麒麟出手 台灣大型代工鞋大廠疑遭竊2.12 TB 數據

2024 年 5 月 18 日,竣盟科技在勒索軟體麒麟(Qilin)的揭秘網站發現台灣某鞋子代工大廠的頁面,麒麟聲稱盜取了2.12TB的資料約一百五十萬份檔案。作為入侵的證據張貼了兩張截圖,從其中一張截圖顯示包含多款Adidas形號的價格、配方單價、開發文件、化工稽核資料等等。

麒麟也稱為「Agenda」,於 2022 年 8 月首次被發現,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名,是一種高度複雜且具威脅性的網路威脅,一直活躍且處於發展之中,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名。麒麟可以透過各種方法傳播,利用不同的載體來感染系統和網路。雖然麒麟的具體分發策略可能會演變,但勒索軟體常用的方法包括:

  1. 網路釣魚電子郵件:傳播勒索軟體最常見的方法之一是透過網路釣魚電子郵件。這些電子郵件通常包含惡意附件或鏈接,當毫無戒心的用戶打開或單擊時,可以啟動勒索軟體下載到系統上。
  2. 利用漏洞:勒索軟體可以透過利用軟體或作業系統中的漏洞進行傳播。攻擊者不斷掃描具有尚未修補或更新的已知漏洞的系統,並利用這些漏洞獲得未經授權的存取並部署勒索軟體。
  3. 偷渡式下載:當使用者造訪受感染或惡意網站時,就會發生偷渡式下載,導致勒索軟體在使用者不知情的情況下自動下載到其裝置上。
  4. 勒索軟體即服務 (RaaS)有些組織在 RaaS 模式下運作,將勒索軟體基礎設施出租給其他網路犯罪分子,然後由他們實施攻擊。隨著各種攻擊者利用勒索軟體,這種方法可能會導致廣泛傳播。
  5. 社會工程策略:除了網路釣魚之外,其他形式的社會工程也可用於誘騙個人安裝惡意軟體。這可能涉及透過虛假軟體更新、欺詐性技術支援電話或其他欺騙手段來操縱用戶。
  6. 網路傳播:一旦網路中的單一電腦受到感染,某些勒索軟體變體就可以在整個網路中自我傳播。他們利用網路協定或使用橫向移動技術傳播到其他連接的系統。
  7. 惡意廣告:這涉及將惡意廣告注入合法廣告網路。點擊這些廣告的使用者可能會被重新導向到託管勒索軟體的惡意網站。
  8. 使用遠端桌面協定 (RDP)攻擊者也可能使用暴力攻擊或竊取的憑證,透過遠端桌面協定 (RDP)(一種遠端管理系統的常用方法)來存取系統。
  9. 供應鏈攻擊:損害供應鏈內的軟體供應商或服務可能會導致勒索軟體分發給受感染軟體或服務的所有使用者。
  10. 可移動媒體:雖然不太常見,但勒索軟體可以透過受感染的可移動媒體(例如 USB 隨身碟)傳播。

在加密過程上,麒麟的技術已經達到了高度成熟。他們對先進加密技術的掌握對於他們成功有效地使受害者無法存取文件和資料至關重要。麒麟加密策略的核心是高級加密標準(AES),金鑰長度為256位,通常表示為AES-256。這種加密演算法因其強大的安全特性而聞名並被廣泛採用。 AES-256 因其絕對的複雜性和大量可能的加密金鑰而以其抵抗加密攻擊的能力而聞名。實際上,這意味著使用 AES-256 加密的檔案在沒有相應解密金鑰的情況下無法解密。至關重要的是,麒麟確保只有攻擊者擁有解鎖加密檔案和資料所需的唯一解密金鑰。該密鑰被安全地保存在他們的控制之下,使其成為難以捉摸且受到嚴密保護的秘密。如果沒有這個解密金鑰,解密加密檔案將成為一項巨大的挑戰。麒麟透過結合 RSA-2048 加密,進一步增強了解密過程的安全性。 RSA 以其發明者 Rivest、Shamir 和 Adleman 的名字命名,是一種廣泛使用的非對稱加密演算法。在 麒麟勒索軟體中,RSA-2048 用於加密解密金鑰本身。這為解密和恢復過程增加了額外的複雜性。實際上,RSA-2048 加密意味著加密檔案的解密金鑰不僅由攻擊者安全地持有,而且還受到計算上無法破解的加密機制的保護。 AES-256 和 RSA-2048 加密的組合為尋求重新存取其加密檔案和資料的人設置了巨大的障礙。

值得一提的是,麒麟似乎專注於滲透那些會造成巨大損失的知名目標,這也意味著麒麟擁有精心設計的攻擊系統和工具, 但有趣的是,據了解,麒麟並不像 Lockbit 等更具攻擊性的勒索軟體攻擊者那樣要求大量的的贖金。相反,麒麟的價格在 50,000 美元至 800,000 美元之間。。

過去曾遭受「麒麟」勒索軟體攻擊的著名受害者包括汽車零件巨頭延鋒澳洲法院系統。此外,2022年10月,麒麟勒索軟體曾入侵某台灣製藥大廠:

麒麟的部分入侵指標(Indicator of compromise -IOCs):

73b1fffd35d3a72775e0ac4c836e70efefa0930551a2f813843bdfb32df4579a    

e4cbee73bb41a3c7efc9b86a58495c5703f08d4b36df849c5bebc046d4681b70    

afe7b70b5d92a38fb222ec93c51b907b823a64daf56ef106523bc7acc1442e38    

dd50d1f39c851a3c1fce8abdf4ed84d7dca2b7bc19c1bc3c483c7fc3b8e9ab79

麒麟勒索軟體攻擊澳洲法院系統 聽證紀錄遭竊

法院稱首次檢測到攻擊是在12月21日,但根據事後的調查,入侵發生於12月8日。

1月2日,澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露,法院案件和法庭受到網路安全事件的影響,造成法庭內視聽技術網路被中斷,影響錄音和轉譯服務,攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的,當時工作人員的電腦被鎖定,螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示,需要時間來確定哪些錄音和筆錄受到影響,Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊,該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下,受影響的系統立即被隔離和停用,然而根據隨後的調查顯示,該入侵發生在更早的日期,即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊;11月1日之前的一些聽證會錄音已在網路攻擊中被存取,據信,一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說,以下法院和司法管轄區受到了安全事件的影響:

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會,並於 2023 年 11 月舉行兩次地區聽證會。

縣法院-2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院-2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭-2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知,並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件,他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統,但維多利亞州法院的運作不會受到影響,預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字,但接受 澳洲 ABC News採訪的消息人士稱,此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。2022 年 10 月,台灣某上市製藥大廠也被列為其受害者。2023 年 11 月,一般來說,麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者,以存取其網路並竊取敏感數據,一旦麒麟完成初始存取,它通常會在受害者的基礎設施中橫向傳播,試圖找到要加密的關鍵統計數據。加密資料後,麒麟留下勒索字條“您的網路/系統已加密,加密的檔案具有新的檔案副檔名”,並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

汽車零部件大廠延鋒Yan Feng遭麒麟勒索軟體入侵 克萊斯勒、道奇、吉普等汽車工廠遭影響 生產線暫停

中國汽車零部件供應商延鋒(Yan Feng)向通用汽車、大眾集團、福特、Stellantis(Fiat、克萊斯勒、吉普、道奇)、寶馬、戴姆勒、豐田、本田、日產和上汽集團銷售內裝零件,該公司是這些汽車製造商供應鏈的重要組成部分,在全球 240 個地點擁有超過 57,000 名員工。根據資安網站Cybernews麒麟(Qilin)勒索軟體組織聲稱對延鋒的網路攻擊負責。對這家中國供應商的攻擊對北美汽車製造供應鏈產生了連鎖反應,導致多家美國工廠中斷,其中包括全球汽車製造商 Stellantis 營運的工廠。

本月早些時候,有 報導 稱對延鋒網路攻擊的直接影響到Stellantis,迫使該汽車公司停止其北美工廠的生產。Cybernews 聯繫了延鋒,該公司沒有回應,也沒有就攻擊發表公開聲明。然而延鋒網站癱瘓了一個多星期,直到昨天它的主要網站才重新上線,但沒有任何有關斷網的聲明。另外吉普車主也報告說,客戶服務熱線癱瘓了好幾天。

Stellantis (原菲亞特克萊斯勒,2023 年與法國 PSA 集團合併) 在美國擁有 22 家製造工廠,加拿大有 6 家,墨西哥有 7 家。

11 月 15 日,根據Stellantis的發言人,「由於外部供應商的問題,Stellantis 的一些北美組裝工廠的生產受到干擾。我們正在監控情況並與供應商合作,以減輕對我們營運的進一步影響。」

據威脅研究專家Kevin Beaumont指出,這次攻擊是駭客利用了名為Citrix Bleed(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞。

根據美國網路安全和基礎設施安全局(CISA) ,駭客利用Citrix Bleed漏洞入侵網路環境,可以繞過密碼和多因素身份驗證(MFA) 請求,從而成功劫持Citrix NetScaler Web 應用程式交付控制(ADC) 和網關設備上的合法用戶會話, 一旦進入目標網路,駭客就會利用各種遠端和網路監控工具來獲得進一步的存取權並找到將使用勒索軟體加密的最終伺服器。

麒麟(又名 Agenda)於 11 月 27 日(星期一)在其揭秘網站上發布了延鋒頁面,並附上了23 張盜竊數據的截圖。麒麟稱,截圖證實我們擁有大量敏感資料,並將在未來幾天內發布這些資料。

另外Group-IB在上週發布其在3月秘密調查的報告,揭露了麒麟勒索軟體集團的內部運作。該組織於 2022 年首次被發現,經常使用網路釣魚電子郵件來瞄準受害者。Group-IB 研究人員被認為與俄羅斯有聯繫,他們發現了該集團的會員是如何佈局的。

「對於總額為 300 萬美元或以下的勒索金額,會員可以獲得 80% 付款項。對於超過 300 萬美元,他們則可以獲得 85%,」Group-IB 表示。

根據威脅情報公司 Cyble 發布的 2023 年第二季勒索軟體報告,2023 年上半年針對全球製造業的勒索軟體攻擊激增了 130%。

此次之前,2022年10月,麒麟勒索軟體曾入侵某台灣製藥大廠:

新加坡電信Singtel旗下第二家澳洲子公司發生資安事件,疑出自麒麟(Qilin)駭客組織之毒手;同時麒麟的揭秘網站上也驚見台灣受害企業

Dialog及某台灣製藥大廠出現麒麟(Qilin)的揭秘網站

繼澳洲的第二大電信業者Optus坦承上月被駭,近1000萬人個資外洩後,新加坡電信公司(Singtel) 於10/10表示,旗下第2家澳洲子公司也遭駭客入侵,Singtel向新加坡交易所(Singapore Exchange)遞交文件,其中包括該公司4月收購的澳洲IT 服務提供商 Dialog的聲明,證實有一個未經授權的第三方恐已取得Dialog的資料。根據外媒報導,針對Dialog的攻擊是來自僅在 Windows 系統上運作的 Agenda 勒索軟體。

Dialog 在澳洲的客戶包括新南威爾士州選舉委員會、公共服務部、昆士蘭衛生局、澳洲維珍航空、澳洲國民銀行(NAB)、Suncorp、阿爾弗雷德衛生局、塔斯馬尼亞大學等,作為IT服務提供商,Dialog擁有1000 多名 IT 專家。Agenda 於2022年8月被發現,是相對較新的勒索軟體,Agenda具有多種功能,包括以安全模式重啟系統並停止特定於伺服器的進程和服務,以及運行多種模式。Agenda還具有檢測規避技術,更改使用者密碼並啟用自動登錄,Agenda利用受影響設備的全模式功能來繼續其檔案加密而不被發現,根據TrendMicro資安研究報告,麒麟駭客組織是分發Agenda勒索軟體的幕後黑手。

Singtel表示,Dialog的資安事件恐對1000名Dialog現有及前員工,以及約20名客戶造成影響。據悉,首次發現遭駭客攻擊是在9月10日,之後在10月7日再度發現Dialog的小規模資料外洩,其中包括部分員工的個資被公布在麒麟(Qilin)的揭秘網站上。

另外,根據竣盟科技的觀察,麒麟的揭秘網站上,也出現台灣受害企業,該企業為國內上市製藥大廠,麒麟於9月15日公開該受害企業,並於9月22日發布盜竊得來的相關資料。

Agenda勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

E4a319f7afafbbd710ff2dbe8d0883ef332afcb0363efd4e919ed3c3faba0342

28aeb2d6576b2437ecab535c0a1bf41713ee9864611965bf1d498a87cbdd2fab

117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”