本系列部落格將分幾篇文章介紹先前在美國邁阿密舉行的「S4x23」 資安大會中所討論的一些議題,首先第一篇將從兩場學術專訪談起。
2023 年 2 月 14 日, ICS 資安大會 S4 在美國佛羅里達州邁阿密 (Miami) 舉行。超過 1,000 名 ICS 資安專家齊聚一堂,共同探討營運技術 (OT) 的資安未來。
在開幕演說當中,S4 活動催化師 Dale Paterson 表示,OT 是一個獨一無二的世界,有別於其他任何一「T」,因此我們需要更多的實務經驗。為此,他宣布今年的主題是「Explore」(探索),並呼籲走在尖端的先驅們在未來 3 至 5 年當中要努力開發新的創意。
繼續閱讀2023 年 3 月下旬,資安研究人員發現駭客正積極濫用 3CX 公司開發的一套熱門商用通訊軟體。
註:此事件目前仍在發展當中,未來將視需要隨時更新。
2023 年 3 月下旬,資安研究人員發現駭客正積極濫用 3CX 公司開發的一套熱門商用通訊軟體,尤其有多份 報告提到 3CX VoIP (網際網路語音通訊協定) 桌面用戶端正被用來攻擊 3CX 的客戶。
3CX 已在自家的論壇上發布一則最新訊息建議使用者解除安裝此桌面用戶端程式,並使用漸進式網頁應用程式 (Progressive Web App,簡稱 PWA) 版本的用戶端來代替。此外,該公司也表示他們正在開發桌面應用程式的更新。
除了 3CX 的建議之外,趨勢科技解決方案也有助於防範潛在攻擊。趨勢科技網站信譽評等服務 (WRS) 已經能攔截多個被判定為幕後操縱 (C&C) 連線位置的網域 (詳情請看本文最後的清單)。此應用程式已知木馬化的版本在趨勢科技端點、伺服器、郵件及閘道的雲端智慧掃描病毒碼 TBL 21474.300.40 的偵測名稱為「Trojan.Win64.DEEFFACE.A」。
此外,趨勢科技也在客戶支援網頁提供了進一步的防護與偵測指引。
同時,被駭客用於攻擊階段中的 GitHub 網頁 (raw.githubusercontent[.]com/IconStorages/images/main/) 在本文撰寫時已經下架。請注意,當該網頁無法存取時,惡意程式的處理程序就會直接結束。
繼續閱讀前五大勒索病毒集團所使用的 CVE 漏洞嚴重性評分系統上起碼都有 7.2 分,這些漏洞主要被用來提升權限 (占 54.3%),其次是用於遠端程式碼執行 (RCE) (占 17.4%)。
由於勒索病毒集團會不斷開發更多的攻擊手法、技巧與程序 (TTP),網路資安人員很重要的一點就是要利用各種資訊來源仔細評估自身企業的風險等級,以便對持續演進的威脅能有個全面的認識。舉例來說,Common Vulnerabilities and Exposures (CVE) 漏洞資料可幫助企業判斷該優先修補哪些方面的漏洞。本文將提供一些數據來說明如何運用資料科學技巧發掘有關勒索病毒集團的珍貴洞見,詳細內容請參閱趨勢科技的研究報告「企業決策者對於勒索病毒風險應該知道的事」(What Decision Makers Need to Know About Ransomware Risk)。
在這份共同研究當中,趨勢科技與 Waratah Analytics 的研究人員整理出 120 個各種勒索病毒集團所使用的 CVE 漏洞,並發現他們偏愛攻擊通訊與協同作業軟體、虛擬私人網路 (VPN),以及遠端存取與檔案儲存技術。若依據活動量來排行,前五大勒索病毒集團分別為:Conti、Cuba、Egregor、LockBit 及 REvil (亦稱為 Sodinokibi),他們總共使用了 46 個 CVE 漏洞,入侵了 15 家廠商共 30 個含有漏洞的產品。在這五大集團當中,Conti 所使用的 CVE 漏洞數量最多,高達 32 個 (圖 1)。
繼續閱讀本文分析了一起專門攻擊全球大型企業且利用開放原始碼工具來躲避偵測的變臉詐騙 (BEC) 攻擊行動。
是一項威脅全球企業的嚴重問題。根據美國聯邦調查局 (FBI) 統計,變臉詐騙對受害者所造成的損失更甚於勒索病毒(勒索軟體,Ransomware),光 2021 年就在美國造成 24 億美元的損失。根據 FBI 報告,美國人民因勒索病毒、變臉詐騙及金融詐騙所損失的金額高達 69 億美元,其中變臉詐騙就占了一大部分。近期,變臉詐騙集團一直不斷利用合法 SMTP 郵件服務 (如 SendGrid ) 的失竊帳號來散發精心設計的郵件,藉此躲避郵件服務供應商與資安服務的電子郵件過濾功能。透過這些正牌服務,詐騙集團的電子郵件看起來似乎也就變得合法 (儘管是偷來的帳號)。透過這樣的手法,再配合一些網路犯罪工具與開放原始碼工具,就能讓詐騙集團大幅提高變臉詐騙攻擊的成效與成功率。
2022 年 9 月,趨勢科技研究員發現了一波疑似新的變臉詐騙攻擊正在攻擊全球各地的大型企業,我們認為這波行動最早可追溯至 2022 年 4 月。由於歹徒會仔細挑選其下手目標,並且使用開放原始碼工具,因此這波行動持續了好一段時間而沒被發現。
這波攻擊在電子郵件中夾帶了一個 HTML 檔案,內含經過加密編碼的 JavaScript 腳本。經過我們分析之後研判這應該是一起針對性攻擊,因為其 JavaScript (JS) 及來自伺服器端的 PHP 程式碼當中都啟用了某些功能。
就如同其他典型的變臉詐騙一樣,這波攻擊的第一階段也是利用針對某特定目標使用者的魚叉式網路釣魚 (Spear Phishing )攻擊。歹徒使用了一個惡意的 JavaScript 附件 (趨勢科技命名為「Trojan.JS.DYBBUK.SMG」),它會將使用者導向一個假冒的 Microsoft 網路釣魚網頁。圖 1 顯示這波攻擊使用的惡意郵件。
繼續閱讀之前就曾經看過勒索病毒(勒索軟體,Ransomware) 集團藉由開發 Linux 版本來擴大攻擊目標。Royal 也正踏上同樣的道路,開發了一個專門攻擊 Linux 系統的新變種,本文將從技術面來分析這個變種。
之前就曾經看過勒索病毒 集團藉由開發 Linux 版本來擴大攻擊目標。2022 年 9 月,我們預測未來將有更多勒索病毒集團會攻擊 Linux 伺服器與嵌入式系統,因為光 2022 上半年,這類攻擊的數量就比前一年同期出現 2 位數成長。2021 年 5 月,我們通報了 DarkSide 勒索病毒的變種;2022 年 5 月,我們發現了 Cheerscrypt 這個專門攻擊 ESXi 伺服器的勒索病毒,而 ESXi廣泛用於企業內的伺服器虛擬化。
Royal 也正踏上同樣的道路,開發了一個專門攻擊 Linux 系統的新變種,本文將從技術面來分析這個變種。Royal 的 Linux 變種同樣也是專門攻擊 ESXi 伺服器,這樣的發展將對受害企業的資料中心和虛擬化儲存帶來巨大衝擊。
Royal 勒索病毒最早在 2022 年 9 月被發現,一般認為其背後的集團應該是經驗老道的網路犯罪分子,而且曾經參加 Conti Team One。
繼續閱讀