Akira、EDR、IOT
[3月10日] 勒索軟體駭客Akira新招:EDR攔截後轉向攻擊網路攝像機
近期一宗 Akira 勒索軟體攻擊 揭露了駭客如何透過 物聯網(IoT)設備 入侵企業系統,繞過資安防護,成功加密重要資料。
受害企業雖然安裝了終端偵測與回應(EDR) 來攔截攻擊,但駭客掃描內部網絡,發現監視器等 IoT 設備缺乏防護,最終透過遠端控制軟體 AnyDesk 成功入侵,發動勒索攻擊。
🚨 如何繞過 EDR 工具?
駭客一開始試圖直接入侵 企業的網路伺服器,但由於這些系統已部署 EDR,首次攻擊被攔截。後續入侵方式如下:
1. 轉向 IoT 設備,發現安全漏洞
駭客沒有放棄,而是開始 掃描內部網路,尋找未受 EDR 保護的設備。他們發現企業 內部有 網路攝影機(IoT 設備),這些設備沒有安裝 EDR,且存在遠端存取漏洞。
2. 利用 AnyDesk 遠端存取工具入侵
駭客利用網路攝影機的漏洞,成功 進一步滲透到內部網路,然後透過 AnyDesk(合 法的遠端存取軟體)來控制企業內部的設備。這種方式讓駭客可以 偽裝成合法用戶登 入系統,避免觸發 EDR 偵測。
3. 部署 Akira 勒索軟體,成功加密資料
在掌控內部網路後,駭客開始 部署 Akira 勒索軟體,並加密企業的關鍵文件,造成實 際損害。
🛠️ 如何加強防護?
加強 IoT 設備安全:確保監視器、印表機等設備有適當的安全防護。
限制 PowerShell、WMIC 權限:避免駭客濫用系統工具。
啟用行為分析監測:偵測異常行為,而不僅依賴特徵碼。
強化身份驗證:使用多重驗證(MFA),減少憑證外洩風險。
EDR 不是萬能的,企業需要搭配多層防禦策略,才能真正降低駭客攻擊的風險! 想要了解更多防禦策略可以參考:https://www.wizon.com.tw/solution
資料來源:
PHP漏洞、木馬程式
日本發生大規模網路攻擊。駭客利用 PHP 網頁程式中的嚴重漏洞(CVE-2024-4577),成功遠端執行惡意程式,駭客可以藉此在未修補的伺服器上執行惡意指令,攻擊範圍涵蓋科技、電信、娛樂、教育及研究機構,在此呼籲儘速檢查採取PHP開發的網頁程式是否存在類似的問題,及早避免遭受漏洞利用攻擊及帳密遭竊取的風險!
🚨攻擊步驟
利用 PHP CGI 漏洞取得初步存取權限
駭客鎖定使用 CGI(通用閘道介面)模式運行 PHP 的伺服器,並利用該漏洞繞過安全機制,遠端執行惡意指令,成功取得系統的初步控制權。
部署 Cobalt Strike 並使用「檮杌(TaoWu)」木馬程式
駭客在受害系統內部植入 Cobalt Strike——這是一種合法的滲透測試工具,但也常被駭客用來發動攻擊。他們使用一款名為 「檮杌(TaoWu)」 的外掛程式,來進一步滲透網絡,並取得更高的權限。
竊取帳戶密碼與系統控制權
成功入侵後,駭客會提取系統內存中的帳戶密碼,甚至擷取敏感數據,並可能進一步橫向移動,攻擊更多內部伺服器。
隱藏行蹤與維持存取權限
駭客可能使用中國的 DNS 服務與阿里雲伺服器,來掩蓋攻擊來源,使追蹤變得更加困難。他們可能還會在受害系統中安裝後門,確保能夠長期存取該網絡,即使漏洞修補後仍能維持入侵狀態。
🛠️ 如何防範
立即升級PHP版本
更新至最新版本: 確保您的PHP版本升級至官方最新版本,以修補已知的漏洞。具體來說,應升級至以下版本:
PHP 8.3.x 至 8.3.8 或以上
PHP 8.2.x 至 8.2.20 或以上
PHP 8.1.x 至 8.1.29 或以上
終止支援版本: 對於PHP 8.0、7.x及5.x版本,因官方已不再提供更新,建議考慮遷移至仍在維護的版本。
實施安全配置
禁用CGI模式: 如果可能,避免使用PHP的CGI模式,因為這種模式更容易受到攻擊。考慮使用更安全的架構,如Mod-PHP、FastCGI或PHP-FPM。
使用Rewrite規則: 對於無法立即更新的系統,可以透過Apache的Rewrite規則來暫時阻擋攻擊,這是一種針對特定語言環境的緩解措施。
加強監控與防護
部署防火牆和入侵檢測系統: 使用防火牆和入侵檢測系統(IDS)來監控可疑活動,並及時響應潛在的攻擊。
虛擬漏洞修復: 考慮使用網路安全產品,如虛擬漏洞修復技術,這可以在系統尚未完全修補的情況下提供保護。
資料來源:
LAzarus、npm 軟體包、惡意軟體
北韓駭客組織 Lazarus 透過 npm(Node package manager) 平台散佈惡意軟體,專門攻擊開發者。這些駭客利用 「typosquatting」(拼字錯誤搶注) 技巧,創建名稱與知名套件相似的惡意套件,誘騙開發者下載並安裝。
🚨 攻擊方式
假冒熱門套件:駭客上傳與知名套件名稱相似的惡意版本,讓開發者一不小心就下載錯誤的軟體包。
植入惡意程式:下載後,惡意軟體會竊取帳戶憑證、建立遠端後門,甚至蒐集加密貨幣錢包資訊。
持續活躍中:目前這些惡意套件仍在 npm 平台上,對開發者構成威脅。
⚠️ 為何要針對開發者?
駭客專門攻擊開發者,主要是因為他們擁有高權限與關鍵資源,一旦被入侵,駭客可以藉此滲透更大範圍的目標。以下是主要原因:
開發者擁有高權限系統存取權
開發者通常擁有存取企業伺服器、內部代碼庫、雲端平台的權限,一旦駭客成功入侵,就能藉此滲透整個組織。
可植入供應鏈攻擊
駭客滲透開發者的環境後,可以在他們開發的軟體、應用程式或更新中植入惡意程式,當這些軟體被廣泛使用時,病毒就能透過供應鏈擴散,影響更多企業與用戶。
獲取機密資料與憑證
開發者的工作環境中可能存放API 金鑰、SSH 金鑰、密碼、伺服器存取權限等敏感資訊,駭客可以盜取這些憑證,進一步攻擊企業內部系統。
瞄準開源社群影響更大
許多開發者會貢獻或維護開源專案,駭客若能成功控制某個熱門開源專案,便可將惡意代碼注入,影響全球大量使用該程式碼的開發者與企業。
🛠️ 給開發者的建議
確認軟體包的來源
官方來源:優先使用來自官方倉庫的軟體包,例如:
npm:官方 npm registry
PyPI:Python Package Index
Maven、Gradle:官方 Java Repository
避免使用不明開發者的軟體包,尤其是新發佈、知名度低或維護者身份不明的套件。
檢查軟體包的名稱(防止 Typosquatting 攻擊)
駭客常透過**拼寫錯誤搶注(Typosquatting)**發佈惡意軟體包,例如:
requests(正確) vs. request(惡意)
lodash(正確) vs. lodas(惡意)
下載前請仔細核對名稱,避免安裝拼寫相似的惡意套件。
審查軟體包的程式碼與維護情況
查看官方 Repo(GitHub、GitLab),確認:
是否有長期維護,還是突然出現的新包
是否有大量使用者,並持續更新
避免使用長期無維護的軟體包,這些包可能存在安全漏洞。
資料來源:
Medusa、RAAS
[3月13日] 緊急警告! Medusa 勒索軟體已襲擊美國超過 300 個關鍵基礎設施組織
近期,美國網路安全與基礎設施安全局(CISA)與聯邦調查局(FBI)發出警告,指出Medusa 勒索軟體已經攻擊了超過300個美國關鍵基礎設施組織,影響範圍涵蓋政府機構、學校、醫療機構和企業。
Medusa 勒索軟體是什麼?
Medusa 是一種加密檔案並索取贖金的勒索軟體,駭客會鎖住受害者的電腦或伺服器,要求支付贖金來解鎖資料。這類攻擊可能導致系統癱瘓、重要數據被竊取或公開。
🚨 Medusa 的攻擊手法
從「封閉式」到「勒索軟體即服務(RaaS)」
過去,Medusa 由少數駭客團隊操作,如今則發展成一種「勒索軟體即服務(RaaS)」,開放給其他駭客使用,擴大了攻擊範圍。
招募「初始訪問代理(IABs)」
Medusa 駭客團隊會僱用**「初始訪問代理」(IABs)**,這些人專門入侵企業系統,然後將存取權賣給駭客團隊,讓他們輕鬆植入勒索軟體。
高調威脅,曝光受害者
駭客不只是加密資料,還會在「Medusa部落格」上公開被害組織的資訊,藉此施壓要求支付贖金。
⚠️ 重大受害案例
明尼阿波利斯公立學校:攻擊後,駭客要求 100 萬美元贖金,並威脅公開學生與教職員資料。
豐田金融服務:Medusa 駭客團隊入侵後,造成公司業務嚴重影響。
🛡 如何防範 Medusa 勒索軟體?
啟用多重驗證(MFA),防止駭客透過弱密碼入侵
定期備份重要資料,確保即使遭到攻擊,也能快速恢復
提高員工資安意識,避免點擊來路不明的郵件附件或連結
及時安裝安全更新與修補漏洞,降低被入侵風險
資料來源:
Black Basta、Cactus、BackConnect
研究人員在分析近期攻擊時,發現這兩個團夥都使用了一款名為 BackConnect 的惡意軟體,這在過去並不常見。BackConnect 能夠讓駭客遠端控制受害者的系統,顯示出這兩個團夥可能共享工具、技術,甚至有成員互相轉投的情況。
🔹BackConnect 是什麼?
BackConnect 是一種惡意軟體(惡意後門工具),主要用來讓駭客遠端控制受害者的電腦或伺服器。它的工作原理是建立一個持續的、加密的通道,讓攻擊者可以隨時連線到受害系統,而不會被一般的資安工具偵測到。
BackConnect 的主要功能包括:
遠端存取:駭客可繞過傳統防火牆,遠端控制被感染的設備
數據竊取:可記錄鍵盤輸入、竊取帳戶憑證、竊聽系統活動
持續滲透:允許駭客在系統內部長期停留,伺機發動進一步攻擊
代理伺服器功能:駭客可透過受害設備發起攻擊,使來源難以追蹤
🔹Black Basta 與 Cactus 的背景
Black Basta:是 2022 年出現的高級勒索軟體團夥,它的成員疑似來自「Conti」勒索軟體組織,後者在 2022 年因內部數據外洩而解散,攻擊目標遍布全球,特別針對企業和政府機構。
Cactus:是 2023 年出現的新興勒索軟體組織,以高度隱蔽的攻擊方式聞名,特別擅長繞過防毒軟體和端點偵測(EDR),是目前最難以偵測的勒索軟體之一。
🚨 他們的攻擊方式有何相似之處?
使用相同的後門工具(BackConnect) 來持續存取受害者的系統
加密受害者檔案並索取贖金,威脅曝光企業機密數據
透過VPN與被盜帳密入侵企業內網,迴避傳統資安防護
這些相似點顯示,這兩個組織可能正在合作,或 Black Basta 的成員已經加入 Cactus,讓 Cactus 的攻擊能力更強大。
🛡 如何保護自己免受攻擊?
啟用多重驗證(MFA),避免駭客利用盜取的帳密登入系統
定期備份重要資料,即使遭受攻擊,也能快速恢復
避免點擊可疑郵件附件與連結,降低遭惡意軟體感染的風險
確保系統與防毒軟體保持最新,防止已知漏洞被利用
資料來源:
Kommentarer