趨勢科技 TrendMicro | 資安趨勢部落格

PCASTLE門羅幣挖礦病毒利用無檔案技術,再次針對中國發動攻擊

2019 年 06 月 10 日2019 年 06 月 11 日趨勢科技 TrendMicro

éå¼µåçç alt å±¬æ§å¼çºç©ºï¼å®çæªæ¡åç¨±çº feature_cybercrime-300x300.jpg

利用PowerShell散播惡意軟體並不件新鮮事；事實上，有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅，趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。

不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示，最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現，現在仍在進行中；在5月22日到達顛峰後就一直保持穩定。

進一步分析後讓我們認為這些都屬於同一波的攻擊活動，行為模式跟之前用混淆PowerShell腳本（名為PCASTLE）散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國，跟之前被報導的首波攻擊一樣。

這波新攻擊使用了一些新手法。首先，它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術，透過惡意PowerShell腳本下載其他病毒（通過排程工作）並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行，用來進行所有的惡意行為：SMB漏洞攻擊（EternalBlue(永恆之藍)）、暴力破解、傳遞雜湊（pass-the-hash）攻擊及下載其他病毒。

繼續閱讀

垃圾郵件使用 HawkEye Reborn 鍵盤側錄惡意程式攻擊企業

2019 年 06 月 07 日2019 年 06 月 06 日趨勢科技 TrendMicro

HawkEye Reborn v8.0 和 v9.0 是該知名鍵盤側錄惡意程式家族最新的兩個版本，目前已出現在一些專門攻擊企業使用者的垃圾郵件當中。IBM X-Force 研究人員發現了一些攻擊案例使用該鍵盤側錄惡意程式變種來竊取帳號登入憑證與敏感資料，而這些資料又進一步被用於其他攻擊，如：盜用帳號或變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise簡稱 BEC)。除了竊取上述資訊之外，該程式還可能下載更多其他惡意程式變種至被感染的電腦。

過去，趨勢科技也曾經發現過類似的攻擊案例。趨勢科技研究人員曾在一項深度研究中發現，歹徒會利用鍵盤側錄惡意程式來找尋更大的攻擊目標，蒐集更多有關受害者的資訊 (如業務聯絡人、同事、合作夥伴等等) 以從事詐騙。在詐騙過程中，歹徒會持續監控受害使用者的公司電子郵件帳號，一旦發現有關交易付款事宜的郵件，就會從中加以攔截，提供另一個收款帳戶給付款方，好讓交易的款項直接匯入歹徒的銀行帳戶。

繼續閱讀

Trickbot 攻擊迫使俄亥俄州學校停課

2019 年 06 月 06 日2019 年 06 月 04 日趨勢科技 TrendMicro

一所俄亥俄州學校在 5 月底被迫停課一天，原因是學校的網路及電腦遭到 Trickbot 攻擊。卡文特里地方學校 (Coventry Local School District) 在停課前一天發表的 Facebook 最新動態中表示，由於系統在受到惡意軟體感染，因此學校需要關閉，試圖恢復正常運作。

根據《艾克隆燈塔報》(Akron Beacon Journal) 的報導，FBI 判定感染是從學校出納組的電腦開始，擴散至仰賴校區網路的各種運作系統，影響最大的就是電話和暖氣、通風及空調 (HVAC) 系統停擺。

繼續閱讀

GandCrab 勒索病毒鎖定攻擊 MySQL 資料庫

2019 年 06 月 05 日2019 年 06 月 04 日趨勢科技 TrendMicro

資安研究人員發現有大量突發的攻擊事件，鎖定執行 MySQL 資料庫的 Windows 伺服器，透過 GandCrab 勒索病毒 Ransomware (勒索軟體/綁架病毒)進行感染 (由趨勢科技偵測為 Ransom.Win32.GANDCRAB.SMILC)。這類攻擊最初是在去年 5 月 19 日透過誘捕系統 (honeypot) 發現，會掃描網際網路對向 (internet-facing) 的 MySQL 資料庫，並確認資料庫是否運行於 Windows 作業系統，然後執行惡意的 SQL 指令上傳檔案，擷取並協助執行勒索病毒。

發現這種入侵手法的資安研究員發現，這種掃描活動會搜尋不安全或設定不當的 MySQL 資料庫或防火牆，並可能攻擊任何暴露了連接埠 3306 的 MySQL 伺服器，這是 MySQL 預設使用的連接埠。

該攻擊行動涉及的 GandCrab 版本/樣本下載已經超過 2,300 次。雖然這樣的次數並不多，但攻擊仍造成重大的資安風險。MySQL 是相當普遍的資料庫技術，據報市佔率超過 50%。

[延伸閱讀：深層網路提供勒索軟體即服務?這對企業有何影響?]

GandCrab 本身使用不同的攻擊媒介，因為這項軟體最初是使用 Rig 及 GrandSoft 等漏洞攻擊套件。GandCrab 操作者在檔案分享網站使用惡意廣告，透過新開發的漏洞攻擊套件傳遞勒索軟體，例如 Fallout、JavaScript malware 及 spam attachments。透過種類廣泛的攻擊媒介，這種勒索軟體威脅逐漸猖獗 — GandCrab 在 2018 年是北美地區最常遭到偵測的勒索病毒系列。

繼續閱讀

網路勒索集團清除了 12,000 多個 MongoDB 資料庫

2019 年 06 月 04 日2019 年 06 月 04 日趨勢科技 TrendMicro

過去幾週以來，全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除，而使用者若想復原這些資料庫，就必須支付贖金給歹徒。

這樣的勒贖事件並非第一次出現，MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出，這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎，發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現，這些攻擊的背後主謀很可能是 Unistellar 駭客團體。

Jain 最早是在四月份開始注意到這些攻擊，他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後，他發現了更多被清除的資料庫，以及兩個歹徒留下的電子郵件地址，這些地址指向 Unistellar 駭客集團。

該報告指出，駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫，並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後，就會將資料庫清除。而且在清除資料之前會先建立還原點，以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金，但最近的這起攻擊卻只留下電子郵件聯絡地址，以便受害者能和歹徒聯繫並商量贖金。

繼續閱讀