 The Good 如果你這幾年有關注資安新聞,那麼你可能還記得 CCleaner 和 ASUS ShadowHammer supple 鏈攻擊。 Well, 本週的好消息:美國政府已起訴對需為這些事件負責 5 名中國人,前後相加有 100 多次攻擊。 前身名為 APT41,他們也是一直在支援勒索程式攻擊和 cryptominer 攻擊的幕後手。 Zhang Haoran, Tan Dailin, Jiang Lizhi, Qian Chuan 還有 Fu Qiang 目前仍然在中國逍遙法外,只要他們避開出國,被捕的機會是很小的。 但幫助這些人從被盜遊戲貨幣中獲利的兩名馬來西亞商人 Wong Ong Hua 和 Ling Yang Ching 正面臨從馬來西亞被引渡到美國的危險,並且很可能會被判入獄。 起訴這些中國駭客成員的同時,還沒收了數百個帳戶 , server ,域名和其他網路資產。 雖說起訴書和扣押都無法阻止他們從事進一步的行動,但是他們的身份以及與中國公安部的密切關係,已強烈發出信號,他們再也無法匿名或免於國際制裁。  The Bad 本週的壞消息仍與中國有關, CISA 本週發布了一份建議報告,指與中國有關係的國家級駭客正在利用 OSINT 和公開可使用的工具於新一波攻擊中,將目標瞄準了美國政府機構。 此攻擊包含了駭客的最愛滲透工具 Shodan,Cobalt Strike 和 Mimikatz 等。 再來就是,這些駭客一直在利用眾所周知的尚未修補的網路軟體漏洞,例如 CVE-2019-11510(Pulse Secure VPN),CVE-2019-19781(Citrix VPN),CVE-2020-0688(MS Exchange Server)和 CVE-2020-5902(F5 Networks Big-IP TMUI)。 長期以來,unpatched 的 VPN 程式一直是引起人們關注的問題,這也不是 CISA 首次向公司企業發出有關 APTs 針對重點設施攻擊的警告。  最新的報告還指出: To conceal the theft of information from victim networks and otherwise evade detection, the defendants typically packaged victim data in encrypted Roshal Archive Compressed files (RAR files), changed RAR file and victim documents’ names and extensions (e.g., from “.rar” to “.jpg”) and system timestamps, and concealed programs and documents at innocuous-seeming locations on victim networks and in victim networks’ “recycle bins”. 為了掩飾從受害者網絡路中竊取信息並逃避檢測,攻擊者通常將受害者數據打包在加密的 rar 壓縮文件中,將 RAR 文件和受害者文件的名稱和 extenstions(例如,從“ .rar” 更改為 “ .jpg”)和系統時間 stamp,並隱藏程式和檔案在看似無害的受害者網路和 “垃圾桶” 。 CISA 建議公司組織落實可靠的配置和 patch 管理程式,以防止攻擊者輕鬆利用常見漏洞和現成的工具。 雖然這是最低要求,但一些可靠的 EDR 也應該放在優先列表中。 The Ugly 本週的醜陋故事是關於網路攻擊的意外,其後果如何在現實中以悲劇結束的故事。 一名經驗不足的駭客試圖對德國一所大學進行勒索程式攻擊,最終在學校附近的一家醫院 30 台 server 進行了加密。 惡意程式以常見的方式發出贖金,直接命名了此所大學並提供聯繫方式以安排付款。 當然,醫院的接線人員是直接從 Düsseldorf 警察而不是大學人員那裡聽到消息。 警察告訴他們,他們沒有抵達預定的目的地,並使 Düsseldorf 大學診所的患者生命受到了威脅。 勒索程式讓醫院的 server 整個癱瘓,迫使接線人員只能將緊急情況轉移到其他地點。 一名需要緊急入院的患者被重定向到 32 公里外的一家醫院; 這導致醫生耽誤了一個小時,才能讓她接受只治療。 很可惜的,由於拖延到的時間,他們無能為力救活病患。  這名攻擊者最後向警察提供了解密 key,也沒有要求付款,但警方仍然無法聯繫攻擊者。 攻擊似乎是針對了一種可以購買的商用程式中的漏洞,漏洞已被修補。 但是使用哪種勒索程式來攻擊尚不清楚,但報導表示也沒有洩露任何數據。
警方繼續調查此攻擊案件,以 “過失殺人罪” 的指控來逮捕這名攻擊者。 如果可以有一個教訓,使那些認為這是 “有趣”的,“輕鬆賺錢的方法” ,“不會造成任何傷害” 的駭客們退一步,並三思,因為一個攻擊是可以帶來無法預知的傷害。
0 Comments
The Good 目前美國的學校正在努力讓孩子們回到學業上,同時也避免身體和網路病毒的爆發。 很幸運的是,一名 16 歲就讀於 South Miami Senior High 的學生指控啟動 DDoS 並被逮捕。這起 DDoS 攻擊發生在虛擬課程的前三天,並癱瘓了學區的網路伺服器。 在那三天內,所有嘗試登錄的新學年學生都看到了錯誤消息。 Miami-Dade 學區上週表示,這名學生承認了針對該學區網路的八次 DDoS 攻擊,包括針對建立在 web-based 的 on-line學習平台(名為My School Online)系統 。  根據《Miami Herald》的報導,自新學年開始以來,學校系統實際上已經被攻擊了二十次。 研究人員正在嘗試找出除了學生之外的其他嫌疑犯,這名學生還表示他成功進行了一次有點令人尷尬的基本攻擊:他使用了已有十年之久的 open-source 工具Low Orbit Ion Cannon(LOIC),大多數的標準防火牆都應該能夠抓到。。。 The Bad 當你以為 Zeppelin 勒索程式逐漸消失,但其實他的陰影悄悄的投向 IT 和醫療機構。 這一次呢,它們吸引了一個令人討厭的程式:一個新的 Trojan下載程式,可幫助其潛入防毒軟體並逃避檢測。 Juniper Threat Labs 的分析師表示,這個悲慘開始於 Microsoft Word 的文檔,檔案中藏了惡意的 macro。 利用偽造的電子郵件來誘使受害者啟用,並觸發感染的 VBA marco,其中包括了模糊的 “發票” ,但實際上只是一張圖像的 text box。  先不討論模糊的照「 騙 」,你會發現其實它是隱藏了 Visual Basic 腳本片段的隨機小玩意兒。 Visual Basic interpreter 從檔中提取垃圾文,將其視為已註釋掉的代碼,然後將它忽略,卻留下惡意指令。 簡化這些命令,以為問題解決了:但一個Zeppelin ransomware.exe 休眠了 26 秒,是因為它試圖在自動 sandbox 中等待動態分析,然後繼續執行勒索程式。  如以上所見,贖金記錄還包括了自己的迷你幫助手冊,警告用戶不要嘗試重命名或解密文件。 騙子的論點:你不想支付無效的幫助並增加贖金的費用,對吧? 此外,Zeppelin 還諷刺地警告他們的受害者:“你可能成為騙局的受害者”。 實在是太有幫助了! The Ugly 目前學校還在努力嘗試開放的過程中,不僅要應對 COVID-19 ,他們還得應對勒索程式攻擊的猛烈攻擊; DDoS 攻擊,如作者提到在 Miami-Dade 的網路攻擊事件,一名高中生被逮捕。 還有 Zoom-bombing :所有這些都是在拖延兒童來重返學校的陰謀。 就如《 Threat Post》所報導,在本週我們看到了對在 Hartford, Conn. 和 Clark County, Nev. 學區的勒索程式攻擊。週二,Hartford 公立學校表示,勒索程式攻擊已延遲了針對個人和 on-line learning 的開放時間。 美聯社報導也表示在昨天(9月10日,星期四),內華達州的 Clark 學區在開學的第一周,也遭到了勒索程式的攻擊,並且一些員工的個資可能已經被洩露。 而實際上,根據 Recorded Future 的數據,到目前為止,在7月,8月和9月,已經有 9 起針對學校地區勒索程式攻擊的紀錄。 這聽起來可能很糟糕,但實際上更糟:在去年開始,《 Recorded Future》從駭客 forum,threat feeds,新聞報導和 code 存儲庫收集了數據,這些數據表示出,在 2019 年 9 月,至少有 15 個學區在兩週間遭到了勒索程式攻擊。  Recorded Future 的勒索程式專家 Allan Liska 表示,遠端學習的轉變實際上可能會導致這樣趨勢下降。 他還說:“ 我們絕對是處於一個未知領域。 ” “隨著學校重新開放,勒索攻擊是有增加,但由於本學期還是有這麼多學校系統處於遠端狀態,勒索程式針對的攻擊面要小得多。”
希望他是對的:這些孩子們需要一個 break。 The Good 之前在現已終止營運的 Darknet 網站“ AlphaBay Market ”擔任網站管理者,一名叫 Bryan Connor Herrell 的男子被 Colorado 美國地方法院判處 11 年徒刑。 這個網站由聯邦調查局,泰國和加拿大警方一起聯合的行動中移除除,這是一個供買賣槍支,被盜身份信息,信用卡和其他非法物品的市場。AlphaBay 也曾是世界上最大的 online 毒品交易市場。 作為管理者,Herrell 幫助解決了買賣雙方之間的糾紛。 他顯然很投入自己的工作,因為他幫助解決了 20,000 多個買賣糾紛。  Herrell 被捕的原因是因為網站的創始人兼管理員 Alexandre Cazes 於 2017 年在泰國被捕。Cazes 隨後幾天被發現死在他的牢房中,他的筆電裡裝滿了罪狀。 FBI 保留了設備,並找出該網點的基礎設施和人員有關的大量信息,也包括 Herrell 的參與。 雖然 Herrell 的審判花了幾年時間結案,但這個判決是很嚴厲的,有向其他有興趣探索犯罪,並想走陰暗道路的人發出警告。 本周其他好消息是來自 Facebook 和 Twitter,它們都暫停了幾個與俄羅斯國駭客有關的帳號。 這些帳號屬於“ PeaceData”,是一個假新聞網站,發布有關全世界政治的誤導性文章。 這兩個社群網站表示,他們在今年夏天時從聯邦調查局收到小道消息後,便開始調查與該網站相關的帳號。 信息也一併傳遞給了獨立的研究機構 Graphika,該機構確認了網站和相關的社交媒體資產與臭名昭著的俄羅斯“ Internet Research Agency”(IRA)有相關。  希望這個舉動表示社群平台開始對假新聞和 online 操縱採取更加堅定的立場。 The Bad 挪威國會,也被稱為 “ The Storting 議會”,是本週駭客攻擊的目標,該攻擊破壞了幾位議員和工作人員的 email 帳號。 保守黨(Høyre)的電子郵件也被入侵郵件,目前尚不知 PM Erna Solberg 或任何政府部長的帳號是否受到影響。 反對派工黨(Arbeiderpartiet)的電子郵件也遭到了黑客攻擊。目前這次攻擊疑似是由外部肇事者進行的。 議會行政長官 Marianne Andreassen 說:“這是一次重大襲擊。” “當今的威脅形勢充滿了挑戰,IT 安全是我們一直在審視的問題。 她並補充說,目前不斷評估在 Storting 中加強安全性的新措施。  議會已將事件報告給挪威警察安全局(PST),隨後在 tweeter 上表示他們正在調查此案。 下一屆挪威議會選舉定於一年後的 9 月舉行,人們擔心這次襲擊可能是其他國家想要干涉明年大選的開始。 The Ugly 本週的 ugly 依舊與政治和網路犯罪有關,印度總理 Narendra Modi 個人 Twitter 帳號在本周遭到了駭客攻擊。 攻擊者發布了一系列推文,呼籲 250 萬的 follower 用比特幣捐贈給 PM National Relief Fund。 文中寫道:“我呼籲大家對 Covid-19 伸出援手,並向 PM National Relief Fund 慷慨的捐贈,Now India begin with cryptocurrency。” 隨後的推文顯示駭客的身份是一個名為“ John Wick ”的組織(基努·里維斯主演的電影),而這個組織本週稍早被指控入侵了印度著名的電子購物網站 “ Paytm Mall” 並勒索贖金。 。 但這個組織似乎想要澄清,因此他們入侵了另一個備受矚目的 Twitter帳號,並告昭天天下,以致他們不需要為 Paytm 電子購物中心的攻擊行為負責。  Twitter 正在調查印度總理的帳號攻擊事件(帳號已被重置,並刪除了駭客的推文),這個攻擊是是繼 7月份事件之後:駭客利用這些事件攻擊了約 130 個名人帳號並共同發推文,以宣導人們“捐贈”給指定的比特幣錢包。 這再次提醒我們,國家和政治領導人的社交媒體帳號是高價值資產,因此是需要受到保護,以減少在國家甚至國際層面上被操縱和不當行為的風險。
The Good 本週的好消息有著一些醒目的教訓。 一名俄羅斯人因涉嫌對電動車製造商特斯拉的網路攻擊未遂並在美國被逮捕。 Egor Kriuchkov 被指控試圖以價值有 100 萬美元的比特幣賄賂特斯拉員工,以換取在公司網路上安裝惡意程式以及提供有關公司基礎設施的詳細信息。 Kriuchkov 在試圖離開美國時遭到聯邦調查局(FBI)的逮捕,據稱他對這位不願透露姓名的特斯拉員工說,他在俄羅斯的同夥將首先從特斯拉竊取數據,然後勒索 400 萬美元的贖金。 這群駭客們打算在安裝惡意程式時發動 DDoS 攻擊,以分散資安團隊的注意力。 據說 Kriuchkov 聲稱他已使用這種聲東擊西的方式成功的獲利。 有人也認為,Kriuchkov 可能是指本月初對 Carlson Wagonlit Travel 進行的勒索程式攻擊。 利用內部人員作為破壞資安安全控制的手段,是一種會與從事間諜活動的國家級駭客聯繫在一起的技術。但也很顯然,網路犯罪團隊也有能力並且願意長期投資 ,尤其是回報時會變的非常有錢。我們對這名特斯拉員工表示敬意,Elon Musk 也表示這是對公司的一次 “嚴重攻擊”。  The Bad 不幸的是,對於每一次被阻擋到的攻擊,還是有其他的漏網之魚。 在本週呢~ 研究人員詳細的介紹了臭名昭著的 QakBot(又名 QBot,QuakBot)該惡意程式是從銀行木馬程式演變為惡意程式交付平台,與 Emotet,TrickBot 和其他所謂的 “ Swiss Army knoif” 工具不同。 今年的發展非常迅速,在 1 月到 8 月之間至少進行了 15 次轉變。 最近的 QakBot 活動已成為作者的垃圾郵件的發源地,針對歐洲和美國的政府,軍事以及製造業的攻擊也不斷發生。 QakBot 的成功建立於在熟悉的 MO:利用 reply 鏈攻擊的網路釣魚郵件並攜帶有毒檔案,利用 Visual Basic 下載第二階段的 payload 並與攻擊者的 C2(C&C)伺服器連線。 有些說法表示在某些情況下,QakBot 在競爭對手的平台上 deliver。 這個惡意程式具有 backdoor 的功能,有的變種包含了 plugin,可讓操作者通過 VNC 連接控制中毒的設備。 主要目標為:竊取憑據和收集電子郵件以用於進一步的垃圾郵件攻擊,該惡意程式也可以將受害者的設備送到殭屍網路中,進而控制其它的設備。 研究人員並表示,QakBot 還具有能力在受害者不知道的情況下,進行網路銀行交易。  Source: Check Point 相對的,與許多其他惡意程式一樣,防止惡意程式的關鍵是通過網路釣魚信件來阻止初始的代碼執行。 我們建議使用者注意常見的誘餌,例如工作廣告,COVID-19 和 Election 2020 的主題,以及無預期的發票和付款提醒。 The Ugly 駭客們一直在尋找新的感染媒介,那還有什麼比世界上使用最廣泛的共享平台之一 Google Drive 中的未修補漏洞更好?? 本週,一位研究人員發現,感謝 “ Manage Versions 管理版本” 功能,攻擊者可以在不發出警告的情況下,秘密地將上傳並共享到 Google 雲端的非可執行檔,切換為惡意執行檔。 POC 證明了可以將用戶之間共享的檔案(例如 Invoice.pdf)更新為 Invoice.exe,如果點擊了原始檔的相同連接,則該文件變成了可執行惡意程式檔,也不會向用戶發出任何警告。 更糟的是,儘管有些 anti-virus 可能會將檔案辨別為惡意,但 Google Chrome 對於直接從 Google 雲端下載的任何內容是採默認的信任。  可以在不檢查檔案類型的情況下更改版本是一個危險的漏洞,攻擊者可以在魚叉式廣告攻擊中利用這個漏洞:與無辜的用戶共享一個的檔案,鼓勵他們進行操作執行,然後切換到惡意程式,然後等到使用者下一次點擊連結...
目前尚無法得知 Google 是否計劃在將來解決問題,但在 Google 在“ Manage Versions 管理版本”功能中強制執行文件類型驗證之前,所有 Google 雲端的用戶都要有意識到這一項風險。 |
Categories
All
Archives
September 2020
|
RSS Feed