美國聯邦調查局和烏克蘭警方合作展開了一項國際行動,查封了九個加密貨幣交易網站,以打擊網路犯罪

美國聯邦調查局和烏克蘭執法部門取締了九家涉嫌為網路犯罪分子服務的加密貨幣交易所。根據聯邦調查局週一(5/1)發布的新聞稿,該機構的底特律外地辦事處和虛擬貨幣回應小組,以及烏克蘭國家警察和檢察長辦公室,進行了經法院授權一項國際行動,查封涉及犯罪集團用來洗錢非法活動(包括勒索軟體攻擊和線上詐欺)的九個加密貨幣交易所。根據新聞稿,九個交易所服務都在暗網的駭客論壇上做廣告,這些網路資源為用戶提供匿名交換加密貨幣,而此類服務是為了促進非法所得資金的合法化和洗錢。通過交易所,攻擊者轉移了因惡意軟體攻擊(加密病毒)和線上詐騙而獲得的資產。查獲的網站允許用戶匿名將加密貨幣轉換為更難追踪的硬幣,以掩蓋資金追踪,並幫助網路犯罪分子在不被執法部門追踪的情況下洗錢。執法實體沿著與之相關的域查封了加密貨幣交易所背後的基礎設施,查獲的伺服器位於美國、歐洲國家和烏克蘭。

此次行動中執法部門查封的九個加密貨幣交易所網站,包括:

24xbtc.com

100btc.pro

pridechange.com

101crypta.com

uxbtc.com

trust-exchange.org

bitcoin24.exchange

paybtc.pro

owl.gold

FBI強調,不合規的虛擬貨幣交易所在打擊洗錢方面的控制“鬆懈”,並且收集的客戶資料很少,或者根本沒有,違反《美國聯邦法典》第 18 篇第 1960 條和1956 條,此類交流是網路犯罪生態系統中的重要樞紐,通過提供這些服務,虛擬貨幣交易所故意支持其客戶的犯罪活動,並成為犯罪計劃的同謀,聯邦調查局的公告中寫道。

現在執法部門對查封的基礎設施進行分析,調查仍持續進行,用戶在打開以上被查封的9個網站時,會看到首頁上出現的多種語言版本的警告,通知用戶,該網域已被聯邦當局查封,經營無證貨幣交易業務和協助洗錢是聯邦犯罪等字句。

打擊加密貨幣洗錢非常重要,因為這些平台使駭客能夠繼續他們的勒索活動有增無減,並在現實世界中使用被盜資金。

通過查封這些服務,執法機構不僅阻礙了勒索軟體集團的金融運作,而且向此類平台的運營商發出了一個強烈的訊息,即不會容忍非法或暗網的活動。

根據BleepingComputer,最近幾個月針對加密貨幣洗錢採取了幾項行動,2023 年 3 月,FBI 與歐洲刑警組織和德國警方一起查封了“ChipMixer”加密貨幣混合服務,駭客、勒索軟體組織和詐騙者使用該服務洗錢。

2023 年 4 月 24 日,美國財政部外國資產控制辦公室 (OFAC) 制裁了支持北韓加密貨幣洗錢網路的brokers。

在今年年初,美國司法部逮捕了在香港註冊的加密貨幣交易所Bizlato 的創辦人,罪名是幫助網路犯罪分子洗錢非法所得。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ,以監視非營利組織

根據資安公司ESET 的研究,名為Evasive Panda 的中國APT駭客組織以中國非營利組織為目標,利用自訂義的自定義後門MgBot,作為騰訊QQ 即時通訊應用程式自動更新的一部分,來監視受害者並從他們的設備收集數據。研究指出該活動於 2020 年 11 月開始,攻擊鏈旨在分發 MgBot 惡意軟體的 Windows 安裝程式,大多數受害者是國際NGO(非政府組織)的成員,分佈在甘肅、廣東和江蘇等省份,顯示出相當具體和集中的目標。

中國國家級駭客組織Evasive Panda,也被稱為 Bronze Highland 和 Daggerfly,是一個至少從 2012年開始活躍的網路間諜組織,此前曾針對中國大陸、香港、澳門、尼日利亞以及東南亞和東亞多個國家的組織和個人發動攻擊。

Photo Credit: ESET

ESET 報告稱,MsgBot惡意軟體負載作為騰訊 QQ 軟體更新從屬於軟體開發商的合法 URL 和 IP 地址傳遞給受害者,這意味著攻擊可能有兩種情況 – 供應鏈攻擊或中間人 (Adversary-in-the-middle AITM) 攻擊。

在第一種情況下,Evasive Panda 必須入侵騰訊 QQ 的更新分發伺服器,以合法軟體更新為幌子將木馬化應用程式“QQUrlMgr.exe”發送給受害者。ESET 注意到更新程式的木馬化版本從寫死 URL的(“update.browser.qq[.]com”)獲取惡意軟體,並使用與伺服器提供的MD5 哈希匹配的寫死解密密鑰,由於騰訊並未回應ESET的提問,該網址的合法性還有待確認。此外,分析人員無法從伺服器檢索 XML 更新數據的樣本,因此未能揭示惡意軟體的傳遞機制。

觀察到的惡意 URL、IP 和檔案 (Photo Credit: ESET)

若在中間人攻擊情況下,ESET注意到與過去採用這種策略的活動,涉及名為 LuoYu 的中國駭客團隊, 卡巴斯基也在2022 年 6 月詳細報告了該活動,攻擊活動使用 “WinDealer”惡意軟體,從中國電信生成隨機 IP 地址來執行 AITM 或攻擊者端攔截。這些 IP 似乎與在 Evasive Panda 活動中傳送 MgBot 惡意軟體的 IP 範圍相同。

雖然根據觀察到的巧合和可能的解釋,這兩種情況都是合理的,但 ESET無法找到明確的證據,許多問題仍未得到解答。

在此活動中提供的 MgBot有效負載(Payloads)是 Evasive Panda 自 2012 年開始營運以來一直使用的 C++ Windows 後門。

ESET 報告稱,自Malwarebytes 在 2020 年對MgBot進行分析以來,該惡意軟體的安裝程式、後門、功能和執行鏈基本保持不變。

MgBot 使用模組化架構來擴充其功能,從執行專門功能的 C2 接收 DLL plugin 模組,包括:

*特定騰訊應用程式的keylogging記錄

*從硬碟和 USB筆型隨身碟中竊取檔案

*收集複製到剪貼板的文本

*收集輸入和輸出音頻流

*從 Outlook 和 Foxmail 電子郵件客戶端竊取憑證

*從 Chrome、Opera、Firefox、Foxmail、QQBrowser、FileZilla、WinSCP 等竊取憑證

*竊取存儲用戶歷史消息的騰訊QQ數據庫內容

*竊取騰訊微信資料

*從 Firefox、Chrome 和 Edge 竊取 cookies

Evasive Panda APT 被發現針對中國用戶,旨在從中國應用程式竊取數據,利用不明確的方法對騰訊 QQ 軟體執行供應鏈攻擊。這是該組織超越社交工程、網路釣魚、SEO 投毒等標準感染方法的最新的例子,ESET呼籲潛在目標需提高警惕。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

新型駭客工具AuKill透過利用 BYOVD攻擊手法來關閉 EDR ,部署勒索軟體

研究發現,一種名為 AuKill 的新型駭客工具因其隱蔽功能而越來越受到攻擊者的青睞,該工具旨在通過自帶驅動程式攻擊手法(Bring Your Own Vulnerable Driver,BYOVD)來關閉端點偵測和回應(EDR) 軟體。BYOVD 技術依賴於攻擊者濫用由 Microsoft 簽章的合法但過時且可利用的驅動程式(或使用被盜或外洩露的憑證)來獲得提升的特權並關閉安全機制。自今年年初以來,AuKill 已被用於至少三起勒索軟體攻擊。根據Sophos 報告,研究人員觀察到不同的攻擊者團體在各種惡意活動中使用 AuKill來關閉 EDR 進程:

*在 2023 年的首兩個月,觀察到兩起不同的Medusa Locker 勒索軟體攻擊活動。在 1 月 18 日和 2 月 14 日,攻擊者使用 AuKill 終止了 EDR進程,然後部署了 Medusa Locker 勒索軟體

*2 月的另一起活動則發現AuKill 被用來部署 LockBit 勒索軟體

AuKill出現和歸因事件的日期-Photo Credit : Sophos

AuKill是如何運作的?

AuKill 工具針對Process Explorer的 v16.32 (過時版本)透過自帶易受攻擊驅動程式攻擊 BYOVD的技術終止 EDR 進程。

*感染後,它在 Microsoft Process Explorer v16.32 使用的驅動程式旁邊放置一個易受攻擊的 Windows 驅動程式 procexp.sys。Process Explorer是一個非常流行且合法的實用程式,可幫助收集有關活動 Windows 進程的資料。

*接下來,AuKill會檢查它是否以 SYSTEM 權限運行。如果不是,它會嘗試通過模擬 TrustedInstaller Windows 模組安裝程序服務來升級到所需的權限。

*它啟動多個線程來掃描和終止與 EDR 相關的服務和進程。AuKill 針對的 EDR供應商和服務因樣本而異,包括 Microsoft、Sophos、Splashtop 和 Aladdin HASP Software。

在default情況下,Windows使用驅動程式簽章強制功能來確保內核模式驅動程式在操作系統允許其執行之前已由有效的程式簽章機構簽章。為了繞過安全措施,攻擊者需要找到一種方法讓惡意驅動程式通過受信任的憑證簽章,或者濫用合法的商業軟體驅動程式來達到他們的目標。在 Sophos 觀察到的攻擊中,攻擊者使用了由 Microsoft 建立並簽章的驅動程式。

Process Explorer 驅動程式是Windows Sysinternals開發的一套進階的系統管理工具套件的一部分,是一種進程檢視器和控制公用程式。 根據Sophos ,AuKill 將名為 PROCEXP.SYS 的驅動程序式(來自進程資源管理器的發行版 16.32)放入 C:\Windows\System32\drivers 路徑。合法的 Process Explorer 驅動程式名為 PROCEXP152.sys,通常位於同一位置。兩個驅動程式都可以存在於運行 Process Explorer 副本的機器上。AuKill 安裝程式還將其自身的可執行副本放入 System32 或 TEMP 目錄,作為服務運行。

Photo Credit: Sophos -惡意安裝的 Process Explorer 驅動程式(以紅色突出顯示)與合法的 Process Explorer 驅動程式 proxexp152.sys 在 Drivers檔案夾中

AuKill 並不是第一個通過 Process Explorer 針對 EDR 服務的工具。過去,一個名為 Backstab 的開源工具執行了類似的操作。據信,AuKill 是使用與 Backstab 相同的核心技術開發的。Sophos 報告稱研究人員收集了 AuKill 惡意軟體的六種不同變種,這些變種與開源工具 Backstab 有多種相似之處。研究人員觀察到的相似之處包括debug字串,以及與驅動程式互動的幾乎相同的程式碼邏輯。

AuKill的部分入侵指標(Indicator of compromise -IOCs):

SHA 1

f7b0369169dff3f10e974b9a10ec15f7a81dec54

23b531ae8ca72420c5b21b1a68ff85524f36203a   

7f93f934b570c8168940715b1d9836721021fd41

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

Trigona勒索軟體以微軟 SQL server為目標發動攻擊,該行動使受害者遍布全球

攻擊者正在入侵安全性差且暴露於互聯網的微軟 SQL 伺服器以部署 Trigona 勒索軟體

Trigona勒索軟體的logo

Photo Credit: Ahn Lab

4月17日,根據韓國資安公司 AhnLab,攻擊者正在侵入 Microsoft SQL (MS-SQL) 伺服器以安裝 Trigona 勒索軟體有效負載並加密檔案。由於這些伺服器沒有得到很好的保護並且暴露在互聯網上,攻擊者可通過使用易於猜測的帳號憑證,使用暴力或字典攻擊來存取 MS-SQL伺服器。在成功連接到伺服器後,攻擊者將部署名為CLR Shell的惡意程式,可允許攻擊者利用Windows 輔助登錄服務中的漏洞獲取系統資訊並將提升權限到 LocalSystem。CLR Shell 是一種 CLR 程式集惡意軟體,它接收來自攻擊者的命令並執行惡意行為,類似於 Web伺服器的 WebShell。

根據AhnLab 對ASD 日誌的分析顯示,MS-SQL 進程 sqlservr.exe 以啟動偽裝為svchost.exe的Trigona勒索軟體。當 svcservice.exe 作為服務執行時,它會執行 Trigona 勒索軟體,還會建立並執行用於執行勒索軟體的 svchost.bat,svchost.bat 再將 Trigona 二進製檔案註冊到 Run key以保持持久性。svchost.bat 還會刪除卷影副本並關閉系統恢復功能,以防止受害者恢復加密檔案。

Photo Credit: AhnLab

勒索軟體通過添加 ._locked副檔名來重新命名加密檔案,並在每個檔案夾中建立名為“how_to_decrypt.hta”的勒索信,其中包含有關攻擊的資訊、指向 Trigona Tor協商網站的連結以及包含登錄協商站點所需的授權密鑰的連結,Trigona 勒索軟體操作於 2022 年 10 月首次被 MalwareHunterTeam發現,以僅接受全球受害者使用 Monero 加密貨幣支付的贖金而聞名。Trigona 勒索軟體組織一直是源源不斷的攻擊的幕後黑手,自今年年初以來,至少有 190 次提交給 ID Ransomware組織平台。

Photo Credit: Trigona sample submissions (ID Ransomware)

Ahn Lab敦促管理員必須使用不容易猜到的密碼,並定期更改它們,以保護資料庫伺服器免受暴力破解和字典攻擊。SQL server的 V3應更新到最新版本,以便防止惡意軟體感染。管理員還應使用安全程式(如防火牆)用於從外部存取的資料庫伺服器,以限制外部威脅參與者的存取。

Trigona勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

– 1cece45e368656d322b68467ad1b8c02 — Trigona Dropper (svcservice.exe)

– 530967fb3b7d9427552e4ac181a37b9a — Trigona Ransomware (svchost.exe)

– 1e71a0bb69803a2ca902397e08269302 — Batch Runner (svchost.bat)

– 46b639d59fea86c21e5c4b05b3e29617 — CLR Shell

– 5db23a2c723cbceabec8d5e545302dc4 — nt.exe

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

LockBit 勒索軟體組織轉向以mac電腦為目標?! 專家發現首款針對macOS 機器的 LockBit 加密工具!

Photo Credit: MalwareHunterTeam

Key Points:

*專家發現了一個檔案,其中包含許多用於 LockBit勒索軟體的新加密工具,包括一個用於 Apple Mac 的加密工具。

*新的加密工具似乎正在開發中;包括了一些來自LockBit 加密工具的不相關字串。

*目前mac版本的LockBit加密工具無法執行其操作,因該程式碼是未經簽章的,並且沒有針對macOS 的GateKeeper、TCC 或 SIP 保護功能的解決方案。

惡意軟體資料:

勒索軟體LockBit在最近的發展中,開始以 mac電腦為目標,資安硏究團隊MalwareHunterTeam發現了一個 LockBit 勒索軟體構建的證據,該構建旨在入侵macOS 設備。據 MalwareHunterTeam透露,LockBit 勒索軟體組織正在開發一種新版本的惡意軟體,以加密 Apple macOS 上的檔案。這將是第一個針對 Mac 設備的勒索軟體實例,因為 LockBit 之前專注於 Linux 和 Windows 設備。LockBit組織以其RaaS(勒索軟體服務)操作而聞名,向網路犯罪分子收取勒索軟體費用,新的惡意軟體名為locker_Apple_M1_64,並且還有針對 PowerPC Mac 的單獨版本。

根據檢查惡意軟體樣本的平台 Vx-Underground,2022 年 11 月首次檢測到針對 Mac 設備的新惡意軟體 locker_Apple_M1_64 ,它尚未被VirusTotal上的任何反惡意軟體引擎檢測到,但自去年秋天以來,有關此惡意軟體的資料一直受到限制。

專家分析:

據macOS安全研究員兼 Objective-See 創辦人Patrick Wardle,雖然該惡意軟體能夠在 Mac 上運行,但由於多種因素,它不會構成嚴重風險。Wardle 分析的惡意軟體樣本由於未受信任的憑證簽章認證,這意味著 macOS 不會運行它。

此外,Apple 的檔案系統保護解決方案(例如 Transparency、Consent 和 Control/TCC)將限制惡意軟體的影響,即使它設法滲入 macOS 設備也是如此。Wardle在博客文章中表示,勒索軟體存在漏洞,包括導致緩衝區溢出,導致其過早退出,Wardle 斷定mac版本的LockBit加密工具還沒有準備好。

Photo Credit: Patrick Wardle

另外,資安研究團隊vx-underground表示,我們相信這是大型勒索軟體威脅組織首次為 Apple 產品開發有效載荷。此外,Emsisoft威脅分析師Brett Callow稱,沒有證據表明這個 macOS 版本的 LockBit 曾被用於任何實際的攻擊。但 Callow 指出,這一針對 Mac 電腦的舉措意義重大。他認為,這是主流的勒索軟體玩家之一首次瞄準蘋果的操作系統,並指出了披露的重要性。

總之,LockBit勒索軟體組織針對 Mac 設備的開發惡意軟體是其攻擊策略的重大發展,表明網路犯罪分子不斷改進他們的策略,並一直在尋找新的方法來利用電腦系統中的漏洞。一如既往,用戶需保持警惕並採取措施保護自己免受網絡攻擊,然而根據目前的分析,由於安全措施到位,mac版本的LockBit不會對 macOS 設備構成嚴重風險。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

傳出微星沒付贖金,約528GB的資料遭Money Message公開在暗網上

Photo Credit:Dominic Alvieri

在上週竣盟科技部落格報導了在4月6日外媒透露有關電競筆電大廠微星科技遭新型勒索軟體Money Message入侵的資安事件。4月7日,微星發布重訊證實其部分系統遭駭客攻擊,但沒有透露任何有關其遭受網路攻擊性質的資訊,也沒有說是否如同駭客所聲稱數據在攻擊過程中被竊取。竣盟科技當時引述了資安外媒Bleeping Computer的報導,Money Message從微星盜竊了約1.5TB的數據,據報當中包BIOS 韌體檔案、ERP資料庫、金鑰、軟體原始碼等檔案,若微星不能滿足Money Message的贖金要求即約台幣1.2億,將被公開該批敏感資料。

4月14日,在 Money Message的揭秘網站上已出現疑屬於微星的3個資料夾,其中2個可追溯到2022年1月19和9 月17日;另一個可追溯到今年的1月23日,判斷微星沒有妥協駭客勒索的要求而遭Money Message外洩資料。此外,資安資安專家Dominic Alvieri也在其Twitter上公開了微星外洩資料的截圖。

另外,資安硏究團隊MalwareHunterTeam公開疑似微星代表在3月底與Money Message的部分對話代容,有趣的是內容是周杰倫的歌曲”青花瓷”歌詞的一小段:

「天青色等煙雨 而我在等你

炊煙嫋嫋升起 隔江千萬裏

在瓶底書漢隸仿前朝的飄逸

就當我為遇見你伏筆」

竣盟科技對比了BleepingComputer在4月6日的報導,該外媒張貼了一張疑為微星代表與Money Message 的聊天記錄,雖然聊天室截圖經馬塞克處理過,但仍隱約看出是青花瓷的歌詞。

一般來說,遭受勒索軟體攻擊的受害者會得到一個指定的聊天室連結用以與攻擊者談判,然而目前暫未能確認此聊天室是否遭別的駭客騎劫或受害者有什麼特別的意思想表達。

紅框部分隱約看出是青花瓷的歌詞 Photo Credit: BleepingComputer

紅框部分隱約看出是青花瓷的歌詞 Photo Credit: BleepingComputer

Money Message 是勒索軟體市場上的一個相對較新的組織,於今年3月首次被發現,Windows 和 Linux 操作系統都是此勒索軟體的目標,它可以加密網路共享資料夾,其針對網路共享的方法與Maze 和 Petya 勒索軟體類似。據悉,攻擊者會在其操作中使用Stealer來竊取日誌資料。在其啟動加密過程中,使用橢圓曲線迪菲-赫爾曼密鑰交換(Elliptic Curve Diffie–Hellman key exchange)和 ChaCha 串流加密演算法來加密。根據Bleeping Computer 的說法,Money Message不如其他勒索軟體系列那麼有效。事實上,與其他加密工具相比,它實際上非常慢。一旦勒索軟體進入,它就會留下一個名為 money_message.log的勒索字條,其中包含一個指向 TOR 站點的鏈接以協商贖金。在一個案例研究中,發現Money Message 勒索軟體試圖通過使用配置中存在的管理員身份驗證憑證呼叫WNetAddConnection2W()來存取管理網路共享。一旦使用這些憑證獲得網路存取權限,勒索軟體就會開始加密網路共享中的檔案。

Photo Credit : Cyble

Money Message勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304dc8de384 –>Money Message Windows 執行檔

4f8bd37851b772ee91ba54b8fd48304a6520d49ea4a81d751570ea67ef0a9904 –>Money Message Linux執行檔

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

CISA 命令政府機構5月前修補 Apple兩個零時差漏洞;CISA已將漏洞增加到已知遭濫用之漏洞清單

CISA已將Apple兩個零時差漏洞增加到已知遭濫用之漏洞清單

Apple 於 4 月 7 日發布了修補,以解決兩個零時漏洞,CVE-2023-28205 CVE-2023-28206,Apple承認這些漏洞可能已被積極利用以在易受攻擊的設備上執行任意程式碼。

由於這些漏洞也會影響舊設備,Apple 於 4 月 10 日發布了向後移植修補程式的更新,這些更新現在也適用於一些較舊的 Apple 設備。

漏洞詳情

CVE-2023-28205是一個WebKit 中的use-after-free漏洞, 具有很高的可利用性。當處理特製的網頁內容時,此漏洞可能允許任意程式碼執行。

CVE-2023-28206是IOSurfaceAccelerator 中的越界寫入問題 。該漏洞可能允許攻擊者使用惡意製作的應用程式以內核權限執行任意程式碼。

Apple已通過改進內存管理修復了第一個漏洞,並通過改進輸入驗證修復了第二個漏洞,這些漏洞在美國國家漏洞數據庫中暫沒被配置CVSS 分數。

CISA 命令聯邦機構修補 Apple 設備中的安全漏洞

4 月 11 日,網路安全暨基礎安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已指示聯邦機構需在 5 月 1 日之前修補用於入侵 iPhone、Mac 和 iPad 的兩個安全漏洞。

2022 年 11 月發布的一項名為 BOD 22-01 的指令要求聯邦聯邦民事行政機構 ( FCEB ) 保護其系統免受 CISA 已知遭濫用之漏洞清單中列出的所有漏洞的影響。為了遵守這一指令,FCEB 機構現在必須保護 iOS、iPadOS 和 macOS 設備免受這兩個漏洞的影響。FCEB 機構必須在 2023 年 5 月 1 日之前保護其系統免受這些漏洞的影響。

據信這些漏洞目前僅在高度針對性的攻擊中被利用,但建議盡快修補它們以防止未來發生的任何攻擊。

安全更新適用於以下最新版本:

iOS 16.4.1

iPadOS 16.4.1

macOS Ventura 13.3.1

Safari 16.4.1

更新涵蓋廣泛的設備,例如:

iPhone 8 and later

iPad Pro all models

iPad Air 3rd generation and later

iPad 5th generation and later

iPad mini 5th generation and later

Ventura for Macs

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

Acalvio榮獲 GigaOm Radar公認為動態欺敵技術的市場領導者及快速發展者

2023 年 4 月 6 日,竣盟科技全球合作夥伴,且擁有全球最先進欺敵技術的Acalvio Technologies 在 GigaOm Radar Report for Deception Technology報告中獲選為領導者,並被定位為該領域領先的快速發展者(Fast Mover)。

GigaOm 的雷達報告Radar Report重點介紹了主要的欺敵技術供應商,為 IT決策者提供了選擇最適合其業務及個人所需的資訊,該報告評估了欺敵技術解決方案在服務四個特定細分市場(中小企業、大型企業、聯邦/地方政府以及教育機構實體和服務提供商)以及三種部署模型(投射法Projection method,專用資產 Dedicated asset和消失代理Vanishing agent)方面的定位,該報告詳述了市場部門對關鍵產品特性和標準頂級解決方案特徵的分析評估(如可擴充性、性能和總成本)及帶來的影響。

GigaOm 分析師Chris Ray表示:“ 對於希望領先攻擊者一步的組織而言,欺敵技術已成為一種必不可少的工具。” “Acalvio為市場帶來了一系列領先的功能,採用涵蓋眾多欺敵使用案例的全包式平台。Acalvio 通過由 AI 提供支援的自主流程,為動態欺敵功能帶來了廣度和深度。”

GigaOm 是 IT領域的一家頂尖分析公司,在其雷達報告中評估了欺敵技術的領導力,GigaOm雷達報告的判斷公式著眼於「橫跨兩個座標軸,在成熟度和創新、功能導向和平台導向之間取得平衡」,同時預測每種解決方案在未來 12 到 18 個月的演變 [方向]。」根據該報告,Acalvio 執行了所有既定的關鍵標準,並且由於其深思熟慮和全面性的欺敵方法而得到了極高的評價,並被定位為欺敵解決方案領導者(Leader)及快速發展者(Fast Mover)。

Acalvio的ShadowPlex平台是一個全面的人工智慧解決方案,通過現實的漏洞預測和有效及包羅萬象的誘餌來欺騙攻擊者。ShadowPlex 旨在在整個組織的網路中部署動態、智慧且高度可擴充性的欺敵行為。該平台獲得超過 25項註冊專利,形成了一個完全不同的架構,對 IT 的影響很小,在 AI 的幫助下提供了規模化、自動化和真實性。此外,該報告還引用了 Acalvio 的身份威脅檢測和回應 (ITDR)、運營技術 (OT)/工業控制系統 (ICS) 功能以及周到的部署功能,使 Acalvio 解決方案脫穎而出。

Acalvio Technologies聯合創辦人兼首席執行長Ram Varadarajan 表示:“我們在 GigaOm 的雷達報告中領先地位證明了我們自成立以來一直致力於創新和卓越的承諾。”“隨著 2023 財年國防授權法案(National Defense Authorization Act)最近呼籲使用欺敵技術,我們很高興獲得基於欺敵的主動防禦的認可,支持零信任戰略,這是下一波網路防禦浪潮的基礎。這種認可進一步使政府和商業客戶能夠充滿信心地部署 Acalvio 欺敵技術。”

關於 Acalvio Technologies

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者,其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio是CMMC第三方評鑑機關Booz Allen Hamilton戰略合作夥伴,共同推動零信任環境採用欺敵策略。Acalvio ShadowPlex是唯一經美國授予聯邦政府風險與授權管理計劃FedRAMP 認證可用於美國政府環境的專利自主欺敵產品,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

外媒報導,台灣電競設備大廠微星科技疑遭新型勒索軟體Money Message攻擊,被勒索約1億2千萬新台幣

Photo Credit: BleepingComputer

4月6日台灣時間晚上,資安網站BleepingComputer報導,新型電競筆電大廠微星科技疑遭Money Message勒索軟體入侵,被盜約1.5TB的數據,Money Message聲稱已入侵微星網路系統,在公開的螢幕截圖可見,當中包括微星的CTMS和ERP系統的數據庫,以及微星的軟體源始碼、私鑰和 BIOS 韌體的數據等。

Money Message在其Tor的揭秘網上稱,若微星不支付4佰萬美元(約新台幣1億2千萬的贖金,將在 2023 年 4 月 12 日星期三公佈盜來的所有數據。據報導, Money Message 透過與受害者溝通的即時chat room,疑似與微星的代表進行談判,駭客強調擁有微星的源始碼包括開發 bios 的框架及自訂義的模組等。

4月7日,微星發布重大訊息證實其部分資訊系統遭受駭客網路攻擊,但稱其資訊部門自偵測到網路異常後於第一時間啟動相關防禦機制與進行復原,並通報政府執法部門與資安單位,目前受影響之系統已陸續恢復正常運作,並評估對財務業務無重大影響。

Money Message 為新型勒索軟體並實施雙重勒索攻擊,即攻擊者同時竊取目標的敏感數據並對其進行加密。為實現這一目標,攻擊者利用多種方式來存取公司網路,釣魚登錄憑證可能是最簡單的,但根據攻擊者的技術水平,他們還可以利用漏洞和暴力破解 RDP 伺服器等策略。

基本上,Money Message 的運作方式如下,加密工具是用C++ 編寫的,帶有 JSON 配置,有助於檢查檔案並選擇要加密的檔案,

以下檔案不會在此過程中加密:

ntuser.ini

ntldr

ntuser.dat.log

bootsect.bak

boot.ini

autorun.inf

bootfont.bin

desktop.ini

ntuser.dat

thumbs.db

iconcache.db

根據Bleeping Computer 的說法,Money Message不如其他勒索軟體系列那麼有效。事實上,與其他加密工具相比,它實際上非常慢。一旦勒索軟體進入,它就會留下一個名為 money_message.log的勒索字條,其中包含一個指向 TOR 站點的鏈接以協商贖金。

Money Message勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

LockBit聲稱已成功入侵南韓國稅局,並將公開盜竊得來的數據

3月29日,LockBit勒索軟體集團在其揭秘網站上張貼了關於韓國國家稅務的頁面,聲稱已功入侵該機構並將於韓國時間4月1日晚上8時公開盜取得來的數據。不過與其他攻擊案例不同的是,此次並沒發布機構圖片、相關內容和樣本等,引發外界的好奇及揣測。

根據韓國多家媒體報導,韓國國稅局駁稱LockBit的說法不屬實,稱目前還沒有任何資料外洩的情形。國稅局進一步解釋,稅務資料單獨存儲在未連網的內部網路中,並沒有外部入侵的跡象。此外還補充說明,目前尚無已知事件表明國稅局職員已打開任何電子郵件而遭勒索病毒感染,國稅局也稱LockBit沒有正式向其聯繫要求任何的贖金。

韓媒稱,國稅局隸屬經濟及財政部,如果此次入侵屬實將可造成嚴重的影響。韓國資安公司S2W特別呼籲,隨著針對南韓網路威脅不斷加劇,攻擊者掌握了韓國的資安應對方法和水平,組織需做出更強而有力的回應。此次之前,LockBit勒索軟體在2022年7 月 入侵了局意大利國稅局 (L’Agenzia delle Entrate),聲稱竊取了100MB數據並在其揭秘網站上公開一些樣本作為攻擊的證明。

2023 年 3 月,美國FBI、CISA及MS-ISAC共同發佈了LockBit3.0勒索軟體的資安通告,該警報概述了入侵指標和緩解建議。這些建議包括:

*遵循強密碼實踐和管理

*啟用防網絡釣魚的多重身份驗證 (MFA)

*分段網路以防止惡意軟體橫向移動

*禁用未使用的端口

*禁用命令行和腳本操作的權限

*保持離線備份,對其進行加密並定期維護

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”