2月19日美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、各州資訊共享及分析中心(MS-ISAC)聯合針對勒索軟體Ghost(也被叫做Cring)的威脅態勢提出警告,指出該勒索軟體的危害範圍橫跨70個國家,包含關鍵基礎設施相關的企業組織等各行各業都有受害的情形,且在1月有相關資安事故傳出。(編按:此份公告未列出受影響國家名單,所以無法確定臺灣是否受害)
該勒索軟體背後的駭客來自中國,主要的目的是為了得到經濟利益,相關攻擊行動最早可追溯至2021年初。這些駭客專門鎖定在網際網路運作的各種線上服務,尋找執行舊版軟體或韌體的系統下手,利用已知漏洞入侵伺服器。
這些漏洞包括:Adobe ColdFusion的外部實體(XXE)注入漏洞CVE-2009-3960、資料夾穿越漏洞CVE-2010-2861(CVSS風險評分為6.5、9.8),Fortinet防火牆作業系統FortiOS路徑穿越漏洞CVE-2018-13379(風險值9.8),微軟SharePoint遠端程式碼執行漏洞CVE-2019-0604(風險值9.8),以及Exchange安全功能繞過漏洞CVE-2021-31207、遠端程式碼執行漏洞CVE-2021-34473、權限提升漏洞CVE-2021-34523(風險評為6.6至9.8,統稱為ProxyShell)。
一旦成功利用漏洞,駭客就會上傳Web Shell,然後部署Cobalt Strike Beacon,竊取處理程序使用的Token,藉此冒充SYSTEM使用者提升權限。
除此之外,這些駭客也會利用可公開取得的工具嘗試提升權限,這些工具包括:SharpZeroLogon、SharpGPPPass、BadPotato,以及GodPotato。
為了迴避偵測,攻擊者也利用Cobalt Strike確認受害主機部署的防毒軟體,然後將其停用。
在偵察的活動裡,他們也同樣運用能公開取得的工具。駭客先是下達Cobalt Strike命令調查網域使用者的帳號,並透過名為SharpShares、Ladon 911、SharpNBTScan的工具,找出網路共用資料夾和其他遠端系統。
Ghost也藉由公用程式WMIC執行PowerShell命令,從而在受害組織的網路環境橫向移動,最終將電腦的檔案加密。
在加密檔案之前,這些駭客通常會利用雲端檔案共享服務Mega及Web Shell將資料外流,而且多半只針對智慧財產或是個人識別資訊(PII)等有價值的資料下手,但FBI也有看到利用Cobalt Strike Team Server下載資料的情況。但關於外洩規模的敘述,CISA只提及資料量是有限的,以及典型的資料外洩規模低於數百GB。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2025-02-18
2025-02-18
2025-02-14