【資安日報】8月28日,中國駭客Flax Typhoon鎖定臺灣組織而來,發動寄生攻擊

面對臺海的緊張局勢,中國駭客鎖定臺灣的任何攻擊行動格外受到關注。上週微軟揭露的新駭客組織Flax Typhoon,就鎖定臺灣數十個企業組織下手,進行長時間的網路間諜行動,值得一提的是,駭客為了隱匿攻擊行動,大量就地取材,運用寄生攻擊(LOLBins)手法,儘可能使用最少的惡意軟體來達成目的。

無論是提升權限、建立遠端存取的管道,或是在受害組織的內部網路進行橫向移動,這些駭客大部分都利用Windows作業系統內建元件來進行,使得資安人員難以察覺異狀。

 

【攻擊與威脅】

微軟揭露中國駭客組織Flax Typhoon約自2021年中發起的攻擊行動,其主要目標是臺灣的政府機關、教育機構、重要製造商、資訊科技組織等數十個單位,但研究人員也有看到東南亞、北美、非洲的組織受害。

這些駭客鎖定可透過網際網路存取的伺服器,例如:VPN主機、網頁伺服器、SQL Server資料庫等,利用已知漏洞取得初期存取的權限,然後部署大小僅有4 KB的Web Shell中國菜刀(China Chopper),以便遠端執行命令,過程中駭客可能為了提升權限,他們會透過開源程式Juicy Potato或BadPotato來利用系統的已知漏洞,取得管理者層級的權限。接著駭客利用登錄檔關閉網路層身分驗證(NLA),且透過粘滯鍵(Sticky Keys)建立遠端桌面連線(RDP),而能夠持續存取受害伺服器,甚至取得啟動終端機、導出記憶體內容的能力。

特別的是,駭客為了跳脫他們設計的RDP只能存取內部網路的限制,再度透過寄生攻擊(LOLBins)手法,利用名為Invoke-WebRequest的PowerShell指令碼,或是Bitsadmin、certutil,部署SoftEther的VPN用戶端程式。再者,駭客也透過WinRM、WMIC來進行橫向移動。

根據Bleeping Computer、、等多家資安新聞網站報導,正在協助已宣布破產的加密貨幣業者FTX、BlockFi、Genesis清償債務的風險控管業者Kroll,傳出遭未經授權的外部人士存取內部系統的資料外洩事故,FTX、BlockFi透露此事,並表示曝露的個資為部分債權人的非敏感資料,兩家公司的系統沒有直接遭到破壞,他們用戶的密碼及資金未受到波及。

Kroll也在8月25日發出聲明證實此事,並指出是19日有人對其中一名員工的T-Mobile帳號發動攻擊所致,導致該電信業者依照這位假裝是用戶本人的駭客指示,將該手機門號移轉到駭客名下,過程中並未獲得員工的授權。駭客疑似藉此存取部分BlockFi、FTX、Genesis債權人的資料,該公司已針對3個受到影響的帳號採取保護行動,並寄送電子郵件通知受影響的人士。

資料來源

1. 
2. 
3. 

資安業者ESET揭露土耳其駭客組織CosmicBeetle的攻擊行動,駭客從2020年5月,利用名為Spacecolon的惡意工具包,鎖定存在ZeroLogon漏洞的電腦,或是能夠暴力破解的遠端桌面連線(RDP)伺服器下手,一旦成功入侵便會部署攻擊工具包的ScHackTool元件,進而透過其他工具來停用防毒軟體或資安防護元件,並收集敏感資料以便獲得進一步的存取權限。

接著,駭客部署工具包的另一個元件ScInstaller,並將其用於安裝遠端存取工具ScService,最終植入勒索軟體Scarab。在部分攻擊行動裡,駭客透過開源的網路掃描工具Impacket取代ScInstaller,不過,也有未用ScHackTool的情況。此外,在研究人員看到的勒索軟體當中,內含了名為ClipBanker的剪貼簿挾持軟體,該惡意程式竄改使用者複製的加密貨幣錢包地址,將資金轉到攻擊者的錢包。

特別的是,研究人員發現在部分情境裡,駭客還會執行.NET程式ScPatcher,修補受害系統的特定漏洞,但目前無人知道他們為何這麼做。

資安業者Adlumin揭露勒索軟體Play近期的攻擊行動,主要標的是美國、澳洲、英國、義大利的地方政府,以及金融、軟體產業、法律事務所、航運公司、物流業等中端企業,駭客先是針對上述企業組織的代管服務供應商(MSP)下手,然後利用遠端監控及管理(RMM)軟體,進而繞過大部分的資安系統,取得目標組織完整的存取權限。

除了上述的供應鏈攻擊手法,駭客也有可能透過其他應用系統的漏洞,例如:FortiOS防火牆作業系統的SSL VPN漏洞CVE-2018-13379、CVE-2020-12812,以及Exchange漏洞ProxyNotShell、OWASSRF等。此外,為了防範資安系統察覺整個檔案遭到竄改,駭客利用間歇性加密手法來迴避偵測。

屏東借錢感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車三洋服務站全台據點。

2020年臺灣大型加密貨幣交易業者麒點科技(Kronos Research)發生部分程式交易出現鉅額虧損,經過調查是陳姓、許姓2名工程師於同年5月1日、9日,疑似不滿公司並未依照約定發出獎金,在12日離職前共謀於交易程式Zeus當中埋入錯誤的參數,造成多筆交易執行最差的交易策略,導致該公司粗估虧損140萬美元(相當於新臺幣4,451萬元)。

臺北地檢署於2022年1月27日起訴2人,近期判決出爐,臺北地方法院認為,2人當時仍任職,但沒有忠實執行職務,濫用資訊專業導致公司受到損害,審酌2人坦承部分犯行、沒有前科,依無故變更、刪除他人電腦電磁紀錄罪,判陳男8月徒刑,另依偽造文書、無故入侵電腦罪,合併判陳男8月徒刑,得易科罰金24萬元;許男則被依無故變更、刪除他人電腦電磁紀錄、偽造文書罪,合併判刑10月得易科罰金30萬元,全案仍可上訴。究竟這2名工程師造成損失的規模如何?判決中並未提及,麒點科技已向2人提起附帶民事求償。

 

【資安產業動態】

8月24日金融監督管理委員會公布2022年企業投保資安保險的情況,全年投保件數累計達到604件,較去年增加6.15%;簽章保費達到4.02億元,年增68.96%,無論簽單保費或投保件數,皆創下統計新高。而對於今年上半的部分,簽單保費為2.05億元,較去年同期增加36.67%,金管會認為,若下半年維持上半年的投保意願,今年有望再創資安險簽單保費新紀錄。

金管會保險局副局長林志憲指出,產險公司資安險保費收入從2018年8,908萬元,穩定成長至2022年的4.02億元,顯示近年企業透過資安險移轉資安風險意識提高。金管會指出,除了針對大型企業資安需求提供的客製化保單,產險業者近年也推出3類險種較適合中小企業投保的險種,讓資安保險投保門檻降低,分別是資訊系統不法行為險、資料保護責任險、資訊安全綜合險。

 

【資安防禦措施】

數位發展部去年承接國家通訊傳播委員會(NCC)的智慧型手機內建軟體資安檢測業務,針對蘋果iPhone 13、三星Galaxy S22 Ultra、Sony Xperia 1 IV、Google Pixel 6等12款高銷量手機,以及5款中國品牌手機進行檢驗,8月27日公布結果,17款手機全數過關。

今年數位部從8月開始新一輪的手機資安檢測作業,同樣挑選12款高銷量手機、5款中國品牌手機檢查,並預計在2024年5月前完成,但有別於過往從臺灣資通產業標準協會(TAICS)測試規範挑選項目進行檢驗,有鑑於愈來愈多使用者透過手機消費,數位部今年調整部分檢驗項目,並表示曝露的個資為部分債權人的非敏感資料,兩家公司的系統沒有直接遭到破壞,他們用戶的密碼及資金未受到波及。

 

【其他新聞】

 

近期資安日報

https://www.ithome.com.tw/news/158458

You may also like...