隨著購物季節即將到來,也出現了多起關於信用卡資料外洩危及各行業及其客戶資料的消息。著名的像是希爾頓酒店和其他類似企業資料外洩事件是由端點銷售(PoS)惡意軟體所造成,讓許多人會擔心會有許多實體店面遭受數位威脅。研究人員還發現有大規模攻擊活動利用模組化ModPOS惡意軟體來竊取美國零售商的支付卡資料。
然而就趨勢科技所見,並不僅是美國零售業者面臨資料外洩風險。我們發現一個具備隱匿性,會搜尋網路中PoS系統的傀儡殭屍網路(請參考殭屍網路即時分布圖)。它擴大其攻擊面至全世界的中小型商業網路,包括一間美國的醫療機構。我們將它稱為Black Atlas行動,因為此攻擊行動所主要使用的惡意軟體是BlackPOS。
自2015年九月就可以看到Black Atlas行動出現,正好在購物季節前播下種子。其目標包括醫療保健、零售業及許多依賴卡片交易系統的產業。
這起攻擊行動是由技術相當先進的網路犯罪分子所進行,其非常了解各種滲透測試工具,並且對地下市場內的端點銷售(PoS)惡意軟體有相當廣的關聯。行動操盤手製作了一套就像瑞士刀一樣的工具集,每個工具都提供不同的功能。Black Atlas所用的惡意軟體包括(但不限於)Alina,NewPOSThings,一個Kronos後門程式和BlackPOS等變種。BlackPOS也被稱為Kaptoxa,是2013年Target資料外洩和2014年攻擊多個零售商帳戶所用的惡意軟體。
跟GamaPoS類似,Black Atlas行動採用散彈槍模式來滲透網路,而非尋求特定目標。基本上會檢查網路上可用的端口,看看是否能夠進入,結果就在世界各地找到多個目標。下圖顯示這些目標的所在地,台灣也列入其中:
圖一、Black Atlas行動中Gorynych目標分布 繼續閱讀
