APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat - 資安趨勢部落格

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

2015 年 05 月 07 日2015 年 10 月 14 日趨勢科技 TrendMicro

Pawn Storm活動激增，鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）行動在新的一年突然爆炸性成長，導入了新的基礎架構，同時也開始鎖定北大西洋公約組織 (NATO) 會員國，甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報，同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

Pawn Storm 攻擊行動：背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動，其目標相當廣泛，包括：軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客，至少從 2007 年開始即活躍至今，其犯案模式非常固定。我們為所取的名稱，是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法，與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件，文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式；第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式，讓瀏覽者感染前述的惡意程式；最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體，此外，烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月，趨勢科技觀察到 Pawn Storm 又有新的動作，並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式。

繼續閱讀

< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

2015 年 05 月 06 日2015 年 04 月 27 日趨勢科技 TrendMicro

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問，為什麼要做到如此透徹？這是要了找出最好的方法去躲避你的防禦措施，拿到你的資料，取回接著從中獲利。

作者：Bob Corson

對付　APT攻擊/目標攻擊， 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」，記得去試試。在最近，一直在我腦海中激盪思考的題目，就好似上圖中兩個物品跟目標攻擊的關係。不過，我希望經過幾段文章之後，你會得出以下結論：那些想進行「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的人不會照著預期的規則走。想贏得這場「遊戲」，你必須要能夠偵測某些你原本看不見的東西。

現在，讓我們開始。在進行「APT目標攻擊遊戲」後，很有機會你會進行到最後跟Ferguson先生握手，你有什麼結論、意見和想法呢？我的話，是加強了我已經思考一段時間的想法，可以由上圖的物件來表示。繼續閱讀

< APT 攻擊 >趨勢科技發佈進階持續性滲透攻擊(APT)趨勢報告

2015 年 04 月 30 日2015 年 04 月 30 日趨勢科技 TrendMicro

APT手法持續突破政府機關、軟硬體公司、消費性電子製造商成目標

【2015年4月30日台北訊】全球雲端安全領導廠商趨勢科技發佈最新進階持續性滲透攻擊(APT)發展趨勢：2014 年度報告。根據報告指出，過去一年，進階持續性滲透攻擊(簡稱 APT) 技巧不斷翻新，威脅變得更為多元複雜，而情報蒐集與竊取資料是所有APT的共通目的。趨勢科技呼籲，政府、企業皆需全面了解最新APT發展情勢以調整防禦策略，降低遭遇攻擊的風險。

趨勢科技資深技術顧問簡勝財指出：「由於其高破壞性與高成功率，讓網路犯罪集團越來越常採用APT的攻擊技巧。要反制這類攻擊，企業必須隨時保持警戒，並且採取有效的解決方案來因應不斷演變的網路安全情勢。建議企業必須建立一套客製化防禦，運用進階威脅偵測技術與共享的威脅情報來偵測、分析、回應一般標準資安解決方案所無法偵測的攻擊。」

根據報告預測，APT目前依然難以防範，其不著痕跡的攻擊方式讓有心人士蒐集情報、竊取機密資料的軌跡無法立即偵測，且技巧和手法皆不斷翻新。APT已成為全球問題，網路犯罪者最愛的目標不再僅侷限於美國、俄羅斯與中國。依據趨勢科技於 2014 年所監控的案例，澳洲、巴西、中國、埃及和德國是APT幕後操縱(C&C)伺服器分布最多的前五大國家，台灣也名列前十五名之一。雖然，政府機關依然是此類攻擊最愛的對象，不過趨勢科技也發現，軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT的次數也突然攀升。

繼續閱讀

APT 攻擊有何變化?政府機關依然是APT 攻擊最愛,台灣列入熱門目標

2015 年 04 月 28 日2015 年 04 月 30 日趨勢科技 TrendMicro

2014 年是「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）手法更加精進的一年。隨著越來越多企業升級到新版的 Windows 作業系統，我們發現有些攻擊行動也開始採用更多的 64 位元惡意程式。這類 64 位元惡意程式的範例包括：HAVEX (一種 RAT 遠端存取木馬程式，用於專門針對工業控制系統的攻擊) 以及 WIPALL (Sony Pictures 遭駭事件的主角)。

隨著歹徒轉進新的 Windows 版本，他們也開始在攻擊當中利用一些正常的工具和功能。Windows PowerShell® 就是一個例子，這是 Windows 7 開始提供的一個功能，可讓系統管理員不需透過圖形使用者介面 (GUI) 就能操作系統的一些功能。歹徒使用 PowerShell 指令來下載惡意檔案，並且越過檔案執行管制原則來執行下載的惡意檔案。

此外，還有一個文件漏洞攻擊範本 TROJ_MDROP.TRX 也出現在多起APT攻擊當中。此漏洞攻擊範本很可能已在地下市場上販售及散布，因為它曾出現在多項攻擊行動當中。歹徒只需修改這個漏洞攻擊範本來配合其目的即可。

根據趨勢科技的資料，.RTF 和 .DOC 檔案是最常被使用的電子郵件附件檔案，這很可能是因為 Microsoft Word® 在任何企業及機構都會用到。

圖 1：2014 年鎖定APT 攻擊最常用的電子郵件附件檔案類型

攻擊所使用的新舊漏洞

2014 年的鎖定APT 攻擊使用了多個零時差漏洞。例如，兩個針對 CVE-2014-1761 漏洞的 Taidoor 相關零時差漏洞攻擊，襲擊了台灣的一些政府機關和某個教育機構，其修補空窗期維持了 15 天。攻擊新的漏洞比攻擊舊的漏洞效果更好，因為廠商尚未釋出修補程式。零時差漏洞經常讓廠商及一般受害者手忙腳亂。

然而，歹徒並未因為使用新的漏洞就放棄利用舊的漏洞。事實上，攻擊舊的漏洞可以收到固定的成效，而且歹徒只需利用一些可輕易買到且經過長期驗證的漏洞攻擊工具即可。

儘管 MS12-027資訊安全公告已修正了 CVE-2012-0158 漏洞，但此漏洞仍是駭客的最愛。不但如此，它還是 2014 上半年鎖定APT 攻擊最常利用的漏洞。最有名的例子就是 PLEAD 和 Pawn Storm，這兩項攻擊行動都是利用這個漏洞來滲透目標網路。

全球問題

政府機關依然是 2014 年鎖定APT 攻擊最愛的對象。不過在下半年，軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到鎖定APT 攻擊的次數也突然竄升。

此外，我們也統計了與幕後操縱伺服器通訊的受害目標在全球的分布狀況。如以下地圖中的熱區顯示，美國、俄羅斯和中國不再是歹徒唯一的最愛，其他熱門的目標還有台灣、南韓、法國與德國。

圖 2：2014 年與鎖定APT 攻擊幕後操縱伺服器通訊最多的國家 (點一下影像可放大檢視)

跟上威脅的腳步

有鑑於鎖定APT 攻擊數量不斷增加、發動攻擊的困難度不斷下降、防禦的困難度不斷上升，網路安全人員最重要的是從預防到偵測的心態轉變。也就是說，企業必須接受APT 攻擊勢必攻陷其網路的事實，因此，任何黑名單的機制都將無法遏止有心的駭客。

建立威脅情報是對抗鎖定APT 攻擊的重要關鍵。透過外界的各種報告以及內部的歷史記錄和即時監控資料來了解歹徒所用的工具、技倆及手法，能有助於建立強大的入侵指標 (Indicators of Compromise，簡稱 IoC) 資料庫，這將成為企業採取行動的基礎。但企業不應僅止於了解這類攻擊，還應建立及訓練一些事件應變團隊，並且教育員工、合作夥伴以及上下游廠商認識社交工程技巧與資訊安全的概念，以降低鎖定APT 攻擊的相關風險。

如需詳細的說明，請參閱我們的鎖定APT 攻擊趨勢：2014 年度報告。

原文出處： https://blog.trendmicro.com/trendlabs-security-intelligence/how-targeted-attacks-changed-in-2014/

TV5Monde-法國最大的全球性電視網遭攻擊,11個頻道全數斷線：四小時改變了世界

2015 年 04 月 17 日2015 年 04 月 22 日趨勢科技 TrendMicro

4月8日晚上10點到翌日凌晨的1點，TV5Monde，這家法國最大的全球性電視網因為網路攻擊而導致完全斷線。這次攻擊的範圍前所未見。攻擊者能夠：

完全中斷 TV5Monde所有11個頻道的播出。
完全中斷 TV5Monde 的內部網路。
取得 TV5Monde 網站和社群媒體帳號的控制。
變更網站內容成為親ISIS的聲明。
在社群媒體帳號貼出參與對ISIS行動的法國士兵親屬名字和個人資料。

上述任何一項，單獨發生都已經是重大的網路攻擊事件，全部同時發生更是提升了整個事件的層級。有關單位正持續進行調查，以期精確掌握此攻擊事件的源頭與始末。

TV5Monde，這家法國最大的全球性電視網因為網路攻擊而導致完全斷線,網路相關報導

根據趨勢科技初步的調查顯示，VBS_KJWORM.SMA是由名為Sec-Worm 1.2 Fixed vBS Controller的駭客工具所產生。我們將此遠端控制木馬產生器偵測為HKTL_KJWORM。

要指出的是，Kjw0rm已知的惡意軟體家族；趨勢科技在一月份時曾經提及此惡意軟體家族，因為它來自于外洩的NJWORM原始碼。Kjw0rm可以在dev-point.com的阿拉伯文區找到。

研究趨勢科技主動式雲端截毒服務 Smart Protection Network的資料後發現，VBS_KJWORM.SMA在過去一周至少在12個國家出現，包括了南非和印度。這並不令人驚訝，因為這惡意軟體可以從地下論壇取得，任何人都可以使用。

此惡意軟體可以被用來作為後門程式進入受感染系統。此外，據報在攻擊中所用的C&C伺服器跟另一個後門程式BKDR_BLADABINDI.C有關。經過調查讓我們相信Kjw0rm和BLADABINDI幕後的黑手是相同的。

進一步由趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示其他VBS惡意軟體變種目前也在肆虐中。同時也發現四個不同的C&C伺服器（跟NJWORM所用的不同）。這些不同樣本跟之前的NJRAT/JENXCUS攻擊有關。NJRAT會關連到拉丁美洲的DUNIHI攻擊。

註：SECWORM惡意軟體是來自KJw0rm的遠端存取木馬，加上一些修改和改進。

了解造成公司停擺之網路攻擊的影響

根據報導，這起在4月9日針對法國TV5Monde電視網的大規模網路攻擊開始於大約當地時間的晚上10點，當時該電視網的11個頻道都停播了。

此外，TV5Monde的網站、公司電子郵件以及他們的社群媒體帳號都遭到攻擊。該電視網的Facebook網頁被用來發佈據稱來自伊斯蘭國ISIS的宣傳資訊。該電視網的一個Twitter帳號也被用來貼出反對美國和法國的留言，以及發出威脅法國士兵家屬的訊息。法國士兵的身分證和護照影本也被公佈。

要特別指出的是，此次攻擊的技術細節尚未明朗。然而，遠端存取木馬產生器目前在數個駭客論壇都可取得，任何惡意份子都能加以利用。因此，不需要太多技術背景就可以加以使用。

趨勢科技威脅研究反應團隊也密切關注此事件發展，以確保提供用戶完整的防護。同時，藉著本次惡意攻擊事件發生的機會，趨勢科技再次提醒客戶及合作夥伴，我們無時無刻都處於精密規劃的惡意攻擊威脅之中，因此更需要建立一套完整的防禦措施。即便這次事件的初始攻擊目標是位於巴黎的公司，但是現今的資訊流早已無國界，也可能造成全球性的重大影響。

APT 攻擊-進接持續性威脅(Advanced Persistent Threat，APT)與其他目標式攻擊的其中一項關鍵在於他們會尋找企業的系統及軟體弱點與安全防護漏洞，並搶先在漏洞修補前發動攻擊。滲透進入企業內部網路後，隨即開始使用各種惡意程式、駭客工具、惡意程式碼回報給遠端的命令與控制伺服器（Command & Control Server, C&C）。有鑑於此，趨勢科技也持續將新發現的C&C的IP位址加入趨勢科技主動式雲端截毒技術（Smart Protection Network, APN）資料庫中，協助阻擋此類攻擊事件中的回報行為，大幅降低可能帶來的損害。

趨勢科技在此建議您，要防範駭客攻擊，除了防毒軟體及各種資訊安全產品皆須正確佈署並隨時保持更新之外，應當採取更積極主動的措施（可參考給IT管理員的 6 個網路安全建議），在日常生活中也須提高資安意識，例：點擊電子郵件中的網址前須仔細確認其真偽。

如前所述，趨勢科技仍持續關注歐洲網路攻擊事件的發展，並會將新資訊或是防護措施（病毒碼或新防禦規則等）公布於以下知識庫：https://esupport.trendmicro.com/solution/en-us/1109423.aspx。此事件再次提醒我們，現今的數位化世界高度連結已無國界，面對資安威脅絕不可掉以輕心。如對目標式攻擊或惡意威脅有任何問題，請聯絡趨勢科技技術支援部。相關資料請參閱。

這事件更加令人驚心的是幕後很有可能有著政治或恐怖分子目的（跟我們最近的Arid Viper行動報告中所陳述的類似）。

完整的細節尚未明朗，不過之前的攻擊如 Arid Viper 和 Sony（遭遇相同命運的另一家大公司）顯示這很有可能是網路釣魚（Phishing）和魚叉式網路釣魚造成。我們最近針對美洲國家組織（OAS）所作關於關鍵基礎設施攻擊的調查結果也支持了這一論點。研究發現，網路釣魚（Phishing）是針對關鍵基礎設施的頭號攻擊手法，有71％的受訪者說自己曾遭遇這樣的攻擊。

而此事件所最凸顯的是針對關鍵基礎設施的網路攻擊會影響到一般民眾這事實。簡而言之，這是第一次出現只在驚悚片或災難片中會看到的針對關鍵基礎設施攻擊。

TV5Monde在約上午2點恢復對其網路及運作的控制，約是攻擊開始後的四個小時。截至本文撰寫時，他們已經保持控制超過了24小時。從這一點看，攻擊似乎是結束了。

但該擔心的事情現在才開始浮現，因為我們知道發生什麼及其代表什麼。繼續閱讀