全部文章分享

         本文擷取自資安人

Sophos 於6月6日發布了《紅宮行動：威脅捕獵揭露鎖定東南亞的多個中國國家支持的活動集團》報告，詳細介紹了一場針對高階政府目標且持續近兩年的高度複雜間諜活動。在 Sophos X-Ops 於 2023 年開始的調查中，旗下託管式偵測和回應 (MDR) 團隊發現了針對同一組織的三個不同活動集團，其中兩個集團使用的策略、技術和程序 (TTP) 與知名中國國家支持的組織 (BackdoorDiplomacy、APT15 和 APT41 子集團 Earth Longzhi) 重疊。

攻擊者在這個行動中使用了多種惡意軟體和工具，以收集特定使用者的情報以及敏感的政治、經濟和軍事資訊，Sophos 將其命名為「紅宮行動」(Crimson Palace)。其中包括一種前所未見的惡意軟體，Sophos 將其稱為PocoProxy，是一種持續滲透工具。

Sophos 威脅捕獵和威脅情報主管 Paul Jaramillo 表示：「這些不同的集團似乎在為中國國家的利益服務，專門收集中國在南中國海戰略的軍事和經濟情報。在這次特定的行動中，我們相信這三個集團代表了不同的攻擊組織，它們在中央國家機器的指導下平行運作。在我們識別的三個集團之一——Alpha 集團中，看到惡意軟體和 TTP 與其他四個被舉發的中國威脅組織重疊。眾所周知，中國攻擊者會共用基礎架構和工具，這次最新的行動再次提醒我們這些組織是如何廣泛地共享彼此的工具和技術。

「隨著西方政府提高了對來自中國的網路威脅的警覺性，Sophos 揭露的重疊現象是一個重要的提醒。過度關注任何單一歸咎於中國駭客的行為，可能會使企業忽略這些組織如何協調運作的趨勢。透過掌握更大、更廣泛的全貌，企業可以更聰明地進行防禦。」

Sophos X-Ops 在 2022 年 12 月首次發現鎖定企業網路的惡意活動，當時揭露了一個來自中國威脅組織 Mustang Panda 的資料外洩工具。此後，MDR 團隊開始進行更廣泛的惡意活動捕獵。在 2023 年 5 月，Sophos X-Ops 威脅捕獵時發現了一個有弱點的 VMWare 可執行檔，經過分析，發現了遭鎖定網路中的三個不同活動集團：Bravo 集團、Charlie 集團和 Alpha 集團。

Alpha 集團活躍於 2023 年 3 月初到至少 2023 年 8 月期間，其部署了多種惡意軟體，專注於停用防毒保護、提升權限和進行偵察。其中包括升級版的 EAGERBEE 惡意軟體，而這與中國威脅組織 REF5961 有關。Alpha 集團還使用了與中國威脅組織 BackdoorDiplomacy、APT15、Worok 和 TA428 重疊的 TTP 和惡意軟體。

Bravo 集團僅在遭鎖定網路中活躍了三週，專注於橫向移動，透過受害者網路來側載名為 CCoreDoor 的後門程式。這個後門程式會建立外部通訊路徑、執行探索操作並外洩憑證。
Charlie 集團則活躍於 2023 年 3 月到至少 2024 年 4 月期間，專注於間諜活動和資料外洩。包括部署 PocoProxy：一個偽裝為 Microsoft 可執行檔的持續滲透工具，並建立與攻擊者的指揮和控制基礎架構的通訊。Charlie 集團著重於外洩大量敏感資料，包括軍事和政治文件，以及進一步存取網路的憑證/權杖。Charlie 集團的 TTP 與中國威脅組織 Earth Longzhi (APT41 的一個子集團) 重疊。與 Alpha 和 Bravo 集團不同的是，Charlie 集團仍在活躍中。

Jaramillo 表示：「我們在這次行動中看到的是在南中國海地區積極發展的網路間諜活動。我們發現了可能擁有無限資源的多個威脅組織，它們會針對同一高階政府組織進行數週或數月的攻擊，並會交互使用先進的自訂惡意軟體與公開可用的工具。它們能夠，並且仍然能夠自由地在一個組織中移動，以及經常更換工具。至少有一個活動集團仍然非常活躍，並試圖進行進一步的監視。

「有鑑於這些中國威脅組織經常重疊並共用工具，我們在這次行動中觀察到的 TTP 和新型惡意軟體有可能在全球其他歸因於中國的行動中再次出現。我們將繼續調查這三個集團，並與情報界分享我們的發現。」

       本文擷取自資安人

Sophos今天發布首份《2024 年託管服務提供商觀點》調查報告。報告發現，託管服務提供商 (MSP) 日常面臨的最大挑戰是跟上最新的網路安全解決方案/技術，39% 的受訪者反映了此一問題。除此之外，MSP 業者表示招募新的資安分析師來因應客戶成長和跟上最新的網路威脅，也是他們的主要挑戰之一。

調查還顯示，MSP 業者認為內部網路安全技能短缺，是對他們自身業務和客戶的最大網路安全風險。此外，他們認為被竊的資料、憑證以及未修補的漏洞，是對客戶造成最大安全風險的幾項因素。《2024 年勒索軟體現況報告》顯示，近三分之一 (29%) 的勒索軟體攻擊起始於遭竊的憑證，表明這是一個非常普遍的入侵途徑。

Sophos MSP 副總裁 Scott Barlow 表示：「網路安全戰場的創新速度不斷加快，意味著 MSP 將比以往更難跟上威脅，以及取得阻止這些威脅的網路防護。再加上全球技能短缺，使得許多 MSP 更難吸引和留住網路安全分析人才，因此他們覺得難以跟上不斷變化的威脅局勢並不令人意外。而且複雜度又因為客戶需要 24x7 全天候的防護而提高了。我們在《2023 年給科技領袖的主動攻擊者報告》中指出，91% 的勒索軟體攻擊是發生在下班時間。」

為了因應這一複雜的威脅局勢，可提供全天候防護的託管式偵測與回應 (MDR) 服務的需求日益增加。目前，已有 81% 的 MSP 業者提供了 MDR 服務，而其他 MSP 業者幾乎全部 (97%) 計劃在未來幾年內將 MDR 加入到產品組合中。

此外 66% 的 MSP 業者使用第三方供應商來提供 MDR 服務，15% 則是透過自己的安全營運中心 (SOC) 和第三方供應商共同提供，反映出內部網路安全技能短缺的情形。在第三方 MDR 供應商的必要能力列表中，首要的是能夠提供 24/7 全天候的事件回應服務。

MSP 也朝向精簡他們的網路安全合作關係，只與少數幾個供應商合作。研究顯示，超過一半 (53%) 的 MSP 業者只與一到兩家網路安全供應商合作，而使用一到五家供應商的比例則高達 83%。MSP 業者估計，如果能從單一平台管理所有網路安全工具，那麼他們可以減少 48% 的日常管理時間，反映出操作多個平台需要耗費的人力和管理成本。
報告中的其他重要發現包括：

99% 的 MSP 業者回報說，和網路保險相關的支援需求有所增加，其中最常見的是客戶希望採用 MDR 服務以提高其可保險性 (47%)，或是希望獲得申請保險的幫助 (45%)。
MSP 業者希望 MDR 供應商能提供彈性，71% 的 MSP 認為供應商能夠使用現有安全工具的遙測數據進行威脅偵測和回應是「必需或非常重要」的。
美國的 MSP 業者在提供 MDR 服務方面保持領先，幾乎所有 MSP 業者 (94%) 都已經提供 MDR，德國為 70%，英國為 62%，澳大利亞為 58%。
 

Barlow 繼續表示：「雖然 MSP 業者在保護客戶免受快速移動的攻擊者方面有很多工作要做，但如果他們能找到合適的安全防護，就有絕佳的機會來發展業務和提升獲利能力。資料顯示，MSP 業者正透過整合他們使用的平台，並與第三方 MDR 供應商合作來強化競爭力並減少開支，以擴增提供的服務項目。在尋求建構未來的安全方案時，他們應該優先考慮那些能夠完整提供業界最佳且完全託管式的安全服務和解決方案的供應商。」

《2024 年託管服務提供商觀點》報告的數據來自對美國 (200)、英國 (50)、德國 (50) 和澳大利亞 (50) 等地共 350 家 MSP 業者進行的一份中立調查。這項調查由 Sophos 委託研究機構 Vanson Bourne 在 2024 年 3 月進行。

        本文擷取自資安人

Sophos 《2024 年勒索軟體現況》報告顯示，過去一年受到勒索軟體攻擊的受害者中有 97% 曾與執法單位和/或政府機構合作，尋求被攻擊的協助。超過一半 (59%) 與執法單位合作的企業表示這個過程容易或相對容易，只有 10% 的受訪者表示這個過程非常困難。

根據調查，受影響企業會與執法單位和/或政府機構合作，尋求各種對抗勒索軟體攻擊的協助。61% 的受訪者表示他們獲得了如何應對勒索軟體的建議，而 60% 獲得了調查攻擊的幫助。58% 的資料被加密的受訪者獲得了執法單位的幫助，以從勒索軟體攻擊中復原他們的資料。

Sophos表示，傳統上，公司總是會避免與執法單位合作，因為他們擔心自己受到攻擊的事情會公諸於世。一旦被知道他們曾經成為受害者，可能會影響業務聲譽，使情況變得更糟。長期以來，受害者受到責難一直是攻擊的後果之一，但在這方面我們有了進步，無論是在安全社群還是在政府層面。例如，回報網路安全事件的新法規似乎已經使受害者與執法單位合作成為一種常態。調查數據顯示企業正朝正確的方向邁出步伐。如果公部門和私部門能夠繼續團結一致，成為一個協力團體來幫助企業，我們就能夠繼續改善我們快速復原和收集情報的能力以保護他人，甚至還能追究攻擊者的責任。

Sophos X-Ops 最新的現場調查主動攻擊者報告發現指出勒索軟體對中小型企業持續造成威脅。根據 2023 年超過 150 個事件回應案例的數據，勒索軟體連續第四年成為最常見的攻擊類型，在 Sophos X-Ops 調查的事件回應案例中有 70% 是此類攻擊。

Sophos最近的主動攻擊者報告顯示，許多企業仍未實作可以顯著降低整體風險的關鍵安全措施，包括即時修補裝置和啟用多因素驗證。從執法單位的角度來看，儘管他們最近成功地關閉了 LockBit 到 Qakbot，但事實證明這些成功只是暫時性的干擾，而不是長期或永久性的勝利。

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

            本文擷取去資安人

Sophos發布年度《2024 年勒索軟體現況》調查報告，發現過去一年平均支付的贖金暴增了五倍。報告發現支付贖金的企業平均支付高達 200 萬美元，較 2023 年的 40 萬美元大幅增加。但贖金僅是一部分成本。除了贖金外，復原成本的平均值達到 273 萬美元，比 Sophos 的2023 年報告中的 182 萬美元增加了近百萬美元。

儘管贖金不斷攀升，今年的調查顯示勒索軟體攻擊率略為下降，約 59% 的企業受到攻擊，而 2023 年時則為 66%。雖然營收較高的企業受到勒索軟體攻擊的可能性較高，但即使是營收不到 1,000 萬美元的最小型企業也經常成為目標，過去一年中有將近一半 (47%) 遭受勒索軟體攻擊。

2024 年的報告還發現，63% 的案件索求贖金為 100 萬美元或更高，其中 30% 超過500 萬美元，這表明勒索軟體營運者想要牟取暴利。不幸的是，不只營收額最高的企業被索取的贖金增加，將近一半 (46%) 營收不到 5,000 萬美元的企業，在過去一年被索取的贖金高達七位數。

Sophos表示，不應該讓攻擊率稍微下降就產生自滿。勒索軟體攻擊仍然是當今最主要的威脅，並是網路犯罪經濟的推手。如果沒有勒索軟體，就不會有這麼多支持勒索軟體的多樣化和層出不窮的前導威脅和服務。成本飆升掩蓋了勒索軟體攻擊是一種無差別犯罪的事實。當今勒索軟體的整體環境使得每一個網路犯罪分子都有機可乘，無論是否擁有技能。雖然部分集團專攻數百萬美元的贖金，但也有些人只收取低額贖金，採取積沙成塔的策略。
攻擊的起始點
連續二年來，被利用的漏洞是攻擊最常見的根本原因，影響了 32% 的企業。其次是遭竊憑證 (29%) 和惡意電子郵件 (23%)。這與 Sophos 最近《主動攻擊者報告》中在事件回應現場所發現的事實一致。

受害者回報指出，攻擊始於漏洞利用的攻擊對企業造成的影響最為嚴重，因其備份被破壞 (75%)、資料被加密 (67%) 和支付贖金 (71%) 的比例都高於攻擊始於遭竊憑證的情況。受調查的企業在財務和營運方面遭受的影響也更大，平均復原成本高達 358 萬美元，而攻擊始於遭竊憑證時為 258 萬美元。受害企業需要超過一個月才能復原的比例也更高。

報告中其他值得注意的發現包括：


在支付贖款的企業中，不到四分之一 (24%) 支付了對方原本要求的金額，其他 44% 回報支付的贖金低於對方要求
平均支付金額為最初贖金要求的 94%
在超過五分之四 (82%) 的案例中，贖金來自多個來源整體而言，總贖金中的 40% 來自企業自身，23% 來自保險業者
過去一年受到勒索軟體攻擊的企業中，有 94% 表示網路犯罪分子試圖破壞他們的備份，而在州立和地方政府中則高達 99%在 57% 的案例中，備份已被破壞
在 32% 的資料遭加密事件中，也發生資料被竊取的情形，相較去年的 30% 稍有增加。這將增加攻擊者向受害者進行勒索的能力

Sophos表示，風險管理是我們作為防禦者的重中之重。勒索軟體攻擊最常見的兩個根本原因是被利用的漏洞和遭竊的憑證，雖然可以預防，但太多企業仍然深受其擾。

企業需要全面評估他們環境中這些根本原因的暴露程度，並立即解決這些問題。即使環境中的防禦資源不足，企業仍需要盡可能讓攻擊者無法得手。只有提高攻擊者入侵網路所需的門檻，企業才能有效地利用其防禦的預算。

Sophos 建議採取以下最佳作法來幫助企業防禦勒索軟體和其他網路攻擊：


了解風險概況，使用 Sophos Managed Risk 等工具來評估企業的外部受攻擊面，優先處理最危險的曝險，並提供量身訂製的修補指引
使用如 Sophos Intercept X 等端點保護，阻止各種不斷變化的勒索軟體技術
取得內部團隊或經由託管式偵測與回應 (MDR) 供應商的支援，加強防禦並實現全天候的威脅偵測、調查和回應
制定並維持一份事件回應計畫，以及定期備份資料並練習從備份中復原資料

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

       本文擷取自資安人

外媒報導，思科示警全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 等設備的 VPN 和 SSH 服務遭受大規模的暴力撞庫攻擊。
 
暴力撞庫攻擊是嘗試使用大量的用戶名和密碼來登入帳戶或設備，直到找到正確的組合。一旦獲得正確的憑證，威脅行為者就可以利用它們劫持設備或訪問內部網路。
 
根據思科 Talos 的資訊，這次攻擊使用了一些有效的和通用的員工用戶ID，這些ID與特定的組織相關。
 
研究人員表示，這些攻擊開始於 2024 年 3 月 18 日，所有攻擊都源自 TOR 出口節點，攻擊主使者使用各種匿名工具和代理程式躲避封鎖。
 
思科 Talos 警告，依據目標環境的不同，攻擊成功可能會導致未經授權的網路訪問、帳戶鎖定或拒絕服務等後果。目前觀察到與攻擊相關的流量正隨著時間增加中。
 
用於進行攻擊的服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy 和 Proxy Rack。
 
思科的研究人員表示，以下服務正遭受積極攻擊:

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti 

這此惡意活動沒有特定目標，表示背後的主使者，採取了隨機的攻擊策略。Talos 團隊已在 GitHub 上分享了這一活動的一系列完整的入侵指標(IoC)，包括攻擊者的 IP 地址以供列入黑名單，以及用於暴力攻擊的用戶名和密碼列表。
 
2024 年 3 月下旬，思科曾警告遭受一波 Cisco Secure Firewall 設備上的遠端 VPN (RAVPN) 服務的密碼噴灑攻擊。密碼噴灑攻擊對弱密碼政策更有效，密碼噴灑瞄準許多用戶名使用一小組常用密碼。
 
基於觀察到的攻擊模式和攻擊範圍，研究人員將這些攻擊歸因於一個名為「Brutus」的惡意軟體僵屍網路。但到目前為止尚未確認是否兩起攻擊事件是否有關聯。
 

       本文擷取自資安人

資安專家近期針對 Microsoft Message Queuing (MSMQ) 中介軟體服務中的一個嚴重資安漏洞提出警告，指出 Windows 系統管理者應立即套用修補軟體，修復此漏洞。目前有數十萬台 Windows 系統曝露於該資安風險之下。

MSMQ 於所有 Windows 各版本中均有提供，是一個可讓 App 具備網路通訊能力的選用組件，可以透過 PowerShell 或控制台（Control Panel）來啟用。

資安廠商 Fortinet 和 CheckPoint 旗下的資安專家指出，在 MSMQ 中存在的嚴重漏洞 CVE-2023-21554 可讓駭侵者以特製的 MSMQ 惡意封包，在不需要使用者互動的情形下，輕易進行攻擊，並且遠端執行任意程式碼。

受該漏洞影響的 Windows 版本，為目前市面上全系列的所有版本，包括最新版本的 Windows 11 22H2 與 Windows Server 2022。Microsoft 本身已在日前釋出的 2023 年 4 月分 Patch Tuesday 例行性資安修補包中修復此一漏洞，但根據 Check Point 的估計，目前仍有約 36 萬台 Windows MSMQ 伺服器尚未完成該漏洞的修補作業，因此仍曝露在駭侵攻擊的風險之下。

Microsoft 指出，目前已接獲有駭侵者利用此漏洞發動攻擊的情報，所有 Windows 系統管理者，應正視這個漏洞可能帶來的威脅，且應立即進行修補。

CVE 編號：CVE-2023-21554
影響產品：Windows 各版本作業系統，包括 Windows 11 2022H2 與 Windows Server 2022。
解決方案：建議立即套用 Microsoft 日前釋出的 Patch Tuesday 資安修補包。

       本文擷取自資安人

微軟在2024年4月推出了重大的安全更新，共修復了149個漏洞，其中2個正在被惡意利用。
 
修復的漏洞中，有3項被評為「關鍵」級，142項被評為「重要」級，3項為「中度」，1項為「低度」。除了這149個漏洞外，微軟也於3月發布patch tuesday後另行修補了Edge瀏覽器的21個漏洞。
 
本月資安人員須特別注意兩個漏洞，根據外媒報導，這兩個漏洞已被攻擊者利用：

CVE-2024-26234 (CVSS 6.7分) - 代理驅動程式欺騙漏洞（Proxy Driver Spoofing Vulnerability）
Sophos公司已發現一款惡意程式利用微軟的合法數位簽章來偽裝成正版軟體。該程式包含3proxy後門組件，可監控並攔截受感染系統的網路流量。Sophos 在野外發現了該後門的多個變體，最早可追溯到2023年1月5日。
 
CVE-2024-29988 (CVSS 8.8分)- SmartScreen提示安全繞過漏洞
與CVE-2024-21412和CVE-2023-36025一樣，攻擊者可利用這個漏洞繞過Microsoft Defender SmartScreen的保護，誘使使用者執行惡意檔案。Zero Day Initiative表示已有證據顯示此漏洞正在被野外利用。


其他值得關注的漏洞
另一個重要的漏洞是CVE-2024-29990 (CVSS分數:9.0)，這是一個影響Microsoft Azure Kubernetes Service保密容器的特權提升漏洞，未經身份驗證的攻擊者可利用它來竊取憑證。
 
此次更新還修復了68個遠端程式碼執行、31個權限提升、26個安全繞過以及6個拒絕服務漏洞。值得注意的是，有24個安全繞過漏洞與Windows安全啟動功能有關。
 
分析師表示，雖然這些漏洞尚未在野外被利用，但它們提醒大家，安全啟動機制仍存在問題，未來可能會出現更多相關的惡意活動。
 
Microsoft在這次更新中使用了CWE評估標準，這有助於開發人員了解漏洞的根源原因，從而在軟體開發生命週期中採取更好的措施來預防攻擊。

      本文擷取自資安人

Sophos 宣布與Tenable 建立策略合作夥伴關係，提供全球性的漏洞和受攻擊面管理服務 Sophos Managed Risk。這項新服務擁有專屬的 Sophos 團隊，使用 Tenable 的曝險管理技術並與 Sophos Managed Detection and Response (MDR) 的安全營運專家合作，提供防禦網路攻擊所需的受攻擊面可見性、持續風險監控、漏洞優先處理、調查和主動通知能力。
 
在今日，受攻擊面已超出傳統的本地 IT 邊界，因為企業在運作時經常使用數量未知的外部和連線到網際網路的資產。這些資產未經修補或保護不足，使其容易受到網路攻擊者的攻擊。這一點在今天同時發布的最新《Sophos 主動攻擊者報告》中可以明顯看出。該報告指出企業必須優先考慮三項任務，以減少導致勒索軟體或其他類型攻擊的入侵風險，包括關閉暴露的遠端桌面通訊協定 (RDP) 存取權限、啟用多因素驗證，以及修補易受攻擊的伺服器等，而上述都是 Sophos Incident Response 團隊在 2023 年處理的入侵事件中的主要缺口。Sophos Managed Risk 服務可以評估企業的外部受攻擊面，優先處理最嚴重的曝險，例如開放的 RDP，並提供量身訂製的修補指引，以協助消除盲點，並預防潛在的毀滅性攻擊。
 
Sophos 表示，企業必須嚴格管理曝險，因為如果不加注意，它們將會導致代價更高且耗時的問題，而且往往成為重大資安事件根本原因。我們從 Sophos 全球調查數據中得知，32% 的勒索軟體攻擊起源於未修補的漏洞，而且這些攻擊的修復成本最高。
 
Tenabl表示，儘管最新的零時差漏洞可能會躍上新聞頭條，但企業面對的最大威脅仍然是已知的漏洞，或是已經有修補程式可用的漏洞。解決的方法包括以風險為基礎的優先處理，利用以相關內容驅動的分析方法，在曝險出現之前就先行主動解決。
 
Sophos Managed Risk 特點


外部受攻擊面管理 (EASM)：對連接到網際網路的資產 (如網頁和電子郵件伺服器、Web 應用程式和使用公用 API 的端點) 進行進階的識別和分類
 
持續監控和主動通知高風險的曝險：當在企業連接到網際網路的資產中發現新的重大漏洞時主動通知
 
漏洞優先處理和識別新風險：迅速偵測高風險和零時差漏洞，並立即發出即時通知，以確保能及時識別、調查和按照重要性處理連接到網際網路的資產 

IDC 安全服務研究副總裁 Craig Robinson 表示：「企業改善安全狀態時的最大挑戰之一，就是安排優先處理順序。這種指引可以協助解決這個問題，減輕安全團隊處理漏洞和曝險管理的工作量。Sophos Managed Risk 等解決方案會是一個競爭優勢，使不堪負荷的團隊能夠採取更全面的方法來持續進行監控和威脅管理。」  
 
Sophos Managed Risk 是 Sophos MDR 的擴展服務之一，而 Sophos MDR 已在全球保護超過 21,000 家企業。Sophos Managed Risk 團隊均取得 Tenable 認證，他們會與 Sophos MDR 密切合作，共用零時差漏洞、已知漏洞和曝光風險的重要資訊，以評估和調查可能已遭入侵的環境。
 
Sophos Managed Risk 已經可從 Sophos 全球通路夥伴和託管式服務供應商 (MSP) 以購買期限授權的方式取得。Sophos MSP Flex 版本將於 2024 年推出。

      本文擷取自資安人

Sophos發布最新《Sophos 2024 年威脅報告》。根據該份報告， 2023 年 Sophos 針對中小企業的惡意軟體偵測中，近 50% 是鍵盤側錄程式、間諜軟體和竊取程式。攻擊者使用這些軟體來竊取資料和憑證，然後再利用竊取到的資訊進行未經授權的遠端存取、勒索受害者，以及部署勒索軟體等。

在這份報告中，Sophos 還分析了初始存取仲介 (IAB)，這是一群專門破解電腦網路的犯罪分子。如報告所示，IAB 正使用暗網來宣傳他們可以破解中小企業網路的能力和服務，或是出售已經破解的中小企業的即時存取權限。

Sophos表示，對網路犯罪分子而言，『資料』猶如貨幣，尤其來源是中小企業時，因為這些企業在運作時往往只會使用同一項服務或軟體應用程式。例如，假設攻擊者在鎖定的目標網路上放入一個竊取憑證的資料竊取軟體，然後取得了該公司會計軟體的密碼。此後，攻擊者就可以取得目標公司的財務狀況，並有能力將資金轉入自己的帳戶。

單是 2023 年向 Sophos 回報的所有網路攻擊中，超過 90% 和資料或憑證竊取有關，無論手法是透過勒索軟體攻擊、資料勒索、未經授權的遠端存取，還是簡單的資料竊取。
勒索軟體仍是中小企業最大的網路威脅
勒索軟體攻擊是中小企業面臨的最大網路威脅。在 Sophos Incident Response (IR) 處理的中小企業案例中，LockBit 是造成嚴重破壞的首要勒索軟體集團，Akira 和 BlackCat 分別排名第二和第三。此外，報告中研究的中小企業，還須面對一些持續存在和較冷門的勒索軟體攻擊，如 BitLocker 和 Crytox。

根據報告，勒索軟體營運者持續改變著勒索軟體的策略，包括利用遠端加密和鎖定託管服務提供商 (MSP) 進行攻擊。在 2022 年和 2023 年間，使用遠端加密的勒索軟體的攻擊量增加了 62%；這是指攻擊者使用受害者網路上未受管理的裝置來加密網路上其他系統的檔案。

此外，過去一年在 Sophos 託管式偵測和回應 (MDR) 團隊處理的案例中，發生了五起小型企業因 MSP 的遠端監控和管理 (RMM) 軟體出現漏洞而遭受攻擊的情形。

相關文章：ConnectWise ScreenConnect軟體出現嚴重漏洞！MSP服務提供商應留意供應鏈攻擊可能

攻擊者強化了社交工程和商業電子郵件詐騙 (BEC) 攻擊
根據 Sophos 這份報告，商業電子郵件詐騙 (BEC) 緊接在勒索軟體之後，是 Sophos IR 在 2023 年處理量第二高的攻擊。

這些商業電子郵件詐騙攻擊和其他社交工程手法變得越來越複雜。攻擊者不再只是傳送夾帶惡意附件的郵件，而是可能會透過傳送一系列對話郵件或甚至打電話來與目標互動。

為了避免被傳統的垃圾郵件防護工具偵測出來，攻擊者會嘗試使用新的格式來傳播惡意內容，包括嵌入包含惡意程式碼的圖片，或是以 OneNote 或壓縮檔的格式來傳送惡意附件。如在 Sophos 調查的一起案例中，攻擊者傳送了一份 PDF 檔，其中有一張模糊不清且無法閱讀的發票縮圖，而下載按鈕的連結則是連往一個惡意網站。

       本文擷取自資安人

        ConnectWise ScreenConnect是一個由伺服器和用戶的應用程式端組成的遠端桌面解決方案。可以由雲端或本地進行部署。
 
上週ConnectWise公告修補完成CVE-2024-1709， CVE-2024-1708漏洞，這兩個漏洞影響23.9.7版及更早的版本。

CVE-2024-1709是一個身份驗證繞過漏洞，允許攻擊者在未修補的設備或服務上建立系統管理員帳戶，並用於惡意目的。
CVE-2024-1708是一個路徑穿越漏洞，允許攻擊者遠端執行程式碼。

ConnectWise公司已確認這兩個漏洞已遭攻擊者利用，目前推出了新的伺服器軟體版本：v23.9.10.8817和v22.4，所有用戶，包含不再維護的用戶，都可以獲得這兩個漏洞的修補程式 。
 
CVE-2024-1709的PoC公開後，惡意攻擊者開始針對易受攻擊的公開ScreenConnect伺服器，希望利用它們進入企業網路。

Mandiant已經確定多個威脅行為者正在大規模利用這些漏洞，其中許多攻擊已部署勒索軟體並進行多方面的勒索。

Sophos X-Ops表示，攻擊者遞送兩種不同的勒索軟體變體，都是由先前洩露的LockBit產生器生成。同時也發現透過ScreenConnect漏洞派送資料竊取器、RAT、蠕蟲、Cobalt Strike 載荷。
外媒報導，部分研究人員還發現了一些攻擊，涉及到加密貨幣採礦和建立SSH後門和持久反向Shell。

Sophos X-Ops強調，任何使用ScreenConnect的人都應立即採取措施隔離易受攻擊的伺服器和用戶端、修補它們並檢查是否有任何入侵跡象。Sophos有證據顯示攻擊者目前正對伺服器和客戶進行攻擊。修補伺服器不會刪除攻擊者在修補之前已經部署的任何惡意軟體或Webshell，管理者需要調查任何受入侵的環境。
 

       本文擷取自資安人

        Sophos揭露殺豬盤詐騙 (即精心策劃的交友型加密貨幣詐騙) 者如何利用類似的商業模式，透過在暗網上銷售詐騙套件，將網路犯罪即服務模式拓展到全球的其他地區。Sophos 在《加密貨幣詐騙轉移到新型態》一文中詳細說明了這些複雜的的交友詐騙模式。這些新套件均源自中國的組織型犯罪集團，提供了進行去中心化 (簡稱「DeFi」) 儲蓄的特定交友詐騙所需的技術工具。

犯罪分子會將 DeFi 儲蓄詐騙包裝成類似於貨幣市場帳戶的被動型投資，鎖定的目標通常是那些不了解加密貨幣的人。受害者預期他們只要將加密錢包連結到一個「經紀帳戶」，就可以從投資中賺取巨額利息。事實上，受害者是將他們的加密錢包連結到詐騙加密貨幣交易池中，然後詐騙分子會將其清空。

Sophos表示，這種交友詐騙首次出現於新冠病毒流行期間，當時詐騙的技術還相對原始，騙子需要花費許多功夫和指導才能成功騙到受害者。現在，隨著詐騙變得更容易得手，詐騙分子也改進了他們的手法。

殺豬盤詐騙與過去勒索軟體和其他類網路犯罪出現類似的演變：那就是 「即服務」的模式。詐騙集團正在開發現成的 DeFi 應用程式套件，其他網路犯罪分子只要從暗網就能買到這些應用程式套件。結果是，泰國、西非甚至美國等地區，都出現了與中國組織型犯罪集團無關的新的交友詐騙集團。

「即服務」的模式提供工具包降低了其他交友詐騙分子的進入門檻，並大大擴大了受害對象。去年，單是交友詐騙的規模已達數十億美元；遺憾的是，這個問題今年還會變得超級嚴重。

Sophos X-Ops 兩年來一直持續追蹤交友詐騙的演變。最早期的詐騙 (被 Sophos 稱為「CryptoRom」騙局) 是透過交友應用程式與潛在受害者聯繫，然後說服他們從第三方來源下載假的加密貨幣交易應用程式。對於 iOS 用戶來說，這些騙局會要求受害者下載一個精心設計的應用程式，使詐騙者能夠繞過受害者裝置上的安全防護並使用他們的電子錢包。

2022 年，詐騙分子繼續改進他們的作法。這次他們找到了繞過應用程式商店審核流程的方法，將其詐騙應用程式上架到合法的 App Store 和 Google Play 商店。今年還出現了新的詐騙模式：假的加密貨幣交易池 (流動性挖礦)。 

2023 年，Sophos X-Ops 發現了兩個大型交友詐騙集團，一個位於香港，一個位於柬埔寨。這些集團使用合法的加密貨幣交易應用程式，然後創造一些精心設計的假身分來引誘受害者，並從他們身上竊取數百萬美元。進一步調查顯示，交友詐騙集團正在試圖將人工智慧新增到他們的工具箱中。

2023 年底，Sophos X-Ops 發現了一個大型流動性挖礦騙局，其涉及到三個不同的中國組織型犯罪集團，鎖定了近 100 名受害者。在調查該行動期間，Sophos X-Ops 首先注意到出現了交友詐騙套件。

在 Sophos X-Ops 最近調查的交友詐騙中，詐騙分子掃除了先前的所有技術障礙，並顯著減少了從受害者竊取資訊所需的社交手動工程操作。在 DeFi 儲蓄騙局中，受害者現在是透過合法且知名的加密貨幣應用程式進行假的加密貨幣交易，讓他們允許詐騙者在不知不覺中直接使用他們的錢包。此外，詐騙分子還可以隱藏被盜錢包的洗錢網路，使執法部門更難以追蹤詐騙。

Sophos 認為DeFi 儲蓄騙局是交友詐騙分子兩年來集其技術大成的結晶。詐騙分子再也不用說服受害者下載一些奇怪的應用程式，或是將加密貨幣轉移到即將被竊的數位錢包中了。
避免成為交友詐騙犧牲者
為了避免成為交友詐騙的受害者，Sophos 建議採取以下措施：


對透過 Facebook等社交網站或簡訊來聯繫的陌生人保持懷疑，尤其是當他們想快速將對話轉移到 WhatsApp 等私人通訊工具時


這一點也適用於交友應用程式上的成功匹配，尤其是當對方開始和你談論加密貨幣交易時


對任何承諾在短時間內獲得巨額回報的「快速致富」計畫或加密貨幣投資機會時時保持戒心
熟悉交友騙局和投資騙局的誘惑和策略。CyberCrime Support Network (CSN) 等非營利組織擁有可以提供幫助的資源
任何認為自己成為交友詐騙受害者的人應立即從受影響的錢包中提出所有資金，並聯繫執法單位。

      本文擷取自資安人

      Sophos發表和研究機構 Tech Research Asia (TRA) 合作進行的《亞太地區和日本網路安全的未來》第四版調查報告。該報告顯示，在網路安全和 IT 領域的受訪者中，有 90% 受倦怠和疲勞的影響。
該研究顯示，受訪者幾乎在網路安全操作的所有層面都感到倦怠。有 30% 的受訪者表示，在過去一年內倦怠感明顯增加，其中 41% 表示這種倦怠使他們無法充分投入工作，有 17% 的受訪者指出倦怠或疲勞對網路安全漏洞產生了影響，甚至直接造成網路安全漏洞，而有 17% 的公司在應對網路安全事件速度比平均反應時間更慢。
網路安全倦怠和疲勞的原因
報告中列舉造成網路安全倦怠和疲勞的五大主要原因包括：


缺乏支援網路安全活動的資源
例行性工作過度單調  
來自董事會和/或高階管理層的壓力增加 
工具和系統不斷出現過多警示   
威脅活動增加且各種新手法層出不窮，使得環境更具挑戰性且永無止歇


倦怠和疲勞對網路安全員工的影響
研究顯示，在整個亞太地區和日本 (APJ)：


41% 受訪者表示無法充分投入工作
34% 在受到網路安全漏洞或攻擊時感到更焦慮
31% 對網路安全活動和責任產生懷疑、疏離和冷漠
30% 表示這些狀況讓他們想要辭職或轉換職業 (受訪者中有 23% 已經採取行動並辭職)
10% 感到內疚，因為他們無法在自己的角色上為網路安全做更多事

Sophos 表示，員工的穩定性和表現對是否能為企業提供強大的防禦至關重要。倦怠和疲勞正在削弱他們的心力。儘管沒有特效藥，但調整態度將對企業如何定義出資安韌性有很大的正面影響。

網路安全倦怠和疲勞對業務運作的影響
網路安全倦怠和疲勞對業務運作產生直接影響的四個關鍵領域包括：


直接導致網路安全漏洞：17% 的受訪者指出，網路安全倦怠或疲勞會對網路安全漏洞產生影響，或直接造成了網路安全漏洞
對網路安全事件反應時間較慢：17% 的公司對網路安全事件反應時間比平均值更長
生產力損失：企業中的網路安全和 IT 專業人員每週因倦怠而損失達 4.1 小時的生產力。菲律賓 (每週 4.6 小時) 和新加坡 (每週 4.2 小時) 的公司受影響最嚴重，而印度和日本 (都是每週 3.6 小時) 受影響最輕微
離職和員工流失：有 23% 的公司直指壓力和倦怠是網路安全和 IT 專業人員辭職的原因。新加坡離職率為 38%，印度為 31%。受訪組織還指出，平均而言，約有 11% 的網路安全或 IT 員工因受到壓力或倦怠的影響而「離職」。馬來西亞 (28% 的受訪組織) 和新加坡 (15%) 的發生率最高。