資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

網路間諜集團以紐約恐攻事件當誘餌

2017 年 11 月 14 日2017 年 11 月 14 日趨勢科技 TrendMicro

Pawn Storm 攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面，資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件，並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出，駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange，簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值，就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格：REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗，或者執行惡意程式碼，不再仰賴巨集功能。雖然這並非什麼新的技巧，但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯 Necurs 殭屍網路最近也開始使用這項技巧。

[延伸閱讀：網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外，近期也出現了大量的網路間諜及網路宣傳活動。例如，美國外交關係協會 (Council on Foreign Relations，簡稱 CFR) 今年至目前為止就遭遇了 26 次不同的攻擊行動。事實上，光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢，其中包括：

Keyboy：同樣也是利用 DDE 在系統植入資訊竊取程式。
Sowbug：專門攻擊南美和東南亞的外交使節團與外交政策機構。
OceanLotus/APT32：曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
ChessMaster：曾開發出新的工具和技巧來讓其活動更加隱密。
BlackOasis：使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式，專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念：越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言，這些案例都突顯出邊界防禦的重要：從閘道、網路、伺服器到端點裝置，因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施：繼續閱讀

<資安新聞週報>LINE詐騙佯雙鐵優惠恐竊個資/ 5億訪客不知電腦變礦工/ 30% 的頂尖 CEO(執行長)電子郵件密碼曾經外洩

2017 年 11 月 13 日2017 年 11 月 13 日趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

- 從高中生、駭客、資安長到總統的【2017 資安驚句回顧】

- 兒童智慧手錶出現的漏洞造成安全隱憂
- Google Play 再現加密貨幣採礦惡意程式

媒體資安新聞精選：

LINE詐騙佯雙鐵優惠恐竊個資台灣蘋果日報

存款安全嗎？4成公司查不到攻擊的駭客金融業最常被盯上 ETNEWS新聞雲

香港旅行社20萬客戶資料外洩駭客勒索7位數港幣自由時報電子報

最強隱私瀏覽器 Tor 驚爆大漏洞，匿名使用者 IP 恐將全曝光，趕快更新吧！科技報橘網

手機跳出感染病毒提示不是真的！小心對付「欺騙性廣告」科技新報網

趨勢：Google Play的部份App暗藏Coinhive採礦工具 iThome Weekly電腦報

【災情持續擴大，全球每天新增300個挖礦網站】黑色產業覬覦瀏覽器挖礦，5億訪客不知電腦變礦工 iThome

用科技翻轉工作他們讓身障者變台灣建築幕後英雄天下雜誌網

全球華人楷模汪東財、陳怡樺、江振誠獲獎聯合新聞網

「魔法VR巴士」台中巡迴開跑嘉惠19校 Pchome 新聞

魔法VR巴士啟迪偏鄉學生想像力新一代時報

川普訪中不用翻牆！美媒曝這秘技PO推特文自由時報電子報

《國際政治》川普推特帳戶被關，引發安全疑慮富聯網

天堂文件揭露臉書與Twitter都曾有俄國資金，是政治操作還是商業投資？ iThome

尼泊爾銀行遇駭遭竊失款多已返回中央廣播電臺

善用人工智慧解決資安威脅 IBM：資安人力拉警報人工智慧解圍經濟日報

醫療連網恐遭駭客覬覦分區控管為首要之務電子時報

趨勢科技：勒索病毒攻擊全台已超過2千萬次網管人

趨勢科技與歐洲型警組織(Europol)合作協金融業對抗ATM惡意程式 iThome Weekly電腦報

卡巴斯基創辦人承認，曾經自使用者電腦上複製與病毒無關檔案科技新報網

Google Docs文件遭誤判為惡意內容，遭系統封鎖、刪除 iThome

Windows 10電腦怎樣才算安全？微軟公布安全標準 iThome

Android 手機用戶小心！假的 WhatsApp 被下載了一百萬次！自由時報電子報

中間人攻擊結合ARP欺騙手機上網營業秘密全都露網管人

楊應超：行動支付要有身分認證經濟日報

金融木馬也講究SEO優化！駭客靠SEO提高受害網站的Google搜尋排序，來散布金融木馬 iThome

“刷臉”時代,你的“臉”還安全嗎? 新華社

大宇造船曾遭北韓駭客入侵竊取文件台灣新生報

iOS 11.1剛補好KRACK攻擊弱點，Pwn2Own行動競賽又找出iOS零時差Wi-Fi漏洞 iThome

歐盟GDPR上路在即高階主管尚未準備 Run! PC

KKTV Data Game 預測用戶觀影時機經濟日報網

AI新局逐步開創系統整合/資安人才前景佳新電子網

IEEE P1735標準遭爆有多個漏洞，電子設計的智慧產權恐被竊 iThome

民主黨電郵外流左右2016美國總統大選 AP揭露駭客入侵軌跡上報

【軟體供應鏈上游出包，開發老手都難防】挖礦綁架臺灣曝光第一例，遭害苦主保哥現身說法 iThome

5G行動網路開啟未來產業資安威脅全面相隨網管人

政府App 最高類別若資安未過就下架中央社即時新聞網

資安草案提6版本落實通報機制台灣醒報

IT須引領企業資安觀念不懂這些別誇口郵件安全網管人

工業控制系統面臨嚴重安全威脅電子工程專輯

繼續閱讀

Daserf 間諜集團以「心肺復甦術」、「防災計畫」主旨信件及日文加圖像隱碼術,騙倒日本企業

2017 年 11 月 13 日2017 年 11 月 11 日趨勢科技 TrendMicro

網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構，包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF，亦稱為 Muirim 和 Nioupale)，主要具備四種功能：執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。

不過，根據趨勢科技最近的監控顯示，歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構，其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography)，也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中)，因此更不易被察覺。

如同許多網路間諜行動一樣，REDBALDKNIGHT 集團的攻擊雖然斷斷續續，卻持續很久。事實上，REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構，至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定，這一點從其社交工程（social engineering ）技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件，日文非常流利，而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。

圖 1：REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。

圖 2：REDBALDKNIGHT 所使用的誘餌文件樣本，歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。

以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌

REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊（SPEAR PHISHING）來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌，以便能夠在背後暗中執行惡意程式，他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。繼續閱讀

《手機病毒》防止被移除、收集Google帳號、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化

2017 年 11 月 11 日2017 年 11 月 20 日趨勢科技 TrendMicro

趨勢科技發現有新的Android惡意軟體會利用Toast 覆蓋攻擊在行動設備上偷偷安裝惡意軟體：TOASTAMIGO，趨勢科技將其偵測為ANDROIDOS_TOASTAMIGO。其中一個惡意應用程式到2017年11月6日為止已經被安裝了10萬到50萬次，利用Android輔助功能讓它們至少能夠做到廣告點擊、安裝應用程式和自我保護/持久性功能。

覆蓋攻擊意指在其他執行中的應用程式、視窗或程序上疊加Android視圖（即圖像或按鈕）。一個典型的Toast覆蓋攻擊範例是用它來誘騙使用者點擊攻擊者所指定的視窗或按鈕。這種技巧在今年初被證實，利用的是Toast的一個漏洞（CVE-2017-0752，在去年九月修補），Toast是Android用來在其他應用程式之上顯示通知的功能。

TOASTAMIGO是我們第一次看到將這概念用來實際攻擊的案例。而就像之前的許多例子一樣，我們一定會看到此類威脅（以及它所下載/安裝的其它惡意軟體）的再進化（因為這次惡意軟體的能力相對較低調）或被其它網路犯罪份子所模仿。Android除了最新8.0（Oreo）以外的所有版本都會受到影響，所以使用早期版本的使用者也必須更新和修補自己的設備。

圖1：Toast覆蓋攻擊如何運作的範例：一個正常圖像（左）被疊加了惡意軟體所觸發的實際動作，比如請求輔助權限

圖2：Google Play上的惡意應用程式

感染鏈

這惡意軟體很諷刺地偽裝成合法的安全應用程式，應該會透過安全碼來保護設備上的應用程式。在安裝時，這些應用程式會通知使用者需要輔助功能權限來讓它運作。這是因應Android需要使用者明確授與權限的作法。授予權限後，應用程式會啟動一個看似“分析”應用程式的視窗。但在背後這應用程式會執行動作或命令，包括安裝其他的惡意軟體（因為它已經擁有權限）。

圖3：惡意軟體執行截圖

繼續閱讀

從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

2017 年 11 月 10 日2017 年 11 月 03 日趨勢科技 TrendMicro

幾年前，金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號，在金融時報內部發送網路釣魚郵件，進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時，立刻透過郵件通知所有使用者，並附上一個連結讓使用者更改密碼。問題是，駭客也看到了 IT 人員的這封信，因此又重發了一次該信，但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼，不過最後，駭客覺得金融時報只是個小咖，因此轉而攻擊其他媒體機構。

案例一：竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

案例二：內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

案例三：駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚（Phishing）攻擊，也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一，駭客通常先讓使用者裝置感染惡意程式，以便掌控使用者的電子郵件信箱，或取得使用者的帳號密碼。接著，歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊，進而竊取企業資訊或從事勒索。除此之外，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁，因此收件者很容易不疑有詐。

案例一：竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

今年稍早遭到起訴的「Eye Pyramid」犯罪集團，多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件，他們會先入侵一位使用者的帳號，然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料，並將資料傳送給駭客，其中也包括電子郵件地址，因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為，但其實只是一位義大利核子工程師和他妹妹而已，兩人單純只是想靠竊取資料發財而已。

繼續閱讀