FortiGuard Labs 近期發布最新的威脅情資報告,分享關於美國的國家安全局(NSA)、網路安全性及基礎架構安全局(CISA)、聯邦調查局(FBI)與英國的國家網路安全中心(NCSC)所發布的聯合網路安全警示,公布俄國軍事情報局(GRU)針對全球機構發動暴力攻擊(brute force attack)。這份報告特別提到一場由俄羅斯情報局第 85 主要特種勤務中心(GTsSS)26165 軍事部隊發起的攻擊行動。這場為期將近兩年的攻擊活動利用 Kubernetes 叢集對全球多個實體進行暴力攻擊,有多個政府機構與私人企業受害。Fortinet分析,除了由國家級駭客組織所發起的資安攻擊行動,政府機構和企業也經常遭到勒索軟體和其他遠端程式碼執行(Remote Code Execution,RCE)零日(Zero-day)漏洞攻擊。
國家級駭客組織GTsSS 不斷侵害破壞企業及雲端環境
聯合網路安全警示提出多項 GTsSS 執行任務時所採用的戰略技術流程。據觀察,GTsSS 會使用密碼噴灑(Password Spraying)攻擊入侵目標網路,接著橫向移動擴散,再從外洩資料中竊取存取帳密,進行深入偵查,HTTP(S)、IMAP(S)、POP3 與 NTLM 等通訊協定也是駭客鎖定的目標。獲得存取權後,這些駭客會採取進一步行動,例如透過橫向移動擴散接近目標。駭客也利用了 CVE 2020-0688 (Microsoft Exchange 驗證金鑰遠端程式碼執行漏洞)與 CVE 2020-17144(Microsoft Exchange 遠端程式碼執行漏洞)。遭到駭客惡意利用的 Kubernetes 叢集,會透過商業 VPN 與 TOR 服務混淆攻擊者的來源以及他們的來源 IP 位址。
Fortinet 新發現:全新勒索軟體Diavol
FortiEDR於 6 月初阻止了一場對Fortinet客戶發起的勒索軟體攻擊。Fortinet 深入調查 Diavol 這款新興勒索軟體的內部運作方式後,認為這款勒索軟體可能出自犯罪集團 Wizard Spider 之手,因為 Diavol 使用的指令列參數與 Conti 幾乎相同,而且也用於執行相同功能,包括記錄檔案、加密本機磁碟或網路共用磁碟,以及掃描網路共用的特定主機。此外,Diavol 與 Egregor 勒索軟體之間或許也有關聯,因為支付贖金的說明檔案中有幾行完全相同。有些人認為操縱 Conti 的駭客集團 Wizard Spider 與操縱 Egregor 的駭客集團 Twisted Spider 之間有關聯,據傳這兩個犯罪集團在多種攻擊行動中都會合作,而且皆因會對受害者進行雙重勒索(透過竊取及加密資料)而惡名昭彰。
儘管目前仍未查出駭客的入侵來源,但攻擊者所使用的參數以及寫死的編碼配置中出現的錯誤,都顯示 Diavol 是駭客的新攻擊工具,且他們尚未完全習慣使用這些工具。在駭客進行攻擊的過程中,我們在網路裡找到了更多名為 locker.exe 的 Conti 酬載,提高了幕後黑手正是 Wizard Spider 的可能性。儘管 Diavol、Conti 與其他相關勒索軟體有一些相似之處,Fortinet尚無法確定這些勒索軟體之間的直接關聯。
Fortinet 針對微軟PrintNightmare 漏洞推出 IPS 特徵值
除了最新的勒索軟體攻擊, FortiGuard Labs 也留意到微軟 Windows 列印多工緩衝處理器Print Spooler的新發現零日漏洞報告中的問題。一般認為該漏洞的問題來自 CVE-2021-1675(Windows 列印多工緩衝處理器遠端程式碼執行漏洞),微軟亦在其2021 年 6 月的週二修補日公布。然而,最新發現的漏洞似乎可能是該漏洞的變形或另一個新漏洞。微軟目前尚未發表任何公開聲明證實這個說法。低階的已驗證使用者或者擁有這類憑證的駭客,可以透過目前這種型態的漏洞輕鬆從「系統」層級奪佔目標伺服器,進行各種攻擊,包括但不限於完全掌控系統、部署惡意軟體等等。Fortinet提醒,這些發現或許與 CVE-2021-1675 無關,因為有多次透過公開來源情報(Open Source Intelligence,OSINT)管道進行的對話表示這可能是全新的漏洞。
相關新聞: CISA針對 0-day 漏洞 PrintNightmare發布資安通報
目前還不知道哪些版本的Windows會受到這個漏洞的影響,但 MimiKatz 的開發者 Benjamin Delpy 證實了2021年6月8日釋出的 Windows 10 版本更新 2021-KB5003646 (作業系統組建 17763.1999)很容易因此漏洞受到攻擊。
Fortinet 端點解決方案全面圍堵勒索病毒惡意攻擊即使在沒有獲得事前相關資訊或進行特殊設定的情況下,FortiEDR也能在偵測到 Diavol 與 Conti 勒索軟體攻擊後,立即加以阻擋。FortiEDR利用執行後防護引擎來辨識加密檔案或清除陰影副本等惡意活動,再即時予以封鎖。此外,Fortinet亦立即將該次威脅的詳細資訊分享給其他資安威脅聯盟( Cyber Threat Alliance )成員,協助聯盟成員為全球用戶建立更有保障的防護措施。
針對微軟 #PrintNightmare 零日遠端程式碼執行漏洞,Fortinet建議各企業組織務必評估已知用於執行 Windows Print Spool 服務的裝置是否可用,尤其是可暫時停用的網域控制站,包含阻隔 TCP 連接埠 135(RPC)與 445(Spooler SMB)。此漏洞很可能對企業的日常營運和商譽帶來損害,例如在非預期情況下發布資料、干擾企業營運等等,因此各企業組織務必確保所有 AV 與 IPS 特徵值均為最新版本。
FortiGuard 研發中心台灣區經理林樂表示:「建議各企業須持續舉辦訓練課程,教導並告知職員最新的網路釣魚/魚叉式網路釣魚攻擊,同時也勸導員工不要開啟寄件人不明的郵件中附加的檔案,針對未知及不信任寄件人所傳送的電子郵件亦須小心處理。駭客透過社交工程散布機制進行各種網路釣魚/魚叉式網路釣魚攻擊的事件屢見不鮮,讓企業內終端使用者了解各種類型攻擊成為當務之急。舉例來說,企業可以使用內部資訊安全部門預先製作範本舉辦定期訓練課程或突擊測驗,以簡單的使用者警覺訓練,教導使用者辨別帶有惡意附件或連結的電子郵件,也有助於防範駭客入侵網路」。