岛内首例!半导体巨头京鼎精密遭公开勒索事件分析
2024-1-18 16:43:12 Author: 微步在线研究响应中心(查看原文) 阅读量:20 收藏

 
1

          事件概要

近日,鸿海集团旗下半导体设备大厂——京鼎精密科技股份有限公司(以下简称“京鼎”)遭到了黑客的入侵。黑客在京鼎官网公布信息直接威胁京鼎客户与员工,如果京鼎不支付赎金,客户资料将会被公开,员工也将因此失去工作。同时还表示如果京鼎不想支付100万美元的费用,就会公布高达5TB的客户资料。微步情报局获悉该消息后,第一时间展开了针对该事件的分析,持续跟踪关于该事件的最新进展。目前关于该事件的初步分析结论如下:
● 根据官网公布的勒索信息,微步情报局结合多方情报数据源发现此次事件的始作俑者为Lockbit3.0勒索组织,该组织最早自2019年出现,经过多年的技术演进和模式升级,目前已经成为全球最为活跃的勒索组织之一。近期该组织攻击动作频发,美国波音公司、芯片巨头台积电等先后遭到该组织的勒索攻击,影响较为严重。
● 利用微步网络空间测绘系统微图的分析发现,该企业存在NAS及SPAM SQR邮件暴露在公网,且近期相关产品曝光过高危漏洞,可能与此次事件的入侵原因有关。
● 通过微图拓线发现与此次事件存在关联的资产95.216.100.213,建议相关行业及关注的企业可以结合该情报进行内部排查。
2

          关键信息

1、根据公开信息,我们发现了受害者与Lockbit团伙谈判的聊天截图,根据截图可以看到相关聊天会话被创建于1月8日:

2、事件被公开:2024年01月16日勒索组织通过其官网进行公开勒索信息后,就被大量的宣传和报道,且官网被攻击者篡改为勒索页面;

同时各类相关媒体平台都进行了公开信息报道如下:

3、官方公告:

17日17时11分,京鼎在傍晚股市公开咨询观测站发布重大信息,证实部分资讯系统遭到攻击,初步评估对公司运作无重大影响。该公司表示检测到攻击行为后,他们已全面启动相关防御机制与恢复作业,并与外部安全公司协同处理:

此次事件是中国台湾首次有黑客团伙窃取资料后还明目张胆,直接到公司官网公开勒索,台湾地区“调查局”十分重视。据了解,京鼎已致电口头向“调查局”联络,台湾地区“调查局”也已立案追查,将于17日做笔录,并提供相关资料。

台湾地区“调查局”表示,若京鼎保存的资料都有在3至6个月内,办案人员才有机会追踪黑客的IP地址,倘若保存资料的时间不够长,在追查上较为困难,但京鼎资料应该都有备份,初判运营不会被影响。

3

           事件分析     

1、该攻击事件背后黑客组织疑似LockBit组织

根据官网公开发布的勒索信发现该勒索组织黑客团伙为lockbit组织:

利用微步网络空间测绘系统微图的分析,此次事件涉及公开勒索受影响的网站域名及IP如下:

foxsemicon.com

211.75.203.138

foxsemicon.com.tw

211.75.203.132

www.foxsemicon.com

211.75.203.138

www.foxsemicon.com.tw

211.75.203.138

nas.foxsemicon.com

60.249.78.168

2、此次攻击事件大约发生在2024年1月6日至8日前后:

结合官网域名www.foxsemicon.com及解析IP地址,通过X社区-资产测绘发现在2024年1月6日至8日这两天平台无法正常访问,随后官网访问正常。

3、测绘发现该企业存在NAS及SPAM SQR邮件暴露再公网,且近期相关产品曝光过高危漏洞

截至此刻,京鼎的NAS站点还挂着勒索信息,相关测绘查询地址:https://x.threatbook.com/v5/survey?q=ip="60.249.78.168"

根据微步X社区-资产测绘数据分析发现,京鼎集团曾在外网开放 SPAM SQR 电子邮件安全网关和 NAS系统;

我们发现该SPAM SQR 电子邮件安全网关系统再2023年曾经曝光过高危漏洞,详情可以参考:https://x.threatbook.com/v5/vul/XVE-2023-5582?searchStr=CVE-2023-24835,但暂时没有更多证据证明此次攻击事件的入侵源头与该漏洞有关,我们建议使用了该产品的企业进一步排查。

资产相关详情可参考X社区-资产测绘链接:https://x.threatbook.com/v5/survey?q=ip="60.249.78.168"

4、测绘拓线发现相关可疑攻击线索

随着我们对数据的进一步分析,通过X社区-资产测绘(相关查询语法:https://x.threatbook.com/v5/survey?q=body="TOTAL DATA VOLUME: 5TB")检索勒索公开信息我们发现位于芬兰的一个IP地址上也公布了完全一致的信息,该IP地址95.216.100.213早在2024-01-14号的时候就进行了公开信息的发布:

结合其他平台信息发现,该IP地址81端口上在2023-12-19被发现曾经有部署过CS Beacon木马,如下信息:

基于以上信息,我们怀疑该IP地址可能与此次攻击事件有关联,但因为缺乏更多关联信息,暂时无法确认,我们建议相关行业及企业可以利用该情报进行内部的排查。

4

           黑客组织      

1、Lockbit勒索组织简介

LockBit勒索病毒首次攻击于2019年9月被发现,最开始被称作为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒,于2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马StealBit,对受害者进行双重勒索攻击。

自2022年3月微软发现LockBit2.0存在代码缺陷可以实现文件解密后,LockBit团伙于2022年6月底发布了3.0版本的勒索木马(又名LockBit Black),并向研究人员提供“漏洞赏金”计划,以此来完善自身功能。

自今年观察到的攻击活动来说,LockBit也正如它的“宏愿”一般,号称自2019年以来世界上最快最稳定的勒索病毒,成为全球最活跃的勒索病毒。

2、组织画像

根据微步情报局的黑客画像系统,Lockbit勒索组织的团伙画像如下:

团伙画像

特点

描述

平台

Windows、Linux、Mac

攻击目标

金融、专业服务、制造和建筑等行业

攻击地区

美洲、西欧和亚太等地区

攻击向量

Web组件漏洞、弱口令、钓鱼邮件

武器库

Psexec、nmap、Zmap、StealBit、Filezilla、TOX messenger、ADExplorer、Rclone、MEGASync

支持解密

勒索后缀

.abcd、.lockbit、.lock2bits、扩展名改为随机9位字符

勒索信

Restore-My-Files.txt、{9}. README.txt (QUh2IBhbp.README.txt)

是否窃取数据

5

           疑似IOC      

95.216.100.213

6

           参考地址

https://www.taipeitimes.com/News/biz/archives/2024/01/17/2003812190

- END -


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247504506&idx=1&sn=47eb9c5083c775ad08df1f7e5ff06330&chksm=cee79d775317dbd4c95381a9070f56b45c8ec1ca5f13f7519d0eaf32bd12cd685021463c32d7&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh