邁凱倫 (McLaren) 醫院遭受 INC 勒索軟體攻擊而導致電腦、電話系統中斷

McLaren Health Care攻擊事件影響到旗下 13 家醫院及門診手術中心

Photo Credit: Medical Buyer

這個週二,位於密西根州的邁凱倫醫療 (McLaren Health Care) 遭受了一次嚴重的網路攻擊,這次攻擊事件已確認與 INC Ransom勒索軟體有關。根據報導,這場攻擊對McLaren醫療系統旗下的多家醫院構成了運營上的衝擊,使其醫療服務受到重大影響。

此次攻擊事件始於8月6日,McLaren Health Care發現其IT系統和電子病歷系統出現異常,隨後就發現遭受了勒索軟體攻擊。這款名為INC Ransom的勒索軟體以將重要檔案資料加密的方式來威脅受害者,要求支付贖金以換取解密密碼。由於大量醫療資料被加密,使得醫療人員無法正常存取病患資訊和進行日常的醫療運作。

報導指出,攻擊發生後,McLaren醫院不得不暫時改用人工方式處理病歷,這不僅大幅增加了工作負擔,也提高了醫療失誤的風險。急診室的運作也受到影響,部分病人需面臨更長時間的等待,這對病人的健康可能是潛在的威脅。

INC Ransom勒索軟體是一種新型的攻擊手法,通常經由釣魚郵件或網路漏洞進行攻擊。一旦成功入侵系統,該勒索軟體會加密大量檔案資料並索求高額贖金。受害者必須先支付贖金,之後才能換取解密工具來恢復資料,只不過即使已經支付了贖金,並不能確保攻擊者不會再次的入侵。

McLaren Health Care已經開始進行系統恢復和資料解密的工作,並且與聯邦調查局(FBI)及其他資安專家合作,試圖找出攻擊的具體來源和擴散範圍。雖然醫院方面並未透露是否已經支付贖金,但他們表示正在全力以赴處理這次事件。

INC Ransom最早大約出現於 2023 年 7 月,此後一直針對公共單位和民間組織企業。受害名單包括教育、醫療保健、政府和工業團體,例如Yamaha Motor Philippines (山葉機車菲律賓分公司)、Xerox Business Solutions(全錄商業方案公司)美國分公司和蘇格蘭國家醫療服務 (National Health Service)。

資訊專業媒體 BleepingComputer 對新的 Lynx 勒索軟體加密器和最新的 INC 加密器之間的字串進行了分析比對,除了有一小部分的改變之外,可以確定的是它們大部分都相同。

2023 年 11 月,McLaren 向近 220 萬人通報資料遭到外洩,源頭的網路攻擊則發生在 2023 年 7 月下旬至 8 月之間,其中包括他們的個資和病歷等醫療資訊遭到外洩。被侵入的資料包括姓名、社會安全號碼、健保和病歷資訊,其他還有醫療保險/醫療補助、處方/藥物、診斷結果和診療資訊等。

ALPHV/BlackCat 勒索軟體組織宣稱他們參與了2023 年 7 月的攻擊事件,以及後續於 10 月 4 日發生的資料外洩。

資安專家建議,醫療機構應該定期進行系統安全評估和資安演練,以檢測和改進現有的防禦措施。此外,定期備份關鍵數據也是防範此類攻擊的重要措施之一,這可以在系統遭受攻擊後,快速恢復業務營運,減少資料被駭的風險。

McLaren Health Care的這次事件不僅對醫療機構本身,也對整個產業提出了資安防護的新挑戰。隨著網路攻擊技術的持續演進,醫療機構必須不斷更新和加強其資安防護措施,才能有效應對各種網路安全威脅。

竣盟科技建議,醫療機構及其他企業網路用戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受勒索軟體攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉勒索軟體攻擊手段:了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應,可以顯著降低受到侵害的風險。

中國駭客組織StormBamboo入侵網路服務供應商 (ISP)

StormBamboo自 2012 年以來一直頻繁活動,主要目標在中國大陸、港澳、東南亞等地

Photo Credit: welivesecurity

一個名為 StormBamboo 的中國駭客組織日前入侵一家尚未揭露的網路服務供應商 (ISP),他們利用自動軟體更新的漏洞來進行惡意軟體的散播。

這個網路間諜組織同時也以 Evasive Panda、Daggerfly 和 StormCloud等名稱為人所知,自 2012 年以來他們一直有所活動,主要的目標是鎖定在中國大陸、香港、澳門、奈及利亞以及東南亞和東亞的幾個國家。

上週,網路安全公司Volexity的威脅事件研究人員透露,他們發現 StormBamboo 利用改變DNS 中有關網域的查詢回應,將之連結到自動軟體更新的步驟。網路攻擊者利用像是 HTTP 之中不安全的更新機制來發動攻擊,並且由於無法驗證安裝程式的數位簽名,使用者以為是做更新程式的安裝,但實際上安裝卻是惡意軟體。

這種攻擊手法的關鍵是一種名為中間人man-in-the-middle (MITM)的技術,攻擊者在鎖定攻擊的設備和可信任伺服器 (trusted server) 之間取得有利位置,這樣做的目的是為了攔截和操控兩邊之間的通訊傳輸資料。 

一般 ISP 遭到入侵的情況是,攻擊者駭入 DNS 請求程序,這是將網站位址轉換為數字 IP 位址的關鍵功能程序。然後攻擊者通過篡改 DNS 回應,將使用者重新導向到意在竊取敏感資訊的惡意網站。

其中一個例子是,他們利用5KPlayer 發出請求來更新 youtube-dl dependency (youtube 下載軟體相依性),其最終目的是推送後門安裝程式到 C2 伺服器上。

當網路攻擊者入侵了攻擊目標的系統之後,他們會安裝Google Chrome 擴充元件 (ReloadText),這是一種惡意軟體,藉此他們能夠收攏和竊取包括瀏覽器 cookie 以及郵件資料。

Volexity研究人員解釋說:「當這些應用程式發出檢索相關更新時,接下來並不會安裝你想要的更新,結果卻是被安裝上了惡意軟體,這其中包括MACMA 和POCOSTICK(又名MGBot)。」

2023年4月,電腦安全軟體公司ESET的威脅研究人員也觀察到,該駭客組織利用騰訊QQ通訊軟體上自動更新機制的漏洞,部署Windows後門程式Pocostick(MGBot),藉以攻擊國際NGOs(非政府組織)。

一年後的2024 年 7 月,賽門鐵克的威脅獵捕團隊也發現中國駭客集團利用最新的 Macma macOS 後門程式和惡意軟體版本的 Nightdoor Windows,攻擊對象是位於中國的一家美國非政府組織和台灣的多個企業機構。

研究人員補充道:「Volexity 觀察到 StormBamboo 近期的活動中,目標針對多個軟體廠商,利用這些廠商目前使用的更新作業流程安全性上的漏洞。」

「Volexity 立即通知了該家 ISP 並與之共同合作,尋求解決方案,該ISP 著手調查了在其網路上提供流量路由服務 (traffic-routing service) 的數個關鍵設備。隨後 ISP 系統重新啟動並關掉網路系統中的數個元件,DNS 中毒的情況總算獲得解決。」

中國駭客組織 StormBamboo 入侵ISP相關的入侵指標(IOCs):

4c8a326899272d2fe30e818181f6f67f
acfc69c743b733dd80c1d551ae01172b
ce5fdde7db4ee41808f9c7d121311f78
038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc
37ee872f05a0273446dc7e2539b9dbf9bf7d80b4
66346b3d841dc56a387f48b4dfba96083c37ec2e
68853cafd395edd08cd38ab6100c58e291a3a3d7
84875b2cf9f8c778ff1462ef478918b4ac964afe
bb030c405f33557bc5441165a0f8bf9a6d5a82a6
c68e86985a4cb2f69e16fb943723af63833859b3

駭客利用甕中捉鱉技術劫持了超過35,000個網域

十多個俄羅斯關聯的駭客組織正在運用Sitting Ducks攻擊

 Photo Credit: US Cybersecurity

網路攻擊者利用所謂的Sitting Ducks (甕中捉鱉) 劫持了超過 35,000 個已註冊網域,在Sitting Ducks攻擊中,攻擊者劫持了已在DNS (網域名稱系統) 服務商或web hosting provider (網頁代管供應商) 那邊註冊的域名,讓使用者無法連結到在DNS提供單位或註冊單位的真正帳戶。

在「甕中捉鱉」攻擊中,網路犯罪分子利用註冊單位網路層級的組態 (configuration)缺陷以及 DNS 提供單位的所有權驗證機制不足。

專門致力於 DNS 的網路安全供應商 Infoblox 以及韌體和硬體防護公司 Eclypsium 的研究人員發現,每天可能會有超過一百萬個網域透過 Sitting Ducks 攻擊的手法而遭到劫持。

InfobloxEclypsium聯合發佈的分析中揭露,有十多個與俄羅斯有關聯的網路犯罪組織正在運用這種攻擊手段,特別針對網域名稱系統 (DNS) 的弱點藉以隱密地劫持網域。

追根究柢,問題在於網域註冊單位和授予權限的 DNS 提供單位的組態 (configuration) 不正確,再加上名稱伺服器 (name server) 無法對其涵蓋的服務網域進行授權回應(這也稱作 lame delegation遜咖授權)。

攻擊者先向授權的 DNS 提供單位要求使用權,允許它在授權的 DNS 提供單位之處聲明網域的所有權,於此同時它並不用直接去存取網域名稱註冊單位的真正使用者者帳戶。

在這種情況之下,如果網域的授權 DNS 服務到期過後,攻擊者可以在DNS提供單位處建立帳戶並聲稱擁有​​該網域,最後假冒網域代表的品牌來進行散播惡意軟體的攻擊行動。

近年來,Sitting Ducks 攻擊已被許多不同的網路攻擊團體所採用,遭到盜取的網域用來支援多個流量分配系統 (TDSes) ,像是404 TDS(又稱作 Vacant Viper)和VexTrio Viper。同時它也被用來​​散播炸彈威脅騙局 (bomb threat hoaxes)和性勒索詐騙 (sextortion scams)。

Infoblox 威脅情報副總裁 Renee Burton 博士說:「企業組織應該定期檢查他們擁有的網域,確認是否仍有弱點或是漏洞,並且他們應該要選擇能夠有效防衛Sitting Ducks攻擊的DNS供應商」。

防衛重點

網域擁有者應定期檢查其DNS組態 (configurations) 是否屬於lame delegations (委派失效),特別是在比較舊的網域上,並使用適當的 DNS 服務商來更新註冊單位或授權的名稱伺服器上的授權記錄。

建議註冊單位對委派失效的案例和告警通知人員進行主動檢查。另外他們還需確保在授予名稱伺服器授權之前,DNS服務已確立。

最後,註冊監管機構和標準管理機構必須制定長期策略來根本解決 DNS 漏洞,並驅使其管轄範圍內的 DNS 供應商採取更多有效行動來緩解坐鴨攻擊。

竣盟科技 提醒網域名稱及企業網路用戶,採取多種最佳防護措施及解決方案可以有效幫助降低遭受網路攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 自學網路釣魚策略:了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。

勒索軟體組織Dark Angels 斬獲史無前例的 7,500 萬美元贖金

Dark Angels目標對象涵蓋政府、醫療、金融、教育、製造業、技術及電信業者

Dark Angels勒索Fortune 50公司    Photo Credit: Cyberwarzone

根據美國雲端運算安全公司Zscaler網路安全研究人員的報告指稱,一家Fortune 50 (《財星》全球 50 強) 公司向 Dark Angels 勒索軟體集團支付了創紀錄的 7,500 萬美元贖金。

Dark Angels 勒索軟體組織自 2022 年以來的行動一直受到廣泛的關注,他們的攻擊目標主要是鎖定在醫療保健、政府、金融和教育等高市值產業,最近也發現有轉向大型工業、科技和電信公司的情況。

Dark Angels的作案手法與一般的勒索軟體集團相比並不相同,典型的攻擊手法通常是先在廣泛區域佈局並配合第三方之攻擊行動。相對地,他們則是先經過精心過濾及篩選然後入侵個別的大規模企業,並在加密重要檔案之前竊取大量重要資料(1-100 TB)。

根據Zscaler 於2024 年7 月30 日發布的2024 ThreatLabz勒索軟體報告,Dark Angels最引人矚目的攻擊事件,是發生在2023 年9 月針對一家跨國集團的網路攻擊,他們駭入並加密該公司的虛擬機,最後索求5100 萬美元。

暗黑天使 Profile

Dark Angels 藉由操作勒索軟體來進行駭客攻擊,最早被發現於 2022 年 5 月開始進行活動,當時它已經開始將目標鎖定在全球各地的重要企業。

像大多數的勒索軟體組織一樣,他們背後是由人工進行操作的,Dark Angels的操作執行同夥會先入侵公司網路系統,然後做橫向移動,最終目的是為了獲取管理權限。於此同時,他們還從侵入的伺服器中竊取重要資料,這些資料成為他們之後提出贖金要求時重要的談判籌碼。

當網路攻擊者取得 Windows domain controller(網域控制器)的存取權時,他們會部署勒索軟體來將網域內的所有裝置設備進行加密。

在上次攻擊事件中,Dark Angels 聲稱他們共竊取了 27 TB 的企業資料,並要求該受害公司支付 5,100 萬美元的贖金。

Zscaler ThreatLabz 表示,Dark Angels 採用的是 “Big Game Hunting” (大規模狩獵遊戲) 策略,這種策略是指僅針對少數高市值公司,預期可以斬獲巨額贖金,而非一次性同時向許多公司要求支付額度較小的贖金。

Zscaler ThreatLabz 研究人員解釋到:“暗黑天使組織採用了高度針對性的做法,通常是一次只攻擊一家大型公司的模式。”

Zscaler的報告也強調並警告,各家企業要同時警惕其他惡名昭彰的勒索軟體組織,例如像是 Lockbit、BlackCat (ALPHV)、Akira 和 Black Basta。

Barrier Networks的首席技術長Ryan McConechy對報告的調查結果發表了評論,「這個數字高到令人擔憂,大多數的企業或機構不會相信網路攻擊會讓他們付出如此慘重的代價…但這就是當前許多網路攻擊事件背後殘酷的現實。」他同時強調企業需要堅實的網路防護措施做後盾,其中包括員工教育訓練、多因子身份驗證、系統更新和準備充分好事件回應計畫。

勒索軟體組織Dark Angels相關的部分的入侵指標(IOCs):

5cc2306e9e0aa8d1cb095791febf89b3
a874076693aff0f34d4248396a2dd777
b4a07cdd640bbaef21cd0493b4d62675
06187023d399f3f57ca16a3a8fb9bb1bdb721603
529e24c81ede5dfcedcc4fbc7d0030f985c67af1
7c2e9232127385989ba4d7847de2968595024e83
38e05d599877bf18855ad4d178bcd76718cfad1505328d0444363d1f592b0838
3b56cea72e8140a7044336933cf382d98dd95c732e5937a0a61e0e7296762c7b
fe8b6b7c3c86df0ee47a3cb04a68891fd5e91f3bfb13482112dd9042e8baebdf

中國駭客組織Daggerfly利用惡意軟體 MgBot 和 MACMA攻擊台灣企業和美國非政府組織

Daggerfly APT組織是與北京有密切關聯的情報蒐集/ 駭客團體

Daggerfly利用惡意軟體攻擊台灣企業及美國NGO  Photo Credit: SempreUpdate

數家台灣企業和一家總部位於中國的美國非政府組織 (NGO) 已成為駭客組織Daggerfly 的目標,該組織屬於國家資助之駭客團體,跟北京關係密切,目前正使用一組已升級完成的惡意軟體工具。

博通(Broadcom)旗下的賽門鐵克(Symantec)威脅獵人團隊最近發布的一份報告表示,這項行動顯示Daggerfly「也從事內部間諜活動」。“在發動的攻擊中,駭客利用 Apache HTTP Server (網頁伺服器) 中的漏洞來散播 MgBot 惡意軟體。”

Daggerfly(也稱為 Bronze Highland 和 Evasive Panda)先前被發現運用 MgBot 模組化惡意軟體架構來進行針對非洲電信服務供應商的情報收集任務。根據相關報導,該行動早自 2012 年起就已經開始運作。

2021 年Google首次詳細介紹了Macma macOS 後門程式 (backdoor)  ,至少從 2019 年起這個惡意軟體就有開始被使用了。駭客利用Macma來進行水坑攻擊 (watering hole attacks),目標是香港的網站。這些攻擊利用了 iOS 和 macOS 裝置上的漏洞。攻擊者利用越權漏洞(privilege escalation vulnerability) CVE-2021-30869在macOS設備上安裝Macma。

Macma 是一個模組化後門程式,能支援多種功能,其中包括裝置指紋辨識、執行指令、螢幕截圖、鍵盤記錄、音訊擷取、上傳和下載檔案等等。

儘管 Macma 被國家支持的攻擊者廣泛地使用於網路行動,但它不一定歸屬於某特定組織。然而,賽門鐵克發現有證據表明它是 Daggerfly 所使用的攻擊武器之一。 另外也被發現有部分的MgBot攻擊者,也在使用Macma後門程式 C2 server (103.243.212[.]98) 的變異程式。

在3月的時候,資安專家也發現到了另一種惡意軟體,名為 Suzafk(又稱「NetMM」、Nightdoor),電腦安全軟體公司ESET研究員證實了它與 Daggerfly 的關聯性

報告中說明:「Suzafk 是一個多階段後門程式,能夠使用 TCP (傳輸控制協定) 或 OneDrive雲端硬碟來達成 Command and Control (按照駭客的命令與控制) 的目的。從這個惡意軟體之中所包含的組態參數和相關設定來看,可以推測它連結到 OneDrive 的功能正在開發中,亦有可能它的變異版本已經擁有這樣的功能。」

賽門鐵克表示:「該組織所創建的惡意軟體工具是以大多數主要作業系統平台為目標。」並補充說,「相關證據顯示這些惡意軟體有能力將Android APK、SMS簡訊攔截工具、DNS 請求攔截工具,甚至針對Solaris 作業系統的惡意軟體轉換成木馬程式供其所用」。

正值事態發展之際,中國國家電腦病毒應急處理中心(CVERC)聲稱:“伏特颱風 (Volt Typhoon)” 組織是美國情報機構虛構的,與其有關報導皆屬不實消息。然而,五眼聯盟國家將Volt Typhoon歸屬於與中國有聯繫的間諜組織。

MgBot, MacMa惡意軟體相關的部分的入侵指標(IOCs):

12c2e058e0665bcbff3dbee38a1ef754

5535bbcf24a5767df085a1e34804c913

784dc986f0006aa47c35e60080c7ebf2

9bf90d7ea1e0f7e5086ce70771f44101

a48ea150eae374e7a79d6d4859aae710

a6bdcda8b125a6f2cb6a4ff705446793

b7720de6a3d438aee46f01d78e8fa806

c4db2081fb0c38afe5c6f7ea21805eb4

網路犯罪分子利用 CrowdStrike 的更新出錯散播 Remcos RAT 惡意軟體

駭客正在利用 CrowdStrike 事件進行網路釣魚、詐騙和惡意軟體傳播。

CrowdStrike更新缺陷造成全球大當機  Photo Credit: Acecloud


網路安全公司 CrowdStrike 因推出有缺陷的更新,造成使用該公司服務的Windows設備發生全球性大癱瘓。該公司現在警告,網路攻擊者藉機以提供修補程式為偽裝,向拉丁美洲CrowdStrike用戶散播 Remcos RAT惡意軟體。

攻擊手法是先散播名為「crowdstrike-hotfix.zip 」的 ZIP檔,其中包含名為Hijack Loader (又稱 DOILoader 或 IDAT Loader)的惡意軟體載入程式,該載入程式進而啟動 Remcos RAT。

具體來說,文件檔中還包括一個文字檔(“instruucciones.txt”),此文字檔附帶西班牙語說明,促使想要修復問題的受害者開啟執行檔(“setup.exe”)。

CrowdStrike表示,值得注意的是,ZIP 檔案中的西班牙語檔名和附帶說明,都顯示出該攻擊行動很可能是針對他們公司的拉丁美洲 (LATAM) 客戶。歸咎其原因,一個電子犯罪組織涉嫌重大。

上週五,CrowdStrike 證實,UTC (世界協調時間) 7 月19 日04:09 推送到EDR系統CrowdStrike Falcon 平台上 (使用Windows 設備) 的例行感應器組態更新無意中觸發了邏輯上的錯誤,因此導致藍屏當機(BSoD),進而使得許多系統無法運行並讓企業陷入混亂。

CrowdStrike 表示,他們積極地協助客戶,補救因為最近的內容更新而導致全球數百萬台 Windows 主機癱瘓的情況。CrowdStrike建議受影響的客戶確保通過官方管道與 CrowdStrike 客戶服務代表聯繫,並遵循 CrowdStrike 支援團隊提供的技術指引。

英國國家網路安全中心(NCSC)警告,他們觀察到利用此次主機癱瘓事件的網路釣魚活動有大幅增加的情況。

惡意軟體沙箱服務業者AnyRun 也注意到「企圖假冒 CrowdStrike 以從中得利的情形有所增加,這些可能會引發網路釣魚型態的攻擊活動」。此外,威脅情報平台FalconFeeds的報告指出,巴勒斯坦駭客組織正利用 CrowdStrike 事件,試圖藉機引誘以色列企業用戶在他們的系統上安裝擦除器惡意軟體 (wiper malware )。

更糟糕的是 CrowdStrike 更新事故導致多個產業出現營運中斷,包括航空、金融、醫療和教育產業。美國有線電視新聞網 (CNN)週日報導,連續第三天有超過 1,500 架航班被取消,更有數千架航班因此延誤。

對於 CrowdStrike 的更新出錯,微軟一直有參與進行補救措施。據微軟表示,這次事件導致全球共計 850 萬台 Windows 裝置癱瘓(佔比不到所有 Windows 機器的百分之一)。

微軟也發布聲明:“這一事件說明了我們無遠弗屆的數位網路系統—包括全球雲端提供商、軟體平台、資訊安全廠商和其他軟體服務商以及客戶之間的相互關聯性。 ” “同時也提醒我們,對於整個數位技術系統中的所有人來說,利用現有機制優先進行安全性部署和建立自災難事故復原的標準流程,是最重要的課題。”

CrowdStrike/ RemCos惡意軟體相關的部分的入侵指標(IOCs):

1e84736efce206dc973acbc16540d3e5

371c165e3e3c1a000051b78d7b0e7e79

da03ebd2a8448f53d1bd9e16fc903168

2a2ecbbd4840c486b3507a18307369336ec5a1aa

889b4f487d8bba6af6ff6eb7f5afd74957586c49

fef212ec979f2fe2f48641160aadeb86b83f7b35

48a3398bbbf24ecd64c27cb2a31e69a6b60e9a69f33fe191bcf5fddbabd9e184

5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9

931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6

c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2

d6d5ff8e9dc6d2b195a6715280c2f1ba471048a7ce68d256040672b801fda0ea

微軟警告:Scattered Spider駭客集團採用 RansomHub 和 Qilin 等勒索軟體進行網路攻擊

Scattered Spider是最危險的金融駭客組織之一,具有先進的社交工程攻擊能力

Scattered Spider 使用的勒索軟體攻擊手法  Photo Credit: Microsoft

根據微軟威脅情報團隊警告,Scattered Spider (又被稱為Octo Tempest) 駭客集團已添加最新攻擊手法,包括RansomHub和Qilin等勒索軟體皆是他們目前使用的攻擊武器。

Scattered Spider集團於2022年首次出現,其特點是使用先進的社交工程技術以及進行個資(ID)入侵,攻擊目標鎖定 VMware ESXi 伺服器並且部署 BlackCat 勒索軟體。它也是去年對Caesars Palace (凱撒皇宮) 和MGM Entertainment (米高梅娛樂公司) 進行大規模勒索軟體攻擊的幕後黑手。

去年11月,FBI 和 CISA (美國網際安全暨基礎設施安全局) 發布了一份公告,重點介紹了 Scattered Spider 的策略、技術和程序 (TTPs)。其中包括冒充資訊廠商員工,來誘使客戶服務人員向他們提供憑證或使用遠端存取工具以入侵目標網路。已知他們用於網路存取的其他策略還包括網路釣魚、MFA bombing (多因子驗證轟炸式攻擊) 和 SIM swapping (SIM卡交換攻擊)。

在2022 年Qilin 勒索軟體曾經以不同的名稱「Agenda」出現過,但很快就更名了。據微軟所稱,該組織已針對130 多家公司進行了攻擊並宣稱是幕後主使,索要的贖金從25,000 美元到數百萬美元不等,並且正在開發一種特製規格的Linux 加密器,針對目標就是VMware ESXi 伺服器。同時, RansomHub是一種勒索軟體服務 (RaaS) 產品,越來越受到網路攻擊者的青睞,這使其成為當今最廣泛運用的勒索軟體之一。

與許多其他針對企業的勒索軟體組織一樣,他們運用Qilin勒索軟體以滲透到公司的網路並在其網路系統中橫向移動,竊取重要資料。在獲得管理員憑證並收集所有敏感資料後,他們部署勒索軟體來將所有網路設備進行加密,並利用竊取的資料進行雙重勒索。

上個月,英國國家網路安全中心 (NCSC) 執行長將6月初醫療機構Synnovis遭到網路襲擊歸因為Qilin勒索軟體攻擊 ,該攻擊事件影響了倫敦的幾家主要 NHS(國民保健署) 醫院,迫使它們取消了數百件手術和預約門診。

微軟威脅情報團隊所進行的資安事件調查之中,Scattered Spider集團占了很大的比例,那是因為微軟團隊處理的異常事件回應,很多是由Scattered Spider所主導的攻擊。該集團首次的「oktapus」攻擊事件因為針對 130 多個知名企業而引發廣泛關注,而藉由了解這些案例進一步有所防備是必要的。

RansomHub相關的部分的入侵指標(IOCs):

02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292

104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2

2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad

34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087

36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e

595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb

7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2

7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a

8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7

a96a0ba7998a6956c8073b6eff9306398cc03fb9866e4cabf0810a69bb2a43b2

e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23

ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00

f1a6e08a5fd013f96facc4bb0d8dfb6940683f5bdfc161bd3a1de8189dea26d3

fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e

多個勒索軟體持續利用Veeam去年修補的Backup & Replication中的高風險漏洞

利用該漏洞Akira勒索軟體,從初始登入到資料洩露的整個操作,僅花了 133 分鐘

Photo Credit: Veeam

備份軟體Veeam Backup & Replication中的漏洞CVE-2023-27532(CVSS風險評為7.5分),此漏洞的根源發生在Veeam.Backup.Service.exe元件。網路攻擊者可以利用這個漏洞來取得組態資料庫(configuration database)中儲存的加密憑證,從中取得備份基礎設施主機(backup infrastructure hosts)的存取權限。

該漏洞已於2023年3月獲得修補,不久後該漏洞的PoC漏洞利用程式碼(PoC exploit code)也被公開發布。

有關專家觀察到,俄羅斯網路犯罪組織FIN7自2023年4月以來一直在利用該漏洞。

2023年8月,發現古巴勒索軟體集團利用該漏洞進行攻擊後不久,美國網際安全暨基礎設施安全局CISA將 CVE-2023-27532 增加到其已知遭濫用之漏洞清單中。

新加坡威脅情報公司Group-IB研究人員也發現了一個勒索軟體組織利用了 Veeam Backup & Replication中的漏洞。有關專家的報告指出,2024年4月,EstateRansomware勒索軟體集團使用PoC漏洞利用程式碼來攻擊漏洞CVE-2023-27532。

在網路安全公司BlackBerry 的報告中揭露,於2024年6月,網路攻擊團體利用Akira勒索軟體攻擊了一家拉丁美洲航空公司。對目標網路的初始存取是透過 Secure Shell (SSH) 協定進行的,攻擊者在第二天部署Akira勒索軟體之前竊取了關鍵資料。一旦資料外洩成功,攻擊者就會部署勒索軟體來加密受感染的系統。Akira是一種勒索軟體,利用CVE-2023-27532的漏洞來攻擊鎖定的目標、創建未授權帳戶並竊取受害者數據。一旦進入網絡,攻擊者就會創建一個名為“backup”的account,並將其增加到管理員群組中以確保提升的權限。攻擊者部署了合法的網路管理工具Advanced IP Scanner來掃描透過route print識別的本地子網路。整個操作,從初始入侵到資料洩露,僅花了 133 分鐘。

據了解,操作Akira的駭客團體可能利用企業尚未修補的Veeam Backup & Replication漏洞,進而執行初始存取、部署各種後脅迫(post-exploitation)工具、執行Active Directory偵察並癱瘓安全防護產品。

Veeam備份資料的所有權是透過Veeam備份資料夾取得的,而網路攻擊者則從其他系統壓縮和上傳資料。此備份中包含文件、圖像和電子表格等常見的文件類型,勒索軟體集團企圖藉由收集並利用機密和有價值的數據來獲取自己的經濟利益。

Veeam 漏洞事件的部分的入侵指標(IOCs):

2c56e9beea9f0801e0110a7dc5549b4fa0661362                 

5e460a517f0579b831b09ec99ef158ac0dd3d4fa                 

107ec3a7ed7ad908774ad18e3e03d4b999d4690c

中國駭客組織APT41升級惡意軟體庫 新增了分別名為DodgeBox和MoonWalk的兩款工具

DodgeBox 是一個載入程式,它會載入名為 MoonWalk 的新後門

用於部署 DodgeBox 載入程式和 MoonWalk 後門的攻擊鏈 Photo Credit: Zscaler

   知名資安外媒The Hacker News報導,中國駭客組織APT41使用已知惡意軟體StealthVector 的「高級升級版」來投放先前未紀錄過的後門名為MoonWalk。   

2024年4月Zscaler ThreatLabz 發現了 StealthVector的新變種,被Zscaler 認定為改進版本的DodgeBox。DodgeBox與StealthVector一樣,是一個用C語言編寫的Shell代碼載入器,可以配置各種功能——包括「解密和加載嵌入的DLL、進行環境檢查和綁定以及執行清理程式。」

然而與StealthVector相比,DodgeBox在其實施上有顯著改進。DodgeBox的一些功能包括加密——它使用AES密碼反饋(AES-CFB)模式加密其配置。它還進行一系列環境檢查,以確保它達到了正確的目標並擁有正確的權限,以確保最大限度地訪問受害者的系統。

安全研究人員表示,DodgeBox 是一個載入程式,它會載入一個名為MoonWalk的新後門。同時也結合了呼叫堆疊誘騙、DLL側載和DLL空洞等的各種技術。MoonWalk擁有DodgeBox的許多規避技術,並利用Google Drive 進行命令和控制通訊。目前尚不清楚惡意軟體傳播的確切方法。

研究人員表示, APT41採用DLL側載作為執行DodgeBox的一種方式。利用由Sandboxie簽署的合法可執行檔(taskhost.exe)來側載惡意DLL(sbiedll.dll)。”流氓DLL (即DodgeBox) 是一個用C語言編寫的DLL載入器,充當解密和啟動第二階段有效負載(MoonWalk 後門)的管道。

將DodgeBox 歸屬於APT41源自於DodgeBox與StealthVector的相似之處 ; 使用DLL側面加載,這是China-nexus組織廣泛使用的技術,用於傳播PlugX等惡意軟體 ; 事實上,DodgeBox樣本已從泰國和台灣提交給VirusTotal。

APT41自2007年來一直活躍至今,APT41也被稱為Barium、Wicked Panda、Wicked Spider和Earth Baku——與中國國家安全部有密切聯繫。除了數位間諜活動外,該組織還偶爾進行以金錢為目的的犯罪行為。Google的Mandiant安全單位認為這是該組織資助其間諜活動的方式。多年來,美國政府已指控APT41成員入侵全球超過100名受害多家公司的電腦網路。

2021年5月至2022年2月期間該威脅組織與對美國州政府網路的入侵有關,此外還使用名為Google Command and Control(GC2)的開源紅隊工具針對台灣媒體組織發動攻擊。

APT41相關的部分的入侵指標(IOCs):

0d068b6d0523f069d1ada59c12891c4a                        

294cc02db5a122e3a1bc4f07997956da                                            

393065ef9754e3f39b24b2d1051eab61                                   

4141c4b827ff67c180096ff5f2cc1474                   

72070b165d1f11bd4d009a81bf28a3e5                         

b3067f382d70705d4c8f6977a7d7bee4     

bc85062de0f70afd44bb072b0b71a8cc

bcac2cbda36019776d7861f12d9b59c4

d72f202c1d684c9a19f075290a60920f                

f062183da590aba5e911d2392bc29181               

多國網路安全機構發出警告,中國間諜組織APT40快速轉換,利用新漏洞的網路間諜活動

    根據外媒The Hacker News與澳華網相關報導,網路情報機構澳洲信號局(Australian Signals Directorate,ASD)和其他其情報合作夥伴(美國、英國、加拿大、紐西蘭、德國、韓國、日本)發佈一份聯合公告,指控中國間諜組織APT40針對各國展開大規模的網路間諜活動,警告其有能力利用新的漏洞進行攻擊。2021年7月美國及其盟國正式將該組織APT40歸咎於中國國家安全部(MSS),該組織在中國海南省海口市,並接受中海南省公安廳、海南省國家安全廳下達的任務,並指控該組織的幾名成員策劃了一場針對不同行業的多年活動,以竊取商業機密、智慧財產權和高價值資訊。

    APT40該組織也被稱為Bronze Mohawk、Gingham Typhoon(以前稱為Gadolinium)、ISLANDDREAMS、Kryptonite Panda、Leviathan、Red Ladon、TA423和TEMP Periscope,據了解至少自2011年以來一直活躍,對實體進行網路攻擊在亞太地區。

APT40會定期對其感興趣的網路(包含發起機構所在國家的網路)進行偵察,尋找入侵目標(識別網路上易受攻擊、報廢或不再維護的設備),這種定期偵察使APT40具備有快速轉換和調整利用新漏洞的概念驗證(POC)的能力,並立即將其用於攻擊擁有相關漏洞基礎設施的目標網路。

    APT40採用部署web shell來建立持久性並保持對受害環境的存取,以及使用澳洲網站進行命令和控制的目的。APT40合併了過時或未修補的設備,包括小辦公室 / 家庭辦公室(SOHO)路由器,作為其攻擊基礎的一部分,試圖重新路由惡意流量並逃避檢測,這種操作方式是類似於Volt Typhoon等其他中國團體所使用的方法。

    據Google旗下的Mandiant稱,這是源自中國的網路間諜活動更廣泛轉變的一部分,旨在透過日益武器化網路邊緣設備、「ORB 網路」(操作中繼盒網路)和使用離地攻擊(Living off the Land,LotL)技術,將隱密性置於首要位置和中心。

    攻擊鏈還涉及使用遠端桌面協定(RDP)進行偵查、權限升級和橫向移動活動,以竊取憑證並洩漏感興趣的資訊。

過去幾年中,APT40與提供ScanBox偵察框架的入侵波以及利用WinRAR中的安全漏洞(CVE-2023-38831,CVSS評分:7.8)有關,作為針對巴布亞新的網路釣魚活動的一部分幾內亞將提供一個名為BOXRAT的後門。

今年3月初,紐西蘭政府暗示威脅者參與了2021年議會法律顧問辦公室和議會服務的妥協。編寫機構表示:”APT40識別了Log4j、Atlassian Confluence和Microsoft Exchange等廣泛使用的公共軟體中的新漏洞,以針對相關漏洞的基礎設施。

企業的虛擬資安團隊 ~ 竣盟科技貼心提醒,隨時做好下列資安防護措施,將可減輕此類威脅為企業運營帶來的風險。

  • 隨時維護足夠的日誌記錄機制
  • 實施多重身份驗證(MFA)
  • 實施強大的修補程式管理系統
  • 更新報廢設備
  • 停用未使用的服務、連接埠和協議
  • 網路進行分段(以防止存取敏感資料)

APT40 IOC:

26a5a7e71a601be991073c78d513dee3

87c88f06a7464db2534bc78ec2b915de

6a9bc68c9bc5cefaf1880ae6ffb1d0ca

64454645a9a21510226ab29e01e76d39

e2175f91ce3da2e8d46b0639e941e13f

9f89f069466b8b5c9bf25c9374a4daf8

187d6f2ed2c80f805461d9119a5878ac

ed7178cec90ed21644e669378b3a97ec

5bf7560d0a638e34035f85cd3788e258

e02be0dc614523ddd7a28c9e9d500cff