 The Good 我們總是喜歡在任何的情況下強調執法面的勝利,特別是當罪行是如此 “黑暗” 時,這令人滿足。 本週,Essex, UK 的警察局逮捕了一名勒索涉嫌勒索羅馬尼亞,香港,澳大利亞和英國的近 600 名受害者。 據報導,這名男子是位於在 Chafford Hundred 的 Akash Sondhi , ,他侵入年輕女性的 Snapchat 帳號。 一旦他有了訪問權限和控制權,他就會向她們勒索,向他發送暗示性和破壞性的照片。 在大多數情況下,Sondhi 已從目標帳戶中獲取了現有照片,並利用這些照片來勒索裸照和私密圖片。 如果受害者不遵守規定,Sondhi 威脅將這些照片發布給他們的朋友和家人。 受害者的年齡在16至25歲之間。  Sondhi 這樣的行為對這些受害者造成了嚴重傷害,造成了重大的心理傷害,其中一名受害者企圖自殺。 對於他的罪行,他將至少服刑 11 年,並在釋放後的 10 年內被被註冊為性罪犯。 這是在對抗小型網路犯罪中取得的勝利,但也可以提醒人們在與Internet 上的 unknown 進行交流時要謹慎謹慎。 Stay safe!! The Bad 新年通常給大家帶來了新的機會,並重新開始。 很不幸的是,2021 年沒有帶給我們的一件事就是勒索程式的終結。 我們在本週開始,觀察了一個較新的勒索程式系列,稱為“ Babuk”。 Babuk 並不是完全的突破性,但威脅是一樣的。 與其他勒索程式的運營商一樣,在受害者不遵守勒索要求的情況下,Babuk背後的人員也威脅要釋放被盜數據。 此時,Babuk 背後靈僅在特定的 “地下” 論壇中發布受害者數據。 他們似乎還建立了一個 .onion 域,目前沒有任何數據。  目前 Babuk 聲稱使用加密算法(ChaCha8 / SHA256 + ECDH)的自定義組合,以確保受害者在不支付費用的情況下就無法 recover 數據。 據報導,攻擊者目前積累了 60,000 美元至 85,000 美元。 時間會證明 Babuk 是否會像其他的勒索程式一樣迅速崛起,但到目前為止,在外使用這種勒索程式的範圍還很小。 因此,為了迎接新的一年……並保護自己免受 Babuk 的攻擊,請確保對你的所有系統有是有可管理和適當的保護。 FYI ~ SentinelOne Singularity 是可以完全抵禦 Babuk 攻擊的歐~~ The Ugly 我們都有點習慣仿冒各種官方機構的網路釣魚電子郵件。 而現在危機期間,當各種政府機構試圖盡可能快而有效地傳播準確的信息時,這變得更加成問題。 在本週,Australian Cyber Security Centre(ACSC)發出警告,指出網路犯罪分子正在發送偽裝為來自 ACSC 官方訊息的釣魚電子郵件。  釣魚 email 中包含惡意連結,據報導其中包含下載 “防病毒軟件” 的 link,但其實下載程是在目標個人的主機上傳送和執行銀行木馬。 ACSC 警告繼續指出:
“……近期有訊息顯示出,網路犯罪分子由一個假的電話中告知個人戶,要求他們將 “ TeamViewer” 或 “ AnyDesk” 下載到他們的設備上,以幫助解決惡意程式問題。 詐騙者然後試圖說服接收者執行,例如在瀏覽器中輸入 URL 並進入 online banking 服務,這隨後危害者機以洩露銀行信息。” 我們鼓勵相關人士 review ACSC 警告,並採取任何必要措施以減少接觸並降低風險。 在 email 和網路使用安全方面,你永遠都要很小心……作為友善的提醒,email 仍然是最常見的惡意程式傳遞方法。
0 Comments
The Good 在 2020 的最後一周中,網路安全表現出眾。 首先,我們很高興得知 National Crime Agency 逮捕了 2 1名涉嫌與已失效的 online 犯罪市場 "WeLeakInfo" 購買盜竊數據相關的人。 這個網站其實在 2020 年初就已被移除,其中託管了從 10,000 多個數據洩露中收集約 120 億個被盜憑證。 被逮捕者是年齡在 18至 38 歲之間的男性,涉嫌欺詐和/或違反《 Computer Misuse Act》。 除了逮捕行動,約 55,000 美元的比特幣也被扣留。  再來就是在 12 月初,Microsoft 分享了有關 SolarWinds 近期的攻擊事件以及國家級駭客如何針對 Azure / Microsoft 365 客戶的資訊。 令人高興的是,本週 CISA 的 Cloud Forensics 團隊發布了一個名為 Sparrow 的 open-source PowerShell tool,用於事件響應程序,可幫助檢測可能的受感染帳號。 除此之外,該腳本檢查與 SolarWinds 相關的已知 IoC,列出 Azure AD domain,並檢查某些 API 權限以識別潛在的惡意活動。 千萬別小看最近的 APT 攻擊活動,這次 CISA 的工具可確保企業免受SolarWinds 供應鏈攻擊的後果。 The Bad 大家都期待 2021 會有許多的好消息,特別是關於 COVID-19 疫苗的推出和開發,但這對許多駭客來說~這仍是難以抗拒的易受破壞的誘餌。 過去一周,在駭客們用勒索程式感染在 Antwerp 的通用醫學實驗室(ANL)之後,在比利時的 COVID-19 實驗室被關閉。 AML 是一家私營企業,每天處理大約 3000 項 COVID-19 測試,並且是該國最大的私人測試實驗室,處理近 5% 的案件。 而儘管類似的攻擊(例如上個月 European Medicines Agency,也以數據盜竊為目標被攻擊,但目前尚無證據證明病人的個資被盜。 是哪種勒索程式或攻擊者要多少錢的細節也不清楚。但,在這個階段強迫 COVID-19 測試設備停機的傷害已經夠大了。  The Ugly 最後,一個醜陋的數據洩露事件,這一次真的很難看,因為被洩露的數據屬於 930,000 名美國兒童,青少年和大學生。 據報導,由 Viacom 和 Bill & Melinda Gates 基金會共同創立的教育慈善機構 GetSchooled 的 database 被洩漏。其中約該 1.25 億條記錄,包含學生的 PII(personally identifiable information),姓名,地址,電話號碼,年齡,性別,學校 和畢業細節 。 但 GetSchooled 表示洩漏的記錄數接近 250,000,只有 75,000 筆與 email 連接的仍保持 active。 至於數據被暴露了多久還不清楚,但是對於之後處理的時間存在一些擔憂。 身份不明的第三方將漏洞報告給英國網路安全公司 TurgenSec。 然後該安全公司於 11 月 17 日將此問題通知了 GetSchooled。 但是,直到 12 月 21 日才解決了問題,據說要等到新年之後才進行調查和審查。 而這個時間表引起了一些批評,也沒有關於攻擊的報告,原始消息來源的細節也令人擔憂。  The Good 2020年,國際上展開了許多打擊網路犯罪的行動。 而在 2020 的最後一週,我們高興地得知執法機構持續與另一起令人印象深刻的行動有了一場 good fight! Operation Nova, 由德國警察,歐洲刑警,聯邦調查局和世界各地其他執法機構所領導的執法行動,導致了Safe-Inet(一個許多知名駭客使用的 virtual private network(VPN))成功的被拆除。 Safe-Inet 的服務已被關閉,在德國,荷蘭,瑞士,法國和美國的基礎設施也被扣押。  這個 VPN 已經被使用了十多年,並且被勒索程式 operator 和其他網路犯罪分子用來掩蓋他們的足跡。 Safe-Inet 以高價出售,被稱為“可避免執法檢測的最佳工具之一”,最多可提供五層匿名的連接。 歐洲刑警組織歐洲網路犯罪中心負責人 EdvardasŠileris 表示: “The strong working relationship fostered by Europol between the investigators involved in this case on either side of the world was central in bringing down this service. Criminals can run but they cannot hide from law enforcement, and we will continue working tirelessly together with our partners to outsmart them.” “歐洲刑警組織與在世界各地參與此案的調查人員之間建立了牢固的工作關係,這對於成功的打擊這項任務至關重要。 犯罪分子可以逃,但他們躲不過執法,我們將繼續與合作夥伴,不懈努力以求勝過他們。” The Bad 那麼呢~加密貨幣目前仍是非常流行。 最熱門的還是 bitcoin,已達到了更高點,並帶動了整個加密市場。 但是在他們真正成為主流之前,關於加密貨幣的交易和安全性存在一些安全挑戰尚待解決。 這裡是一個很好的例子:加密貨幣錢包公司 Ledger 在今年早些時候遭到攻擊,已有 272,000 名客戶的詳細信息(包括姓名,郵寄地址和電話號碼)已被放置在一個專門分享被黑客入侵的數據庫的點: Raidforums. 總部位於法國的 Ledger 在 7 月份發布,他們發現其電子商務和 marketing 數據庫遭到破壞,導致客戶的 email 被盜。 現在,數據庫的公開增加了 Ledger 客戶成為網路釣魚攻擊的受害者的可能性,攻擊者將嘗試獲取他們的 private key。 而目前已有暴力威脅及個人威脅的報導。  而英語世界的另一端也存在著加密問題。 英國加密貨幣交換公司 EXMO 週一表示,他們的 hot wallets 已被盜用。 他們尚不清楚駭客是如何攻擊 EXMO,但據估計該公司已因 hot wallets 洩露而損失了超過 1000 萬美元,約佔其總加密資產的 6%。 在一份聲明中,EXMO 已將攻擊事件通知了客戶,並警告他們不要將任何資金存入現有的錢包。 同時,所有提款也已暫停。 The Ugly 自上周二以來,歐洲人權法院遭到網路攻擊並暫停其網站。 這次襲擊是在法院發布裁定釋放親庫爾德人的前民主黨領袖SelahattinDemirtaş 的裁決之後進行的。 法院認為,拘留47 歲 Demirtaş 已持續了四年多,這與 “民主社會概念的核心”背道而馳。 而土耳其駭客主義者組織 Anka Neferler Tim 對其在 Facebook,Twitter 和 Youtube 帳號上的攻擊負責: “The website of the European Court of Human Rights, who wanted Selahattin Demirta aş’s release, has been closed due to our attacks. We are not opening the site until they make an apology statement!” “希望釋放的歐洲人權法院 Selahattin Demirtaaş 的網站已因我們的攻擊而關閉。 在他們做出道歉聲明之前,我們不會開放該網站!”  歐洲人權法院提供了以下聲明: “Following the delivery of the Selahattin Demirtas v. Turkey (no. 2) judgment on 22 December, the website of the European Court of Human Rights was the subject of a large-scale cyberattack which has made it temporarily inaccessible. The Court strongly deplores this serious incident. The competent services are currently making every effort to remedy the situation as soon as possible.” “在 12 月 22 日 Selahattin Demirtas v. Turkey (no. 2) 判決之後,歐洲人權法院的網站被大規模網路攻擊,這使的網站福使用。 法院對這一嚴重事件深表遺憾。 主管部門目前正在盡一切努力盡快糾正這種情況。” The Good 本週的好消息開始~~印度執法人員在德里 (Delhi, India) 逮捕 與跨國電信詐騙案件有關的嫌疑人超過 50 人。 根據報導這些人透過電話詐騙至少了4500名受害者,並透過勒索比特幣 (Bitcoin / BTC) 以及禮金卡 (gift cards) 進而得手超過了1400萬美元。這些詐騙者會告知受害人他們的個人資料在某些犯罪現場被發現,或者是他們的銀行帳號被用來從事不法活動,而唯一能夠防止他們的資金或存款被凍結的方式是將其轉移到一個特定的比特幣錢包(Bitcoin Address),或者是將其轉為禮金卡並交給他們保管。 印度德里警方的網路犯罪調查小組透過將這些從美國與其他國家受害者被詐騙的金流追蹤回到這個位在印度的不法集團。而除了本案之外,德里的網路犯罪調查小組今年更破獲了其他25個電話詐騙集團。 GOOD JOB!!  本週也有一些關於Solarwinds事件的好消息。在微軟與其他企業的幫助下,FireEye成功地在SUNBURST惡意程式中植入了死亡開關(kill switch)以防止其感染持續進行。根據FireEye的公開聲明表示: “Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections. “This killswitch will affect new and previous SUNBURST infections…However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.” 「當惡意程式解析 avsvmcloud[.]com 的 IP 位址時,在特定的情況下,它會自動終止並阻止自身任何更進一步的活動。FireEye 在與微軟 (Microsoft) 以及 GoDaddy 合作下成功的讓SUNBURST停止其感染行為。 Kill Switch 對於不論是新發現或是之前已發生過的SUNBURST感染都能有效阻止……然而,FireEye 過往所觀察的入侵(intrusions) 模式,入侵者很快就會建立 SUNBURST 後門之外,其他持續性的權限存取受害者的網域 (network)。」 The Bad 在各種複雜的攻擊工具中,在 2018 年發現的 SystemBC 已成為攻擊庫中的第一名。 最初,該工具用於通過 SOCKS5 proxies 來混淆或掩蓋命令並控制流量。 他更與涉及與許多針對金融業的木馬攻擊活動同時出現。 然後呢~ SystemBC 被發現與常見的勒索程式攻擊結合使用之後,這再度引起了對 SystemBC 的廣泛關注。 根據最近的報告,一些成熟的組織(例如,Egregor,Ryuk)正在使用 SystemBC 進行部署,以補充其他常見的惡意程式,例如 Zloader,BazarLoader 和 Qot。  這些近期的發現,顯示了該工具擴展的範圍。 攻擊者現在可以利用 SystemBC 作為具有類似於 RAT 級別功能的 persistent backdoor 。 更重要的是,它允許攻擊者的持久攻擊方法並具有冗餘性。 攻擊者通常將 SystemBC 與 Cobalt Strike 類似的框架一起使用。 這為開發後的攻擊提供了更多選擇,並再次增強持久性。 對此的主要收穫之一是當今的攻擊者採取的 “分層方法”。 正如我們鼓勵採用分層,defense-in-depth 方法來落實企業安全一樣,駭客們也正在一樣的研究多管齊下的策略,這樣,如果一種傳遞方法失敗或檢測到 payload,他們還有不同的版本來應對。 正確的網路使用習慣,EDR 和強大的 cloud workload protection 很重要,與往常一樣,這些事件提醒了我們必須適當維護和正確配置這些控件。 SentinelOne Singularity平台能夠自主檢測並防止與 SystemBC 相關的偽像和行為。 The Ugly 最後,本週最具影響力的是 被攻陷的 SolarWinds 。 簡單來說呢,SolarWinds 是一家全球性的公司為客戶提供了一系列 IT 服務。 這包括伺服器,端點系統,數據庫管理,help desk 系統以及你可以想到的任何其他事物的管理和監視。 此外,他們的客戶群是高價值目標的 “ who's who ” 。 這次攻擊的結果,已證實 United States Treasury Department of Commerce, the Department of Homeland Security and FireEye 都受到了傷害。  FBI,ODNI 和 CISA 於 12 月 17 日發布了聯合聲明,確認了攻擊的範圍和確切來源。 此外,CISA 在 12 月 17 日發布了超級詳細的 NCSA 警報 AA20-352A),其中涵蓋了攻擊技術方面,包括 Indicator of Compromise(IoC)以及與相關資源的連接。 還記錄了與攻擊有關係的惡意 SolarWinds Orion 產品的特定版本。 Orion Platform 2019.4 HF5, version 2019.4.5200.9083 Orion Platform 2020.2 RC1, version 2020.2.100.12219 Orion Platform 2020.2 RC2, version 2020.2.5200.12394 Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432 請注意:除了 SolarWinds Orion 平台之外,CISA 還有其他 initial access vectors 的證據; 但這些仍在調查中。 當有更新的消息,CISA 將更新此警報。 SentinelOne 也發布了新的 “Deep Visibility ” hunting packs,允許針對與這些事件相關的 IOC 進行專門性查詢。 我們鼓勵所有人 keep up 發展動態。 我們的團隊將繼續更新專案 blog 和資源。
The Good 到底誰是真正的 APT32 ? OceanLotus APT 最近成為頭條新聞,而在本週 Facebook 擊敗的方式揭開了他們的真實身份,這倒是史無前例的。 臉書指向了一家越南 IT公司 CyberOne Security 為 APT32 活動背後的操控者,該組織針對的受害者包括人權活動者,新聞社,政府和 NGO 機構,以及農業,衛生,科技和 IT 等眾多行業。 來自 Facebook 的研究人員表示攻擊來自 Windows 惡意程式,macOS 後門和 TTPs,其中還包括在 Play Store 的惡意 apps,watering hole 攻擊以及偽造的 FB 和其他社群角色,以吸引受害者。  Facebook 表示,他們通過阻止相關聯網域在平台上發布,刪除帳戶並通知可疑受害者,破壞了他們的行為。 至於偽造的“ CyberOne Security” 公司,記者試圖通過電話和 email 與他們聯繫,不出奇的,他們沒有得到任何的回應。 The Bad 而這週的新聞都與 APT 有關。 National Security Agency 本週發布了一份 3 頁的報告,據資安專家表示,雖然同業已經團結起來,幫助企業抵禦 APT 對 FireEye 的攻擊,(這攻擊導致了紅隊的工具被盜竊),但俄羅斯 APT 團體似乎已在積極利用 VMware 系統中的漏洞。 通過這個漏洞 CVE-2020-4006,攻擊者可以在受感染系統上運行漏洞程式,執行選擇命令。 報告中並指出,攻擊者已利用此漏洞,通過將Web Shell 作為 gateway 安裝到網路中並利用偽造的 SAML access 至受保護的數據來。 受影響的 VMware 版本包括: VMware Access 20.01 and 20.10 on Linux VMware vIDM 3.3.1, 3.3.2, and 3.3.3 on Linux VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03 VMware Cloud Foundation 4.x VMware vRealize Suite Lifecycle Manager 8.x 因漏洞而產生的惡意活動會發生在與設備相關的 TLS tunnel 內。 美國國家安全局(NSA)建議,缺乏對加密連接可見性的安全團隊可以在 configurator log (/opt/vmware/horizon/workspace/logs/configurator.log)中尋找損壞後的指示器,特別是針對 “exit ” statement 後接著 3 個數字 。  修補的 patch 已於 12 月 3 日開始提供,建議所有用戶盡快進行更新。 此外,由於要利用此漏洞,需要有密碼後才能 access 目標設備在 Web 的管理界面,因此,請管理員也確保遵循最佳做法,避免使用簡易密碼,並在可能的情況下確保 Web 的安全並無法從 Internet 進入管理界面。 NSA 的 advisory 中也提供了建議給無法立即進行修補的其他解決方法。 The Ugly 正如上週的資安週報指出,犯罪軟體開發者和複雜的攻擊者之間最近一直存在著令人不安的趨勢,這些攻擊者的目標是研究數據,開發,製造和分發 COVID-19 疫苗有關的組織和基礎設施。 隨著歐洲藥品管理局的網路攻擊,不安感的趨勢持續著。 該組織的簡短聲明除了確認發生了攻擊事件外,沒有提供更多詳細信息。但之後的報告聲稱有人已經 access 過 Pfizer/BioNTech 疫苗 BNT162b2 的監管提交的相關文件。  根據 BioNTech 的新聞,EMA 正在批准疫苗,而這些文件存儲在 EMA server上。
目前還不清楚這些文件是否為攻擊的主要目標,或已危害了其他數據,但到目前為止,沒有跡象顯示屬於疫苗試驗工作人員的任何 PPI 已被暴露。 EMA 也表示,網路攻擊不會延遲歐盟對該疫苗的監管批准,並預計將在未來幾週內完成。 The Good 在過去的一週,美國司法部忙著判處兩個人因網路犯罪而被判長期徒刑。 21 歲的 Ryan S. Hernandez,又名 Ryan West 或 “ RyanRocks ” <-網路名稱)被判處三年徒刑,並再有七年的有期徒刑,並在釋放後登記為性罪犯。 Hernandez 的網路犯罪包括:使用網路釣魚在一名任天堂員工,並竊取憑據以及下載與控制台和遊戲有關的機密 Nintendo 文件,例當時備受期待的 Nintendo Switch 控制台。 然後,他在遊戲論壇上分享了這些機密信息。 2019 年 6 月,聯邦調查局特工突襲了他的房子並沒收了許多電子設備。 進一步的調查顯示,他收集了成千上萬涉及未成年人進行性行為的影片和照片,並存儲在“適當"命名的文件夾 “ Bad Stuff” 中。 Hernandez 將與另一名22歲的 Timothy Dalton Vaughn(又名 “ WantedbyFeds” 和 “ Hacker_R_US” )一起加入牢獄之災。 Vaughn 是 “ Apophis Squad” 中的成員,“ 是遍佈全世界之駭客和蒼蠅的組織。  這個組織因發出威脅性電話和發出與炸彈相關的威脅而聞名,但主要還是為 DDoS 攻擊。 在 2018 年初,Vaughn 要求一家位於 Long Beach 的公司提供 1.5 比特幣,以換取未對公司網站發起 DDOS 攻擊。 而當付款失敗時,他真的發起了攻擊並使網站無法正常運行。 Vaughn 還擁有成百上千的未成年色情圖片和影片。 Vaughn 因犯罪被判處近八年徒刑。 The Bad 目前 Covid-19 的疫苗似乎指日可待,大多數人都鬆了一口氣。 但在任何有效的疫苗可以分發之前,都必須格外小心地進行製造,儲存和運輸。 特別是 Moderna 和 Pfizer 疫苗需要分別在非常低的溫度( -4 和 -94 )下保存。 這些條件使得在交付的每個階段都必須有專門的 “cold chain” 經銷商網絡。 本週,IBM 的安全研究人員發布了惡意網路活動的發現,專攻擊與開發疫苗機構的 cold- chain 設備優化平台: Gavi 這樣設計的供應鏈 (Cold Chain Equipment Optimization Platform)。  這個攻擊於 9 月開始,利用了 Haier Biomedical,這是一家製造 cold chain 存儲設備可信且合法的公司。 據稱是由海爾員工提供的偽造網路釣魚郵件,發送給 European Commission's Directorate-General for Taxation and Customes Union 以及位於德國,意大利,韓國,捷克共和國,大歐洲和台灣的其他組織的總部。 email 試圖收集 credentials 以滲透到目標組織。 儘管攻擊的源頭和目標還不清楚,但似乎有人希望培養破壞全球發展和分配疫苗工作的能力。 此外,國際刑警組織發出警告,暗示 “plain” 網路犯罪分子也將利用疫苗的公開性來快速賺錢。 國際刑警組織擔心,某些人不惜一切代價獲得疫苗接種的願望將導致 “通過假網站和假手段,將毫無戒心的公眾作為目標的犯罪網路,這可能對其健康甚至生命構成重大威脅。”  國際刑警組織建議在網上尋找和訂購藥品時要格外小心。 但僅瀏覽這些網站可能會使用戶面臨感染另一種病毒的風險:國際刑警組織的網絡犯罪部門透露,在與涉嫌銷售非法藥物和醫療設備的 online 藥局相關的 3,000 個網站中,有超過一半的網站有網路威脅,尤其是釣魚和垃圾郵件惡意程式。 The Ugly 巴西報紙 Estadao 報導,有超過 2.43 億巴西人的個資 (往生或還在世的..) 已經在網上暴露了至少 6 個月。 數據洩漏來自衛生部的一個名為 e-SUS-Notifica 的官方網站,,巴西公民可以在網站上註冊並接收有關 COVID-19 的官方政府通知。  該網站的 source code 包含以一種非常容易解碼的格式編碼來建立管理員用戶名和密碼:Base64。 使用解碼的憑據,可以 access 巴西衛生部官方的(SUS)數據庫,數據庫存儲了所有註冊開始於 1989 年,使用公家補助醫療系統的巴西人的個資,其中包含名字,地址,電話號碼,當然還有病歷。
這也不是衛生部第一次遇到數據安全問題,一位安全專家評論說:“每次分析衛生部的信息安全和數據管理政策時,都會發現一個更加嚴重的漏洞”。 數據。 衛生部表示事件正在調查中。 如果數據庫被盜或未經授權訪問,這將是巴西有史以來最大的數據洩露事件。 The Good 本週的好消息~,國際刑警組織和 Group-IB 成功地聯手一項稱為 “ Operation Falcon” ,在 Lagos, Nigeria 逮捕了 3 個人。 這些人負責並涉及了 Business Email Compromise(BEC)操作以及相關的網路釣魚和與有規模的組織犯罪集團建立聯繫,並分佈惡意程式操作。  根據國際刑警組織的 release,迄今已確定約有 50,000 名受害者。 如果回朔一下,還有許多未知或尚未發現的攻擊。 “Operation Falcon” 進行了大約 1 年,成功的追踪了這些罪犯,並促進有參與單位之間的威脅和數據情報交換。 該犯罪集團參與了多個商品惡意程式家族的發布,包括了 Nanocore,AgentTesla,LokiBot,Azorult 等。 惡意 email 被用來連接或分佈惡意程式到其目標。 所有標準的 social engineering 誘餌都發揮作用,包括典型的 “購買訂單” 式網路釣魚。 犯罪分子甚至在某些行動中使用了 COVID-19 的誘餌(攻擊變得更加卑鄙)。 讓我們讚揚一下國際刑警組織和 Gropu-IB 的努力,並鼓勵每個人繼續對這些攻擊保持警惕,並在可能的情況下繼續合作以將這些罪犯繩之以法。 The Bad 本週,聯邦調查局更新了一項 flash alert: FLASH MU-000136-MW,這涉及了針對錯誤配置的 SonarQube 並 access 到美國政府機構和企業的專有 source code 的攻擊。  自 2020 年 4 月開始,這些駭客們就將已被暴露,脆弱的 SonarQube instance 作為目標。這些被認為是高價值目標,因為這些包含了私人企業和美國政府機構的 source code repositories。 網路犯罪分子可以通過多種方式使用這類的敏感數據,最常見的是出於勒索目的而進行的滲透。 也就是類似於我們常見勒索程式活動中看到的情況,如果受害人不遵守攻擊者的要求,他們就威脅要公開發布數據。 FLASH alert 指出,已經有多個實例顯示出這些存儲庫中的數據已被洩漏到 public domain 中。 SonarQube 的緩解建議包括:
The Ugly 學區和相關機構一直是惡意程式攻擊的目標; 但是,最近針對學校和地區管理基礎設施的勒索程式攻擊似乎有所增加。 本週,有消息傳出勒索程式攻擊 “癱瘓” 了 Baltimore 公立校區(之前的報告顯示 Ryuk 為幕後攻擊者),實際上,在周三已關閉了近 115,000 名學生的學校。 而且 Baltimore 並不孤單。 許多學校和學區都出現在勒索攻擊者的 blog 上的受害列表中。 Egregor operators 也於上週也公布了在休斯敦 Spring ISD。  讓我們回朔一下,還可以看到其他相關實例:
具有諷刺意味的是,改善這種狀況的一種方法是教育。 我們鼓勵社區和行業中的人們伸出援手,找到方法來指導與教育相關的基礎設施管理者,以提出風險在哪裡,如何減少接觸,在哪裡集中進行最大程度的偵測和預防控制等方面的建議。 駭客們不會停止前進,因此我們有責任保持領先地位。 The Good 還有什麼能比新的安全功能更好? 當然是請求用戶在開發和推出產品時加入他們的需求! 為了提高瀏覽器的安全性和用戶的參與度,Mozilla 本周宣布將最近的 HTTP-over-HTTPS(DoH)功能開放一個公開的“評估期”。 簡單來說呢:DNS 是瀏覽器 “lookup” 域名實際 IP 地址的方法,例如 sentinelone.com。 但是,這些 lookup 是通過各種 gateway 和伺服器在整個網路中傳播的,而完全是未加密的。 這意味著這些點中的每一個都可能 “嗅到” 並干擾查找。 使用DoH(發音為“dough 就像麵團一樣”),DNS 的 "lookup", 通過 HTTPS 於請求的瀏覽器與 DNS resolver 之間進行加密。  Source: Mozilla 所以這有什麼好不喜歡的? 嗯,或許 ISP 廠商不是挺喜歡,因為這可能會破壞廣告置入用戶瀏覽請求的能力。 還有其他的例如讓安全工具更難監視和過濾惡意 Web 流量。 而在英國,當局通過過濾掉提供非法內容的網域,將 DNS 用作打擊兒童色情的工具。 考慮到這些問題以及 DNS 過濾的許多不同案例,Mozilla 採取了受歡迎的方式:部署並徵詢大家的意見,意見徵詢將持續至2021 年 1 月 4 日。 該公司表示,他們希望 “取得大眾想法,建議和見解,以幫助我們最大限度地提高實施 DoH 的安全性和增強隱私的利益”。 他們接著說,“我們歡迎任何關心健康,權利保護和安全的 Internet 增長的人做出貢獻”。 蘋果,你有聽到嗎? The Bad 當我們討論網路安全的同時,本週的壞消息就是託管網路解決方案提供商 Managed.com 被 REvil 攻擊。 儘管最初的攻擊似乎規模有限,但該公司很快不得不拆除了整個網路託管基礎架構,並影響了 WordPress 等其他企業。 Managed.com 表示,他們正在努力解決並與執法機構合作,試圖確定參與攻擊的個體。 這不僅僅是出於公共責任感; 這近乎是一項要求,因為公司企業需要確保,如果他們考慮向攻擊者付款,他們將不會面臨因為與這些被禁實體打交道而遭受到法律制裁。 BleepingComputer 表示,攻擊者很可能是 REvil,他們要求支付 500,000 美元的贖金來取得解密。  Source: BleepingComputer 目前尚無任何表示 Managed.com 與攻擊者有任何聯繫。 根據他們的官方聲明,公司表示:“技術和信息安全團隊正在努力消除威脅,並使我們的客戶恢復到最大能量。” The Ugly 自 2020 年初新冠肺炎以來,視頻會議程式在安全性方面受到了很多審查,例如 Zoom 佔據了在早期的大部分問題。 但是,他們面臨的問題可能遠不及 CiscoWebex 最近出現的三個漏洞那麼嚴重。 來自 IBM 的研究人員發現,Webex 可能會被隱形的參與者 “困擾”。這些不請自來的 “幽靈” 來賓可以參與會議,但不會出現在參與者名單中,即使主持人試圖將它移除也沒有用。 最重要的是,第三個漏洞是無需加入會議就可以收集有關其他與會者的信息。 據研究人員稱,這些漏洞存在於 Cisco Webex 處理客戶端的應用程式及 Webex 伺服器間的 “handshake” 過程的方式中,並影響到預定會議和 Webex Personal Room。 漏洞在多個平台上得到了證明,包括 Windows,macOS 和 iOS。 IBM 聲稱,現在員工每月在虛擬會議上花費的時間超過 50 億分鐘,這類缺陷極易成為攻擊者的目標。  Source: IBM Research 但是,目前尚無證據顯現攻擊者在濫用這些漏洞,Cisco 已經發布了針對 Cisco Webex 伺服器和所有受影響的客戶端應用程式的 security patches。 建議 Cisco Webex 客戶和伺服器端的用戶立即進行修補。
同時,研究人員針對該漏洞已 filed 三個 CVE: CVE-2020-3441,CVE-2020-3471 和 CVE-2020-3419。 The Good 美國移民和海關執法局(ICE)、Brazil Ministry of Justice and the Public Security(MJSP)Secretariat for Integrated Operations Cyber Laboratory(SEOPI)合作,在一項行動歷時6天中逮捕了一百多名誘拐兒童者 ,遍及美國和南美。 This collaborative effort by ICE’s Homeland Security Investigations and its foreign law enforcement partners has put dangerous criminals behind bars and, most importantly, has led to the rescue of innocent children,” said ICE Attaché for Brazil and Bolivia, Robert Fuentes Jr. 在 ICE's Homeland Security Investigations 及其外國執法合作夥伴的共同努力將危險的罪犯帶進牢獄之地,最重要的是,這營救了無辜兒童。 這是一項正在進行名為 “Operation Protected Childhood”(OPC)活動的一部分,同時針對了整個美洲(巴西,阿根廷,巴拉圭和巴拿馬)的兒童性虐待影片的 distributors 和 producers。 這些犯罪者利用無辜的 app 與夥伴客戶們進行聯繫及分發其“商品”。 行動中發現嫌疑犯正在使用匿名消息傳遞 app“ Kik”,"Facebook Messenger" app,peer to peer 共享,Twitter 直接消息傳遞,當然還有暗網論壇。 據聞 Kik 和Twitter 都協助了調查。  The Bad 對法院的網路攻擊,或是現場審判並不是什麼新鮮事,但是讓一個國家的最高上訴法院失去能力的網路攻擊就是新鮮事,令人感到不安。 巴西的最高法院受到勒索程式的襲擊,這個攻擊至少使其 IT 系統癱瘓了3天。 最高法院院長 Humberto Martins 宣布:“法院的信息網路,在週二下午判決會議進行時,遭受了網絡攻擊”。 一開始攻擊取消了正在進行的 session,電子郵件和電話都不可用。 後來所有 SCJs 系統及其網站在攻擊發生後至少兩天都關閉了,據傳這也攻擊了其他聯邦單位。  據報導,這次的攻擊是由 RansomExx gan 造成的,除了視頻會議外,最緊急的法院訴訟外,並未影響到所有其他案件,但加密的備份內容也很可能被抽掉,以防之後的勒索行為。 巴西總統 Jair Bolsonar 在直播中表示,對方已提出了贖金要求,並確定了背後的攻擊者,但是由於聯邦單位尚未對此事發表正式評論,因此還不清楚這是否準確。 可能也受攻擊影響的其他機構為 Ministry of Health,Federal District Department of Economics and Federal District Government. The Ugly 雖然目前無法出國旅行,但我們都可以回想起我們的最後一個假期,我們很可能 online 預訂了一個房間。 很不幸的是,如果你在過去 7 年中有這樣的行為,你的個資可能已被洩露。 websiteplanet 的研究人員發現屬於西班牙軟件公司Prestige Software ,有一個配置錯誤的 AWS S3 bucket,這家公司向旅館出售架構在雲端的程式,使用與 online 預訂網站(包括當前客房空房情況)的自動回覆,包括Hotels.com,Agoda,Expedia ,Booking.com,Amadeus,Hotelbeds和Omnibees。  Prestige Software 早在 2013 年就已經在配置錯誤的 sockets 中存儲了客戶的個資和至少 100,000 張信用卡的數據。聽說洩露量約為 1000 萬條記錄。 這些記錄中有許多家庭旅遊的預定,因此暴露出的數量很容易是該數字的兩倍或四倍。 研究人員已通知 Amazon,並確保 repo 免受進一步洩漏。 但是,就如以往,還不清楚是否有任何惡意駭客在研究人員發現之前就已經access 和利用了數據。 如果確實確實有數據洩露,客戶的信息受到損害,那麼根據 GDPR ,Prestige Software 可能會面臨歐盟監管機構的罰款。 另一個類似的案例,萬豪集團最近因 2014 年數據洩露而被罰款 1,840萬,這影響了全球 3.39 億客人的記錄,由於公司承受的壓力,罰款已較最初的 9,900 萬英鎊減少。 對於旅行業來說,要渡過持續不斷的 Covid-19 危機已經很困難,若旅行者不能相信 online book ,那麼復甦也無濟於事。 希望這些事件能引起業界提高安全標準,讓我們所有人都安心的旅行。
The Good 在當本週所有人都在關注美國以及競爭激烈的選舉,俄羅斯傳出了一些罕見的網路安全好消息,據報導,內政部逮捕了一個僅以 “ 1ms0rry” 字樣聞名的惡意程式開發人員。 這位未具名的 20 歲男性不幸的越過了那一條紅線,這是大多數其他網路罪犯都學會避免的:允許他的惡意程式感染俄羅斯各地的用戶,淨賺來自2000多個同胞約 430 萬盧布(約合55,000美元)。  報導還表示,這名駭客與一個名為 1ms0rry-Miner 的木馬/加密貨幣 miner 以及 LoaderBot 和 N0f1l3 木馬和信息竊取者有關。 他的代碼還被認為是與其他更強大的惡意程式的源頭,其中包括 Bumblebee,FelixHTTP,EnlightenedHTTP 和 Evrial,MaaS(malware-as-a-service)能夠從中竊取加密貨幣錢包地址和其他 Windows 密碼憑證。 可悲的是,俄羅斯當局對本土的駭客大肆攻擊非俄羅斯目標視而不見,但還是很高興看到另一位惡意程式開發者因任何原因而被逮捕。 只希望他能對如何確定自己的代碼中的語言偏好有更好的了解,別提早回到網路上。 The Bad 據報導在週一,Resident Evil 開發 Capcom 遭到 Ragnar Locker 勒索程式攻擊,導致 Capcom 大約 1TB 數據被盜竊。 與其他 “leak-and-lock” 勒索程式操作一樣,駭客威脅告知,如果公司不付款,便會釋放大量的 IP 和私人敏感數據。 範圍從財務文件,客戶和員工 PII(例如護照和簽證)到商務合同,私人公司電子郵件和 Messenger 對話。  報告顯示,勒索程式已加密至少 2000 台設備,並且要求以比特幣形式支付 1100 萬美元的巨額贖金。 攻擊發生僅在一天之後,Ragnar Locker 還襲擊了飲料商 Campari,其要求也達到了 1500 萬美元的勒索。.。。 在這兩個攻擊下,駭客們都在自己的 “ temporary Leak page” 上洩漏了被盜數據的 sample,該頁面是一個暗網網站,旨在 “顯示範例和滲透證明” 來增加付錢的可能性。 確實如此,他們保證如果受害者拒絕付款,就將數據出售給 “第三方”。 目前,沒有跡象表明 Capcom 或 Campari 妥協並支付贖金。 The Ugly 雲端資產配置不當是遷移到雲端時公司企業的資安隱患,眾所周知,使用有缺陷的 hashing algorithms(例如 md5)破壞了保持加密密碼之類的安全性的嘗試並沒有任何改善。 這就是在本周大麻種植業的 online community - GrowDiaries 所吸取的慘痛教訓,該社區將自己稱為 “ 100%匿名和安全”。  這些麻煩始於兩個不安全的 Kibana 應用。 Kibana 是用於 Elasticsearch 的製圖工具,並提供用於監視,管理和保護 Elastic Stack 的用戶界面。不幸的是,自 9 月以來,GrowDiaries 的管理員似乎已經留下了兩個 Kibana 應用程序暴露無密碼的情況,這使駭客能夠 access 大約 340 萬個用戶記錄和密碼。
對於某些 GrowDiaries 用戶而言,令人擔憂的是,從暴露的某些 IP 地址看來,他們居住在非法種植大麻的國家/地區。儘管公司確實在 10 月 15 日保護了數據,但在網路安全研究員 Bob Diachenko 發出警報五天后,看來至少從 9 月 22 日開始就已經暴露了數據。 目前還不知道惡意方是否 access 過這些數據,但是 GrowDiaries 用戶應該要趕快更改密碼,因為 md5 hash 是可破解的。Diachenko 還指出,成員應注意針對目標性的網路釣魚攻擊以及帳戶接管,因為破解的密碼可以用於對用戶其他帳戶的憑據填充攻擊。 |
Categories
All
Archives
January 2021
|
RSS Feed