麟擁有精心設計的攻擊系統和工具, 但有趣的是,據了解,麒麟並不像 Lockbit 等更具攻擊性的勒索軟體攻擊者那樣要求大量的的贖金。相反,麒麟的價格在 50,000 美元至 800,000 美元之間。。

過去曾遭受「麒麟」勒索軟體攻擊的著名受害者包括汽車零件巨頭延鋒澳洲法院系統。此外,2022年10月,麒麟勒索軟體曾入侵某台灣製藥大廠:

麒麟的部分入侵指標(Indicator of compromise -IOCs):

73b1fffd35d3a72775e0ac4c836e70efefa0930551a2f813843bdfb32df4579a    

e4cbee73bb41a3c7efc9b86a58495c5703f08d4b36df849c5bebc046d4681b70    

afe7b70b5d92a38fb222ec93c51b907b823a64daf56ef106523bc7acc1442e38    

dd50d1f39c851a3c1fce8abdf4ed84d7dca2b7bc19c1bc3c483c7fc3b8e9ab79

美國CISA、FBI警告醫療保健組織 警惕Black Basta勒索軟體攻擊

截至 2024 年 5 月, Black Basta 勒索軟體業者已侵入全球 500 多個組織。為了應對不斷升級的威脅,美國網路安全暨基礎設施安全局(CISA)與美國聯邦調查局(FBI)發布了聯合網路安全諮詢,警告Black Basta勒索軟體業不斷增加的活動,該組織的活動已經影響了包括醫療保健行業在內的數十個關鍵基礎設施組織。至少從 2022 年春季開始,Black Basta 就以RaaS形式運營,主要針對北美、歐洲和澳洲的眾多企業和關鍵基礎設施組織。根據聯合網路安全諮詢 AA24-131A,在長達 2 年的攻擊活動中,該組織已影響了全球 500 多個組織,突顯了提高網路安全意識和主動防禦措施的必要性。 贖金要求因目標組織而異,有報告稱贖金金額可能高達 200 萬美元。據估計,Black Basta 在不到兩年的時間內從 90多名受害者那裡獲得了超過 1.07 億美元的贖金收入。 Black Basta 通常針對製造、運輸、建築和相關服務、電信、汽車業和醫療保健提供者。著名的受害者包括南方水務公司(Southern Water)、BionPharma、M&M Industries、可口可樂、加拿大黃頁、AgCo、Capita、ABB、Merchant Schmidt、Tag Aviation、Blount Fine Foods等等。

證據表明Black Basta營運商與另一個名為FIN7的網路犯罪組織有聯繫,該組織自 2020 年以來已轉向實施勒索軟體攻擊。涉及勒索軟體的攻擊鏈依賴BITSAdmin、PsExec 和 RDP 等實用程式。他們還可以利用 Splashtop、ScreenConnect和Cobalt Strike 信標進行遠端存取。為了進行權限升級,Black Basta 使用Mimikatz等憑證抓取實用程序,還可以利用漏洞利用,例如濫用ZeroLogon、CVE-2021-42287或 PrintNightmare 已知安全漏洞。

Black Basta 勒索軟體組織利用 RClone 從受感染的系統中竊取資料。在資料外洩之前,他們往往會透過 PowerShell 和 Backstab 實用程式逃避偵測。然後,他們使用 ChaCha20 演算法和 RSA-4096 公鑰對檔案進行加密,附加隨機檔案副檔名,並留下標題為 readme.txt 的勒索字條,同時阻礙系統復原。

CISA 表示:“醫療保健組織因其規模、技術依賴性、個人健康資訊的獲取以及患者護理中斷的獨特影響而成為網路犯罪分子的有吸引力的目標。”為了降低入侵風險,防禦者建議關鍵組織安裝所有必要的軟體和韌體更新,應用多因素身份驗證,安全遠端存取工具包,並維護關鍵系統和設備配置的備份以促進復原過程。 CISA 和合作夥伴也建議應用#StopRansomware針對Black Basta指南中提供的一般緩解措施,以消除勒索軟體攻擊和資料勒索威脅的影響和可能性。隨著 Black Basta 和其他勒索軟體針對關鍵基礎設施組織的攻擊不斷增加,持續加強網路警覺性和強化防禦至關重要。

此外,FBI也公布了Black Basta的入侵指標(IOCs):

Mirai殭屍網路利用 Ivanti Connect Secure漏洞進行惡意負載傳輸

最近揭露的 Ivanti Connect Secure (ICS) 設備中的兩個安全漏洞正被用來部署臭名昭著的Mirai 殭屍網路。

根據Jupiter威脅實驗室的研究人員報告稱 ,駭客正在利用Connect Secure (ICS) 和Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。CVE-2023-46805(CVSS 評分 8.2) 存在於 Ivanti ICS 9.x、22.x 和 Ivanti Policy Secure 的 Web 元件中,是一個驗證繞過漏洞,攻擊者可透過繞過控制檢查來存取受限資源而 CVE-2024-21887 是一個命令注入漏洞(CVSS 評分 9.1),是 Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的指令注入漏洞,經過身份驗證的管理員可以透過發送特製請求並在裝置上執行任意命令來利用該漏洞。攻擊者可以連結這兩個漏洞向未修補的系統發送特製請求並執行任意命令。

Ivanti發布的公告稱,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用該漏洞不需要身份驗證,並使攻擊者能夠製作惡意請求並在系統上執行任意命令。

據觀察到的實例攻擊者利用 CVE-2023-46805 漏洞取得端點「/api/v1/license/key-status/;」的存取權限。然後攻擊者利用命令注入漏洞來注入他們的有效負載。

以下是專家觀察到的攻擊中使用的請求:

GET /api/v1/totp/user-backup-code/../../license/keys-status/{Any Command}

觀察到攻擊者使用curl和基於Python的反向shell來利用此漏洞的實例,使他們能夠控制易受攻擊的系統。專家表示,遇到了透過 shell 腳本傳遞的 Mirai 有效負載。觀察到的請求之一包括一個編碼的 URL,解碼後會顯示一個命令序列,試圖擦除檔案、從遠端伺服器下載腳本、設定可執行權限並執行腳本。然後腳本瀏覽系統目錄,從特定 URL 下載檔案,授予執行該檔案的權限,並使用特定參數運行它。研究人員分析了有效負載,並將其識別為 Mirai機器人網路。

Photo Credit:Jupiter

研究人員進一步說,越來越多的人嘗試利用 Ivanti Pulse Secure 的身份驗證繞過和遠端程式碼執行漏洞,這對網路安全構成了重大威脅。透過這些漏洞傳播 Mirai 殭屍網路的發現突顯了網路威脅不斷變化的格局。Mirai 透過此漏洞傳播的事實也意味著其他有害惡意軟體和勒索軟體的部署也是可以預料的。因此了解如何利用這些漏洞並識別它們造成的特定威脅對於防範潛在風險至關重要。

有關Mirai殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

53f6cedcf89fccdcb6b4b9c7c756f73be3e027645548ee7370fd3486840099c4

67d989388b188a817a4d006503e5350a1a2af7eb64006ec6ad6acc51e29fdcd5

9b5fe87aaa4f7ae1c375276bfe36bc862a150478db37450858bbfb3fb81123c2

3e785100c227af58767f253e4dfe937b2aa755c363a1497099b63e3079209800

5b20ed646362a2c6cdc5ca0a79850c7d816248c7fd5f5203ce598a4acd509f6b

c27b64277c3d14b4c78f42ca9ee2438b602416f988f06cb1a3e026eab2425ffc

英國NCA、美國FBI公開LockBit幕後首腦身分

執法單位宣布,他們已經識別、制裁並起訴了LockBit的幕後主使Dmitry Yuryevich Khoroshev

歷史上最臭名昭著的勒索軟體組織之一的領導者身份終於被揭露,週二(5月7日),由英國國家犯罪局(National Crime Agency-NCA))領導的執法聯盟宣布,31歲的俄羅斯公民Dmitry Yuryevich Khoroshev是暱稱“LockBitSupp”的幕後黑手,他也是LockBit勒索軟體的管理員和開發者,作為「為網路犯罪集團履行各種營運和管理職責」的一部分,Khoroshev據稱負責升級 LockBit 基礎設施、招募新的勒索軟體開發人員以及管理 LockBit 附屬成員。美國司法部也宣布對Khororshev提出起訴,指控他犯下電腦犯罪、詐欺和勒索罪。針對 Khoroshev 的行動是 NCA、FBI 和組成克諾司行動(Cronos Operation) 的國際執法工作小組對 LockBit 組織進行廣泛且持續調查的一部分。今年2 月,LockBit 基礎設施受到名為克羅諾斯行動的國際執法行動的嚴重破壞,導致兩人被捕、34 台伺服器被關閉、超過14,000 個流氓帳戶被關閉、200 多個加密貨幣帳戶被凍結。

現在,「LockBitSupp」首次被國際執法團隊揭露。在周二公佈的一份起訴書中,美國聯邦檢察官表示,Khoroshev及其下屬在掌管 LockBit(最多產的勒索軟體組織之一)的五年期間,向約 2,500 名受害者勒索了 5 億美元,其中約 1,800 名受害者位於美國,據稱Khoroshev從收入中分成了約 1 億美元。起訴書指控該俄羅斯國民犯有一項共謀實施欺詐、勒索和與電腦有關的相關活動的罪名,一項共謀實施電信詐欺的罪名,八項故意損壞受保護電腦的罪名,八項與電腦有關的勒索罪。如果罪名成立,Khoroshev最高將面臨 185 年監禁。他現在將受到一系列資產凍結和旅行禁令。除了起訴書之外,美國財政部官員以及英國和澳洲財政部官員也宣布對Khoroshev實施制裁。除此之外,美國的制裁允許官員對任何向 LockBit 集團付款或協助付款的美國人處以民事處罰。美國國務院也宣布懸賞 1000 萬美元,獎勵任何導致Khoroshev被捕和/或定罪的資訊。

英國國家犯罪局 (NCA) 在滲透 LockBit 基礎設施後發現,該組織在2022 年6 月至2024 年2 月期間發動了7,000 多次攻擊,主要針對美國、英國、法國、德國和中國的實體,其中包括100 多家醫院和醫療保健組織。超過 2,100 名受害者與該組織進行了某種形式的談判,雖然 LockBit 仍在繼續運營,但其活動目前比中斷前的水平減少了 70% 以上,至少在英國是如此。 NCA 表示,目前活躍的附屬機構不夠成熟,影響力也較小。

在打擊LockBit之前,NCA 確定了有194個使用 LockBit RaaS 的附屬成員,但自 2 月以來,這一數字已降至69 。NCA 提供了一份包含所有已發現身分的清單,其中包括新附屬成員的全名。該機構表示,目前擁有超過 2,500 個解密金鑰,並正在聯繫 LockBit 受害者,以協助他們恢復資料。

隨著克諾司行動在 10 個國家/地區執法機構的支持下繼續進行,歐洲刑警組織週二宣布,已識別出 33 個國家/地區的 3,500 多名 LockBit 受害者,強調受害者可以使用NoMoreRansom網站上提供的免費恢復工具來恢復其資料。

談判破裂?! Underground Team一口氣公開十一名受害者 包含一家台灣Nas設備業者

5 月1日,竣盟科技在Underground Team的暗網揭秘網站上,發現該組織公開了十一名受害者,當中包括某台灣Nas大廠,據了解,該大廠疑是在2023 年七月中旬遭到Underground Team攻擊,被盜51GB的資料。在Nas大廠的頁面,Underground Team 公開了竊盜得到的資料夾包含該大廠的德國子公司資料,目前尚不清楚此次攻擊的立足點是德國子公司或是台灣總部。

Underground Team勒索軟體使用 Microsoft Visual C/C++ 編寫,在 64 位元系統上運作。當它感染電腦時,會執行各種操作,例如刪除檔案的備份副本、更改Windows登錄檔中的設定以及停止名為 MSSQLSERVER 的特定資料庫服務。為了實現這些操作,勒索軟體使用特定的命令。例如,它使用命令刪除電腦上儲存的檔案的備份副本,使用戶更難恢復檔案。它還使用命令來調整與遠端桌面Session相關的設置,以影響遠端存取電腦的方式。

根據Cyble的研究報告,Underground Team還會強制停止 MSSQLSERVER 服務,這會導致破壞特定類型資料庫的功能。之後,勒索軟體會尋找受害電腦上的磁碟機和檔案系統,透過使用作業系統提供的某些功能來實現此目的。一旦辨識出驅動器,它就會在電腦上的各個資料夾中投放名為「!!readme!!!.txt」的勒索字條。接下來,勒索軟體便開始搜尋要加密的檔案和目錄並透過逐一掃描它們來做到這一點。此外,Underground Team會從加密過程中排除某些檔案名稱、檔案副檔名和特定資料夾。一旦檔案被識別,勒索軟體就會對其進行加密,使其無法讀取,但不會更改加密檔案的名稱或新增任何新的副檔名。加密完成後,Underground Team 勒索軟體會建立一個名為「temp.cmd」的檔案並執行它。該檔案旨在刪除特定文件、清除事件日誌以及將其自身從電腦中刪除,這樣做是為了隱藏它的存在並掩蓋其蹤跡。

Photo Credit: Cyble

勒索軟體和相關的數據洩露事件會嚴重影響業務流程,使組織無法存取營運和提供關鍵服務所需的數據。

竣盟科技建議您針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

有關Underground Team的部分入侵指標(Indicator of compromise -IOCs):

059175be5681a633190cd9631e2975f6

fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6

d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

加拿大連鎖藥局London Drugs受網路攻擊 系統癱瘓 關閉所有門市

約80家門市週日(4/28)突然關閉,至今已停業三日,目前沒有重新開業的時間

Photo Credit: Ben Nelms/CBC News

上週日(4月28日),據CityNewsCTV報道,加拿大連鎖藥局 London Drugs在檢測到網路攻擊後,關閉所有門市,直到另行通知。根據媒體報道London Drugs拒絕回答有關入侵的具體問題,包括是否部署了勒索軟體 ,但發表聲明表示,出於高度謹慎的考慮,在2024 年 4 月 28 日發現自己成為網路安全事件的受害者後,加拿大西部各地的 London Drugs 商店暫時關閉,直至另行通知。在發現這起事件後,London Drugs公司立即採取對策保護其網路和數據,包括聘請領先的第三方網路安全專家協助遏制、補救和進行取證調查, London Drugs建議顧客如果有“緊急藥房需求”,請致電當地藥房進行安排。據CTV報道,有London Drugs的客戶服務代表表示,「我們所有的系統都癱瘓了」,門市暫時無法處理任何交易。

London Drugs在太平洋時間4月28日下午5:30左右通過電子郵件發送給加拿大CBC News的聲明中表示,目前我們沒有理由相信客戶或員工數據受到影響。此外該公司表示,藥劑師隨時待命以應對緊急需求。然而該公司的電話線路也仍然處於停機狀態,但表示顧客可以親自前往當地商店,那裡的工作人員將為他們提供協助。

London Drugs在X(以前稱為Twitter)上發文證實了其門市的關閉

由於London Drugs已停業三日,有專家指出今次網路攻擊情況嚴重,建議公眾考慮更改信用卡密碼,保障帳戶安全。加拿大互聯網註冊局網路安全和域名系統副總裁Jon Ferguson表示,即使London Drugs尚未確認事件具體細節,但相信情況相當嚴重,又指事件該提醒公司和市民要保護自己,避免受到網路攻擊。

加拿大網路安全專家Sam Lau指,曾光顧London Drugs的市民,可以考慮更改信用卡密碼,以保障自己的銀行帳戶安全。Sam Lau說:「現時很多大公司,都會把顧客的信用卡資料紀錄在系統中,因此他們的系統需要經常更新,並要有加密措施來保障客戶。」

根據 IBM X-Force 威脅情報指數 2024 的報告,在北美,醫療保健是 2023 年第三大網路攻擊目標產業,佔攻擊的 15%。 2023 年,醫療保健在全球攻擊份額中排名第六,佔目標的 6.3%,高於 2022 年的 5.8%。另外2023 年醫療保健資料外洩的平均成本為1,093 萬美元,比2020 年成長53.3%,與其他產業的資料外洩相比,醫療保健資料外洩的成本最高。

關於DragonForce 勒索軟體–您需要了解的訊息

研究人員發現 LockBit 和 DragonForce 勒索軟體之間的關聯

一種名為 DragonForce 的相對較新的勒索軟體在發生一系列備受矚目的攻擊後引起關注,研究員觀察到一種名為 新型勒索軟體DragonForce 使用了臭名昭著的 LockBit勒索軟體的製作工具(Builder)。據信DragonForce 勒索軟體於 2023 年 11 月出現,與許多其他勒索軟體組織一樣,DragonForce透過加密企業組織的電腦和數據,從而從受感染的系統中竊取數據向受害者勒索金錢並威脅透過暗網將數據發布給其他人。

DragonForce 最早已知的勒索軟體攻擊是針對俄亥俄州彩票公司的。在那起事件中,DragonForce 宣稱它竊取了超過 600 GB 的數據,其中包括 300 萬筆記錄,其中包含姓名、電子郵件地址、社會安全號碼和其他敏感資訊。其他聲稱的受害者包括澳洲養樂多公司(95.19 GB 的公司資料外洩)和新加坡的可口可樂(413.92 GB)。最近,2024 年 3 月中旬,帛琉政府遭受勒索軟體攻擊,導致電腦被鎖定。奇怪的是,勒索信是來自兩個勒索軟體組織,一份來自LockBit,一份來自 DragonForce。

根據資安公司Cyble的研究人員最近的分析顯示,DragonForce 的二進位檔案基於外洩的LOCKBIT Black的製作工具,該製作工具允許加密模式、檔案名稱混淆、進程模擬、檔案和資料夾排除以及勒索信範本等自訂。Cyble 透露,迄今為止,全球已有超過 25 名受害者被揭露,DragonForce利用洩漏的 LOCKBIT 基礎設施來提高營運效率,同時透過重新命名的「DragonForce」身分保持低調。分析程式碼後發現,DragonForce勒索軟體使用了洩漏的LOCKBIT產生器,該產生器在設計和功能方面具有許多共同特徵。

執行後,病毒會停止許多進程和服務,例如Oracle、Microsoft Office 應用程式、防毒軟體,甚至備份解決方案以加速加密。 加密的檔案被賦予一個隨機名稱,後面跟著「.AoVOpni2N」副檔名。

犯罪者還在每個加密資料夾中放​​入了名為「AoVOpni2N.README.txt」的勒索字條。它包含有關如何支付解密費用的說明。

DragonForce 勒索軟體顯示了 LOCKBIT Black 等惡意軟體建構者的製作工具洩露的情況是多麼危險。 這些類型的程式允許威脅行為者無需太多努力即可快速創建個人化勒索軟體,使國際公司更難保護自己免受這些勒索軟體的侵害。 報告稱,這種資料竊取和加密方法表明,網路攻擊者不斷發展其策略,透過勒索軟體攻擊造成最大的金錢損失,例如 DragonForce 等組織利用「雙重勒索」方法進行的勒索軟體攻擊。

Dragon Force的案例再次提醒我們,為什麼需要存在強有力的保護措施,以應對勒索軟體團體所構成的不斷變化的威脅,儘管尚不清楚誰是負責操作Dr​​agonForce 勒索軟體,但網路安全社群中的一些人已將勒索軟體與名為DragonForce Malaysia的馬來西亞駭客組織和論壇聯繫起來。

有關DragonForce的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5  2915b3f8b703eb744fc54c81f4a9c67f                   

FileHash-MD5       7bdbd180c081fa63ca94f9c22c457376         

FileHash-MD5       d54bae930b038950c2947f5397c13f84                

FileHash-SHA1       bcfac98117d9a52a3196a7bd041b49d5ff0cfb8c          

FileHash-SHA1       e10361a11f8a7f232ac3cb2125c1875a0a69a3e4

Hunters International 再度入侵台灣 跨國上市電子公司遭殃

4月16日,竣盟科技在Hunters International 的暗網揭秘網站上發現台灣某跨國電子大廠的頁面,Hunters聲稱已取得該公司約1.2TB的資料共約420萬份檔案。該受害電子大廠主要從事鍵盤、影像相關產品、電源供應器、智慧家居產品等製造及代理各品牌電腦週邊設備等。目前Hunters International 沒有公佈確切發佈資料的日期及要求的贖金金額。 最近日本光學大廠Hoya也傳出成為Hunters 的受害者,被盜約200萬份資料及勒索1千萬美元的贖金。截至目前,Hoya被盜的資料還沒有在網路上出現,攻擊者也沒有公布他們是如何滲透到 Hoya 的。然而,Hoya 與網路犯罪分子之間談判過程的螢幕截圖已在網路上洩露,突顯了緊張的局勢。Hoya事件的直接結果是,一些生產工廠和某些產品的訂購系統受到了影響。 台灣電子大廠的生產線是否也如Hoya受到直接的影響,目前仍不得而知。

Hunters International於 2023 年第三季才浮出水面上,儘管只有幾個月的歷史,該組織的發展速度仍超出了任何人的預期,但這樣一個新組織為何能如此迅速地崛起呢?答案相對簡單:Hunters似乎是 Hive 勒索軟體的繼承者。Hive曾經是世界上最危險、資金充足、足智多謀的勒索軟體組織之一,該勒索軟體於 2023 年 1 月被 FBI 攻破,停止了Hive 勒索軟體的操作。據觀察Hunters International,是一種針對 Windows 和 Linux 環境的勒索軟體,一旦勒索軟體組織完成資料洩露,就會在受害者電腦上的加密檔案中加入.LOCKED副檔名。截至目前,他們列出的全球受害者,涉及健康、汽車、製造、物流、金融、教育、食品等產業。另外,根據Bitdefender 的報告,Hive 的程式碼與 Hunters International 的程式碼之間有重大相似之處,兩者程式碼有60%重疊。

此前,2023 年 11 月中, Hunters宣稱入侵了台灣某上市生醫並已盜取約236GB的資料,當中檔案的範圍包含客戶投訴數據-資料庫備份檔(HR相關、CRM相關和其他)-財務數據(付款、報告、審計等)-營業單位數據(訂單,產品配方,實驗室測試,包裝等) – 美國子公司數據(網路設置、稽核、供應商、員工數據等)-客戶數據(訂單、混合配方、產品處方、實驗室測試、郵件等。

根據 Cyber​​news的數據,Hunters International 是上個月最活躍的勒索軟體前五名之一。Hunters在 3 月聲稱有 23 名受害者,此外,自 2023 年 10 月以來總共有 89 名受害者。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

48b0a224697ead43ca1272c34a4777662049964913f083a40a5458a4ee1f78a6

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

美國政府因俄羅斯駭客竊取微軟重要信件而保持高度戒備

美國政府表示,午夜暴雪 (Midnight Blizzard)對微軟公司電子郵件帳戶的入侵「給聯邦機構帶來了嚴重且不可接受的風險」

Photo Credit: CISA

美國網路安全與基礎設施安全局(CISA) 週四(4/2)發布了一項緊急指令(ED 24-02),敦促聯邦機構在最近微軟系統遭到入侵並導致​​電子郵件通訊被盜後,尋找入侵跡象並制定預防措施。

今年稍早曝光的攻擊被認為是俄羅斯APT駭客組織 Midnight Blizzard(又名 APT29 或 Cozy Bear)所為。上個月,微軟透露攻擊者成功存取了部分原始碼儲存庫,但指出沒有證據表明面向客戶的系統遭到破壞。

CISA表示:“駭客正在利用最初從企業電子郵件系統洩露的資訊,包括微軟客戶和微軟通過電子郵件共享的身份驗證詳細資訊,來獲得或試圖獲得對微軟客戶系統的額外訪問權限。”

該機構表示,政府實體和微軟之間的電子郵件通訊被盜帶來了嚴重的風險,敦促有關各方分析洩露的電子郵件內容,重置受損的憑證,並採取額外措施確保特權Microsoft Azure 帳戶的身份驗證工具的安全性。

目前尚不清楚有多少聯邦機構的電子郵件交換在事件發生後被洩露,但 CISA 表示所有機構都已收到通知。

該機構還敦促受影響的實體在2024 年4 月30 日之前執行網路安全影響分析,並在2024 年5 月1 日晚上11:59 之前提供狀態更新。建議受該入侵影響的其他組織聯繫各自的Microsoft 帳戶團隊,並跟進任何問題。

CISA 表示:“無論直接影響如何,強烈鼓勵所有組織採用嚴格的安全措施,包括強密碼、多重身份驗證 (MFA) 以及禁止通過不安全的渠道共享未受保護的敏感資訊。”

這項進展正值 CISA發布了名為Malware Next-Gen的新版本惡意軟體分析系統之際,該系統允許組織提交惡意軟體樣本(匿名或以其他方式)和其他可疑工件進行分析。

微軟:中國利用生成式 AI 在美國和台灣散播假訊息 鎖定台美選民

與中國有關聯的駭客組織Storm-1376利用人工智慧(AI)生成的內容和虛假的社交媒體帳號,來煽動美國、台灣和其他地方的分裂,旨在加劇社會的混亂。

根據微軟威脅分析中心(MTAC)在4 月 6 日發布名為 Same targets, new playboks: East Aisa threat actors employ unique methods的報告,在過去七個月裡,中國的認知作戰的活動加強利用人工智慧在(AI)全球散佈虛假資訊並煽動不和,報告稱,微軟觀察到了國家支持的駭客組織的顯著趨勢,這表明駭客不僅在熟悉的目標上加倍努力,而且還試圖使用更複雜的影響技術來實現他們的目標,特別是激增的生成式AI內容也被用來增強與中國有關的線上認知作戰(Influence Operations) 的活動。

AI生成的虛假內容影響台灣選舉的時間表 Photo Credit: 微軟

微軟指出,它發現1月台灣總統選舉期間更複雜細緻的AI內容遽增,包括出現一個AI創造的假音檔片段,音檔中假造的郭台銘聲音表示,他支持另一位總統後選人。這是微軟威脅情報首次詳細介紹國家級駭客組織利用人工智慧產生的內容來試圖影響國外選舉的情況。微軟進一步說,我們稱之為 Storm-1376 的駭客組織,也稱為 Spamouflage 和 Dragonbridge,在台灣選舉日,它發布了由人工智慧生成的前候選人郭台銘(他於 2023 年 11 月退出競選)在總統競選中支持另一位候選人的虛假音訊。實際上,郭台銘並沒有發表過這樣的言論。

報告指出,Storm-1376 推廣了一系列人工智慧生成的梗圖(Memes),內容涉及台灣當時的民進黨(DPP)總統候選人賴清德、其他台灣官員以及世界各地的中國異議人士。其中包括至少從 2023 年 2 月起,Storm-1376 就開始越來越多地使用人工智慧生成的電視新聞主播。微軟觀察到在台灣的選舉中國宣傳團體製作人工智慧生成的新聞廣播,並配有假主播,以影響選舉。其中一些剪輯是使用 CapCut 產生的,CapCut 是位元組跳動(Tik Tok母公司)旗下的人工智慧編輯工具。

值得注意的是,與中國政府相關的帳號也發布了人工智慧生成的媒體片段,旨在煽動美國的混亂。報告指出,人工智慧生成的一張圖片將 2023 年夏威夷火災歸咎於美國製造的氣象武器,Storm-1376 使用人工智慧生成的燃燒的沿海道路和住宅圖像使內容更加引人注目,並以至少 31 種語言發布文字。在另一個案例中,該組織針對感恩節假期期間發生的肯塔基州火車脫軌事件發起了一場社群媒體活動。這些貼文散佈了這樣的說法:美國政府可能造成了這次脫軌,並且故意隱瞞了一些事情。此外,許多中國社群媒體訊息都要求追隨者評論他們支持哪位美國總統候選人。微軟表示,這些帳號的運作可能是為了增加圍繞美國關鍵投票人口統計的情報收集。

微軟預計中國網路和認知作戰的參與者將努力瞄準今年稍後舉行的一系列關鍵選舉,包括印度、韓國和美國,利用人工智慧協助他們的活動。研究人員警告說,雖然直接影響可能很小,但隨著時間的推移,中國的能力可能會變得更加複雜。除了影響選舉之外,微軟的報告還強調了北京如何擴大與情報收集相關的駭客行動。這些行動旨在更好地了解友好國家和敵對國家的政治進程並竊取敏感技術。