編譯／鄭智懷 Microsoft追蹤受德黑蘭當局支持的駭客組織Mint Sandstorm—過去又稱PHOSP …

編譯／鄭智懷

Microsoft追蹤受德黑蘭當局支持的駭客組織Mint Sandstorm—過去又稱PHOSPHORUS—近期行動發現，正轉向直接攻擊美國關鍵基礎設施（CI），所使用的工具、技術與程序（TTP）也正逐漸改變，破壞力、攻擊速度及範圍隨之同步提升。

研究團隊指出，Mint Sandstorm由2021年年底至2022年的行動變化可能是德黑蘭當局為了報復在2020年5月至2021年10月期間，國內港口、鐵路與加油站等公共設施因網路攻擊而中斷或崩潰。分析指出，該駭客組織已經由過去以偵查為主，轉為直接攻擊美國關鍵基礎設施如海港、能源產業、運輸系統、主要公共設施和天然氣公司。

至於在工具、技術與程序上，首先要注意的是Mint SandstormN搜尋並武器化已知安全漏洞的速度明顯加快。過去，該組織的團隊至少要花上數周的時間才能找到如何運用Proxyshell和Log4Shell等漏洞的方法；但在2023年1月，僅用一天和五天的時間，就各自解決Zoho ManageEngine與 Aspera Faspex漏洞的技術障礙，並投入實際運用。

據Microsoft觀察，Mint Sandstorm所使用的自製惡意程式主要有三款，分別為Soldie、Drokbk與CharmPower。前兩者可以透過原始碼代管服務平台GitHub登入命令與控制網域（Command-and-Control Domain），更新基礎設施；第三者則用來發動對歐美國家及以色列的安全與政策圈相關人士的魚叉式網路釣魚（Spear Phishing）行動，遠端控制受害者被感染的設備並竊取其中資料。

團隊警告，基於Mint Sandstorm已經掌握隱藏命令與控制通訊技術，可以在受害者未察覺的前提下，持續維持與擴大對被感染設備的控制，該組織未來的威脅性也會不斷提升，值得各界追蹤與觀察，以防止進一步的攻擊。

資料來源：Microsoft

這篇文章 Microsoft：伊朗駭客組織轉向攻擊美國關鍵基礎設施 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 雲端服務業者Google Cloud在本月稍早發布的最新一期《威脅視野》（Threat　Hori …

編譯／鄭智懷

雲端服務業者Google Cloud在本月稍早發布的最新一期《威脅視野》（Threat　Horizons）揭露，中國駭客組織APT41曾於2022年10月利用釣魚郵件，將公司旗下的開源紅隊工具Google Command and Control（GC2）植入台灣某家不具名媒體員工的電腦，竊取其中資料。同年七月，APT41也曾使用同樣的手法攻擊某義大利求職網站。

報告指出，在該起被Google旗下的威脅分析小組（TAG）挫敗的行動中，APT41利用釣魚郵件引誘受害者點擊一個可以從Google Drive下載具密碼保護的檔案，藉此植入紅隊工具GC2。該程式一旦安裝完畢，就會開始從Google 試算表獲取攻擊者命令，執行竊取感染設備中的資料並回傳至Google Drive儲存之動作，或是下載其他惡意軟體，擴大對受害者系統的控制與感染程度。

根據各界研究結果，APT41在受害者設備植入的惡意軟體類型十分多元。但是，本次最新報告並未點名該駭客組織透過GC2散播的惡意軟體確切種類與名稱。

執筆人提到，本起行動凸顯中國駭客組織攻擊手法的兩大新趨勢：第一，攻擊者轉向使用如Cobalt Strike與GC2等公開軟體工具，而非自製程式；第二，鑒於程式語言Go的靈活性以及由其編寫的軟體具有模組化的特點，基於Go所開發的軟體愈加受到攻擊者青睞。

至於在目標上，本次攻擊台灣媒體的行動顯示中國駭客組織將持續鎖定與公部門有關聯的私部門。

報告還強調，雲端服務的高價值不可避免地使其成為網路犯罪者與國家支持的行為者之重點目標：要不淪為惡意軟體宿主，就是成為惡意中繼站的基礎設施。

資料來源：Google Cloud

這篇文章 Google Cloud：中國駭客組織攻擊台灣媒體 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 美國資安業者Mandiant在最新報告中揭露自2018年出現，並持續成長的新北韓駭客組織APT4 …

編譯／鄭智懷

美國資安業者Mandiant在最新報告中揭露自2018年出現，並持續成長的新北韓駭客組織APT43之惡意活動，以及該組織的特徵。目前，Mandiant已經將APT43列為具進階持續性滲透攻擊（APT）能力的駭客組織。

Mandiant指出，APT43的行動重點主要是收集平壤當局關注的戰略性情報、可用於攻擊行動的安全憑證等。據悉，該組織收集的情報內容大多與北韓情報機構「偵察總局」（RGB）的情蒐重點有高度重疊。

在攻擊目標上，APT43的攻擊行動集中在美國、日本、南韓，以及比利時、挪威和瑞典等歐洲國家；情蒐的議題內容專注於上述國家的政府機構、大學與智庫等研究單位的外交政策與核安全政策，以及相關研究。

值得一提的是，在COVID-19大流行期間—特別是2021年，APT43專注於收集上述國家的衛生部門之情報。論者認為可能是為了協助平壤當局針對疫情制定應對措施。

就攻擊手法而言，APT43被形容為具有「中度複雜的技術能力和積極的社會工程策略」的駭客組織。

其發起的攻擊活動以魚叉式網路釣魚，以及偽造網站和電子郵件等社會工程為主，並未出現以零時差漏洞進行攻擊的案例。

另一方面，APT43的行動重點還包含透過租用加密貨幣挖礦服務，將盜取的加密貨幣洗白。不過，其執行不法經濟活動的目的與傳統北韓駭客組織不同。後者的目的是為了給平壤當局帶來可觀的資金，支持中央制定的國家戰略；前者的目標則是維持自身營運所需，例如購買硬體與基礎設施。

對此，Mandiant分析師Michael Barnhart評論，儘管APT43也帶有北韓駭客組織之間會臨時合作與分享有限資源的共同點，但其仍展現出獨特之處。另一名分析師Joe Dobson形容APT43就像「一個全新的生態系統」。

資料來源：Mandiant、BankInfoSecurity

這篇文章 新北韓駭客組織APT43崛起　主打情蒐與洗錢 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 芬蘭網路安全公司 WithSecure最新發表的資安報告指出，北韓駭客組織Lazarus在202 …

編譯／鄭智懷

芬蘭網路安全公司 WithSecure最新發表的資安報告指出，北韓駭客組織Lazarus在2022年8月開始利用協作平臺Zimbra的伺服器中未修補的安全漏洞，攻擊印度民間研究機構與企業。目前已知有三個組織成為攻擊事件的受害者。

根據研究團隊蒐集的數據顯示，攻擊的目標為印度不具名的醫療保健研究機構、某研究型大學的化學工程系，以及一家涉足能源、國防和醫療保健領域應用的製造商。而其中一家受害組織提到，駭客組織在2022年第三季發起的攻擊竊取了約100GB的資料；不過，入侵行動並未造成任何設備或系統的破壞。

WithSecure在報告中提到，駭客組織Lazarus在2022年8月透過協作平臺Zimbra伺服器中存在已久，卻並未被修補的安全漏洞CVE-2022-27925 和 CVE-2022-37042，取得該公司的網路存取權限。據悉，上述兩個安全漏洞可能被駭客組織用於在實體伺服器上執行遠端程式。這也使得攻擊者可以獲取敏感資料。

而在2022年10月開始的下一步行動中，駭客組織Lazarus部署了新版的 GREASE和Dtrack等木馬程式。前者被各界普遍認為出自另一個北韓駭客組織 Kimsuky之手，具有創立開啟遠端桌面協定（RDP）管理員權限，並且繞過防火牆的功能；後者則被廣泛用於攻擊各種垂直產業（vertical industry），以及出於經濟動機而使用Maui 勒索軟體的網路攻擊行動。

報告撰寫人Sami Ruohonen 和 Stephen Robinson指出，在2022年11月初監測到命令和控制伺服器啟動後，隨即在該月5月至11日之間竊取目標的資料。

此外，兩名研究員還發現，駭客組織Lazarus還利用了Plink 和 3Proxy等程式工具在受害者設備上建立代理伺服器（proxy），與另一家資安業者思科（Cisco）稍早對該組織針對能源商發起的攻擊行動之調查結果相呼應。

資料來源：WithSecure

這篇文章 北韓駭客攻擊印度民間研究機構與企業 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 資安業者CrowdStrike近期揭露，在2022年襲擊了130多家組織的駭客組織0ktapus …

編譯／鄭智懷

資安業者CrowdStrike近期揭露，在2022年襲擊了130多家組織的駭客組織0ktapus重出江湖，將攻擊目標鎖定科技與電子遊戲公司。

據資安報告指出，駭客組織0ktapus又被稱作Scattered Spider、Roasted 0ktapus，是一隻以網路釣魚（phishing）與社會工程（social engineering）手法攻擊科技與遊戲公司，竊取其員工多重身分驗證（MFA）。

根據統計，0ktapus在2022年的攻擊行動破壞了130多家組織，並竊取了將近一萬名受害組織員工的安全憑證。

CrowdStrike在未公開的報告中指出，由於缺乏直接從0ktapus取得的資料，因此對該組織的了解有限。

該報告表示，0ktapus已經在2023年1月重新開始部署網路釣魚網站，並且在保持對業務流程委外（BPO）服務公司、通訊業等傳統的主要目標關注的同時，未來可能把攻擊對象擴大至科技與電子遊戲公司。

儘管調查結果並不清楚0ktapus是否參與最近對遊戲開發商Riot Games的攻擊，報告列出的網路釣魚網站清單中，具有一個針對該遊戲業巨頭設計的偽造網站網址。清單中還出現了假冒如Intuit、Salesforce、Comcast、Grubhub、Roblox、Zynga、TaskUs等大型科技、遊戲與業務流程委外公司的網路釣魚網站網址。

此外，報告還提到，0ktapus的網路釣魚網站主要模仿對象為獨立身份識別提供商0kta的客戶；少部分則是針對微軟（Microsoft）。

除了Salesforce以外，上述在報告中被指稱其網站遭到駭客組織模仿的各大公司並未對報告的發表任何評論。Salesforce發言人Allen Tsai在回覆媒體的信件中表示，公司「了解並監控整個行業的網路釣魚活動」；同時，「沒有跡象表明出現如報告中所述，未經授權者存取了客戶數據的現象。」

資料來源：TechCrunch

這篇文章 <a>駭客組織0ktapus</a>捲土重來  科技與遊戲公司成主要目標 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 《路透社》與五名資安專家共同調查指出，俄羅斯駭客組織「冷河」（Cold River）在2022年 …

編譯／鄭智懷

《路透社》與五名資安專家共同調查指出，俄羅斯駭客組織「冷河」（Cold River）在2022年夏天鎖定美國三座國家核子實驗室，偽造登入頁面，並發送電子研究給科學家，企圖竊取內部密碼等個資。

《路透社》報導，「冷河」在2022年八月至九月之間，針對勃羅克哈文國家實驗室（BNL）、阿戈尼國家實驗室（ANL），與勞倫斯利佛摩國家實驗室（LLNL）等3座美國核子研究實驗室發動網路攻擊，以迫使內部員工透露密碼。

目前，尚不清楚為何上述實驗室成為「冷河」的目標，以及該駭客組織是否成功入侵，竊取任何機密資料。勃羅克哈文國家實驗室與勞倫斯利佛摩國家實驗室拒絕回應任何問題；阿戈尼國家實驗室則將問題轉交美國能源部（Department of Energy），後者則拒絕回應。

根據資安專家與西方政府官員指出，俄烏戰爭爆發以來，「冷河」大幅提升對親烏克蘭國家的網路攻擊強度。而三家美國國家核子實驗室遭駭的時間，恰好與聯合國（UN）專家展開烏克蘭札波羅熱（Zaporizhzhia）核電廠遭砲擊，評估該設施是否可能有輻射外洩風險的的調查行動時間吻合。

報導指出，「冷河」在2016年發動對英國外交部的網路攻擊事件後首次為人所知，近年來還參與多起網路攻擊行動，堪稱代表性的俄羅斯駭客組織。資安公司CrowdStrike表示，「冷河」直接支持俄羅斯國家情報單位的運作。

美國國家安全局（NSA）一直以來拒絕回應外界有關「冷河」的問題；英國政府通訊總部（GCHQ）與外交部也同樣拒絕透露「冷河」的任何訊息。

資料來源：Reuters

這篇文章 俄駭客組織竊個資  鎖定美國三座國家核子實驗室 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。