北韓駭客Diamond Sleet針對台灣訊連科技(CyberLink)用戶發動供應鏈攻擊

Photo Credit: CybersecurityNews

在不斷發展的網路安全領域,出現了由北韓國家級駭客精心策劃的複雜供應鏈攻擊,他們將惡意檔案植入到合法的照片和影片編輯應用程式安裝檔案中。這次巧妙的攻擊涉及篡改合法的訊連科技應用程式,部署隱藏第二階段有效負載的惡意變體。11月23日,微軟透露,名為Diamond Sleet(又稱 Lazarus、Hidden Cobra)的北韓駭客入侵了台灣軟體開發商訊連科技,並對其一款合法應用程式進行木馬化,該應用程式被用作分發惡意軟體的管道。受感染的安裝程式雖然看起來合法並使用有效的訊連的憑證簽章,但隱藏了旨在下載和執行輔助負載的惡意程式碼。

該惡意軟體被稱為 LambLoad,既充當下載程式又充當載入程式。載入程式檢查以下進程名稱:

csfalconservice.exe  (CrowdStrike Falcon)

xagt.exe  (FireEye 代理程式)

taniumclient.exe  (Tanium EDR 解決方案)

該惡意軟體經過編程,可在啟動任何惡意活動之前檢查系統的日期和時間,確保其在預先配置的執行期內運行。LambLoad 的目標是沒有FireEye、CrowdStrike和Tanium等公司安全軟體的企業環境。如果偵測到這些廠牌的端點防護系統,該惡意軟體就會中止其惡意操作,並允許合法的訊連科技軟體暢通無阻地運作。如果不存在端點防護,則從受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載,該有效酬載在記憶體中可以被提取、解密和啟動,並將從C2接收駭客的命令。

研究人員發現,自10 月20 日首次觀察到該惡意安裝程式以來,包括日本、台灣、加拿大和美國在內的多個國家/地區的100 多台設備已受到該惡意安裝程式的影響。儘管研究人員迄今尚未確認任何入侵後的目的,但資料外洩的可能性、進一步向供應鏈下游移動以及對受害者環境的持續存取仍然是一個重大問題。

微軟高度確信這次攻擊是由北韓Diamond Sleet 發起的,該組織以針對全球媒體、國防和資訊科技產業而聞名。據微軟稱,Diamond Sleet 的活動包括間諜活動、資料竊取、經濟利益和破壞企業網路。自從發現該攻擊以來,Microsoft 已通知訊連科技和 Microsoft Defender 受活動影響的 Endpoint 客戶。這次攻擊也報告給了 GitHub,後者刪除了第二階段的有效酬載。

訊連科技是一家台灣軟體公司,以開發多媒體軟體(包括 PowerDVD)以及人工智慧臉部辨識技術而聞名。訊連科技擁有 200 多項專利技術並在全球銷售了超過 4 億個應用程式。

對於研究人員的發現,11月23 日下午,訊連科技發佈公告指出,在其產品「Promeo」的安裝程式中發現惡意軟體,已經移除問題,他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品,確認其他產品不受此攻擊行動影響。

LambLoad的部分入侵指標(Indicator of compromise -IOCs):

166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8be

089573b3a1167f387dcdad5e014a5132e998b2c89bff29bcf8b06dd497d4e63d

915c2495e03ff7408f11a2a197f23344004c533ff87db4b807cc937f80c217a1

hxxps[:]//update.cyberlink[.]com/Retail/Promeo/RDZCMSFY1ELY/CyberLink_Pr omeo_Downloader.exe

hxxps[:]//update.cyberlink[.]com/Retail/Patch/Promeo/DL/RDZCMSFY1ELY/Cyb erLink_Promeo_Downloader.exe

微軟警告: 中國國家級駭客亞麻颱風瞄準數十個台灣政府機構以及教育、關鍵製造業與資訊技術組織 恐進行監控活動

Flax Typhoon攻擊鏈 Photo Credit: 微軟

自 2021 年中期以來,發現與中國政府有關聯的駭客組織鎖定數十個台灣組織發起間諜活動,微軟(Microsoft)週四(8/24)將此次活動歸咎於被命名為亞麻颱風(Flax Typhoon) 的APT 組織。Microsoft表示,該活動的不僅是對台灣實體進行間諜活動,而是長時間地持續保持對各機構的存取權限。微軟觀察到Flax Typhoon的惡意行動幾乎只針對台灣組織包括台灣的政府機構以及教育、關鍵製造和IT機構,但微軟在東南亞、北美和非洲也發現了受害者。Flax Typhoon通過利用面向公眾的伺服器中的已知漏洞,針對的目標服務包括 VPN、Web、Java 和 SQL 應用程序,使用 China Chopper Web shell 來獲得初始存取權限從而入侵組織。China Chopper是一種在中國網路犯罪分子中流行的 Web shell。Flax Typhoon 還使用特權升級工具,例如 Juicy Potato 和 Bad Potato。一旦進入網路,Flax Typhoon就會使用命令行工具通過遠端桌面協議建立持久存取,並將 VPN 連接部署到駭客控制的網路基礎設施,以從受感染的系統收集憑證。駭客會尋找 Windows 操作系統存儲哈希密碼的位置,包括本地安全機構子系統服務進程內存和安全帳戶管理器登錄檔的配置。研究人員表示,密碼哈希可以離線破解,也可以用於哈希傳遞攻擊,以存取受感染網路上的其他資源。

微軟週四表示,Flax Typhoon 依靠操作系統內置的工具以及一些通常正版的軟體悄悄地保留在這些網路中,以最少的惡意軟體使用獲得保持了對台灣組織網路的長期存取權限。但是,微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標

自北京加強有關台灣與中國大陸統一的言論以來,資安人員發現了幾項的行動,一些證據表明,Flax Typhoon 與 CrowdStrike 識別為Ethereal Panda的駭客組織重疊。他們補充說,Flax Typhoon對台灣機構的攻擊中使用了“一種獨特的惡意活動模式”,這些活動可以在針對其他國家的行動中重複使用。微軟表示,選在此時發布公告是擔心Flax Typhoon接下來有可能對客戶造成重大影響,並警告說該組織正在進行寄生攻擊(LOLBins)和有效帳號針對微軟系統部署的策略,因此檢測和減輕此攻擊可能具有挑戰性。微軟解釋說,這些策略使得檢測和緩解變得極其困難,因需要關閉或更改遭入侵的帳號,受到入侵的系統也需要隔離和調查。

這些攻擊技術可以很容易地在有針對性的攻擊中重複使用,並敦促防禦者尋找入侵的跡象,並徹底刪除惡意工具和 C2 基礎設施。此外,APT攻擊者瞄準的企業應檢查日誌中是否存在可能被用於惡意目的的入侵帳的跡象。

微軟警告稱:“觀察到的行為表明,攻擊者打算進行間諜活動,並儘可能長時間地保持對各行各業組織的存取權限,並指出該駭客組織至少自2021 年中期以來就一直活躍並針對台灣的政府機構以及教育、關鍵製造和資訊技術組織。該公司表示,在東南亞其他地方以及北美和非洲都發現了受害者。

微軟的威脅情報團隊在公告中,也發布有關 Flax Typhoon 使用命令行工具首先通過遠端桌面協議建立持久存取、部署與攻擊者控制的網絡基礎設施的 VPN 連接以及從受感染系統中竊取憑證的詳細資料。 

5月份,資安公司Trellix的研究人員表示,他們觀察到針對台灣政府官員的勒索電子郵件大幅增加,比1月份的惡意電郵的數量增加了30倍。上週,Lumen Black Lotus Labs的研究人員表示,他們發現了一場複雜的活動,利用HiatusRAT惡意軟體感染了台灣組織和美國軍事網站使用的企業級路由器。

中國駭客活動越趨頻繁,資安防護意識不可輕忽。為了避免Flax Typhoon的入侵,組織應確保所有面向公眾的伺服器都已打修補並保持最新狀態,並具有額外的監控和安全功能,如用戶輸入驗證、檔案完整性監控、行為監控和Web 應用程序防火牆。

管理員還可以監控 Windows 登錄檔是否有未經授權的更改;監控任何可能被視為未經授權的 RDP 流量;並通過多因素身份驗證和其他預防措施強化帳號的安全性。

HiatusRAT惡意軟體再現:針對台灣組織和美國軍事採購系統發起了新一波攻擊

2023 年 3 月,Lumen Black Lotus Labs 的研究人員發現了名為HiatusRAT 的攻擊活動,該活動感染了全球 100 多個網路邊際設備,它的目標是中型企業通常使用的頻寬路由器,允許攻擊者運行命令、竊取數據並建立隱蔽的代理網路。在 2023 年 6 月觀察到的攻擊中,研究人員發現攻擊者改變了策略,將目標轉向臺灣及美國,對美國軍事採購系統進行偵察並針對台灣組織。根據Lumen 的一份新報告,攻擊者不受公開曝光的阻礙,繼續進行操作,並為新架構(包括Arm、Intel 80386 和x86-64)重新編譯了惡意軟體二進製檔案,並將它們託管在新採購的虛擬專用伺服器(VPS) 上。

針對台灣公司和至少一個政府組織的網路攻擊早在 2023 年 8 月就被發現。Lumen 研究人員過去研究了 HiatusRAT 建立的殭屍網絡,注意到來自台灣 IP 地址區域的新連接流。不久之後,針對化學生產設施、半導體製造商和一個城市的網路攻擊被發現。

美國國防部的情況有些不同。同一研究小組檢測到流向與殭屍網路相關的 IP 地址的流量不僅來自台灣,還來自美國。具體來說,他們發現HiatusRAT背後的攻擊者使用其中一台 2 級伺服器連接到專門處理國防合同的國防部伺服器。幸運的是,這裡沒有發生深度滲透,攻擊者很可能是在進行偵察,然後再採取進一步行動。

Photo Credit: Black Lotus Labs by Lumen

Lumen 還發現了一個不同的 VPS 節點,用於與美國國防部用於合約提案和提交的伺服器傳輸數據。Lumen 指出:“鑑於該網站與合約提案相關,我們懷疑攻擊者可以收集有關軍事需求的公開資料,或搜索參與國防工業基地 (DIB) 的組織。”

新觀察到的惡意軟體樣本使用與之前的二進製檔案相同的心跳和上傳伺服器進行通信。從本月開始,攻擊者一直在先前識別的 VPS 上託管有效負載。

對惡意軟體伺服器通信的分析顯示,超過 91% 的入站連接來自台灣,主要來自 Ruckus 製造的邊緣設備。

據 Lumen 稱,觀察到的 HiatusRAT 活動似乎與已知的攻擊者沒有重疊,儘管最近目標的轉變與最近針對美國實體的針對中國的行動的報告一致。我們懷疑操作HiatusRAT的攻擊者是另一個用來攻擊美國國防工業基地的網路間諜手段。Lumen 建議國防承包商謹慎行事,並監控其網路設備是否存在 HiatusRAT。

傳出中國日報及台灣上市氣動元件大廠遭LockBit的毒手

竣盟科技於本週二(5/17)在LockBit的揭秘網站上發現兩家值得關注的受害者分別是台灣某上市氣動元件大廠及中國日報,根據LockBit網頁,該台灣氣動元件廠商,總部位於台北,系全球知名專業氣動器材供應商;主要生產電磁閥、氣缸等各類氣動元件和輔助元件等,該公司的官網也提及到其分司、硏發中心、生產基地、物流中心等遍佈意大利、美國、日本、泰國、和中國等地。目前該公司的六份資敏檔案遭LockBit公開作為入侵的證據。LockBit 聲稱如果在5月30日前未達成協議,將分佈所有盜來的資料,然而暫未提供資料量及勒索金額。

本週另一個亞太地區的受害者引起了我們注意的是,被稱為中國第一份全國英文報紙的中國日報(China Daily ),目前中國日報官方網站仍可以存取,沒有連結失敗的跡象。中國日報是中國發行量最大的英文報紙。根據Cybernews的報導,中國日報在2014正式由中國國務院新聞辦公室 ( The State Council Information Office ) 管理。據報導,國新辦經常與《中國日報》的記者和編輯舉行會議,指導他們應該發表的內容。今年 5 月初,《中國日報》香港版在香港大獎 2022 中包攬了五個類別的八個獎項。目前LockBit將中國日報截止日期設定為5 月 22 日,表明該組織可能已對被盜數據提出贖金要求,並威脅要在下週洩露這些數據,只是還沒設置公開而已。

今天,美國宣布懸賞 1000 萬美元,以捉拿名為Mikhail Pavlovich Matveev(又名Wazawaka、m1x、Boriselcin 和 Uhodiransomwar)的俄羅斯駭客,該駭客涉嫌對美國執法機構和醫療保健提供者進行勒索軟體攻擊。美國司法部表示,Mikhail Pavlovich Matveev 還被指控為部署和開發LockBitBabukHive 的核心人物。“據稱,這三個全球勒索軟體活動的成員向受害者提出的贖金要求總額高達 4 億美元,而受害者支付的贖金總額高達 2 億美元。”該部門在一份聲明中表示。

LockBit、Babuk 和 Hive 的核心人物 Matveev

據稱 Matveev 使用這些勒索軟體來加密和劫持眾多受害者的數據以勒索贖金,這些受害者包括醫院、學校、非營利組織和執法機構,例如華盛頓的大都會警察局DC等,美國司法部表示, 自 2020 年初以來LockBit 勒索軟體已被用於針對美國和世界各地的目標發動 1,400 多次攻擊,發出了超過 1 億美元的贖金要求,並收到了超過 7,500 萬美元的贖金。

司法部表示,勒索軟體參與者存取易受攻擊的電腦系統並加密或竊取數據,然後,發送勒索信,要求支付贖金以換取解密數據或不公開發布數據。

Matveev 被控串謀傳輸贖金要求、串謀損壞受保護的電腦和故意損壞受保護的電腦。美國國務院懸賞高達 1000 萬美元,以獲取導致他被捕和定罪的資料。如果罪名成立,Matveev將面臨 20 多年的監禁。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

外媒報導,台灣電競設備大廠微星科技疑遭新型勒索軟體Money Message攻擊,被勒索約1億2千萬新台幣

Photo Credit: BleepingComputer

4月6日台灣時間晚上,資安網站BleepingComputer報導,新型電競筆電大廠微星科技疑遭Money Message勒索軟體入侵,被盜約1.5TB的數據,Money Message聲稱已入侵微星網路系統,在公開的螢幕截圖可見,當中包括微星的CTMS和ERP系統的數據庫,以及微星的軟體源始碼、私鑰和 BIOS 韌體的數據等。

Money Message在其Tor的揭秘網上稱,若微星不支付4佰萬美元(約新台幣1億2千萬的贖金,將在 2023 年 4 月 12 日星期三公佈盜來的所有數據。據報導, Money Message 透過與受害者溝通的即時chat room,疑似與微星的代表進行談判,駭客強調擁有微星的源始碼包括開發 bios 的框架及自訂義的模組等。

4月7日,微星發布重大訊息證實其部分資訊系統遭受駭客網路攻擊,但稱其資訊部門自偵測到網路異常後於第一時間啟動相關防禦機制與進行復原,並通報政府執法部門與資安單位,目前受影響之系統已陸續恢復正常運作,並評估對財務業務無重大影響。

Money Message 為新型勒索軟體並實施雙重勒索攻擊,即攻擊者同時竊取目標的敏感數據並對其進行加密。為實現這一目標,攻擊者利用多種方式來存取公司網路,釣魚登錄憑證可能是最簡單的,但根據攻擊者的技術水平,他們還可以利用漏洞和暴力破解 RDP 伺服器等策略。

基本上,Money Message 的運作方式如下,加密工具是用C++ 編寫的,帶有 JSON 配置,有助於檢查檔案並選擇要加密的檔案,

以下檔案不會在此過程中加密:

ntuser.ini

ntldr

ntuser.dat.log

bootsect.bak

boot.ini

autorun.inf

bootfont.bin

desktop.ini

ntuser.dat

thumbs.db

iconcache.db

根據Bleeping Computer 的說法,Money Message不如其他勒索軟體系列那麼有效。事實上,與其他加密工具相比,它實際上非常慢。一旦勒索軟體進入,它就會留下一個名為 money_message.log的勒索字條,其中包含一個指向 TOR 站點的鏈接以協商贖金。

Money Message勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”