研究人員在九月發現一種名為IcedID(趨勢科技偵測為TSPY_EMOTET.SMD3、TSPY_EMOTET.SMD4和TSPY_EMOTET.AUSJMY)的新型銀行木馬出現在美國、英國和加拿大的金融機構,包括了銀行、支付卡廠商、行動服務商及電子商務網站。銀行木馬的影響範圍目前尚不清楚,但根據初步報告顯示,到本文發表時的影響仍然有限。
對此木馬的初步分析顯示它是透過被稱為EMOTET的另一個木馬殭屍網路散播。在此案例中,殭屍網路被用來當作惡意軟體散播平台,就跟之前的攻擊散播DRIDEX木馬一樣。一旦IcedID進入系統內,它會利用重新導向和網頁注入技術來進行攻擊。這惡意軟體還包含一個網路散播模組,讓它不僅可以移動到其他端點系統,還可能移動到終端伺服器上。
IcedID攻擊的初始階段是當使用者開啟網頁瀏覽器時,會從C&C伺服器下載包含木馬目標的設定檔案。具體來說,它對線上銀行網站使用網頁注入攻擊,並對支付卡和網路信箱網站使用重新導向技術。 繼續閱讀
Pawn Storm 攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。
根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。
[TrendLabs 資訊安全情報部落格:REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]
DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯 Necurs 殭屍網路 最近也開始使用這項技巧。
[延伸閱讀:網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]
然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:
[資安基礎觀念:越來越多利用 PowerShell 相關威脅該如何防範?]
對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施: 繼續閱讀
網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構,包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF,亦稱為 Muirim 和 Nioupale),主要具備四種功能:執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。
不過,根據趨勢科技最近的監控顯示,歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構,其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography),也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中),因此更不易被察覺。
如同許多網路間諜行動一樣,REDBALDKNIGHT 集團的攻擊雖然斷斷續續,卻持續很久。事實上,REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構,至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定,這一點從其社交工程(social engineering )技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件,日文非常流利,而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。
圖 1:REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。
圖 2:REDBALDKNIGHT 所使用的誘餌文件樣本,歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。
以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌
REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊(SPEAR PHISHING)來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌,以便能夠在背後暗中執行惡意程式,他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。 繼續閱讀
趨勢科技發現有新的Android惡意軟體會利用Toast 覆蓋攻擊在行動設備上偷偷安裝惡意軟體:TOASTAMIGO,趨勢科技將其偵測為ANDROIDOS_TOASTAMIGO。其中一個惡意應用程式到2017年11月6日為止已經被安裝了10萬到50萬次,利用Android輔助功能讓它們至少能夠做到廣告點擊、安裝應用程式和自我保護/持久性功能。
覆蓋攻擊意指在其他執行中的應用程式、視窗或程序上疊加Android視圖(即圖像或按鈕)。一個典型的Toast覆蓋攻擊範例是用它來誘騙使用者點擊攻擊者所指定的視窗或按鈕。這種技巧在今年初被證實,利用的是Toast的一個漏洞(CVE-2017-0752,在去年九月修補),Toast是Android用來在其他應用程式之上顯示通知的功能。
TOASTAMIGO是我們第一次看到將這概念用來實際攻擊的案例。而就像之前的許多例子一樣,我們一定會看到此類威脅(以及它所下載/安裝的其它惡意軟體)的再進化(因為這次惡意軟體的能力相對較低調)或被其它網路犯罪份子所模仿。Android除了最新8.0(Oreo)以外的所有版本都會受到影響,所以使用早期版本的使用者也必須更新和修補自己的設備。
圖1:Toast覆蓋攻擊如何運作的範例:一個正常圖像(左)被疊加了惡意軟體所觸發的實際動作,比如請求輔助權限
圖2:Google Play上的惡意應用程式
感染鏈
這惡意軟體很諷刺地偽裝成合法的安全應用程式,應該會透過安全碼來保護設備上的應用程式。在安裝時,這些應用程式會通知使用者需要輔助功能權限來讓它運作。這是因應Android需要使用者明確授與權限的作法。授予權限後,應用程式會啟動一個看似“分析”應用程式的視窗。但在背後這應用程式會執行動作或命令,包括安裝其他的惡意軟體(因為它已經擁有權限)。
圖3:惡意軟體執行截圖
幾年前,金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號,在金融時報內部發送網路釣魚郵件,進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時,立刻透過郵件通知所有使用者,並附上一個連結讓使用者更改密碼。問題是,駭客也看到了 IT 人員的這封信,因此又重發了一次該信,但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼,不過最後,駭客覺得金融時報只是個小咖,因此轉而攻擊其他媒體機構。
案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!
案例二:內部 Office 365 登入憑證網路釣魚,詐財匯款得逞
案例三:駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇
今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚(Phishing)攻擊,也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一,駭客通常先讓使用者裝置感染惡意程式,以便掌控使用者的電子郵件信箱,或取得使用者的帳號密碼。接著,歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊,進而竊取企業資訊或從事勒索。除此之外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁,因此收件者很容易不疑有詐。
今年稍早遭到起訴的「Eye Pyramid」犯罪集團,多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件,他們會先入侵一位使用者的帳號,然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料,並將資料傳送給駭客,其中也包括電子郵件地址,因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為,但其實只是一位義大利核子工程師和他妹妹而已,兩人單純只是想靠竊取資料發財而已。