標籤: OTX情資

Orange集團承認他們遭受了勒索軟體的攻擊，暴露了其20家企業客戶的數據。

2020年7月15日，Nefilim 背後的勒索軟體的駭客已將Orange的資料放在其暗網揭秘網站上,並表示他們是通過”Orange Business Solutions”部門入侵Orange的。

Orange表示，Orange Business Solution部門在2020年7月4日（星期六）至7月5日晚上遭受到針對性的攻擊,致使Nefilim 的幕後駭手能訪問20家Orange Pro / SME的客戶數據。

值得一提的是, Orange的雲端託管虛擬工作站平台”Le Forfait Informatique”其平台使用者為企業客戶，負責託管工作站平台的IT支援正是Orange Business Services部門。

由於Nefilim 在揭秘網站上發布了一個名為“ Orange_leak_part1.rar” 339MB的存檔文件，並聲稱文件在入侵攻擊過程中從Orange竊取的數據。資安研究人員Ransom Leaks 分析，此存檔包含電子郵件，飛機示意圖和法國飛機製造商ATR Aircraft的文件。由此數據可表明ATR是Orange的Le Forfait Informatique平台的客戶，並且在此次攻擊過程中受牽連致使資料被盜，但ATR Aircraft沒有證實它們受勒索軟體攻擊。現在越來越多勒索軟體的組織公開這些被盜文件作為威脅，透過這種手段來迫使受害者支付贖金。Orange能透明化公開證實被駭是一件好事，但他們的客戶不見了得對此認同

Orange是一家法國電信公司，前身為法國電信France Télécom S.A,為企業提供消費者通信服務和商業服務。  Orange擁有2.66億客戶和148,000名員工，是歐洲第四大電信運營商。

AlienVault OTX情資平台有針對Nefilim 勒索軟體的相關情資:https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

另外Orange曾於2014被兩度被駭, 導致一百三十萬客戶敏感資訊外洩: https://thehackernews.com/2014/05/france-telecom-orange-hacked-again.html

參考來源: https://www.bleepingcomputer.com/news/security/orange-confirms-ransomware-attack-exposing-business-customers-data/

*****竣盟科技快報歡迎轉載，但請註明出處。

竣盟科技資安快報: 台灣的防疫成功, 衞生福利部疾病管制署功不可沒! 也因為台灣的成功, 引來了駭客虎視眈眈並進行攻擊, 以竊取機密情報, 一個神秘的駭客組織 ” V怪客” 被發現一直在冒充台灣疾病管制署 CDC，鎖定盜取某些台灣用戶的敏感數據, 根據外媒 Cyberscoop 報導, V 怪客(Vendetta)駭客組織特別挑選了攻擊對象–其中可能包括向台灣疾病管制中心的員工發出精心編寫的惡意釣魚郵件, 這起資安事件是由西班牙電信 Telefonica 資安部門的 ElevenPaths 所發現並披露的。 在 5 月初時，駭客向某些台灣用戶發送了魚叉式網路釣魚電子郵件，敦促他們進行新型冠狀病毒測試，電子郵件附帶了一個名為 Nanocore RAT 的遠端駭客工具，能夠竊取登錄憑證並劫持網路攝影機，使駭客能控制和盜竊受害者系統中的資料。ElevenPaths 的威脅情安分析師 MiguelÁngel de CastroSimón 說: 由工具的類型和選擇的目標, 顯示了駭客的入侵是在尋找特定情報，而且主要是政府方面的情報。”

V 怪客組織是網路犯罪領域中一個相對較新的參與者，僅在最近兩個月才出現, 該組織活動的最初跡象於今年 4 月間發現。研究人員說，他們擅長以多種語言冒充機構官員, V 怪客是一個多產的組織，主要以 Covid-19 相關的惡意釣魚電子郵件活動作為攻擊手段。在澳洲，墨西哥，埃及，羅馬尼亞，奧地利和中國已經觀察到該組織的攻擊，目標是盜取商業和政府部門組織的敏感資料與情報。

研究人員說 V 怪客組織的武器庫包括特制工具以及商業軟體, 其中包括 Nanocore RAT，AgentTesla，Remcos 和 Formbook，ReZer0，Azolurt，Warzone RAT (Ave Maria) 或Hawkeye。V 怪客還使用不同的手動打包器例如 ConfuserEx，Eazfuscator，IntelliLock 或 iLProtector。

另外當被問及台灣有多少用戶受到攻擊時， CastroSimón 說：“這類組織不會進行大規模攻擊，但是[有選擇性]，因此[受害者]的數量不會太多，CastroSimón 再説道，目前尚不清楚網路釣魚是否成功。

參考來源:

如果您想知道關於 V 怪客的相關情資 和 MITRE ATT&CK 的攻擊手法, 請直接點向以下連結：

https://otx.alienvault.com/pulse/5ebeb6c93487c96715a4d504

竣盟科技快報歡迎轉載，但請註明出處

奇虎360和百度 , 曾經因為3B大戰對薄公堂, 現在兩間中國的網路巨頭聯手合作, 共同破壞針對中國的殭屍網路, 是怎樣的惡意攻擊使得不對盤的雙方攜手合作呢? 人客啊, 快來看下去….

你可曾聽過 DoubleGuns惡意軟體? 一個專門獨家針對中國的惡意軟體,在過去的三年中，DoubleGuns木馬已成為中國最大的惡意軟體殭屍網路之一。

DoubleGuns是一種專門針對中文Windows惡意軟體, 主要通過在中國網站上共享的誘餌應用程式進行分發，多數是以在中國社交網路和遊戲論壇上提供的盜版遊戲作為傳播, 並通過VBR和MBR rootkit感染用戶PC。這是為了安裝各種惡意驅動程式，以最終竊取用戶的登錄憑證。

DoubleGuns還充當廣告軟體和垃圾郵件發送模組, 它在用戶設備上插入廣告，並劫持QQ帳戶，以通過私人消息將廣告傳播給受害者的朋友

奇虎360 上週在一篇網誌說，由於DoubleGuns殭屍網路的規模已經擴大到不容忽視, 它最近與百度進行聯合行動，破壞了DoubleGuns殭屍網路的運作，關閉殭屍網路的某些後端基礎架構，其中大部分都在使用百度的Tieba圖像託管服務, 在過去三年來，DoubleGuns一直從Tieba下載圖像。這些圖像包含秘密代碼（使用一種稱為圖像隱碼術的技術隱藏在圖像內部），該代碼為DoubleGuns惡意機器人提供了有關在受感染主機上執行哪些操作的指令。

奇虎和百度表示，在過去的兩個星期中，他們一直在刪除DoubleGuns使用的圖像並記錄來自受感染主機的連結，這就是他們發現殭屍網路規模巨大的原因，目前殭屍網路的數量估計為“數十萬” 。

由於殭屍網路基礎設施的其他部分仍在運行，並且殭屍網路的營運商仍然龐大，因此中斷被視為暫時的。

AlienLabs OTX後記: 我們基於DNS數據的威脅監控系統DNSmon, 標記了可疑域pro.csocools.com。該系統估計感染的規模可能遠遠超過成數十萬的用戶。通過分析相關樣本和C2，我們將其家族追溯到DoubleGuns。

欲了解更多關於DoubleGuns的資訊 , 請參考OTX情資:

https://otx.alienvault.com/pulse/5ecd55be9616fb56ef638475

新聞來源參考:

https://techdator.net/baidu-and-qihoo-teamed-up-to-fight-against-chinese-malware-doubleguns/

https://blog.netlab.360.com/shuang-qiang-zui-xin-huo-dong-fen-xi-bao-gao-nei-bu-bao-gao-ban/

*****竣盟科技快報歡迎轉載，但請註明出處

據法務部調查局發佈的”國內重要企業遭勒索軟體攻擊事件調查說明” , 調查局研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客…

請參閱: 調查局新聞稿

來源中央社新聞-中央社記者蕭博文攝

在此小編與您分享Winnti Group的相關資訊, 從AlienVault OTX情資中, 我們得悉並高度相信Winnti與中國國家情報機構有關，至少有一些駭客活動來自位於北京西城區。從2009年到2018年，許多以前沒有公開關聯的中國國家情報部門實際上都與Winnti有關。我們高度確信Winnti Group通過使用共同的目標和攻擊資源而建立聯繫展開攻擊。根據401TRG的Tom Hegel的報告,最初的攻擊目標通常是美國，日本，韓國軟體和遊戲組織和那些特別是被強調為中國經濟發展重點的行業，主要是收穫代碼簽名證書和操縱軟體，其次是獲得經濟利益，後期針對德國企業和其他目標, 通常是來自於政治動機或高價值的技術組織。

來源QuoIntelligence-德國企業受Winnti Group攻擊的時間表

Tom Hegel在報告中說：“在攻擊者的理想情況下，所有遠端存取都是通過自己的C2基礎結構進行的，該C2基礎結構充當proxy並掩蓋了其真實位置。” “但是，我們已經觀察到一些攻擊者在沒有proxy的情況下錯誤地訪問受害者機器的情況，識別出在這個過程中個人的真實位置–中國聯通北京城西城區的Netblock 網段221.216.0.0/13。”

另外根據QuoIntelligence在2019年12月的報告，德國聯邦憲法保護局Germany’s Federal Office for the Protection of the Constitution（BfV）發佈了一份報告，該報告與所謂的中國政府贊助的駭客組織Winnti Group有關。通過的惡意軟體分析，QuoIntelligence相信他們發現的樣本與BfV報告中描述的Winnti樣本高度相似，該樣本還與國際資安公司ESET的白皮書”CONNECTINGTHE DOTS Exposing the arsenal and methods of the Winnti Group”有著共同特徵。想了解更多有關Winnti Group, 請參考以下OTX情資…

https://otx.alienvault.com/pulse/5e9f16be94921dc55f085324

https://otx.alienvault.com/pulse/5e7c8929e3065fc66d5a9f77

https://otx.alienvault.com/pulse/5e7b4a11d552fbcfce6c314d

https://otx.alienvault.com/pulse/5e4bbe896e6393eb79a1d2c9

ESET發布的”CONNECTINGTHE DOTS Exposing the arsenal and methods of the Winnti Group”的白皮書:

https://www.welivesecurity.com/wp-content/uploads/2019/10/ESET_Winnti.pdf

YARA規則GitHub 網址:

https://github.com/eset/malware-ioc/tree/master/winnti_group

*****竣盟科技快報歡迎轉載，但請註明出處