與俄羅斯有關的駭客組織攻擊日本政府和企業

親俄駭客組織 NoName057(16) 以發動分散式阻斷服務(DDoS)攻擊而聞名

Photo Credit: Cyber Security News

繼上個月親俄羅斯駭客對台灣證交所及金控公司發動一系列攻擊之後,沒有平靜多少時日,東亞地區的網路環境又起漣漪。

上週以來,兩個親俄羅斯的駭客組織—「NoName057(16)」和「Russian Cyber Army Team」,對日本的物流、造船公司,以及政府和政治機構,發動了分散式阻斷服務(DDoS)攻擊。專家認為,這些攻擊的目的是施壓日本政府。這些攻擊發生的近因是日本國會增加國防預算,以及日本軍隊與區域盟國進行聯合軍事演習。

這兩個親俄羅斯的駭客組織自10月14日起,開始對日本的目標發動攻擊。根據網路監控公司 Netscout 的報告,超過一半的攻擊目標是物流、造船和製造業廠商。這些駭客組織,尤其是 NoName057(16),自俄羅斯入侵烏克蘭後,已經因為屢次攻擊烏克蘭以及其他歐洲的目標而聲名大噪。

而日本執政的自民黨的網站在上週二 (10/15) 遭受到 DDoS 攻擊,此次攻擊發生的時間恰逢為期 12 天的眾議院選舉競選期開始。眾議院在日本的議會制度中扮演著關鍵角色。

根據地方媒體的報導,包括地方政府網站在內的其他政府機構,也在同一天遭遇了DDoS攻擊,有些甚至造成系統斷線。

在這波最新的攻擊中,這些駭客組織將日本的工業和政府機構列為目標。Netscout 的威脅情報總監 Richard Hummel 談到,這些攻擊發生在俄羅斯外交部表達對日本軍事擴張態勢感到擔憂之後。

Hummel 說到:「日本上週剛進行完選舉,而新上任的領導人對俄羅斯持反對立場,並且明確表達支持烏克蘭,以及提供援助。日本也正在與美國軍隊進行聯合演習和導彈試射,這些都是會引起 NoName057 採取相應行動的區域性事件。」

隨著與中國和俄羅斯的地緣政治競爭加劇,日本正處於自二戰以來最大規模的軍事擴張中。2022年12月,日本公布了一個為期五年、總值3200億美元的軍事計畫,計畫中包含可直接攻擊中國、北韓和俄羅斯目標的遠程巡弋飛彈。這意味著日本已大幅移轉原先自我防衛之軍事政策,並且今年的國防支出增加了16%。

10月17日,日本副內閣官房長官青木一彥表示,政府正在著手調查這些 DDoS 攻擊事件

根據 Netscout 的分析,超過一半的攻擊是針對物流業和製造業,同時有將近三分之一則是鎖定日本的政府機構和政治組織。

該分析指出,這些俄羅斯駭客組織利用 DDoSia 殭屍網絡全部的攻擊能力,針對多個目標使用多種的攻擊向量進行攻擊。截止目前為止,已有約40個日本網域被鎖定,每個網域平均遭受到三波攻擊侵襲,而每次攻擊使用到四種不同的 DDoS 攻擊向量。

駭客活動與 DDoS 攻擊的復甦標示著最近攻擊形態上的轉變。過去,85%至90%的 DDoS 攻擊發生在遊戲領域,玩家會對其他玩家發動攻擊。然而,近幾年來,DDoS 攻擊被愈加地被用來支持某些政治目的或是獲取金錢利益,有時甚至同時兼具。

雖然 NoName057(16) 和 Russian Cyber Army Team 的行動目標明顯符合俄羅斯政府的優先考量,但這並不一定意味著他們直接受到俄羅斯軍事或情報機構的指揮。然而,這些攻擊多半針對那些對俄羅斯不友好的國家或組織,這倒是與這些駭客組織一貫的行動模式相符。

NoName057(16) 駭客組織相關的部分的入侵指標(IOCs):

09537f309659b85ad0b381b91411d073
0e1841b248ac882653a609b9f4299145
1cd8d1073dc4e1f5c7265e6658f32544
21efcdc2b49555540a61031d2d1a039b
275e1780aa1c02ca25e207be8af7e947
2e0cac71005bfb4ff3c984a1a1c24ab4
2f0cf3f278f4cbd7c871c0024bc2dd84
3bbe3f11899ed4b828f2c83644d7c04d
3e9f1400381037283004a1e982e23b1e
5850a3e79b615587a5efcba2a07cf0d8

北韓駭客部署 Linux 版 FASTCash 惡意軟體試圖從 ATM 竊取資金

最新的 FASTCash 惡意軟體攻擊事件係針對 Linux 作業系統平台

Photo Credit: The Cyber Times

北韓駭客近期透過一個新的 Linux 版本的 FASTCash 惡意軟體,針對金融機構的支付系統進行攻擊,未經授權地從 ATM 提款。這種攻擊手法是透過入侵支付交換系統,操縱交易訊息,使本應被拒絕的交易成功通過,從而實現非法提款。

FASTCash 惡意軟體自 2016 年起發現被用來攻擊 ATM 提款系統,駭客透過操控交易請求,竊取全球多國金融機構的資金。過去,這種惡意軟體主要針對 Windows 和 IBM AIX 作業系統,然而最新的攻擊事件則是鎖定 Linux 平台,特別是 Ubuntu 22.04 LTS 系統。

Linux 的 Ubuntu 22.04 (Focal Fossa) 作業系統,是採用 C++ 程式語言所開發,資料加密方式為 AES-128 CBC 加密。組態設定檔案 (configuration file) 受到硬式編碼金鑰 (hardcoded key) 的保護,以增加攻擊上的難度。

駭客攻擊的重點是金融機構的支付交換系統,這些系統負責處理 ATM 和銀行之間的交易請求。Linux 版本的FASTCash偽裝成名為「libMyFc.so」的共享物件檔案,專門針對 ISO 8583 訊息進行攻擊,ISO 8583 是支付網路中通信用的標準格式。針對特定的持卡人帳戶清單,這個惡意軟體會攔截那些由於持卡人帳戶餘額不足而被拒絕的交易訊息,將「拒絕」訊息改為「批准」訊息,以達成非法提款的目的。

這些攻擊通常依賴於高度精細的技術手段,駭客首先將惡意軟體注入支付交換伺服器中,然後攔截並操縱金融交易訊息。透過竄改訊息中的交易金額和批准代碼,攻擊者成功地欺騙銀行系統核准這些本應被拒絕的交易。

由這次攻擊中發現的新型 Linux 版本惡意軟體所示,北韓駭客正試圖擴展他們的攻擊目標至不同的作業系統平台。這不僅增加了其攻擊的靈活性,也讓網路安全專家面臨更嚴峻的挑戰,因為不同平台的安全漏洞和防護機制存在顯著的差異。

這類的攻擊事件並非針對單一地區,而是對全球多個國家的金融系統造成威脅。根據過去的經驗,FASTCash 攻擊每次都能造成數千萬美元的損失,而此次攻擊可能會影響更多國家的金融機構,尤其是那些使用 Linux 系統的機構。

國際安全機構也對這類攻擊表達了高度關注,並警告金融單位要加強對支付交換系統的安全防護。美國網路司令部(US Cyber Command)已多次發布警告,指出這些攻擊活動與北韓國家支持的駭客組織 Lazarus (又名 Hidden Cobra) 集團有關。

Linux 系統通常被認為是安全性較高的作業系統,但這次的攻擊事件顯示出,即便是 Linux 系統也無法完全地避免網路攻擊。FASTCash 的攻擊手法利用了 Linux 中的 ptrace 系統呼叫功能,將惡意軟體以共享函式庫的形式注入到支付交換伺服器的執行程序中,藉以攔截並操縱金融交易訊息。

隨著駭客工具的不斷演進,FASTCash 不僅持續更新,還不斷推出適用於不同作業系統的新版本。資安研究員 HaxRob 的報告指出,除了 Linux 版本外,駭客還在積極開發新的 Windows 版本,這顯示出駭客集團對於攻擊技術的持續投入和精進。

為了防範類似攻擊,金融機構需要加強對 ATM 和支付系統的監控,並採用更嚴格的驗證機制來確保交易安全。此外,應限制對關鍵伺服器的存取權限,並定期進行安全審核和系統更新,以降低遭受攻擊的風險。

北韓駭客透過新型 Linux 版本的 FASTCash 惡意軟體再次展示了他們在網路犯罪領域的高度威脅性。隨著他們的攻擊面向不斷地擴張,全球的金融機構和資安專家必須更加警覺,採取積極措施來防範這類高階技術性的攻擊。這次攻擊再次凸顯了網路安全的重要性,並喚起各國政府和企業機構共同應對日益嚴峻的網路安全威脅。

FASTCash 惡意軟體相關的部分的入侵指標(IOCs):

03e6496b8a0187d0265b64612ec85291
14d72896e174c0601d5d9ee4a5976ea5
46b318bbb72ee68c9d9183d78e79fb5a
4ce9d999e0656fafab9d53e4a6b306a3
518acee0cc61041709e9ebb38169bea0
7bae539b25bed652540a4792d32c7909
a97920557623296123d961f72e164513
ac057094659b056c68360eb6665e4ace
c4141ee8e9594511f528862519480d36
d1bb81f507a697548e1acbce814904de

疑似中國國家級駭客利用 Ivanti 雲端服務設備 (CSA) 中的零日漏洞發動攻擊

Ivanti Cloud Service Appliance (CSA) 的三個零日漏洞遭到駭客利用

Photo Credit: The Hacker News

Fortinet (網路安全公司) FortiGuard Labs 的研究人員警告,疑似國家支持的網路威脅者正在利用 Ivanti (IT軟體公司) 雲端服務設備 Cloud Service Appliance (CSA) 中的三個零日漏洞來進行惡意活動。

這三個漏洞分別是:

  • CVE-2024-9380 (CVSS 分數:7.2) – Ivanti CSA 5.0.2 之前版本的管理員網頁控制台中存在的作業系統指令注入漏洞。具有管理員權限的遠端身份驗證攻擊者可利用該漏洞執行遠端程式碼。
  • CVE-2024-8190 (CVSS 分數:7.2) – Ivanti CSA 4.6 Patch 518 及之前版本中的指令注入漏洞。具備管理員權限的遠端身份驗證攻擊者可利用此漏洞進行遠端程式碼的執行。
  • CVE-2024-8963 (CVSS 分數:9.4) – Ivanti CSA 4.6 Patch 519 之前的版本存在路徑遍歷 (path traversal) 漏洞。未經身份驗證的遠端攻擊者可利用此漏洞存取部分功能。

而其中最主要的漏洞是 CVE-2024-8190,它允許遠端執行程式碼。然而,利用該漏洞需要更高的權限,攻擊者將此漏洞與其他 CSA 漏洞(例如 CVE-2024-8963、CVE-2024-9379 和 CVE-2024-9380)聯合起來利用,以達到認證所需。

根據網路安全公司 Fortinet 的分析,攻擊者利用這些 CSA 零日漏洞入侵系統,然後進行橫向移動、部署 web shell (一種網頁惡意程式)、蒐集資訊、進行掃描和暴力破解攻擊 (Brute-force attack),並利用被駭的 Ivanti 設備來代理流量 (proxying traffic)。

Fortinet 的公告指出:「我們觀察到有高階網路攻擊者利用這三個影響 Ivanti CSA 的漏洞。在我們著手調查時,這其中的兩個漏洞還尚未被公開。此次事件顯示了網路威脅者如何串聯多個零日漏洞以取得目標網路的初始存取權。」

網路攻擊者利用零日漏洞獲取未經身份驗證的 CSA 存取權,列舉 (enumerate) CSA 設備中的用戶,並試圖取得他們的憑證。一旦攻擊者取得了 gsbadmin 和 admin 憑證後,便可利用 /gsb/reports.php 中的指令注入漏洞,並且部署一種web shell「help.php」。

2024 年 9 月 10 日,Ivanti 針對 CVE-2024-8190 發布了通報,遭駭網路中的威脅攻擊者「修補」了在 DateTimeTab.php 和 reports.php 中被利用的指令注入漏洞,其原因可能是為了防範其他入侵者也利用這些漏洞。攻擊者將參數 TW_ID 和 TIMEZONE 中的分號替換為底線,致使這些漏洞無效。此技術已經過測試證實,由此可以看出網路攻擊者試圖獨佔侵入環境的存取權。

Fortinet 的研究人員在進行記憶體分析時發現,網路威脅者使用了一種名為 ReverseSocks5 的代理工具,透過 CSA 設備發動內部網路攻擊。2024 年 9 月 7 日的日誌顯示,攻擊者試圖在受感染的系統上部署 Linux 核心模組 rootkit (偽裝成驅動程式載入到作業系統核心中的惡意軟體),可能是為了即使設備恢復出廠設置,依舊能夠維持持續性的存取權限。這部分也與之前 Ivanti CSA 設備遭入侵的報告內容一致。

報告總結道:「我們觀察到有高階的網路攻擊者利用並串聯零日漏洞,藉以建立進軍目標網路的前哨站。更多關於 Ivanti CSA 零日攻擊的詳情可參閱我們的威脅信號報告https://www.fortiguard.com/threat-signal-report/5556。」

Fortinet 也提到,這次攻擊可能是由某個國家支持的駭客組織所發動的,目前尚未確認具體的威脅組織身份。然而,有研究人員指出,Fortinet 公布的一個作為入侵指標 (IoC) 的 IP,先前曾被歸咎於 UNC4841,這是一個與中國有關聯的駭客組織,該組織在 2023 年末被發現到他們利用網路設備廠商 Barracuda 產品的零日漏洞進行活動。

眾所周知,中國支持的駭客組織會在其行動中利用 Ivanti 產品的零日漏洞。另外值得注意的是,Fortinet 的最新報告中提到,部分觀察到的惡意活動與之前中國有關聯的 Ivanti 網路攻擊事件非常類似。

Ivanti CSA零日漏洞相關的部分的入侵指標(IOCs):

64efc1aad330ea9d98c0c705e16cd4b3af7e74f8

beb723a5f20a1a2c4375f9aa250d968d55155689

6edd7b3123de985846a805931ca8ee5f6f7ed7b160144aa0e066967bc7c0423a

8d016d02f8fbe25dce76481a90dd0b48630ce9e74e8c31ba007cf133e48b8526

d57a2cac394a778e19ce9b926f2e0a71936510798f30d20f207f2a49b49ce7b1

CISA 警告 Fortinet 關鍵漏洞在攻擊中被利用,Palo Alto 及 Cisco 也揭露重大安全性漏洞

Fortinet 的遠端程式執行 (RCE) 漏洞被網路攻擊者利用

Photo Credit: The Hacker News

10/9 (週三) 美國網路安全暨基礎設施安全局 CISA 發出公告,駭客正在積極利用 FortiOS 作業系統中一個嚴重的遠端程式執行 (RCE) 漏洞。

這個漏洞(CVE-2024-23113)是由於 fgfmd 常駐程式接受了外部控制的格式字串作為引數 (argument) 所引發,讓未經授權的網路威脅者可以在未作程式修補的設備上執行指令或任意程式碼 (arbitrary code)。這類攻擊的複雜性較低,且不需要與使用者互動。

CVE-2024-23113 漏洞影響到 FortiOS 7.0 及其後的版本、FortiPAM 1.0 及更高階版本、FortiProxy 7.0 及以上版本,還有 FortiWeb 7.4 版本。

Fortinet (美國網路安全公司) 於今年二月份揭露並修補了這個安全漏洞,當時建議網路管理者移除所有介面中對 fgfmd 常駐程式的存取,來作為一種緩解措施,藉以阻擋潛在的攻擊行為。

該公司也建議道,「另外需注意的是,僅允許特定 IP 與 FGFM 連接的區域性策略雖然可以減少攻擊層面,不過還是無法完全防止這個漏洞從該 IP 被利用。因此,這僅能作為一種緩解措施,並不是完備的解決方案。」

儘管 Fortinet 尚未更新其二月的公告並確認 CVE-2024-23113 漏洞遭到利用,CISA 已於10/ 9 (週三) 將此漏洞新增到「已知被利用漏洞目錄」之中。

美國聯邦機構現在也被要求在三週內(即 10 月 30 日之前)確保其網路中的 FortiOS 設備安全無虞,以防範這些持續性的攻擊,這是根據 2021 年 11 月發佈的強制命令 (BOD 22-01) 所要求的。

CISA 警告道,「這類型的漏洞經常是惡意網絡攻擊者的攻擊向量 (attack vector),並且對聯邦機構造成重大風險。」

荷蘭軍事情報和安全局 (MIVD) 在今年 6 月警告稱,中國駭客在 2022 年至 2023 年期間利用另一個 FortiOS 嚴重的 RCE 漏洞 (CVE-2022-42475) 發動攻擊,植入惡意軟體並且感染了至少 20,000 台 FortiGate 網絡安全設備。

Palo Alto Networks 揭露 Expedition 中的嚴重漏洞

此外,網路安全公司 Palo Alto Networks 也公佈了其 Expedition 軟體中的多個安全漏洞,這些漏洞可以允許攻擊者讀取資料庫內容與任意檔案 (arbitrary files),並將任意檔案寫入系統的臨時儲存位置。

Palo Alto Networks 在週三 (10/ 9) 的警告中表示,「這些漏洞可能洩露包括使用者名稱、明文密碼、裝置組態和 PAN-OS 防火牆的 API 金鑰等資訊。」

影響 Expedition 1.2.96 之前所有版本的漏洞包括有:CVE-2024-9463(CVSS 評分:9.9)、CVE-2024-9464(CVSS 評分:9.3)、CVE-2024-9465(CVSS 評分:9.2)、CVE-2024-9466(CVSS 評分:8.2)、CVE-2024-9467(CVSS 評分:7.0)。

Cisco 修復 Nexus Dashboard Fabric Controller 漏洞

上週,Cisco (思科) 釋出了修補程式,修復 Nexus Dashboard Fabric Controller (NDFC) 網路管理平台之中一個嚴重的指令執行漏洞。該漏洞是由於不當的使用者授權和指令引數的驗證不足所導致。

該漏洞編號為 CVE-2024-20432,CVSS 評分為 9.9,它允許通過驗證的低權限遠端攻擊者對受影響的設備進行指令注入攻擊。此漏洞已在 NDFC 12.2.2 版本中修復。需要注意的是,11.5 及更早的版本並未受到該漏洞影響。

Fortinet 安全性漏洞相關的部分的入侵指標(IOCs):

0f76936e237bd87dfa2378106099a673
1079d416e093ba40aa9e95a4c2a5b61f
129ba90886c5f5eb0c81d901ad10c622
1b7aee68f384e252286559abc32e6dd1
1d89b48548ea1ddf0337741ebdb89d92
2716c60c28cf7f7568f55ac33313468b
2bade2a5ec166d3a226761f78711ce2f
2c28ec2d541f555b2838099ca849f965
381b7a2a6d581e3482c829bfb542a7de
3a8a60416b7b0e1aa5d17eefb0a45a16

中國駭客 Salt Typhoon 攻擊美國電信業者,目標為犯罪調查使用的竊聽系統

中國關聯的駭客組織 Salt Typhoon 其主要目標是針對大型電信公司

Photo Credit: Shift Delete

根據《華爾街日報》報導,包括 Verizon、AT&T 和 Lumen Technologies 在內的多家美國電信公司日前遭遇到網路攻擊,幕後黑手是名為 Salt Typhoon (鹽颱風) 的中國駭客組織。

這次攻擊行動的背後目的很可能是為了蒐集情資,因為駭客很可能已經存取了美國聯邦政府所使用的法院授權的網路竊聽系統。

Salt Typhoon駭客組織是一個與中國有密切關係的進階持續威脅 ( APT ),已滲透進多家大型寬頻供應商。根據熟悉此次事件的消息人士,Salt Typhoon 針對這些電信網路用以竊取機敏資訊,其中可能包括有關政府竊聽行動的資料。這種竊聽系統對於執法部門監控可疑人士以及打擊犯罪組織至為重要。

《華爾街日報》報導指出,這次攻擊事件是在最近幾週發現的,美國政府和私營單位的資安專家正著手進行調查。瞭解入侵事件相關資訊的人士透露,這次攻擊的影響,包括目前觀察到和已洩漏的資料數量以及類型,仍在審慎評估當中。

自 2019 年以來 Salt Typhoon 開始進行活動,他們被認為是一個縝密且熟練的駭客組織,主要目標是針對東南亞地區的政府單位和電信公司。

該駭客組織通常利用系統漏洞來獲取對目標網路的初始存取權限,例如像是Microsoft Exchange Server 中的ProxyLogon 漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065)。

早前肇因於 Salt Typhoon/ Ghost Emperor 的網路攻擊中,駭客組織使用的手段包括了一種名為SparrowDoor的訂製型後門程式、用來提取身份驗證資料的客制化 Mimikatz (漏洞檢測工具) 工具,以及 Windows kernel-mode rootkit (載入到作業系統核心中的惡意軟體) Demodex

近年來中國 APT 駭客組織有越來越多的網路間諜活動是針對美國和歐洲地區的網路設施和 ISP (網路服務供應商) 來進行的。

今年 8 月,Lumen 黑蓮花實驗室的資安研究人員透露,被稱為「Volt Typhoon」的中國駭客組織利用 Versa Director (網路服務管理平臺) 中的零日漏洞以竊取身份驗證資訊並駭入企業網路。在這些攻擊中,駭客侵入了美國和印度的多個 ISP 以及 MSP (託管服務供應商)。不過一般相信這系列事件與最新的攻擊事件並無關聯。

雖然這些攻擊是歸咎於不同的中國駭客組織,不過可以相信他們的運作是在同一張保護網之下,而且有共享基礎設施以及駭客工具。

Salt Typhoon 的一系列行動顯示出美國和其他國家的重要基礎設施所面臨的持續性風險,更重要的是如何改善網路安全防護以因應愈加縝密複雜的網路攻擊行動。

Salt Typhoon 的崛起以及對 AT&T 和 Verizon 等電信巨頭進行滲透的事件尚未停歇,伴隨著更多細節的浮現,產業領導者和政府必須思考對策,主動加強防禦、共享威脅情資並共同攜手合作,在駭客出手之前預先做好準備。

企業或電信網路服務廠商面對駭客組織的網路攻擊,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的作業系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

國際執法行動聯合逮捕 LockBit 勒索軟體組織和 Evil Corp 成員

Evil Corp 網路犯罪組織是屬於 Lockbit 勒索軟體組織的附屬團體

Photo Credit: NCA (National Crime Agency)

LockBit是世界上最多產的勒索軟體組織,其網站於今年2月19日被查封,這是國際執法行動的一部分,該行動涉及英國國家犯罪局(National Crime Agency)、聯邦調查局(FBI)、歐洲刑警組織(Europol)和幾個國際警察機構。

英國國家犯罪局與聯邦調查局 (FBI) 以及名為克諾司行動(Cronos Operation)的國際執法工作小組密切合作,達到良好成效,LockBit 的服務也因為此次國際執法行動而中斷。

時至今年5月7日,執法單位宣布,他們已經識別、制裁並起訴了LockBit的幕後主使Dmitry Yuryevich Khoroshev。由英國國家犯罪局(National Crime Agency-NCA)領導的執法聯盟宣布,31歲的俄羅斯公民Dmitry Yuryevich Khoroshev是暱稱“LockBitSupp”的幕後黑手,他也是LockBit勒索軟體的管理員和開發者。

此次的行動是 NCA、FBI 和組成克諾司行動(Cronos Operation) 的國際執法工作小組對 LockBit 組織進行全面及持續性調查的重大成功。

近日國際聯合執法行動又有最新成果,「歐洲刑警組織主導一系列針對 LockBit 勒索軟體組織的最新行動,參與行動的包括 12 個國家和歐洲司法單位,最終行動成果為四名嫌犯遭到逮捕並且扣押了 LockBit 集團重要的基礎設施包括伺服器等設備。」歐洲刑警組織發布的新聞稿稱,「因應法國當局的要求,逮捕了一名涉嫌為 LockBit 開發者的人員,而英國當局則逮捕了兩名參與 LockBit 附屬單位活動的人。」

這次的逮捕和制裁行動是代號為「克諾斯行動」的第三階段執法行動的一部分,該行動是由來自 12 個國家的執法機構、歐洲刑警組織和歐洲司法單位聯合執行。聯合行動的目標旨在徹底瓦解 LockBit 勒索軟體集團。

執法當局將一位名叫Aleksandr Ryzhenkov(又名Beverley、Corbyn_Dallas、G、Guester 和Kotosel)的俄羅斯公民列為Evil Corp (邪惡公司) 網路犯罪組織的高階成員之一,同時也將他歸類為LockBit 組織的隸屬成員。此外也宣布了針對與此網路犯罪集團有關的七名個人和兩個組織團體施予制裁。

執法當局官員表示:「Ryzhenkov 使用隸屬名稱 Beverley,創建了超過 60 個 LockBit 系列勒索軟體,並嘗試向受害機構勒索至少達 1 億美元的贖金。」 「雷任科夫 (Ryzhenkov) 也與化名 mx1r 有所關聯,並與 UNC2165(Evil Corp隸屬組織的變體)關係密切。」

英國也制裁了 15 名俄羅斯公民,原因是他們與邪惡公司有密切往來,同時美國當局制裁了6名俄羅斯公民,而澳洲方面也制裁了兩名俄國公民。

LockBit 集團自 2019 年以來一直十分活躍,受害名單非常多,其中包括美國銀行英國皇家郵政等大型機構及組織。這幾年來,執法部門逮捕了多名參與該勒索軟體組織行動的人,其中包括阿圖爾·松加托夫 (Artur Sungatov)德米特里·霍羅舍夫 (Dmitry Khoroshev)米哈伊爾·馬特維耶夫 (Mikhail Matveev)

公家單位或是企業廠商在面對駭客組織的網路攻擊時,竣盟科技 建議採取多層次的防備措施來減低風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

夏威夷社區診所揭露因 Lockbit 勒索軟體攻擊而導致資料外洩

Lockbit 勒索軟體組織針對多家醫療機構發動網路攻擊

Photo Credit: CYWARE

Mālama I Ke Ola 健康中心,夏威夷毛伊島上的一家社區型診所,是屬於非營利的醫療機構。他們於上週通知美國當局,今年早前遭受到了網路攻擊因而導致資料外洩,此事件的影響人數超過了 12 萬人。

當地媒體於今年5 月的報導提到 ,毛伊島的醫療機構在經歷了「重大的IT中斷」後,花了兩週以上的時間才重啟營運。 

到了6 月,惡名昭彰的 LockBit 勒索軟體組織對外聲稱,他們是毛伊島社區診所網路攻擊事件的幕後主導者。

毛伊島社區診所,也稱為 Mālama I Ke Ola 健康中心,是一家致力於為毛伊島社區提供服務的非營利醫療機構。這個診所提供的服務範圍,包括基礎醫療、牙科保健和心理健康支援。他們的營運方針是提供無遠弗屆的醫療保健,無論病患的經濟能力如何,都能在教育、預防和宣導上有所成效。

Mālama 健康中心與外部資安專業人員一起調查了這一次的網路安全事件,截至2024 年8 月7 日調查確定,在2024 年5 月4 日至2024 年5 月7 日這段期間,個人資料可能遭到未經授權的存取及盜竊。

毛伊島社區診所日前揭露了LockBit 勒索軟體攻擊引發的資料外洩事件,共計有 123,882 受到影響

外洩的資訊包括姓名、社會安全號碼、出生日期、駕照號碼、護照號碼、金融卡及支付卡資訊、登入資訊以及其他的機敏醫療資訊。 

自 2024 年 9 月 26 日開始,Mālama 健康中心通知受到影響的個人,另外針對那些社會安全號碼可能暴露的人,也提供了免費的信用監控服務。

「2024 年 5 月 7 日,Mālama 健康中心經歷了一場網路安全事件,也因而影響了我們的網路連線。」致緬因州總檢察長的資料外洩通知信提及, 「在得知此事件發生之後,我們立即展開快速、徹底的調查,同時也通知了執法部門。我們一直與經驗豐富的外部資安專業人員緊密合作,經過嚴密的取證調查和全面的文件審查,我們於2024 年8 月7 日調查確定,您的個人資料可能於2024 年5 月4 日至2024 年5 月7 日這段期間遭到未經授權的存取及外洩。」

目前尚不確定LockBit 勒索軟體組織是否在其洩露網站上公布了這些被盜資訊。即便勒索軟體組織沒有這樣做,也可以十分肯定網絡犯罪分子定會試圖運用這些機敏資訊並從中獲利,儘管健康中心聲稱目前並沒有遭到不當使用的證據。

今年7 月,Lockbit 勒索軟體組織侵入了伊利諾伊州費爾菲德紀念醫院 (Fairfield Memorial Hospital)。不幸的是,該勒索軟體組織聲稱同時期其他醫院也遭遇到他們的駭客攻擊。另外他們宣稱梅里曼國內危機中心 (Merryman House Domestic Crisis Center) 和佛羅裡達州衛生部所發生的駭客攻擊也都是由他們主導的。

針對醫院的網路攻擊是非常危險的,儘管主要勒索軟體組織對其隸屬團體加諸限令以避免他們針對醫院,但最近仍有許多類似事件成為頭條新聞。

LockBit 勒索軟體相關的部分的入侵指標(IOCs):

54d67710488b0e50ae015dbcadf9fb24
5a07502eb5e854aa8bd883453fc9decb
9c15aac2f31dd9e1e8d64cf8f04ea5d6
be8bf725892ddd7a200d0a1906b9387f
1f5638cf71fac8d51253360b4537b074292e70ff
28d09d35d3e5a8490ef4a4ebaa36262fa411afba
582a24a72b29e70f2de26a8d217492c7a6b983ff
78f3d5588a75efbe6a272c1f1a789d20e0ccd0c3
aaeeb05a24f6e7ef77d46ba71794490afbc414ab
166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980

中國 Salt Typhoon 駭客組織對美國網路服務供應商發動攻擊

中國支持的駭客組織其主要目標是針對電信公司、網路服務供應商和其他關鍵基礎設施產業

Photo Credit: Seeking Alpha

根據《華爾街日報》週三 (9/25) 報導,背後由北京支持的國家級駭客組織闖入了幾家美國網路服務供應商(ISP),這是特別精心策劃的網路間諜行動的一部分,其目的是為了蒐集機敏資訊。

而這個行動的主使者則是歸咎於近期 Microsoft 所追蹤的一個駭客組織 Salt Typhoon(也被稱為FamousSparrow和 GhostEmperor)。

《華爾街日報》 9 月 25 日引述了「通曉內情人士」的說法,中國資助的國家級駭客組織在此次行動中成功地針對數家有線電視和寬頻服務業者發動攻擊。

研究人員指出,目前尚不清楚其他的事件細節,然而鹽颱風 (Salt Typhoon) 的行動也凸顯出了中國在現階段地緣政治現實面上的優先考量點。

舉例來說,先在服務供應商網路之中佔據有利位置,便可為後續進軍聯邦政府、執法部門、製造業廠商、軍事承包商和其他Fortune 100 (財富100強) 公司等高價值標的提供有利的偵察。 

但擔憂還不僅僅於此,鑑於中國渴望控制台灣和周邊區域的其他資產,這場行動很可能也含有軍事方面的考量和意圖。

AD(Active Directory) 安全防護公司Semperis 技術主管警告稱:「根據近期中國支持的網路攻擊活動紀錄以及 網路安全暨基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 的警告,中國已從純粹的監視活動晉升到整備足夠的攻擊能力用以侵擾美國重要的民用和軍事基礎設施。」 「這些活動的目的可能包括阻止美國的干預,以及積極地延遲或削弱美國對中國活動的回應處置。」

這次事件也代表了陸續以來中國支持的一系列攻擊行動中的最新實例,這些行動的目標主要是針對電信公司、網路服務供應商和其他關鍵基礎設施產業。

這些針對通訊產業基礎設施的持續性攻擊行為應該會引起電信公司和服務提供業者的警覺,促使廠商和業者們加強他們的資安防禦措施。

資安服務平台NetRise 首席安全策略專家指出,除了網路釣魚和針對員工的社交工程之外,使用核心網路設備的韌體以及供應鏈攻擊都可能成為針對 ISP (網路服務供應商) 的攻擊管道。

他同時談到,「ISP 的盲點就是使設備能夠運行的韌體。大多數韌體或多或少都有包含一些不安全或是不嚴謹的程式碼,一旦被發現,很容易遭到駭客的利用。」

「另一個發動攻擊的媒介則是供應鏈。例如,如果路由器或交換器中的乙太網路控制器是由中國公司所提供的,在某些情況下,惡意程式碼或後門程式有可能會跟那個乙太網路控制器作整合,進而使駭客能夠輕鬆地存取那些重要的網路設備。」

企業或網路服務廠商面對駭客組織的網路攻擊,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

中國APT組織Earth Baxia利用GeoServer漏洞攻擊亞太地區國家

中國駭客組織Earth Baxia的攻擊目標擴及菲律賓、韓國、越南、台灣和泰國等地

Photo Credit: SOC Prime

截至2024年,中國支持的駭客組織已躋身國家支持的網路威脅前段班。經過上半年,資安研究人員發現了一系列由APT40Velvet AntUNC3886Mustang Panda等駭客組織主導的長期網路間諜活動和破壞性行動。這些組織越來越依賴網路釣魚攻擊和 CVE 漏洞來滲透目標網絡,對全球網路安全形成越來越大的威脅。

最近趨勢科技研究人員報告揭露,一個與中國有關的 APT 組織「地球巴夏」(Earth Baxia) 已經針對台灣的一個政府機構以​​及亞太地區 (APAC) 的其他國家發動了網路攻擊。

該駭客組織使用魚叉式網路釣魚電子郵件並利用最近更新的 GeoServer 漏洞CVE-2024-36401。GeoServer 是一個開源伺服器,它允許使用者共享和編輯地理空間的資料。

研究人員表示:「根據收集到的網路釣魚電子郵件、誘餌文件以及對事件的調查,攻擊目標主要為菲律賓、韓國、越南、台灣和泰國等地的政府機構、電信公司和能源產業。」

2024年7 月,研究人員發現到針對台灣某政府組織和其他亞太地區國家的機構的可疑活動。網路攻擊者在遭侵入的系統上部署了定製的 Cobalt Strike (一種滲透測試工具) 元件,並安裝了一支稱為 EAGLEDOOR 的新型後門程式,這支後門程式並且支援多種通訊協定。

經調查,資安專家發現有多台伺服器是託管於阿里雲服務上或是位於香港地區的。而有一些行動中使用的惡意軟體則是從中國上傳到 VirusTotal (免費線上掃毒網站) 的。

分析其多階段感染鏈的流程,發現到是利用兩種不同的技術,包括魚叉式網路釣魚電子郵件和利用 GeoServer 的缺陷(CVE-2024-36401,CVSS 評分:9.8),最終目的是送出Cobalt Strike 和先前未知的代號EAGLEDOOR 的後門程式,該程式允許資訊收集和負載 (payload) 傳遞。

該APT 組織仰賴 GrimResource 和 AppDomainManager 注入攻擊 (用來載入執行惡意程式的技術) 來部署額外的負載,其目的是降低受害者的警覺心並且避免被偵測到。

此外,日本網路安全公司 NTT Security Holdings 最近詳細介紹了一個與APT41有關聯的駭客集團,據稱該集團使用了相同的兩種技術來針對台灣、菲律賓軍方以及越南的能源機構。

研究人員指出:「地球巴夏 (Earth Baxia) 的據點很可能位於中國,他們針對多個亞太地區國家的政府和能源部門發動了一系列精細設計的攻擊行動。」

「他們利用 GeoServer 漏洞、魚叉式網路釣魚和客製化惡意軟體(Cobalt Strike 和 EAGLEDOOR)等先進技術來入侵系統和外洩資料。該APT 組織利用公有雲服務來託管惡意檔案以及 EAGLEDOOR 的支援多重通訊協定特性,再再凸顯了他們行動的複雜性以及面對不同場域的應變能力。」

EAGLEDOOR後門程式共支援四種,包括透過 DNS、HTTP、TCP 和 Telegram 來與 C2 伺服器通訊的方法。前三個通訊協定其主要用途為傳送受害者狀態,不過核心功能則是透過 Telegram Bot API (網路機器人應用程式介面) 來執行的,用以上傳和下載檔案,以及執行額外的負載。而獲取到的資料則是透過curl.exe 執行程式來洩漏出去。

Earth Baxia組織相關的部分的入侵指標(IOCs):

9f376a334f9362c6c316a56e2ffd4971
e51f2ea5a877e3638457e01bf46a20e1
9833566856f924e4a60e4dd6a06bf9859061f4be
d9b814f53e82f686d84647b7d390804b331f1583
dce0a4c008ea7c02d768bc7fd5a910e79781f925
e2b0c45beadff54771a0ad581670a10e76dc4cf1
04b336c3bcfe027436f36dfc73a173c37c66288c7160651b11561b39ce2cd25e
061bcd5b34c7412c46a3acd100167336685a467d2cbcd1c67d183b90d0bf8de7
1c13e6b1f57de9aa10441f63f076b7b6bd6e73d180e70e6148b3e551260e31ee
1c26d79a841fdca70e50af712f4072fea2de7faf5875390a2ad6d29a43480458

新興勒索軟體組織 Orca 崛起,瞄準台灣企業廠商

勒索軟體組織 Orca 近日於暗網上聲稱對一家台灣製造業廠商發動攻擊

Photo Credit: Dark Web

竣盟科技 近日於勒索軟體揭秘網站發現,有一新興勒索軟體 Orca (虎鯨) 浮現檯面,並對台灣某金屬製造廠商發動網路攻擊。Orca是一個最新出現的勒索軟體,而台灣企業隨即成為其攻擊目標,加上近來陸續有駭客組織對台灣機構或企業發動攻擊的事件,這顯示出台灣企業普遍存在資安防護不足的情況,使其儼然成為駭客集團發動攻擊的容易目標。駭客聲稱,該受害公司被駭資料共計有18 GB,其中包括5張圖片及45,319個檔案。

Photo Credit: Dark Web

據了解,Orca 勒索軟體組織的主要動機是財務因素,他們的信念是盡量避免對公司企業造成不必要的傷害。該組織於聲明中表示,「我們在追求財務收穫的同時也考量到道德的重要性,並遵守針對政府機構、醫院或非營利組織的嚴格政策,因為這些領域對社會至關重要。」

「我們的行動模式是以促進對話及尋求解決方案而非製造混亂和破壞。我們相信,創造一個企業可以參與進來,並且能有建設性地解決問題的環境,這樣可以為各方帶來更好的結果。這種模式使我們能夠以強調溝通協調及共同理解的方式來與企業組織互動,以促進經濟活動,同時盡量減少對社會基本功能運作的干擾。」

「在追求這些目標的過程中,我們致力於維持專業水準,優先考慮溝通和針對性互動的透明度,進而加強商業活動和網路安全可以共存的架構,而不會導致不必要的衝突或傷害。」

相較於之前先後攻擊台灣數家企業的勒索軟體組織RansomHub,這次發動攻擊的Orca 勒索軟體組織,知名度鮮為人知,相關細節資訊包括使用的軟體工具及攻擊手法等亦未被揭露,但仍不可掉以輕心,駭客集團或是勒索軟體組織的行動通常具有計畫性及持續性,需持續觀察並謹慎防備。

Photo Credit: Corporate Website

週四上午 竣盟科技 嘗試進入該受害企業的網站,但是該網站似乎因受到攻擊而暫時癱瘓,只出現了「無法連上這個網站」的訊息視窗。

針對這次事件的後續狀況以及進一步細節,竣盟科技也將密切關注其發展並做更詳實的資安訊息分享。

企業面對勒索軟體組織的網路攻擊,竣盟科技建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制勒索軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

Orca 勒索軟體相關的部分的入侵指標(IOCs):

b8845a76e3942ff4d20ba4660ae926bb
eb90f945087c270a2ecc11753180ba4ecc270696
8ab79654152668be2c10be9cb17d941685e7733628dd7d38d6979516a75682ee