APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat - 資安趨勢部落格

XDR 調查發現 PlugX 獨特的 APT 攻擊技巧

2021 年 03 月 08 日2021 年 03 月 30 日趨勢科技 TrendMicro

前一陣子我們經由 Apex One with Endpoint Sensor (iES) 偵測到一起進階持續性滲透攻擊 (APT) 使用了一種非常精密的技巧來竊取某家企業的機敏資訊。

進階持續性滲透攻擊 (APT) 是一種已知且全球皆聞之喪膽的隱匿攻擊。發動這類攻擊的駭客隨時都在開發新的技巧來躲避偵測，盡可能確保他們能在一個環境當中能夠長期潛伏。最近，我們經由 Apex One with Endpoint Sensor (iES) 發現了一起進階持續性滲透攻擊事件，駭客利用精密的技巧來竊取某家企業的機敏資訊。其獨特的手法、技巧和程序 (TTP) 突顯出跨層次偵測及回應解決方案的重要性。

技術層面分析

偵測

我們偵測到一個 Windows 系統排程工作 (schtasks.exe) 在執行時使用了以下指令列參數：schtasks /create /tn <name> c:\programdata\<software name>\<file name>.bat /sc /once /st <time> /ru <user account>。這個排程工作看來並非用來常駐於系統內，但這道指令所執行的批次檔名稱相當可疑，所以才促使我們進一步深入研究。

躲避偵測

雖然這個排程工作位於 Windows 目錄下的映像檔案被標註為正常檔案，但若用 VirusTotal 快速搜查一下則會發現該檔案的名稱及其平常所在的位置，與受害系統上看到的不同。

繼續閱讀

攻擊台灣能源產業、全球逾百家機構受駭的APT41 組織,五名中國駭客遭美起訴

2020 年 10 月 06 日2020 年 10 月 01 日趨勢科技 TrendMicro

9 月 16 日美國司法部宣布將起訴五名中國人民，他們涉嫌駭入美國境內及海外超過 100 家機構。其攻擊目標遍布各種產業，從電玩遊戲公司、電信業者，到大學與非營利機構。這五名嫌犯據稱與 APT41 駭客集團有所關聯。今年五月，趨勢科技才發現專門以資料庫和郵件伺服器為加密目標的 APT41集團涉及某些針對台灣企業的勒索病毒攻擊, 也使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。截稿前為止，他們仍在逃亡，但已有兩名馬來西亞人民因協助這批駭客而遭到逮捕。

從美國司法部所公布的三份起訴書可看出該集團的惡意活動類型相當廣泛，例如虛擬加密貨幣挖礦( coinmining )與勒索病毒Ransomware (勒索軟體/綁架病毒)攻擊。大部分的活動大多是為了牟利，但也有少部分是間諜活動。

司法部官員表示，該集團在成功入侵之後，會竊取原始程式碼、客戶帳戶資料，以及個人身分識別資訊 (PII)。其他重要犯罪行為還有：修改遊戲內物品數量來詐騙遊戲公司、使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。

駭客所使用的多是公開的漏洞攻擊手法與常見的漏洞，詳細資訊可參考官方報告。此外，也運用精密的駭客手法來駭入並常駐於受害者的電腦網路內。官方報告描述了該集團如何運用「供應鏈攻擊」手法，他們會先駭入軟體供應商，然後再修改他們提供給客戶的程式碼。這樣歹徒就能駭入廠商的客戶，進一步拓展勢力範圍。

這已經不是第一次 APT41 駭客集團受到嚴密的關注，該集團早已活躍好一陣子。今年五月，趨勢科技才發現該集團涉及了某些針對台灣企業的勒索病毒攻擊。這個我們命名為「ColdLock」的新勒索病毒家族，專門以資料庫和郵件伺服器為加密目標，所以破壞力不容小覷。

繼續閱讀

APT 駭客集團利用 Covid19 新冠肺炎作為誘餌

2020 年 04 月 22 日2021 年 12 月 23 日趨勢科技 TrendMicro

Gamaredon是從2013年起就一直活躍的APT進階持續攻擊駭客集團。它最知名的就是會針對烏克蘭的政府機構。研究人員們從2019年下半年到今年2月針對Gamaredon發表了數份報告，追踪此集團的活動。

趨勢科技在3月發現一封電子郵件夾帶了使用Gamaredon駭客集團手法的惡意附件。有些電子郵件用新冠狀病毒(COVID-19,俗稱武漢肺炎)疫情爆發當主旨來誘騙受害者開啟電子郵件和附件檔。

繼續閱讀

針對東南亞博弈公司的網路間諜活動

2020 年 03 月 19 日2020 年 03 月 12 日趨勢科技 TrendMicro

這波針對博弈公司的網路間諜活動背後駭客利用公開可取得以及自製工具來做到提權和進行橫向移動。所用的惡意軟體之一會用Dropbox 作為通訊及從目標取出資料的管道。

DRBControl惡意活動將用在其他網路間諜活動的惡意軟體及技術用來攻擊其目標。

Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations — 下載「揭露 DRBControl：解析針對博弈產業的網路間諜活動」

詮睿科技在2019 年時就其在一起事件回應所發現的後門問題聯繫了趨勢科技。我們提供了關於此後門程式進一步的情報和分析，該後門程式之前被名為DRBControl的駭客組織用來發動攻擊。這團體目前將目標放在東南亞地區，特別是博弈公司。歐洲和中東也有向趨勢科技回報成為攻擊的目標，但我們在本報告撰寫時尚無法加以證實。外洩的資料主要是資料庫和原始碼，這使得我們相信該團體的主要目的是網路間諜活動。

這起攻擊活動用了兩個之前未看過的後門程式。駭客同時還用了已知惡意軟體家族（如PlugX和HyperBro後門程式）及自製的後滲透（post-exploitation）工具。有意思的是，其中有個後門程式利用雲端儲存服務 Dropbox作為命令和控制（C&C）管道。我們已經向 Dropbox 披露了這項發現，他們也與趨勢科技一同合作解決此問題。

繼續閱讀

《病毒30演變史》「駭客竟比同事還來解你!」2010 年客製化 APT針對性目標攻擊,成企業心頭大患

2018 年 10 月 09 日2018 年 10 月 19 日趨勢科技 TrendMicro

1988年趨勢科技成立之初,當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年電腦病毒與資安威脅演變史。
本篇談 APT 針對性目標攻擊…

APT 針對性目標攻擊或稱為進階持續性滲透攻擊(Advanced Persistent Threat) 跟一般不限定目標地亂槍打鳥的惡意程式攻擊不一樣的是, APT 攻擊會花費較長的時間規劃、執行：偵查、蒐集資料；發掘目標的安全漏洞或弱點。從蒐集各種情報開始,可能持續幾天，幾週，幾個月，甚至更長的時間。這項攻擊 2010年開始成為企業所面臨的最大威脅之一。高知名度的攻擊事件，像是零售商 Target 和百貨公司 Neiman Marcus 的大量資料外洩. 還有主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統（ SCADA ）的 Stuxnet 蠕蟲病毒。

APT目標攻擊通常會先充分研究過並以相關的電子郵件形式出現,比如2014年服貿議題成社交工程信件誘餌!!台灣爆發大規模 APT 威脅！近20家經濟相關機構成目標(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

攻擊者:電子郵件是阻力最小的攻擊路徑

根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。
【延伸閱讀】69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊,根據趨勢科技統計，一般員工平均每個工作日會收到100封電子郵件，等於我們每天有100次掉進駭客陷阱的風險。繼續閱讀