標籤: Taiwan

5 月1日，竣盟科技在Underground Team的暗網揭秘網站上，發現該組織公開了十一名受害者，當中包括某台灣Nas大廠，據了解，該大廠疑是在2023 年七月中旬遭到Underground Team攻擊，被盜51GB的資料。在Nas大廠的頁面，Underground Team 公開了竊盜得到的資料夾包含該大廠的德國子公司資料，目前尚不清楚此次攻擊的立足點是德國子公司或是台灣總部。

Underground Team勒索軟體使用 Microsoft Visual C/C++ 編寫，在 64 位元系統上運作。當它感染電腦時，會執行各種操作，例如刪除檔案的備份副本、更改Windows登錄檔中的設定以及停止名為 MSSQLSERVER 的特定資料庫服務。為了實現這些操作，勒索軟體使用特定的命令。例如，它使用命令刪除電腦上儲存的檔案的備份副本，使用戶更難恢復檔案。它還使用命令來調整與遠端桌面Session相關的設置，以影響遠端存取電腦的方式。

根據Cyble的研究報告，Underground Team還會強制停止 MSSQLSERVER 服務，這會導致破壞特定類型資料庫的功能。之後，勒索軟體會尋找受害電腦上的磁碟機和檔案系統，透過使用作業系統提供的某些功能來實現此目的。一旦辨識出驅動器，它就會在電腦上的各個資料夾中投放名為「!!readme!!!.txt」的勒索字條。接下來，勒索軟體便開始搜尋要加密的檔案和目錄並透過逐一掃描它們來做到這一點。此外，Underground Team會從加密過程中排除某些檔案名稱、檔案副檔名和特定資料夾。一旦檔案被識別，勒索軟體就會對其進行加密，使其無法讀取，但不會更改加密檔案的名稱或新增任何新的副檔名。加密完成後，Underground Team 勒索軟體會建立一個名為「temp.cmd」的檔案並執行它。該檔案旨在刪除特定文件、清除事件日誌以及將其自身從電腦中刪除，這樣做是為了隱藏它的存在並掩蓋其蹤跡。

勒索軟體和相關的數據洩露事件會嚴重影響業務流程，使組織無法存取營運和提供關鍵服務所需的數據。

竣盟科技建議您針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

有關Underground Team的部分入侵指標(Indicator of compromise -IOCs):

059175be5681a633190cd9631e2975f6

fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6

d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

自 2021 年中期以來，發現與中國政府有關聯的駭客組織鎖定數十個台灣組織發起間諜活動，微軟(Microsoft)週四(8/24)將此次活動歸咎於被命名為亞麻颱風(Flax Typhoon) 的APT 組織。Microsoft表示，該活動的不僅是對台灣實體進行間諜活動，而是長時間地持續保持對各機構的存取權限。微軟觀察到Flax Typhoon的惡意行動幾乎只針對台灣組織包括台灣的政府機構以及教育、關鍵製造和IT機構，但微軟在東南亞、北美和非洲也發現了受害者。Flax Typhoon通過利用面向公眾的伺服器中的已知漏洞，針對的目標服務包括 VPN、Web、Java 和 SQL 應用程序，使用 China Chopper Web shell 來獲得初始存取權限從而入侵組織。China Chopper是一種在中國網路犯罪分子中流行的 Web shell。Flax Typhoon 還使用特權升級工具，例如 Juicy Potato 和 Bad Potato。一旦進入網路，Flax Typhoon就會使用命令行工具通過遠端桌面協議建立持久存取，並將 VPN 連接部署到駭客控制的網路基礎設施，以從受感染的系統收集憑證。駭客會尋找 Windows 操作系統存儲哈希密碼的位置，包括本地安全機構子系統服務進程內存和安全帳戶管理器登錄檔的配置。研究人員表示，密碼哈希可以離線破解，也可以用於哈希傳遞攻擊，以存取受感染網路上的其他資源。

微軟週四表示，Flax Typhoon 依靠操作系統內置的工具以及一些通常正版的軟體悄悄地保留在這些網路中，以最少的惡意軟體使用獲得保持了對台灣組織網路的長期存取權限。但是，微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標

自北京加強有關台灣與中國大陸統一的言論以來，資安人員發現了幾項的行動，一些證據表明，Flax Typhoon 與 CrowdStrike 識別為Ethereal Panda的駭客組織重疊。他們補充說，Flax Typhoon對台灣機構的攻擊中使用了“一種獨特的惡意活動模式”，這些活動可以在針對其他國家的行動中重複使用。微軟表示，選在此時發布公告是擔心Flax Typhoon接下來有可能對客戶造成重大影響，並警告說該組織正在進行寄生攻擊（LOLBins）和有效帳號針對微軟系統部署的策略，因此檢測和減輕此攻擊可能具有挑戰性。微軟解釋說，這些策略使得檢測和緩解變得極其困難，因需要關閉或更改遭入侵的帳號，受到入侵的系統也需要隔離和調查。

這些攻擊技術可以很容易地在有針對性的攻擊中重複使用，並敦促防禦者尋找入侵的跡象，並徹底刪除惡意工具和 C2 基礎設施。此外，APT攻擊者瞄準的企業應檢查日誌中是否存在可能被用於惡意目的的入侵帳的跡象。

微軟警告稱：“觀察到的行為表明，攻擊者打算進行間諜活動，並儘可能長時間地保持對各行各業組織的存取權限，並指出該駭客組織至少自2021 年中期以來就一直活躍並針對台灣的政府機構以及教育、關鍵製造和資訊技術組織。該公司表示，在東南亞其他地方以及北美和非洲都發現了受害者。

微軟的威脅情報團隊在公告中，也發布有關 Flax Typhoon 使用命令行工具首先通過遠端桌面協議建立持久存取、部署與攻擊者控制的網絡基礎設施的 VPN 連接以及從受感染系統中竊取憑證的詳細資料。 

5月份，資安公司Trellix的研究人員表示，他們觀察到針對台灣政府官員的勒索電子郵件大幅增加，比1月份的惡意電郵的數量增加了30倍。上週，Lumen Black Lotus Labs的研究人員表示，他們發現了一場複雜的活動，利用HiatusRAT惡意軟體感染了台灣組織和美國軍事網站使用的企業級路由器。

中國駭客活動越趨頻繁，資安防護意識不可輕忽。為了避免Flax Typhoon的入侵，組織應確保所有面向公眾的伺服器都已打修補並保持最新狀態，並具有額外的監控和安全功能，如用戶輸入驗證、檔案完整性監控、行為監控和Web 應用程序防火牆。

管理員還可以監控 Windows 登錄檔是否有未經授權的更改；監控任何可能被視為未經授權的 RDP 流量；並通過多因素身份驗證和其他預防措施強化帳號的安全性。

2023 年 3 月，Lumen Black Lotus Labs 的研究人員發現了名為HiatusRAT 的攻擊活動，該活動感染了全球 100 多個網路邊際設備，它的目標是中型企業通常使用的頻寬路由器，允許攻擊者運行命令、竊取數據並建立隱蔽的代理網路。在 2023 年 6 月觀察到的攻擊中，研究人員發現攻擊者改變了策略，將目標轉向臺灣及美國，對美國軍事採購系統進行偵察並針對台灣組織。根據Lumen 的一份新報告，攻擊者不受公開曝光的阻礙，繼續進行操作，並為新架構（包括Arm、Intel 80386 和x86-64）重新編譯了惡意軟體二進製檔案，並將它們託管在新採購的虛擬專用伺服器(VPS) 上。

針對台灣公司和至少一個政府組織的網路攻擊早在 2023 年 8 月就被發現。Lumen 研究人員過去研究了 HiatusRAT 建立的殭屍網絡，注意到來自台灣 IP 地址區域的新連接流。不久之後，針對化學生產設施、半導體製造商和一個城市的網路攻擊被發現。

美國國防部的情況有些不同。同一研究小組檢測到流向與殭屍網路相關的 IP 地址的流量不僅來自台灣，還來自美國。具體來說，他們發現HiatusRAT背後的攻擊者使用其中一台 2 級伺服器連接到專門處理國防合同的國防部伺服器。幸運的是，這裡沒有發生深度滲透，攻擊者很可能是在進行偵察，然後再採取進一步行動。

Lumen 還發現了一個不同的 VPS 節點，用於與美國國防部用於合約提案和提交的伺服器傳輸數據。Lumen 指出：“鑑於該網站與合約提案相關，我們懷疑攻擊者可以收集有關軍事需求的公開資料，或搜索參與國防工業基地 (DIB) 的組織。”

新觀察到的惡意軟體樣本使用與之前的二進製檔案相同的心跳和上傳伺服器進行通信。從本月開始，攻擊者一直在先前識別的 VPS 上託管有效負載。

對惡意軟體伺服器通信的分析顯示，超過 91% 的入站連接來自台灣，主要來自 Ruckus 製造的邊緣設備。

據 Lumen 稱，觀察到的 HiatusRAT 活動似乎與已知的攻擊者沒有重疊，儘管最近目標的轉變與最近針對美國實體的針對中國的行動的報告一致。我們懷疑操作HiatusRAT的攻擊者是另一個用來攻擊美國國防工業基地的網路間諜手段。Lumen 建議國防承包商謹慎行事，並監控其網路設備是否存在 HiatusRAT。