美國警告勒索軟體Ghost橫行,駭客攻擊範圍橫跨全球70個國家
美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、各州資訊共享及分析中心(MS-ISAC)針對勒索軟體Ghost(也被叫做Cring)最新一波攻擊提出警告,指出這些駭客通常會對於面向網際網路的應用系統已知漏洞下手,從而入侵並以勒索軟體加密檔案
文/周峻佑 | 2025-02-21發表
.
2月19日美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、各州資訊共享及分析中心(MS-ISAC)聯合針對勒索軟體Ghost(也被叫做Cring)的威脅態勢提出警告,指出該勒索軟體的危害範圍橫跨70個國家,包含關鍵基礎設施相關的企業組織等各行各業都有受害的情形,且在1月有相關資安事故傳出。(編按:此份公告未列出受影響國家名單,所以無法確定臺灣是否受害)
該勒索軟體背後的駭客來自中國,主要的目的是為了得到經濟利益,相關攻擊行動最早可追溯至2021年初。這些駭客專門鎖定在網際網路運作的各種線上服務,尋找執行舊版軟體或韌體的系統下手,利用已知漏洞入侵伺服器。
這些漏洞包括:Adobe ColdFusion的外部實體(XXE)注入漏洞CVE-2009-3960、資料夾穿越漏洞CVE-2010-2861(CVSS風險評分為6.5、9.8),Fortinet防火牆作業系統FortiOS路徑穿越漏洞CVE-2018-13379(風險值9.8),微軟SharePoint遠端程式碼執行漏洞CVE-2019-0604(風險值9.8),以及Exchange安全功能繞過漏洞CVE-2021-31207、遠端程式碼執行漏洞CVE-2021-34473、權限提升漏洞CVE-2021-34523(風險評為6.6至9.8,統稱為ProxyShell)。
一旦成功利用漏洞,駭客就會上傳Web Shell,然後部署Cobalt Strike Beacon,竊取處理程序使用的Token,藉此冒充SYSTEM使用者提升權限。
除此之外,這些駭客也會利用可公開取得的工具嘗試提升權限,這些工具包括:SharpZeroLogon、SharpGPPPass、BadPotato,以及GodPotato。
為了迴避偵測,攻擊者也利用Cobalt Strike確認受害主機部署的防毒軟體,然後將其停用。
在偵察的活動裡,他們也同樣運用能公開取得的工具。駭客先是下達Cobalt Strike命令調查網域使用者的帳號,並透過名為SharpShares、Ladon 911、SharpNBTScan的工具,找出網路共用資料夾和其他遠端系統。
Ghost也藉由公用程式WMIC執行PowerShell命令,從而在受害組織的網路環境橫向移動,最終將電腦的檔案加密。
在加密檔案之前,這些駭客通常會利用雲端檔案共享服務Mega及Web Shell將資料外流,而且多半只針對智慧財產或是個人識別資訊(PII)等有價值的資料下手,但FBI也有看到利用Cobalt Strike Team Server下載資料的情況。但關於外洩規模的敘述,CISA只提及資料量是有限的,以及典型的資料外洩規模低於數百GB。
End
直播研討會
熱門新聞
Google開放免費版Gemini上傳及分析檔案
2025-02-17
xAI公布號稱世界最強的Grok 3模型、進階功能DeepSearch,新增SuperGrok訂閱方案
2025-02-19
【資安週報】0210~0214,馬偕醫院遭勒索軟體CrazyHunter攻擊,攻擊者滲透AD並使用BYOVD提權攻擊手法
2025-02-17
聯發科一口氣開源2款繁中多模態小模型、符合臺灣口音的語音合成模型
2025-02-17
Perplexity AI也推出上網研究工具Deep Research,提供免費版
2025-02-17
3年前列管的PHP重大漏洞突然浮上檯面,若不修補恐讓網站曝露於SQL注入風險
2025-02-18
開發AI代理和RPA大不同,企業如何上手?微軟業務型AI開發工具負責人這樣建議
2025-02-14
新型態名稱混淆攻擊手法染指AWS的映像檔!已有數千個AWS帳號淪陷
2025-02-18
【好禮等你拿】親臨現場,CYBERSEC 2025精美好禮帶回家!!
GenAI 加速企業創新落地,更需要全新 IT 戰略
Windows 10支援倒數,聯繫微軟夥伴諮詢
DevOps專家看過來!投稿開放至2/27,立即行動分享技術實力!
【免費線上報名】亞洲最大資安展:2025 臺灣資安大會
CYBERSEC YouTube 正式上線,回顧精選議程,探究資安議題!
Advertisement
.
.
看影片追技術
從零開始混合雲之旅的最佳道路 從零開始混合雲之旅的最佳道路
IT EXPLAINED |38 分
不洩漏原始碼,也能全面防護?Hybrid AI @DevSecOps 不洩漏原始碼,也能全面防護?Hybrid AI @DevSecOps
Cloud Summit 臺灣雲端大會 |29 分
Elastic Security : 監測 x 告警,揪出潛在威脅!【Webinar:Elastic 系列講座】|歐立威科技 Elastic Security : 監測 x 告警,揪出潛在威脅!【Webinar:Elastic 系列講座】|歐立威科技
歐立威科技 |59 分
沙箱中的影武者!利用資料探勘標記惡意程式家族及攻擊技術 沙箱中的影武者!利用資料探勘標記惡意程式家族及攻擊技術
奧義智慧科技 |32 分
結合生成式 AI 打造有趣的 LINE Bot 應用 結合生成式 AI 打造有趣的 LINE Bot 應用
Cloud Summit 臺灣雲端大會 |39 分
你一定要知道的 MongoDB 基礎 你一定要知道的 MongoDB 基礎
IT EXPLAINED |41 分
SRE 如何實踐可視性告警 SRE 如何實踐可視性告警
SRE CONFERENCE |20 分
Aruba 安全網路架構保護公共資料 Aruba 安全網路架構保護公共資料
2023 數位政府高峰會 |25 分
善用數據洞察與多雲創新 強化行政決策效率 善用數據洞察與多雲創新 強化行政決策效率
2023 數位政府高峰會 |29 分
DevOps + Sec 是強力援手還是搗亂者 DevOps + Sec 是強力援手還是搗亂者
DevOpsDays |42 分
專題報導
千億廣告系統如何擺脫8年技術債
7千人軟體組織砍掉重練!
導入NIST CSF資安認證,臺灣金融業首例出爐
剖析OpenAI的十二天 (下)
剖析OpenAI的十二天 (上)
更多專題報導
電週文化事業版權所有、轉載必究 | Copyright © iThome刊登廣告訂閱週刊授權服務服務信箱隱私權聲明與會員使用條款資訊安全政策關於iThomeRSS 徵才
短篇小故事 