中國駭客 Salt Typhoon 攻擊美國電信業者,目標為犯罪調查使用的竊聽系統

中國關聯的駭客組織 Salt Typhoon 其主要目標是針對大型電信公司

Photo Credit: Shift Delete

根據《華爾街日報》報導,包括 Verizon、AT&T 和 Lumen Technologies 在內的多家美國電信公司日前遭遇到網路攻擊,幕後黑手是名為 Salt Typhoon (鹽颱風) 的中國駭客組織。

這次攻擊行動的背後目的很可能是為了蒐集情資,因為駭客很可能已經存取了美國聯邦政府所使用的法院授權的網路竊聽系統。

Salt Typhoon駭客組織是一個與中國有密切關係的進階持續威脅 ( APT ),已滲透進多家大型寬頻供應商。根據熟悉此次事件的消息人士,Salt Typhoon 針對這些電信網路用以竊取機敏資訊,其中可能包括有關政府竊聽行動的資料。這種竊聽系統對於執法部門監控可疑人士以及打擊犯罪組織至為重要。

《華爾街日報》報導指出,這次攻擊事件是在最近幾週發現的,美國政府和私營單位的資安專家正著手進行調查。瞭解入侵事件相關資訊的人士透露,這次攻擊的影響,包括目前觀察到和已洩漏的資料數量以及類型,仍在審慎評估當中。

自 2019 年以來 Salt Typhoon 開始進行活動,他們被認為是一個縝密且熟練的駭客組織,主要目標是針對東南亞地區的政府單位和電信公司。

該駭客組織通常利用系統漏洞來獲取對目標網路的初始存取權限,例如像是Microsoft Exchange Server 中的ProxyLogon 漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065)。

早前肇因於 Salt Typhoon/ Ghost Emperor 的網路攻擊中,駭客組織使用的手段包括了一種名為SparrowDoor的訂製型後門程式、用來提取身份驗證資料的客制化 Mimikatz (漏洞檢測工具) 工具,以及 Windows kernel-mode rootkit (載入到作業系統核心中的惡意軟體) Demodex

近年來中國 APT 駭客組織有越來越多的網路間諜活動是針對美國和歐洲地區的網路設施和 ISP (網路服務供應商) 來進行的。

今年 8 月,Lumen 黑蓮花實驗室的資安研究人員透露,被稱為「Volt Typhoon」的中國駭客組織利用 Versa Director (網路服務管理平臺) 中的零日漏洞以竊取身份驗證資訊並駭入企業網路。在這些攻擊中,駭客侵入了美國和印度的多個 ISP 以及 MSP (託管服務供應商)。不過一般相信這系列事件與最新的攻擊事件並無關聯。

雖然這些攻擊是歸咎於不同的中國駭客組織,不過可以相信他們的運作是在同一張保護網之下,而且有共享基礎設施以及駭客工具。

Salt Typhoon 的一系列行動顯示出美國和其他國家的重要基礎設施所面臨的持續性風險,更重要的是如何改善網路安全防護以因應愈加縝密複雜的網路攻擊行動。

Salt Typhoon 的崛起以及對 AT&T 和 Verizon 等電信巨頭進行滲透的事件尚未停歇,伴隨著更多細節的浮現,產業領導者和政府必須思考對策,主動加強防禦、共享威脅情資並共同攜手合作,在駭客出手之前預先做好準備。

企業或電信網路服務廠商面對駭客組織的網路攻擊,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的作業系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

國際執法行動聯合逮捕 LockBit 勒索軟體組織和 Evil Corp 成員

Evil Corp 網路犯罪組織是屬於 Lockbit 勒索軟體組織的附屬團體

Photo Credit: NCA (National Crime Agency)

LockBit是世界上最多產的勒索軟體組織,其網站於今年2月19日被查封,這是國際執法行動的一部分,該行動涉及英國國家犯罪局(National Crime Agency)、聯邦調查局(FBI)、歐洲刑警組織(Europol)和幾個國際警察機構。

英國國家犯罪局與聯邦調查局 (FBI) 以及名為克諾司行動(Cronos Operation)的國際執法工作小組密切合作,達到良好成效,LockBit 的服務也因為此次國際執法行動而中斷。

時至今年5月7日,執法單位宣布,他們已經識別、制裁並起訴了LockBit的幕後主使Dmitry Yuryevich Khoroshev。由英國國家犯罪局(National Crime Agency-NCA)領導的執法聯盟宣布,31歲的俄羅斯公民Dmitry Yuryevich Khoroshev是暱稱“LockBitSupp”的幕後黑手,他也是LockBit勒索軟體的管理員和開發者。

此次的行動是 NCA、FBI 和組成克諾司行動(Cronos Operation) 的國際執法工作小組對 LockBit 組織進行全面及持續性調查的重大成功。

近日國際聯合執法行動又有最新成果,「歐洲刑警組織主導一系列針對 LockBit 勒索軟體組織的最新行動,參與行動的包括 12 個國家和歐洲司法單位,最終行動成果為四名嫌犯遭到逮捕並且扣押了 LockBit 集團重要的基礎設施包括伺服器等設備。」歐洲刑警組織發布的新聞稿稱,「因應法國當局的要求,逮捕了一名涉嫌為 LockBit 開發者的人員,而英國當局則逮捕了兩名參與 LockBit 附屬單位活動的人。」

這次的逮捕和制裁行動是代號為「克諾斯行動」的第三階段執法行動的一部分,該行動是由來自 12 個國家的執法機構、歐洲刑警組織和歐洲司法單位聯合執行。聯合行動的目標旨在徹底瓦解 LockBit 勒索軟體集團。

執法當局將一位名叫Aleksandr Ryzhenkov(又名Beverley、Corbyn_Dallas、G、Guester 和Kotosel)的俄羅斯公民列為Evil Corp (邪惡公司) 網路犯罪組織的高階成員之一,同時也將他歸類為LockBit 組織的隸屬成員。此外也宣布了針對與此網路犯罪集團有關的七名個人和兩個組織團體施予制裁。

執法當局官員表示:「Ryzhenkov 使用隸屬名稱 Beverley,創建了超過 60 個 LockBit 系列勒索軟體,並嘗試向受害機構勒索至少達 1 億美元的贖金。」 「雷任科夫 (Ryzhenkov) 也與化名 mx1r 有所關聯,並與 UNC2165(Evil Corp隸屬組織的變體)關係密切。」

英國也制裁了 15 名俄羅斯公民,原因是他們與邪惡公司有密切往來,同時美國當局制裁了6名俄羅斯公民,而澳洲方面也制裁了兩名俄國公民。

LockBit 集團自 2019 年以來一直十分活躍,受害名單非常多,其中包括美國銀行英國皇家郵政等大型機構及組織。這幾年來,執法部門逮捕了多名參與該勒索軟體組織行動的人,其中包括阿圖爾·松加托夫 (Artur Sungatov)德米特里·霍羅舍夫 (Dmitry Khoroshev)米哈伊爾·馬特維耶夫 (Mikhail Matveev)

公家單位或是企業廠商在面對駭客組織的網路攻擊時,竣盟科技 建議採取多層次的防備措施來減低風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

夏威夷社區診所揭露因 Lockbit 勒索軟體攻擊而導致資料外洩

Lockbit 勒索軟體組織針對多家醫療機構發動網路攻擊

Photo Credit: CYWARE

Mālama I Ke Ola 健康中心,夏威夷毛伊島上的一家社區型診所,是屬於非營利的醫療機構。他們於上週通知美國當局,今年早前遭受到了網路攻擊因而導致資料外洩,此事件的影響人數超過了 12 萬人。

當地媒體於今年5 月的報導提到 ,毛伊島的醫療機構在經歷了「重大的IT中斷」後,花了兩週以上的時間才重啟營運。 

到了6 月,惡名昭彰的 LockBit 勒索軟體組織對外聲稱,他們是毛伊島社區診所網路攻擊事件的幕後主導者。

毛伊島社區診所,也稱為 Mālama I Ke Ola 健康中心,是一家致力於為毛伊島社區提供服務的非營利醫療機構。這個診所提供的服務範圍,包括基礎醫療、牙科保健和心理健康支援。他們的營運方針是提供無遠弗屆的醫療保健,無論病患的經濟能力如何,都能在教育、預防和宣導上有所成效。

Mālama 健康中心與外部資安專業人員一起調查了這一次的網路安全事件,截至2024 年8 月7 日調查確定,在2024 年5 月4 日至2024 年5 月7 日這段期間,個人資料可能遭到未經授權的存取及盜竊。

毛伊島社區診所日前揭露了LockBit 勒索軟體攻擊引發的資料外洩事件,共計有 123,882 受到影響

外洩的資訊包括姓名、社會安全號碼、出生日期、駕照號碼、護照號碼、金融卡及支付卡資訊、登入資訊以及其他的機敏醫療資訊。 

自 2024 年 9 月 26 日開始,Mālama 健康中心通知受到影響的個人,另外針對那些社會安全號碼可能暴露的人,也提供了免費的信用監控服務。

「2024 年 5 月 7 日,Mālama 健康中心經歷了一場網路安全事件,也因而影響了我們的網路連線。」致緬因州總檢察長的資料外洩通知信提及, 「在得知此事件發生之後,我們立即展開快速、徹底的調查,同時也通知了執法部門。我們一直與經驗豐富的外部資安專業人員緊密合作,經過嚴密的取證調查和全面的文件審查,我們於2024 年8 月7 日調查確定,您的個人資料可能於2024 年5 月4 日至2024 年5 月7 日這段期間遭到未經授權的存取及外洩。」

目前尚不確定LockBit 勒索軟體組織是否在其洩露網站上公布了這些被盜資訊。即便勒索軟體組織沒有這樣做,也可以十分肯定網絡犯罪分子定會試圖運用這些機敏資訊並從中獲利,儘管健康中心聲稱目前並沒有遭到不當使用的證據。

今年7 月,Lockbit 勒索軟體組織侵入了伊利諾伊州費爾菲德紀念醫院 (Fairfield Memorial Hospital)。不幸的是,該勒索軟體組織聲稱同時期其他醫院也遭遇到他們的駭客攻擊。另外他們宣稱梅里曼國內危機中心 (Merryman House Domestic Crisis Center) 和佛羅裡達州衛生部所發生的駭客攻擊也都是由他們主導的。

針對醫院的網路攻擊是非常危險的,儘管主要勒索軟體組織對其隸屬團體加諸限令以避免他們針對醫院,但最近仍有許多類似事件成為頭條新聞。

LockBit 勒索軟體相關的部分的入侵指標(IOCs):

54d67710488b0e50ae015dbcadf9fb24
5a07502eb5e854aa8bd883453fc9decb
9c15aac2f31dd9e1e8d64cf8f04ea5d6
be8bf725892ddd7a200d0a1906b9387f
1f5638cf71fac8d51253360b4537b074292e70ff
28d09d35d3e5a8490ef4a4ebaa36262fa411afba
582a24a72b29e70f2de26a8d217492c7a6b983ff
78f3d5588a75efbe6a272c1f1a789d20e0ccd0c3
aaeeb05a24f6e7ef77d46ba71794490afbc414ab
166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980

中國 Salt Typhoon 駭客組織對美國網路服務供應商發動攻擊

中國支持的駭客組織其主要目標是針對電信公司、網路服務供應商和其他關鍵基礎設施產業

Photo Credit: Seeking Alpha

根據《華爾街日報》週三 (9/25) 報導,背後由北京支持的國家級駭客組織闖入了幾家美國網路服務供應商(ISP),這是特別精心策劃的網路間諜行動的一部分,其目的是為了蒐集機敏資訊。

而這個行動的主使者則是歸咎於近期 Microsoft 所追蹤的一個駭客組織 Salt Typhoon(也被稱為FamousSparrow和 GhostEmperor)。

《華爾街日報》 9 月 25 日引述了「通曉內情人士」的說法,中國資助的國家級駭客組織在此次行動中成功地針對數家有線電視和寬頻服務業者發動攻擊。

研究人員指出,目前尚不清楚其他的事件細節,然而鹽颱風 (Salt Typhoon) 的行動也凸顯出了中國在現階段地緣政治現實面上的優先考量點。

舉例來說,先在服務供應商網路之中佔據有利位置,便可為後續進軍聯邦政府、執法部門、製造業廠商、軍事承包商和其他Fortune 100 (財富100強) 公司等高價值標的提供有利的偵察。 

但擔憂還不僅僅於此,鑑於中國渴望控制台灣和周邊區域的其他資產,這場行動很可能也含有軍事方面的考量和意圖。

AD(Active Directory) 安全防護公司Semperis 技術主管警告稱:「根據近期中國支持的網路攻擊活動紀錄以及 網路安全暨基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 的警告,中國已從純粹的監視活動晉升到整備足夠的攻擊能力用以侵擾美國重要的民用和軍事基礎設施。」 「這些活動的目的可能包括阻止美國的干預,以及積極地延遲或削弱美國對中國活動的回應處置。」

這次事件也代表了陸續以來中國支持的一系列攻擊行動中的最新實例,這些行動的目標主要是針對電信公司、網路服務供應商和其他關鍵基礎設施產業。

這些針對通訊產業基礎設施的持續性攻擊行為應該會引起電信公司和服務提供業者的警覺,促使廠商和業者們加強他們的資安防禦措施。

資安服務平台NetRise 首席安全策略專家指出,除了網路釣魚和針對員工的社交工程之外,使用核心網路設備的韌體以及供應鏈攻擊都可能成為針對 ISP (網路服務供應商) 的攻擊管道。

他同時談到,「ISP 的盲點就是使設備能夠運行的韌體。大多數韌體或多或少都有包含一些不安全或是不嚴謹的程式碼,一旦被發現,很容易遭到駭客的利用。」

「另一個發動攻擊的媒介則是供應鏈。例如,如果路由器或交換器中的乙太網路控制器是由中國公司所提供的,在某些情況下,惡意程式碼或後門程式有可能會跟那個乙太網路控制器作整合,進而使駭客能夠輕鬆地存取那些重要的網路設備。」

企業或網路服務廠商面對駭客組織的網路攻擊,竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制惡意軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

中國APT組織Earth Baxia利用GeoServer漏洞攻擊亞太地區國家

中國駭客組織Earth Baxia的攻擊目標擴及菲律賓、韓國、越南、台灣和泰國等地

Photo Credit: SOC Prime

截至2024年,中國支持的駭客組織已躋身國家支持的網路威脅前段班。經過上半年,資安研究人員發現了一系列由APT40Velvet AntUNC3886Mustang Panda等駭客組織主導的長期網路間諜活動和破壞性行動。這些組織越來越依賴網路釣魚攻擊和 CVE 漏洞來滲透目標網絡,對全球網路安全形成越來越大的威脅。

最近趨勢科技研究人員報告揭露,一個與中國有關的 APT 組織「地球巴夏」(Earth Baxia) 已經針對台灣的一個政府機構以​​及亞太地區 (APAC) 的其他國家發動了網路攻擊。

該駭客組織使用魚叉式網路釣魚電子郵件並利用最近更新的 GeoServer 漏洞CVE-2024-36401。GeoServer 是一個開源伺服器,它允許使用者共享和編輯地理空間的資料。

研究人員表示:「根據收集到的網路釣魚電子郵件、誘餌文件以及對事件的調查,攻擊目標主要為菲律賓、韓國、越南、台灣和泰國等地的政府機構、電信公司和能源產業。」

2024年7 月,研究人員發現到針對台灣某政府組織和其他亞太地區國家的機構的可疑活動。網路攻擊者在遭侵入的系統上部署了定製的 Cobalt Strike (一種滲透測試工具) 元件,並安裝了一支稱為 EAGLEDOOR 的新型後門程式,這支後門程式並且支援多種通訊協定。

經調查,資安專家發現有多台伺服器是託管於阿里雲服務上或是位於香港地區的。而有一些行動中使用的惡意軟體則是從中國上傳到 VirusTotal (免費線上掃毒網站) 的。

分析其多階段感染鏈的流程,發現到是利用兩種不同的技術,包括魚叉式網路釣魚電子郵件和利用 GeoServer 的缺陷(CVE-2024-36401,CVSS 評分:9.8),最終目的是送出Cobalt Strike 和先前未知的代號EAGLEDOOR 的後門程式,該程式允許資訊收集和負載 (payload) 傳遞。

該APT 組織仰賴 GrimResource 和 AppDomainManager 注入攻擊 (用來載入執行惡意程式的技術) 來部署額外的負載,其目的是降低受害者的警覺心並且避免被偵測到。

此外,日本網路安全公司 NTT Security Holdings 最近詳細介紹了一個與APT41有關聯的駭客集團,據稱該集團使用了相同的兩種技術來針對台灣、菲律賓軍方以及越南的能源機構。

研究人員指出:「地球巴夏 (Earth Baxia) 的據點很可能位於中國,他們針對多個亞太地區國家的政府和能源部門發動了一系列精細設計的攻擊行動。」

「他們利用 GeoServer 漏洞、魚叉式網路釣魚和客製化惡意軟體(Cobalt Strike 和 EAGLEDOOR)等先進技術來入侵系統和外洩資料。該APT 組織利用公有雲服務來託管惡意檔案以及 EAGLEDOOR 的支援多重通訊協定特性,再再凸顯了他們行動的複雜性以及面對不同場域的應變能力。」

EAGLEDOOR後門程式共支援四種,包括透過 DNS、HTTP、TCP 和 Telegram 來與 C2 伺服器通訊的方法。前三個通訊協定其主要用途為傳送受害者狀態,不過核心功能則是透過 Telegram Bot API (網路機器人應用程式介面) 來執行的,用以上傳和下載檔案,以及執行額外的負載。而獲取到的資料則是透過curl.exe 執行程式來洩漏出去。

Earth Baxia組織相關的部分的入侵指標(IOCs):

9f376a334f9362c6c316a56e2ffd4971
e51f2ea5a877e3638457e01bf46a20e1
9833566856f924e4a60e4dd6a06bf9859061f4be
d9b814f53e82f686d84647b7d390804b331f1583
dce0a4c008ea7c02d768bc7fd5a910e79781f925
e2b0c45beadff54771a0ad581670a10e76dc4cf1
04b336c3bcfe027436f36dfc73a173c37c66288c7160651b11561b39ce2cd25e
061bcd5b34c7412c46a3acd100167336685a467d2cbcd1c67d183b90d0bf8de7
1c13e6b1f57de9aa10441f63f076b7b6bd6e73d180e70e6148b3e551260e31ee
1c26d79a841fdca70e50af712f4072fea2de7faf5875390a2ad6d29a43480458

新興勒索軟體組織 Orca 崛起,瞄準台灣企業廠商

勒索軟體組織 Orca 近日於暗網上聲稱對一家台灣製造業廠商發動攻擊

Photo Credit: Dark Web

竣盟科技 近日於勒索軟體揭秘網站發現,有一新興勒索軟體 Orca (虎鯨) 浮現檯面,並對台灣某金屬製造廠商發動網路攻擊。Orca是一個最新出現的勒索軟體,而台灣企業隨即成為其攻擊目標,加上近來陸續有駭客組織對台灣機構或企業發動攻擊的事件,這顯示出台灣企業普遍存在資安防護不足的情況,使其儼然成為駭客集團發動攻擊的容易目標。駭客聲稱,該受害公司被駭資料共計有18 GB,其中包括5張圖片及45,319個檔案。

Photo Credit: Dark Web

據了解,Orca 勒索軟體組織的主要動機是財務因素,他們的信念是盡量避免對公司企業造成不必要的傷害。該組織於聲明中表示,「我們在追求財務收穫的同時也考量到道德的重要性,並遵守針對政府機構、醫院或非營利組織的嚴格政策,因為這些領域對社會至關重要。」

「我們的行動模式是以促進對話及尋求解決方案而非製造混亂和破壞。我們相信,創造一個企業可以參與進來,並且能有建設性地解決問題的環境,這樣可以為各方帶來更好的結果。這種模式使我們能夠以強調溝通協調及共同理解的方式來與企業組織互動,以促進經濟活動,同時盡量減少對社會基本功能運作的干擾。」

「在追求這些目標的過程中,我們致力於維持專業水準,優先考慮溝通和針對性互動的透明度,進而加強商業活動和網路安全可以共存的架構,而不會導致不必要的衝突或傷害。」

相較於之前先後攻擊台灣數家企業的勒索軟體組織RansomHub,這次發動攻擊的Orca 勒索軟體組織,知名度鮮為人知,相關細節資訊包括使用的軟體工具及攻擊手法等亦未被揭露,但仍不可掉以輕心,駭客集團或是勒索軟體組織的行動通常具有計畫性及持續性,需持續觀察並謹慎防備。

Photo Credit: Corporate Website

週四上午 竣盟科技 嘗試進入該受害企業的網站,但是該網站似乎因受到攻擊而暫時癱瘓,只出現了「無法連上這個網站」的訊息視窗。

針對這次事件的後續狀況以及進一步細節,竣盟科技也將密切關注其發展並做更詳實的資安訊息分享。

企業面對勒索軟體組織的網路攻擊,竣盟科技建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制勒索軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

Orca 勒索軟體相關的部分的入侵指標(IOCs):

b8845a76e3942ff4d20ba4660ae926bb
eb90f945087c270a2ecc11753180ba4ecc270696
8ab79654152668be2c10be9cb17d941685e7733628dd7d38d6979516a75682ee

親俄羅斯駭客對台灣證券交易所和銀行等機構發動攻擊

親俄駭客組織 NoName057 原已與 RipperSec 結盟, 9/17 另新增一加盟者 Red Eagle Crew                                                

Photo Credit: Telegram

據報導,上週親俄羅斯駭客組織曾短暫地造成了台灣重要的金融服務平台中斷,包括證券交易所和大型金融控股公司網站,這次事件也暴露出了台灣在面對國外網路攻擊時的弱點。

台灣數位發展部 (MODA) 表示,親俄羅斯駭客組織上週針對 45 家台灣機構及單位發起分散式阻斷服務 (DDoS) 攻擊,其中包括政府機構和金融公司。

數位發展部部長黃彥男於記者會中表示,親俄駭客組織利用由伺服器控制的殭屍電腦網路來發動 DDoS 攻擊,除了台灣之外,攻擊目標還包括美國、加拿大和歐盟的重要基礎設施。

親俄駭客組織NoName057聲稱對台灣政府機構、金融公司和台北松山機場等目標發動了攻擊。據統計,台灣共有45家機構及單位受到了攻擊,不過影響是短期性的,大多數機構很快就恢復了正常運作。

受到影響的機構包括交通部航港局、地方稅務機關、中央政府高層機構、軍事單位包括憲兵指揮部、以及中華電信、國營及公股的金融和證券機構。另外私營企業方面,則以銀行為主要目標。

即時通訊軟體Telegram 上代號為「NoName057」和「RipperSec」的兩個組織上週四下午利用所謂的分散式阻斷服務 (DDoS) 攻擊癱瘓了目標網站,引發平台連線不穩定的問題。台灣證券交易所表示,在此次事件中,證券交易所偵測到來自海外網際網路協定位址 (IP address) 的網路查詢量比平常大上好幾倍。

雖然證券交易所在半小時內隨即恢復了正常運作,但這起事件也暴露出了台灣資訊網路平台的潛在弱點。台灣是全球最大的先進半導體生產國家,也是中美衝突的潛在爆發點。

上週五政府網站和交易系統已恢復正常運作。 DDoS 攻擊是屬於一種惡意性嘗試,透過癱瘓目標或其周圍基礎設施來中斷目標的伺服器、服務或網路的正常流量。

數位發展部最新聲明中表示,「關於NoName057和RipperSec的攻擊,有關當局正蒐集最新資訊,並採取必要措施。」台灣的內閣辦公室也發表譴責,聲稱網路攻擊者不僅在島內引發事端,而且影響範圍擴及整個鄰近區域。

數發布部也證實了本地媒體稍早的報導,並引用Radware研究人員的分析,親俄羅斯組織於Telegram上聲稱參與了此次攻擊事件,其中一個名為 NoName057 的組織在他們的Telegram頻道上說明了之所以針對台灣的原因。

隨著時間推移,事件並未停歇,竣盟科技 觀察到,結盟參與攻擊的駭客組織有所增加,新加盟的是一個稱作Red Eagle Crew的駭客組織。值得注意的是,Red Eagle Crew 在這一波新的攻擊中將 DDoS 攻擊目標鎖定於台灣的私人企業,而非政府相關部門。

Photo Credit: Telegram

此外根據最新消息來源 (NoName057駭客組織於Telegram上發布之訊息),最近遭遇到攻擊的單位還新增加了高雄市警局、彰化市政府以及員林市政府,短期內仍需密切關注並謹慎防範。

近年來,隨著台灣的戰略重要性日益增加,也使得台灣愈來愈頻繁地受到來自國外的網路攻擊。思科系統 (Cisco Systems) 的資安研究人員於八月時表示,一個據信與中國政府有關聯的駭客組織從台灣政府所屬下的一家電算研究中心盜取了密碼和文件。

NoName057駭客組織相關的部分的入侵指標(IOCs):

01e2ad9b3069b939594ceae2e4fe694b
0465303c561129698304db1a57396c4b
0f4bd50d057d8f5d279113a3ca5445f7
116ff8c13afee6f906be41ec4b4833ea
1213e1d1bffbe6b514af16de6d0e0f4b
121c453f795e903d4c91012ea2566ca4
12215d3dc6583f4d47dd306f3237d372
13802ced91f97122e3bc230474c17fec
1afa90293565a1e2a72d5062c1674451
1eb6fddaef31d557f07e829a496e29ba

TIDRONE 間諜組織鎖定台灣無人機製造廠商進行網路攻擊

中國關聯的TIDRONE駭客組織攻擊目標為軍事及衛星工業

Photo Credit: cybernews

趨勢科技 (Trend Micro) 日前發現了一個據稱與中國關聯密切的駭客組織TIDRONE,他們於2024 年開始進行網路攻擊活動,追蹤其行動,發現他們的目標是台灣的無人機製造廠商。

趨勢科技正在追蹤這個組織,並將該組織以TIDRONE作為稱號,趨勢表示這次行動是由間諜組織所主導的,而其攻擊重點是與軍事相關的產業鏈。

該組織之前從未被記錄或證實過,他們使用企業資源規劃 (ERP) 軟體和遠端桌面來部署高階惡意軟體,其中包括了CXCLNT和CLNTEND。

自今年4月以來,TIDRONE組織使用了CLNTEND,一種之前尚未被偵測到的遠端存取工具(RAT),這個軟體支援範圍更廣的網路通訊協定,因而進一步加強了他們的攻擊能力。

CXCLNT 和 CLNTEND 惡意軟體屬於後門程式,兩者都是經由 Microsoft Word 應用程式側載 (sideloading) 一個惡意的動態連結程式庫 (DLL) 來啟動的,進而使網路攻擊者能夠獲取更廣範圍的機敏資訊。

CXCLNT 具備了基本的上傳和下載檔案功能,以及清除痕跡、收集檔案清單和電腦名稱等受害者資訊,還可下載下一階段的可移植性執行檔 (PE, portable executable) 和 DLL 檔案以供執行所用。

資安研究人員表示:「考量檔案編譯的時間和網路攻擊者的操作時間,跟其他中國有關間諜組織從事的活動相比,兩者具有相當程度的一致性,因此可以推估這次攻擊行動很可能是由一個身份尚未明朗的中國背景威脅組織所發動的。」

網路安全公司 Acronis 公布了他們對這次攻擊行動的調查結果,調查中將這一系列攻擊稱之為「WordDrone 行動」,他們觀察到的攻擊行為發生於 2024 年 4 月至 7 月期間。

駭客集團侵入的一個特點是在部署 CLNTEND(又稱為 ClientEndPoint)之前會使用稱為Blindside (盲點) 的技術來迴避端點偵測和回應 (EDR) 軟體的偵測。

Acronis 進一步透露,在台灣一種 ERP 軟體 Digiwin 的資料夾中偵測到惡意構件 (artifacts),這表示有可能是採用供應鏈攻擊或是利用產品中的安全缺陷來取得初始的存取權。

這家新加坡公司同時表示:「台灣大約有十幾家公司參與無人機製造,通常是屬於 OEM 的類型。」 「台灣一直是美國的盟友,再加上台灣強大的科技技術背景,因而成為駭客組織從事軍事間諜活動或供應鏈攻擊的主要目標。」

總結來說,TIDRONE是一個與中國有關聯性的網路攻擊團體。這些攻擊行為是在台灣偵測到而發現的,主要目標為軍事相關產業,特別是無人機製造廠商。這些攻擊行動使用到 CXCLNT 和 CLNTEND 等高階惡意軟體的變種 (variant),這些進階的惡意軟體是透過 ERP 軟體或遠端桌面等方式來傳播。

TIDRONE駭客組織相關的部分的入侵指標(IOCs):

15e52f52ed2b8ed122fae897119687c4
26ff6fac8ac83ece36b95442f5bb81ce
798a707e1abac44b0ad7b1114bcd10a6
6ab0e2ede4e0968eae2bdc63864971054a534f7b
6e35ae1d5b6f192109d7a752acd939f5ca2b97a6
92d28c4201e0d56c46b2d750aa25856f60f2facb
0d91dfd16175658da35e12cafc4f8aa22129b42b7170898148ad516836a3344f
19bbc2daa05a0e932d72ecfa4e08282aa4a27becaabad03b8fc18bb85d37743a
1b08f1af849f34bd3eaf2c8a97100d1ac4d78ff4f1c82dbea9c618d2fcd7b4c8
1bf318c94fa7c3fb26d162d08628cef54157dfeb2b36cf7b264e3915d0c3a504

美國汽車租賃巨頭 Avis 揭露客戶資料外洩事件

Avis艾維士租車公司是全球第一大汽車租賃公司

Photo Credit: The Korea Bizwire

美國汽車租賃龍頭艾維士 (Avis) 日前通知客戶,就在上個月,不明的網路攻擊者侵入了他們系統中的一個商業應用程式,並竊取了其中的一些個人資訊。

「我們在 2024 年 8 月 5 日發現,有未經授權的第三方取得了對我們其中一個業務應用程式的存取權。在知曉這一事件之後,我們立即採取對應措施,停止未經授權的存取,然後在資安專家的協助下展開調查,並向有關當局發出通報。」

Avis發送資料外洩通知信給受到影響的客戶,「根據我們的調查,我們確定未經授權的存取是發生於2024年8月3日至2024年8月6日之間。」

當發現這起事件後,艾維士在資安專家的協助下針對安全漏洞展開了調查。此外,公司也加強了此次受到影響的應用程式的安全性。針對這次攻擊事件的應對處置,該公司在他們的系統中導入了額外的資安防護措施。

根據調查結果,網路攻擊者從 8 月 3 日到 8 月 6 日這段期間侵入了公司的業務應用程式,當時該公司將惡意攻擊者從系統中逐出並阻擋了入侵者對系統的存取。至 8月14日,另外還發現攻擊者已竊取了部分客戶的個人資訊,其中包括姓名和其他未公開的敏感資料。

向緬因州總檢察長提交的另一份文件中披露,網路攻擊者在此次外洩事件中總計竊取了 299,006 位 Avis 客戶的個人資訊。

Avis 發言人表示:「我們會持續進一步加強資訊安全實務和防禦措施,於此同時也向大約30 萬名的美國客戶(佔比不到客戶總數的1%)發送個別通知,提供個人資訊受到影響的客戶免費的信用和身份監控服務。」

艾維士表示,自事件發生以來,他們已與外部專家合作,補強受影響應用程式的安全防護,積極審視安全監控機制,以強化安全防禦,並警告客戶有關資料外洩後可能發生的身份盜用和詐欺風險。

Avis 是 Avis Budget Group (艾維士·百捷集團) 的子公司,Avis Budget Group 是領導全球的跨國汽車租賃集團,同時也擁有世界領先的汽車共享網路 Zipcar。集團的 Avis 和 Budget 汽車租賃品牌在橫跨北美、歐洲和澳洲的 180 個國家經營超過 10,000 個租賃據點。 Avis Budget Group的財務報告揭露,2024 年第二季營收即超過 30 億美元。

艾維士建議在事件中個人資訊受到影響的客戶,可以透過定期檢查和監控帳戶對帳單和歷史信用記錄,以便提早發現任何未經授權的交易或活動的跡象。如果懷疑有任何未經授權的活動,可以聯繫信用報告機構。

針對受到影響的客戶,Avis汽車租賃公司提供一年免費的 Equifax 信用監控服務,這個服務有助於偵測和解決身份盜用問題。

截至目前,該汽車租賃公司並未透露有關此次攻擊事件的技術細節或是背後參與的駭客團體。

竣盟科技 建議,企業組織或機關團體及一般客戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受網路攻擊及個資外洩的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更有效地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉惡意應用程式攻擊手段:了解常見的惡意應用程式攻擊手法以及如何辨識它們並做出因應,可以大幅降低受到侵害的風險。

LockBit 勒索軟體集團聲稱對多倫多教育局 (TDSB) 發動攻擊

多倫多教育局Toronto District School Board (TDSB) 是加拿大最大的公立教育局

Photo Credit: CBC News

日前 LockBit 勒索軟體集團聲稱對加拿大最大的地區教育局多倫多教育局 (TDSB) 發動攻擊,同時間當局也確認這個發生於今年 6 月的攻擊事件,造成 2023/2024 學年度學生的個人資訊受到侵害,確切受到影響的學生人數尚不明朗。

多倫多教育局 (TDSB) 是加拿大最大的地區教育局,共計有 582 所學校和大約 235,000 名學生。6月的時候,教育局通知學生家長,其技術部門使用的測試系統有偵測到未經授權的活動。此測試環境與教育局的官方網路是分隔開的。當發現異常後,TDSB 的資安團隊迅速採取相應措施,以確保資料安全並保護重要系統。

遭到洩露的學生資訊包含了姓名、學校名稱、年級、TDSB 電子郵件地址、TDSB 學號和出生月份/ 日期等。

儘管 TDSB 的資安團隊和外部專家將此次事件對學生所造成的風險評估為“低”,並且據報導遭駭資料當時並沒有被公開,後來LockBit 勒索軟體集團聲稱參與此次攻擊事件,並且要求於兩週內支付贖金。

TDSB 表示,並不知道學生資料是否在明網和暗網上公開揭露。不過TDSB 立即採取了應對措施,像是隔離並確保受影響的系統安全、斷開測試環境、加強資訊安全措施以及通知執法部門等。多倫多教育局同時也向安大略省資訊和隱私專員公署通報了這起事件。

研究人員 Dominic Alvieri 報告中稱,Lockbit勒索軟體集團聲稱對多倫多地區教育局的攻擊事件負責,並且威脅如果教育局沒有在 2 週內支付贖金,將會洩露遭竊資料。然而,這個惡名昭彰的勒索軟體組織另外也聲稱對其他企業或組織發動了數十次的攻擊,但該組織發布的一些公告顯然是錯誤滿篇,其中有些其實是其他勒索軟體集團過去公布的資料外洩事件。

近幾個月來,加拿大境內陸續遭受到多起網路安全事件的打擊,政府網路和私人企業都感受到了強烈的衝擊。

今年4 月 28 日,總公司位於加拿大卑詩省 (British Columbia) 的知名零售和藥局連鎖商店London Drugs宣布,由於遭遇到嚴重的網路侵襲,被迫暫時關閉遍布於加拿大西部的商店。這次的攻擊事件非常嚴重,導致電話線路中斷,連鎖藥局只能於實體店面現場針對有「緊急」需求的病患提供服務。

同時期發生的,還有卑詩省圖書館 (BC Libraries) 通報了一起單獨的網路攻擊事件,一名駭客從剛上線運行的伺服器中竊取資料後試圖勒索贖金,並威脅道如果無法滿足其要求就要公開相關資訊。

7 月底,兩名外國籍人士 Ruslan Magomedovich Astamirov 和 Mikhail Vasiliev在紐華克聯邦法院 (Newark federal court) 認罪,承認他們在LockBit勒索軟體 行動中所擔任的角色。 LockBit 勒索軟體行動自 2020 年 1 月以來一直十分活躍,該組織陸續攻擊了超過 2,500 個受害機構,範圍跨越120 個國家,其中美國境內就有 1,800 個機構遭受過其攻擊。

LockBit勒索軟體組織的攻擊目標涵蓋了個人、企業、醫院、學校和政府機構等。該組織一路以來收取了共計約 5 億美元的贖金,另外更造成了數十億美元連帶相關的經濟損失。

LockBit勒索軟體相關的部分的入侵指標(IOCs):

54d67710488b0e50ae015dbcadf9fb24
5a07502eb5e854aa8bd883453fc9decb
9c15aac2f31dd9e1e8d64cf8f04ea5d6
be8bf725892ddd7a200d0a1906b9387f
1f5638cf71fac8d51253360b4537b074292e70ff
28d09d35d3e5a8490ef4a4ebaa36262fa411afba
582a24a72b29e70f2de26a8d217492c7a6b983ff
78f3d5588a75efbe6a272c1f1a789d20e0ccd0c3
aaeeb05a24f6e7ef77d46ba71794490afbc414ab
166bba02413995aff28ffeb27d3bf3d5a5f6a6cd36893e252c7b9a22836f4980