 The Good 在本週,兩位有名的中國人因一系列大規模的網路攻擊而被起訴。 這份未公開的 11 項起訴表示這兩個人(Dong Jiazhi & Li Xiaoyu)在中國政府的指示下發動了盜竊和入侵攻擊,遍及了在全球的許多家公司。  據報導,這兩位駭客不僅為中國政府做事,還有為廣東省安全總局和國家安全部發動攻擊,並為自己謀取私利。 涉嫌的攻擊已進行了許多年,而最近的一些攻擊是針對美國公司在 COVID-19 上研發出可能的治療方法和疫苗的研究。 據稱,這兩個人還向國家安全部提供了從其攻擊受害者那裡竊取的寶貴信息。 這包括了個資,例如一些中國異議人士的個人email 密碼”。 根據起訴書,涉及攻擊的 TTP 都是我們在當今 TPP 攻擊可常見到手法 。 大量使用了現成(COTS)工具,LOTLbins 和更專門的工具(例如 China Chopper web shell)。 再補充一下,這份起訴書的內容幾乎像是 IR engagement 報告。  這項起訴對執法部門和整個國防的巨大無比的勝利。 我們對這些攻擊的了解是越多越好。 這也有助於大眾更好的了解一些常用的TTP。讓我們對參與調查的人員表示敬意。 並在此鼓勵所有人閱讀司法部發出的新聞稿和這份起訴書。 The Bad  對於北韓,這又是個忙碌的一周來發起(惡意)活動的。 有關稱為 MATA 的新種多平台和多用途框架的詳細訊息已經出現。 這個以 MataNet 命名是由支持基礎結構的工具及多個組件組成。 MATA 的 framework 的主要組件是 Loader,Orchestrator和各種 Plug-ins。 最有趣的方面是他們支援多種平台。 Netlab 的研究人員於 2019 年 12 月回報了 Linux 版本的 MATA(當時稱為 Dacls)。 當時,它被認為是具有相對強大的 plug-in support 的獨立 RAT。 2020 年 4 月,在 VirusTotal 也發現了macOS 端口上的 Linux Dacls 工具。 通過 orchestrator components 中包含的檔案名和 metadata,我們可以把 MATA framework 與北韓 APT Lazarus 連接在一起,其中某些檔案名和 metadata ,僅在與 Lazarus 相關的其他工具中也可以看到。 在 MATA framework 使用的基礎架構和與 Lazarus 直接相關的其他工具之間,似乎還重疊再起。 關於 MATA framework 的廣泛使用和背後意義,應做為與 Lazarus 作案手法有關的課程。 The Ugly 很不幸的是,很難有一周甚至一天是沒有有關勒索程式攻擊的報導, 根據最新的新聞, Argentinian 電信公司是 REvil 的最新受害者,感染了 18,000 個端點。眾所周知,REvil 會威脅釋放機密數據以勒索或出售給最高出價者,而來自被鎖住的信息可能已被洩露,但 REvil 尚未有任何公開聲明。 根據目前的報告表示,initial payload 是通過員工所打開的釣魚電子郵件來傳遞的。一旦著陸,攻擊者就可以接管管理帳戶,橫向移動,最終破壞主機。 此時此刻,電信公司仍拒絕支付 750 萬美元贖金。 REvil 是許多勒索程式家庭系列之一,在所謂的 “不遵從 non-copliance” 事件中會發布受害者數據,這將使整個攻擊變得複雜。  雖然電信公司目前未出現在由 REvil 背後的參與者所維護的 blog 上,但只有時間才能證明公司,最終是否會在激進的拍賣會上會找到這些數據,。。。
0 Comments
The Good 網路罪犯者呢,通常很愛享受他們的犯罪成果,很少會為自己的行為付出代價,因此,本週我們來慶祝兩次的勝利。 32 歲的俄羅斯人 Yevgeny Nikulin 自 2012 開始從 LinkedIn 和 Dropbox 竊取了 1.17 億個用戶詳細信息,在莫斯科過著奢侈的生活,驅使著 Lamborghini Huracan 在城市的街道上。 Nikulin 於2016年在 Czech Republic 被捕,於 2018 年引渡到美國,他的律師試圖利用精神狀況來避免開庭審理。在接受精神科評估後,他依舊受到審判並已被定罪。他原定於 9 月 29 日被判刑,不過他的律師表示將在此期間提起上訴。 美國檢察官 David L. Anderson 向 CBC 表示,定罪是對想要成為駭客們的警告,“ 當一名駭客不僅僅是犯罪,它直接威脅著美國人的安全和隱私。無論威脅來自何處,美國執法部門都會對其做出回應。” 對於 Nikulin 的罪行,最高可判處 30 年監禁和巨額罰款。  在 Nikulin 被定罪的同一天,英國一家法院裁定 27 歲的 Lewis Howe 的罪行,Howe 被 Flying Trade Group 炒魷魚後決定要駭進前公司。 Howe 在 2018 年 10 月被解僱,之後在 11 月 16 日發動了網路攻擊,在未經授權的情況下,他進入了網域控制器並利用控制器刪除了關鍵用戶帳號,從一些硬體從內網中刪除。 然後,他試著通過刪除伺服器歷史記錄來掩蓋自己的足跡。 破壞持續了幾天,造成的損失估計為 18 萬英鎊。 他被判處 10 個月監禁,緩刑 24 個月,並需要完成 240 個小時的社區服務和 30 天的rehab。 再加上進行為期 6 個月,晚上 7 點至早上 7 點之間的軟禁及接受電子監控。 在大西洋兩岸,網路犯罪似乎並沒有帶來一點好處!哈! The Bad 在本週,有人對經過驗證的知名人士和公司的 Twitter 帳戶進行了空前的,有組織的攻擊,然後使用這些帳戶以進行大規模的比特幣詐騙局。 駭客們控制了 130 個屬於該平台最傑出的 Twitter 帳號,其中包括民主黨總統候選人 Joe Biden,前總統歐巴馬,Elon. Musk,Kim Kardashian West,Kanye West ,Bill Gates 和企業龍頭蘋果和 Uber 的 Twitter 賬號。 一旦帳號在攻擊者的控制之下,它們便被用來發布例如以下多個騙局版本:  到目前為止,攻擊者的淨收益為 117,000 美元,或按當前價格計算的約 13 個比特幣,這些是在 24 小時內從 392 筆交易中收取的。 在被意識到他們被入侵之後,Twitter 立即停權了所有經過驗證的帳戶,而不僅僅是發出了假信息的帳戶。 大家都知道,攻擊者利用了 Twitter 的內部工具,但仍不清楚他們如何獲得內部系統的權限,除了針對某些 Twitter員工的 "coordinated social engineering attack。 Twitter 還在尋找並了解發生的情況,一方面再提高安全性 ; 調查仍在繼續。 執法機構也在進行自己的調查。  The Ugly 當全世界趕著尋找 Covid-19 的疫苗,成千上萬的科學家日以繼夜地工作來幫助世界恢復正常。 但總是有些人傾向於捷徑,想要竊取其他人做的研究。 英國國家網路安全中心(NCSC)的一次不尋常的公開聲明中表示,俄羅斯情報部門被指控針對美國,加拿大和英國的疫苗研發組織。 英國外交秘書長 Dominic Raab 表示:“ 俄羅斯情報部門的目標是那些與新冠狀病毒大流行作戰的人,這是我們完全不能接受的。 當其他國家以魯莽的行為追求自己的私利時,英國及盟國正在努力尋找疫苗並保護全球健康。 英國將繼續打擊那些進行此類網路攻擊的人,並與盟國一道追究肇事者的責任。”  The Good 本週的好消息~一個針對 Office 365 帳戶的大型電子郵件詐騙攻擊 BEC 已經停止。 去年,BEC或電子郵件詐騙是互聯網相關犯罪造成的最大損失。 欺詐者以 COVID-19 作為誘餌,通過六個 Internet 網域推動網路釣魚的流量,並使用惡意 Web 應用程式獲取受害者 Office 365 帳戶的憑證。 這次新型的 web apps ,駭客們沒有使用複製的假登錄頁面,而是要求受害者同意該 Web apps 進入其帳戶。 帳戶接管完成後,駭客們將其用作詐騙的一部分,並說服主管授權向駭客進行匯款。 聽說這次的騙局已經在 62 個以上的國家/地區進行,涉及使用了以下已被 Microsoft 關掉的惡意網域: officeinventorys.com officesuitesoft.com officehnoc.com officesuited.com officemtr.com mailitdaemon.com 其他好消息中,macOS 安全社區擊敗了一個組合的勒索程式 / 信息竊取程式,該程式隱藏在通過公開 torrents 發布的破解軟體中。 被稱為 “ EvilQuest” 或 “ ThiefQuest” 的團體,他們可能希望可以複製 Windows 世界中類似的成功模型,在後台悄悄地竊取數據,而在前台卻要求以加密檔案來勒索贖金。  SentinelLabs 破了 EvilQuest / ThiefQuest 惡意程式使用的 symmetric 加密,並公開發布了解密。 令人高興的是,駭客為收集資金而設置的比特幣地址還沒有任何交易紀錄。 但是,這個惡意程式仍是受害者所關注的問題,因為單獨的數據盜竊和後門可能已經竊取了敏感數據,如果沒有對設備進行適當的消毒,它們仍可能處於活動狀態。 The Bad 本週的一份報告發現,在過去 12 個月中,通過 USB 移除後對營運技術系統造成的網路絡威脅幾乎多了一倍。 報告中接受調查的所有工業場所中幾乎有一半表示,他們已檢測到至少一種針對其工業過程控制網路的威脅。 該報告強調了 USB 的持續流行及其作為攻擊媒介的用途,據報導,有 20% 的攻擊是通過移動存儲設備進行的。 這些目標中,駭客最感興趣的是開啟後門,建立持續性的遠端訪問並送入進多的 payload。  有人說,USB 散播出來的威脅增加並不是因惡意程式 、意外地從一台設備轉移到另一台設備,這都是 “蓄意和協調” 的攻擊-如 Disttrack,Duqu,Ekans,Industroyer 和 USBCulprit 等其他 – 利用 USB 設備針對 OT 系統。 這份報告及時提醒所有企業資安團隊,可移動設備的控制重要性,包括基於軟體的 USB 設備在內。 The Ugly 根據最新的審計結果,在最近的一次統計中,大約有 78 億人在我們這美麗的小星球上四處遊蕩,但在暗網上流傳被盜帳戶憑證數量大約是這一數字的兩倍,其中約有 50 億是獨特的。。 這是超過 100,000 個數據洩露的結果,一個令人擔憂的大量安全故障。 這些憑據適用於從社交媒體,streaming,VPN,遊戲站點到銀行,金融服務甚至網域管理員帳戶的帳戶。 例如,想要購買他人網路銀行帳戶的犯罪分子可在暗網上支付 500 美元左右或更少即可取得。 一個網域管理員帳戶的價格可能從幾千美元到超過 100,000 美元不等,都可以拍賣給出價最高的人。  Online 憑證和帳戶竊取是一個蓬勃發展的行業,網路犯罪分子利用殭屍網路進行大規模釣魚活動,植入竊取憑證的惡意程式,並使用憑證填充和暴力破解等技術來竊取密碼。 正如報告所強調的那樣,駭客現在正在收集和出售 digital 指紋數據(例如 cookie,IP 和 timezones)的權限,以便可以使用被盜憑證而不觸發可疑登錄警報。 一些暗網市場(Genesis,UnderWorld 和 Tenebris)被認為是向其他網路罪犯提供時間限制進入受感染帳戶的場所。 這些可以用於特定目的,例如洗錢,接收電子郵件或購買商品。 據研究人員稱,一般人使用將近 200 種需要密碼的 online服務。 由於許多用戶不了解基本的密碼安全性,許多企業組織也未能阻止數據洩露,因此,在短短幾年內, 150 億這個數字看似很小。
The Good 這週的好消息實在是大快人心,一位備受矚目的網路犯罪分子在維吉尼亞州的 Alexandria 市處以應得的聯邦刑罰。 在一月份認罪的 Aleksei Burkov 被指控在兩個知名論壇中串謀計畫性主機入侵,欺詐,身份盜竊和洗錢活動。 這兩個論壇(其中之一就是 Cardplanet)都是網路犯罪分子長期聚會場所及交易竊取來的資訊。  第二個涉及的 forum 是一個更有警覺性和被嚴格審查的環境。 想要進入高階論壇及使用相關服務的特權必需先支付$ 5,000。 Burkov 已在 2019 年 11 月被引渡到美國後即將面臨 15 年的監禁時間。  最終,因爲 Burkov 自 2015 年以來已被監禁,法官判了 9 年的刑期。據估計,這些 forum 共為信用卡欺詐和其他個資竊取的犯罪提供了近 2000 萬美元的利潤。 看到這些案件以積極的方式結束(對好人來說總是很高興的!)。 The Bad 那在本週,針對平台的罕見勒索程式威脅的形式,macOS 安全受到了嚴重的打擊。 這個木馬程式被分別稱為“ EvilQuest”,“ ThiefQuest” 和 “MacRansom.K”,其特徵顯示出竊取數據和加密(勒索程式)。  不幸的是,這次的誘餌和交付方式太熟悉老套了。 這個惡意軟體通過 torrents 散出來並提供了許多流行的 macOS 盜版的應用程序或 “破解” 版本,包括 Ableton Live,Mixed in Key 和 Little Snitch。 程式以 .DMG 的形式下載,其中包含針對木馬程序的軟體包的安裝程序。 啟動後,安裝程序會請求提升特權,建立用戶和 root-level 的持久性,然後繼續啟動其他功能。 此時已對檔案進行了加密。 但是,某些其他行為會添加到惡意活動列表中。 “ EvilQuest” 似乎安裝了鍵盤記錄以及 reverse shell,從而允許駭客直接和不斷的存取。 該惡意軟程式還 retrieves 多個 remote 腳本,其中一個是專門用於文件滲透。  該木馬將遞歸在 / Users 文件夾下查找與寫死的 extenstion list 中匹配的所有文件,並向外部傳輸。 其他人已經注意到,可以傳輸的文件大小受到限制(800k),這可能會阻止多種文件類型(例如 .wallet)的洩露。 另外,加密本身似乎存在一些問題,因為超出寫死的 extenstion list 中的文件可能最終還是被加密。 儘管分析仍在進行中,但這種異常複雜的(針對 macOS)惡意程式似乎是首次嘗試使用具有勒索程式/ wiper 組合在一起的惡意軟體,再加上與近期中在微軟家族中見到的數據竊取功能例如 Ragnar,Netwalker,Snake)。 ㄡ˙不~ 我們已可以看見這不會是最後一個。 The Ugly 在本週最嚴重的資安新聞中,U.S-CERT 與其他許多政府機構一起發布了有關 Palo Alto Networks PAN-OS 中嚴重安全漏洞的警報: CVE-2020-2021,藏在 SAML 身份驗證中。 通過此漏洞,駭客可以執行任意代碼並完全控制受影響的設備和系統。 更具體地來說,未經身份驗證的駭客(假設有網路 access 權限)可以進入易受攻擊的 resource,登錄並執行管理操作,例如:為之後的計畫性的攻擊打開一道門或修改現有帳戶的權限。  有問題的 SAML 裝置在多個Palo Alto Networks 產品: 包括 VPN Gateway 和防火牆上的代碼中:這是你想讓駭客們遠離的兩個地方。 受影響的特定軟體包括 Prisma Access 和 GlobalProtect Gateway等。 Palo Alto Networks 在 6 月 29 日發布了其建議報告,其中包括緩解措施和解決方法說明。 暫時停用 SAML 以防止此漏洞被利用, 也發布了修復程序在PAN-OS 的更新版本。 嚴格的來說,這是一個嚴重的缺陷,但值得慶幸的是,(這次,,,)供應商有了及時和良好的溝通方式提供了修復程序。 我們鼓勵所有人檢查這次的漏洞是否有直接影響,並採取必要的措施來緩解。 所有應用程式和服務需要保持最新版本並保持最新的patch 級別(儘管並不總是那麼簡單....)是很重要的,同學們,我們必須努力保護我們的網路免受當前和未來的攻擊。
|
Categories
All
Archives
January 2021
|
RSS Feed