Salt Typhoon 狂襲:美國 8 家電信巨頭與數十國深陷駭客風暴

中國駭客組織「Salt Typhoon」已入侵數十個國家的電信公司,範圍涵蓋美國、印太地區、歐洲和其他地方

Photo Credit: Daily Security Review

在週三(12月4日)的白宮記者會上,美國總統拜登的副國家安全副顧問安妮·紐伯格(Anne Neuberger)警告,中國國家支持的駭客組織「Salt Typhoon」已經成功入侵數十個國家的電信公司,並對全球通訊基礎設施造成嚴重威脅。Neuberger透露,其中包括美國的八家主要電信公司,當中有四家公司此前未被公開報導過,突顯攻擊的廣泛性與隱蔽性。

她表示:「這些駭客活動可能已經持續了一至兩年,其影響範圍不僅限於印太地區,還波及歐洲及其他地區的電信企業。」她強調:「這是一項針對性極強的間諜行動,目標直指政府官員的敏感通訊,以及企業的核心智慧財產權。」

加密技術成為應對核心建議
在週二(12月3日),CISA 和 FBI 的高級官員共同建議美國民眾立即採用加密技術來保護通訊安全。他們指出,加密是應對此類網路攻擊的關鍵手段:「無論是文字訊息還是語音通訊,加密都能有效阻止駭客攔截後解讀信息。」這一建議不僅針對個人用戶,也適用於企業和政府部門,旨在大幅降低敏感數據被利用的風險。

T-Mobile與其他電信企業遭受攻擊
T-Mobile的資安長上週表示,公司的系統是透過一個有連接的有線網路供應商而被攻擊,但目前已經看不到任何駭客活動的跡象。Salt Typhoon這個駭客組織也被稱為FamousSparrow、Earth Estries、Ghost Emperor和UNC2286,自2019年起便針對東南亞的政府機構與電信公司進行入侵活動。CISA和FBI在10月底證實了這次駭客攻擊,Salt Typhoon入侵了多家電信公司的網路,包括T-Mobile、Verizon、AT&T和Lumen Technologies。

攻擊的規模與隱患
聯邦調查揭示,Salt Typhoon 不僅成功侵入部分美國政府官員的私人通訊平台,甚至深入竊取了政府執法部門的監聽平台數據,包括特定執法記錄與客戶通話詳情。這些行動表明駭客已在美國的關鍵基礎設施內部取得立足點,並可能進行長期的情報蒐集。

根據《華爾街日報》的分析,中國駭客可能已控制這些網路數月甚至更長時間,竊取包括企業與個人數據流量在內的海量資料,對國家安全與商業機密構成雙重威脅。

國際合作與防禦升級
為應對這次攻擊,CISA 聯合 FBI、國家安全局(NSA)及多個國際合作機構於週二(12月3日)發佈了專門針對 Salt Typhoon 的防禦指南。指南針對通訊基礎設施提出多項強化建議,包括:

*立即修補漏洞:要求企業和機構更新所有系統軟體,避免利用已知漏洞的攻擊。
*提升通訊保密性:鼓勵部署端到端加密的通訊方案,防止數據攔截。
*強化網路分段與監控:加強內部網路隔離,縮小駭客可能擴散的範圍。
*定期安全評估:要求系統管理員定期進行漏洞掃描和滲透測試,以提高網路防禦的敏捷性。

國際上,相關受害國家也加強了情報共享,並呼籲對中國的網路間諜行為採取更強有力的外交回應。這起事件可能推動更多國家參與制定全球網路安全協議,加強跨境協作應對日益頻繁的國家級網路攻擊。

對未來的影響與啟示
Salt Typhoon 的攻擊揭示了現代電信基礎設施的潛在風險,也暴露出全球在應對網路間諜行為上的防禦漏洞。以下是可行的下一步措施:

全球網路安全標準化:在國際層面推動建立統一的網絡安全規範,增強全球一致性。
技術創新投入:加速部署人工智能驅動的威脅檢測技術,探索量子密碼學應用,構建更加安全的通訊環境。
建立常態化聯合演習機制:促進政府、企業與技術專家的合作,模擬與測試應對大規模網路攻擊的能力。
Salt Typhoon 的事件不僅是一場網路安全危機,也是一個重要的警鐘,提醒全球必須更加專注於數位基礎設施的長期韌性與安全性。

Salt Typhoon駭客組織相關的部分的入侵指標(IOCs):

505b55c2b68e32acb5ad13588e1491a5
9218e2c37c339527736cdc9d9aad88de728931a3
25b9fdef3061c7dfea744830774ca0e289dba7c14be85f0d4695d382763b409b
2b5e7b17fc6e684ff026df3241af4a651fc2b55ca62f8f1f7e34ac8303db9a31
44ea2e85ea6cffba66f5928768c1ee401f3a6d6cd2a04e0d681d695f93cc5a1f
6d64643c044fe534dbb2c1158409138fcded757e550c6f79eada15e69a7865bc
b63c82fc37f0e9c586d07b96d70ff802d4b707ffb2d59146cf7d7bb922c52e7e

星巴克因其供應鏈管理軟體廠商 Blue Yonder 遭到勒索軟體攻擊而受影響

針對 Blue Yonder 的勒索軟體攻擊破壞了星巴克用於追蹤員工工時的平台,該公司正在恢復手動追蹤

Photo Credit: Dark Reading

供應鏈管理軟體供應商 Blue Yonder 遭受勒索軟體攻擊,導致部分客戶業務受到嚴重干擾,其中包括多家大型企業。

位於亞利桑那州的 Blue Yonder 於 11 月 21 日表示,其托管服務環境因遭受到勒索軟體攻擊而導致中斷。公司立即展開調查並開始修復受影響的服務。在 11 月 24 日公司網站發布的最新消息中,Blue Yonder 表示修復工作進展順利,但尚未提供完整恢復服務的時間。

Blue Yonder 表示已聘請一家資安公司協助進行調查和修復,但未透露有關此次攻擊的其他細節。

目前尚無任何已知的勒索軟體組織承認對此次攻擊負責。不過,這類網路犯罪團體通常僅在受害者拒絕支付贖金或談判破裂時,才會公佈受害者的名稱並洩露資料。

Blue Yonder 提供一個端到端 (end-to-end) 的供應鏈平台,公司聲稱擁有來自 76 個國家、超過 3,000 家客戶,其中包括零售商、製造商和物流服務供應商。

多家知名客戶已確認因 Blue Yonder 的服務中斷而受到影響,其中一家是星巴克(Starbucks)。星巴克表示,針對 Blue Yonder 的勒索軟體攻擊致使該公司用於管理員工排班和工時記錄的平臺運作中斷。不過,星巴克計劃採取一切必要措施,以確保員工薪資不受影響。

星巴克發言人表示,公司正在與該供應商 (Blue Yonder) 密切合作,以解決平臺中斷問題。然而,公司已向門市經理及員工提供指導,教授如何手動記錄相關資訊。根據公司聲明指出,此次攻擊並未影響星巴克的一般顧客服務,因此行動點單與門市運作均照常進行。

根據《The Grocer》報導,在英國,兩大超市連鎖品牌 Morrisons 和 Sainsbury’s 也受到影響。

Morrisons 使用 Blue Yonder 的倉庫管理解決方案,因中斷而採用手動備援系統。該公司表示,此事件影響了供應商的交貨以及某些產品的供應情況。Sainsbury’s 也確認受到影響,但他們表示已啟動緊急應對措施以減輕此次事件的影響。

根據 CNN 的報導,Blue Yonder 的解決方案同樣被美國的超市連鎖品牌(例如 Albertsons 和 Kroger)以及其他類型的公司(例如 福特 Ford寶僑 Procter & Gamble  和 百威 Anheuser-Busch)使用,但目前尚不確定這些公司是否有受其影響。

穆迪(Moody’s)供應鏈策略資深總監 John Donigian 表示,此次攻擊凸顯出這些技術在全球供應鏈管理中的重要性。

他指出:「當這些系統中斷時,重要的工作流程(例如庫存管理、需求預測、倉庫管理和運輸規劃等)將會受到干擾,進而使整個供應鏈陷入停頓。」他認為這次事件強調了此類技術在零售、物流等行業中的不可或缺的地位。

企業或連鎖零售商在面對勒索軟體組織的網路攻擊時,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的作業系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

北韓駭客與 Play 勒索軟體聯手發動全球攻擊

駭客組織 Jumpy Pisces 進行攻擊活動的時間軸

Photo Credit: Unit 42

網路安全公司 Palo Alto Networks 的威脅情報小組 Unit 42 針對最近的一起事件回應案例揭露出令人憂慮的發展——北韓政府支持的駭客組織與一個以金錢為導向的勒索軟體集團之間的合作。

Jumpy Pisces 駭客組織,也稱為 Onyx Sleet 和 Andariel(亦稱為「和平守護者」APT 組織,曾是著名的HBO資料外洩事件的幕後黑手),歷來涉足於網路間諜活動、金融犯罪,以及部署客製化的勒索軟體像是 Maui。Unit 42 的調查揭示了 Jumpy Pisces 在戰術上的轉變,顯現出他們可能愈來愈頻繁地參與勒索軟體攻擊。

2022年,卡巴斯基(Kaspersky)發現 Jumpy Pisces 在針對日本、俄羅斯、越南以及印度的攻擊中部署 Maui 勒索軟體,隨後美國政府也證實了此事。

此次事件涉及的 Play 勒索軟體,是一種在2022年中期首次被發現的網路威脅工具。雖然 Play 勒索軟體背後的組織 Fiddling Scorpius 被認為採用勒索軟體即服務(RaaS)模式運作,然而他們在洩漏網站上否認了這一點。

Unit 42 的調查揭示了一連串事件,最終都導向到有關 Play 勒索軟體的部署。2024年5月,Jumpy Pisces 通過遭入侵的使用者帳戶獲取初步存取權。到了2024年 5月 至 9月期間,他們運用開源的 Sliver (一種通用的跨平台植入框架) 和客製化的 DTrack 惡意軟體進行橫向移動,並遊走各個網路,維持持續性的活動。

2024年9月初,一個未被識別的駭客通過同一個被入侵的帳戶進入了目標網路,似乎是為了 Jumpy Pisces 發動攻擊前的準備工作。該網路攻擊者執行了進行勒索軟體攻擊之前的前期操作,其中包括了憑證收取和 EDR 感應器移除,然後於當月稍晚即進行 Play 勒索軟體的部署。

此次攻擊中使用的客製化版本 Sliver C2 框架讓他們能夠維持持續性的指令與控制(C2)通訊,並允許遠端指令的執行。DTrack 則是客製化的惡意軟體,作為資訊竊取的工具,從受影響系統中蒐集機敏資訊,並壓縮成偽裝的 GIF 檔案以逃避偵測。

北韓駭客與 Play 勒索軟體在全球攻擊中的合作

根據Palo Alto Networks Unit 42 的報告,攻擊者使用 PowerShell 腳本來執行指令、傳輸檔案並與系統互動,同時 Mimikatz (windows系統中的安全測試工具) 則被用來從記憶體中提取明文密碼 (plaintext password),以進一步取得額外帳戶的存取權。

研究人員還觀察到 PsExec 的使用,一種允許於遠端系統上執行程序的指令列工具 (command-line tool),支援橫向移動及權限提升。此外,攻擊者也使用了 TokenPlayer,一種用來操控與利用 Windows 存取權杖 (access token) 的工具,透過竊取權杖來冒充高權限使用者。

目前尚不確定 Jumpy Pisces 的角色是作為 Play 勒索軟體的正式附屬成員,或只是作為初始存取仲介者(Initial Access Broker, IAB)來出售網路存取權。不過,此類型的合作模式,是首次有文件記錄下的例子,令人擔憂北韓駭客團體可能更頻繁地參與勒索軟體活動,對全球的企業和組織構成更大的威脅。

無論 Jumpy Pisces 是附屬成員還是初始存取仲介(滲透測試者),他們與勒索軟體集團在幕後協同合作,使北韓的威脅攻擊者得以規避國際的制裁。

資安意識培訓公司 KnowBe4 的資安意識提倡人 Erich Kron 指出,北韓近期積極參與勒索軟體活動顯示出因財務動機而進行的戰略合作。儘管北韓網路攻擊者在網路存取方面的技術嫻熟,然而他們對勒索軟體的運作模式較不熟悉,因此與成熟組織的合作會更加有利。Kron 強調說,考量到勒索軟體對社交工程的高度依賴性,企業組織應更加專注於防範網路釣魚郵件的攻擊。

Jumpy Pisces 駭客組織及 Play 勒索軟體相關的部分的入侵指標(IOCs):

76cb5d1e6c2b6895428115705d9ac765
879fa942f9f097b74fd6f7dabcf1745a
e12f93d462a622f32a4ff1e646549c42
540853beffb0ba9b26cf305bcf92fad82599eb3c
6624c7b8faac176d1c1cb10b03e7ee58a4853f91
6e95d94d5d8ed2275559256c5fb5fc6d01da6b46
243ad5458706e5c836f8eb88a9f67e136f1fa76ed44868217dc995a8c7d07bf7
2b254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be713a
99e2ebf8cec6a0cea57e591ac1ca56dd5d505c2c3fc8f4c3da8fb8ad49f1527e

RansomHub 駭客組織近日聲稱成功入侵台灣某上市被動元件大廠

RansomHub 勒索軟體集團日前駭入台灣某製造業大廠,總計 150 GB 資料遭竊

竣盟科技 於今年9月曾報導 RansomHub 勒索軟體集團攻擊台灣某大日系電機廠商,並竊取大量機敏資料。經沉寂一段時日之後,該集團又對台灣廠商出手。

近日,RansomHub 駭客組織聲稱成功入侵台灣某上市被動元件大廠,這是一家年營收接近 30 億美元的製造業巨擘。

據該組織宣稱,外洩資料量達 150 GB,其中內容涵蓋技術設計、相關協定及證書等機密資訊。而支付贖金的截止日期為 2024 年 10 月 31 日。

根據RansomHub組織暗網上發布之資訊,受駭的製造業大廠有完整的產品線,及遍布全球的運輸平台,共計有超過 30 個生產據點,提供多樣性的電子產品類型及服務。

該組織於聲明中威脅道,給受駭公司一週時間與他們進行談判,否則就會把資料公布於他們的 Blog。同時他們也釋出多張圖片,包括電子產品的電路板照片等機密資訊。

該公司於 10 月 23 日發出重大資訊揭露,聲明中表明公司部分資訊系統遭受駭客網路攻擊,並說明公司於遭受網路攻擊時,立即啟動相關防禦機制,避免影響安全。

至於預計可能的損失或影響,公司目前評估並沒有個資或內部文件資料外洩之虞等情事,對公司營運尚無重大影響。而關於改善情形及未來因應措施,公司表示會持續提升網路與資訊基礎架構之安全管控,持續密切監控,以確保資訊安全。

被動元件產業是台灣電子製造業的關鍵部分,供應全球市場各種電子零組件。這些元件被廣泛應用於智慧型手機、電腦、汽車電子等產品中。因此,這類公司往往成為駭客組織的目標,因為它們擁有龐大的技術資料和商業機密。

勒索軟體攻擊的特點是加密受害者的資料並索取贖金,以換取資料解密鑰匙。這不僅可能導致企業的日常運營中斷,還可能讓公司的競爭對手或不法分子獲得關鍵技術資料,進一步威脅其市場競爭力。此外,對於一家上市公司而言,這類安全事件如果處理不當,可能會導致股價下跌及品牌信譽受損。

台灣的電子製造業高度依賴全球供應鏈,這意味著這類企業持續面臨來自世界各地的網絡威脅。近年來,隨著台灣企業在全球市場中的地位上升,針對台灣高科技產業的駭客攻擊也日益增多。台灣的網路安全專家已多次警告,企業需要投資更多的資源以強化其資訊安全防護系統。

這次攻擊再次提醒了企業加強網絡安全的重要性。專家建議,企業應該定期進行網絡安全風險評估,並且建立更完善的數據備份與還原計畫,以應對未來可能發生的攻擊事件。只有通過強化防護和快速應對,才能在這個充滿網絡威脅的時代中維持企業競爭力。

RansomHub 勒索軟體相關的部分的入侵指標(IOCs):

0cd57e68236aaa585af75e3be9d5df7d
407dcc63e6186f7acada055169b08d81
57556d30b4d1e01d5c5ca2717a2c8281
676259a72f3f770f8ad20b287d62071b
da3ba26033eb145ac916500725b7dfd5
de8e14fdd3f385d7c6d34b181903849f
f17ceae8c5066608b5c87431bac405a9
ff1eff0e0f1f2eabe1199ae71194e560
189c638388acd0189fe164cf81e455e41d9629d6

新興勒索軟體組織 Orca 崛起,瞄準台灣企業廠商

勒索軟體組織 Orca 近日於暗網上聲稱對一家台灣製造業廠商發動攻擊

Photo Credit: Dark Web

竣盟科技 近日於勒索軟體揭秘網站發現,有一新興勒索軟體 Orca (虎鯨) 浮現檯面,並對台灣某金屬製造廠商發動網路攻擊。Orca是一個最新出現的勒索軟體,而台灣企業隨即成為其攻擊目標,加上近來陸續有駭客組織對台灣機構或企業發動攻擊的事件,這顯示出台灣企業普遍存在資安防護不足的情況,使其儼然成為駭客集團發動攻擊的容易目標。駭客聲稱,該受害公司被駭資料共計有18 GB,其中包括5張圖片及45,319個檔案。

Photo Credit: Dark Web

據了解,Orca 勒索軟體組織的主要動機是財務因素,他們的信念是盡量避免對公司企業造成不必要的傷害。該組織於聲明中表示,「我們在追求財務收穫的同時也考量到道德的重要性,並遵守針對政府機構、醫院或非營利組織的嚴格政策,因為這些領域對社會至關重要。」

「我們的行動模式是以促進對話及尋求解決方案而非製造混亂和破壞。我們相信,創造一個企業可以參與進來,並且能有建設性地解決問題的環境,這樣可以為各方帶來更好的結果。這種模式使我們能夠以強調溝通協調及共同理解的方式來與企業組織互動,以促進經濟活動,同時盡量減少對社會基本功能運作的干擾。」

「在追求這些目標的過程中,我們致力於維持專業水準,優先考慮溝通和針對性互動的透明度,進而加強商業活動和網路安全可以共存的架構,而不會導致不必要的衝突或傷害。」

相較於之前先後攻擊台灣數家企業的勒索軟體組織RansomHub,這次發動攻擊的Orca 勒索軟體組織,知名度鮮為人知,相關細節資訊包括使用的軟體工具及攻擊手法等亦未被揭露,但仍不可掉以輕心,駭客集團或是勒索軟體組織的行動通常具有計畫性及持續性,需持續觀察並謹慎防備。

Photo Credit: Corporate Website

週四上午 竣盟科技 嘗試進入該受害企業的網站,但是該網站似乎因受到攻擊而暫時癱瘓,只出現了「無法連上這個網站」的訊息視窗。

針對這次事件的後續狀況以及進一步細節,竣盟科技也將密切關注其發展並做更詳實的資安訊息分享。

企業面對勒索軟體組織的網路攻擊,竣盟科技建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制勒索軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

Orca 勒索軟體相關的部分的入侵指標(IOCs):

b8845a76e3942ff4d20ba4660ae926bb
eb90f945087c270a2ecc11753180ba4ecc270696
8ab79654152668be2c10be9cb17d941685e7733628dd7d38d6979516a75682ee

RansomHub再度入侵上市企業 台灣知名日系電機廠商機敏資料疑遭竊

RansomHub勒索軟體組織宣稱竊取總計500 GB的資料,其中包括產品設計圖

竣盟科技 日前發現RansomHub勒索軟體集團攻擊台灣某大出版廠商之後,台灣老牌日系電機廠商又驚傳成為RansomHub的攻擊目標。

據勒索軟體集團暗網所洩資料,其中包含該台灣電機廠商的10張產品設計圖及廠房圖紙等。相關資料亦透露這次駭客行動所竊之資料達500 GB,另外勒索軟體集團指定的贖金期限為9月9日。

RansomHub 是今年初才興起的勒索軟體集團,然而崛起之勢非常驚人,台灣陸續受到波及的企業就有三家,前後包括知名上市公司藍天電腦、某大教科書/出版廠商,以及這次的日系電機廠商,情勢不容小覷。

自2024 年2 月開始活動以來,RansomHub 已加密並竊取了至少210 個受害企業組織的資料,這些受害單位包括用水和汙水處理、資訊產業、政府單位、醫療保健和公共衛生機構、緊急服務、糧食和農業、金融服務機構、商業設施、製造業、運輸和通訊等重要基礎設施領域。

根據美國網路安全暨基礎設施安全局CISA 於8月29日發布的資料,RansomHub 隸屬團體通常會使用網路釣魚電子郵件 [ T1566 ]、利用已知漏洞 [ T1190 ] 和密碼噴灑攻擊 (Password spraying) [ T1110.003 ]等方法來侵害對向網際網路系統 (internet facing systems) 和使用者端點。而密碼噴灑攻擊的目的是侵入鎖定之帳戶,然後進一步造成資料外洩。

也發現RansomHub集團使用AngryIPScanner、Nmap等工具進行網路掃描,還有一種利用所謂living off the land (利用受害電腦裡現成的工具,來執行攻擊行動的有關任務)攻擊手法,是透過PowerShell來執行網路掃描[ T1018 ][ T1046 ][ T1059.001 ]。

自今年年初以來,RansomHub 聲稱已成功駭入包括美國非營利信用合作社Patelco、連鎖藥局Rite Aid佳士得拍賣行、美國電信商Frontier Communications和石油產業巨擘哈里伯頓等公司。Frontier Communications 隨後也發出通知警告共計超過 75 萬名客戶,他們的個人資訊因這次事件而遭到外洩。

FBI、CISA、跨州資訊共享和分析中心 (MS-ISAC) 以及衛生及公共服務部 (HHS) 發布的聯合公告也證實,網路攻擊者是以雙重勒索的方式展開攻擊行動。

這些聯邦政府機構建議,企業組織應該優先致力於修補已經被利用的漏洞,並且針對網路郵件、虛擬私人網路 (VPN) 和連結到重要系統的帳戶都要使用高強度密碼和多因子驗證 (MFA)。同時也建議保持軟體更新並執行弱點掃描,並將其作為資訊安全規範的標準程序。

聯邦機構補充道:「不鼓勵受害企業支付贖金,因為支付贖金並不能保證受害者的檔案資料會完全復原。」

「除此之外,支付贖金還可能促使駭客集團更大膽地去對其他企業組織發動攻擊,同時也間接鼓勵其他網路犯罪者去參與勒索軟體的散布或是資助這類非法活動。」

RansomHub勒索軟體相關的部分的入侵指標(IOCs):
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勒索軟體 RansomHub 再度來襲,台灣知名教科書大廠成為目標

勒索軟體RansomHub日前攻擊台灣某大教科書/出版廠商

Photo Credit: RansomHub Dark Web

竣盟科技近日於勒索軟體RansomHub的揭秘網站發現,台灣某大教科書/出版廠商成為勒索軟體RansomHub 的攻擊目標,被駭資料共計425GB。

這並不是RansomHub第一次對台灣企業廠商發動攻擊。2024年6月,臺灣上市公司藍天電腦傳出遭到勒索軟體攻擊的消息,當時勒索軟體集團RansomHub聲稱他們竊取了藍天電腦200 GB的資料,並公布屬於該公司的10份文件,此外攻擊者表示他們是透過網路釣魚的手法侵入系統。

RansomHub 是一個相對較新的勒索軟體集團,被認為是 Knight 勒索軟體的繼任者。該組織在 2024 年 2 月浮出檯面後,迅速在網路威脅領域崛起,並引發相當大的關注。

一般相信,RansomHub 發源於俄羅斯,採用勒索軟體即服務(RaaS)的模式進行運作,這種商業模式讓合作夥伴可獲得高達 90% 的贖金收入,而剩下的 10% 則歸該集團所有。RansomHub 的攻擊目標遍及全球,包括美國、巴西、印尼和越南等國,且攻擊模式靈活多變,非常難以預測。

RansomHub 的勒索軟體以 Golang 語言編寫,這樣的選擇反映出勒索軟體開發者對該語言的偏好。Golang 的使用可能預示著未來的勒索軟體攻擊將更加地複雜且難以偵測,對現有的防護機制來說是更嚴峻的挑戰。

英國資安軟體和硬體公司Sophos早前揭露勒索軟體集團RansomHub在今年5月發起的攻擊行動,駭客先利用名為EDRKillShifter的惡意程式,企圖停用受害電腦上的Sophos端點防護程式;隨後,這個工具會利用存在漏洞的舊版驅動程式,進行BYOVD(自帶驅動程式)攻擊,試圖癱瘓端點防護系統,但此舉動也引起了注意。

EDRKillShifter 是一種「自帶驅動程式攻擊」(BYOVD) 工具,使用包含密碼字串的指令列來執行;最終的目的是利用驅動程式之中一個比較容易攻擊的合法驅動程式,以獲得權限來解除 EDR 的防護。

BYOVD的技術原理,使得攻擊者可以載入存在漏洞的合法驅動程式,以便他們可以覆寫核心附近的程式碼來執行特許權限功能。危險的地方在於核心驅動程式並不是惡意的,造成檢測上更加地困難。一旦載入了驅動程式,就可以更深入地探入系統,並且能夠擁有更大的權限來操控系統。

如何防護企業組織的資訊安全

加強監控端點安全,強化企業網路衛生 (cyber hygiene) 並維持系統最新的更新狀態。EDRKillShifter 工具的使用現況確實令人擔憂,從他們對 RansomHub 勒索軟體的使用上來看,顯示出他們的經驗豐富而且非常堅決。他們現階段正利用這種專門用於癱瘓端點偵測和回應 (EDR) 軟體的新工具,這表示他們的攻擊行動是非常地精細複雜。

RansomHub勒索軟體相關的部分的入侵指標(IOCs):

02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292
104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2
2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad
34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7

美國半導體巨擘 Microchip 因網路攻擊而造成營運中斷

美國晶片製造商 Microchip Technology 遭遇網路攻擊,嚴重影響其生產能力

Photo Credit: The Register

美國晶片製造商 Microchip Technology (微晶片科技) 日前遭遇到網路攻擊,導致旗下多家製造工廠的營運中斷。 2024 年 8 月 17 日,他們發現到針對公司 IT 基礎設施而進行的潛在可疑活動。

Microchip Technology Incorporated 是一家美國上市公司,產品包括微型控制器、混合訊號、類比和 Flash-IP 積體電路等。其公司總部位於亞利桑那州錢德勒,在多個產業領域共計有約 123,000 個客戶,其中包括工業、汽車業、消費性產業、航太和國防工業、通訊和電算機市場。

其晶圓廠位於亞利桑那州坦佩(Tempe)、俄勒岡州格雷舍姆(Gresham)和科羅拉多州科羅拉多泉(Colorado Springs)。該公司的組裝/測試工廠位於泰國北柳、菲律賓卡蘭巴和卡布堯。 2024財務年度銷售額為76億美元。

這次攻擊嚴重影響了Microchip的產能,他們關閉或隔離了部分系統以防範事件擴大。 Microchip Technology 尋求外部資安專家的協助,針對場域的安全漏洞展開了事件調查。公司方面證實,這次攻擊事件影響頗鉅,甚至可能影響到公司訂單的履行。

當Microchip Technology(微晶片科技公司)偵測到在其IT系統的潛在可疑活動後,於第一時間公司立即採取評估措施,想方設法遏止潛在的未授權活動,以期能及時補救。

2024 年 8 月 19 日,公司確認遭到未經授權的威脅者侵入,影響到公司某些伺服器的正常使用和部分的業務運作。公司立即採取了額外措施來應對這次事件,其中包括隔離受影響的系統、關閉某些系統,以及藉由外部資安顧問的協助來展開調查。

該公司向美國證券交易委員會 (SEC) 提交的FORM 8-K 報告中提到:「肇因於該事件,公司 (Microchip Technology) 某些生產設施的運作狀況低於正常水平,公司目前履行訂單的能力受到影響。」

目前Microchip Technology正在外部資安專家的協助下評估這次網路攻擊的程度和影響。同時公司也在努力修復受影響的IT系統,並嘗試盡快讓日常的業務運作回歸正軌。

該公司於聲明中補充到:「事件的調查仍在進行中,有關此次事件的涵蓋範圍、攻擊類型和影響層面等目前尚不明朗。」「截至此聲明發佈之日,公司尚未確定這次事件是否可能對公司的財務狀況或營運業務造成重大影響。」

雖然該公司尚未揭露這起事件的屬性及類型等細節資訊,但美國證券交易委員會的文件間接表明這次事件是歸因於勒索軟體攻擊。然而,目前尚未有勒索軟體組織聲稱對這起攻擊事件負責。

竣盟科技建議,半導體產業製造商及其他企業客戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受勒索軟體攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉勒索軟體攻擊手段:了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應,可以顯著降低受到侵害的風險。

Toyota豐田汽車及CannonDesign被駭資料遭到外洩

 Toyota豐田汽車遭到勒索軟體集團駭入,共計240GB資料外洩

Photo Credit: StealthLabs

日前Toyota豐田汽車證實,他們的客戶資料遭到洩露。一名網路攻擊者在駭客論壇上洩露了他們從豐田的IT系統中竊取的 240GB 檔案資料。

針對這起事件,豐田回應道:「我們已經了解事件狀況。此次事件的範圍是局部性的,並沒有擴及整個IT系統。」

豐田補充說,「他們正在聯繫受到影響的客戶及人員,並在需要時提供協助。」目前尚未提供有關何時發現被入侵、攻擊者如何獲得存取權限以及有多少人的資料被暴露等資訊。

攻擊參與者 ZeroSevenGroup 聲稱已入侵豐田美國分公司,並竊取了 240GB 的檔案資料,內容涵蓋包括聯絡人、財務、客戶資料、計畫方案、員工資料、照片、資料庫、網路基礎設施、電子郵件和大量其他資料。

他們聲稱已經使用開源 ADRecon 工具收集了網路基礎設施資訊,包含憑證,這類工具可以幫助於從 Active Directory 環境中提取大量資訊。

豐田並未透露資料遭洩的確切日期,根據報導發現這些檔案被竊最早可以追溯到 2022 年 12 月 25 日。在這個時間點,攻擊者侵入備分伺服器,進而取得儲存於此的資料。

2023 年 12 月,豐田金融服務公司 (Toyota Financial Services) 通知客戶,公司遭遇了資料外事件,敏感性的個人資料及財務資料因勒索軟體攻擊而洩露,這起攻擊事件的影響範圍波及豐田的歐洲和非洲分公司。

2023 年 11 月 17 日,Medusa 勒索軟體集團 聲稱 參與了這起攻擊,並且威脅豐田如果不支付贖金,就會洩露被駭的資料。

CannonDesign資料外洩

Cannon Corporation (佳能集團) 旗下CannonDesign 正向 13,000 多名客戶發送資料外洩通知,告知客戶在 2023 年初的一次攻擊事件中駭客入侵了公司網路並竊取資料。

CannonDesign 是一家總部位於美國紐約州,屢獲殊榮的建築、工程和顧問公司,在學術性建築、醫院和體育場館等項目上的卓越表現而受到業界認可。

CannonDesign 開始向受影響的個人發送通知信,信中通報了 2023 年 1 月 19 日至 25 日這段期間發生的資安事件,該事件涉及未經授權的網路存取和資料外洩。

根據調查顯示,這場攻擊背後的執行者可能取得了姓名、地址、社會安全號碼 (SSNs) 和駕照號碼等資訊。

2023 年 2 月 2 日,Avos Locker 勒索軟體集團宣稱他們入侵了 CannonDesign 的系統,並且持有 5.7 TB 的被駭資料,其中包括公司和客戶相關檔案資料。

在勒索軟體集團索要贖金的計畫可能失敗後,他們將盜取資料轉到 Dunghill Leaks網站,該網站於 2023 年 9 月 26 日公佈了從 CannonDesign 竊取的 2TB 資料。這些資料包括資料庫轉儲 (database dumps)、專案圖表、聘僱文件、客戶詳細資訊、行銷資料、IT和基礎設施詳細資訊以及品質保證報告等。

Dunghill Leaks是 Dark Angels勒索軟體組織於 2023 年 4 月推出的資料外洩網站,用於迫使受害者支付勒索軟體集團要求的贖金。

攻擊豐田的勒索軟體Medusa的部分的入侵指標(IOCs):

a57f84e3848ab36fd59c94d32284a41e
e4b7fdabef67a0550877e6439beb093d
042ce9ab1afe035e0924753f076fcb20de0d1a1d
0823d067541de16325e5454a91b57262365a0705
4d5992de4601c4306885c71b0ba197184bb69221
78daa8b99d2fa422926465f36e13f31587b9e142
db5e29c0729486ba3833426093652451c5fca9b5
ee4575cf9818636781677d63236d3dc65652deab
3e19d1653c08206c55e1f835bd890b067b652b99a7b38bad4d78ad7490c6a0f8
4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6

美國Kootenai Health醫院資料外洩事件影響超過 464,000名病患

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

Photo Credit: GBHackers

 Photo Credit: GBHackers庫特內醫院(Kootenai Health)近日披露了一起資料外洩事件,超過464,088名病患的個資受到影響,這些資料是被名為ThreeAM(3AM)的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心,提供全方位的醫療服務,包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名,並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信,2024年3月2日,公司發現部分IT系統出現異常,隨即展開調查,並尋求業界頂尖的資安專家協同合作。

調查顯示,2024年2月22日左右,網路攻擊者入侵了庫特內醫院的網路,竊取了病患的個人資訊,包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示,目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患,並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明,依據受害者遭到洩露的是哪種資料,會予以相應的個資保護服務。

庫特內醫院表示,發現異常活動後,立刻採取相應措施以確保數位環境的安全。經過全面性的查驗,確認受影響的資料後,於2024年8月1日,庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件,庫特內醫院宣布實施額外的安全措施,並已通知當地執法單位,包括聯邦調查局(FBI)。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊,並在他們的暗網入口網頁上洩露了被駭資料,這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案,這個檔案免費提供使用,任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示,3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫,在開始加密程序之前,它會嘗試中斷多種服務,並在加密完成後試圖刪除磁碟區陰影副本(Volume Shadow copies)。

被加密的檔案其檔名末端會被添加“.threeamtime”,此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到,他們發現3AM和Conti,the Royal等勒索軟體集團之間有著顯著的關聯性,表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標(IOCs):

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22
307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e
680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4
991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af
ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc
832a3c90b047e7c5dcfd373d238d16e33e238354d9b1af673003af22f4376e4c