 The Good 2020年,國際上展開了許多打擊網路犯罪的行動。 而在 2020 的最後一週,我們高興地得知執法機構持續與另一起令人印象深刻的行動有了一場 good fight! Operation Nova, 由德國警察,歐洲刑警,聯邦調查局和世界各地其他執法機構所領導的執法行動,導致了Safe-Inet(一個許多知名駭客使用的 virtual private network(VPN))成功的被拆除。 Safe-Inet 的服務已被關閉,在德國,荷蘭,瑞士,法國和美國的基礎設施也被扣押。  這個 VPN 已經被使用了十多年,並且被勒索程式 operator 和其他網路犯罪分子用來掩蓋他們的足跡。 Safe-Inet 以高價出售,被稱為“可避免執法檢測的最佳工具之一”,最多可提供五層匿名的連接。 歐洲刑警組織歐洲網路犯罪中心負責人 EdvardasŠileris 表示: “The strong working relationship fostered by Europol between the investigators involved in this case on either side of the world was central in bringing down this service. Criminals can run but they cannot hide from law enforcement, and we will continue working tirelessly together with our partners to outsmart them.” “歐洲刑警組織與在世界各地參與此案的調查人員之間建立了牢固的工作關係,這對於成功的打擊這項任務至關重要。 犯罪分子可以逃,但他們躲不過執法,我們將繼續與合作夥伴,不懈努力以求勝過他們。” The Bad 那麼呢~加密貨幣目前仍是非常流行。 最熱門的還是 bitcoin,已達到了更高點,並帶動了整個加密市場。 但是在他們真正成為主流之前,關於加密貨幣的交易和安全性存在一些安全挑戰尚待解決。 這裡是一個很好的例子:加密貨幣錢包公司 Ledger 在今年早些時候遭到攻擊,已有 272,000 名客戶的詳細信息(包括姓名,郵寄地址和電話號碼)已被放置在一個專門分享被黑客入侵的數據庫的點: Raidforums. 總部位於法國的 Ledger 在 7 月份發布,他們發現其電子商務和 marketing 數據庫遭到破壞,導致客戶的 email 被盜。 現在,數據庫的公開增加了 Ledger 客戶成為網路釣魚攻擊的受害者的可能性,攻擊者將嘗試獲取他們的 private key。 而目前已有暴力威脅及個人威脅的報導。  而英語世界的另一端也存在著加密問題。 英國加密貨幣交換公司 EXMO 週一表示,他們的 hot wallets 已被盜用。 他們尚不清楚駭客是如何攻擊 EXMO,但據估計該公司已因 hot wallets 洩露而損失了超過 1000 萬美元,約佔其總加密資產的 6%。 在一份聲明中,EXMO 已將攻擊事件通知了客戶,並警告他們不要將任何資金存入現有的錢包。 同時,所有提款也已暫停。 The Ugly 自上周二以來,歐洲人權法院遭到網路攻擊並暫停其網站。 這次襲擊是在法院發布裁定釋放親庫爾德人的前民主黨領袖SelahattinDemirtaş 的裁決之後進行的。 法院認為,拘留47 歲 Demirtaş 已持續了四年多,這與 “民主社會概念的核心”背道而馳。 而土耳其駭客主義者組織 Anka Neferler Tim 對其在 Facebook,Twitter 和 Youtube 帳號上的攻擊負責: “The website of the European Court of Human Rights, who wanted Selahattin Demirta aş’s release, has been closed due to our attacks. We are not opening the site until they make an apology statement!” “希望釋放的歐洲人權法院 Selahattin Demirtaaş 的網站已因我們的攻擊而關閉。 在他們做出道歉聲明之前,我們不會開放該網站!”  歐洲人權法院提供了以下聲明: “Following the delivery of the Selahattin Demirtas v. Turkey (no. 2) judgment on 22 December, the website of the European Court of Human Rights was the subject of a large-scale cyberattack which has made it temporarily inaccessible. The Court strongly deplores this serious incident. The competent services are currently making every effort to remedy the situation as soon as possible.” “在 12 月 22 日 Selahattin Demirtas v. Turkey (no. 2) 判決之後,歐洲人權法院的網站被大規模網路攻擊,這使的網站福使用。 法院對這一嚴重事件深表遺憾。 主管部門目前正在盡一切努力盡快糾正這種情況。”
0 Comments
The Good 本週的好消息開始~~印度執法人員在德里 (Delhi, India) 逮捕 與跨國電信詐騙案件有關的嫌疑人超過 50 人。 根據報導這些人透過電話詐騙至少了4500名受害者,並透過勒索比特幣 (Bitcoin / BTC) 以及禮金卡 (gift cards) 進而得手超過了1400萬美元。這些詐騙者會告知受害人他們的個人資料在某些犯罪現場被發現,或者是他們的銀行帳號被用來從事不法活動,而唯一能夠防止他們的資金或存款被凍結的方式是將其轉移到一個特定的比特幣錢包(Bitcoin Address),或者是將其轉為禮金卡並交給他們保管。 印度德里警方的網路犯罪調查小組透過將這些從美國與其他國家受害者被詐騙的金流追蹤回到這個位在印度的不法集團。而除了本案之外,德里的網路犯罪調查小組今年更破獲了其他25個電話詐騙集團。 GOOD JOB!!  本週也有一些關於Solarwinds事件的好消息。在微軟與其他企業的幫助下,FireEye成功地在SUNBURST惡意程式中植入了死亡開關(kill switch)以防止其感染持續進行。根據FireEye的公開聲明表示: “Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections. “This killswitch will affect new and previous SUNBURST infections…However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.” 「當惡意程式解析 avsvmcloud[.]com 的 IP 位址時,在特定的情況下,它會自動終止並阻止自身任何更進一步的活動。FireEye 在與微軟 (Microsoft) 以及 GoDaddy 合作下成功的讓SUNBURST停止其感染行為。 Kill Switch 對於不論是新發現或是之前已發生過的SUNBURST感染都能有效阻止……然而,FireEye 過往所觀察的入侵(intrusions) 模式,入侵者很快就會建立 SUNBURST 後門之外,其他持續性的權限存取受害者的網域 (network)。」 The Bad 在各種複雜的攻擊工具中,在 2018 年發現的 SystemBC 已成為攻擊庫中的第一名。 最初,該工具用於通過 SOCKS5 proxies 來混淆或掩蓋命令並控制流量。 他更與涉及與許多針對金融業的木馬攻擊活動同時出現。 然後呢~ SystemBC 被發現與常見的勒索程式攻擊結合使用之後,這再度引起了對 SystemBC 的廣泛關注。 根據最近的報告,一些成熟的組織(例如,Egregor,Ryuk)正在使用 SystemBC 進行部署,以補充其他常見的惡意程式,例如 Zloader,BazarLoader 和 Qot。  這些近期的發現,顯示了該工具擴展的範圍。 攻擊者現在可以利用 SystemBC 作為具有類似於 RAT 級別功能的 persistent backdoor 。 更重要的是,它允許攻擊者的持久攻擊方法並具有冗餘性。 攻擊者通常將 SystemBC 與 Cobalt Strike 類似的框架一起使用。 這為開發後的攻擊提供了更多選擇,並再次增強持久性。 對此的主要收穫之一是當今的攻擊者採取的 “分層方法”。 正如我們鼓勵採用分層,defense-in-depth 方法來落實企業安全一樣,駭客們也正在一樣的研究多管齊下的策略,這樣,如果一種傳遞方法失敗或檢測到 payload,他們還有不同的版本來應對。 正確的網路使用習慣,EDR 和強大的 cloud workload protection 很重要,與往常一樣,這些事件提醒了我們必須適當維護和正確配置這些控件。 SentinelOne Singularity平台能夠自主檢測並防止與 SystemBC 相關的偽像和行為。 The Ugly 最後,本週最具影響力的是 被攻陷的 SolarWinds 。 簡單來說呢,SolarWinds 是一家全球性的公司為客戶提供了一系列 IT 服務。 這包括伺服器,端點系統,數據庫管理,help desk 系統以及你可以想到的任何其他事物的管理和監視。 此外,他們的客戶群是高價值目標的 “ who's who ” 。 這次攻擊的結果,已證實 United States Treasury Department of Commerce, the Department of Homeland Security and FireEye 都受到了傷害。  FBI,ODNI 和 CISA 於 12 月 17 日發布了聯合聲明,確認了攻擊的範圍和確切來源。 此外,CISA 在 12 月 17 日發布了超級詳細的 NCSA 警報 AA20-352A),其中涵蓋了攻擊技術方面,包括 Indicator of Compromise(IoC)以及與相關資源的連接。 還記錄了與攻擊有關係的惡意 SolarWinds Orion 產品的特定版本。 Orion Platform 2019.4 HF5, version 2019.4.5200.9083 Orion Platform 2020.2 RC1, version 2020.2.100.12219 Orion Platform 2020.2 RC2, version 2020.2.5200.12394 Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432 請注意:除了 SolarWinds Orion 平台之外,CISA 還有其他 initial access vectors 的證據; 但這些仍在調查中。 當有更新的消息,CISA 將更新此警報。 SentinelOne 也發布了新的 “Deep Visibility ” hunting packs,允許針對與這些事件相關的 IOC 進行專門性查詢。 我們鼓勵所有人 keep up 發展動態。 我們的團隊將繼續更新專案 blog 和資源。
The Good 到底誰是真正的 APT32 ? OceanLotus APT 最近成為頭條新聞,而在本週 Facebook 擊敗的方式揭開了他們的真實身份,這倒是史無前例的。 臉書指向了一家越南 IT公司 CyberOne Security 為 APT32 活動背後的操控者,該組織針對的受害者包括人權活動者,新聞社,政府和 NGO 機構,以及農業,衛生,科技和 IT 等眾多行業。 來自 Facebook 的研究人員表示攻擊來自 Windows 惡意程式,macOS 後門和 TTPs,其中還包括在 Play Store 的惡意 apps,watering hole 攻擊以及偽造的 FB 和其他社群角色,以吸引受害者。  Facebook 表示,他們通過阻止相關聯網域在平台上發布,刪除帳戶並通知可疑受害者,破壞了他們的行為。 至於偽造的“ CyberOne Security” 公司,記者試圖通過電話和 email 與他們聯繫,不出奇的,他們沒有得到任何的回應。 The Bad 而這週的新聞都與 APT 有關。 National Security Agency 本週發布了一份 3 頁的報告,據資安專家表示,雖然同業已經團結起來,幫助企業抵禦 APT 對 FireEye 的攻擊,(這攻擊導致了紅隊的工具被盜竊),但俄羅斯 APT 團體似乎已在積極利用 VMware 系統中的漏洞。 通過這個漏洞 CVE-2020-4006,攻擊者可以在受感染系統上運行漏洞程式,執行選擇命令。 報告中並指出,攻擊者已利用此漏洞,通過將Web Shell 作為 gateway 安裝到網路中並利用偽造的 SAML access 至受保護的數據來。 受影響的 VMware 版本包括: VMware Access 20.01 and 20.10 on Linux VMware vIDM 3.3.1, 3.3.2, and 3.3.3 on Linux VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03 VMware Cloud Foundation 4.x VMware vRealize Suite Lifecycle Manager 8.x 因漏洞而產生的惡意活動會發生在與設備相關的 TLS tunnel 內。 美國國家安全局(NSA)建議,缺乏對加密連接可見性的安全團隊可以在 configurator log (/opt/vmware/horizon/workspace/logs/configurator.log)中尋找損壞後的指示器,特別是針對 “exit ” statement 後接著 3 個數字 。  修補的 patch 已於 12 月 3 日開始提供,建議所有用戶盡快進行更新。 此外,由於要利用此漏洞,需要有密碼後才能 access 目標設備在 Web 的管理界面,因此,請管理員也確保遵循最佳做法,避免使用簡易密碼,並在可能的情況下確保 Web 的安全並無法從 Internet 進入管理界面。 NSA 的 advisory 中也提供了建議給無法立即進行修補的其他解決方法。 The Ugly 正如上週的資安週報指出,犯罪軟體開發者和複雜的攻擊者之間最近一直存在著令人不安的趨勢,這些攻擊者的目標是研究數據,開發,製造和分發 COVID-19 疫苗有關的組織和基礎設施。 隨著歐洲藥品管理局的網路攻擊,不安感的趨勢持續著。 該組織的簡短聲明除了確認發生了攻擊事件外,沒有提供更多詳細信息。但之後的報告聲稱有人已經 access 過 Pfizer/BioNTech 疫苗 BNT162b2 的監管提交的相關文件。  根據 BioNTech 的新聞,EMA 正在批准疫苗,而這些文件存儲在 EMA server上。
目前還不清楚這些文件是否為攻擊的主要目標,或已危害了其他數據,但到目前為止,沒有跡象顯示屬於疫苗試驗工作人員的任何 PPI 已被暴露。 EMA 也表示,網路攻擊不會延遲歐盟對該疫苗的監管批准,並預計將在未來幾週內完成。 The Good 在過去的一週,美國司法部忙著判處兩個人因網路犯罪而被判長期徒刑。 21 歲的 Ryan S. Hernandez,又名 Ryan West 或 “ RyanRocks ” <-網路名稱)被判處三年徒刑,並再有七年的有期徒刑,並在釋放後登記為性罪犯。 Hernandez 的網路犯罪包括:使用網路釣魚在一名任天堂員工,並竊取憑據以及下載與控制台和遊戲有關的機密 Nintendo 文件,例當時備受期待的 Nintendo Switch 控制台。 然後,他在遊戲論壇上分享了這些機密信息。 2019 年 6 月,聯邦調查局特工突襲了他的房子並沒收了許多電子設備。 進一步的調查顯示,他收集了成千上萬涉及未成年人進行性行為的影片和照片,並存儲在“適當"命名的文件夾 “ Bad Stuff” 中。 Hernandez 將與另一名22歲的 Timothy Dalton Vaughn(又名 “ WantedbyFeds” 和 “ Hacker_R_US” )一起加入牢獄之災。 Vaughn 是 “ Apophis Squad” 中的成員,“ 是遍佈全世界之駭客和蒼蠅的組織。  這個組織因發出威脅性電話和發出與炸彈相關的威脅而聞名,但主要還是為 DDoS 攻擊。 在 2018 年初,Vaughn 要求一家位於 Long Beach 的公司提供 1.5 比特幣,以換取未對公司網站發起 DDOS 攻擊。 而當付款失敗時,他真的發起了攻擊並使網站無法正常運行。 Vaughn 還擁有成百上千的未成年色情圖片和影片。 Vaughn 因犯罪被判處近八年徒刑。 The Bad 目前 Covid-19 的疫苗似乎指日可待,大多數人都鬆了一口氣。 但在任何有效的疫苗可以分發之前,都必須格外小心地進行製造,儲存和運輸。 特別是 Moderna 和 Pfizer 疫苗需要分別在非常低的溫度( -4 和 -94 )下保存。 這些條件使得在交付的每個階段都必須有專門的 “cold chain” 經銷商網絡。 本週,IBM 的安全研究人員發布了惡意網路活動的發現,專攻擊與開發疫苗機構的 cold- chain 設備優化平台: Gavi 這樣設計的供應鏈 (Cold Chain Equipment Optimization Platform)。  這個攻擊於 9 月開始,利用了 Haier Biomedical,這是一家製造 cold chain 存儲設備可信且合法的公司。 據稱是由海爾員工提供的偽造網路釣魚郵件,發送給 European Commission's Directorate-General for Taxation and Customes Union 以及位於德國,意大利,韓國,捷克共和國,大歐洲和台灣的其他組織的總部。 email 試圖收集 credentials 以滲透到目標組織。 儘管攻擊的源頭和目標還不清楚,但似乎有人希望培養破壞全球發展和分配疫苗工作的能力。 此外,國際刑警組織發出警告,暗示 “plain” 網路犯罪分子也將利用疫苗的公開性來快速賺錢。 國際刑警組織擔心,某些人不惜一切代價獲得疫苗接種的願望將導致 “通過假網站和假手段,將毫無戒心的公眾作為目標的犯罪網路,這可能對其健康甚至生命構成重大威脅。”  國際刑警組織建議在網上尋找和訂購藥品時要格外小心。 但僅瀏覽這些網站可能會使用戶面臨感染另一種病毒的風險:國際刑警組織的網絡犯罪部門透露,在與涉嫌銷售非法藥物和醫療設備的 online 藥局相關的 3,000 個網站中,有超過一半的網站有網路威脅,尤其是釣魚和垃圾郵件惡意程式。 The Ugly 巴西報紙 Estadao 報導,有超過 2.43 億巴西人的個資 (往生或還在世的..) 已經在網上暴露了至少 6 個月。 數據洩漏來自衛生部的一個名為 e-SUS-Notifica 的官方網站,,巴西公民可以在網站上註冊並接收有關 COVID-19 的官方政府通知。  該網站的 source code 包含以一種非常容易解碼的格式編碼來建立管理員用戶名和密碼:Base64。 使用解碼的憑據,可以 access 巴西衛生部官方的(SUS)數據庫,數據庫存儲了所有註冊開始於 1989 年,使用公家補助醫療系統的巴西人的個資,其中包含名字,地址,電話號碼,當然還有病歷。
這也不是衛生部第一次遇到數據安全問題,一位安全專家評論說:“每次分析衛生部的信息安全和數據管理政策時,都會發現一個更加嚴重的漏洞”。 數據。 衛生部表示事件正在調查中。 如果數據庫被盜或未經授權訪問,這將是巴西有史以來最大的數據洩露事件。 The Good 本週的好消息~,國際刑警組織和 Group-IB 成功地聯手一項稱為 “ Operation Falcon” ,在 Lagos, Nigeria 逮捕了 3 個人。 這些人負責並涉及了 Business Email Compromise(BEC)操作以及相關的網路釣魚和與有規模的組織犯罪集團建立聯繫,並分佈惡意程式操作。  根據國際刑警組織的 release,迄今已確定約有 50,000 名受害者。 如果回朔一下,還有許多未知或尚未發現的攻擊。 “Operation Falcon” 進行了大約 1 年,成功的追踪了這些罪犯,並促進有參與單位之間的威脅和數據情報交換。 該犯罪集團參與了多個商品惡意程式家族的發布,包括了 Nanocore,AgentTesla,LokiBot,Azorult 等。 惡意 email 被用來連接或分佈惡意程式到其目標。 所有標準的 social engineering 誘餌都發揮作用,包括典型的 “購買訂單” 式網路釣魚。 犯罪分子甚至在某些行動中使用了 COVID-19 的誘餌(攻擊變得更加卑鄙)。 讓我們讚揚一下國際刑警組織和 Gropu-IB 的努力,並鼓勵每個人繼續對這些攻擊保持警惕,並在可能的情況下繼續合作以將這些罪犯繩之以法。 The Bad 本週,聯邦調查局更新了一項 flash alert: FLASH MU-000136-MW,這涉及了針對錯誤配置的 SonarQube 並 access 到美國政府機構和企業的專有 source code 的攻擊。  自 2020 年 4 月開始,這些駭客們就將已被暴露,脆弱的 SonarQube instance 作為目標。這些被認為是高價值目標,因為這些包含了私人企業和美國政府機構的 source code repositories。 網路犯罪分子可以通過多種方式使用這類的敏感數據,最常見的是出於勒索目的而進行的滲透。 也就是類似於我們常見勒索程式活動中看到的情況,如果受害人不遵守攻擊者的要求,他們就威脅要公開發布數據。 FLASH alert 指出,已經有多個實例顯示出這些存儲庫中的數據已被洩漏到 public domain 中。 SonarQube 的緩解建議包括:
The Ugly 學區和相關機構一直是惡意程式攻擊的目標; 但是,最近針對學校和地區管理基礎設施的勒索程式攻擊似乎有所增加。 本週,有消息傳出勒索程式攻擊 “癱瘓” 了 Baltimore 公立校區(之前的報告顯示 Ryuk 為幕後攻擊者),實際上,在周三已關閉了近 115,000 名學生的學校。 而且 Baltimore 並不孤單。 許多學校和學區都出現在勒索攻擊者的 blog 上的受害列表中。 Egregor operators 也於上週也公布了在休斯敦 Spring ISD。  讓我們回朔一下,還可以看到其他相關實例:
具有諷刺意味的是,改善這種狀況的一種方法是教育。 我們鼓勵社區和行業中的人們伸出援手,找到方法來指導與教育相關的基礎設施管理者,以提出風險在哪裡,如何減少接觸,在哪裡集中進行最大程度的偵測和預防控制等方面的建議。 駭客們不會停止前進,因此我們有責任保持領先地位。 |
Categories
All
Archives
January 2021
|
RSS Feed