< Targeted attack >「Cuckoo Miner」侵占合法電郵,攻擊銀行機構

一般我們在分析一項威脅時,都會將其惡意程式當成元凶或主要對象來分析。然而,研究其他相關的元件卻可以看到威脅的全貌,反而能比單獨研究二進位程式碼掌握更多的細節。

唯有將目光放遠,超越惡意檔案,才能看出一群原本不相干的網路釣魚(Phishing)郵件,其實都是同一起肆虐全球銀行和金融機構的攻擊行動。駭客利用其他銀行的電子郵件帳號來發送網路釣魚(Phishing)郵件到他們鎖定的銀行,企圖進入該銀行的電腦,進而加以遠端遙控。我們將這起攻擊行動稱為「Cuckoo Miner」(杜鵑鳥礦工)。因為駭客侵占合法電子郵件信箱的手法,很像杜鵑鳥欺騙別的鳥來養大它們的雛鳥、進而鳩佔鵲巢的方式很像。

PHISHING 網路釣魚 網路銀行 木馬

除了攻擊行動本身的資料之外,我們也發現這起行動和其他攻擊有所關聯: HawkEyeCARBANAK 以及  GamaPOS

Cuckoo Miner 攻擊行動的第一步

想像一下以下情境:某家大型金融機構的出納櫃台人員 Bob 收到了一封電子郵件。這封電子郵件乍看之下一切正常,內文只有一行,接著就是另一家銀行的簽名資料,並且附上一個 Microsoft Word 文件附件檔案,叫做「ammendment.doc」。


圖 1:「垃圾」電子郵件。

Bob 開啟了這份 Word 文件,裡面寫道:「Hey….」 Bob 看了一頭霧水,索性關掉 Microsoft Word 文件並刪除這封郵件,接著繼續查看其他郵件。但他卻不曉得,光是開啟這份 Microsoft Word 文件,他就已經讓他的電腦 (以及整個分行) 的門戶洞開。

Bob 的情況並非特殊案例,這其實是一起大型的針對性攻擊/鎖定目標攻擊(Targeted attack )。

趨勢科技主動式雲端截毒服務  Smart Protection Network全球情報威脅網路在今年 8 月 4 日偵測到至少有 17 個國家 (包括印度、瑞士、美國等等) 境內的電子郵件伺服器 (不論在企業內或在雲端) 所屬的銀行和金融機構員工都收到了同樣的電子郵件。這些受害的機構皆位於歐洲、中東、非洲 (EMEA) 以及亞太地區 (APAC)。這些電子郵件只針對一群特定的收件人,而且只在該日發送以避免被察覺。


圖 2:受害伺服器分布地理位置。

使用多重 RAT 遠端存取工具

該行動使用的 Microsoft Word 文件會攻擊 CVE-2015-1770  漏洞,進而在系統內植入另一個檔案,該檔案會另外啟動一個「svchost.exe」執行程序。 但這個「svchost.exe」事實上是一個遠端存取工具 (RAT) 叫做「Utility Warrior」。


圖 3:svchost.exe。

不過,駭客還不光使用 Utility Warrior 這個 RAT 工具,他們在為期數個月的攻擊行動當中接連使用了多個 RAT 工具,最早可追溯至 2015 年 1 月,而且各工具的使用期間大多彼此重疊。


圖 4:不同期間所使用的 RAT 工具。

一旦  RAT 工具成功和幕後操縱伺服器取得聯繫,駭客就能自由操縱受感染的電腦,他們可透過 RAT 工具查看系統上有哪些資源、安裝了哪些程式、過濾端點裝置上的資料,此外,還可以從端點裝置直接下載資訊。

從駭客所使用的 RAT 工具非常廣泛就能看出,惡意程式作者在駭客圈內非常活躍,而駭客們彼此之間的關係也非常密切。此外我們也觀察到,駭客很樂意嘗試新的 RAT 版本,並且很快就能將新版 RAT 工具融入他們的攻擊行動當中。

重複使用的憑證以及與 CARBANAK 的淵源

此攻擊行動絕大多數的 RAT 工具使用的電子憑證都是簽發給一個名為「ELVIK OOO」的機構,而且有多個憑證是不斷重複使用。理論上,憑證中的序號是由憑證簽發機構所核發,而且 每個憑證都有自己的序號


圖 5:憑證範例。

還有一件值得注意的是,我們也曾見過一個 Anunak (也就是 CARBANAK)  攻擊行動的樣本也是使用這個憑證來簽署。然而更重要的是其中含有「arablab」字樣:


圖 6:Arablab 字樣。

從我們擷取到的封包內容可看到「 ArabLab0  」字樣緊跟著一串16 進位碼:「 e4fd2f290fde5395 」,這其實就是一台殭屍電腦識別碼 (BOT ID),也就是:「 ArabLab0e4fd2f290fde5395」。

這個「Botnet傀儡殭屍網路」識別碼讓我們想起我們在  2014 年 6 月的一項研究發現。我們發現「arablab」是一位使用 Citadel 和 Zeus 來攻擊銀行的駭客。此外,值得一提的是,「arablab」也會利用 Microsoft Office 文件漏洞  CVE-2010-3333  來攻擊某些特定人士,並且從事奈及利亞 (419) 詐騙。儘管攻擊不同,但目標是一樣的,那就是:盜取錢財。

為了讓各個惡意程式、網址與電子郵件等元件之間的關係更加清楚,我們製作了以下兩張圖片:


圖 7:攻擊行動各元件之間的關係示意圖。


圖 8:突顯共通性的泡泡圖版本。

防護措施

從歹徒能在短時間內就運用多個不同 RAT 工具並使用數位簽章來避免被偵測就能看出,歹徒無時無刻不在進步,而且每次攻擊都有新的武器裝備和新的斬獲。此外,他們與一些網路犯罪相關服務及其他駭客也都有密切合作。

歹徒能夠不斷推陳出新,企業當然也可以好好善用資安廠商不斷精進的軟體技術。舉例來說,即時預先模擬執行電子郵件的附件檔案、內容,並且評估網址是否安全,都能預先過濾有害的電子郵件,不讓它們到達使用者端,大幅提升企業環境的安全。

可行方法之一就是採用 環環相扣的威脅防禦,尤其是將電子郵件掃瞄 (如 InterScan Messaging SecurityScanMail) 與Deep Discovery Analyzer 客製化沙盒模擬分析整合。Deep Discovery Analyzer 可讓企業建立完全符合其桌面軟體組態的客製化沙盒模擬環境,以確實模擬出端點上會實際遇到的惡意行為,並且讓系統管理員根據公司的安全政策來對已分析的電子郵件採取適當行動。Deep Discovery Analyzer 可動態建立並標記威脅指標或可疑物件 (根據它們對系統的潛在危害) 並且和趨勢科技 Control Manager 集中管理方案分享資訊。所有整合至趨勢科技 Control Manager 的產品都能善用這些動態產生的可疑物件清單並採取主動或被動的行動,例如攔截或隔離 (主動) 或者僅寫入記錄檔 (被動)。

如需有關這項攻擊行動以及對應防禦措施的更多資訊,請參閱我們的威脅簡介:Cuckoo Miner 攻擊行動:奈及利亞網路犯罪集團專門攻擊銀行機構 (The Cuckoo Miner Campaign: Nigerian Cybercriminals Targeting Banks)

 

原文出處:Nigerian  Cuckoo Miner Campaign Takes Over Legitimate Inboxes, Targets Banks

作者:Jay Yaneza 和 Erika Mendoza (威脅分析師)

 

 

540x90 line                                                 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。