當地緣政治的緊張局勢升高,石油天然氣公司將更容易遭遇網路攻擊。
石油天然氣產業對於那些試圖癱瘓其營運與服務的大型網路資安攻擊並不陌生。石油產業目前最令大家耳熟能詳的網路攻擊,基本上都是為了駭入石油公司的企業網路。
地緣政治的緊張局勢不僅可能對現實世界帶來重大衝擊,對網路世界其實也一樣。2022 年 3 月,我們的研究人員觀察到多起不同駭客集團所發動的攻擊。在今日,發掘可能衝擊石油天然氣產業的威脅比以往更加重要,尤其是在局勢緊張的時刻。
此外,我們的研究 也發現,石油天然氣公司都曾經因為網路攻擊而造成供應鏈中斷的情況,平均每一次中斷大約持續 6 天,財務損失金額大約 330 萬美元,而長時間的中斷也會對石油天然氣產業帶來進一步的損失。
所以,對於那些可能造成石油天然氣公司營運中斷的網路攻擊,我們有必要做一番更深入的研究,因為這類攻擊會嚴重影響企業營運和獲利。石油天然氣公司若能詳細檢視其基礎架構並發掘可能造成營運中斷的威脅,就有機會消除資安上的漏洞,同時改善其網路資安架構。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
新舊威脅齊爆發 世界秒癱零時差! CompoTech Asia 電子與電腦
趨勢科技:電動車和元宇宙是駭客未來目標 自由時報電子報
趨勢科技:台灣為供應鏈中樞 資安影響擴及國家 中央通訊社
勒索攻擊威脅大增,趨勢科技:資安行動升級迫在眉睫 LineToday
【臺灣資安大會直擊】數位部長唐鳳揭露打造堅韌安全的智慧國家的3目標、4大策略 iThome
「別把保險箱放門口」,駭客猖獗、工研院資安攻防技術部助企業建護城河 數位時代
資安展聚焦車用資安 鴻海李維斌:資安不好的車以後難賣 電子工程專輯
趨勢科技陳怡樺:為何我要花500萬辦社內機器人大賽? 遠見雜誌網
繼續閱讀一個使用 Go 語言撰寫的最新勒索病毒正瞄準亞洲與非洲的醫療和教育機構。這個名為「Agenda」的勒索病毒會針對每個受害機構而客製化。
最近趨勢科技新發現了一個使用 Go 程式語言撰寫的勒索病毒(勒索軟體,Ransomware) 瞄準了我們的一家客戶,這一點從勒索病毒使用的電子郵件地址和登入憑證可以證實。使用 Go 語言 (亦稱 Golang) 來撰寫勒索病毒似乎已成為駭客集團之間的一個普遍 現象。這種作法之所以變得熱門,一個可能原因是 Go 語言採用靜態方式組譯其所需的函式庫,大幅增加了資安分析的難度。
根據我們的調查顯示,這個新的勒索病毒專門瞄準亞洲和非洲企業,據黑暗網路(Dark Web,簡稱暗網)上一位名叫「Qilin」的使用者所發表的貼文 (此人似乎跟勒索病毒集團有所關連) 以及勒索病毒本身的勒索訊息來看,此勒索病毒叫作「Agenda」。
Agenda 會將系統重新開機至安全模式,並且會終止許多伺服器相關的處理程序和服務,同時還提供了多種執行模式。從趨勢科技蒐集到的樣本來看,此勒索病毒會根據每一家受害機構而客製化,內含獨一無二的公司識別碼 (ID) 以及外洩的帳號細節。
繼續閱讀【2022 年 9 月 22日台北訊】 全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 近日在一份新發布的報告中提出警告:目前尚缺乏法律管控的「黑暗元宇宙」(Darkverse) 可能將迅速催生一個全新的元宇宙網路犯罪產業。同時,趨勢科技也在本週CYBERSEC 2022 台灣資安大會的 xSecurity 論壇中發表「元宇宙的受攻擊面」 (Attack surface on Mataverse) 演說,提到元宇宙相關的資安威脅,當前正在發生的區塊鏈資安與NFT詐騙,隨著時間推進與應用場景的演變,未來將陸續浮現更多AI深偽技術及VR/AR威脅。
「元宇宙是否將成為更危險的虛擬世界:分析體驗聯網 (IoX) 的網路資安威脅」(Metaverse or MetaWorse? Cyber Security Threats Against the Internet of Experiences) 完整報告。
元宇宙將引發的五大威脅統整如下:
• NFT 將成為網路釣魚、勒索、詐騙以及其他攻擊的目標,隨著 NFT 因持有權無法偽造的特性而逐漸成為元宇宙中的重要商品,它也將成為駭客集團的攻擊目標,而犯罪集團將同步從使用者與項目方雙面夾擊。
繼續閱讀趨勢科技一直在持續追蹤 CopperStealer 駭客集團的最新發展,這次它利用一個惡意的 Chromium 瀏覽器擴充功能來竊取虛擬加密貨幣和使用者錢包的帳號資訊。
我們曾經發布一些有關 CopperStealer 駭客集團的分析,指出他們會透過瀏覽器資訊竊取器、瀏覽器廣告擴充功能或是遠端桌面來散播惡意程式。最近我們在追蹤他們的最新動態時發現,該集團正利用一個可產生和竊取 API 金鑰的惡意瀏覽器擴充功能,在被感染的電腦上趁著使用者登入一些主流虛擬加密貨幣交易所網站時,竊取 API 金鑰。有了 API 金鑰,擴充功能就可以使用者的名義執行虛擬加密貨幣交易,將虛擬加密貨幣從使用者的錢包發送到駭客的錢包。
如同先前的作法,這個新的惡意元件同樣也是經由假盜版軟體網站散播。此元件散播時通常會包含一個植入器和一個瀏覽器資訊竊取器,並與其他不相干的惡意程式打包在一起,接著再壓縮成一個密碼保護的壓縮檔,從今年 7 月開始在網路上散播。
此元件在第一階段使用了我們先前一篇貼文中提到的同一個加密器,接著在第二階段中,解密後的 DLL 使用了 Ultimate Packer Executables (UPX) 來壓縮。在經過解密和解壓縮之後,我們發現一個名為「CRX」的資源目錄,裡面含有一個 7-Zip 壓縮檔。這是惡意的 Chrome 瀏覽器擴充功能經常使用的包裝方式。
圖 1:名為 CRX 的擴充功能安裝程式內含一個 7-Zip 壓縮檔。
壓縮檔內含一個 JSON 格式的設定檔,以及另一個 7-Zip 壓縮檔,裡面是擴充功能安裝程式本身的程式碼。
擴充功能安裝程式首先會修改 Chromium 瀏覽器的「User Data」目錄下的「 Preferences」和「 Secure Preferences」兩個檔案。 Preferences 是一個 JSON 格式檔案,內含個別使用者設定。擴充功能安裝程式會關閉瀏覽器通知。
另外,Secure Preferences 也是一個 JSON 格式檔案,內含新安裝擴充功能的設定。由於是新安裝的擴充功能,所以「 crx.json」檔案的內容會被插入這個 Secure Preferences 設定檔中。此外,新安裝的擴充功能也會被加入系統登錄中的擴充功能安裝允許清單。
接著,「crx.7z 」壓縮檔會解開到擴充功能目錄「<User Data\Default\Extension>」之下。最後,瀏覽器會重新啟動,好讓新安裝的擴充功能啟用。根據我們的分析,此惡意元件會攻擊下列以 Chromium 為基礎所開發出來的瀏覽器:
同時,我們也發現安裝在受害者瀏覽器的惡意擴充功能包含兩個不同的擴充功能識別碼 (ID),但這兩個都沒列在官方的 Chrome Web Store 上:
擴充功能安裝好後,我們將在 「 chrome://extensions/」看到以下這個新安裝的惡意擴充功能。
擴充功能的 manifest 文件定義了兩個 JavaScript 腳本。其中,背景腳本的檔名為「 background.js」,它會在擴充功能本身內部執行,而且只執行一份。另一個是內容腳本,檔名為「 content.js」,它會在 coinbase.com 環境 (context) 內執行,這一點從擴充功能的 manifest 文件中可以看到。
腳本加密編碼
這兩個 JavaScript 腳本都經過多道加密編碼手續。第一道加密編碼會將所有的字串拆成較小的字串,並儲存成單一陣列,存取此陣列時要呼叫多個使用十六進位字元命名的函式,並輸入 5 個十六進位整數作為參數。
第二道加密編碼會將所有字串、邏輯運算子 (+, -, *, /)、函式呼叫等等,插入一個物件陣列當中。每個物件含有一個隨機字串作為名稱,以及一個字串或函式作為數值。在我們分析的樣本中,「 _0x1f27e3[‘PFPYr’]」對應到字串「set」,而「 _0x1f27e3[‘LYLfc’](0,1) 」則對應到邏輯運算敘述「0!=1」。
以上兩道加密編碼都能使用客製的自動化腳本來解開。
藉由分析這個腳本,我們就可以看出駭客如何竊取合法虛擬加密貨幣錢包使用者的帳戶資訊。當此擴充功能啟動時,背景腳本會發出兩個網路請求。第一個是 GET 請求,目標網址為「 http://<C&C server>/traffic/chrome」,這可能是作為統計用途。第二個是 POST 請求,目標網址為「 http:// <C&C server>/traffic/domain」,請求中的資料包含一份虛擬加密貨幣網站的網域清單 (根據受害電腦上的 cookie):
接下來,擴充功能會定義一個陣列,裡面存放駭客的各種虛擬加密貨幣位址和 Token:
針對 ETH (乙太幣) 位址,該腳本當中寫死了大約 170 個額外的 ERC20 Token。隨後,擴充功能啟動 onMessage 監聽器 (listener) 來監聽擴充功能處理程序或內容腳本所發送的訊息。此訊息使用的是 JSON 格式,其中一個數值的名稱為「method」(方法)。背景腳本會監聽以下方法:
這個方法會試圖從 Chrome 的本機儲存讀取 API 金鑰 (apiKey) 與 API 機密 (apiSecret),如果這些金鑰/機密之前曾經儲存在本機上的話。這些參數用於以下步驟:
交易請求回傳的結果也會傳送給 C&C 伺服器:http://<C&C server>/traffic/step。
這個訊息是從內容腳本所收到,內容含有一個雙重認證 (2FA) 碼作為其中一個參數。此認證碼用來開啟一個新的對話視窗以產生 API 金鑰。通常,當您在 Coinbase API 設定中點選「+New API Key」(新增 API 金鑰) 時,您會看到一個雙重認證要求,如果您輸入的認證碼正確,就會出現這個對話視窗。
在產生新 API 金鑰的第二個步驟中,您必須選擇錢包及權限。惡意擴充功能會要求您提供所有可用帳戶的所有權限。
接著,您必須再輸入一個認證碼,然後會出現一個表單顯示新產生的 API 金鑰。如果成功,背景腳本接著會從「API key details」表單擷取這兩個 API 金鑰 (API Key 和 API Secret),將它們儲存到 Chromium 瀏覽器的本機儲存以供後續使用,並傳送至幕後操縱伺服器: http://<C&C server>/traffic/step。如果 API 認證不成功,就會發送「retryApi」訊息給內容腳本。
我們進一步分析了內容腳本當中負責竊取受害者雙重認證密碼的程式碼。內容腳本當中含有一系列語言的訊息,包括下列語言:
每個訊息都包含標題、說明以及針對手機和認證器的錯誤訊息。
舉例來說,以下是針對手機的英文訊息:
以下是針對認證器的英文訊息:
內容腳本一開始會先發送請求至「 /api/v3/brokerage/user_configuration」來看看使用者是否已經登入。接著,內容腳本會發送一個「homeStart」訊息給背景腳本,並開始利用 onMessage 來監聽含有「method」屬性的訊息,如同背景腳本的作法一樣。如果收到的訊息「method」屬性等於「okApi」,就會隱藏認證碼載入器並移除對話視窗。如果收到的訊息「method」屬性等於「errorApi」,就會建立一個對話視窗。
這個對話視窗上含有幾個輸入方塊,並且會監聽 oninput 事件。當每個輸入方塊都填入數字時,這些數字會拼湊在一起並寫入「tfa」變數 (雙重認證碼) 並當成「createApi」訊息的參數,發送至背景腳本。然後也會顯示認證碼載入器。
對話視窗有 6 個輸入方塊可輸入 6 位數,這是在使用認證器的情況。如果受害者使用的是手機簡訊認證,那麼認證碼會是 7 位數,此時對話視窗會出現 7 個輸入方塊。這部分的邏輯是寫在對話視窗的程式碼內。如果收到的訊息「method」屬性等於「retryApi」,那程式碼會刪除所有已輸入的數字,並以紅色顯示錯誤訊息。
CopperStealer 犯罪集團短期內似乎毫無收手的跡象,我們將持續監控他們的一舉一動,看看他們如何攻擊更多不知情的受害者。我們這次在分析惡意擴充功能的行為時,發現這個擴充功能與之前的 CopperStealer 惡意程式有許多相似之處,其中一個就是這個擴充功能與 CopperStealer 都是經由相同的植入器散播,同時也透過前面提到的相同管道。
另一個極為相似的地方是,這個惡意擴充功能的 C&C 伺服器網域與先前版本的 CopperStealer 所用的網域名稱擁有相同格式,應該都是由網域產生演算法 (DGA) 所產生,格式為 16 個十六進位字元組成的字串。不僅如此,兩者的 C&C 伺服器也都是使用一個名為「CodeIgniter」的 PHP 程式框架所建立。這些就是 CopperStealer 惡意程式與此擴充功能背後的開發及經營者可能有所關聯的線索。
企業和一般使用者應養成從官方平台下載軟體、應用程式及更新的習慣,就能防範 CopperStealer 這類惡意程式的威脅和風險。建議您的團隊最好讓資安解決方案隨時保持更新,以確保它們能妥善保護系統,偵測並防範各種可能的攻擊和感染。
如需完整的入侵指標 (IoC),請參閱 這份文件。
原文出處: CopperStealer Distributes Malicious Chromium-based Browser Extension to Steal Cryptocurrencies 作者:Jaromir Horejsi 與 Joseph C Chen