Fortinet最新發現:國家級駭客、勒索軟體與零日漏洞大舉入侵政府與企業

<Fortinet台北訊> FortiGuard Labs 近期發布最新的威脅情資報告—聯合網路安全警示,這份報告特別提到一場由俄羅斯情報局第85主要特種勤務中心(GTsSS)26165軍事部隊發起的攻擊行動。這場為期將近兩年的攻擊活動利用Kubernetes叢集對全球多個實體進行暴力攻擊,有多個政府機構與私人企業受害。Fortinet分析,除了由國家級駭客組織所發起的資安攻擊行動,政府機構和企業也經常遭到勒索軟體和其他遠端程式碼執行(Remote Code Execution,RCE)零日(Zero-day)漏洞攻擊。

聯合網路安全警示由美國的國家安全局(NSA)、網路安全性及基礎架構安全局(CISA)、聯邦調查局(FBI)與英國的國家網路安全中心(NCSC)所聯合發布的,公布俄國軍事情報局(GRU)針對全球機構發動暴力攻擊(brute force attack)。

國家級駭客組織不斷侵害破壞企業及雲端環境

聯合網路安全警示提出多項GTsSS執行任務時所採用的戰略技術流程。據觀察,GTsSS會使用密碼噴灑(Password Spraying)攻擊入侵目標網路,接著橫向移動擴散,再從外洩資料中竊取存取帳密,進行深入偵查,HTTP(S)、IMAP(S)、POP3與NTLM等通訊協定也是駭客鎖定的目標。獲得存取權後,這些駭客會採取進一步行動,例如透過橫向移動擴散接近目標。駭客也利用CVE 2020-0688(Microsoft Exchange驗證金鑰遠端程式碼執行漏洞)與CVE 2020-17144(Microsoft Exchange遠端程式碼執行漏洞)。遭到駭客惡意利用的Kubernetes叢集,會透過商業VPN與TOR服務混淆攻擊者的來源以及他們的來源IP位址。

Fortinet新發現:全新勒索軟體Diavol

FortiEDR於6月初阻止了一場對Fortinet客戶發起的勒索軟體攻擊。Fortinet深入調查Diavol這款新興勒索軟體的內部運作方式後,認為這款勒索軟體可能出自犯罪集團Wizard Spider之手,因為Diavol使用的指令列參數與Conti幾乎相同,而且也用於執行相同功能,包括記錄檔案、加密本機磁碟或網路共用磁碟,以及掃描網路共用的特定主機。

此外,Diavol與Egregor勒索軟體之間或許也有關聯,因為支付贖金的說明檔案中有幾行完全相同。有些人認為操縱Conti的駭客集團Wizard Spider與操縱Egregor的駭客集團Twisted Spider之間有關聯,據傳這兩個犯罪集團在多種攻擊行動中都會合作,而且皆因會對受害者進行雙重勒索(透過竊取及加密資料)而惡名昭彰。

儘管目前仍未查出駭客的入侵來源,但攻擊者所使用的參數以及寫死的編碼配置中出現的錯誤,都顯示Diavol是駭客的新攻擊工具,且他們尚未完全習慣使用這些工具。在駭客進行攻擊的過程中,Fortinet在網路裡找到了更多名為locker.exe的Conti酬載,提高幕後黑手正是Wizard Spider的可能性。儘管Diavol、Conti與其他相關勒索軟體有一些相似之處,Fortinet尚無法確定這些勒索軟體之間的直接關聯。

Fortinet針對微軟PrintNightmare漏洞推出IPS特徵值

除了最新的勒索軟體攻擊,FortiGuard Labs也留意到微軟Windows列印多工緩衝處理器的新發現零日漏洞報告中的問題。一般認為該漏洞的問題來自CVE-2021-1675(Windows列印多工緩衝處理器遠端程式碼執行漏洞),微軟亦在其2021年6月的週二修補日公布。然而,最新發現的漏洞似乎可能是該漏洞的變形或另一個新漏洞。微軟目前尚未發表任何公開聲明證實這個說法。

低階的已驗證使用者或者擁有這類憑證的駭客,可以透過目前這種型態的漏洞輕鬆從「系統」層級奪佔目標伺服器,進行各種攻擊,包括但不限於完全掌控系統、部署惡意軟體等等。Fortinet提醒,這些發現或許與CVE-2021-1675無關,因為有多次透過公開來源情報(Open Source Intelligence,OSINT)管道進行的對話表示這可能是全新的漏洞。

目前還不知道哪些版本的Windows會受到這個漏洞的影響,但MimiKatz的開發者Benjamin Delpy證實2021年6月8日釋出的Windows 10版本更新2021-KB5003646(作業系統組建17763.1999)很容易因此漏洞受到攻擊。

即使在沒有獲得事前相關資訊或進行特殊設定的情況下,FortiEDR也能在偵測到Diavol與Conti勒索軟體攻擊後,立即加以阻擋。FortiEDR利用執行後防護引擎來辨識加密檔案或清除陰影副本等惡意活動,再即時予以封鎖。此外,Fortinet亦立即將該次威脅的詳細資訊分享給其他資安威脅聯盟(Cyber Threat Alliance)成員,協助聯盟成員為全球用戶建立更有保障的防護措施。

針對微軟#PrintNightmare零日遠端程式碼執行漏洞,Fortinet建議各企業組織務必評估已知用於執行Windows Print Spool服務的裝置是否可用,尤其是可暫時停用的網域控制站,包含阻隔TCP連接埠135(RPC)與445(Spooler SMB)。此漏洞很可能對企業的日常營運和商譽帶來損害,例如在非預期情況下發布資料、干擾企業營運等等,因此各企業組織務必確保所有AV與IPS特徵值均為最新版本。

FortiGuard研發中心台灣區經理林樂表示,建議各企業須持續舉辦訓練課程,教導並告知職員最新的網路釣魚/魚叉式網路釣魚攻擊,同時也勸導員工不要開啟寄件人不明的郵件中附加的檔案,針對未知及不信任寄件人所傳送的電子郵件亦須小心處理。駭客透過社交工程散布機制進行各種網路釣魚/魚叉式網路釣魚攻擊的事件屢見不鮮,讓企業內終端使用者了解各種類型攻擊成為當務之急。舉例來說,企業可以使用內部資訊安全部門預先製作範本舉辦定期訓練課程或突擊測驗,以簡單的使用者警覺訓練,教導使用者辨別帶有惡意附件或連結的電子郵件,也有助於防範駭客入侵網路。