Skip to content Skip to navigation Skip to footer

最新消息

Fortinet最新發現:國家級駭客、勒索軟體與零日漏洞大舉入侵政府與企業 強化端點防護與定期軟體更新刻不容緩

台北報導 - 2021年7月7日
-

 

FortiGuard Labs 近期發布最新的威脅情資報告,分享關於美國的國家安全局(NSA)、網路安全性及基礎架構安全局(CISA)、聯邦調查局(FBI)與英國的國家網路安全中心(NCSC)所發布的 聯合網路安全警示,公布俄國軍事情報局(GRU)針對全球機構發動暴力攻擊(brute force attack)。這份報告特別提到一場由俄羅斯情報局第 85 主要特種勤務中心(GTsSS)26165 軍事部隊發起的攻擊行動。這場為期將近兩年的攻擊活動利用 Kubernetes 叢集對全球多個實體進行暴力攻擊,有多個政府機構與私人企業受害。Fortinet分析,除了由國家級駭客組織所發起的資安攻擊行動,政府機構和企業也經常遭到勒索軟體和其他遠端程式碼執行(Remote Code Execution,RCE)零日(Zero-day)漏洞攻擊。

國家級駭客組織不斷侵害破壞企業及雲端環境

聯合網路安全警示提出多項 GTsSS 執行任務時所採用的戰略技術流程。據觀察,GTsSS 會使用密碼噴灑(Password Spraying)攻擊入侵目標網路,接著橫向移動擴散,再從外洩資料中竊取存取帳密,進行深入偵查,HTTP(S)、IMAP(S)、POP3 與 NTLM 等通訊協定也是駭客鎖定的目標。獲得存取權後,這些駭客會採取進一步行動,例如透過橫向移動擴散接近目標。駭客也利用了 CVE 2020-0688 (Microsoft Exchange 驗證金鑰遠端程式碼執行漏洞)與 CVE 2020-17144(Microsoft Exchange 遠端程式碼執行漏洞)。遭到駭客惡意利用的 Kubernetes 叢集,會透過商業 VPN 與 TOR 服務混淆攻擊者的來源以及他們的來源 IP 位址。

Fortinet 新發現:全新勒索軟體 Diavol

FortiEDR 於 6 月初阻止了一場對 Fortinet 客戶發起的勒索軟體攻擊。Fortinet 深入調查 Diavol 這款新興勒索軟體的內部運作方式後,認為這款勒索軟體可能出自犯罪集團 Wizard Spider 之手,因為 Diavol 使用的指令列參數與 Conti 幾乎相同,而且也用於執行相同功能,包括記錄檔案、加密本機磁碟或網路共用磁碟,以及掃描網路共用的特定主機。此外,Diavol 與 Egregor 勒索軟體之間或許也有關聯,因為支付贖金的說明檔案中有幾行完全相同。有些人認為操縱 Conti 的駭客集團 Wizard Spider 與操縱 Egregor 的駭客集團 Twisted Spider 之間有關聯,據傳這兩個犯罪集團在多種攻擊行動中都會合作,而且皆因會對受害者進行雙重勒索(透過竊取及加密資料)而惡名昭彰。

儘管目前仍未查出駭客的入侵來源,但攻擊者所使用的參數以及寫死的編碼配置中出現的錯誤,都顯示 Diavol 是駭客的新攻擊工具,且他們尚未完全習慣使用這些工具。在駭客進行攻擊的過程中,我們在網路裡找到了更多名為 locker.exe 的 Conti 酬載,提高了幕後黑手正是 Wizard Spider 的可能性。儘管 Diavol、Conti 與其他相關勒索軟體有一些相似之處,Fortinet 尚無法確定這些勒索軟體之間的直接關聯。

Fortinet 針對微軟 PrintNightmare 漏洞推出 IPS 特徵值

除了最新的勒索軟體攻擊, FortiGuard Labs 也留意到微軟 Windows 列印多工緩衝處理器的新發現零日漏洞報告中的問題。一般認為該漏洞的問題來自 CVE-2021-1675(Windows 列印多工緩衝處理器遠端程式碼執行漏洞),微軟亦在其2021 年 6 月的週二修補日公布。然而,最新發現的漏洞似乎可能是該漏洞的變形或另一個新漏洞。微軟目前尚未發表任何公開聲明證實這個說法。低階的已驗證使用者或者擁有這類憑證的駭客,可以透過目前這種型態的漏洞輕鬆從「系統」層級奪佔目標伺服器,進行各種攻擊,包括但不限於完全掌控系統、部署惡意軟體等等。Fortinet提醒,這些發現或許與 CVE-2021-1675 無關,因為有多次透過公開來源情報(Open Source Intelligence,OSINT)管道進行的對話表示這可能是全新的漏洞。

目前還不知道哪些版本的 Windows 會受到這個漏洞的影響,但 MimiKatz 的開發者 Benjamin Delpy 證實了2021年6月8日釋出的 Windows 10 版本更新 2021-KB5003646 (作業系統組建 17763.1999)很容易因此漏洞受到攻擊。

Fortinet 端點解決方案全面圍堵勒索病毒惡意攻擊

即使在沒有獲得事前相關資訊或進行特殊設定的情況下,FortiEDR 也能在偵測到 Diavol 與 Conti 勒索軟體攻擊後,立即加以阻擋。FortiEDR利用執行後防護引擎來辨識加密檔案或清除陰影副本等惡意活動,再即時予以封鎖。此外,Fortinet亦立即將該次威脅的詳細資訊分享給其他資安威脅聯盟( Cyber Threat Alliance )成員,協助聯盟成員為全球用戶建立更有保障的防護措施。

針對微軟 #PrintNightmare 零日遠端程式碼執行漏洞,Fortinet 建議各企業組織務必評估已知用於執行 Windows Print Spool 服務的裝置是否可用,尤其是可暫時停用的網域控制站,包含阻隔 TCP 連接埠 135(RPC)與 445(Spooler SMB)。此漏洞很可能對企業的日常營運和商譽帶來損害,例如在非預期情況下發布資料、干擾企業營運等等,因此各企業組織務必確保所有 AV 與 IPS 特徵值均為最新版本。

FortiGuard 研發中心台灣區經理林樂表示:「建議各企業須持續舉辦訓練課程,教導並告知職員最新的網路釣魚/魚叉式網路釣魚攻擊,同時也勸導員工不要開啟寄件人不明的郵件中附加的檔案,針對未知及不信任寄件人所傳送的電子郵件亦須小心處理。駭客透過社交工程散布機制進行各種網路釣魚/魚叉式網路釣魚攻擊的事件屢見不鮮,讓企業內終端使用者了解各種類型攻擊成為當務之急。舉例來說,企業可以使用內部資訊安全部門預先製作範本舉辦定期訓練課程或突擊測驗,以簡單的使用者警覺訓練,教導使用者辨別帶有惡意附件或連結的電子郵件,也有助於防範駭客入侵網路」。

更多資訊

 

關於Fortinet ( www.fortinet.com/tw )

Fortinet(NASDAQ: FTNT)致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的可視性與控制力,以因應日趨擴大的攻擊範圍,並滿足今日與未來不斷增長的效能需求。唯有Fortinet安全織網(Security Fabric)能解決最嚴苛的安全挑戰,為網路、應用程式、多雲或邊緣環境中的數位基礎架構提供滴水不漏的資料防護。Fortinet的資安設備出貨量在全球排名第一,並深受全球44萬多名客戶的信任。Fortinet網路資安專家(Network Security Expert,NSE)研究院不只是科技公司,也是教育機構,提供業界最完整的資安培訓課程。Fortinet 於 2020 年在Gartner 網路防火牆(Network Firewalls)魔力象限與廣域網路邊緣(WAN Edge)基礎架構魔力象限皆被評選為領導者。如需更多資訊,請至 Fortinet 台灣官網YouTube LINE@Fortinet部落格 與 FortiGuard 實驗室

FTNT-O

Copyright © 2021 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet’s trademarks include, but are not limited to, the following: Fortinet, the Fortinet logo, FortiGate, FortiOS, FortiGuard, FortiCare, FortiAnalyzer, FortiManager, FortiASIC, FortiClient, FortiCloud, FortiCore, FortiMail, FortiSandbox, FortiADC, FortiAI, FortiAP, FortiAppEngine, FortiAppMonitor, FortiAuthenticator, FortiBalancer, FortiBIOS, FortiBridge, FortiCache, FortiCam, FortiCamera, FortiCarrier, FortiCASB, FortiCenter, FortiCentral,FortiConnect, FortiController, FortiConverter, FortiCWP, FortiDB, FortiDDoS, FortiDeceptor, FortiDirector, FortiDNS, FortiEDR, FortiExplorer, FortiExtender, FortiFone, FortiHypervisor, FortiInsight, FortiIsolator, FortiLocator, FortiLog, FortiMeter, FortiMoM, FortiMonitor, FortiNAC, FortiPartner, FortiPortal, FortiPresence , FortiProtect, FortiProxy, FortiRecorder, FortiReporter, FortiScan, FortiSDNConnector, FortiSIEM, FortiSDWAN, FortiSMS, FortiSOAR, FortiSwitch, FortiTester, FortiToken, FortiTrust, FortiVoice, FortiVoIP, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS, and FortiWLM. 

所有其它提及之商標各歸其擁有者所有。Fortinet並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務

新聞聯絡人

霍夫曼公關

高楷婷 Hazel Kao 

hkao@hoffman.com 

+886-918-425-858 

 

霍夫曼公關

陳芷柔 Karen Chen

kchen@hoffman.com

+886-911-266-490

 

霍夫曼公關

楊凱豪 Howard Yang

hyang@hoffman.com

+886-988-536-306