 The Good 本週的好消息開始~~印度執法人員在德里 (Delhi, India) 逮捕 與跨國電信詐騙案件有關的嫌疑人超過 50 人。 根據報導這些人透過電話詐騙至少了4500名受害者,並透過勒索比特幣 (Bitcoin / BTC) 以及禮金卡 (gift cards) 進而得手超過了1400萬美元。這些詐騙者會告知受害人他們的個人資料在某些犯罪現場被發現,或者是他們的銀行帳號被用來從事不法活動,而唯一能夠防止他們的資金或存款被凍結的方式是將其轉移到一個特定的比特幣錢包(Bitcoin Address),或者是將其轉為禮金卡並交給他們保管。 印度德里警方的網路犯罪調查小組透過將這些從美國與其他國家受害者被詐騙的金流追蹤回到這個位在印度的不法集團。而除了本案之外,德里的網路犯罪調查小組今年更破獲了其他25個電話詐騙集團。 GOOD JOB!!  本週也有一些關於Solarwinds事件的好消息。在微軟與其他企業的幫助下,FireEye成功地在SUNBURST惡意程式中植入了死亡開關(kill switch)以防止其感染持續進行。根據FireEye的公開聲明表示: “Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections. “This killswitch will affect new and previous SUNBURST infections…However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.” 「當惡意程式解析 avsvmcloud[.]com 的 IP 位址時,在特定的情況下,它會自動終止並阻止自身任何更進一步的活動。FireEye 在與微軟 (Microsoft) 以及 GoDaddy 合作下成功的讓SUNBURST停止其感染行為。 Kill Switch 對於不論是新發現或是之前已發生過的SUNBURST感染都能有效阻止……然而,FireEye 過往所觀察的入侵(intrusions) 模式,入侵者很快就會建立 SUNBURST 後門之外,其他持續性的權限存取受害者的網域 (network)。」 The Bad 在各種複雜的攻擊工具中,在 2018 年發現的 SystemBC 已成為攻擊庫中的第一名。 最初,該工具用於通過 SOCKS5 proxies 來混淆或掩蓋命令並控制流量。 他更與涉及與許多針對金融業的木馬攻擊活動同時出現。 然後呢~ SystemBC 被發現與常見的勒索程式攻擊結合使用之後,這再度引起了對 SystemBC 的廣泛關注。 根據最近的報告,一些成熟的組織(例如,Egregor,Ryuk)正在使用 SystemBC 進行部署,以補充其他常見的惡意程式,例如 Zloader,BazarLoader 和 Qot。  這些近期的發現,顯示了該工具擴展的範圍。 攻擊者現在可以利用 SystemBC 作為具有類似於 RAT 級別功能的 persistent backdoor 。 更重要的是,它允許攻擊者的持久攻擊方法並具有冗餘性。 攻擊者通常將 SystemBC 與 Cobalt Strike 類似的框架一起使用。 這為開發後的攻擊提供了更多選擇,並再次增強持久性。 對此的主要收穫之一是當今的攻擊者採取的 “分層方法”。 正如我們鼓勵採用分層,defense-in-depth 方法來落實企業安全一樣,駭客們也正在一樣的研究多管齊下的策略,這樣,如果一種傳遞方法失敗或檢測到 payload,他們還有不同的版本來應對。 正確的網路使用習慣,EDR 和強大的 cloud workload protection 很重要,與往常一樣,這些事件提醒了我們必須適當維護和正確配置這些控件。 SentinelOne Singularity平台能夠自主檢測並防止與 SystemBC 相關的偽像和行為。 The Ugly 最後,本週最具影響力的是 被攻陷的 SolarWinds 。 簡單來說呢,SolarWinds 是一家全球性的公司為客戶提供了一系列 IT 服務。 這包括伺服器,端點系統,數據庫管理,help desk 系統以及你可以想到的任何其他事物的管理和監視。 此外,他們的客戶群是高價值目標的 “ who's who ” 。 這次攻擊的結果,已證實 United States Treasury Department of Commerce, the Department of Homeland Security and FireEye 都受到了傷害。  FBI,ODNI 和 CISA 於 12 月 17 日發布了聯合聲明,確認了攻擊的範圍和確切來源。 此外,CISA 在 12 月 17 日發布了超級詳細的 NCSA 警報 AA20-352A),其中涵蓋了攻擊技術方面,包括 Indicator of Compromise(IoC)以及與相關資源的連接。 還記錄了與攻擊有關係的惡意 SolarWinds Orion 產品的特定版本。 Orion Platform 2019.4 HF5, version 2019.4.5200.9083 Orion Platform 2020.2 RC1, version 2020.2.100.12219 Orion Platform 2020.2 RC2, version 2020.2.5200.12394 Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432 請注意:除了 SolarWinds Orion 平台之外,CISA 還有其他 initial access vectors 的證據; 但這些仍在調查中。 當有更新的消息,CISA 將更新此警報。 SentinelOne 也發布了新的 “Deep Visibility ” hunting packs,允許針對與這些事件相關的 IOC 進行專門性查詢。 我們鼓勵所有人 keep up 發展動態。 我們的團隊將繼續更新專案 blog 和資源。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|
RSS Feed