APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat

石油天然氣產業的網路資安：建議 (下篇)

2022 年 09 月 27 日2022 年 09 月 15 日趨勢科技 TrendMicro

在本系列的最後一篇，我們將詳細探討 APT33 駭客集團並提供我們專家團隊的一些資安建議。

石油天然氣產業依舊是駭客集團的主要目標，駭客的目的是要造成營運中斷並帶來損害。上一篇 (中篇) 我們討論了各種可能衝擊石油天然氣產業的威脅，包括：勒索病毒(勒索軟體,Ransomware)、DNS 通道和零時差漏洞攻擊(zero-day attack)。接下來，在本系列的最後一篇，我們將探討 APT33 駭客集團這個被視為許多石油產業及相關供應鏈遭到魚叉式網路釣魚 (Spear Phishing )攻擊背後的元凶。最後，我們將提出一些有助於石油天然氣公司強化網路資安架構的建議。

APT 33 個案研究

繼續閱讀

多平台 APT 攻擊瞄準線上博弈網站

2022 年 06 月 07 日2022 年 06 月 01 日趨勢科技 TrendMicro

趨勢科技披露了 Earth Berberoka 在各平台上用來攻擊線上博弈網站的工具和技巧。

New APT Group Earth Berberoka Targets Gambling Websites With Old and New Malware

Earth Berberoka 攻擊行動解密

Operation Earth Berberoka: An Analysis of a Multivector and Multiplatform APT Campaign Targeting Online Gambling Sites — 下載「Operation Earth Berberoka：專門瞄準線上博弈網站的多管道、多平台進階持續性滲透攻擊 (APT) 行動分析」。

趨勢科技發現了一個專門瞄準線上博弈網站的「進階持續性滲透攻擊」（APT 攻擊）集團，我們將這個集團命名為 Earth Berberoka (亦稱 GamblingPuppet)，他們使用中國駭客的升級版舊式惡意程式家族，如 PlugX 與 Gh0st RAT，此外也用到一個全新的多重階段惡意程式家族 (我們命名為「PuppetLoader」)。Earth Berberoka 使用了多種平台的惡意程式家族來攻擊 Windows、 Linux 和 macOS 作業系統。

攻擊目標

根據趨勢科技的分析， Earth Berberoka 的主要攻擊目標是中國境內的線上博弈網站。但也有證據指出他們曾經攻擊非博弈網站，包括某個教育相關的政府機關、兩家 IT 服務公司，以及一家電子製造商。

從 2020 年 12 月 12 日至 2022 年 4 月 29 日，趨勢科技總共在中國境內記錄到 15 次冒牌 Adobe Flash Player 安裝程式下載，其中有 8 次是從某個網站重導到惡意的 Adobe Flash Player 網站 (5 次從美國的合法新聞網站，3 次從某個不明網站，其中 2 次來自香港，1 次來自馬來西亞)，並且在台灣境內偵測到 1 次 PlugX DLL 下載。

繼續閱讀

APT36 (Earth Karkaddan) 駭客集團的攻擊手法與惡意程式分析

2022 年 03 月 02 日2022 年 02 月 23 日趨勢科技 TrendMicro

趨勢科技分析了政治動機強烈的進階持續性滲透攻擊駭客集團 APT36 (亦稱 Earth Karkaddan) 最近的活動，並探討其所用的 CapraRAT (Android 遠端存取木馬程式) 與該集團最愛的 Windows 惡意程式 Crimson RAT 在設計上的明顯相似之處。

APT36 (亦稱 Earth Karkaddan) 是一個政治動機強烈的「進階持續性滲透攻擊」（Advanced Persistent Threat，簡稱APT攻擊）集團，向來專門攻擊印度的軍事與外交目標。此 APT 集團有時也被稱為「Operation C-Major」、「PROJECTM」、「Mythic Leopard」及「Transparent Tribe」，他們擅長利用社交工程與網路釣魚誘餌來入侵目標機構，成功之後然後再利用 Crimson RAT 惡意程式來竊取受害機構的資訊。

在 2021 年尾，我們看到該集團開始使用一個 Android 遠端存取木馬程式 (RAT) 叫作「CapraRAT」，其設計與該集團愛用的 Windows 惡意程式 Crimson RAT 明顯相似。兩者在函式名稱、指令與功能上都相當雷同，詳細內容請參閱我們的技術摘要報告「Earth Karkaddan APT」。

這份研究是根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網從 2020 年 1 月至 2021 年 9 月所蒐集到的資料。

深入分析 Earth Karkaddan 的最新攻擊行動

繼續閱讀

APT 攻擊:White Rabbit 勒索病毒與其躲避偵測技巧

2022 年 02 月 08 日2022 年 02 月 07 日趨勢科技 TrendMicro

本文分析了最新發現的 White Rabbit 勒索病毒並仔細研究了它的躲避偵測技巧。

趨勢科技發現最新的 White Rabbit 勒索病毒家族在 2021 年 12 月暗中攻擊了一家美國當地銀行。這個新的勒索病毒跟知名的 Egregor 勒索病毒一樣會隱藏自己的行為，而且可能跟知名的「FIN8」「進階持續性滲透攻擊」（APT攻擊）

集團有所關聯。

在指令列輸入密碼

White Rabbit 最值得注意的一點是，它的惡意程式需要在指令列輸入一個特殊的密碼，才能解開其內部的組態設定並執行勒索病毒行為。這種避免暴露惡意行為的技巧是知名勒索病毒家族 Egregor 為了防止研究人員分析其惡意程式而採用的密技。

繼續閱讀

TeamTNT 持續攻擊雲端，瞄準 AWS 執行個體

2021 年 12 月 14 日2021 年 12 月 13 日趨勢科技 TrendMicro

TeamTNT 駭客集團經常竊取 Amazon Web Services (AWS)、Docker 與 Linux Secure Shell (SSH) 的登入憑證，此外也從事其它惡意活動，包括在 Linux 裝置上挖礦或植入後門程式 (如 IRC 殭屍程式與遠端指令列腳本)。不過，該集團的攻擊範圍當時仍是個謎。趨勢科技在分析該集團的活動時發現了一個二進位檔案內含一段寫死的指令列腳本 (shell script) 專門用來竊取 AWS 登入憑證，進而掌握了該集團的攻擊範圍。

Figure 1: IRC bot dropping encoded shell script (detected as Backdoor.Linux.TSUNAMI.USELVBF21) — 圖 1：IRC 殭屍程式在系統植入預先寫死的一段指令列腳本 (趨勢科技命名為：Backdoor.Linux.TSUNAMI.USELVBF21)。

繼續閱讀