blog.hkbnesecurity.site Open in urlscan Pro
2606:4700:3037::6815:1a5f  Public Scan

Form analysis
2 forms found in the DOM

GET https://blog.hkbnesecurity.site/

<form role="search" aria-label="Search for:" method="get" class="search-form" action="https://blog.hkbnesecurity.site/">
  <label for="search-form-1">
    <span class="screen-reader-text">Search for:</span>
    <input type="search" id="search-form-1" class="search-field" placeholder="Search …" value="" name="s">
  </label>
  <input type="submit" class="search-submit" value="Search">
</form>

GET https://blog.hkbnesecurity.site/

<form role="search" method="get" class="search-form" action="https://blog.hkbnesecurity.site/">
  <label for="search-form-2">
    <span class="screen-reader-text">Search for:</span>
    <input type="search" id="search-form-2" class="search-field" placeholder="Search …" value="" name="s">
  </label>
  <input type="submit" class="search-submit" value="Search">
</form>

Text Content

Skip to the content
Search


HKBNESECURITY

網絡安全
Menu
Menu
Search
Search for:
Close search
Close Menu
 * Home
 * Ransomware
 * Vulnerability
 * Hacker
 * Contact us


Categories
Hacker


MAC用戶當心！APT駭客組織鎖定MACOS用戶植入後門，多數防毒軟體尚無法偵測相關行為

 * Post author By admin
 * Post date 3 December 2020
 * No Comments on Mac用戶當心！APT駭客組織鎖定macOS用戶植入後門，多數防毒軟體尚無法偵測相關行為

趨勢科技發現針對macOS電腦的後門軟體，並根據攻擊的手法特徵，認為背後使用這個惡意軟體的駭客組織是OceanLotus（又稱APT32），目標鎖定越南的macOS使用者。
今年駭客鎖定macOS電腦發動攻擊，且難以被偵測出來的情況，已有前例，像是有假冒Flash
Player安裝程式的MacOffers木馬程式，不僅能躲過蘋果App
Store應用程式市集的公證機制，就連許多的防毒軟體都無法分辨。而在11月27日，趨勢科技公布他們近期發現的macOS後門程式，駭客藉由偽裝成Word文件的ZIP檔案，誘使受害者開啟而中招。該公司亦表示，在他們公布這個後門程式攻擊細節的當下，許多的防毒軟體還無法偵測為有害。
至於駭客的身分為何？趨勢科技根據這個後門程式的特徵，再加上看到駭客使用越南文，而認為是越南駭客組織OceanLotus（又稱APT32、APT-C-00）。根據MalPedia的資料，這個組織最早在2011年就出現，傳聞背後有越南政府支援。該組織過去的主要攻擊目標，是越南的異議份子與競爭國家，最近的事件則是在今年4月，他們鎖定中國應急管理部和武漢市政府，發動釣魚郵件攻擊。該組織再度引起關注其中的原因之一，就是發生在去年疑似先是攻擊了大型日本車廠豐田，後來又透過滲透測試工具入侵BMW與現代車廠的事件，而被外界認為可能與扶植越南當地大型集團VinFast成立的汽車工廠有關。
不過，OceanLotus並非首度針對macOS電腦發動攻擊。在2018年趨勢科技就發現相關攻擊。而在此之前，2017年Palo Alto
Networks也有發現該組織的惡意軟體。 藉由濫用特殊字元造成檔案型態混淆，讓macOS啟動終端機來執行惡意程式腳本
而在11月底趨勢揭露的攻擊事件中，駭客是如何散布這個後門程式？他們是藉由釣魚郵件做為管道，挾帶做為附件。為了讓收到信件的人將附件開啟，駭客利用了特殊字元來命名該惡意軟體，並使用Word文件圖示等方式來偽裝，使得收件人會以為看到附件是Word文件。但實際上，這個檔案是內含多個資料夾的ZIP檔案，而非真的可被微軟Office開啟的Word文件，一旦使用者點選執行，macOS會因為檔案名稱的特殊字元，將它當作無法識別的檔案型態，而預設開啟終端機，觸發這個ZIP檔案裡的惡意指令腳本。
而在這個腳本執行後，使用者還會看到一份Word文件被開啟，而文件內容只有一堆亂碼。但實際上，攻擊已經在背後持續進行，而且為載入架設後門的工具做準備。為何利用這麼繁鎖的方法進行？趨勢科技表示，駭客這麼做的目的，就是要規避防毒軟體的偵測。
但這次攻擊行動的意圖和目標為何？趨勢科技認為，從檔案名稱使用越南文來看，駭客是針對當地的macOS用戶而來。但對於攻擊意圖的部分，該公司並未進一步說明。
針對OceanLotus善用規避手法的攻擊行為，使用者要如何防範相關攻擊手法？趨勢科技認為，首先，使用者要對於來路不明的信件提高警覺，不要開啟當中的附件；再者，則是維持電腦作業系統與軟體為最新版本等措施，也有助於減少相關攻擊帶來的影響。

 * Tags APT32, macOS, OceanLotus

--------------------------------------------------------------------------------

Categories
Ransomware


RANSOMEXX勒索軟體開始瞄準LINUX

 * Post author By admin
 * Post date 25 November 2020
 * No Comments on RansomExx勒索軟體開始瞄準Linux

卡巴斯基發現一隻加密檔案的木馬程式，以ELF執行檔方式流傳騙取用戶安裝執行，目的在加密Linux環境下的檔案，經分析後研判是鎖定大公司發動加密攻擊的RansomExx惡意軟體

 * Tags linux, ransomware

--------------------------------------------------------------------------------

Categories
Vulnerability


HACKER POSTS EXPLOITS FOR OVER 49,000 VULNERABLE FORTINET VPNS

 * Post author By admin
 * Post date 24 November 2020
 * No Comments on Hacker posts exploits for over 49,000 vulnerable Fortinet VPNs

A hacker has posted a list of one-line exploits to steal VPN credentials from
almost 50,000 Fortinet VPN devices. Present on the list of vulnerable targets
are domains belonging to high street banks and government organizations from
around the world. Researchers find thousands of targets The
vulnerability being referred to here is CVE-2018-13379, a path traversal flaw
impacting a large […]

 * Tags VPN, vulnerability

--------------------------------------------------------------------------------

Categories
Ransomware


INTEL 471：光是這兩年就有25個勒索軟體即服務問世

 * Post author By admin
 * Post date 24 November 2020
 * No Comments on Intel 471：光是這兩年就有25個勒索軟體即服務問世

勒索軟體即服務Ryuk經常藉由Trickbot與Emotet感染受害組織，全球大約有幾百萬起的勒索軟體攻擊與Ryuk有關，有些安全研究人員認為Ryuk占了今年勒索軟體攻擊總數的三成
就在武漢肺炎（COVID-19）疫情衝擊全球人們之際，資安業者Intel
471認為勒索軟體即服務（Ransomware-as-a-service，RaaS）已成為這波疫情中的疫情，在去年與今年總計有25個RaaS問世，而且它們發動攻擊的規模與所造成的災情幾乎無法確實統計。
Intel
471列出了在這兩年出現的25個RaaS，當中有17個是今年才問世，此外，在這些RaaS中，有11個屬於尚未接獲攻擊報告的服務，有9個被列為已出現攻擊案例且正快速成長中的服務，另外5個則是經常傳出災情的服務，涵蓋DopplePaymer、Egregor/Maze、Netwalker、REvil與Ryuk。
研究人員指出，勒索軟體的猖獗已經到了連非資安產業的人都認識它的程度了，而且就算是老練的資安專家，也很難評估勒索軟體的品質與它所能造成的傷害，儘管攻擊事件不斷地曝光，但有鑑於許多組織在遭受攻擊時選擇保持沈默，而使得資安產業難以估算攻擊數量或受害者的平均成本。
另一方面，駭客勢力正暗潮洶湧中，促使Intel 471公布近來的調查成果，以協助外界理解此一日益嚴重的攻擊行為。 在被Intel
471列為最兇猛的5個RaaS都是在去年就問世了，研究人員猜測DopplePaymer是由先前的BitPaymer集團所打造，它通常是在入侵受害者網路並下載了機密資料之後，採用手動部署；DopplePaymer攻擊了墨西哥電場Pemex，以及與美國聯邦政府合作的不同IT委外公司，最著名的事蹟則是在今年9月攻擊了德國杜塞道夫大學醫院（Duesseldorf
University Hospital），導致一名來不及轉院的急診病患死亡。
其實駭客的攻擊目標並非德國杜塞道夫大學醫院，而是杜塞道夫大學，在駭客得知搞錯目標之後，傳送了解密金鑰予該院，只是為時已晚。
而Egregor則是由原來的Maze勒索軟體團隊所操縱，也可能與Sekhmet勒索軟體有關，其受害者包括Crytek、Ubisoft及Barnes &
Noble。則Netwalker被視為最多產的SaaS之一，它利用無檔案感染技術繞過Windows的使用者帳號控制元件，買家可選擇只加密單一電腦或整個網路，估計至少有25起攻擊事件與Netwalker有關。
同樣在去年現身的REvil則是專找漏洞下手，像是甲骨文WebLogic伺服器的CVE-2019-2725漏洞，或是各種遠端桌面協定（RDP）漏洞，曾宣稱在開採過時的Citrix與Pulse
Secure遠端存取軟體時，只花了3分鐘就滲透受害者的整個網路，不論是英國的金融服務供應商Travelex、美國的娛樂及媒體法律公司Grubman Shire
Meiselas & Sacks，或者是德州的23個政府機構，都是REvil的受害者。
幾乎已被視為勒索軟體同義詞的Ryuk，也是最受攻擊者青睞的勒索軟體之一，它經常藉由Trickbot與Emotet感染受害組織，全球大約有幾百萬起的勒索軟體攻擊與Ryuk有關，有些安全研究人員認為Ryuk占了今年勒索軟體攻擊總數的1/3。值得注意的是，Ryuk今年的攻擊行動鎖定健康照護領域，最有名的例子之一是在美、英設有超過400家醫院的Universal
Health Systems（UHS）。
此外，不管是這五大勒索集團，或是逐漸崛起的新興勒索集團，都開始於暗網中架設部落格，以公布受害者名單，或是公布自受害者網路所下載的機密資料。 (source:
https://www.ithome.com.tw/news/141172)


Search for:


RECENT POSTS

 * Mac用戶當心！APT駭客組織鎖定macOS用戶植入後門，多數防毒軟體尚無法偵測相關行為
 * RansomExx勒索軟體開始瞄準Linux
 * Hacker posts exploits for over 49,000 vulnerable Fortinet VPNs
 * Intel 471：光是這兩年就有25個勒索軟體即服務問世


RECENT COMMENTS


ARCHIVES

 * December 2020
 * November 2020


CATEGORIES

 * Hacker
 * Ransomware
 * Vulnerability

© 2021 HKbnesecurity

Powered by WordPress

To the top ↑ Up ↑