TheMoon惡意軟體在一月和二月感染了 40,000 台設備

Posted on by blogadmin

在3月第一周的活動,該惡意軟體在不到72 小時內針對6,000多個華碩路由器進行了攻擊

Photo Credit: Black Lotus Labs

根據黑蓮花實驗室(Black Lotus Labs)發布的報告,已經發現一個名為「TheMoon」的新變體惡意軟體僵屍網絡正在全球 88 個國家感染數千台過時的小型辦公室和家庭辦公室(SOHO)路由器和物聯網(IoT)設備。TheMoon 與「Faceless」代理服務相關聯,該服務使用一些受感染的設備作為代理,將流量路由給希望匿名化其惡意活動的網路犯罪分子。

黑蓮實驗室的研究人員正在監控最新的 TheMoon 活動,該活動始於 2024 年 3 月初,他們觀察到在不到 72 小時內有 6,000 台華碩路由器成為攻擊目標。威脅分析人員報告稱,惡意軟體操作,如 IcedID 和 SolarMarker 目前使用代理僵屍網路來混淆其線上活動。

針對華碩路由器

針對華碩路由器 TheMoon 首次於 2014 年被發現,當時研究人員警告稱,該惡意軟體正在利用漏洞感染 LinkSys 設備。該惡意軟體的最新活動已在一周內感染了將近 7,000 台設備,黑蓮實驗室表示,他們主要針對華碩路由器。

「通過 Lumen 的全球網路可見性,黑蓮實驗室已識別出 Faceless 代理服務的邏輯地圖,其中一個始於 2024 年 3 月的活動在不到 72 小時內針對了超過 6,000 台華碩路由器。」黑蓮實驗室的研究人員警告道。然而研究人員並未具體說明入侵華碩路由器所使用的確切方法,但鑒於所針對的設備型號已達到生命周期終點,攻擊者可能利用韌體中已知的漏洞。攻擊者還可能通過暴力破解管理員密碼或測試的預設和弱憑證。

一旦惡意軟體獲得設備存取權限,它會檢查特定 shell 環境的存在(「/bin/bash」、「/bin/ash」或「/bin/sh」);否則,它將停止執行。

如果偵測到相容的 shell,載入程式會解密、刪除並執行名為「.nttpd」的有效負載,該負載會建立一個具有版本號(目前為 26)的 PI​​D 檔案。

接下來,惡意軟體設定 iptables 規則以丟棄連端口 8080 和 80 上傳入 TCP的流量,同時允許來自特定 IP 範圍的流量。這種策略可以保護受感染的設備免受外部干擾。

接下來,惡意軟體會嘗試聯絡合法 NTP 伺服器列表,以偵測沙箱環境並驗證網路連線。

最後,惡意軟體透過循環存取一組硬編碼的 IP 位址來與命令和控制 (C2) 伺服器連接,C2 會以指令進行回應。

在某些情況下,C2 可能會指示惡意軟體擷取其他元件,例如掃描連port 80 和 8080 上易受攻擊的 Web 伺服器的蠕蟲模組或代理受感染裝置上流量的「.sox」檔案。該檔案用於代理受感染設備上的流量。

Sox 範例與 Faceless 伺服器通信 Photo Credit: Black Lotus Labs

Faceless 代理服務

Faceless 是網路犯罪代理服務,可透過受感染的裝置為僅使用加密貨幣付款的客戶路由網路流量。本服務不使用「了解您的客戶」驗證流程,任何人都可以使用。

購買 Faceless 代理服務的存取權限 來源:Black Lotus Labs

為了保護他們的基礎設施不被研究人員繪製地圖,Faceless 操作員確保每台受感染的設備在感染持續期間僅與一台伺服器通訊。

Black Lotus Labs 報告稱,三分之一的感染會持續 50 天以上,而 15% 的感染會在 48 小時內消失。這表明後者受到更好的監控,並且可以快速檢測到危害。

受感染裝置的生命週期 來源:Black Lotus Labs

儘管 TheMoon 和 Faceless 之間存在明顯的聯繫,但這兩個操作似乎是獨立的網路犯罪生態系統,因為並非所有惡意軟體感染都成為 Faceless 代理殭屍網路的一部分。

為了防禦這些殭屍網路,請使用強管管理員密碼並將裝置的韌體升級到解決已知缺陷的最新版本。如果設備已達到 EoL,請將其替換為有效支援的型號。路由器和物聯網上惡意軟體感染的常見跡象包括連線問題、過熱和可疑的設定變更。

有關於TheMoon 惡意軟體的的部分入侵指標(Indicator of compromise -IOCs):

abee3860601d8a8f10fa2d0ef9e058c8c9b0b977a87e8c95fb66d3f630281c23  
d4fa6a239895a94f83740db0319601a14896a2b06fff912364f214b0832ee230  
84b45dad03eeb5be10b8313b25de1426b108064b12e2848eaa94cddd58bca297
701531793ecd583e05cdbd853bec8c0ece4c106fc9a6658af2d1b2f6becb70ad  
7724caac245c1e5af1662fc3a1261e02fe097a7a98c129986e6dad41606d0df1
f9ac395dbab71d37b0a22cbacba2613540b51a4be501632320e523531716a057  
9e10aadba51daa66b72ea442a97b31b12b4f718866328109d21d1c03b0e76780  
ab3d693470e7cf8ff2a21338c0a20302465ca7e18c33fc8fe488b0abb8f201f0

欲了解更多,請參考: https://blog.lumen.com/the-darkside-of-themoon/

美國CISA 敦促針對中國APT駭客伏特颱風採取防禦行動

Posted on by blogadmin

美國網路安全機構建議關鍵基礎設施領導者採取多種最佳實踐和防禦措施,以防範中國政府發動的攻擊

美國網路安全與基礎設施安全局(CISA) 昨天向關鍵基礎設施組織的領導人發出嚴厲警告,警告中華人民共和國(PRC) 國家支持的被稱為「伏特颱風」的駭客組織所構成的迫在眉睫的威脅。

CISA 與國家安全局 (NSA)、聯邦調查局 (FBI) 以及其他美國政府和國際合作夥伴合作,於 2024 年 2 月 7 日發布了一份重要公告。 該通報證實,Volt Typhoon 5年來一直進入某些美國關鍵基礎設施組織,攻擊者在某些受害 IT 環境中保持存取和立足點至少五年。CISA 表示,Volt Typhoon 一直在積極滲透美國關鍵基礎設施組織的網路。這種滲透被視為一種戰略舉措,一旦涉及美國及其盟友的地緣政治緊張局勢或軍事衝突升級,可能會擾亂或摧毀關鍵服務。根據該報告,Volt Typhoon 已成功危害各部門的組織,包括通訊、能源、運輸系統以及供水和廢水處理系統。

這種滲透不僅對美國的組織而且對盟國都構成了重大的商業風險。為了應對這一迫在眉睫的威脅,CISA 及其合作夥伴於週二(3/20)發布了一份情況說明書,旨在為關鍵基礎設施實體的執行領導人提供有關優先保護關鍵基礎設施和功能的指導。

該 情況說明書強調了將網路風險視為核心業務風險的重要性,這對於良好治理和國家安全都至關重要。它敦促領導者授權網路安全團隊做出明智的資源決策,並採取主動措施來檢測和防禦 Volt Typhoon 和其他惡意網路活動。 此外,鼓勵領導者保護供應鏈,在組織內推動網路安全文化,並確保制定強有力的事件回應計畫。

CISA 表示:“Volt Typhoon 不依賴惡意軟體來維持對網路的存取並進行活動。” “相反,他們使用系統的內置功能。這種被稱為‘離地生活’的技術使他們能夠輕鬆逃避檢測。為了防止離地生活,組織需要採取全面、多方面的方法。”此外,CISA 表示關鍵基礎設施領導者應進行桌面演習並制定資訊安全計畫。

諮詢中寫道:“領導者應確保所有業務部門的人員,包括行政領導層,都參與該計劃的製定、簽署,並了解自己的角色和責任。” “確保全面且經過測試的計劃到位並獲得批准,使網路安全團隊能夠做出適當的風險知情決策。”

在專門保護組織供應鏈的部分中,情況說明書建議建立強大的供應商風險管理流程「以評估和監控第三方風險」。 CISA 表示,對於參與採購的人員,這些領導者應使用安全設計原則來為與哪些硬體和軟體供應商合作相關的決策提供資訊。

CISA 還表示,關鍵基礎設施領導者應透過倡導風險評估和審計、與外部安全專家合作以及提高對社交工程策略的認識來培養強大的網路安全文化。該機構鼓勵「IT、OT、雲端、網路安全、供應鏈和業務部門之間的合作,使安全措施與業務目標和風險管理策略保持一致」。

欲了解更多,請參考: https://www.cisa.gov/sites/default/files/2024-03/Fact-Sheet-PRC-State-Sponsored-Cyber-Activity-Actions-for-Critical-Infrastructure-Leaders-508c_0.pdf

駭客瞄準玩家後 寶可夢重置用戶密碼

Posted on by blogadmin

#帳號填充攻擊

深受喜愛的遊戲公司寶可夢在檢測到駭客企圖後要求玩家重設密碼

《寶可夢》是一款廣受歡迎的遊戲系列,在全球擁有數億玩家。3月20日,根據Tech Crunch的報道,寶可夢公司(The Pokémon Company)偵測到針對部分使用者的駭客攻擊後,重設了這些使用者帳號密碼。上週,神奇寶貝官方支援網站上出現了一條警報,稱在試圖破壞我們的帳號系統後,寶可夢主動鎖定了可能受到影響的粉絲的帳號。如果您無法登入您的寶可夢訓練傢俱樂部帳號,請按照此處的說明重設您的密碼。”然而該警報現已被刪除。

寶可夢已刪除的警報 Photo Credit: Tech Crunch

在警報刪除後,該公司發言人Daniel Benkwitt解釋說,駭客沒有嘗試存取寶可夢本身,只是針對一些用戶的一系列駭客攻擊嘗試。「帳系統沒有受到破壞。我們所經歷和發現的是駭客登入某些帳號。為了保護我們的客戶,我們重置了一些的密碼。」Benkwitt進一步表示,只有 0.1% 的駭客目標帳號實際上受到了威脅,並重申該公司已經強迫受影響的用戶重置密碼,因此對於那些沒有被要求重置密碼的人來說,他們沒有任何的影響。據了解,對寶可夢帳號的攻擊是以帳號填充(Credential stuffing)的攻擊手法,其中惡意駭客使用從某項服務的資料外洩中獲取到的用戶名和密碼,並在其他網站上重複使用它們,這種攻擊能夠在短時間內危及許多帳號。

最近的一個類似事件的例子是去年10月基因檢測公司 23andMe 發生的事情,在那起事件中,駭客利用其他資料外洩事件洩露的密碼入侵了大約 14,000 個帳號(即 0.1%的用戶資料遭到存取)透過入侵這些帳號,駭客存取數百萬 23andMe 帳號持有者的敏感基因資料。這促使該公司推出強制雙重認證,一種防止撞庫攻擊的安全功能。另外根據 TechCrunch,寶可夢公司沒有允許用戶在其帳號上啟用雙因素驗證。

中國APT駭客Earth Krahang 鎖定全球政府實體 入侵了23 個國家的70 個組織

Posted on by blogadmin

Earth Krahang利用政府間信任發動跨政府攻擊,針對全球多個政府實體的APT活動,駭客重點關注東南亞,但也發現針對歐洲、美洲和非洲

中國 APT 駭客Earth Krahang 將全球政府實體作為目標,已成功侵入 23 個國家的至少 70 個組織,其中包括 48 個政府領域的組織。據監測該活動的Trend Micro研究員稱,該活動自 2022 年初以來一直在進行,主要針對政府組織。該研究報告深入探討了 Earth Krahang 的策略、技術和程序 (Tactics, Techniques, and Procedures -TTP),揭示了Earth Krahang運作及其對全球網路安全的影響。

策略與技術

Earth Krahang 的作案手法包括利用面向公眾的伺服器中的漏洞以及利用魚叉式網路釣魚電子郵件來提供新穎的後門。該活動顯示出一種傾向,即徵用政府基礎設施來發動進一步的攻擊,利用這種存取權限來託管惡意負載並促進網路間諜活動。在公共伺服器上建立立足點後,該組織使用更多的開源軟體包括 sqlmap、nuclei、xray、vscan、pocsuite 和 wordpressscan來掃描敏感檔案、密碼(特別是電子郵件)和其他有用的資源,例如可能指向進一步無人維護的伺服器的孤獨子網域。它還採用了許多暴力攻擊,例如,使用常用密碼清單透過 Outlook 網頁版破解 Microsoft Exchange 伺服器

Earth Krahang的攻擊鏈 Photo Credit: Trend Micro

值得注意的是,Earth Krahang 特別喜歡攻擊的兩個漏洞是 CVE-2023-32315(CVSS 評級為 7.5分的即時協作伺服器 Openfire 中的命令執行漏洞)和 CVE-2022-21587(評級為 9.8分的嚴重命令執行漏洞)使用Oracle 電子商務套件中的Web 應用程式桌面整合器,藉以來獲得未經授權的存取並部署惡意軟體。另外,魚叉式網路釣魚仍然是 Earth Krahang 的一個重要媒介。為引誘目標執行惡意文件而製作的電子郵件通常使用地緣政治主題來製作,表明誘餌的戰略選擇。Earth Krahang 透過 Outlook 網頁版、漏洞掃描尋找 Web 伺服器漏洞以及注入後門對 Exchange 伺服器進行暴力攻擊。根據趨勢科技的報告,該活動的偵察工作非常徹底,廣泛收集了目標實體的電子郵件地址,以最大限度地擴大其網路釣魚嘗試的範圍。

在獲得初始存取權限後,Earth Krahang 使用各種工具和技術來維持存在並利用受感染的網路。在面向大眾的伺服器上使用 SoftEther VPN 是一種值得注意的策略,可讓威脅行為者深入滲透受害者網路。後脅迫活動包括啟用遠端桌面連線、憑證轉儲以及網路內的橫向移動以存取敏感資訊。

Earth Krahang 工具包包括多個惡意軟體家族,其中Cobalt Strike、RESHELL 和 XDealer 最為突出。 RESHELL(一個簡單的 .NET 後門)和 XDealer(一個更複雜的後門,具有 Windows 和 Linux 的版本)是該活動在目標系統中最初立足的關鍵。XDealer 的演變(透過識別的各種版本證明)表明威脅行為者正在積極開發和自訂。

受害者和歸因

根據研究,該活動針對 23 個國家的約 70 名受害者,主要針對政府組織。目標的廣泛地理分佈突顯了 Earth Krahang 對全球的野心。雖然直接歸因具有挑戰性,但與中國關係威脅組織 Earth Lusca 的聯繫以及與中國公司安洵資訊科技(I-SOON)的潛在聯繫,表明可能有國家級支持的組織在協調行動。Earth Krahang 代表了一種複雜且持續的網路威脅,其重點明顯是政府實體和利用政府基礎設施進行網路間諜活動。該活動獨特的惡意軟體家族和策略顯了對強大網路安全防禦和意識的需求。建議組織,特別是政府部門內的組織,採取嚴格的安全措施,包括定期軟體更新、員工有關社會工程攻擊的教育以及實施多因素身份驗證以降低入侵風險。Earth Krahang 不斷發展的策略和工具要求網路安全策略不斷保持警惕和適應,以保護敏感資訊和基礎設施免受這些高級威脅的影響。

Earth Krahang的部分入侵指標(Indicator of compromise -IOCs):

244c32c4809a5ea72dfd2a53d0c535f17ba3b33e4c3ee6ed229858d687a2563a

35f16e469047cf4ef78f87a616d26ec09e3d6a3d7a51415ea34805549a41dcfa

3f0aa01ed70bc2ab29557521a65476ec2ff2c867315067cc8a5937d63bcbe815

50cdd2397836d33a8dc285ed421d9b7cc69e38ba0421638235206fd466299dab

57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829

6fd7697efc137faf2d3ad5d63ffe4743db70f905a71dbed76207beeeb04732f2

898a7527c065454ba9fad0e36469e12b214f5a3bd40a5ec7fcaf9b75afc34dce

c14f6ac5bcd8645eb80a612a6bf6d58c31b0e28e50be871f278c341ed1fa8c7c

d17fe5bc3042baf219e81cbbf991749dfcd8b6d73cf6506a8228e19910da3578

23[.]106[.]122[.]5

207[.]148[.]69[.]1

45[.]76[.]157[.]92

50[.]7[.]61[.]26

50[.]7[.]61[.]27

50[.]7[.]61[.]28

欲了解更多,請參考:  https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

日產證實勒索軟體攻擊 導致10 萬人的數據外洩

Posted on by blogadmin

日本汽車製造商日產表示,該公司在去年12月的一次網路攻擊中,導致澳洲和紐西蘭約有10萬名個資料外洩

日產在週三(3/13)公布了對此事件最新的調查細節,表示已經開始通知受害者,其中包括客戶、經銷商以及一些現任和前任員工。該公司表示,受影響的人數可能會減少,“隨著聯繫方式得到驗證並且將把清單中重複名稱刪除。在攻擊期間,攻擊者侵入了該公司的本地IT伺服器並滲取了敏感數據。自那時以來,日產表示一直在與澳洲和紐西蘭政府當局以及外部網路專家合作,審查被破壞的數據並了解受影響個人的影響。

日產聲稱,並非所有人受影響的資料類型都一樣,估計有10%,或約1萬名人的政府發放的ID被外洩。此外,攻擊者還獲得了4000個醫療卡、7500個駕駛執照、220個護照和1300個納稅文件號碼。其餘90%的受害者的其他個人詳細資料受到了影響,包括與貸款相關的交易報表副本,就業或工資資料,或一般資料,如出生日期。此次攻擊影響了日產大洋洲,這是日本汽車製造商的一個區域部門,涵蓋了澳洲和紐西蘭的各種公司活動,包括營銷、銷售、分銷和服務。

個人可識別資料(PII)的曝光對受影響的個人造成了重大風險,因為冒名者可以使用被盜數據中的姓名和駕駛執照號碼進行身份盜竊。日產表示,將為受影響的個人提供信用卡監控和身份保護服務以減輕損失。公司還提供補償替換政府身份證的費用。

“我們知道這對人們來說是困難的消息,我們誠摯地向我們的社區致歉,因為這可能會引起任何擔憂或困擾,”日產表示。

攻擊的肇事者

Akira勒索軟體聯盟聲稱在2023年12月底發動了這次攻擊,將日產張貼在其暗網揭秘網站上,該網站用來展示其最新的受害者。當時Akira表示,他們竊取了日產的100GB數據。

汽車公司和汽車保險提供商的數據通常受到網路罪犯的高度需求,有多個威脅行為者和團體在暗網上洩露被盜數據。11 月初,另一家日本汽車製造商豐田汽車的歐洲和非洲金融服務部門也遭受了網路攻擊。

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

駭客論壇出現宏碁員工資料 宏碁證實其菲律賓子公司員工資料外洩

Posted on by blogadmin

宏碁稱資安事件影響了員工出勤數據,但並未影響客戶資料庫,宏碁菲律賓公司保證所有客戶資訊均受到保護

Key Points:

*宏碁菲律賓公司證實,負責管理員工出勤資料的第三方供應商系統內發生一起資安事件,導致未經授權存取該資訊。

*宏碁稱此次外洩並未影響宏碁菲律賓公司的客戶資料庫。該公司強調客戶資料仍然安全,並強調考勤系統和客戶資料庫完全分開,並擁有強大的內部系統來保護客戶資訊免受網路安全威脅。

*宏碁菲律賓已向國家隱私委員會 (NPC) 和網路犯罪調查和協調中心 (CICC) 通報了這起外洩事件。目前正在進行全面調查,以充分了解入侵情況。

2024 年3 月12 日,宏碁菲律賓公司出面處理據稱於當天發生的資料外洩事件,在一份官方聲明中,該電腦巨頭承認發生了涉及未具名第三方供應商的安全事件,該事件導致未經授權的存取包含特定員工資訊的資料庫。然而,宏碁很快向客戶保證,他們的資料庫在這次資安事件期間不受到影響。關於宏碁的聲明如下:

宏碁菲律賓公司聲明

碁菲律賓公司確認,其負責管理員工考勤資料的第三方供應商發生了安全事件,導致包含特定員工資訊的資料庫遭到未經授權的存取。

我們想向大家保證,我們的安全檢查確認宏碁菲律賓客戶資料庫沒有遭到破壞或洩露,客戶資料也沒有受到此事件的影響。需要強調的是,第三方供應商運行的考勤資料庫與我們的客戶資料庫完全不同。我們的內部系統保護我們的客戶資料庫,以保護您的資料免受威脅。

我們致力於對委託我們保管的所有資訊實行最嚴格的資料保護。我們已通知國家隱私委員會(NPC)和網路犯罪調查

協調中心(CICC)。徹底的調查正在進行中。

如需準確可靠的更新,請參閱我們的官方溝通管道。如果您有任何疑問或需要進一步說明,我們鼓勵您直接透過我們的官方支援管道聯繫。我們隨時為您提供協助。

感謝您對宏碁菲律賓公司的持續信任。”

Photo Credit: Acer Philippines

在宏碁菲律賓公司發表聲明之前,Deep Web Konek 報告了這一資安事件,聲稱收到了一封詳細說明該事件的電子郵件,據稱此次資料外洩暴露了277 行員工數據,包括姓名、用戶名、密碼、出生日期、手機號碼、電子郵件地址、雇主姓名和部門細節。進一步調查顯示,#OpEDSA是這起資安事件的攻擊者,並解釋說,他們以宏碁菲律賓等大公司為目標,旨在破壞涉及富裕政治家族的政治爭吵以及他們對國家緊迫問題的忽視的現狀。

#OpEDSA稱,他們的動機是來自渴望終結菲律賓精英階層對國家權力的控制,並解釋他們的動機受到了1986年的EDSA菲律賓人民力量革命的啟發。

在過去宏碁也曾發生其他的資安事件,包括: 

— 2023 年3月,名為Kernelware的駭客聲稱持有Acer約160 Gb 的數據,並在暗網兜售
— 2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金。

— 2021 年 10 月 15 日,Desorden Group 的駭客組織的入侵 Acer India的售後服務系統,被盜60 GB的數據

— 2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

中國APT駭客Evasive Panda透過供應鏈、水坑攻擊瞄準印度、台灣、香港、澳洲和美國的藏人

Posted on by blogadmin

Key Points:

*網路間諜活動利用默朗木祈願大法會(宗教集會)來針對多個國家和地區的藏人。

*攻擊者破壞了在印度舉行的年度節日組織者的網站,並添加了惡意程式碼以針對從特定網路連接的用戶發動水坑攻擊。

*軟體開發人員的供應鏈入侵,導致向使用者提供了 Windows 和 macOS 的木馬安裝程式。

*攻擊者為此行動部署了許多惡意下載程式和全功能後門,其中包括一個未被公開記錄過,名為 Nightdoor 的 Windows後門。

最新研究表明,至少自 2023 年 9 月以來,中國國家級駭客Evasive Panda(也稱為 BRONZE HIGHLAND 和 Daggerfly) 利用了有針對性的水坑策略和涉及藏語翻譯軟體木馬安裝程式的供應鏈入侵。攻擊的最終目標是為 Windows 和 macOS 提供惡意下載程式,這些下載程式會部署一個名為 MgBot 的已知後門以及一個先前未記錄的名為 Nightdoor 的 Windows 植入程式。資全公司 ESET 表示,這些攻擊者是中國政府駭客組織 Evasive Panda 的一部分,其目標是居住在印度、台灣、香港、澳洲和美國的藏人。根據 ESET 研究人員今天(3/8)發布的技術文章,攻擊者策略性地利用重要的宗教集會-默朗木祈願大法會來攻擊與藏傳佛教有關的個人,透過破壞節日組織者的網站,他們精心策劃了一次水坑攻擊,專門針對從特定網路連接的用戶。這種策略涉及向網站注入惡意程式碼,導致訪客無意中下載木馬軟體。

certificate.exe的載入鏈 Photo Credit : ESET

這些安裝程式旨在部署惡意下載程式,進一步促進對受害者系統的滲透。安全研究人員強調了該活動的複雜性,因為 Evasive Panda 至少從 2012 年開始活躍,部署了各種惡意下載程式和後門,其中包括以前未記錄的名為 Nightdoor 的 Windows 後門。最新的網路攻擊涉及噶舉國際祈願信託基金網站(「www.kagyumonlam[.]org」)的策略性網路攻擊。攻擊者在網站中放置了一個腳本,用於驗證潛在受害者的IP 位址,如果它位於目標位址範圍之一內,則會顯示一個虛假錯誤頁面,以誘使用戶下載名為「修復」的證書。ESET研究人員表示。“該文件是一個惡意下載程序,它會部署攻擊鏈的下一階段。IP位址檢查顯示該攻擊專門針對印度、台灣、香港、澳洲和美國的用戶。

這個可執行檔(在 Windows 上名為“certificate.exe”,在 macOS 上名為“certificate.pkg”)充當載入 Nightdoor 植入程式的啟動板,隨後濫用 Google Drive API 進行命令和控制(C2)。

Evasive Panda 利用 2024 年 1 月下旬和 2024 年 2 月在印度舉行的一年一度的噶舉祈願大法會來針對多個國家和地區的藏人社區。此外,該活動也因滲透印度軟體公司的網站(「monlamit[.]com」)和供應鏈以分發藏語翻譯軟體的木馬 Windows 和 macOS 安裝程式而受到關注。ESET進一步表示,除此之外,攻擊者還濫用同一網站和一個名為Tibetpost的西藏新聞網站——tibetpost[.]net——來託管惡意下載獲得的有效負載,其中包括兩個全功能的Windows後門和數量未知的macOS 有效負載後門。木馬化的 Windows 安裝程式會觸發複雜的多階段攻擊序列,以釋放 MgBot 或 Nightdoor。該後門具有收集系統資訊、已安裝應用程式清單和正在運行的進程的功能;產生反向 shell,執行檔案操作,並從受感染的系統中卸載自身。

ESET 總結表示,攻擊者部署了多個下載器、植入程式和後門,包括MgBot(Evasive Panda 專用)和Nightdoor:該組織工具包的最新主要新增內容,已用於針對東亞的多個網路。  透過利用網路基礎設施和軟體供應鏈中的漏洞,攻擊者旨在滲透網路並危害目標的個人。該攻擊活動的時間恰逢祈願大法會,顯示他們採取策略性行動,利用這段時期的增加線上攻擊活動。Evasive Panda 自 2012 年以來一直在運營,針對緬甸、菲律賓、台灣和越南的政府實體實施了數十起符合中國地緣政治利益的攻擊。ESET表示,自 2020 年以來, Evasive Panda 多次劫持合法軟體的更新進程,以此作為傳播惡意軟體的方式。

Evasive Panda的部分攻擊目標網路:

Evasive Panda的部分入侵指標(Indicator of compromise -IOCs):

0A88C3B4709287F70CA2549A29353A804681CA78

1C7DF9B0023FB97000B71C7917556036A48657C5

F0F8F60429E3316C463F397E8E29E1CB2D925FC2

7A3FC280F79578414D71D70609FBDB49EC6AD648

70B743E60F952A1238A469F529E89B0EB71B5EF7

FA44028115912C95B5EFB43218F3C7237D5C349F

5273B45C5EABE64EDBD0B79F5D1B31E2E8582324

5E5274C7D931C1165AA592CDC3BFCEB4649F1FF7

欲了解更多,請參考:

https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/

美國NSA推進零信任成熟度 以遏制網路入侵並防止駭客橫向移動

Posted on by blogadmin
零信任架構的七大支柱 Photo Credit: NSA

3月6日,美國國家安全局(National Security Agency, NSA)分享新的指導方針,以幫助組織通過採用零信任框架原則來限制駭客在內部網路上的移動。零信任安全架構要求對網路上的資源進行嚴格控制,無論是在物理邊界內還是外部,以減少遭到入侵的影響。相較於傳統的IT安全模式,零信任是一套安全模型,在這套模型中,不能直接信任任何裝置、使用者或網路區段,而是應將其視為潛在威脅。該設計假設存在威脅,並不允許威脅在網路內自由活動。透過處理駭客可能利用的各種組件或支柱,逐步推進零信任成熟度。美國國家安全局今天釋出了有關網路和環境組件的零信任指南,該組件包括所有硬體和軟體資產、非人實體以及互通協定。零信任模型透過資料流程圖、宏觀和微分割以及軟體定義網路提供全面的網路安全。對於每個組件,組織必須達到特定的成熟度水平,以便按照零信任原則繼續建立。

美國國家安全局稱,網路和環境通過定義網路訪問、控制網路和數據流、分割應用程式和工作負載,以及使用端對端加密,將關鍵資源與未經授權的訪問隔離。

資料流程圖始於識別數據的存儲和處理位置和方式。在這種情況下,組織具有完整的庫存和流程的可見性,並能夠防範所有當前、新的或異常的路徑,則達到了先進的成熟度。

通過宏觀分割(Macro-Segmentation),組織可以通過為每個部門的使用者創建網路區域,限制網路上的橫向移動。

例如,會計部門的某人除非明確需要,否則不需要訪問專用於人力資源的網路段,因此對於駭客而言,攻擊面是受限的。

透過微分割 (Micro-Segmentation),將網路管理細分為較小的組件,並實施嚴格的存取政策以限制橫向資料流動。

美國國家安全局進一步解釋,微分割涉及將使用者、應用程式或工作流程隔離到個別的網路段,以進一步減少攻擊面並在發生入侵時限制影響。

透過軟體定義網路(SDN)組件,可以更細緻地控制微分割,提供可自訂的安全監控和警報。

SDN允許從中央控制中心控制封包路由,提供對網路的更佳可見性,並允許強制執行所有網路段的政策。

在零信任架構的網路和環境支柱中的每個組件,美國國家安全局描述了從準備階段到高級階段的四個成熟度水平,其中實施了廣泛的控制和管理系統,以實現最佳的可見性、監控並確保網路的成長。

設計和建立零信任環境是一項複雜的任務,需要系統性地經歷成熟階段。若處理得當,結果將是一個企業架構,可以抵抗、識別並應對試圖利用弱點的威脅。

此前,美國國家安全局於2021年2月發布了零信任框架的第一個指南(擁抱零信任安全模型 Embracing Zero Trust Security Model),該指南描述了該模型及其背後原則的優勢。在2023年4月,該機構發布了有關在零信任框架中達到使用者組件成熟度的指南,通過用戶支柱推進零信任成熟度。

欲了解更多,請參考:

https://media.defense.gov/2024/Mar/05/2003405462/-1/-1/0/CSI-ZERO-TRUST-NETWORK-ENVIRONMENT-PILLAR.PDF

五眼聯盟揭露 APT29 不斷演變的雲端策略

Posted on by blogadmin

敦促網路防禦者實施強而有力的安全措施,以有效應對這些不斷演變的網路威脅

由美國、英國、加拿大、澳洲及紐西蘭五國情報機構組成的國際情報分享聯盟「五眼聯盟」對APT29(也稱為 Midnight Blizzard、Cloaked Ursa 、The Dukes 或 Cozy Bear)採用的新作案手法發出了警報,APT29 是一個被認定是俄羅斯聯邦對外情報局服務(Russian Foreign Intelligence Service,SVR)轄下的部門。在三年多前精心策劃的 SolarWinds 供應鏈攻擊,入侵多個美國政府機構而聞名。近幾個月來因針對微軟、慧與科技(HPE) 和其他組織以進一步實現其戰略目標而再次引起高度關注。APT29 以政府、智庫、醫療保健組織和能源部門為目標而聞名,但現在已將其目標擴大到包括航空、教育、執法、地方和國務院、政府財務部門和軍事組織。

根據五眼聯盟的聯合諮詢,警告稱APT29 現在已將其策略轉向針對受害者的雲端服務,並正在適應現代 IT 環境,特別是基於雲端的基礎設施的廣泛採用。APT29 現在不再利用本地網路中的軟體漏洞,而是直接針對雲端服務本身進行攻擊。“隨著組織不斷對其系統進行現代化改造並轉向基於雲端的基礎設施,APT29已經適應了操作環境中的這些變化。”

該通報警告還說,APT29 使用透過暴力或密碼噴灑(Password Spraying)的方式進行攻擊從而來獲得服務帳戶和屬於受害者組織前員工的帳戶來存取雲端環境。一旦進入內部,他們就會使用 MagicWeb 惡意軟體等複雜工具偽裝成合法用戶,阻礙偵測工作。

為了應對這些不斷演變的威脅,五眼聯盟敦促網路防禦者實施強而有力的安全措施。其中包括啟用多重身份驗證 (MFA) 和強制執行強密碼、遵守最小權限原則以及及時刪除未使用或休眠的帳戶。此外,對入侵跡象保持警惕並監控可疑活動是阻止 APT29 進展的關鍵步驟。透過採用這些建議,組織可以加強對 APT29 基於雲端的入侵的防禦,並降低未來被入侵的風險。

這些機構總結了一些最佳實踐,以幫助組織免受這些威脅行為者的侵害:

*啟用多重身份驗證 (MFA)

*使用強且唯一的密碼,尤其是對於無法使用兩步驟驗證 (2SV) 的帳戶

*實施系統和服務帳戶的最小權限原則

*建立金絲雀部署服務帳戶以更快地偵測洩露

*調整系統發行token的有效期限

*僅允許授權設備進行設備註冊

*使用各種資訊來源預防、偵測和調查異常行為

NIST發布標誌性網路安全框架 2.0 版

Posted on by blogadmin

新的指南擴充了該框架,納入關鍵基礎設施以外的組織;還包含應對治理和供應鏈網路安全

Photo Credit: Nist

Key Points:

  • NIST 的網路安全框架 (CSF) 現在明確旨在幫助所有組織(而不僅僅是關鍵基礎設施中的組織,即其最初的目標受眾)管理和降低風險。
  • NIST 更新了 CSF 的核心指南,並建立了一套資源來幫助所有組織實現其網路安全目標,並更加重視治理和供應鏈。
  • 此次更新是多年討論和公眾意見過程的結果,旨在使該框架更加有效。
Photo Credit: Nist

經過幾年的審議,美國國家標準與技術研究所 (NIST) 發布了網路安全框架 2.0 (Cybersecurity Framework 2.0—CSF 2.0)。新框架建立在其長期存在以降低網路風險的建議基礎上,除了最初關注關鍵基礎設施之外,還納入了其他組織關注的問題。

NIST 在 2014 年根據美國總統行政命令發布了第一個 CSF,以幫助組織(特別是關鍵基礎設施)降低網路安全風險。CSF 2.0 基於現有的五個基本功能識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)的構建,並已更新包括第六個功能:治理(Governance)。這些功能提供了管理網路安全風險的生命週期的全視圖,同時NIST 的 CSF 2.0 也解決了供應鏈風險。

NIST 應用網路安全部門負責人 Kevin Stine 在聲明中表示:“此次更新是透過與利益相關者密切合作開發的,反映了最新的網路安全挑戰和管理實踐,旨在使該框架與美國和國外更廣泛的用戶更加相關。” 

CSF 2.0 由六大功能組成:治理、識別、保護、偵測、回應 復原。 此外該框架還包括以下內容:

CSF Core —高階網路安全成果的分類,可以幫助任何組織管理其網路安全風險。這可以在 CSF 2.0 的附錄 A 中找到(並且可以透過 CSF 2.0 參考工具瀏覽核心)。

CSF 組織概況— 一種根據 CSF 核心結果描述組織當前和/或目標網路安全態勢的機制。

CSF 層級— 一種可應用於 CSF 組織概況的方法,用於表徵組織網路安全風險管理實務的嚴格性。 

CSF在國際上已廣泛應用;1.1 和 1.0 版本已翻譯成 13 種語言,NIST 預計 CSF 2.0 也將由世界各地志工翻譯。這些翻譯將被添加到 NIST 不斷擴大的 CSF 資源組合中。在過去 11 年中,NIST 與國際標準化組織 (ISO) 以及國際電工委員會 (IEC) 的合作協助協調了多個網路安全文件。ISO/IEC 資源現在允許組織使用 CSF 功能建立網路安全框架並組織控制。NIST 計劃繼續與 ISO/IEC 合作,以繼續這種國際協調

了解更多關於CSF 2.0以及其他補充資源:

CSF 2.0

瀏覽 NIST 的 CSF 2.0 快速入門指南

CSF 2.0 設定文件

CSF 2.0資訊參考