談判破裂?! Underground Team一口氣公開十一名受害者 包含一家台灣Nas設備業者

5 月1日,竣盟科技在Underground Team的暗網揭秘網站上,發現該組織公開了十一名受害者,當中包括某台灣Nas大廠,據了解,該大廠疑是在2023 年七月中旬遭到Underground Team攻擊,被盜51GB的資料。在Nas大廠的頁面,Underground Team 公開了竊盜得到的資料夾包含該大廠的德國子公司資料,目前尚不清楚此次攻擊的立足點是德國子公司或是台灣總部。

Underground Team勒索軟體使用 Microsoft Visual C/C++ 編寫,在 64 位元系統上運作。當它感染電腦時,會執行各種操作,例如刪除檔案的備份副本、更改Windows登錄檔中的設定以及停止名為 MSSQLSERVER 的特定資料庫服務。為了實現這些操作,勒索軟體使用特定的命令。例如,它使用命令刪除電腦上儲存的檔案的備份副本,使用戶更難恢復檔案。它還使用命令來調整與遠端桌面Session相關的設置,以影響遠端存取電腦的方式。

根據Cyble的研究報告,Underground Team還會強制停止 MSSQLSERVER 服務,這會導致破壞特定類型資料庫的功能。之後,勒索軟體會尋找受害電腦上的磁碟機和檔案系統,透過使用作業系統提供的某些功能來實現此目的。一旦辨識出驅動器,它就會在電腦上的各個資料夾中投放名為「!!readme!!!.txt」的勒索字條。接下來,勒索軟體便開始搜尋要加密的檔案和目錄並透過逐一掃描它們來做到這一點。此外,Underground Team會從加密過程中排除某些檔案名稱、檔案副檔名和特定資料夾。一旦檔案被識別,勒索軟體就會對其進行加密,使其無法讀取,但不會更改加密檔案的名稱或新增任何新的副檔名。加密完成後,Underground Team 勒索軟體會建立一個名為「temp.cmd」的檔案並執行它。該檔案旨在刪除特定文件、清除事件日誌以及將其自身從電腦中刪除,這樣做是為了隱藏它的存在並掩蓋其蹤跡。

Photo Credit: Cyble

勒索軟體和相關的數據洩露事件會嚴重影響業務流程,使組織無法存取營運和提供關鍵服務所需的數據。

竣盟科技建議您針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

有關Underground Team的部分入侵指標(Indicator of compromise -IOCs):

059175be5681a633190cd9631e2975f6

fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6

d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

Hunters International 再度入侵台灣 跨國上市電子公司遭殃

4月16日,竣盟科技在Hunters International 的暗網揭秘網站上發現台灣某跨國電子大廠的頁面,Hunters聲稱已取得該公司約1.2TB的資料共約420萬份檔案。該受害電子大廠主要從事鍵盤、影像相關產品、電源供應器、智慧家居產品等製造及代理各品牌電腦週邊設備等。目前Hunters International 沒有公佈確切發佈資料的日期及要求的贖金金額。 最近日本光學大廠Hoya也傳出成為Hunters 的受害者,被盜約200萬份資料及勒索1千萬美元的贖金。截至目前,Hoya被盜的資料還沒有在網路上出現,攻擊者也沒有公布他們是如何滲透到 Hoya 的。然而,Hoya 與網路犯罪分子之間談判過程的螢幕截圖已在網路上洩露,突顯了緊張的局勢。Hoya事件的直接結果是,一些生產工廠和某些產品的訂購系統受到了影響。 台灣電子大廠的生產線是否也如Hoya受到直接的影響,目前仍不得而知。

Hunters International於 2023 年第三季才浮出水面上,儘管只有幾個月的歷史,該組織的發展速度仍超出了任何人的預期,但這樣一個新組織為何能如此迅速地崛起呢?答案相對簡單:Hunters似乎是 Hive 勒索軟體的繼承者。Hive曾經是世界上最危險、資金充足、足智多謀的勒索軟體組織之一,該勒索軟體於 2023 年 1 月被 FBI 攻破,停止了Hive 勒索軟體的操作。據觀察Hunters International,是一種針對 Windows 和 Linux 環境的勒索軟體,一旦勒索軟體組織完成資料洩露,就會在受害者電腦上的加密檔案中加入.LOCKED副檔名。截至目前,他們列出的全球受害者,涉及健康、汽車、製造、物流、金融、教育、食品等產業。另外,根據Bitdefender 的報告,Hive 的程式碼與 Hunters International 的程式碼之間有重大相似之處,兩者程式碼有60%重疊。

此前,2023 年 11 月中, Hunters宣稱入侵了台灣某上市生醫並已盜取約236GB的資料,當中檔案的範圍包含客戶投訴數據-資料庫備份檔(HR相關、CRM相關和其他)-財務數據(付款、報告、審計等)-營業單位數據(訂單,產品配方,實驗室測試,包裝等) – 美國子公司數據(網路設置、稽核、供應商、員工數據等)-客戶數據(訂單、混合配方、產品處方、實驗室測試、郵件等。

根據 Cyber​​news的數據,Hunters International 是上個月最活躍的勒索軟體前五名之一。Hunters在 3 月聲稱有 23 名受害者,此外,自 2023 年 10 月以來總共有 89 名受害者。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

48b0a224697ead43ca1272c34a4777662049964913f083a40a5458a4ee1f78a6

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

北韓駭客Diamond Sleet針對台灣訊連科技(CyberLink)用戶發動供應鏈攻擊

Photo Credit: CybersecurityNews

在不斷發展的網路安全領域,出現了由北韓國家級駭客精心策劃的複雜供應鏈攻擊,他們將惡意檔案植入到合法的照片和影片編輯應用程式安裝檔案中。這次巧妙的攻擊涉及篡改合法的訊連科技應用程式,部署隱藏第二階段有效負載的惡意變體。11月23日,微軟透露,名為Diamond Sleet(又稱 Lazarus、Hidden Cobra)的北韓駭客入侵了台灣軟體開發商訊連科技,並對其一款合法應用程式進行木馬化,該應用程式被用作分發惡意軟體的管道。受感染的安裝程式雖然看起來合法並使用有效的訊連的憑證簽章,但隱藏了旨在下載和執行輔助負載的惡意程式碼。

該惡意軟體被稱為 LambLoad,既充當下載程式又充當載入程式。載入程式檢查以下進程名稱:

csfalconservice.exe  (CrowdStrike Falcon)

xagt.exe  (FireEye 代理程式)

taniumclient.exe  (Tanium EDR 解決方案)

該惡意軟體經過編程,可在啟動任何惡意活動之前檢查系統的日期和時間,確保其在預先配置的執行期內運行。LambLoad 的目標是沒有FireEye、CrowdStrike和Tanium等公司安全軟體的企業環境。如果偵測到這些廠牌的端點防護系統,該惡意軟體就會中止其惡意操作,並允許合法的訊連科技軟體暢通無阻地運作。如果不存在端點防護,則從受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載,該有效酬載在記憶體中可以被提取、解密和啟動,並將從C2接收駭客的命令。

研究人員發現,自10 月20 日首次觀察到該惡意安裝程式以來,包括日本、台灣、加拿大和美國在內的多個國家/地區的100 多台設備已受到該惡意安裝程式的影響。儘管研究人員迄今尚未確認任何入侵後的目的,但資料外洩的可能性、進一步向供應鏈下游移動以及對受害者環境的持續存取仍然是一個重大問題。

微軟高度確信這次攻擊是由北韓Diamond Sleet 發起的,該組織以針對全球媒體、國防和資訊科技產業而聞名。據微軟稱,Diamond Sleet 的活動包括間諜活動、資料竊取、經濟利益和破壞企業網路。自從發現該攻擊以來,Microsoft 已通知訊連科技和 Microsoft Defender 受活動影響的 Endpoint 客戶。這次攻擊也報告給了 GitHub,後者刪除了第二階段的有效酬載。

訊連科技是一家台灣軟體公司,以開發多媒體軟體(包括 PowerDVD)以及人工智慧臉部辨識技術而聞名。訊連科技擁有 200 多項專利技術並在全球銷售了超過 4 億個應用程式。

對於研究人員的發現,11月23 日下午,訊連科技發佈公告指出,在其產品「Promeo」的安裝程式中發現惡意軟體,已經移除問題,他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品,確認其他產品不受此攻擊行動影響。

LambLoad的部分入侵指標(Indicator of compromise -IOCs):

166d1a6ddcde4e859a89c2c825cd3c8c953a86bfa92b343de7e5bfbfb5afb8be

089573b3a1167f387dcdad5e014a5132e998b2c89bff29bcf8b06dd497d4e63d

915c2495e03ff7408f11a2a197f23344004c533ff87db4b807cc937f80c217a1

hxxps[:]//update.cyberlink[.]com/Retail/Promeo/RDZCMSFY1ELY/CyberLink_Pr omeo_Downloader.exe

hxxps[:]//update.cyberlink[.]com/Retail/Patch/Promeo/DL/RDZCMSFY1ELY/Cyb erLink_Promeo_Downloader.exe

微軟警告: 中國國家級駭客亞麻颱風瞄準數十個台灣政府機構以及教育、關鍵製造業與資訊技術組織 恐進行監控活動

Flax Typhoon攻擊鏈 Photo Credit: 微軟

自 2021 年中期以來,發現與中國政府有關聯的駭客組織鎖定數十個台灣組織發起間諜活動,微軟(Microsoft)週四(8/24)將此次活動歸咎於被命名為亞麻颱風(Flax Typhoon) 的APT 組織。Microsoft表示,該活動的不僅是對台灣實體進行間諜活動,而是長時間地持續保持對各機構的存取權限。微軟觀察到Flax Typhoon的惡意行動幾乎只針對台灣組織包括台灣的政府機構以及教育、關鍵製造和IT機構,但微軟在東南亞、北美和非洲也發現了受害者。Flax Typhoon通過利用面向公眾的伺服器中的已知漏洞,針對的目標服務包括 VPN、Web、Java 和 SQL 應用程序,使用 China Chopper Web shell 來獲得初始存取權限從而入侵組織。China Chopper是一種在中國網路犯罪分子中流行的 Web shell。Flax Typhoon 還使用特權升級工具,例如 Juicy Potato 和 Bad Potato。一旦進入網路,Flax Typhoon就會使用命令行工具通過遠端桌面協議建立持久存取,並將 VPN 連接部署到駭客控制的網路基礎設施,以從受感染的系統收集憑證。駭客會尋找 Windows 操作系統存儲哈希密碼的位置,包括本地安全機構子系統服務進程內存和安全帳戶管理器登錄檔的配置。研究人員表示,密碼哈希可以離線破解,也可以用於哈希傳遞攻擊,以存取受感染網路上的其他資源。

微軟週四表示,Flax Typhoon 依靠操作系統內置的工具以及一些通常正版的軟體悄悄地保留在這些網路中,以最少的惡意軟體使用獲得保持了對台灣組織網路的長期存取權限。但是,微軟尚未觀察到 Flax Typhoon 在此次活動中的最終目標

自北京加強有關台灣與中國大陸統一的言論以來,資安人員發現了幾項的行動,一些證據表明,Flax Typhoon 與 CrowdStrike 識別為Ethereal Panda的駭客組織重疊。他們補充說,Flax Typhoon對台灣機構的攻擊中使用了“一種獨特的惡意活動模式”,這些活動可以在針對其他國家的行動中重複使用。微軟表示,選在此時發布公告是擔心Flax Typhoon接下來有可能對客戶造成重大影響,並警告說該組織正在進行寄生攻擊(LOLBins)和有效帳號針對微軟系統部署的策略,因此檢測和減輕此攻擊可能具有挑戰性。微軟解釋說,這些策略使得檢測和緩解變得極其困難,因需要關閉或更改遭入侵的帳號,受到入侵的系統也需要隔離和調查。

這些攻擊技術可以很容易地在有針對性的攻擊中重複使用,並敦促防禦者尋找入侵的跡象,並徹底刪除惡意工具和 C2 基礎設施。此外,APT攻擊者瞄準的企業應檢查日誌中是否存在可能被用於惡意目的的入侵帳的跡象。

微軟警告稱:“觀察到的行為表明,攻擊者打算進行間諜活動,並儘可能長時間地保持對各行各業組織的存取權限,並指出該駭客組織至少自2021 年中期以來就一直活躍並針對台灣的政府機構以及教育、關鍵製造和資訊技術組織。該公司表示,在東南亞其他地方以及北美和非洲都發現了受害者。

微軟的威脅情報團隊在公告中,也發布有關 Flax Typhoon 使用命令行工具首先通過遠端桌面協議建立持久存取、部署與攻擊者控制的網絡基礎設施的 VPN 連接以及從受感染系統中竊取憑證的詳細資料。 

5月份,資安公司Trellix的研究人員表示,他們觀察到針對台灣政府官員的勒索電子郵件大幅增加,比1月份的惡意電郵的數量增加了30倍。上週,Lumen Black Lotus Labs的研究人員表示,他們發現了一場複雜的活動,利用HiatusRAT惡意軟體感染了台灣組織和美國軍事網站使用的企業級路由器。

中國駭客活動越趨頻繁,資安防護意識不可輕忽。為了避免Flax Typhoon的入侵,組織應確保所有面向公眾的伺服器都已打修補並保持最新狀態,並具有額外的監控和安全功能,如用戶輸入驗證、檔案完整性監控、行為監控和Web 應用程序防火牆。

管理員還可以監控 Windows 登錄檔是否有未經授權的更改;監控任何可能被視為未經授權的 RDP 流量;並通過多因素身份驗證和其他預防措施強化帳號的安全性。

HiatusRAT惡意軟體再現:針對台灣組織和美國軍事採購系統發起了新一波攻擊

2023 年 3 月,Lumen Black Lotus Labs 的研究人員發現了名為HiatusRAT 的攻擊活動,該活動感染了全球 100 多個網路邊際設備,它的目標是中型企業通常使用的頻寬路由器,允許攻擊者運行命令、竊取數據並建立隱蔽的代理網路。在 2023 年 6 月觀察到的攻擊中,研究人員發現攻擊者改變了策略,將目標轉向臺灣及美國,對美國軍事採購系統進行偵察並針對台灣組織。根據Lumen 的一份新報告,攻擊者不受公開曝光的阻礙,繼續進行操作,並為新架構(包括Arm、Intel 80386 和x86-64)重新編譯了惡意軟體二進製檔案,並將它們託管在新採購的虛擬專用伺服器(VPS) 上。

針對台灣公司和至少一個政府組織的網路攻擊早在 2023 年 8 月就被發現。Lumen 研究人員過去研究了 HiatusRAT 建立的殭屍網絡,注意到來自台灣 IP 地址區域的新連接流。不久之後,針對化學生產設施、半導體製造商和一個城市的網路攻擊被發現。

美國國防部的情況有些不同。同一研究小組檢測到流向與殭屍網路相關的 IP 地址的流量不僅來自台灣,還來自美國。具體來說,他們發現HiatusRAT背後的攻擊者使用其中一台 2 級伺服器連接到專門處理國防合同的國防部伺服器。幸運的是,這裡沒有發生深度滲透,攻擊者很可能是在進行偵察,然後再採取進一步行動。

Photo Credit: Black Lotus Labs by Lumen

Lumen 還發現了一個不同的 VPS 節點,用於與美國國防部用於合約提案和提交的伺服器傳輸數據。Lumen 指出:“鑑於該網站與合約提案相關,我們懷疑攻擊者可以收集有關軍事需求的公開資料,或搜索參與國防工業基地 (DIB) 的組織。”

新觀察到的惡意軟體樣本使用與之前的二進製檔案相同的心跳和上傳伺服器進行通信。從本月開始,攻擊者一直在先前識別的 VPS 上託管有效負載。

對惡意軟體伺服器通信的分析顯示,超過 91% 的入站連接來自台灣,主要來自 Ruckus 製造的邊緣設備。

據 Lumen 稱,觀察到的 HiatusRAT 活動似乎與已知的攻擊者沒有重疊,儘管最近目標的轉變與最近針對美國實體的針對中國的行動的報告一致。我們懷疑操作HiatusRAT的攻擊者是另一個用來攻擊美國國防工業基地的網路間諜手段。Lumen 建議國防承包商謹慎行事,並監控其網路設備是否存在 HiatusRAT。

傳出中國日報及台灣上市氣動元件大廠遭LockBit的毒手

竣盟科技於本週二(5/17)在LockBit的揭秘網站上發現兩家值得關注的受害者分別是台灣某上市氣動元件大廠及中國日報,根據LockBit網頁,該台灣氣動元件廠商,總部位於台北,系全球知名專業氣動器材供應商;主要生產電磁閥、氣缸等各類氣動元件和輔助元件等,該公司的官網也提及到其分司、硏發中心、生產基地、物流中心等遍佈意大利、美國、日本、泰國、和中國等地。目前該公司的六份資敏檔案遭LockBit公開作為入侵的證據。LockBit 聲稱如果在5月30日前未達成協議,將分佈所有盜來的資料,然而暫未提供資料量及勒索金額。

本週另一個亞太地區的受害者引起了我們注意的是,被稱為中國第一份全國英文報紙的中國日報(China Daily ),目前中國日報官方網站仍可以存取,沒有連結失敗的跡象。中國日報是中國發行量最大的英文報紙。根據Cybernews的報導,中國日報在2014正式由中國國務院新聞辦公室 ( The State Council Information Office ) 管理。據報導,國新辦經常與《中國日報》的記者和編輯舉行會議,指導他們應該發表的內容。今年 5 月初,《中國日報》香港版在香港大獎 2022 中包攬了五個類別的八個獎項。目前LockBit將中國日報截止日期設定為5 月 22 日,表明該組織可能已對被盜數據提出贖金要求,並威脅要在下週洩露這些數據,只是還沒設置公開而已。

今天,美國宣布懸賞 1000 萬美元,以捉拿名為Mikhail Pavlovich Matveev(又名Wazawaka、m1x、Boriselcin 和 Uhodiransomwar)的俄羅斯駭客,該駭客涉嫌對美國執法機構和醫療保健提供者進行勒索軟體攻擊。美國司法部表示,Mikhail Pavlovich Matveev 還被指控為部署和開發LockBitBabukHive 的核心人物。“據稱,這三個全球勒索軟體活動的成員向受害者提出的贖金要求總額高達 4 億美元,而受害者支付的贖金總額高達 2 億美元。”該部門在一份聲明中表示。

LockBit、Babuk 和 Hive 的核心人物 Matveev

據稱 Matveev 使用這些勒索軟體來加密和劫持眾多受害者的數據以勒索贖金,這些受害者包括醫院、學校、非營利組織和執法機構,例如華盛頓的大都會警察局DC等,美國司法部表示, 自 2020 年初以來LockBit 勒索軟體已被用於針對美國和世界各地的目標發動 1,400 多次攻擊,發出了超過 1 億美元的贖金要求,並收到了超過 7,500 萬美元的贖金。

司法部表示,勒索軟體參與者存取易受攻擊的電腦系統並加密或竊取數據,然後,發送勒索信,要求支付贖金以換取解密數據或不公開發布數據。

Matveev 被控串謀傳輸贖金要求、串謀損壞受保護的電腦和故意損壞受保護的電腦。美國國務院懸賞高達 1000 萬美元,以獲取導致他被捕和定罪的資料。如果罪名成立,Matveev將面臨 20 多年的監禁。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

外媒報導,台灣電競設備大廠微星科技疑遭新型勒索軟體Money Message攻擊,被勒索約1億2千萬新台幣

Photo Credit: BleepingComputer

4月6日台灣時間晚上,資安網站BleepingComputer報導,新型電競筆電大廠微星科技疑遭Money Message勒索軟體入侵,被盜約1.5TB的數據,Money Message聲稱已入侵微星網路系統,在公開的螢幕截圖可見,當中包括微星的CTMS和ERP系統的數據庫,以及微星的軟體源始碼、私鑰和 BIOS 韌體的數據等。

Money Message在其Tor的揭秘網上稱,若微星不支付4佰萬美元(約新台幣1億2千萬的贖金,將在 2023 年 4 月 12 日星期三公佈盜來的所有數據。據報導, Money Message 透過與受害者溝通的即時chat room,疑似與微星的代表進行談判,駭客強調擁有微星的源始碼包括開發 bios 的框架及自訂義的模組等。

4月7日,微星發布重大訊息證實其部分資訊系統遭受駭客網路攻擊,但稱其資訊部門自偵測到網路異常後於第一時間啟動相關防禦機制與進行復原,並通報政府執法部門與資安單位,目前受影響之系統已陸續恢復正常運作,並評估對財務業務無重大影響。

Money Message 為新型勒索軟體並實施雙重勒索攻擊,即攻擊者同時竊取目標的敏感數據並對其進行加密。為實現這一目標,攻擊者利用多種方式來存取公司網路,釣魚登錄憑證可能是最簡單的,但根據攻擊者的技術水平,他們還可以利用漏洞和暴力破解 RDP 伺服器等策略。

基本上,Money Message 的運作方式如下,加密工具是用C++ 編寫的,帶有 JSON 配置,有助於檢查檔案並選擇要加密的檔案,

以下檔案不會在此過程中加密:

ntuser.ini

ntldr

ntuser.dat.log

bootsect.bak

boot.ini

autorun.inf

bootfont.bin

desktop.ini

ntuser.dat

thumbs.db

iconcache.db

根據Bleeping Computer 的說法,Money Message不如其他勒索軟體系列那麼有效。事實上,與其他加密工具相比,它實際上非常慢。一旦勒索軟體進入,它就會留下一個名為 money_message.log的勒索字條,其中包含一個指向 TOR 站點的鏈接以協商贖金。

Money Message勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”