【資安日報】12月20日,FBI破獲勒索軟體BlackCat暗網網站,但駭客一天內奪回並揚言報復,預計攻擊醫院和核電廠
· 2023-12-20

昨天美國司法部宣布,聯邦調查局(FBI)成功控制惡名昭彰的勒索軟體BlackCat的暗網網站,並取得大量解密金鑰,但事隔不到一天,駭客竟將網站奪回

根據Bleeping Computer、Security Affairs等資安新聞網站的報導,12月7日有多組研究人員發現,勒索軟體駭客組織BlackCat(Alphv)的Tor網站離線,10日傳出是執法行動所致。

12月19日美國司法部宣布,聯邦調查局(FBI)在丹麥、德國、英國、荷蘭、德國、澳洲、西班牙、奧地利執法單位,以及歐洲刑警組織的國際合作下,他們成功對此勒索軟體組織進行破壞,FBI開發了檔案復原工具,估計能讓超過500個受害組織無須支付贖金就能還原資料,省下約6,800萬美元的贖金。根據多家新聞網站取得本次行動的搜索令,FBI取得946組Tor網站的公鑰、私鑰,並將資料進行備份。

然而,駭客也不是省油的燈,司法部公告發出後,沒隔多久,這些資安新聞媒體再度連到該網站,發現這個網站的頂部加上綠底黑字的標題,表明該網站沒有被司法單位拿下。網頁下半部提到,FBI確實從該組織的部落格取得相關金鑰,原因是他們代管部分主機的資料中心被FBI所控制,但FBI只拿到最近一個半月的資料,也就是約400家受害公司解密的金鑰,但實際上他們還握有逾3千家公司的金鑰,而這些公司將永遠無法復原檔案。另外,這個顯然被駭客奪回的網站也提到,他們對旗下的打手放寬攻擊限制,原本不攻擊的醫院、核電廠現在都可能是目標,唯一的規定就不能攻擊獨立國家國協(CIS)的成員國(包含俄羅斯、白俄羅斯等)。

1. https://www.bleepingcomputer.com/news/security/alphv-ransomware-site-outage-rumored-to-be-caused-by-law-enforcement/
2. https://www.justice.gov/opa/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant
3. https://www.documentcloud.org/documents/24231386-blackcat-alphv-search-warrant
4. https://twitter.com/vxunderground/status/1737167608997097839

超過300個企業組織遭到勒索軟體Play攻擊

美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、澳洲網路安全中心(ACSC)聯手,針對勒索軟體Play的攻擊態勢提出警告,指出自駭客2022年6月從事攻擊行動以來,約有300個企業組織遇害。

這些駭客之所以能入侵受害組織,通常利用外流的帳密資料,或者曝露於網際網路的應用程式系統等管道,來達到目的,其中駭客利用的漏洞,包含了Fortinet的SSL VPN系統漏洞CVE-2018-13379、CVE-2020-12812,以及微軟Exchange漏洞ProxyNotShell(CVE-2022-41040和CVE-2022-41082)。

成功入侵後駭客利用AdFind、Grixba來進行偵察,並透過GMER、IOBit、PowerTool停用防毒軟體(在某些攻擊行動裡,駭客使用了PowerShell指令碼停用Microsoft Defender),接著駭客利用Cobalt Strike或SystemBC,來進行橫向移動及檔案執行。最終使用WinRAR等壓縮軟體打包竊得資料,並透過WinSCP外流,再採用間歇性加密的方式來破壞檔案。

研究人員揭露收信軟體Outlook零點擊漏洞攻擊鏈細節

資安業者Akamai揭露他們向微軟通報的漏洞CVE-2023-35384、CVE-2023-36710細節,並指出攻擊者一旦將兩者串連,就有機會對收信軟體Outlook進行零點擊攻擊,從遠端連至受害電腦執行任意程式碼(RCE)。

研究人員指出,CVE-2023-35384存在於MapUrlToZone功能函數解析路徑的過程,因此可繞過微軟在3月修補的重大等級Outlook漏洞CVE-2023-23397(CVSS風險評分為9.8),攻擊者若要觸發前述的問題,可寄送特製的電子郵件,一旦收信人透過Outlook接收,電腦就有可能從攻擊者的伺服器下載特殊的聲音檔案,CVSS風險評分為5.4。另一個漏洞CVE-2023-36710,則與名為Audio Compression Manager(ACM)的Windows元件有關,當電腦自動播放上述的聲音檔案,就有可能觸發,使得攻擊者可在受害電腦執行任意程式碼,CVSS風險評分為7.8。

為了驗證這兩個漏洞的串連攻擊,研究人員透過IMA ADP編碼器觸發第2個漏洞,過程中使用的聲音檔案大小為1.8 GB,他們根據計算的結果,推測要觸發ACM漏洞所需的檔案,容量至少要1 GB起跳。雖然上述漏洞微軟先後於8月、10月完成修補,但由於CVE-2023-23397已被駭客組織Forest Blizzard廣泛利用,研究人員認為,企業組織需要謹慎防範上述漏洞利用攻擊鏈。

1. https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-one
2. https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-two

駭客濫用程式碼管理平臺GitHub存放惡意程式的情況增加

為了迴避資安系統偵測,駭客利用合法的雲端服務,如:Dropbox、Google Drive、Discord來存放惡意程式的做法,相當常見,但現在一改過往採用檔案共享服務的方式,有越來越多駭客改用程式碼儲存庫來從事攻擊行動。

資安業者ReversingLabs指出,駭客透過GitHub代管惡意軟體的情況越來越頻繁,他們看到兩種新的手法,一種是濫用程式碼片段分享工具GitHub Gists,原因是駭客藉此代管惡意程式,並不會顯示作者的身分,而能當作另一種文字共享服務Pastebin加以濫用。

另一種新手法,則是透過git commit的訊息發送命令,駭客濫用版本控制系統,在受害者電腦安裝惡意程式後,此惡意軟體便會從GitHub複製指定的儲存庫,並檢查該儲存庫的開頭提交訊息是否存在特定字串,從而將其用於解碼Base64演算法處理的訊息,並透過新的處理程序執行Python命令。

金門租車業者金豐租車傳出資料外洩,呼籲客戶防範詐騙

12月8日金門租車業者金豐租車提出警告,有客戶接到來自國外的電話,假冒該租車業者進行詐騙,他們隨即請資安人員著手調查,結果發現該公司遭到國外駭客攻擊,並竊取客戶資料。金豐隨即關閉所有網路權限並確認駭客的足跡,並對客戶提出警告、報警查輯來源IP位址。該公司亦彙整客戶通報的詐騙話術,像是付費會員升等、異常大量訂車、扣錯款項等,並強調若是有任何匯款要求就直接拒絕,因為他們收款的方式只有兩種,一是透過綠界的平臺刷卡,另一種則是門市收取現金。

根據金門日報的報導,這起事故發生的原因,是該公司的電腦遭到中國駭客入侵,他們委託工程師進行調查,發現電腦遭到木馬入侵,研判就是客戶資料外洩的原因。金豐表示,截至目前尚未有客戶受害,並表明若有客戶受騙上當,他們會集體向加害者求償。

1. https://www.facebook.com/kmfun.tw/posts/338947135535287
2. https://kmfun.tw/?route=information/page&news_id=11

 

Popular articles
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
British gambling levy rates confirmed for each vertical
Regulation
Kazakhstan plans to penalise online casino promotions
Regulation
Indiana online casino bill stalls in House committee
Regulation
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
Home
Game
Cooperation
Find
My