|
||||||||||||||||||||||||||||||||
在中國的美國機構成為攻擊者的目標中國攻擊者針對大型美國機構作為入侵目標,時間長達四個月一家在中國擁有重要據點的大型美國機構,在今年早些時候遭到一次有針對性的攻擊,攻擊者在攻擊期間於該機構的網路上成功潛伏並持久性存在,似乎是為了收集情報。 攻擊者在組織網路中橫向移動,入侵多台電腦。部分目標機器是 Exchange 伺服器,顯示攻擊者是透過收集電子郵件來收集情報,攻擊者也部署了滲透工具,因此可猜測目標資料已從組織中被擷取。 針對台灣攻擊的新後門採用隱匿的通訊方式前所未見的後門軟體利用 DNS 流量與命令與控制伺服器通訊在針對台灣一所大學的攻擊中,利用一種不常見的技術,部署一個先前未見的後門 (Backdoor.Msupedge) 。 Msupedge 不僅透過 DNS 流量接收指令,也使用 C&C 伺服器 (ctl.msedeapi[.]net) 解析的 IP 位元址作為指令。已解析 IP 位址第三個八位元組做為切換情況。後門的行為會根據解析 IP 位址的第三個八位字元減七的值而改變。 Daggerfly:間諜組織正對其工具集進行重大更新APT 組織似乎正在使用共用架構來建立Windows、Linux、macOS 和 Android 威脅Daggerfly(又名 Evasive Panda、Bronze Highland) 間諜組織已廣泛更新其工具集,推出數個新版本的惡意軟體,很可能是為了應對其舊版變種的曝光。 新工具被部署在最近針對台灣組織和美國一個駐中國非政府組織的攻擊中,顯示該組織也從事內部間諜活動。在針對該組織的攻擊中,攻擊者利用 Apache HTTP 伺服器漏洞來傳送他們的 MgBot 惡意軟體。 當品質決定一切,『永不犯錯』∼是今日這個網網相連的世界最大期望我們意識到所有新功能都遠不如品質控制重要賽門鐵克-現在隸屬於 Broadcom 的企業安全部門,為所有受全球當機事件影響的供應商和組織提供支援,並向讓一切恢復正常而努力不懈的團隊表示感謝。 上週的全球大規模 IT 故障事件嚴酷地提醒我們,當今這個網網相連的世界連結日益緊密以及我們對關鍵供應商,品質控制的集體依賴 (以及最終用戶的期望) 與更新量之間的平衡,以確保企業免受日益高度組織化、自動化和侵略性的威脅情勢。 利用中國間諜工具持續攻擊電信公司的網路攻擊行動攻擊者在目標公司的網路上安裝後門,並試圖竊取憑證以利後續所需的權限這些攻擊至少從 2021 年就開始,有證據表明,其中一些活動甚至可以追溯到2020年,幾乎所有被攻擊的組織都是電信公司。 行動中使用與一些與中國有關連的間諜行為者有關的客製化惡意軟體,包括:Coolclient 與 Fireant 集團 (又名 Mustang Panda、Earth Preta)、Quickheal 一個與 Neeedleminer 駭客組織 (又名 RedFoxtrot、Nomad Panda)、Rainyday 是與 Firefly 駭客組織 (又名 Naikon)。 2024 年第一季勒索軟體活動報告儘管遭到執法單位圍剿,但仍然維持很高的活動水準這2024 年第一季,勒索軟體活動略有下降,這主要是由於兩個主要勒索軟體組織受到執法部門的圍剿。 整體活動水準的下降可能與 LockBit 和 Noberus 這兩個組織被執法單位圍剿有關,這兩個勒索軟體組織是 2023 年最多產的勒索軟體。儘管 Noberus 在接下來的幾周裡試圖捲土重來,但最終還是在 2024 年 3 月以執法行動的影響為由關閉了,有報道稱它與許多同盟的附屬組織鬧翻。 勒索軟體攻擊者可能利用權限提升漏洞作為零時差漏洞某些證據顯示,與 Black Basta 有關的攻擊者在修補之前就編譯 CVE-2024-26169 漏洞經營 Black Basta 勒索軟體的 Cardinal 網路犯罪組織 (又稱 Storm-1811、UNC4393) 可能一直在利用最近修補的 Windows 權限提升漏洞作為零時差漏洞。 賽門鐵克威脅獵人團隊最近調查的一次勒索軟體攻擊嘗試中發現該漏洞利用工具。儘管攻擊者在這次攻擊中沒有成功部署勒索軟體有效負載,但所使用的策略、技術和程序 (TTP) 與Microsoft 最近詳細介紹 Black Basta 活動報告中描述的內容非常相似,其中包括使用偽裝成軟體更新的批次腳本。 RansomHub:源自於 Knight 的新型勒索軟體新的運作方式已迅速發展成為最多產的勒索軟體威脅之一RansomHub 是一種新的勒索軟體即服務 (RaaS),它已迅速成為目前最大的勒索軟體集團之一,很有可能是舊版「Knight 」勒索軟體的更新和重命名版本。 儘管有共同的起源,但「Knight」的建立者現在不太可能經營 RansomHub。因為在 2024 年2 月 Knight 的開發者決定關閉其業務後,Knight(原名 Cyclops) 的原始碼已在地下論壇上出售。可能是其他行為者購買 Knight 的原始碼,並在推出 RansomHub 之前對其進行更新。 在勒索軟體開始攻擊之前斷其後路勒索軟體犯罪集團越來越多地使用合法軟體實施攻擊賽門鐵克的「調適型防護 - AdaptiveProtection」防護技術讓攻擊者吃閉門羹。 隨著越來越多的攻擊者利用合法軟體在網路中立足和橫向移動,防禦者顯然需要採取不同的安全方法。 Graph:利用 Microsoft API 的威脅數量正在增加越來越多的威脅開始利用 Microsoft Graph APIGraph API 常被利用於對雲端上的指揮與控制伺服器的不顯眼通訊。 這種技術最近被用於針對對烏克蘭一個組織的攻擊,在這次攻擊中,一個以前從未記錄的惡意軟體利用 Graph API 將 Microsoft OneDrive 用於C&C 目的。 博通彙集兩個經過驗證的產品組合,提供完整的混合雲安全解決方案將Carbon Black 與賽門鐵克合併建構博通的新企業安全集團賽門鐵克的產品組合擁有世界上一些最好的安全技術和研究,專注於資料和網路保護。 博通將在這兩個品牌上進行重大投資,並繼續在企業安全集團業務部門下提供這兩個產品組合。 資料洩漏:勒索軟體攻擊者利用的工具越來越多新出現的勒索軟體與已停止運作的NetWalker關係密切雙重勒索攻擊現在已成為大多數勒索軟體運營商的標準做法。 這趨勢似乎是由兩個因素導致:一是攻擊者對某些類型軟體潛在功能的認識不斷提高;二是攻擊者希望找到一些鮮為人知的替代工具,以取代那些因惡意使用而聲名狼藉的工具。 在所有電腦安裝 IPS 的 5 個好理由賽門鐵克的端點防護系統 (SEP)在 2023 年封鎖 43 億次攻擊大多數安全軟體廠商的桌機/筆電或伺服器上的端點防護系統鮮少有提供網路層的防護技術。 當我們針對 2023 年所阻止的威脅匯整的年度防護統計數據時,我們輾壓群雄的網路防護技術--入侵預防系統 (IPS) 的威力以證據證明是具有壓倒性。 資料洩漏總是後知後覺現在您可以採取哪些措施來保護關鍵和敏感資料組織需要了解資料洩漏事件是時間早晚的問題、而不是會不會的問題。 資料應在生命週期的每個階段受到保護,從資料進入組織直到被銷毀。我們將探討為什麼資料如此難以保護,並分享寶貴的見解,以幫助您開發強大而有效的資料生命週期保護。 從NetWalker 死灰復燃的Alpha 勒索軟體新出現的勒索軟體與已停止運作的NetWalker關係密切Alpha 是2023年2月 首次出現一種新型勒索軟體。 經由對 Alpha 分析後顯示,它與之前的 NetWalker 勒索軟體非常相似。這兩種威脅都使用以PowerShell 為基礎的載入器 (loader) 來傳遞有效載荷。 展望 2024:首席資安長 (CISO) 將面臨的 6 大資安挑戰隨著整體網路安全情勢的不斷發展,保持領先優勢不僅僅是一個目標,更是一項任務在這個科技不斷創新的時代,不僅要能預見潛在問題而且要積極應對各種新興的威脅,對首席資安長來說至關重要。 準備做好迎接變革的一年,我們將揭示六大網路安全趨勢,這些趨勢將徹底改變首席資安長們在 2024 年的決策方式從科技的突飛猛進到錯綜複雜的供應鏈漏洞,這是為掌舵者所做的摘要以保護數位堡壘免受不斷擴大的威脅。 Seedworm:針對非洲北部和東部電信機構的伊朗駭客組織使用 MuddyC2Go 框架和自訂的鍵盤側錄程式進行攻擊活動攻擊者利用 Deep Instinct 最近發現並記錄的 MuddyC2Go 基礎設施。門鐵克威脅獵人團隊的研究人員在我們調查的活動中發現 MuddyC2Go PowerShell 啟動器。 還使用 SimpleHelp 遠端存取工具和 Venom Proxy,這些也與 Seedworm 的活動有關,以及使用一個自訂的鍵盤側錄程式,和其他公開可用的及利用現有資源的工具。 Crambus:針對中東政府的新攻擊活動與伊朗有關的攻擊者在八個月內入侵多台電腦和伺服器伊朗的間諜組織Crambus(又名 OilRig、APT34)在2023年2月至9月間對中東某國家政府發動長達八個月的入侵。 除了部署惡意軟體外,攻擊者還頻繁使用公開可用的網路管理工具 Plink,在被攻擊的機器上設定通訊埠轉送的規則,通過遠端桌面協定 (RDP) 實現遠端存取。 前所未見的駭客組織:Grayling鎖定多個台灣組織為攻擊目標一個前所未見的進階持續性威脅 (APT) 駭客組織使用客製化的惡意軟體和多種可公開取得的駭客工具,對台灣製造業、IT 和生醫等相關產業與機構組織發動網路攻擊。 博通公司旗下的企業安全部門:賽門鐵克威脅獵手團隊將這項活動歸咎於一個內部稱為Grayling 的新駭客組織。該活動非常顯眼的原因是由於 Grayling 使用獨特的 DLL 側載技術,並使用自訂解密器來部署有效籌載。 Carderbee APT 集團針對香港機構發動濫用合法軟體的供應鏈攻擊這不是 Cobra DocGuard 被網路駭客開採利用發動供應鏈攻擊的首例一個前所未見的進階持續性滲透攻擊 (APT) 駭客集團利用合法的 CobraDocGuard (檔案加解密) 軟體發動供應鏈攻擊,目的是將 Korplug 後門程式 (又名 PlugX) 部署到受害者的電腦上。 賽門鐵克人工智慧(SymantecAI)現在由Google Vertex 人工智慧(Google Vertex AI) 提供更豐富的功能生成式人工智慧是令人興奮,但網路安全專業人員始終必須保持專注於消除威脅和保護資料的基本原則,當安全技術發生變化時,他們知道今天與供應商建立的合作關係將在未來長期影響他們的安全。 SE Labs:Symantec Endpoint 安全性能百分百賽門鐵克端點安全完整版的深度縱深防禦和跨控制點可視性脫穎而出SE Labs 評測是將市面上領導品牌的端點安全產品,暴露在各種漏洞利用、無檔案攻擊和惡意軟體攻擊,是目前所有公開評測中威脅範圍最廣的測試。 攻擊者利用尚未修補的 Windows 零日漏洞已發現 CVE-2023-36884 漏洞被用於針對歐洲和北美組織的攻擊一個影響微軟 Windows 和 Office 產品的零日漏洞 (CVE-2023-36884) 在真實網路情境,已經被駭客開採利用。迄今為止,該漏洞已被用於針對歐洲和北美政府、國防部門組織的高度針對性攻擊。 生成式AI 對企業安全的影響生成式 AI 迅速改變世界對人工智慧可能性的看法,對於許多不從事科技行業的人來說,它的主流應用可能會讓他們感到震驚包括 ChatGPT 在內的生成式 AI 主要是通過第三方的軟體即服務 (SaaS) 模式來提供。這帶來的挑戰之一是,與生成式 AI 互動需要向這個第三方提供數據。 網路安全中的人工智慧--既可用來為善,也可用以作惡?從安全角度探討人工智慧生成技術與許多顛覆性創新一樣,生成式人工智慧雖然前途無量,有望為組織提供從根本上更好的成果,但同時也帶來一系列全新的網路安全風險和挑戰。 Graphican:Flea 利用新的後門攻擊外交部門該後門利用 Microsoft Graph API 進行命令與控制 (C&C) 通訊在這次攻擊活動中,Flea 使用大量的工具。除了新 Graphican 後門外,攻擊者還利用各種現成的工具以及與 Flea 相關聯的工具。我們將在本節中詳細介紹這些工具。 Lancefly:該組織使用客製化後門攻擊政府、航空以及其他行業Metdoor 是一個低度使用率但確有高度針對性攻擊的後門Lancefly 進階持續性滲透攻擊 (APT) 組織正在攻擊南亞和東南亞地區的機構。這個後門的使用非常有選擇性與針對性,多年來只在少數網路和少量機器上出現。在這次攻擊中,攻擊者還使用更新版本的 ZXShell rootkit。 MOVEit檔案傳輸 (MFT)管理軟體漏洞:您需要了解的內容賽門鐵克解決方案可以防範網路犯罪分子正在猖獗地開採利用的漏洞MOVEit 檔案傳輸 (MFT) 管理軟體是一個被廣泛使用的檔案傳輸應用程式,用於在組織之間傳送資訊。在修補程式正式釋出之前,與 Clop 勒索軟體集團有關連的攻擊者已經在利用 CVE-2023-34362 零時差漏洞來發動攻擊。 嚴重影響美國和歐洲關鍵基礎設施的X_Trader 供應鏈攻擊除了3CX 供應鏈攻擊外,這起與北韓有關的網路攻擊行動影響更多組織,包括兩個能源領域的關鍵基礎設施部門賽門鐵克威脅獵手(Threat Hunter) 團隊的初步調查發現,迄今為止,受害者中包括能源領域的兩個關鍵基礎設施組織,一個在美國,另一個在歐洲。除此之外,還包含兩個金融交易的組織也遭入侵。 Daggerfly:APT 攻擊針對非洲電信業者最近的活動中部署了新的 MgBot 惡意軟體框架附加元件賽門鐵克威脅獵人團隊的研究人員,在受害者的網路上發現多個與 MgBot 模組化惡意軟體框架相關的獨特附加元件。攻擊者還被發現使用 PlugX 載入器和濫用合法的 AnyDesk 遠端桌面軟體。 勒索軟體組織使用新型客製化資料收集工具該工具允許攻擊者取得通常會被作業系統鎖定的資料Play 勒索軟體組織正在使用兩種新的客製化工具,它可以羅列受攻擊網路上所有使用者和電腦,並從通常會被作業系統鎖定的磁碟區陰影複製服務 (VSS) 中複製檔案。 生成式AI 應用程式的安全部署嚴格管理 ChatGPT:確保安全的資料存取和治理許多組織正面臨著 ChatGPT 等生成式 AI 工具的挑戰。雖然他們希望能利用生成式 AI 來提高生產力,但是很難看出誰在使用生成式 AI工具。 更重要的是,如果允許員工不受限制地存取這些工具,很可能會洩露組織的機密或敏感性資料。例如:用戶可能利用聊天機器人來查看機密的原始碼或透過貼上複製的敏感資料來產生郵件。 Mantis:針對巴勒斯坦目標的新工具間諜組織花費時間和精力來避免被偵測,並保持在受感染網路上持續存在被認為在巴勒斯坦領土境內活動的網路間諜集團「Mantis」(又名「Arid Viper」、「Desert Falcon」、「APT-C-23」),持續進行攻擊,使用更新的工具集並竭盡所能維持對目標網路的持續存在。 防止 Outlook 的權限擴張使用 Symantec Endpoint Security Complete(SESC) 進行檢測和保護採用 Symantec Endpoint Security Complete(SESC) 的客戶可以使用 SESC 單一代理程式來減少攻擊面、預防攻擊、預防安全漏洞、端點偵測和回應 (EDR) 以及漏洞防護。 Blackfly 間諜組織瞄準材料科技行業目標是亞洲某企業的多家子公司Blackfly 間諜組織 (又名 APT41、Winnti Group、Bronze Atlas) 持續對亞洲的目標發動攻擊,最近瞄準一家亞洲企業的兩個子公司,這兩家子公司主要業務是有關原物料和複合材料,顯示 Blackfly 可能正試圖竊取智慧財產。 3CX:供應鏈攻擊影響全球數千用戶北韓贊助的駭客被認為與對多個3CX DesktopApp 版本所進行的木馬化攻擊有關據信與北韓關係匪淺的駭客組織已將 3CX 網路電話系統公司的:3CX DesktopApp 植入惡意 木馬程式,這是一種被廣泛使用的影音通話桌面應用程式,該惡意軟體收集的資訊想必是是讓攻擊者 可以篩選潛在得進一步攻擊對象。 Hydrochasma:一個不為人知的組織瞄準亞洲的醫療和航運機構攻擊活動中沒有安裝惡意軟體,完全依賴開源工具軟體亞洲的航運公司和醫療實驗室正面臨一個成為情報收集目標的活動,該活動完全仰賴公開可用的現成工具軟體。Hydrochasma 是該活動的威脅行為者,尚未發現其與任何已知的駭客組織有關連,但似乎對涉及 COVID-19 相關治療或疫苗的行業感興趣。 Bluebottle:發動攻擊非洲法語系國家銀行行動的駭客組織利用全新的攻擊策略、技術及程序(TTPs) 延續先前記錄的行動Bluebottle 是一個專門鎖定金融機構發動目標式攻擊的網絡犯罪組織,它延續對法語系國家的銀行發動攻擊。該組織廣泛使用就地取材、兩用工具和商品化的惡意軟體,在此行動中並沒有部署自定義的惡意軟體。 Cranefly:威脅者在隱秘的活動中使用前所未見的技術和工具該組織使用新方法從合法 IIS 日誌中讀取命令賽門鐵克 (Broadcom軟體公司) 發現一個以前沒有記錄的病毒植入程式,它被用來安裝一個新的後門和其他工具,使用的新技術是從看似無害的微軟 IIS 伺服器日誌讀取命令。 Exbyte:BlackByte 勒索軟體組織已部署新的外洩工具Exbyte 是勒索軟體攻擊者開發的最新工具,其目的是要快速從受害者那裡竊取資料賽門鐵克的威脅獵手團隊發現,至少有一個BlackByte勒索軟體(Ransom.Blackbyte)行動的附屬機構已經開始在他們的攻擊中使用一種客製化的資料外洩工具。 OCSF 發布公告:開放式網路安全架構框架Symantec Enterprise 引領未來,我們終於做到了OCSF 本質上為客戶提供一種從不同安全工具共享數據的共通方式,這是一個很大的突破。 OCSF 專案是由Splunk 和 AWS 合作發起,並在 Symantec (現為 Broadcom 軟體的一部分) 開發的 ICD 架構基礎上進行發展。 Spyder 載入器:最近在針對香港組織的活動中看到的惡意軟體該活動似乎是先前記錄到的 CuckooBees 行動的延續在賽門鐵克看到的活動中觀察到的受害者是政府組織,攻擊者在某些網路上保持活躍超過一年。 間諜團體重新將美國組織作為攻擊目標該團體最近的攻擊橫跨各大洲,包括近年來首次被確認針對美國的攻擊Budworm間諜組織在過去六個月裡對一些具有戰略意義的目標發動了攻擊,包括一個中東國家的政府、一家跨國電子製造商和一個美國州議會。 Shuckworm:與俄羅斯有關聯的駭客集團持續針對烏克蘭組織攻擊最近博通 (Broadcom) 軟體事業部的企業安全部門--賽門鐵克(Symantec)觀察到針對烏克蘭的Shuckworm活動,似乎正在向目標網路散佈竊密惡意軟體。 Webworm:間諜攻擊者正在使用並測試較舊版且已客製化的RATs據瞭解,Webworm 至少從 2017 年開始活躍,目標是位於俄羅斯、格魯吉亞 (喬治亞)、蒙古和其他一些亞洲國家的政府機構和涉及 IT 服務、航太和電力行業的企業。 Bumblebee (* 大黃蜂):新的載入程式迅速成為網路犯罪生態系統中的運作中樞大黃蜂在傳遞勒索軟體中舉足輕重的角色Bumblebee 是最近開發的惡意軟體載入程式,已迅速成為各種網路犯罪攻擊的關鍵元件,並且似乎已經取代許多較舊的載入程式。 LockBit 的「攻擊發動分紅」或稱「附屬」公司透過重要伺服主機在組織內部傳播勒索軟體專門鎖定伺服主機的勒索軟體賽門鐵克技術專家看到 LockBit 可以找出網域的相關資訊並為橫向移動建立一個群組原則,並在同一網域內的所有系統上執行 "gpupdate /force" 命令,強行更新群組原則。 Clipminer (* 剪貼礦工):殭屍網路營運商從中獲利超過 $170 萬美元用於加密貨幣挖掘( 挖礦) 和剪貼簿劫持的惡意軟體。Clipminer 可能是透過下載隱藏有木馬的破解或盜版軟體而傳播。 博通發給客戶的通知說明:博通公司已經與VMware達成了收購的協議本內容中文化由保安資訊整理提供我們今天將說明博通公司建立世界領先的基礎架構技術公司的戰略的最新情況以及我們持續投入的努力。 長期以來,VMware在企業軟體方面的領導地位得到了認可,經由這項交易,我們將為全球客戶提供下一代的基礎架構軟體。 賽門鐵克電子郵件安全在競爭中脫穎而出為什麼賽門鐵克會脫穎而出?賽門鐵克採取一系列獨特的電子郵件安全方法,像是進階啟發式偵測技術、即時連結追蹤和模擬控制、來自全球規模最大的民間威脅情報網路的洞察力,找出目標式攻擊並保護電子郵件免於威脅、使用者錯誤和資料外洩。 勒索軟體:攻擊者如何入侵您的企業網路Hive、Conti 和AvosLocker 勒索軟體行動正在使用的最新工具、戰術和程序勒索軟體攻擊者使用的戰術在不斷演變,但透過識別最經常使用的工具、戰術和程序(TTPs),組織可以更深入地瞭解勒索軟體集團如何滲透到網路中,並利用這些知識來識別和優先處理那些不足之處住。 與北韓有關聯的間諜行動繼續瞄準高價值目標間諜組織重點專注在獲取具有民用和軍用的機密或敏感智慧財產與北韓有關的 Stonefly (*石蠅) 駭客集團正繼續對高度專業的工程公司發動間諜攻擊,目的可能是為了獲得敏感的智慧財產。 Shuckworm(* 蚱蜢):間諜組織繼續針對烏克蘭發動激烈攻擊行動2014 年首次出現之後,Shuckworm 幾乎完全專注於烏克蘭與俄羅斯有關聯的組織正在不斷精進其惡意軟體,並經常部署多個有效籌載,以期有更大機會可以長期潛伏在目標網路。 Cicada (* 蟬):中國進階持續性威脅(APT) 集團在近期間諜活動中擴大目標政府組織與非政府組織在範圍廣泛和持續的攻擊行動中成為受害者。 此次 Cicada (又名 APT10) 攻擊行動的受害者,包括世界多個國家 (蘊含歐洲、亞洲和北美) 的政府、法務、宗教和非政府組織 (NGO)。 博通旗下的企業安全部門--賽門鐵克公司的研究人員發現,雖然 Cicada 與 2009 年的間諜活動有關,但此次行動最早發生在 2021年中,最近一次發生在 2022 年 2 月,因此這是一場可能仍在進行的長期攻擊行動。 北韓駭客組織 Lazarus 針對化工行業進行間諜活動持續行動的Dream Job 將北韓與間諜活動中APT 目標組織關聯起來Broadcom 軟體公司旗下的賽門鐵克觀察到,與北韓有關的進階持續威脅(APT)組織 Lazarus 正在針對化工行業內的組織開展間諜活動。 Spring4Shell:Java 架構中發現新的零日 RCE 漏洞賽門鐵克產品將防護對 Spring4Shell 漏洞的利用企圖Spring 現在已經發布了 Spring Framework 5.3.18 和 5.2.20,據說修復了這個漏洞。相依於Spring Framework 5.3.18 的 Spring Boot 2.6.6 和 2.5.12 也已經發布。在發布更新之前,Praetorian 的研究人員還公布臨時修復步驟。Spring 還在其部落格中發布建議的解決方法。 Daxin(大新)專為攻擊安全強化過之頑強網路環境而設計隱秘的後門程式該間諜工具是賽門鐵克研究人員從與中國有關聯的行為者身上發現的最先進的惡意軟體有強而有力的證據顯示,惡意軟體 Backdoor.Daxin 允許攻擊者在受感染的電腦上執行各種通信和資料收集作業,最近在 2021 年 11 月被與中國有關的攻擊者使用。大多數目標似乎是對中國具有戰略意義的組織和政府。此外,在部署 Daxin (*大新) 一些相同電腦上還發現與中國間諜行 為者有關的其他工具。 中國進階持續攻擊(APT) 駭客集團Antlion(* 蟻獅):以自訂義後門鎖定臺灣金融機構攻擊者在受害者網路上蟄伏了很長一段時間由中國政府所支持的進階持續攻擊 (APT) 駭客集團:Antlion (*蟻獅),在至少 18 個月的時間裡一直在針對臺灣的金融機構發動持續性攻擊行動。 攻擊者在受感染的系統上部署了一個我們稱為 xPack 自定義後門,這使他們能夠大規模存取受害的電腦。該行動的目標似乎是間諜活動,因為我們看到攻擊者從受感染的網路中擷取資料並傳出這些被擷取的資料。 烏克蘭:俄羅斯入侵之前的磁碟刪除網路攻擊在俄羅斯入侵前的幾個小時內,針對烏克蘭和該區域其他國家的目標部署破壞性惡意軟體在今天早上 (2月24日) 俄羅斯入侵之前不久,一種新形態的磁碟刪除惡意軟體 (Trojan.Killdisk) 被用來攻擊烏克蘭的組織。 賽門鐵克-博通-Broadcom 的企業安全部門亦發現針對立陶宛電腦的刪除器攻擊的證據,目標部門包括金融、國防、航空和 IT 服務部門的組織。 2021 年的全球網路威脅態勢回顧賽門鐵克深入探討影響這一年的網路安全趨勢從不斷演變的勒索軟體生態系統到針對關鍵基礎設施的攻擊,賽門鐵克回顧了影響及形成 2021 年的網路安全趨勢。博通(Broadcom)的企業安全部門--賽門鐵克一份最新白皮書,回顧 2021 年期間形成威脅格局的一些主要威脅。 勒索軟體可以說是 2021 年組織面臨的最重大威脅,一些勒索軟體運營商退出,新的運營商進入,並且改進商業模式和戰術,在在顯示目標式勒索軟體已進入完全競爭並且比以往任何時 候都更有利可圖。 針對中東和亞洲電信組織的間諜行動暫定與伊朗支持的Seedworm 駭客集團有關聯在過去六個月中,最有可能與伊朗有關的攻擊者,一連串攻擊了中東和亞洲的電信運營商,此外還有一些資訊科技 (IT) 服務組織和一家公 用事業公司。 在大多數攻擊中,感染媒介是未知的。僅在一個目標上發現可能載體的證據。可疑的Screen Connect 安裝程式 MSI 似乎已以名為「特殊折扣計劃.zip」壓縮檔交付,這表明它以魚叉式網路釣魚電子郵件的形式到達。 Noberus:基於Rust的新勒索軟體的複雜性新的勒索軟體,ConnectWise 可能是感染媒介Noberus 是一個與眾不同的勒索軟體,因為它是使用 Rust 程式語言來撰寫,這是我們第一次看到使用這種程式語言撰寫,專業等級的全新勒索軟體已經進行實際的攻擊。Noberus 似乎執行現在典型的雙重勒索軟體攻擊,他們首先從受害者網路竊取資訊,然後再加密檔案。Noberus 將.sykffle 副檔名新增到被加密檔中。 Apache Log4j 零時差漏洞已被開採Apache 軟體基金會發布了針對 Log4j 中第三個漏洞的修補程式Apache Log4j 被發現了一個零時差漏洞(CVE-2021-44228),如果利用該漏洞,遠端攻擊者可以在有漏洞的系統上執行任意程式碼。此漏洞的攻擊代碼(稱為 Log4Shell)已被公開分享,多個攻擊者已經在嘗試利用此漏洞。 Symantec Endpoint Protection 的全新安全增強功能端點用戶獲得增強的安全性和作業系統支持安全世界不斷變化,有時比您想要的更快。人們現在可以在任何地方工作,不僅僅是在公司總部。自攜裝置(BYOD)已將數十億台設備添加到企業生態系統中。 作為地端、混合架構或雲端解決方案,單一代理程式的賽門鐵克端點平台可保護您的所有傳統和行動端點設備,並使用人工智慧(AI)優化安全決策。統一的雲端管理系統簡化了針對您的端點所有進階威脅的保護、偵測和回應。 攻擊者正在如何取得您的網路控制權賽門鐵克幫助您為您和您的客戶捍衛網路邊界阻止攻擊者進入組織總比一旦他們進入組織就被抓住更可取。因為解決問題的成本遠遠高於預防的成本。不用說,防護勝於偵測。有效的防護需要了解攻擊者如何試圖進入內部。但是攻擊媒介受歡迎度忽高忽地。了解當前趨勢至關重要。 通常很難確定攻擊者究竟是如何獲得對受感染網路的初始存取權限的。作為博通的企業安全部門,賽門鐵克將繼續積極監控攻擊者用來保護我們客戶組織和網路安全的感染媒介。 BlackMatter(*黑物質):被用於先進攻擊的創新資料滲透工具自訂工具的開發指出了勒索軟體攻擊者正試圖提高攻擊速度這是繼早些時候發現與 LockBit 勒索軟體營運相關 Ryuk 竊盜工具和稱為 StealBit 新增竊密功能的進化版後,勒索軟體運營商第三次開發的自定義資料滲透工具。 巴西近100 個組織成為銀行木馬的目標這種活動對拉丁美洲的組織和個人來說是一個持續的威脅行動似乎是 2020 年 ESET 研究人員所發佈的活動之延續。攻擊者似乎沒有因身分曝光而收斂,賽門鐵克(現為全球最大網通晶片公司-博通-BroadCom 的 ESD 企業安全部門)在最近的攻擊中發現了大量全新的入侵指標(IOC)。 新的間諜行動瞄準東南亞瞄準國防、醫療保健和資通(ICT)行業攻擊者採用的初始感染媒介仍然未知。嘗試入侵的最早跡象是一個載入器,它從 .dat 檔案解密並載入。 至少有兩個不同的檔案名稱:sdc-integrity 和 scs-integrity,載入器還從解密的有效籌載中呼叫 DumpAnalyze 輸出。 當今的史普尼克號人造衛星:勒索軟體博通/賽門鐵克評估新法規以改善國家網路安全這些攻擊和類似攻擊之所以成為集體人造衛星的原因,是它們如何引起公眾對勒索軟體態度的改變。在疫情之前,勒索軟體並不是多數人聽到或談論的話題。 這些攻擊和類似攻擊之所以成為集體人造衛星的原因,是它們如何引起公眾對勒索軟體態度的改變。在疫情之前,勒索軟體並不是多數人聽到或談論的話題。今天,它是我們日常詞彙的一部分。殖民油管攻擊以非常感同身受的體驗,向我們展示了勒索軟體攻擊如何引發廣泛的破壞,這並不只限於美國。 Harvester(* 收割者):民族國家支持團體使用新的工具集來瞄準南亞前所未見的攻擊組織針對IT,電信和政府部門的受害者發動間諜行動該組織在其攻擊中使用了自定義惡意軟體和公開可用的工具。鎖定行業包括電信、政府和資訊技術。這些工具功能、它們客製化開發及針對的受害者,都表明 Harvester 是一個由民族國家支持的參與者。 LockFile:勒索軟體使用微軟Windows 伺服器存在的PetitPotam 漏洞前所未見的新型勒索軟體至少已經攻擊了10 個組織,而且還在持續進行著。似乎是一個全新的勒索軟體家族,正被用來攻擊全球各行各業的受害者。 有徵兆顯示,攻擊者透過 Microsoft Exchange Server 獲得對受害者網路的存取權限,然後使用未完全修補的 PetitPotam 漏洞存取網域控制器,然後在整個網路中傳播。目前尚不清楚攻擊者如何獲得對 Microsoft Exchange Server 的初始存取權限。 關於Kaseya 勒索軟體供應鏈攻擊:您所應該知道的事針對用於向數百個組織提供REvil 勒索軟件的MSP 軟體的供應鏈攻擊在涉及Kaseya VSA軟體和使用它的多個託管服務提供商(MSP)的供應鏈攻擊中,數百個組織成為REvil(又名Sodinokibi)勒索軟體的目標。 7月3日(五)爆出攻擊的消息,促使Kaseya公司建議其VSA客戶關閉他們的VSA伺服器以防止受到損害。這次攻擊的時間又恰逢美國7月4日的假期週末,所以有許多組織可能人員不足。 賽門鐵克端點上的網路保護技術有何過人之處了解入侵保護系統 (IPS)您可能不知道,我們端點防護/端點安全產品線中的入侵防護系統(IPS) 技術有許多經長期實證的好效益。 IPS 於 2003 年被加入我們的防毒軟體中,啟動我們端點防護產品第一次的重大技術創新,以至於我們更改了產品的名稱以反映 IPS 的導入。 |
||||||||||||||||||||||||||||||||