中國駭客利用 VMware ESXi零時差漏洞部署後門,入侵國防和科技領域

資安研究員觀察到一個中國網路間諜組織利用VMware ESXi零時差漏洞進行權限提升,廣泛使用一系列攻擊者腳本來獲取 vpxuser憑證、枚舉 ESXi 主機及其來賓虛擬機,並操縱連接的 ESXi 主機防火牆規則以竊取數據。

6 月 14 日,資安公司Mandiant 警告稱,一個追踪為 UNC3886 的中國駭客間諜組織被發現利用 VMware ESXi 零時差漏洞來提升客戶虛擬機的權限。UNC3886 最初於 2022 年 9 月詳細介紹,一直在使用惡意 vSphere 安裝服務包(VIB)(通常用於維護系統和部署更新的軟體包)在 ESXi 管理程式上安裝後門並獲得命令執行、檔案操作和反向 shell 功能。該組織的惡意行為會影響 VMware ESXi 主機、vCenter伺服器和Windows 虛擬機 (VM)。

在最近的攻擊中,UNC3886從 vCenter Server 獲取所有連接的 ESXi 主機的憑證,使用 VMCI套接字(一種用於虛擬機通信介面的網路套接字API)部署後門以實現橫向移動和持久性,以及修改和關閉受感染系統上的日誌記錄服務。此外,該組織一直在利用 VMware Tools 中的零時差漏洞繞過身份驗證並在 Windows、Linux 和 PhotonOS (vCenter) 來賓虛擬機上執行特權命令。該漏洞編號為 CVE-2023-20867,具有低嚴重性評級,因為它的利用需要攻擊者擁有對 ESXi 伺服器的root存取權限。VMware 在一份公告中表示,受感染的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作,從而影響客戶虛擬​​機的機密性和完整性,並在VMware Tools的12.2.5版本中解決了該漏洞,建議用戶進行修補。

Photo Credit : Mandiant

根據 Mandiant 的說法,UNC3886 被發現使用腳本通過連接的 vPostgreSQL 數據庫從受感染的 vCenter伺服器獲取憑證,枚舉所有 ESXi 主機及其來賓虛擬機,並修改所有連接的ESXi主機的允許IP清單。

UNC3886組織還使用安裝腳本將惡意安裝服務包(VIB)部署到主機,並利用 CVE-2023-20867 執行命令並將檔案從受感染的 ESXi 主機與來賓 VM 來回傳輸,而無需身份驗證且不留痕跡。

Mandiant進一步說,當從 ESXi 主機執行命令時,利用 CVE-2023-20867 不會在來賓虛擬機上生成身份驗證日誌事件。Mandiant還觀察到該組織使用 VMCI 套接字部署了兩個後門(VirtualPita 和 VirtualGate)以實現橫向移動和持續持久性,以確保他們的惡意活動不被發現。該惡意軟體為攻擊者提供了新級別的持久性(通過存取 VM 重新獲得對受感染 ESXi 主機的存取權限),還允許網路分段繞過和逃避對開放偵聽端口的安全審查。

Mandiant 指出,與 CVE-2023-20867 結合,將重新獲得對 ESXi 主機的存取權限允許攻擊者在該 ESXi 主機下運行的任何虛擬機上使用最高特權帳戶執行未經身份驗證的操作。如果 vCenter 作為 ESXi 主機下的虛擬機存在,攻擊者可以繼續連接到 vCenter 的所有 ESXi 主機獲取所有連接的 vpxuser 憑證,並繼續在環境中橫向移動。Mandiant 補充道,UNC3886以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點偵測與回應(EDR)功能的防火牆和虛擬化平台中的零時差漏洞,組織必須保持警惕,確保他們不僅在操作系統層監控網路,而且還要繼續修補和維護。

Cl0p 勒索軟體組織聲稱通過利用MOVEit Transfer中的漏洞攻擊了全球數百家公司

Cl0p 勒索軟體利用MOVEit Transfer中的的零時差漏洞竊取個資,危害了全球數百家公司。MOVEit Transfer 是一種MFT檔案共享系統,它允許企業使用 SFTP、SCP 和基於 HTTP 的上傳在業務合作夥伴和客戶之間安全地傳輸檔案。該零時差漏洞CVE-2023-34362是一個SQL注入漏洞,未經授權的攻擊者可利用該漏洞對MOVEit Transfer的資料庫進行未經授權的存取,竊取個資。最近傳出勒索軟體組織駭入MOVEit,攻擊BBC、英航和加拿大政府等企業。6月6日,微軟表示是次MOVEit Transfer的攻擊由勒索軟體組織Cl0p策劃。

Progress公司在發布的公告中表示,在 MOVEit Transfer Web 應用程式中發現了一個 SQL 注入漏洞,該漏洞可能允許未經身份驗證的攻擊者獲得對 MOVEit Transfer 數據庫的未經授權的存取。根據所使用的數據庫引擎(MySQL、Microsoft SQL Server 或 Azure SQL),攻擊者除了執行更改或刪除資料庫元素的 SQL 語句外,還可能推斷出有關數據庫結構和內容的資料。

該漏洞影響所有MOVEit Transfer版本,不影響雲端產品。Progress亦已在5月31日發佈修補程式,但是已經有用戶受害。6月7日,Cl0p在其暗網網站Cl0p News上聲稱已入侵數百家企業,暗示到6月14 日他們必須向其聯絡付贖金,滿足他們的需求,否則他們將把受害公司機密資訊公佈於網上。

目前無法確定遭Cl0p利用 MOVEit Transfer 漏洞入侵的組織的確切數量和是否存在台灣企業遭受此漏洞的影響。

5 月 31 日,資安公司Rapid7 專家發現了大約 2,500 個可在互聯網上公開存取的 MOVEit Transfer 實例 ,其中很大一部分位於美國。

Rapid7稱到目前為止,其團隊已經在多個客戶環境中觀察到相同的 webshel​​l 名稱,這可能表明存在自動利用。遭到零時差漏洞CVE-2023-34362攻擊的組織之一是薪資服務提供商Zellis,為英國數百家公司提供薪資支援服務,Zellia透露他們的MOVEit Transfer伺服器遭駭,部分客戶受到波及包含BBC 和英國航空公司員工的出現資料外洩的情況。另外,英國保健和美容零售商及藥店連鎖店 Boots 也證實受到了此次襲擊的影響。該公司尚未確定受影響員工的人數。另一家受影響的公司是愛爾蘭航空公司,該公司證實我們的一些現任和前任員工資料已被披露。

Progress 已及時提供緩解措施,通過將 MOVEit Transfer 更新到其中一個修補版本來幫助防止利用此漏洞。如果更新到上述修補對您的組織不可行,建議禁用 MOVEit Transfer 的 HTTP(s) 流量。

這並非Clop第一次經由檔案傳輸服務製造軟體供應鏈安全危機。該組織分別在2020和 2021年以檔案傳輸服務Accellion及2023年的GoAnywhere 造成大規模感染攻擊。

微軟Outlook 在親俄駭客組織的DDoS攻擊後在周一當掉

在親俄羅斯駭客組織 Anonymous Sudan 聲稱已開始了一項專門針對美國公司和基礎設施的攻擊活動之後,微軟 Outlook 在週一當掉,造成全球用戶受到影響。

Anonymous Sudan 的Telegram頻道

美國東部時間週一上午 10 點左右,總部位於蘇丹的駭客組織 Anonymous Sudan開始在其Telegram 頻道上發布已發動攻擊微軟的消息,大約在同一時間,Outlook 用戶開始在 Twitter 上發布抱怨Outlook.com當掉,這影響了他們的工作效率的消息。從 Anonymous Sudan 分享的 check-host.net URL 來看,他們的目標是“ https://outlook.live.com/mail/0/ ”,這是 Outlook.com 網路服務的主要 URL。當時,約 15,000 名微軟用戶向Downdetector 報告故障事件。

微軟在推特上回覆了預設回覆,“您好。對於由此造成的不便,我們深表歉意。我們已讓相關團隊了解此問題,我們正在努力讓您盡快恢復正常運行。感謝您的耐心等待,”Outlook說。

隨後,微軟證實當掉的不僅是Outlook.com, Microsoft 365與其他服務包含OneDrive for Business、Microsoft Teams、SharePoint Online等也當掉,同時表示正在檢查網路系統與更新活動,以確認造成服務中斷的原因。

Anonymous Sudan 的Telegram頻道

Anonymous Sudan為了向其followers提供背景資料,該組織在Telegram中特別提到了美國國務卿安東尼·布林肯 (Antony Blinken)。布林肯上周訪問了沙特阿拉伯,討論處理蘇丹危機的戰略方法。美國國務卿還宣布對蘇丹的多個實體實施經濟制裁,包括蘇丹武裝部隊 (SAF) 和快速支援部隊 (RSF),以應對最近“對平民住宅和基礎設施的搶劫、佔領和襲擊”。

Anonymous Sudan駭客組織自今年 1 月出現,它擅長對目標進行分散式服務阻斷攻擊 (Distributed Denial of Service -DDoS),分散式阻斷服務攻擊為DoS (Denial of Service)的延伸,為駭客利用大量偽造且無意義的封包,藉以消耗被攻擊者的網路頻寬與系統資源,導致網路癱瘓,無法提供正常的服務。

專家警告技嘉系統中存在類似後門的行為,數百萬PC可能因技嘉系統中的關鍵韌體漏洞而成為駭客的目標

韌體安全公司 Eclypsium 表示,技嘉主機板中的更新過程可能會忽略驗證下載是否來自官方的來源

Photo Credit: Gigabyte

韌體安全服務提供商 Eclypsium的研究人員在超過200款技嘉主機板主中發現了類似後門的功能,進一步分析表明,技嘉系統中的韌體在系統啟動過程中會投下並執行Windows本機執行檔。執行檔用於不安全下載和執行其他有效負載。專家指出,這與其他OEM類似後門的功能(如Computrace後門(又名LoJack DoubleAgent)和韌體植入物(如Sednit LoJax,MosaicRegressor,Vector-EDK)觀察到的行為相同。

Eclypsium分析這個後門似乎正在實施有意的功能,需要韌體更新才能將其從受影響的系統中完全刪除,並表示雖然我們正在進行的調查尚未證實特定攻擊者的利用,但一個活躍的、廣泛存在的、難以移除的後門給擁有技嘉系統的組織帶來了供應鏈風險。

Eclypsium 表示, 它於 2023 年 4 月首次檢測到該異常情況,在分析受影響的 UEFI韌體後,研究人員確定了一個名為8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin的檔案,這是一個 Windows 原生二進制執行檔,Windows 執行檔駐留在 UEFI韌體卷中。

韌體在系統啟動過程中將執行檔案寫入磁盤,這種技術通常被 UEFI 植入程式和後門程式採用。

該執行檔案可用於執行惡意活動,例如下載和執行其他有效負載。

Windows 可執行檔案是一個 .NET 應用程式,它根據其配置從以下位置之一下載並運行可執行負載:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://software-nas/Swhttp/LiveUpdate4

專家指出,使用 HTTP 為中間人攻擊打開了大門,研究人員還注意到,即使使用 HTTPS 協議,遠端伺服器憑證的驗證也未能正確實作,在這種情況下也允許 MITM 攻擊,使情況更加複雜的是,韌體不支援執行檔案的數位簽名驗證。

“投下的執行檔案和正常下載的技嘉工具確實具有滿足 Microsoft Windows 程式簽名要求的技嘉加密簽名,但這對抵消惡意使用幾乎沒有作用,尤其是在使用離地生存技術(如在最近關於Volt Typhoon攻擊者的警報中  )因此任何攻擊者都可以利用它通過 MITM 或受損的基礎設施持續感染易受攻擊的系統,類似後門的行為可能會影響超過三百個 Gigabyte 系統。

這些問題使組織面臨範圍廣泛的攻擊場景:

*攻擊者濫用 OEM 後門。

*OEM 更新基礎設施和供應鏈的妥協

*使用 UEFI Rootkit 和植入程式的持久性

*MITM 攻擊韌體和軟體更新功能

*由於官方韌體中的不良行為而持續存在風險

Eclypsium建議採取以下措施將風險降至最低:

*掃描和監控系統和韌體更新

*將系統更新到經過驗證的最新韌體和軟體。

*檢查並禁用技嘉系統上 UEFI/BIOS 設置中的App Center下載和安裝功能,並設置 BIOS 密碼以阻止惡意更改

*阻止上述網站加入封鎖名單

6 月 1 日, 技嘉更新:已發布修復程式以解決主機板漏洞,並表示其程師在對技嘉主機板的新BIOS進行全面測試和驗證後,已經降低了潛在風險,並將Intel 700/600和AMD 500/400系列Beta BIOS上傳至官網

兆勤警告其防火牆和 VPN 設備存在兩個重大漏洞,呼籲儘快更新

Photo Credit: Zyxel

#CVE-2023-33009

#CVE-2023-33010

網路設備製造商兆勤科技Zyxel 警告客戶其數款防火牆和 VPN 產品中存在兩個嚴重漏洞,攻擊者無需身份驗證即可利用這些漏洞。

這兩個安全問題都是緩衝區溢出的漏洞,並可能允許在易受攻擊的設備上執行阻斷服務攻擊 (DoS) 和遠端程式碼。

“兆勤已經發布了針對受多個緩衝區溢出漏洞影響的防火牆的修補,”該供應商在一份安全公告中表示。“建議用戶安裝它們以獲得最佳保護,”該公司補充道。

緩衝區溢出問題允許內存操作,使攻擊者能夠在分配的部分之外寫入數據。它們通常會導致系統崩潰,但在某些情況下,成功利用可以允許在設備上執行代碼。

Zyxel 的最新修補解決了以下漏洞,以下是對這兩個漏洞的簡要說明:

CVE-2023-33009:通知功能中的緩衝區溢出漏洞可能使未經身份驗證的攻擊者能夠導致拒絕服務 (DoS) 條件和遠端程式碼執行(CVSS 分數為 9.8)

CVE-2023-33010:ID 處理函數中的緩衝區溢出漏洞,允許未經身份驗證的攻擊者執行遠端程式碼或導致拒絕服務 (DoS)(CVSS 分數為 9.8)

該公司表示,以下設備受到影響:

ATP(版本 ZLD V4.32 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補)

USG FLEX(版本 ZLD V4.50 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補)

USG FLEX50(W) / USG20(W)-VPN(版本 ZLD V4.25 到 V5.36  Patch 1,在 ZLD V5.36 Patch 2 中修補)

VPN(版本 ZLD V4.30 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補),以及

ZyWALL/USG(版本 ZLD V4.25 到 V4.73 Patch 1,在 ZLD V4.73 Patch 2 中修補)

供應商建議受影響產品的用戶盡快應用最新的安全更新,以消除駭客利用這兩個漏洞的風險。

中小型企業使用運行上述易受攻擊版本的設備來保護他們的網路,並允許遠端或在家辦公的員工進行安全網路訪問 (VPN)。攻擊者密切關注影響此類設備的任何重大漏洞,因為它們可以促進輕鬆存取公司網路。

上週,網路安全研究員Kevin Beaumont報告,4 月底,Zyxel 在其防火牆設備中修復了一個嚴重的 RCE 漏洞,跟踪為 CVE-2023-28771  (CVSS 分數為9.8),並敦促客戶安裝補丁。該公司還修復了影響某些特定防火牆版本的高嚴重性身份驗證後命令注入問題(CVE-2023-27991 ,CVSS 分數為8.8)。

鈴木摩托車Suzuki Motorcycle India因網路攻擊導致工廠生產線已停工一周,造成嚴重生產損失

Key Points:

*鈴木摩托車印度廠提供全球近一半的鈴木汽車產品,該國也是該品牌在 2023 財年增長最快的市場

*除了造成超過 20,000輛摩托車的生產損失外,該資安事件還迫使鈴木推遲其年度供應商大會

*該公司尚未透露攻擊的來源或何時恢復生產

負責製造鈴木摩托車的印度廠在遭受網路攻擊後被迫關閉,據印度媒體報導,由於營運受到網路攻擊,Suzuki Motorcycle India 的工廠被迫停產,自 5 月 10 日(星期六)以來,生產一直停滯不前,估計在此期間造成了至少 20,000 多輛摩托車的生產損失。鈴木摩托車稱已採取措施應對這一情況,包括因前所未有的業務需求(unprecedent business requirement)而推遲了原定於本週開始的年度供應商會議。該公司已將事件報告給有關政府部門,並正在配合調查。不過,該發言人補充說出於安全考慮,目前無法提供更多細節,因此並未透露此次攻擊的來源,也未提供恢復生產的具體時間表。如果該公司之後透露遭受到勒索軟體攻擊,相信任何人都不會感到驚訝。儘管如此,消息人士表示,該工廠將在未來幾天恢復營運。

Photo Credit: 鈴木摩托車印度廠

據印度Acko Drive的報導,鈴木摩托車是 2023 財年該國第五大兩輪車生產商,產量接近 100 萬輛,就像其姊妹公司 Maruti Suzuki 一樣,印度是這家兩輪車製造商在日本以外的最大市場。它是日本鈴木汽車的主要出口中心,印度 20% 的產品供應全球主要市場。印度佔鈴木汽車公司全球產量的 50%,是上一財年增長最快的市場之一。鈴木的全球產量在 2023 財年增長了超過 22 萬輛,其中近 85% 的增量來自印度。

鈴木摩托車在競爭激烈的印度兩輪車市場中佔有接近 5% 的市場份額,其 Burgman Street 和 Access 踏板車系列享有很高的市場佔有率。踏板車佔其 2023 財年總產量的 90% 以上,該公司在該領域的市場份額為 14%。憑藉在踏板車領域 14% 的市場份額,鈴木計劃在其產品線中推出更多產品,但像這樣的資安事件肯定會破壞或延誤其一些計劃。

印度公司經常成為攻擊目標

此次鈴木遭攻擊前,在過去 3-4 年中,包括印度國家銀行 (SBI)、印度最大的電力公司Tata Power、印度最大的醫療機構全​​印度醫學科學研究所( AIIMS ) 、頂級醫院Safdarjung

印度香料航空SpiceJet印度航空達美樂印度等幾家大企業亦曾被網路或勒索軟體攻擊,在所有行業中,醫療保健受到網路攻擊的打擊最嚴重,其次是教育和政府。然而印度並不孤單,因為全球網路攻擊在2022年激增38%後達到歷史最高水平,隨著 ChatGPT 開啟了駭客快速生成程式碼的可能性,網路安全變得更具挑戰性。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

網路戰在中台緊張的局勢中升級,針對台灣的惡意電子郵件在2023年第一季度激增

台灣成為了今年第一季度全球網路攻擊的頭號目標,根據Checkpoint,2023年第一季度全球每個組織每周遭受的平均網路攻擊次數較上年同期增長 7% 至 1,248 次,攻擊目標為政府和軍事機構、私營企業和教育機構。然而,在此期間,台灣每個組織每週的網路攻擊次數平均為 3,250 次,是全球平均水平的 2.6 倍。另外根據Trellix的一份資安報告<<China-Taiwan Tensions Spark Surge in Cyberattacks on Taiwan>>,中國與台灣的緊張局勢導致針對台灣的網絡攻擊顯著增加。特別是對其主要目標部署惡意軟體和竊取敏感資料。Trellix觀察到針對台灣政府官員的勒索郵件顯著增加,1 月份惡意郵件數量同比增長了30 倍。另外瞄准其他組織的攻擊,從 4 月 7 日開始一直持續到 4 月 10 日,在此期間,惡意電子郵件的數量猛增到平時數量的四倍。

Photo Credit: Trellix

Trellix 高級研究中心高級副總裁 Joseph Tal 在報告中表示,在過去幾年中,他們注意到地緣政治衝突是各種行業和機構遭受網路攻擊的主要驅動力之一,從惡意電子郵件和 URL 到惡意軟體。Trellix表示,在中國宣稱台灣是其領土的一部分與台灣保持獨立之間的緊張關係已經演變成令人擔憂的激增網路攻擊。在這種情況下,Trellix 觀察到網路釣魚攻擊帶有國家級駭客組織的特徵。

他們發現,在 4 月 7 日到 4 月 10的期間,惡意電子郵件的數量增加到平時數量的四倍多。這些活動針對政府機構以及 IT、製造和物流行業,駭客部署了被稱為PlugX的一種遠端存取特洛伊木馬程式(RAT),這也是一種Windows 後門。PlugX被發現自2012 年以來已被許多中國APT駭客組織用來控制受害機器並使用DLL 側載技術來躲避被檢測。針對台灣的惡意電子郵件數量激增之後,Trellix檢測到PlugX惡意軟體的數量增加了 15 倍,這表明網路釣魚誘餌充當了初始存取向量以投遞額外的有效負載,使用 PlugX 的一些已知APT駭客包括 APT10、APT27、APT41、MustangPanda 和 RedFoxtrot。PlugX 以其逃避防毒軟體的能力而聞名,並使駭客能夠跟踪擊鍵、在受害者設備上螢幕截圖和存取檔案,一些 PlugX 插件包括磁碟枚舉、鍵盤記錄、網路資源枚舉、port mapping、進程終止、登錄檔編輯、服務控制和遠端 shell 存取等功能。

Photo Credit: Trellix

除了 PlugX,Trellix 表示還發現了其他惡意軟體的系列,例如混淆工具Kryptik 特洛伊木馬式以及針對國家的竊取程式FormBook 和 Zmutzy間諜軟體。在攻擊活動中發送的一些惡意電子郵件涉及來自律師事務所的虛假逾期付款通知,其中包含惡意附件,而另一些則是聲稱來自 DHL 的虛假發貨通知電子郵件,這些電子郵件包含指向網路釣魚頁面的連結,其他電子郵件在報價或採購訂單請求中則附加了惡意軟體。Trellix說,注意到許多不同主題針對台灣組織的的惡意網頁,如通過登錄頁面、目標公司特定頁面、多種品牌登錄頁面等,用於定位用戶以獲取憑證。

PhotoCredit: Trellix

中國和台灣之間日益緊張的關係,加上越來越多的網路安全攻擊,引起了全球個人、企業和政府的關注。在中國外交部上個月發表戰狼言論言論後,美國國會參、眾兩院跨黨派議4月20日同步提出法案,要求美國政府協助強化台灣網路安全,因應中國的網路威脅,大幅擴大與台灣的網路安全合作。兩黨的《台灣網路安全韌性法案》Taiwan Cybersecurity Resiliency Act將授權美國國防部與台灣進行網絡訓練演習,保衛其軍事基礎設施和系統,並消除針對台灣的惡意數位活動。

Trellix 高級研究中心高級副總裁 Joseph Tal 最後表示,監控地緣政治事件可以幫助組織預測其運營所在國家/地區的網路攻擊。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

傳出中國日報及台灣上市氣動元件大廠遭LockBit的毒手

竣盟科技於本週二(5/17)在LockBit的揭秘網站上發現兩家值得關注的受害者分別是台灣某上市氣動元件大廠及中國日報,根據LockBit網頁,該台灣氣動元件廠商,總部位於台北,系全球知名專業氣動器材供應商;主要生產電磁閥、氣缸等各類氣動元件和輔助元件等,該公司的官網也提及到其分司、硏發中心、生產基地、物流中心等遍佈意大利、美國、日本、泰國、和中國等地。目前該公司的六份資敏檔案遭LockBit公開作為入侵的證據。LockBit 聲稱如果在5月30日前未達成協議,將分佈所有盜來的資料,然而暫未提供資料量及勒索金額。

本週另一個亞太地區的受害者引起了我們注意的是,被稱為中國第一份全國英文報紙的中國日報(China Daily ),目前中國日報官方網站仍可以存取,沒有連結失敗的跡象。中國日報是中國發行量最大的英文報紙。根據Cybernews的報導,中國日報在2014正式由中國國務院新聞辦公室 ( The State Council Information Office ) 管理。據報導,國新辦經常與《中國日報》的記者和編輯舉行會議,指導他們應該發表的內容。今年 5 月初,《中國日報》香港版在香港大獎 2022 中包攬了五個類別的八個獎項。目前LockBit將中國日報截止日期設定為5 月 22 日,表明該組織可能已對被盜數據提出贖金要求,並威脅要在下週洩露這些數據,只是還沒設置公開而已。

今天,美國宣布懸賞 1000 萬美元,以捉拿名為Mikhail Pavlovich Matveev(又名Wazawaka、m1x、Boriselcin 和 Uhodiransomwar)的俄羅斯駭客,該駭客涉嫌對美國執法機構和醫療保健提供者進行勒索軟體攻擊。美國司法部表示,Mikhail Pavlovich Matveev 還被指控為部署和開發LockBitBabukHive 的核心人物。“據稱,這三個全球勒索軟體活動的成員向受害者提出的贖金要求總額高達 4 億美元,而受害者支付的贖金總額高達 2 億美元。”該部門在一份聲明中表示。

LockBit、Babuk 和 Hive 的核心人物 Matveev

據稱 Matveev 使用這些勒索軟體來加密和劫持眾多受害者的數據以勒索贖金,這些受害者包括醫院、學校、非營利組織和執法機構,例如華盛頓的大都會警察局DC等,美國司法部表示, 自 2020 年初以來LockBit 勒索軟體已被用於針對美國和世界各地的目標發動 1,400 多次攻擊,發出了超過 1 億美元的贖金要求,並收到了超過 7,500 萬美元的贖金。

司法部表示,勒索軟體參與者存取易受攻擊的電腦系統並加密或竊取數據,然後,發送勒索信,要求支付贖金以換取解密數據或不公開發布數據。

Matveev 被控串謀傳輸贖金要求、串謀損壞受保護的電腦和故意損壞受保護的電腦。美國國務院懸賞高達 1000 萬美元,以獲取導致他被捕和定罪的資料。如果罪名成立,Matveev將面臨 20 多年的監禁。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

認識Akira:一種正在迅速擴大其受害者名單的新型勒索軟體!

Key points:

>今年3月才出現的已對16家組織發動攻擊,勒索金額由20萬到100萬美元不等。

>受害公司分佈在各個行業,包括教育、金融、房地產、製造和諮詢。

Akira 勒索軟體揭秘網站

Akira勒索軟體於2023年3月才浮出水面,根據資安團隊 MalwareHunterTeam發現了 Akira 勒索軟體樣本 ,他們與 BleepingComputer 共享了同一樣本,以便對其進行分析。根據分析結果,在執行時,Akira 通過運行以下 PowerShell 命令刪除設備上的 Windows 卷影備份:

powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”

然後,勒索軟體將繼續加密包含以下檔案副檔名的檔案:

.accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi,

.grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf,

.nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps,

.tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk,

.vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx

加密時,跳過在資源回收桶、系統卷影資料、Boot、ProgramData 和 Windows 檔案夾中找到的檔案,它還避免使用 .exe、.lnk、.dll、.msi 和 .sys 檔案副檔名加密 Windows 系統檔案。

加密檔案時,勒索軟體會加密檔案並附加 .akira 副檔名,該副檔名將附加到檔案名中。

例如,名為 1.doc 的副檔名將被加密並重命名為 1.doc.akira,如下面的加密副檔名夾所示:

Photo Credit: BleepingComputer

Akira還使用 Windows Restart Manager API 來關閉進程或關閉可能使檔案保持打開狀態並阻止加密的 Windows 服務。

每個電腦檔案夾都將包含一個名為akira_readme.txt 的勒索信,其中包含有關受害者檔案所發生情況的資料以及指向 Akira 揭秘網站和談判網站的連結。

每個受害者都有一個唯一的協商密碼,以連結談判網站,受害者可以使用聊天系統與Akira進行談判。以目前的了解,如果受害者不需要解密工具,只要防止敏感資料外洩的話,Akira是一個願意降低贖金價格的勒索軟體組織。

Akira勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c

美國德州達拉斯市遭Royal勒索軟體組織攻擊,導致其警察局和市政廳網站癱瘓,部分陪審團審判被取消

達拉斯市是德州第三大城市,美國第九大城市,被英國羅浮堡大學地理系的「全球化及世界城市研究網路」列為第三類世界級城市,即小型世界級城市

駭客進行的勒索軟體攻擊變得越來越普遍,雖然他們大多數針對企業、組織或個人,但也有一些針對大城市。5月3日,美國德州達拉斯市(City of Dallas) 成為皇家勒索軟體(Royal Ransomware)的最新受害者,被迫關閉其 IT 系統以防止攻擊蔓延。

據當地媒體報導稱,由於勒索攻擊導致達拉斯市政廳伺服器當機並導致達拉斯警察局 (Dallas Police Department) 網站斷網,儘管官方表示為居民提供的 911 緊急服務未受影響,但警察的調度單是以手寫的方式或無線電通知,而不是通過數位調度系統,消防員回應緊急呼叫的電腦輔助調度系統也出現問題,從一大早開始,就一直在進行人工調度的操作。隨後該市確認了這起資安全事件,直到目前仍正在努力從影響其服務的勒索軟體攻擊中恢復。其他受影響的系統包括處理入獄和犯罪報告的系統。該市的法院系統也被關閉,導致陪審團審判被取消,直至另行通知。

達拉斯市在其官網發布通知,表示正在經歷服務中斷,正在努力恢復服務—Photo credit: City of Dallas

達拉斯市發布的聲明表示,其安全營運中心使用的安全監控工具在其環境中偵測到勒索軟體攻擊,該市已確認許多伺服器(不到 200 台設備)已被勒索軟體入侵,影響了幾個功能區域,包括引人關注的達拉斯警察局網站,該市團隊及其供應商正在積極努力隔離勒索軟體,以防止它的傳播,並積極地恢復當前受影響的任何服務,根據該市的事件回應計劃 (IRP),市長和市議會已獲悉該事件。

達拉斯市收到的勒索信,來源:JD MILES/CBS NEWS TEXAS

據報導,達拉斯市網路上的印表機於週三(5/4)早上開始印出勒索信,證明Royal勒索軟體組織發動此次攻擊,勒索信中含有指向 Royal 暗網的URL以供受害者向其聯繫。值得一提的是,竣盟科技在Royal的暗網揭秘網站上並沒有發現達拉斯市的頁面,因此無法得知什麼類型的數據被盜。與許多其他勒索軟體組織一樣,Royal 會在加密目標系統之前洩露大量數據。該組織還使用間歇性加密(Intermittent Encryption)來避免檢測並更快地感染系統。雖然 Royal可能會洩露數據以進一步勒索達拉斯市,但尚未確認敏感數據是否從該市被盜,也無法確認 Royal 是否提出了具體的贖金要求。

根據美國聯邦調查局(FBI)與網路安全暨基礎設施安全局(CISA)於 2023 年 3 月發布的網路安全諮詢,自 2022 年 9 月以來,該組織已經入侵了多家美國和國際上的組織。該諮詢指出,Royal勒索軟體組織的目標是製造、通信、醫療保健和公共醫療保健 (HPH) 以及教育。

該諮詢報告稱,Royal 在 66.7% 的時間裡使用網路釣魚電子郵件來存取受害網路。為Royal勒索軟體主要傳播途徑,一旦進入系統,Royal就會在部署勒索軟體和在加密系統之前禁用防毒軟體,將試圖阻止攻擊的人拒之門外。在過去的攻擊中,Royal曾提出的贖金要求從 100 萬美元到 1100 萬美元不等。

Royal 的部分入侵指標(Indicator of compromise -IOCs):

8A983042278BC5897DBCDD54D1D7E3143F8B7EAD553B5A4713E30DEFFDA16375

8a99353662ccae117d2bb22efd8c43d7169060450be413af763e8ad7522d2451

be030e685536eb38ba1fec1c90e90a4165f6641c8dc39291db1d23f4ee9fa0b1

B8C4AEC31C134ADBDBE8AAD65D2BCB21CFE62D299696A23ADD9AA1DE082C6E20

4a9dde3979c2343c024c6eeeddff7639be301826dd637c006074e04a1e4e9fe7