標籤: OTX情資

I am extremely concerned about the breach at Treasury. Hackers accessed dozens of email accounts, and the full extent of the damage is still unknown. It's time to get serious about cybersecurity, and put an end to any plan that weakens encryption. https://t.co/fqQpFGjKVO

— Ron Wyden (@RonWyden) December 22, 2020

參議員Ron Wyden“我非常擔心財政部被入侵事件。駭客存取了數十個電子郵件帳戶，其破壞程度尚不清楚。現在該認真考慮網路安全，並結束任何削弱加密的計劃。”該Twitter發文是在美國財政部和美國國稅局（Internal Revenue Service）向委員會通報SolarWinds供應鏈攻擊事件後發布的。雖然沒有證據表明美國國稅局本身或任何納稅人的數據在這次持續的攻擊活動中遭到破壞，但這位參議員說，“財政部被駭客入侵意味相對重大。”

數十個美國國庫電子郵件帳戶被盜

“根據財政部的工作人員，該機構遭受了嚴重的入侵，在7月開始，但其深度尚不清楚”，Wyden說: “Microsoft通知財政部，發現它們有數十個email帳戶被盜。”

這位參議員還補充說，SolarWinds供應鏈攻擊的背後駭客還入侵了美國財政部部門最高官員辦公室的系統，Wyden說：“財政部仍然不知道駭客的所有入侵行動，也不知道什麼資料被盜。”

在發現SolarWinds供應鏈被入侵後，多個組織包括FireEye，Microsoft，Cisco和VMware等披露了同樣遭駭客攻擊被植入了木馬程式。

微軟還透露，這一系列持續的攻擊破壞了其40多個客戶的網路，其中80％來自美國，44％來自IT部門。

FireEye更成為了攻擊者第二階段的目標，策劃攻擊的國家級駭客組織從其系統中盜取了紅隊工具。

自攻擊以來，已知受SolarWinds Orion平臺波及的組織不斷增加，目前已確認其網路遭到破壞的美國各州和政府機構：

美國財政部

美國國家電信和信息管理局（NTIA）

美國國務院

美國國立衛生研究院（NIH）（美國衛生部的一部分）

美國國土安全部（DHS）

美國能源部（DOE）

美國國家核安全局（NNSA）

美國的某些州（未披露的特定州）

有關SolarWinds供應鏈攻擊的情資，就在竣盟科技代理的 AlienVault OTX 情資平台上：

*****竣盟科技快報歡迎轉載，但請註明出處

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

在日本知名電玩開發商卡普空和意大利酒商Campari Group相繼遭Ragnar Locker勒索軟體攻陷後，資安專家Brian Krebs發現Ragnar Locker在11月9日晚上，為了迫使受害者付贖金，發起了旨在羞辱意大利酒商Campari Group的Facebook廣告活動，如下圖：

Ragnar Locker犯罪組織在Facebook廣告活動說:“這看起來太荒謬像個大謊言，但我們確實竊取了機密數據，並且是大量的數據。” 廣告上說，Ragnar Locker團隊已盜了Campari Group的2 TB數據，並建議在美國東部時間今天（11月10日）下午6點前與其聯繫商討，以避免被公開數據。

資安專家Brian Krebs說，Facebook的廣告是由Hodson Event Entertainment支付的，Hodson Event Entertainment是由芝加哥的節目主持人Chris Hodson綁定的帳戶，Brian Krebs與Chris Hodson聯繫後，Hodson表示他的FB帳戶確實被駭，而這個未經授權的廣告活動吸引了大約7,150名Facebook用戶，產生了770次點擊，每次點擊成本為21美分。

Hodson說：“我以為我對所有帳戶都啟用了雙重驗證，但現在看來我唯一沒有設置的就是Facebook。

目前尚不清楚這是否是一個單一事件，或Ragnar Locker是否還利用不同的被駭Fb帳戶投放了廣告。Fb的發言人表示，該公司正在繼續調查此事件。

無庸置疑的是操作勒索軟體的駭客最近特別激進地向受害者施壓，要求他們付款。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

Campari Group在星期一正式承認遭勒索軟體攻擊：https://ftaonline.com/news/campari-group-lattacco-malware-ha-causato-la-crittografia-di-alcuni-dati-su-alcuni-server

#情資才是王道

*****竣盟科技快報歡迎轉載，但請註明出處

根據日本經濟新聞和共同社在22日的報導，日本鹽野義製藥稱，台北銷售辦事處的電腦在本月中旬感染了電腦病毒。日本鹽野義製藥正在研發Covid 19疫苗，但稱沒有證據顯示在日本實驗室的電腦遭入侵的跡象，還表示雖在台灣設有臨床試驗營運據點，但不涉及尖端技術和個人資料。

• 

REvil勒索軟體又稱為Sodinokibi，其背後的駭客組織在已其暗網網站上公開了鹽野義製藥台灣子公司的部分數據， 包含醫療器材進口許可證，員工的居留許可證，庫存明細等。REvil給了10天的聯繫時間並威脅稱，若不支付贖金將進一步公開資料。

由於全球的疫情仍未退減，有關Covid 19疫苗資料容易成為家級駭客或是純牟利駭客的攻擊目標。防患於未然，REvil及其他勒索軟體，主要透過

伺服器或軟體漏洞和釣魚攻擊而傳播，因此，定期更新並修復電腦的伺服器或軟體漏洞，可以減低被勒索軟體攻擊的機會。

有關REvil 的情資:

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載，但請註明出處

美國司法部9月16日宣布起訴隸屬於APT 41(或稱Winnti)駭客組織的五名中國駭客，美國指控APT 41精心策劃了對全球100多家公司的入侵，其中包括對軟體供應商，電遊公司，電訊公司等等。

美國資安公司FireEye曾在一份報告中將APT41視為「近年來中國網路間諜最廣泛活動之一」，也表示APT 41主要是替中國政府滲透全球科技、通訊和醫療保健機構等，也會為個人利益而利用勒索軟體鎖定電遊公司及攻擊加密貨幣商。APT 41小組是當今最臭名昭著，最活躍的國家資助的駭客組織之一，FireEye的報告發布後，2019年8月有兩名APT 41成員（張浩然和譚戴林）被美國司法部起訴，這是他們的起訴書：

上月2020年8月，其他三名APT 41成員（蔣立志，錢川，付強）也被起訴，美國指控這三名駭客對多家公司的入侵，據稱他們在一間由中國官員密切監督下運作的前台公司“成都404網路技術＂工作，這是他們的起訴書：

根據CrowdStrike的首席技術官兼聯合創辦人Dmitri Alperovitch透露，美國官員攔截了一些線上聊天， APT 41成員蔣立志吹噓與中國國家安全部的密切聯繫以及只要他們不攻擊中國，所享有的保護。

除這5名中國駭客外，美國司法部今天也同樣起訴另外2名馬來西亞商人，他們涉及與其中2名中國駭客共謀入侵遊戲公司網路竊取資料並試圖在暗網出售，這是他們的起訴書：

據相信Seagm是他們經營的網站，是一個出售遊戲貨幣的網站。他們同時讓APT 41非法利用, 達取竊取資料的目的。

本月初，聯邦調查局(FBI) 獲得了法院令，扣押了APT 41在過去的行動中使用過的基礎設施，數百個帳戶，伺服器，域名，C2和失效網頁等。

最新APT 41入侵全球的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f62318a419e133716eca72d

*****竣盟科技快報歡迎轉載，但請註明出處