最近趨勢科技發現了一個 Negasteal 惡意程式 (亦稱 Agent Tesla) 的變種,會經由 hastebin 以無檔案病毒(fileless malware)方式散布 Crysis 勒索病毒 (亦稱為 Dharma)。這是我們首次發現 Negasteal 會散布勒索病毒。
就在幾個月前,Deep Instinct 披露了第一個使用 hastebin.com 來散布惡意內容的 Negasteal 變種。Negasteal 是 2014 年被發現的間諜程式,採用付費訂閱方式在網路犯罪地下論壇提供服務,其幕後集團隨時都在精進其躲避技巧以維持市場地位。
Crysis 則是一個涉及多起知名攻擊的勒索病毒,一直在不斷推出新的變種以及各種不同技巧。Crysis 也跟 Negasteal 類似,採用付費服務的方式來經營,提供所謂的勒索病毒服務 (RaaS) 供其他犯罪集團使用。
這是趨勢科技第一次看到這兩個惡意程式服務結合在一起。根據我們蒐集到樣本顯示,此變種是經由網路釣魚郵件散布,如圖 1 所示:
作者:趨勢科技全球安全研究副總裁 Rik Ferguson
回到2012年,趨勢科技很幸運地被邀請參加由國際網路安全保護聯盟(ICSPA)所發起的一項令人興奮的研究專案。在那裏,我與來自歐洲刑警組織歐洲網路犯罪中心(EC3)由Victoria Baines博士帶領下的專家們一同工作。
這項專案的目的是要撰寫一份白皮書,裡面設想了未來八年的技術發展,可能引發的社會和行為變化,當然還包括了可能出現的誤用場景。以當下技術、惡意威脅和一年預測綜合做基礎;推斷新興科技複雜的相互關係和影響來建立對政府、企業和人民的場景描述。這項專案設想了一個近中期的未來,在這個未來中,科技的發展既創造了新的可能性,也帶來了新的威脅。
繼續閱讀最近趨勢科技發現了一個應該是由 OceanLotus 駭客集團所開發的最新後門程式 (趨勢科技命名為 Backdoor.MacOS.OCEANLOTUS.F),增加了一些新的行為與網域名稱。
由於它的動態行為與程式碼都與先前的 OceanLotus 惡意程式類似,因此我們確定這應該是 OceanLotus 惡意程式的變種。
9 月 16 日美國司法部宣布將起訴五名中國人民 ,他們涉嫌駭入美國境內及海外超過 100 家機構。其攻擊目標遍布各種產業,從電玩遊戲公司、電信業者,到大學與非營利機構。這五名嫌犯據稱與 APT41 駭客集團有所關聯。今年五月,趨勢科技才發現專門以資料庫和郵件伺服器為加密目標的 APT41集團涉及某些針對台灣企業的勒索病毒攻擊, 也使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。截稿前為止,他們仍在逃亡,但已有兩名馬來西亞人民因協助這批駭客而遭到逮捕。
從美國司法部所公布的三份起訴書可看出該集團的惡意活動類型相當廣泛,例如虛擬加密貨幣挖礦( coinmining )與勒索病毒Ransomware (勒索軟體/綁架病毒)攻擊。大部分的活動大多是為了牟利,但也有少部分是間諜活動。
司法部官員表示,該集團在成功入侵之後,會竊取原始程式碼、客戶帳戶資料,以及個人身分識別資訊 (PII)。其他重要犯罪行為還有:修改遊戲內物品數量來詐騙遊戲公司、使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。
駭客所使用的多是公開的漏洞攻擊手法與常見的漏洞,詳細資訊可參考官方報告。此外,也運用精密的駭客手法來駭入並常駐於受害者的電腦網路內。官方報告描述了該集團如何運用「供應鏈攻擊」手法,他們會先駭入軟體供應商,然後再修改他們提供給客戶的程式碼。這樣歹徒就能駭入廠商的客戶,進一步拓展勢力範圍。
這已經不是第一次 APT41 駭客集團受到嚴密的關注,該集團早已活躍好一陣子。今年五月,趨勢科技才發現該集團涉及了某些針對台灣企業的勒索病毒攻擊。這個我們命名為「ColdLock」的新勒索病毒家族,專門以資料庫和郵件伺服器為加密目標,所以破壞力不容小覷。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選
先相信,才看到 商業周刊
巴基斯坦最大私人電力公司K-Electric也遭Netwalker勒索軟體攻擊 iThome
澳洲州政府遇網釣攻擊,18.6萬筆民眾資料外洩 iThome
金融科技新契機 有效解除各方痛點成當務之急 CIO IT經理人
華納音樂旗下電商網站遭Magecart手法入侵,用戶個資、信用卡資料外洩 iThome
微軟減少抓漏獎金,駭客索性公布Windows 10權限升級漏洞 iThome
駭客亂入網課 鎖定螢幕、播色情片…老師不勝其擾 世界新聞網
繼續閱讀