 The Good 在本週,兩位有名的中國人因一系列大規模的網路攻擊而被起訴。 這份未公開的 11 項起訴表示這兩個人(Dong Jiazhi & Li Xiaoyu)在中國政府的指示下發動了盜竊和入侵攻擊,遍及了在全球的許多家公司。  據報導,這兩位駭客不僅為中國政府做事,還有為廣東省安全總局和國家安全部發動攻擊,並為自己謀取私利。 涉嫌的攻擊已進行了許多年,而最近的一些攻擊是針對美國公司在 COVID-19 上研發出可能的治療方法和疫苗的研究。 據稱,這兩個人還向國家安全部提供了從其攻擊受害者那裡竊取的寶貴信息。 這包括了個資,例如一些中國異議人士的個人email 密碼”。 根據起訴書,涉及攻擊的 TTP 都是我們在當今 TPP 攻擊可常見到手法 。 大量使用了現成(COTS)工具,LOTLbins 和更專門的工具(例如 China Chopper web shell)。 再補充一下,這份起訴書的內容幾乎像是 IR engagement 報告。  這項起訴對執法部門和整個國防的巨大無比的勝利。 我們對這些攻擊的了解是越多越好。 這也有助於大眾更好的了解一些常用的TTP。讓我們對參與調查的人員表示敬意。 並在此鼓勵所有人閱讀司法部發出的新聞稿和這份起訴書。 The Bad  對於北韓,這又是個忙碌的一周來發起(惡意)活動的。 有關稱為 MATA 的新種多平台和多用途框架的詳細訊息已經出現。 這個以 MataNet 命名是由支持基礎結構的工具及多個組件組成。 MATA 的 framework 的主要組件是 Loader,Orchestrator和各種 Plug-ins。 最有趣的方面是他們支援多種平台。 Netlab 的研究人員於 2019 年 12 月回報了 Linux 版本的 MATA(當時稱為 Dacls)。 當時,它被認為是具有相對強大的 plug-in support 的獨立 RAT。 2020 年 4 月,在 VirusTotal 也發現了macOS 端口上的 Linux Dacls 工具。 通過 orchestrator components 中包含的檔案名和 metadata,我們可以把 MATA framework 與北韓 APT Lazarus 連接在一起,其中某些檔案名和 metadata ,僅在與 Lazarus 相關的其他工具中也可以看到。 在 MATA framework 使用的基礎架構和與 Lazarus 直接相關的其他工具之間,似乎還重疊再起。 關於 MATA framework 的廣泛使用和背後意義,應做為與 Lazarus 作案手法有關的課程。 The Ugly 很不幸的是,很難有一周甚至一天是沒有有關勒索程式攻擊的報導, 根據最新的新聞, Argentinian 電信公司是 REvil 的最新受害者,感染了 18,000 個端點。眾所周知,REvil 會威脅釋放機密數據以勒索或出售給最高出價者,而來自被鎖住的信息可能已被洩露,但 REvil 尚未有任何公開聲明。 根據目前的報告表示,initial payload 是通過員工所打開的釣魚電子郵件來傳遞的。一旦著陸,攻擊者就可以接管管理帳戶,橫向移動,最終破壞主機。 此時此刻,電信公司仍拒絕支付 750 萬美元贖金。 REvil 是許多勒索程式家庭系列之一,在所謂的 “不遵從 non-copliance” 事件中會發布受害者數據,這將使整個攻擊變得複雜。  雖然電信公司目前未出現在由 REvil 背後的參與者所維護的 blog 上,但只有時間才能證明公司,最終是否會在激進的拍賣會上會找到這些數據,。。。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|
RSS Feed