奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態,並彙整解析全球網路威脅情資來源,提供客戶高品質情資報告。我們將每個月精選出二至三篇情資,整理成部落格與大家分享,有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息!
追蹤奧義智慧,隨時掌握最新資安動向
根據賽門鐵克 (Symantec) 研究,有相關證據顯示,名為 Cicada 的 APT 組織與針對 17 個地區與多種產業領域的攻擊事件有所關聯。
針對多個日本企業的大規模攻擊行動正在進行,其中,更包含了遍布全球多達 17 個地區的設備,參與在疑似情報蒐集的行動之中,此攻擊的規模與複雜程度,顯示其應來自較大且具豐沛資源的 APT 組織。博通 (Broadcom) 旗下的企業安全部門賽門鐵克 (Symantec) 研究後指出此波駭客行動的攻擊者應為 Cicada,常見別稱為 APT10、Stone Panda、Cloud Hopper。
Cicada 過去因攻擊與日本有所關聯的組織、以及曾針對 MSPs 發動攻擊而聞名,他們在這波攻擊行動中,使用了就地取材攻擊(Living-off-the-land attack,或稱離地攻擊)以及自製的惡意程式,而其中一個檔名為 Backdoor.Hartip 的自製惡意程式,賽門鐵克指出在過去的研究中是未曾見過的。
Cicada 透過不正常方式濫用了合法的雲端檔案託管服務以進行滲透,此外,他們亦在攻擊的不同階段中利用 DLL Side-loading 技術,包含用在載入前述提到的 Backdoor.Hartip 惡意程式等。研究更指出觀察到攻擊者正在開發針對 Zerologon 漏洞 (CVE-2020–1472) 的攻擊工具,詳細攻擊細節可參閱其研究報告。
閱讀奧義部落格,深入瞭解 Zerologon 漏洞與其成因:
三秒入侵 Windows AD:Zerologon 災難級漏洞的完整解析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[.]73.210.238
188[.]119.112.225
213[.]252.246.245
45[.]14.224.93
45[.]67.230.134
81[.]7.7.159
95[.]179.143.32
Writer: CyCraft
奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。