提防俄羅斯網路攻擊!德國聯邦資訊安全局(BSI)呼籲,勿使用卡巴斯基防毒軟體

Posted on by blogadmin
Getty Image

由於俄羅斯入侵烏克蘭引發俄羅斯與西方國家對立,德國聯邦資訊安全局 (Das Bundesamt für Sicherheit in der Informationstechnik- BSI) 在 3 月 15 日警告組織不要使用卡巴斯基(Kaspersky)防病毒軟體,因為擔心它可能被用於網路間諜活動或在俄羅斯正在進行的烏克蘭戰爭中發動網路攻擊。

德國聯邦資訊安全局的公告

BSI公告指出,使用防毒軟體須同意軟體製造商取得電腦系統諸多權限,並隨時與製造商伺服器保持連線,因此防毒軟體製造商的可信度至關重要。雖然卡巴斯基很可能是值得信賴的,但它仍然必須遵守俄羅斯的法律規範,包括允許國家特工存取私人公司的數據庫。BSI表示,總部位於俄羅斯的卡巴斯基可能會被迫代表俄羅斯政府,入侵國外的 IT 系統,或者俄羅斯間諜特工可以在卡巴斯基不知情的情況下秘密使用其技術發動網路攻擊。因此,BSI建議使用卡巴斯基的防毒軟體時務必當心,並審慎評估當前情勢,以其他產品取代卡巴斯基的防毒軟體。BSI 表進一步示,德國公司以及管理關鍵基礎設施的政府機構尤其面臨駭客攻擊的風險。

BSI 發出警告之際,俄羅斯對烏克蘭的入侵隨著俄羅斯軍隊對烏克蘭首都的砲擊升級。

另外,卡巴斯基在其網站上發布的一份聲明中表示,德國的警告是基於政治理由,而不是對其產品的技術評估。“我們將繼續向我們的合作夥伴和客戶保證我們產品的質量和完整性,我們將與 BSI 合作,以澄清其決定以及解決其和其他監管機構擔憂的方法,”聲明中寫道。

卡巴斯基的聲明

卡巴斯基的聲明指出,它相信和平對話可以解決衝突,並且“戰爭對任何人都沒有好處”。

針對卡巴斯基的警告和理由類似於美國聯邦政府早在2017年就禁止政府機關使用卡巴斯基的軟體。國土安全部官員指出,根據俄羅斯法律,卡巴斯基有義務協助聯邦安全局處理情報事務。

新型勒索軟體潘朵拉(Pandora)再一次針對日本企業,日本汽車零件大廠電裝公司(DENSO) 在3個月內第二次遭駭?!

Posted on by blogadmin

總部位於日本愛知縣的汽車零部件製造商電裝公司(DENSO Corporation) 已確認,3 月 10 日其德國據點Denso Automotive Deutschland GmbH網路遭到未經授權人士存取,DENSO德國立即採取措施將伺服器和個人電腦與網路斷開連接, DENSO日本總部亦正了解詳情,表示目前在調查中,預計未對營運造成影響。

Pandora 在其網站上發布DENSO的內部檔案 Photo Credit: 朝日新聞

根據日本資安公司Mitsui Bussan Secure Directions,名為 Pandora 的勒索軟體組織於日本時間週日(3月13 日)下午在其揭秘網站Pandora data leak上發布帶有DENSO檔案清單的頁面,Pandora聲稱它取得DENSO超過 157,000 份採購訂單、電郵和圖面相關的檔案,約 1.4 TB 的數據,如談判協商失敗將在3月16日釋出全部盜來的數據。此次之前,Pandora勒索軟體亦曾入侵台灣矽晶圓大廠環球晶旗下的GlobalWafers Japan,使其4間工廠生產停擺。 Pandora勒索軟體於今年2月浮出水面,GlobalWafers Japan 是其首間公布在Pandora data leak上成功入侵的企業。

根據《Automative News》全球百強零件製造商排名,DENSO是僅次於Robert Bosch的全球第二大汽車供應商,DENSO德國據點遭入侵,是最近針對豐田供應商的第二起網路攻擊事件。

兩週前,另一豐田供應商在小島工業(Kojima Industries Corporation)的管理系統受到攻擊後,豐田暫停其在日本的所有工廠運作。

另外值得一提的是,根據竣盟科技的觀察,DENSO曾經在去年12月 2 7日被名為Rook的勒索軟體納入其受害者名單,當時該勒索軟體組織聲稱從DENSO盜走了1.1TB的數據,但目前Rook勒索軟體的揭秘網站已不存在,相信Rook勒索軟體和Pandora勒索軟體是否有一定的關聯性是值得我們持續觀察的。

有關Pandora的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789

ebfdee6e5fe2aa5699280248a5e7b714ca18e5bfd284cac0ba4fb88ccbcec5b6

ebfdee6e5fe2aa5699280248a5e7b714ca18e5bfd284cac0ba4fb88ccbcec5b6

2c940a35025dd3847f7c954a282f65e9c2312d2ada28686f9d1dc73d1c500224

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

知名輪胎生產商普利司通Bridgestone遭網路攻擊,系統下線,美國多間工廠停工,幕後黑手指向LockBit2.0勒索軟體

Posted on by blogadmin

Viasat 和 豐田的供應商遭遇網路事件後,總部位於日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊,導致在美國伊利諾伊州、愛荷華州、北卡羅來納州、南卡羅來納州和田納西州的輪胎製造工廠以及加拿大的工廠停工。

正如媒體報導,Bridgestone Americas在發現入侵後不久,就開始調查此事,聲明中說:

“Bridgestone Americas目前正在調查一起潛在的資安事件。自2月27日凌晨得知發生事件以來,我們已展開全面調查,以迅速收集證據,同時努力確保我們的IT系統的安全性。出於謹慎考慮,我們將拉丁美洲和北美的許多工廠與內部網路斷開連接,以遏制和防止任何潛在的影響。”

雖然該公司迅速分享了一份新聞稿,向公眾通報知了此事,但​​它還沒有透露很多細節,直到2022 年 3 月 3 日,只有維修部、倉庫部、收貨部和 MRC 實驗室等部門的工作人員可上夜班。

普利司通是一家日本跨國公司,也是世界上最大的輪胎製造商。普利司通美洲公司在加拿大、中美洲、拉丁美洲和加勒比地區擁有50多個生產設施,並了大約55,000名員工。

根據觀察,操作LockBit的背後駭客已在其揭秘網站上公佈Bridgestone Americas為其新增的受害者,但目前LockBit並沒有公佈所盜的任何檔案的截圖或樣本,只聲稱會在3月11日發佈盜來的所有數據。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體,能自動加密Windows 網域下所有電腦,駭客不必寫程式進行勒贖軟體部署,只要取得 Windows Server 網域控制器的存取權,就能自動進行傳播,並在網域控制器上建立新的群組原則,將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施,例如 Microsoft Defender 和警報,並阻止操作系統向 Microsoft 提交樣本以避免檢測,以實現持久性。

FBI在2月發布的警告中,建議企業做好以下各種防禦措施:

*要求所有帳戶的登入密碼改為使用強密碼及獨一密碼,不使用重複密碼。

* 盡可能為所有帳戶啟用多重因素驗證 (MFA) 登入審查

*為所有作業系統及軟體安裝最新的系統更新

*詳細檢查涉及管理權限的登入帳戶,移除不必要的員工。

*使用建基於主機的防火牆,只允許必要的管理員通過 SMB 工具連接管理。

*啟用 Windows 系統的檔案保護功能,阻止勒索軟體對重要檔案進行加密。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊,今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411

環球晶旗下GlobalWafers Japan遭網路攻擊,疑出自新型勒索組織Pandora,駭客稱已盜1Tb數據

Posted on by blogadmin

新潟日報Yahoo JapanTech+等日本媒體報導,臺灣矽晶圓大廠環球晶旗下日本子公司GlobalWafers Japan(新潟縣西羅町)3月2日宣布,確認內部伺服器於 2022 年 2 月 28 日被非法存取,據該公司稱,在當天凌晨 1 點左右,檢測到未經授權的非法存取,據報導,該公司表示收到了一份英文勒索信,附有如果你想解密檔案,到這裡來的字句,懷疑是勒索軟體攻擊,Global Wafers Japan為了防止損害擴大,因此採取措施將內部網路與系統關閉,並暫停日本國內四個基地(新潟、關川小國和德山工廠)的生產作業。另外,為了早日恢復生產和發貨,他們將從確認系統安全後開始依序進行恢復工作、生產和發貨的時間,但根據Tech+,截至 3 月 7 日上午 9 點,該公司尚未在網站上公佈恢復的時間。

另外,根據暗網情報業者DarkTracer, 他們發現一個全新的勒索軟體揭秘網站名叫Pandora Data Leak,而GlobalWafers Japan正是目前唯一的受害者。Pandora稱他們已從GlobalWafers Japan中盜出1Tb數據,並威脅會在 3月10日發布盜來的數據,但沒有進一步透露有關入侵的細節和勒索金額,由於這是Pandora首次出現,目前沒有這種勒索軟體的攻擊手法和相關的入侵指標。另外,在此之前,日商半導體材料公司Fujimi和其台灣子公司福吉米在二月份發生網路攻擊事件,遭第三方未經授權存取,導致生產線停擺。半導體產業有設備系統老舊、無法更新等問題,一直為駭客覬覦的對象。在新冠疫情下催生的遠距辦公更是仰賴伺服器,使駭客更有機會下手。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Lapsus$又出擊,科技巨擘三星Samsung疑遭殃,傳出被盜190GB原始碼,高通也被波及

Posted on by blogadmin

Nvidia在二月份遭Lapsus$攻擊後,週六(3/5)傳出韓國科技巨頭也遭Lapsus$攻擊。綜合資安外媒報導,入侵Nvidia的同一個組織Lapsus$也成功入侵了三星,並在其Telegram頻道上發布了三星近 190GB 的機密資料,包括專有資訊(proprietary information)、應用程式的原始碼和與各種三星項目相關的數據存儲庫,更具體地說,Lapsus$ 聲稱擁有下列數據:

*Samsung Knox身份驗證碼

*生物特徵解鎖操作的演算法

*所有最新三星設備的Bootloader原始碼

*安裝在所有三星設備的TrustZone環境上Trusted Applet的原始碼,以及每種類型的 TEE 操作系統(QSEE、TEEGris 等)的特定程式碼,這包括DRM模組和 keymaster/gatekeeper 的數據。

*用於授權和驗證三星帳戶的技術的完整原始碼,包括 API 和服務

*來自高通的機密原始碼

*三星activation servers的原始碼

目前尚不清楚三星的系統是什麼時候被駭客入侵,以及駭客與三星進行了任何類型聯繫或談判,但如果上述資料準確無誤,這些重大數據的外洩,可對三星產生嚴重的影響。

截圖中顯示了Samsung軟體中的C/C++ 指令

Lapsus$ 將發佈的190GB數據拆分為三個壓縮檔案,將資料上傳到網路,並以torrent 形式提供下載,Lapsus$還表示由於下載者數量眾多,將部署更多

伺服器以提高下載速度。

據悉,從 torrent下載的一個ReadMe.txt中,解釋了三個 7Zip檔案的內如下容:

Part1.7z:包含有關 Security/Defense/Knox/Bootloader/TrustedApps 和其他各種項目的原始碼和相關數據的轉儲

Part2.7z:包含有關設備安全和加密的原始碼和相關數據的轉儲

Part3.7z:包含來自三星 Github 的各種存儲庫:行動防禦工程、三星帳戶後端、三星通行證後端/前端和 SES(Bixby、Smartthings、商店)

根據韓聯社報導,三星正在評估情況。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

3/8更新: 根據彭博的新聞報導,三星證實內部資料在駭客入侵中被竊,在初步調查中發現有關Galaxy手機運作的原始碼外洩,但沒有證據顯示外洩的資料包含員工或用戶的個資。

Nvidia遭受的網路攻擊疑與Lapsus$勒索軟體有關,贖金已不能滿足駭客?! Lapsus$要Nvidia永久開源GPU的驅動程式!

Posted on by Desiree Tang
Photo Credit: The Hacker News

Nvidia已於 3 月 1 日證實在 2 月 23 日曝光的網路攻擊事件,Nvidia稱沒有發現勒索軟體攻擊的跡象,但攻擊者從其系統存取了專有資訊(proprietary information)員工登錄數據和DLSS 的原始碼,一個名為 Lapsus$ 的南美駭客組織稱Nvidia網路攻擊事件是其所為,並已竊取Nvidia 高達1 TB的數據。操作勒索軟體的駭客組織多以勒索贖金為目的,但Lapsus$ 提出讓人費解的要求,從最初支付贖金的要求,到後來提出了包括更新30款韌體、移除任何加密挖礦的限制技術及開源Nvidia用於 Windows、MacOS 和 Linux 系統上的GPU驅動程式。

上週末,Lapsus$ 分享了有關入侵的細節並洩露了約20GB的檔案,其中包含從 Nvidia系統竊取的數據以及71,335員工密碼的雜湊值,駭客要求Nvidia透過軟體更新30款韌體,以取消顯卡的挖礦限制,否則將公佈產品的硬體資料,另外根據TechPowerUp報導,Lapsus$已經公佈Nvidia深度學習超高採樣(DLSS)技術的部份原始碼。

截圖中顯示了Lapsus$聲稱是DLSS技術的原始碼檔案列表

目前尚不清楚Nvidia是否會設法取回了他們的數據,Lapsus$還要求 Nvidia承諾在 3 月 4 日星期五之前將其用於 Windows、macOS 和 Linux 設備的 GPU 驅動程式開源 ,否則將公佈Nvidia近期上市GPU產品的完整檔案(包括 RTX 3090Ti)。然而,Nvidia預計此前攻擊事件不會對業務或客戶服務造成任何干擾,並已通知執法部門及正在與資安專家合作以遏制攻擊的任何影響。

Lapsus$ 於 2021 年 12 月攻擊了巴西衛生部,並竊取了與該國免疫計劃相關的數據。今年 1 月,攻擊者還針對葡萄牙最大的媒體集團Impresa,並破壞了其所有網站。2022年2月,沃達豐葡萄牙(Vodafone Portugal)遭受Lapsus$的攻擊,導致Vodafone Portugal 4G/5G網路、短訊、語音和電視等服務中斷。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

中國有史以來最先進的後門程式,隱藏長達9年,瞄準多個政府進行間諜攻擊

Posted on by blogadmin
Photo Credit: Symantec Threat Hunter

近日,Broadcom 旗下Symantec Threat Hunter團隊的研究員揭露了至少自 2013 年以來中國APT駭客精心策劃的長期間諜活動,並針對選定的政府和其他關鍵基礎目標部署了以前未被記錄的間諜工具,一個名為Daxin的後門程式。該後門被研究員描述為一種技術先進的惡意軟體,允許攻擊者針對中國具有戰略利益的電信、運輸和製造業的實體進行各種通訊和資訊收集行動。

根據美國網路安全暨基礎架構管理署(CISA)針對Daxin發佈的警告,Daxin後門是一種高度複雜的Rootkit,而Rootkit是一種很會鑽洞並鑽到無法被作業系統檢測到之深度的惡意軟體,Daxin具有複雜、隱秘的命令和控制 (C2) 功能,使駭客能遠端與未直接連接到互聯網的安全設備進行通訊。Daxin以Windows Kernel Driver(核心模式驅動程式)的型態出現,這是相對罕見的惡意軟體格式。該驅動程式實現了精心設計的通訊機制,為惡意軟體提供了高度的隱藏性以及與未直接連接到互聯網的電腦通訊的能力。大部分的惡意軟體都依靠植入電腦中並進行攻擊,Daxin則是透過第三方或外部連結對電腦進行攻擊,使大多數人無法發現其蹤影。

Daxin能劫持合法的TCP / IP連接(TCP/IP代表傳輸控制協定/互聯網協定,用於在電腦之間進行通訊)並與遠端對等者交換數位密鑰。然後成功的金鑰交換允許Daxin打開加密的通訊通道,用於接收命令並將資訊發送回駭客。報告稱,Daxin使用被劫持的TCP連接為其通訊提供了高度的隱身性,並有助於在具有嚴格防火牆規則的網路上建立連接,並可降低安全運營中心(SOC)分析師監控網路異常的風險。

專家認為,考量到其功能和所部署攻擊的性質,Daxin似乎已針對強化目標進行了優化,允許攻擊者深入目標網路並竊取數據而不會引起懷疑,後門實現的功能讓人想起2014 年發現的Regin惡意軟體。值得注意的是,Daxin將自身整合到合法機器行為中,使其不會產生可疑的網路流量,這個技巧允許後門在明顯合法的通訊中隱藏惡意流量,而且它可以建立受感染電腦節點的對等網路,允許攻擊者深入滲透到受保護的資產中。

另外,Symantec Threat Hunter的分析人員發現了將Daxin與中國國家級駭客組織 Slug(又名 Owlproxy)聯繫起來的證據。據悉,Daxin後門至少自 2019 年 11 月以來一直被積極用於攻擊,而研究人員在 2020 年 5 月和 2020 年 7 月再次發現了其部署的跡象。2021 年 11 月觀察到涉及Daxin的最近一次攻擊,針對電信、交通和製造業。值得注意的是,報告稱該惡意軟體於 2013 年首次採樣,當時已經採用了我們在今天的版本中看到的高級檢測逃避技術。美國CISA表示,過去甚少看到如此複雜的惡意軟體,他們正協同FBI對Daxin進行深入調查以消除此後門。

欲了解更多關於此報告,您可以按

有關Daxin後門的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

ea3d773438c04274545d26cc19a33f9f1dbbff2a518e4302addc1279f9950cef

e7af7bcb86bd6bab1835f610671c3921441965a839673ac34444cf0ce7b2164e

e6a7b0bc01a627a7d0ffb07faddb3a4dd96b6f5208ac26107bdaeb3ab1ec8217

cf00e7cc04af3f7c95f2b35a6f3432bef990238e1fa6f312faf64a50d495630a

c791c007c8c97196c657ac8ba25651e7be607565ae0946742a533af697a61878

c0d88db11d0f529754d290ed5f4c34b4dba8c4f2e5c4148866daabeab0d25f9c

b9dad0131c51e2645e761b74a71ebad2bf175645fa9f42a4ab0e6921b83306e3

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

關鍵供應商遭網路攻擊,豐田(Toyota)產線今全面停工

Posted on by blogadmin
Photo Credit: Yoshikazu Tsuno/Gamma-Rapho/Getty

由於豐田的重要零部件供應商小島工業(Kojima Industries Corporation)受到網路攻擊,導致零部件供應管理系統故障,迫使豐田暫停其在日本的所有工廠的生產。豐田汽車在2月28日宣布,由於國內供應商(小島工業)遭受網路攻擊,導致管理零件供應的系統故障,決定於 3 月 1 日星期二暫停日本 14 家工廠的 28 條生產線的運營(第一班和第二班),目前尚不清楚豐田是否會在周三恢復生產。

NikkeiAsia報導,停產將影響約13,000輛汽車的生產,佔豐田在日本月產量的4%至5%。另外,豐田的子公司大發(Daihatsu)汽車和日野(Hino)汽車也於2月28日宣布將在3月1日停工三個工廠。小島工業遭網路攻擊事件給這家日本汽車製造商帶來的問題,突出了製造業對網路攻擊的脆弱性。

根據 IBM上週發布的研究,像小島工業這樣的製造業特別容易受到網路攻擊。該公司報告顯示,去年製造業被攻擊數量超過金融和保險業,成為了網路犯罪組織最常瞄準的行業。

Photo Credit: IBM

製造業已成為目標,因為它們對停工時間的容忍度低,這也意味著它們更有可能迅​​速支付攻擊者勒索贖金的要求。報告也顯示,傳統製造業導入的營運技術中常發現漏洞利用是最常見的攻擊媒介,比率高於網路釣魚攻擊。

一名熟悉小島工業的消息人士向Tokyo Web透露,小島工業確實受到網路攻擊,目前仍在確認損失並迅速做出因應措施,而當務之急是盡快恢復豐田的生產系統,截至目前,小島工業的網站仍尚未恢復。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國CISA 就 Zabbix監控平台中兩個被積極利用的漏洞發出警報,並將它們加入到「已知被開採漏洞」清單

Posted on by blogadmin

#CVE-2022-23131 

#CVE-2022-23134

美國網路安全暨基礎架構管理署 (CISA) 在其已知被開採漏洞清單(Known Exploited Vulnerabilities Catalog)添加了兩個影響 Zabbix 監控工具基礎設施的新漏洞,最重要的是,根據具有約束性作業指引:降低已知被開採漏洞的重大風險中(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities),CISA 命令聯邦民事執行機構 (Federal Civilian Executive Branch)在 2022 年 3 月 8 日之前對所有系統進行漏洞修補,以減少其遭受潛在網路攻擊的風險。

漏洞編號CVE-2022-23131(CVSS 評分:9.8)和 CVE-2022-23134(CVSS 評分:5.3)這些漏洞可能導致整個網路受到威脅,使未經身份驗證的惡意攻擊者能夠提升權限並獲得Zabbix 前端管理員存取權限以及進行配置更改。這兩個漏洞由資安業者SonarSource 的研究員 Thomas Chauchefoin發現,這兩個漏洞均影響 Zabbix Web 前端版本,包括 5.4.8、5.0.18 和 4.0.36,此後,隨著版本 5.4.9、5.0.9 和 4.0.37 的發布,這些問題已得到解決。

這兩個漏洞都是“不安全會話存儲”的結果,允許攻擊者繞過身份驗證並執行任意程式碼。然而,值得指出的是,這些漏洞僅影響啟用安全宣告標記語言(SAML) 中單一登入(SSO) 的身份驗證實例,但專家認為企業或組織有必要審查「已知被開採漏洞」清單並解決其基礎設施中的漏洞。

以下是THOMAS CHAUCHEFOIN發現這兩個漏洞的timeline

美國安局(NSA)的頂級後門Bvp47被中國研究員曝光,10年來已入侵45個國家和地區,涉及287個組織

Posted on by blogadmin

該頂級後門程式是由國安局旗下菁英駭客組織方程式(Equation Group)所打造的

Photo Credit: Pangu Lab

本週三(23日),來自中國盤古實驗室(Pangu Lab)的一組研究員發表了一份長達 56頁的報告,披露了一種頂級後門程式技術細節和攻擊組織關聯的詳細介紹,該後門被追踪為 Bvp47,用於入侵後監視並控制受害組織網路,據稱是由隸屬於美國國家安全局(National Security Agency-NSA)的一流駭客組織Equation Group所打造的。揭露此後門的中國盤古實驗室以iPhone 越獄技術(JailBreak)而聞名,去年曾以一項iOS漏洞在中國大型駭客大賽天府杯上贏得了30 萬美元。

該後門是在2013年研究員在中國某重點部門的主機進行深入取證調查期間從Linux系統中提取的,經研究發現這個後門程式需要與主機綁定的驗證碼才能正常運行,隨後研究人員又破解了驗證碼,並成功運行了這個後門程式,從部分行為功能上斷定這是一個頂級的後門程式,但是進一步調查需要攻擊者的非對稱加密私鑰才能啟動遠控功能,至此研究人員的調查受阻,並以基於樣本中最常見的字串“ Bvp ”和加密演算法中使用的數值“0x47”,稱該後門為Bvp47。

駭客組織The Shadow Brokers於2016 年和 2017 年先後洩露了一系列據稱從 Equation Group 竊取來的駭客工具和數據。2016 年 10 月末,在駭客洩露的檔案中,發現包含被 NSA旗下組織 Equation Group入侵的伺服器清單,盤古實驗室的研究員也在 The Shadow Brokers 洩露的數據中發現了可啟動Bvp47頂級後門的非對稱加密私鑰的檔案。根據洩露的數據,Equation Group 在 10 年來,在俄羅斯、日本、西班牙、德國、意大利等 45 個國家成功入侵了超過 287 個目標。該組織針對的目標,包括政府、電信、航空航天、能源、金融機構、核研究、石油和天然氣、軍事、運輸和開發加密技術的公司等。

盤古實驗室已將涉及利用Bvp47後門攻擊的活動稱為電幕行動(Operation Telescreen),並稱該後門包含 rootkit、繞過安全功能、反鑑識、自毀設計和其他功能等,旨在允許Equation Group實現對受感染設備的長期控制,窺視被入侵機構的內部網路系統。根據技術分析,後門可以攻擊包括Linux系統、AIX、Solaris、SUN等在內所有作業系統,研究員認為該後門設計精良、架構靈活、功能強大且適用廣泛,能在隱蔽的控制下毫不費力地收集數據,若搭配上零時差漏洞更能使它的網路攻擊力勢不可擋,可讓Equation Group在各國的網路對抗中處於絕對的主導地位。

該實驗室的報告,除了對Bvp47 的技術描述外,還包括強調惡意後門、Equation Group和 美國NSA 之間的關聯,欲了解更多,您可以按此下載

有關Bvp47的部分入侵指標(Indicator of compromise -IOCs):

MD5:

58b6696496450f254b1423ea018716dc

SHA 256:

7989032a5a2baece889100c4cfeca81f1da1241ab47365dad89107e417ce7bac

SHA 1:

ad0197db424b35314a479552875e18893a4ba95a

hostname:

vsn1radius1.vsn1.net.in

ultra10.nanya.edu.tw

win.hallym.ac.kr

www.nursat.kz

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”