 The Good 如果你這幾年有關注資安新聞,那麼你可能還記得 CCleaner 和 ASUS ShadowHammer supple 鏈攻擊。 Well, 本週的好消息:美國政府已起訴對需為這些事件負責 5 名中國人,前後相加有 100 多次攻擊。 前身名為 APT41,他們也是一直在支援勒索程式攻擊和 cryptominer 攻擊的幕後手。 Zhang Haoran, Tan Dailin, Jiang Lizhi, Qian Chuan 還有 Fu Qiang 目前仍然在中國逍遙法外,只要他們避開出國,被捕的機會是很小的。 但幫助這些人從被盜遊戲貨幣中獲利的兩名馬來西亞商人 Wong Ong Hua 和 Ling Yang Ching 正面臨從馬來西亞被引渡到美國的危險,並且很可能會被判入獄。 起訴這些中國駭客成員的同時,還沒收了數百個帳戶 , server ,域名和其他網路資產。 雖說起訴書和扣押都無法阻止他們從事進一步的行動,但是他們的身份以及與中國公安部的密切關係,已強烈發出信號,他們再也無法匿名或免於國際制裁。  The Bad 本週的壞消息仍與中國有關, CISA 本週發布了一份建議報告,指與中國有關係的國家級駭客正在利用 OSINT 和公開可使用的工具於新一波攻擊中,將目標瞄準了美國政府機構。 此攻擊包含了駭客的最愛滲透工具 Shodan,Cobalt Strike 和 Mimikatz 等。 再來就是,這些駭客一直在利用眾所周知的尚未修補的網路軟體漏洞,例如 CVE-2019-11510(Pulse Secure VPN),CVE-2019-19781(Citrix VPN),CVE-2020-0688(MS Exchange Server)和 CVE-2020-5902(F5 Networks Big-IP TMUI)。 長期以來,unpatched 的 VPN 程式一直是引起人們關注的問題,這也不是 CISA 首次向公司企業發出有關 APTs 針對重點設施攻擊的警告。  最新的報告還指出: To conceal the theft of information from victim networks and otherwise evade detection, the defendants typically packaged victim data in encrypted Roshal Archive Compressed files (RAR files), changed RAR file and victim documents’ names and extensions (e.g., from “.rar” to “.jpg”) and system timestamps, and concealed programs and documents at innocuous-seeming locations on victim networks and in victim networks’ “recycle bins”. 為了掩飾從受害者網絡路中竊取信息並逃避檢測,攻擊者通常將受害者數據打包在加密的 rar 壓縮文件中,將 RAR 文件和受害者文件的名稱和 extenstions(例如,從“ .rar” 更改為 “ .jpg”)和系統時間 stamp,並隱藏程式和檔案在看似無害的受害者網路和 “垃圾桶” 。 CISA 建議公司組織落實可靠的配置和 patch 管理程式,以防止攻擊者輕鬆利用常見漏洞和現成的工具。 雖然這是最低要求,但一些可靠的 EDR 也應該放在優先列表中。 The Ugly 本週的醜陋故事是關於網路攻擊的意外,其後果如何在現實中以悲劇結束的故事。 一名經驗不足的駭客試圖對德國一所大學進行勒索程式攻擊,最終在學校附近的一家醫院 30 台 server 進行了加密。 惡意程式以常見的方式發出贖金,直接命名了此所大學並提供聯繫方式以安排付款。 當然,醫院的接線人員是直接從 Düsseldorf 警察而不是大學人員那裡聽到消息。 警察告訴他們,他們沒有抵達預定的目的地,並使 Düsseldorf 大學診所的患者生命受到了威脅。 勒索程式讓醫院的 server 整個癱瘓,迫使接線人員只能將緊急情況轉移到其他地點。 一名需要緊急入院的患者被重定向到 32 公里外的一家醫院; 這導致醫生耽誤了一個小時,才能讓她接受只治療。 很可惜的,由於拖延到的時間,他們無能為力救活病患。  這名攻擊者最後向警察提供了解密 key,也沒有要求付款,但警方仍然無法聯繫攻擊者。 攻擊似乎是針對了一種可以購買的商用程式中的漏洞,漏洞已被修補。 但是使用哪種勒索程式來攻擊尚不清楚,但報導表示也沒有洩露任何數據。
警方繼續調查此攻擊案件,以 “過失殺人罪” 的指控來逮捕這名攻擊者。 如果可以有一個教訓,使那些認為這是 “有趣”的,“輕鬆賺錢的方法” ,“不會造成任何傷害” 的駭客們退一步,並三思,因為一個攻擊是可以帶來無法預知的傷害。
0 Comments
The Good 目前美國的學校正在努力讓孩子們回到學業上,同時也避免身體和網路病毒的爆發。 很幸運的是,一名 16 歲就讀於 South Miami Senior High 的學生指控啟動 DDoS 並被逮捕。這起 DDoS 攻擊發生在虛擬課程的前三天,並癱瘓了學區的網路伺服器。 在那三天內,所有嘗試登錄的新學年學生都看到了錯誤消息。 Miami-Dade 學區上週表示,這名學生承認了針對該學區網路的八次 DDoS 攻擊,包括針對建立在 web-based 的 on-line學習平台(名為My School Online)系統 。  根據《Miami Herald》的報導,自新學年開始以來,學校系統實際上已經被攻擊了二十次。 研究人員正在嘗試找出除了學生之外的其他嫌疑犯,這名學生還表示他成功進行了一次有點令人尷尬的基本攻擊:他使用了已有十年之久的 open-source 工具Low Orbit Ion Cannon(LOIC),大多數的標準防火牆都應該能夠抓到。。。 The Bad 當你以為 Zeppelin 勒索程式逐漸消失,但其實他的陰影悄悄的投向 IT 和醫療機構。 這一次呢,它們吸引了一個令人討厭的程式:一個新的 Trojan下載程式,可幫助其潛入防毒軟體並逃避檢測。 Juniper Threat Labs 的分析師表示,這個悲慘開始於 Microsoft Word 的文檔,檔案中藏了惡意的 macro。 利用偽造的電子郵件來誘使受害者啟用,並觸發感染的 VBA marco,其中包括了模糊的 “發票” ,但實際上只是一張圖像的 text box。  先不討論模糊的照「 騙 」,你會發現其實它是隱藏了 Visual Basic 腳本片段的隨機小玩意兒。 Visual Basic interpreter 從檔中提取垃圾文,將其視為已註釋掉的代碼,然後將它忽略,卻留下惡意指令。 簡化這些命令,以為問題解決了:但一個Zeppelin ransomware.exe 休眠了 26 秒,是因為它試圖在自動 sandbox 中等待動態分析,然後繼續執行勒索程式。  如以上所見,贖金記錄還包括了自己的迷你幫助手冊,警告用戶不要嘗試重命名或解密文件。 騙子的論點:你不想支付無效的幫助並增加贖金的費用,對吧? 此外,Zeppelin 還諷刺地警告他們的受害者:“你可能成為騙局的受害者”。 實在是太有幫助了! The Ugly 目前學校還在努力嘗試開放的過程中,不僅要應對 COVID-19 ,他們還得應對勒索程式攻擊的猛烈攻擊; DDoS 攻擊,如作者提到在 Miami-Dade 的網路攻擊事件,一名高中生被逮捕。 還有 Zoom-bombing :所有這些都是在拖延兒童來重返學校的陰謀。 就如《 Threat Post》所報導,在本週我們看到了對在 Hartford, Conn. 和 Clark County, Nev. 學區的勒索程式攻擊。週二,Hartford 公立學校表示,勒索程式攻擊已延遲了針對個人和 on-line learning 的開放時間。 美聯社報導也表示在昨天(9月10日,星期四),內華達州的 Clark 學區在開學的第一周,也遭到了勒索程式的攻擊,並且一些員工的個資可能已經被洩露。 而實際上,根據 Recorded Future 的數據,到目前為止,在7月,8月和9月,已經有 9 起針對學校地區勒索程式攻擊的紀錄。 這聽起來可能很糟糕,但實際上更糟:在去年開始,《 Recorded Future》從駭客 forum,threat feeds,新聞報導和 code 存儲庫收集了數據,這些數據表示出,在 2019 年 9 月,至少有 15 個學區在兩週間遭到了勒索程式攻擊。  Recorded Future 的勒索程式專家 Allan Liska 表示,遠端學習的轉變實際上可能會導致這樣趨勢下降。 他還說:“ 我們絕對是處於一個未知領域。 ” “隨著學校重新開放,勒索攻擊是有增加,但由於本學期還是有這麼多學校系統處於遠端狀態,勒索程式針對的攻擊面要小得多。”
希望他是對的:這些孩子們需要一個 break。 The Good 之前在現已終止營運的 Darknet 網站“ AlphaBay Market ”擔任網站管理者,一名叫 Bryan Connor Herrell 的男子被 Colorado 美國地方法院判處 11 年徒刑。 這個網站由聯邦調查局,泰國和加拿大警方一起聯合的行動中移除除,這是一個供買賣槍支,被盜身份信息,信用卡和其他非法物品的市場。AlphaBay 也曾是世界上最大的 online 毒品交易市場。 作為管理者,Herrell 幫助解決了買賣雙方之間的糾紛。 他顯然很投入自己的工作,因為他幫助解決了 20,000 多個買賣糾紛。  Herrell 被捕的原因是因為網站的創始人兼管理員 Alexandre Cazes 於 2017 年在泰國被捕。Cazes 隨後幾天被發現死在他的牢房中,他的筆電裡裝滿了罪狀。 FBI 保留了設備,並找出該網點的基礎設施和人員有關的大量信息,也包括 Herrell 的參與。 雖然 Herrell 的審判花了幾年時間結案,但這個判決是很嚴厲的,有向其他有興趣探索犯罪,並想走陰暗道路的人發出警告。 本周其他好消息是來自 Facebook 和 Twitter,它們都暫停了幾個與俄羅斯國駭客有關的帳號。 這些帳號屬於“ PeaceData”,是一個假新聞網站,發布有關全世界政治的誤導性文章。 這兩個社群網站表示,他們在今年夏天時從聯邦調查局收到小道消息後,便開始調查與該網站相關的帳號。 信息也一併傳遞給了獨立的研究機構 Graphika,該機構確認了網站和相關的社交媒體資產與臭名昭著的俄羅斯“ Internet Research Agency”(IRA)有相關。  希望這個舉動表示社群平台開始對假新聞和 online 操縱採取更加堅定的立場。 The Bad 挪威國會,也被稱為 “ The Storting 議會”,是本週駭客攻擊的目標,該攻擊破壞了幾位議員和工作人員的 email 帳號。 保守黨(Høyre)的電子郵件也被入侵郵件,目前尚不知 PM Erna Solberg 或任何政府部長的帳號是否受到影響。 反對派工黨(Arbeiderpartiet)的電子郵件也遭到了黑客攻擊。目前這次攻擊疑似是由外部肇事者進行的。 議會行政長官 Marianne Andreassen 說:“這是一次重大襲擊。” “當今的威脅形勢充滿了挑戰,IT 安全是我們一直在審視的問題。 她並補充說,目前不斷評估在 Storting 中加強安全性的新措施。  議會已將事件報告給挪威警察安全局(PST),隨後在 tweeter 上表示他們正在調查此案。 下一屆挪威議會選舉定於一年後的 9 月舉行,人們擔心這次襲擊可能是其他國家想要干涉明年大選的開始。 The Ugly 本週的 ugly 依舊與政治和網路犯罪有關,印度總理 Narendra Modi 個人 Twitter 帳號在本周遭到了駭客攻擊。 攻擊者發布了一系列推文,呼籲 250 萬的 follower 用比特幣捐贈給 PM National Relief Fund。 文中寫道:“我呼籲大家對 Covid-19 伸出援手,並向 PM National Relief Fund 慷慨的捐贈,Now India begin with cryptocurrency。” 隨後的推文顯示駭客的身份是一個名為“ John Wick ”的組織(基努·里維斯主演的電影),而這個組織本週稍早被指控入侵了印度著名的電子購物網站 “ Paytm Mall” 並勒索贖金。 。 但這個組織似乎想要澄清,因此他們入侵了另一個備受矚目的 Twitter帳號,並告昭天天下,以致他們不需要為 Paytm 電子購物中心的攻擊行為負責。  Twitter 正在調查印度總理的帳號攻擊事件(帳號已被重置,並刪除了駭客的推文),這個攻擊是是繼 7月份事件之後:駭客利用這些事件攻擊了約 130 個名人帳號並共同發推文,以宣導人們“捐贈”給指定的比特幣錢包。 這再次提醒我們,國家和政治領導人的社交媒體帳號是高價值資產,因此是需要受到保護,以減少在國家甚至國際層面上被操縱和不當行為的風險。
The Good 本週的好消息有著一些醒目的教訓。 一名俄羅斯人因涉嫌對電動車製造商特斯拉的網路攻擊未遂並在美國被逮捕。 Egor Kriuchkov 被指控試圖以價值有 100 萬美元的比特幣賄賂特斯拉員工,以換取在公司網路上安裝惡意程式以及提供有關公司基礎設施的詳細信息。 Kriuchkov 在試圖離開美國時遭到聯邦調查局(FBI)的逮捕,據稱他對這位不願透露姓名的特斯拉員工說,他在俄羅斯的同夥將首先從特斯拉竊取數據,然後勒索 400 萬美元的贖金。 這群駭客們打算在安裝惡意程式時發動 DDoS 攻擊,以分散資安團隊的注意力。 據說 Kriuchkov 聲稱他已使用這種聲東擊西的方式成功的獲利。 有人也認為,Kriuchkov 可能是指本月初對 Carlson Wagonlit Travel 進行的勒索程式攻擊。 利用內部人員作為破壞資安安全控制的手段,是一種會與從事間諜活動的國家級駭客聯繫在一起的技術。但也很顯然,網路犯罪團隊也有能力並且願意長期投資 ,尤其是回報時會變的非常有錢。我們對這名特斯拉員工表示敬意,Elon Musk 也表示這是對公司的一次 “嚴重攻擊”。  The Bad 不幸的是,對於每一次被阻擋到的攻擊,還是有其他的漏網之魚。 在本週呢~ 研究人員詳細的介紹了臭名昭著的 QakBot(又名 QBot,QuakBot)該惡意程式是從銀行木馬程式演變為惡意程式交付平台,與 Emotet,TrickBot 和其他所謂的 “ Swiss Army knoif” 工具不同。 今年的發展非常迅速,在 1 月到 8 月之間至少進行了 15 次轉變。 最近的 QakBot 活動已成為作者的垃圾郵件的發源地,針對歐洲和美國的政府,軍事以及製造業的攻擊也不斷發生。 QakBot 的成功建立於在熟悉的 MO:利用 reply 鏈攻擊的網路釣魚郵件並攜帶有毒檔案,利用 Visual Basic 下載第二階段的 payload 並與攻擊者的 C2(C&C)伺服器連線。 有些說法表示在某些情況下,QakBot 在競爭對手的平台上 deliver。 這個惡意程式具有 backdoor 的功能,有的變種包含了 plugin,可讓操作者通過 VNC 連接控制中毒的設備。 主要目標為:竊取憑據和收集電子郵件以用於進一步的垃圾郵件攻擊,該惡意程式也可以將受害者的設備送到殭屍網路中,進而控制其它的設備。 研究人員並表示,QakBot 還具有能力在受害者不知道的情況下,進行網路銀行交易。  Source: Check Point 相對的,與許多其他惡意程式一樣,防止惡意程式的關鍵是通過網路釣魚信件來阻止初始的代碼執行。 我們建議使用者注意常見的誘餌,例如工作廣告,COVID-19 和 Election 2020 的主題,以及無預期的發票和付款提醒。 The Ugly 駭客們一直在尋找新的感染媒介,那還有什麼比世界上使用最廣泛的共享平台之一 Google Drive 中的未修補漏洞更好?? 本週,一位研究人員發現,感謝 “ Manage Versions 管理版本” 功能,攻擊者可以在不發出警告的情況下,秘密地將上傳並共享到 Google 雲端的非可執行檔,切換為惡意執行檔。 POC 證明了可以將用戶之間共享的檔案(例如 Invoice.pdf)更新為 Invoice.exe,如果點擊了原始檔的相同連接,則該文件變成了可執行惡意程式檔,也不會向用戶發出任何警告。 更糟的是,儘管有些 anti-virus 可能會將檔案辨別為惡意,但 Google Chrome 對於直接從 Google 雲端下載的任何內容是採默認的信任。  可以在不檢查檔案類型的情況下更改版本是一個危險的漏洞,攻擊者可以在魚叉式廣告攻擊中利用這個漏洞:與無辜的用戶共享一個的檔案,鼓勵他們進行操作執行,然後切換到惡意程式,然後等到使用者下一次點擊連結...
目前尚無法得知 Google 是否計劃在將來解決問題,但在 Google 在“ Manage Versions 管理版本”功能中強制執行文件類型驗證之前,所有 Google 雲端的用戶都要有意識到這一項風險。 The Good 在本週,幣安與烏克蘭網路警察一起進行的合作工作有了重大更新。 8月18日,他們聯合發布了新的詳細情形。 通過這項被稱為 “Bulletproof Exchanger”,執法部門能夠追踪並逮捕涉及惡意加密貨幣交易的多名罪犯,他們大約洗劫了 4,200 萬美元的非法資金。 相關人員參與了大量惡意加密貨幣交易,並在網路上的各個黑暗角落宣傳了這項服務。 網路犯罪分子通過掩蓋和混淆交易來直接協助勒索程式團體和其他欺詐者,讓他們可將在黑市上得到的利潤轉化為可用的貨幣。  通過 “Bulletproof Exchanger”,Binance 能夠識別和跟踪 、標示出這些犯罪活動(惡意交易,transation cleaning)的數據和行為。 這項工作也使 Binance 可以建立針對這些參與者及其活動的指標動態數據庫。 用戶特徵,DNS 事件和區塊鏈分析數據之類都已成為功能強大的工具,用於應對這樣的犯罪活動。 這次是 “Bulletproof Exchanger” 努力後的首次勝利。 Binance 表示,他們打算繼續及擴展這個 project,並指出 “洗錢,勒索程式和其他惡意活動作鬥爭對社會的福利,和行業發展至關重要。” 我們SentinelOne,我們不能同意再多,為這持續的努力表示讚賞和支持。 The Bad 本週,CISA(Cybersecurity and Infrasstructure Security Agency)發布了有關北韓支持的遠端木馬程式(RAT)BLINDINGCAN 的更新惡意程式分析報告。 報告 AR20-232A 描述了有關 RAT 的詳細信息,並指出 RAT 被用於瞄準價值高的政府承包商和相關機構,尤其是與國防和能源行業相關的承包商。 這個惡意程式被歸給於北韓支持的國家駭客們,被稱為“Hidden Cobra / Lazarus / APT38” 。 分析報告關注於BLINDINGCAN RAT 相關的 Microsoft Word 惡意文檔和 DLL。 它們在打開時會嘗試連接到外部伺服器並下載其他 payloads。 32 和64 bit 的版本都有。 這些檔案還會啟動鍵盤記錄,並收集基本系統信息。  For the record,這是 CISA 今年發出的第 12 條警報。 當然~SentinelOne Endpoint Protection 能夠預防/檢測與BLINDINGCAN 和 AR20-232A 中指出的相關的惡意行為。 The Ugly 最後~若是與大家分享另一個高價的勒索程式目標,本週是不完整的。不幸的是,這次的重點是狂歡節遊玩路線。 在最近的 SEC 8-k filing中,Carnival 公開了有關攻擊的有限細節。 並聯合與 PLC 的發布勒程式事件新聞稿,其數據幾乎與 SEC 文件中所述的相同。  “On August 15, 2020, Carnival Corporation and Carnival plc (together, the “Company,” “we,” “us,” or “our”) detected a ransomware attack that accessed and encrypted a portion of one brand’s information technology systems. The unauthorized access also included the download of certain of our data files. “ 在發現安全事件後, Carnival 立即展開了調查,並通知了執法部門,聘請了法律顧問和其他安全事件專家。 在對該事件進行調查的同時,也已實施了一系列遏制和補救措施,來解決這種情況並增強 information technology 系統的安全性。
有關勒索程式相關的詳細信息,或有關此問題的任何形式的歸因尚未公開。 但這次的攻擊突出了一些有趣的事情。 首先,正如我們所知,積極進取的勒索程式開發者仍非常活躍,並且會在他們認為最有可能獲利和/或破壞的地方瞄準目標。 另一個比較鮮為人知的問題是,補救措施成為此類攻擊的巨大障礙。 像 Carnival 這樣的公司結構,與基於在陸地上的公司相比,有很大的不同。 首先必須依靠速度較慢或分段的網路(就像遊輪在海上一樣)會使補救過程大大複雜化。 而當每天只能在有限的時間內連接到船隻的系統時,又要如何處理? 當網路速度嚴重受限時,將如何進行補救? 這應該提醒大家,預防才是關鍵的。 尤其是在勒索程式開發者比以往任何時候都更具創新性,進取心和貪心。 The Good 讓我們用一個簡單的情景來開啟本週的好消息:駭客給了檸檬,中毒的把它變長了製檸檬汁。 Well, 令人尷尬的是:在八月時,網路安全培訓機構 SANS Institute 宣布,一名員工被釣魚攻擊,導致他們被入侵了。 SANS 週二表示,駭客進入了這名員工的 Office 365 帳號,並植入了可疑的 email 轉發規則,該規則在系統審查 email 配置和規則時被標示了出來。 SANS 表示,這名駭客轉寄了 513 封 email 到“可疑”外部電子郵件地址,其中一些電子郵件包含個y資(PII),例如姓名,電子郵件,工作名稱,公司名稱和地址。 總共竊取了約 28,000 個PII記錄。  但這是不好的消息吧?沒錯! 但到本週結束時,SANS 計劃通過根據從違規中汲取的教訓,來建立了網路研討會和培訓材料,將其轉變為一個可教導的經驗,CTO James Lyne 解釋:“我們利用資安路上的任何顛簸來作為學習的機會,回顧我們自己當下應該做些什麼。 這正是我們現在所處的過程,因為很顯然的,如果我們有所準備,也不會處於這種情況。 而且永遠有可改善的空間。” 儘管 SANS 尚未公布此負責員工的姓名或職務,但表示此員工: a)無法進入敏感或財務數據 b)沒有機構任教。 在本週的其他好消息中,美國移民和海關執法局(ICE)的調查結果,成功的關閉數千個欺詐性 COVID-19 網站-該類型的網站瞄准了經由金流,進口假藥和醫療用品,並承諾出售如乾洗手和消毒濕巾之類的需求產品,但完全無意寄出貨品。 聯邦政府沒收了超過 320 萬美元的非法收益,並逮捕了11人。 美國司法部也提供了避免這些欺詐的提示。 這裡提供了有關 “ Operation Stolen Promise ” 以及如何舉報 COVID-19 欺詐行為的更多信息。 The Bad 一個有革命性 ReVoLTE-ing 的發展:長期不斷進化(LTE)的手機語音標準是應該為我們提供更好的聲音質量,其容量是早期 3G 標準的三倍,有更多的安全性的啟動。 但是研究人員說,由於 LTE protocal 在 implementation 上的故障,LTE 語音(VoLTE)可以讓駭客使用價值 7,000 美元的設備就可以竊聽電話。 正如 USENIX 的研究人員所描述,問題通常在 base station 上發現,在大多數情況下,要嘛就是重複使用與加密對話相同的 stream 密碼,或使用可預測的演算法為電話通話加密。 這種常見,有缺陷的 VoLTE implementation,駭客可以將加密的數據轉換為未加密的語音。 這很容易:駭客使用軟體無線電,在同一個易受攻擊的 base station 找到例如:Alice 和 Bob 之間的加密 radio 流量。 在第一次通話結束後,駭客打給 Alice 並與她交談-交談的時間越長越好。 在第二次的通話中,駭客會尋找 Alice 的加密 radio 流量並記錄未加密的語音(known plaintext)。  這裡是攻擊的 demo,這裡是詳細說明攻擊以及緩解措施的網站。 長話短說:德國已解決此問題,但在其他地方都可能存在一樣的問題。 研究人員在周三發布了一個 Android app,手機電信業者可以使用該程式測試其網路和 base station的漏洞。 Open-source, 你也可以在 GitHub 上取得。 The Ugly Mozilla 宣布裁員 250 人:這大約佔了總員工總數的四分之一。 這將對於以開發隱私優先的 Firefox 非常不利 。 首席執行官 Mitchell Baker 指責了這次的大流行病,並表示:“這次的全球性疾病一併帶來的經濟狀況,嚴重影響了我們的收入。 “然而,我們的之前針對 COVID 的計劃不再可行。” 在發給員工的 memo 中,Baker 表示將關閉在台北的業務。 在加拿大,美國,歐洲,澳大利亞和新西蘭,工作量也將減少。 Baker 表示,大量瀏覽器開發將遭受創:“為了提供不同的用戶體驗,我們將 Firefox 組織重新定位於核心瀏覽器的增長,減少對某些領域的投資,例如開發人員工具,內部工具和平台功能開發, 並將相鄰的安全/隱私產品過渡到我們的新產品和運營團隊。” 這些安全/隱私產品的作用很大:瀏覽器阻止了許多不良的 online 雜質,包括社交媒體 trackers,cross-site tracking cookie,tracking code,指紋識別器和加密礦工。這一消息傳出後不久,Mozilla 和 Google 宣布了一項價值 “數百萬美元” 的交易,這將讓 Google 成為瀏覽器上的默認搜索引擎。  希望這樣的交易將有助於使駭客遠離我們。 同時,我們所能做的就是希望 Mozilla 的新產品和運營團隊能以最少的錢~做最多的事。 在這種艱難的時期,祝他們好運,並期望瀏覽器中的安全性和隱私性不會因此而己減少能力。
The Good 如果你還不到30歲,並且已經獲得以下的小名 “Onassis'',"Flagler","Socrates" 和 "Ecclesiastes",你已被美國司法部通緝,你也是某種犯罪策劃者。 Valerian Chiochiu 就是這樣被逮補。 在 7 月 31 日星期五,他對 “ RICO conspiracy ”(Racketter Influenced and Corrupt Organizations)的指控表示認罪。 在八年前,他加入了一個名為 "Infraud” 的犯罪集團,並迅速成為所有與惡意程式相關的技術專家。 他擔任組織的技術 “Guru”,教導其他成員使用惡意程式。 他甚至創建了 FastPOS ,這個惡意程式專從 POS 系統中竊取信用卡資訊。  整體的詐欺活動淨收入估計為 5.68 億美元。 在 2017 年的全盛時期,Infraud Organization 有 10,901 名註冊成員,他們甚至創造了標語:“ in Fraud we trust”。 這個集團於 2018 年被 take down, Chiochiu 是這起陰謀活動 的 36 人中,第二個被美國司法部確定認罪。 值得稱讚的是,即使在詐欺行動被 take down 數年後,仍將肇事者繩之以法。 The Bad 全球最大的 chip 製造商 Intel 遭到駭客攻擊! 攻擊還導致盜竊和隨後釋放了 20 GB的機密文件和知識產權。 而且情況變得更糟一名瑞士 IT 顧問 Kottmann 今天在 Twitter 上還發布了文件共享服務的連結,包含了一大部分的 Intel IP。  根據消息來源,洩漏包含了以下信息:
Intel 的回應:“我們正在調查事件狀況。 該信息似乎來自資源與設計中心,這個中心託管著可提供給客戶,合作夥伴以及已註冊訪問權限的其他外部使用的信息。 我們相信具有權限的人下載了數據並共享出去。” 除了該聲明外,我們尚不清楚數據是如何被獲取,但總體上來說,對 Intel 和它們的網路安全都可能產生深遠影響。 我們將密切關注進展。 The Ugly 你們還記得 Twitter 是如何被入侵的嗎? 在聯邦調查局非常迅速,查明並逮捕了這三名罪犯後, 主要犯罪嫌疑人是來自佛羅里達州 Tampa City 的高中畢業生 Graham Clark,他在上週被捕,並表示 “無罪”。 Tampa City 的司法法院昨天舉行了保釋聽證會,討論原告要求降低最初設定於美金 $ 725,000 的保釋金。 與當前許多法庭聽證會一樣,這是在 Zoom 上舉行的。 但不知何故,防止 Zoom 攻擊的細節被這個特定的法院工作人員遺忘了,在聽證會開始後不久後(47秒)就中斷了:首先是隨機的人發表評論,然後可以預期的是,有色視頻出現了。。。 這名檢察官的表情也說明了一切。 然後,他推播分享了這一段經驗:  The Good 先讓我們用一個問題來開啟本週的好消息:四個俄羅斯人,兩個中國人和三個分別位於中國,北韓和俄羅斯的組織有什麼共同點? Well,儘管它們都被指控參與了各種網路犯罪活動,但它們並非全部屬於某個跨國網路犯罪集團。 將所有集團聯繫串在一起的線索是,它們是出現在歐盟制裁駭客清單中的第一名。 兩名中國人 Gao Qiang 及 Zhang Shilong,以及一家中國公司 Huaying Haitai,因涉嫌參與入侵MSP(作為 Cloud Hopper攻擊的一部分)和成為針對製藥,航空業和國防工業 APT10 的駭客組織而受到制裁 。 同時,俄羅斯人 Alexey Valeryevich Minin,Aleksei Sergeyvich Morenets,Evgenii Mikhaylovich Serebriakov 和 Oleg Mikhaylovich Sotnikov 被列入制裁名單,其原因是他們參與了 APT28 並試圖在 2018 年入侵 OPCW(Organisation for the Prohibition of Chemical Weapons)。  剩下的兩個被加入名單的組織分別是 GRU 的 Main Center for Sepcial Technologies (GTsST),該中心被認為負責在世界範圍內發布 NotPetya 勒索程式,一家北韓公司 Chosun Expo ,據說有協助 WannaCry 的開發攻擊提供了資金。 。 Chosun Expo 也被認為對 Lazarus 攻擊活動給予了 “支持”。 在名單上的組織或人員,將受到資產凍結和旅行禁令的約束,並且也將被禁止與歐盟內的任何個人或公司開展業務。 經濟制裁的好處是,它們既不需要項法院提供無可辯駁的證據,也不需要實際逮捕犯罪嫌疑人。 制裁將限制那些命名的人,以在歐盟內部運作,並打擊壞人的制命傷:錢包。 The Bad 一份來自英國國家網路安全中心(NCSC)和美國網路安全與基礎設施安全局(CISA)的聯合警報表示,一種名為 'QSnatch' 或 'Derek' 的惡意程式正在感染成千上萬的 QNAP NAS 設備。 。 已知的感染幾乎有一半發生在西歐,在美國有將近 8000 案例的感染,而在英國則有將近 4000。  Location of QNAP NAS devices infected by QSnatch 分析報告顯示出,該惡意程式具有多種功能,包括密碼 logger,credential scraper,後門和數據洩露。 通過阻止更新和修改 NAS 的主機檔案來達到其持久性,所以設備永遠不會安裝更新。 目前還不清楚設備是如何被感染的,但是聽說 QSnatch在 initial 感染階段已被注入到設備的 firmware 中。 儘管該報告強調攻擊者的 infrastructure 似乎處於不活動狀態,但該程式仍對未修補的設備構成威脅。 建議組織確保對其設備進行全面性的 patch,並重置受易受攻擊的設備。 有關解決的更多詳細信息,請按這裡。 The Ugly 真實的新聞故事被反覆的標記為 “假新聞”,而越來越多的假新聞在可信的社交媒體上被轉發。現在要揭露網路上的假新聞變得越來越困難,虛假訊息的攻擊似乎越來越醜陋。 據本週報導,一個特定的駭客組織通過入侵新聞網站的內容管理系統,並發布自己的虛假故事。 這些內容包括捏造的內容,其中聲稱一輛美國的裝甲車撞倒並殺死了一名立陶宛兒童,,並且立陶宛的第一位 COVID-19 患者是一名美國士兵,並參與了 “有兒童和青少年參與的活動”。  這樣類型的假新聞攻擊並不限於立陶宛。 同樣的駭客也將目標對準了 Poland 的新聞網站,再次針對了於反美和反北約的情緒。現在,最令人擔憂的是,隨著我們在 2020 年大選前夕,這種策略是否會傳播到美國?正在調查名為“ Ghostwriter” 的攻擊的研究人員表示,目前無法將其具體與俄羅斯背後支援的駭客串連在一起,但他們友善的警告,“這肯定符合” 俄羅斯的利益,他們也 “不會感到驚訝”, 如果,那是“證據引導我們的地方”。
很明顯的,假新聞,deep fakes 和網路假新聞威脅,隨著動蕩、臨近尾聲 2020 年,我們所有人都必須格外警惕。 The Good 在本週,兩位有名的中國人因一系列大規模的網路攻擊而被起訴。 這份未公開的 11 項起訴表示這兩個人(Dong Jiazhi & Li Xiaoyu)在中國政府的指示下發動了盜竊和入侵攻擊,遍及了在全球的許多家公司。  據報導,這兩位駭客不僅為中國政府做事,還有為廣東省安全總局和國家安全部發動攻擊,並為自己謀取私利。 涉嫌的攻擊已進行了許多年,而最近的一些攻擊是針對美國公司在 COVID-19 上研發出可能的治療方法和疫苗的研究。 據稱,這兩個人還向國家安全部提供了從其攻擊受害者那裡竊取的寶貴信息。 這包括了個資,例如一些中國異議人士的個人email 密碼”。 根據起訴書,涉及攻擊的 TTP 都是我們在當今 TPP 攻擊可常見到手法 。 大量使用了現成(COTS)工具,LOTLbins 和更專門的工具(例如 China Chopper web shell)。 再補充一下,這份起訴書的內容幾乎像是 IR engagement 報告。  這項起訴對執法部門和整個國防的巨大無比的勝利。 我們對這些攻擊的了解是越多越好。 這也有助於大眾更好的了解一些常用的TTP。讓我們對參與調查的人員表示敬意。 並在此鼓勵所有人閱讀司法部發出的新聞稿和這份起訴書。 The Bad  對於北韓,這又是個忙碌的一周來發起(惡意)活動的。 有關稱為 MATA 的新種多平台和多用途框架的詳細訊息已經出現。 這個以 MataNet 命名是由支持基礎結構的工具及多個組件組成。 MATA 的 framework 的主要組件是 Loader,Orchestrator和各種 Plug-ins。 最有趣的方面是他們支援多種平台。 Netlab 的研究人員於 2019 年 12 月回報了 Linux 版本的 MATA(當時稱為 Dacls)。 當時,它被認為是具有相對強大的 plug-in support 的獨立 RAT。 2020 年 4 月,在 VirusTotal 也發現了macOS 端口上的 Linux Dacls 工具。 通過 orchestrator components 中包含的檔案名和 metadata,我們可以把 MATA framework 與北韓 APT Lazarus 連接在一起,其中某些檔案名和 metadata ,僅在與 Lazarus 相關的其他工具中也可以看到。 在 MATA framework 使用的基礎架構和與 Lazarus 直接相關的其他工具之間,似乎還重疊再起。 關於 MATA framework 的廣泛使用和背後意義,應做為與 Lazarus 作案手法有關的課程。 The Ugly 很不幸的是,很難有一周甚至一天是沒有有關勒索程式攻擊的報導, 根據最新的新聞, Argentinian 電信公司是 REvil 的最新受害者,感染了 18,000 個端點。眾所周知,REvil 會威脅釋放機密數據以勒索或出售給最高出價者,而來自被鎖住的信息可能已被洩露,但 REvil 尚未有任何公開聲明。 根據目前的報告表示,initial payload 是通過員工所打開的釣魚電子郵件來傳遞的。一旦著陸,攻擊者就可以接管管理帳戶,橫向移動,最終破壞主機。 此時此刻,電信公司仍拒絕支付 750 萬美元贖金。 REvil 是許多勒索程式家庭系列之一,在所謂的 “不遵從 non-copliance” 事件中會發布受害者數據,這將使整個攻擊變得複雜。  雖然電信公司目前未出現在由 REvil 背後的參與者所維護的 blog 上,但只有時間才能證明公司,最終是否會在激進的拍賣會上會找到這些數據,。。。
The Good 本週的好消息~一個針對 Office 365 帳戶的大型電子郵件詐騙攻擊 BEC 已經停止。 去年,BEC或電子郵件詐騙是互聯網相關犯罪造成的最大損失。 欺詐者以 COVID-19 作為誘餌,通過六個 Internet 網域推動網路釣魚的流量,並使用惡意 Web 應用程式獲取受害者 Office 365 帳戶的憑證。 這次新型的 web apps ,駭客們沒有使用複製的假登錄頁面,而是要求受害者同意該 Web apps 進入其帳戶。 帳戶接管完成後,駭客們將其用作詐騙的一部分,並說服主管授權向駭客進行匯款。 聽說這次的騙局已經在 62 個以上的國家/地區進行,涉及使用了以下已被 Microsoft 關掉的惡意網域: officeinventorys.com officesuitesoft.com officehnoc.com officesuited.com officemtr.com mailitdaemon.com 其他好消息中,macOS 安全社區擊敗了一個組合的勒索程式 / 信息竊取程式,該程式隱藏在通過公開 torrents 發布的破解軟體中。 被稱為 “ EvilQuest” 或 “ ThiefQuest” 的團體,他們可能希望可以複製 Windows 世界中類似的成功模型,在後台悄悄地竊取數據,而在前台卻要求以加密檔案來勒索贖金。  SentinelLabs 破了 EvilQuest / ThiefQuest 惡意程式使用的 symmetric 加密,並公開發布了解密。 令人高興的是,駭客為收集資金而設置的比特幣地址還沒有任何交易紀錄。 但是,這個惡意程式仍是受害者所關注的問題,因為單獨的數據盜竊和後門可能已經竊取了敏感數據,如果沒有對設備進行適當的消毒,它們仍可能處於活動狀態。 The Bad 本週的一份報告發現,在過去 12 個月中,通過 USB 移除後對營運技術系統造成的網路絡威脅幾乎多了一倍。 報告中接受調查的所有工業場所中幾乎有一半表示,他們已檢測到至少一種針對其工業過程控制網路的威脅。 該報告強調了 USB 的持續流行及其作為攻擊媒介的用途,據報導,有 20% 的攻擊是通過移動存儲設備進行的。 這些目標中,駭客最感興趣的是開啟後門,建立持續性的遠端訪問並送入進多的 payload。  有人說,USB 散播出來的威脅增加並不是因惡意程式 、意外地從一台設備轉移到另一台設備,這都是 “蓄意和協調” 的攻擊-如 Disttrack,Duqu,Ekans,Industroyer 和 USBCulprit 等其他 – 利用 USB 設備針對 OT 系統。 這份報告及時提醒所有企業資安團隊,可移動設備的控制重要性,包括基於軟體的 USB 設備在內。 The Ugly 根據最新的審計結果,在最近的一次統計中,大約有 78 億人在我們這美麗的小星球上四處遊蕩,但在暗網上流傳被盜帳戶憑證數量大約是這一數字的兩倍,其中約有 50 億是獨特的。。 這是超過 100,000 個數據洩露的結果,一個令人擔憂的大量安全故障。 這些憑據適用於從社交媒體,streaming,VPN,遊戲站點到銀行,金融服務甚至網域管理員帳戶的帳戶。 例如,想要購買他人網路銀行帳戶的犯罪分子可在暗網上支付 500 美元左右或更少即可取得。 一個網域管理員帳戶的價格可能從幾千美元到超過 100,000 美元不等,都可以拍賣給出價最高的人。  Online 憑證和帳戶竊取是一個蓬勃發展的行業,網路犯罪分子利用殭屍網路進行大規模釣魚活動,植入竊取憑證的惡意程式,並使用憑證填充和暴力破解等技術來竊取密碼。 正如報告所強調的那樣,駭客現在正在收集和出售 digital 指紋數據(例如 cookie,IP 和 timezones)的權限,以便可以使用被盜憑證而不觸發可疑登錄警報。 一些暗網市場(Genesis,UnderWorld 和 Tenebris)被認為是向其他網路罪犯提供時間限制進入受感染帳戶的場所。 這些可以用於特定目的,例如洗錢,接收電子郵件或購買商品。 據研究人員稱,一般人使用將近 200 種需要密碼的 online服務。 由於許多用戶不了解基本的密碼安全性,許多企業組織也未能阻止數據洩露,因此,在短短幾年內, 150 億這個數字看似很小。
|
Categories
All
Archives
September 2020
|
RSS Feed