趨勢科技2016 年發現的行動裝置銀行木馬程式絕大多數都出現在俄羅斯,事實上,這占了我們全球偵測數量的 74%。其他受害較嚴重的國家還有:中國、澳洲、日本、羅馬尼亞、德國、烏克蘭及台灣。根據我們所發現及分析的樣本數據,它們最活躍的期間是第四季。
2016 年偵測到的行動銀行木馬程式新樣本數量。
目前我們發現的銀行木馬程式家族有 15 個以上,其中:FakeToken (ANDROIDOS_FAKETOKEN)、Agent (ANDROIDOS_AGENT)、Asacub (ANDROIDOS_ASACUB) 和 HQWar (ANDROIDOS_HQWAR) 就囊括了絕大部分的版本及樣本。不過,2016 年最受矚目的卻是 Svpeng (銀行木馬程式與勒索病毒 Ransomware的合體),在我們所發現的感染與攻擊案例當中,約有 67% 都是 Svpeng。
繼續閱讀
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
MIS注意!OpenSSL剛修補了高嚴重性的DoS漏洞 iThome
調查局草擬保防專法 企業也要防諜 中央社即時新聞網
強化資安 政院要找千名專才 工商時報
受駭損商譽 企業不敢聲張 中國時報
趨勢科技X Program the World 用教育翻轉人生、用程式改變城市 網管人
承認駭客攻擊? 俄軍宣佈成立資訊戰部門 中時電子報網
駭美攻擊效應 恐掀網路冷戰 經濟日報(臺灣)
干預法國大選 俄駭客攻擊親歐派候選人 台灣蘋果日報網
Flash漏洞補不完,Adobe一更新,微軟緊急跟進修補Windows iThome
比特幣集體勒索又來了,這次鎖定全臺4千校!不只大學,桃園3小學也出現駭客勒索信 iThome
垃圾鴿臉書爆紅 資安專家:小心潛在危機 中央社即時新聞網
Gmail惡意郵件調查大揭密:攻擊企業信箱的惡意程式數量是個人信箱的4.3倍 iThome
駭客破解迪士尼門票 今日新聞網
上網為孫買巧克力 清潔婦遭詐150萬 中時電子報網
2017全球物聯網行業十大方向發展,財富近在咫尺 新浪網(臺灣)
【動畫晨報】會聊天智慧娃娃 竟可能淪駭客竊聽工具 台灣蘋果日報網
給物聯網工程師的「防殭屍」祕笈 電子工程專輯 繼續閱讀
德國政府今年2 月禁賣名為「我的朋友凱拉」(My Friend Cayla),這種可透過網路連接來跟兒童聊天的洋娃娃,並且警告它是「間諜裝置」,甚至建議家長把「凱拉」娃娃銷毀。這個堪稱歐美最受歡迎的玩具,曾於2014年被選為「年度10大玩具」,由於「凱拉」需要與行動裝置配對、連網使用,所以駭客也可以先入侵使用者的行動裝置,再取用娃娃的音響設備竊聽。
駭客也可能透過藍芽連線,在15公尺的範圍內,就能竊聽孩子與娃娃之間的對話,甚至透過娃娃的麥克風和孩子說話。
目前不單是智慧型手機,連能夠連結上網的玩具(智慧型玩具、智慧裝置)也都陸續一一問市了。其中包含內藏相機及攝影機的裝置,除了可以拍攝影片他人共享,也可以與孩子們進行即時視訊交談,或是用於教導學習讓會話更添樂趣。 繼續閱讀
歹徒的目標有時是可拿到地下市場販賣的金融資訊,或是公司的商業機密。就連已遭入侵的網路帳號密碼,對網路犯罪者來說也是一項商品。因此,針對攻擊來源進行一番仔細的研究,有助於事件回應和資安矯正。
此外,追查幕後的駭客有助於了解其技術的純熟度,並且掌握駭客資源與技巧的多寡,以及資安人員有多少應變時間。但是,研究人員不該因為事件的重大而譁眾取寵,或者隨著主流媒體對資安事件的炒作與恐慌而起舞。
EyePyramid 事件印證了一件事:重大的資安攻擊並非只有國家級駭客才能辦到。從保護企業邊境的觀點來看,了解未來該如何防範並取得必要的工具和專業知識來面對這些威脅,反倒更為重要。
今年初EyePyramid 資訊竊盜程式成了各大媒體的焦點,因為它從一些政府機關、私人企業和公家機構竊取了高達 87GB 的敏感資料,共有 100 多個電子郵件網域和 18,000 多個電子郵件帳號受害,包括義大利、美國、日本和歐洲的一些知名機構在內。
很多人或許會認為 EyePyramid 應該是由國家級駭客所進行的一項網路間諜行動。但事實並非如此,該行動的「幕後集團」最後被發現只是一對想要利用惡意程式賺錢的兄妹檔。
追根溯源相當困難
若我們可以從 EyePyramid 的案例學到什麼教訓的話,那就是:追根溯源相當困難。追溯幕後的源頭是網路犯罪偵查當中最複雜的工作,部分原因是網際網路的設計讓歹徒有很多方式可以隱藏行蹤。
就算真的追查到網路攻擊的源頭,大多數資安機構和資安人員也都會盡可能避免點名特定的個人、團體或國家,因為這麼做很冒險。例如,資安界經常引用惡意程式碼當中的一些特徵來當成佐證。但不幸的是,惡意程式碼的作者經常不是實際犯案的歹徒,因為這些程式很可能是從地下市場買來的。除此之外,從惡意程式也看不出幕後運籌帷幄的歹徒,因為他們有許多躲藏和造假的工具和技巧。甚至連受害者、犯案動機或惡意程式所參與的行動都很難斷定。 繼續閱讀
2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為,其中榜首為Ramnit,該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。
RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序,讓自己隨時常駐在記憶體內,而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。
網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借慈善機構散發網路釣魚郵件。
2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發,企業不僅必須提高警覺,還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。
今年稍早,英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告,指出網路犯罪集團正利用社會大眾的愛心,假借 Migrant Helpline 的名義散發網路釣魚郵件,Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下,下載到目前最頑強的惡意程式之一,也就是 2016 年東山再起的 RAMNIT 木馬程式。
趨勢科技「2016 年資訊安全總評」報告指出,銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示,2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種,而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異,因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時,感染 RAMNIT 的使用者大約在 320 萬左右。
根據當時破獲行動的規模來看,RAMNIT 的感染數量照理應當要大幅下降才對。但是,感染數量只有在 2015 年 2 月確實減少,但隔月幾乎就完全恢復,而且接下來的 2015 一整年,感染數量一直維持在 10,000 以上。根據媒體報導,此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發,這也解釋了為何後續幾個月的感染數量突然飆升。
