< APT攻擊 >「預防中東呼吸綜合症(MERS)」網路釣魚主旨散播中

駭客總是跟你一起關心熱門議題。。但不懷好意

近日全台關注的八仙塵爆事件 疑已有詐騙集團蠢動 警方關注,大家請提高警覺別讓愛心 成為駭客提款機(含歷年天災詐騙伎倆大揭發)。本文介紹的是近日全球關注的中東呼吸綜合症(MERS)。

攻擊者將中東呼吸綜合症(MERS)的爆發當作魚叉式網路釣魚(Phishing)郵件的魚餌,發送給日本大型媒體公司的一名員工。使用雅虎郵件免費帳號來輕易地通過防垃圾郵件過濾程式,攻擊者複製網路上的公開資訊,用來引誘收件者去打開郵件。

MERS

郵件標題是用日文,意思是「轉寄:預防中東呼吸綜合症(MERS)」,而附件檔名為「預防中東呼吸綜合症(MERS).7z」。

圖1、以MERS為主題的網路釣魚郵件寄給一名日本媒體公司員工

這封電子郵件包含一個壓縮過的CHM檔案(CHM_ZXSHELL.B),這是Windows說明檔用來顯示日本熱門資訊網站上的MERS相關網頁。CHM檔案被設計成會在背景植入後門程式ZXShell,其很常被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)。

圖2.、BKDR_ZXSHELL.B感染鏈

 

這次攻擊在各方面都跟Winnti集團的攻擊模式很類似,這是一群長久以來針對網路遊戲產業攻擊的駭客,跟Winnti惡意軟體家族有直接的關係。

根據我們的觀察,從媒體和娛樂公司網路所可能找到的豐富敏感資料驅動著攻擊者來針對他們。在索尼影業被駭事件中,攻擊者不僅得到索尼員工的個人資料,還盜走未發行電影的拷貝和公佈索尼高階主管的薪資資料。此外,媒體和娛樂公司也可能被當作目標以用來作為宣傳管道,就像是最近的網路攻擊事件造成法國電視台TV5Monde的社群媒體帳號成為伊斯蘭國(ISIS)發布訊息的媒介。

CHM說明檔導致ZXShell

附加的7-Zip檔包含一個CHM(編譯過的HTML),並且會顯示看似安全的內容,就像是日本資訊網站介紹MERS的網頁,如下圖所示:

圖3.、CHM檔顯示的內容看起來像是一受歡迎日本資訊網站的MERS頁面

 

在此一事件中,CHM檔會植入後門程式ZXShell(BKDR_ZXSHELL.B),然後在受影響電腦內等待執行來自攻擊者的命令。這個後門可被用來尋找受影響網路內的敏感資料。

當要散播網路犯罪相關威脅或是進行針對性攻擊時,使用CHM檔正逐步受到青睞。它可以很容易地繞過Windows安全措施,因為它在執行時是個正常檔案,然後會進行其內嵌的惡意程式碼。

雖然將CHM檔用在惡意目的上並非新鮮事,最近也被用來讓電腦感染CryptoWall勒索軟體,但它至今很少被用在APT攻擊上。而另一方面,後門程式ZXShell通常會藉由對Microsoft Office或Ichitaro軟體進行漏洞攻擊來植入。而攻擊者在此一事件中使用了CHM檔案,是另一種讓目標感染ZXShell而不需要漏洞攻擊的做法。使用者在連上惡意網站時可能會小心謹慎,因為常常帶有許多漏洞攻擊碼,但可能不會留意電子郵件送來的說明檔。

解決方案

趨勢科技現已可以偵測與此威脅相關的所有檔案。此外,客製化防禦解決方案可以透過識別可疑行為(如使用CHM說明檔來執行惡意程式碼)以有效地封鎖這類型的攻擊。

使用ATSE(進階威脅掃描引擎)的產品,像是Deep Discovery(DD),也有啟發式規則來偵測惡意CHM附件檔。如果攻擊者試圖混淆檔案來避免偵測,DD還配有智慧型沙箱可以過濾腳本、Shell-code和惡意程式行為來防範未知的威脅。

下面是此次威脅的相關SHA1雜湊值:

e6cc91c0358db79048fce805fae90f9023f789f7

855bb7e85353fb78c089ef44cc24ce832dd4feaf

3c5329b36ffd13b83679c848a4797f8eeffef521

7e9b6575c672be0ffba7f647ba59d979a2843e4d

 

@原文出處:MERS News Used in Targeted Attack against Japanese Media Company作者:Benson Sy(威脅分析師)

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

防毒軟體推薦免費下載,中毒了嗎?趕緊掃毒! Av test 防毒軟體評比排名第一,趨勢科技 PC-cillin 2015雲端版

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接