APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat - 資安趨勢部落格

大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

2017 年 04 月 20 日2018 年 09 月 08 日趨勢科技 TrendMicro

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心（NCSC）等單位公布的資安研究報告，指出以發動「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱 APT攻擊）惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。

向來以魚叉式釣魚攻擊（SPEAR PHISHING）來攻擊目標企業或政府機關的 APT10，這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商（Managed IT Service Providers，MSPs）間接入侵目標攻擊的對象，該攻擊行動被命名為「Cloud Hopper」。

攻擊行動一旦入侵一家MSP，就可能獲得數千家的潛在攻擊對象，根據趨勢科技的初步分析和偵測顯示，這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。

本文將分享為了持續躲在受感染的系統當中，駭客做了哪些布局?

為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範？

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動，其背後是一個名為「APT10」的駭客集團 (又名：MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider，簡稱 MSP)，但這只不過是個跳板，其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構，但最近也蔓延到以下地區的 MSP：英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。繼續閱讀

趨勢科技2017資安預測公布：資安威脅三高駭客淘金熱潮來襲！

2016 年 12 月 13 日2016 年 12 月 20 日趨勢科技 TrendMicro

新發表「XGen跨世代資安防護戰略」抵禦駭客淘金潮的致勝關鍵

【2016年12月13日，台北訊】全球網路資安解決方案領導品牌趨勢科技（東京證券交易所股票代碼：4704）今日發表2017年資安年度預測報告，指出隨著「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等資安威脅三高環境越趨成熟，趨勢科技預測新一年度駭客淘金潮即將大舉來襲。因應全球駭客地下經濟蓬勃發展與威脅手法不斷演變，趨勢科技全新發表「XGen跨世代資安防護戰略」，率先將高準度機器學習技術整合於防護解決方案，協助企業加速提升資安防護能力，將成為有效抵禦駭客淘金潮的致勝關鍵。

【圖說一】趨勢科技資深技術顧問簡勝財說明2017年資安環境有「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」等三高威脅趨勢，駭客淘金熱潮將大舉入侵

【圖說二】趨勢科技台灣暨香港區總經理洪偉淦分享2017年趨勢科技將以「XGen跨世代資安防護戰略」防禦日趨多變且駭客手法更精確的資安威脅

趨勢科技 2017 年度資安大勢預測：資安威脅三高環境成熟、駭客淘金手法遂行 APT 任務！

2016 年已開啟了網路犯罪集團探索未知攻擊領域和攻擊面的大門，以影響企業營運及消費者資安甚鉅的網路勒索為例，趨勢科技團隊統計截至今年第三季為止，全球網路勒索總攻擊次數已超過 1.8 億次，台灣受害排名則高居全球第 16，受攻擊總數逼近 300 萬大關¹ ，FBI 最新數據更指出光是單一勒索病毒變種每天就能入侵大約 100,000 台電腦²。

繼續閱讀

【資安語錄】「世界上大型企業分兩種：一種是已經被駭客入侵，另一種則是被入侵卻渾然不知的公司。」

2016 年 11 月 24 日2016 年 11 月 24 日趨勢科技 TrendMicro

美國聯邦調查局局長James Comey說: 「世界上大型企業分兩種：一種是已經被駭客入侵，另一種則是被入侵卻渾然不知的公司。」

企業遭 APT 攻擊,平均被駭 559天才發現

趨勢科技台灣暨香港區總經理洪偉淦表示「進階持續性滲透攻擊」（Advanced Persistent Threat，簡稱APT攻擊）很難防堵，趨勢科技做了300多件 APT攻擊案件調查，統計之後，發現客戶平均經過 559天，才會發覺情況有異請趨勢科技協助調查，也就是駭客進到家中已經偷了快兩年資料才會被發現。其中有件案例是發生在醫院，被勒索的還好是帳務系統，想想看如果是維生系統，就是人命問題了。

洪偉淦建議，企業在資安方面的投資，不能只著重在不讓人進來，因為員工、漏洞等實在太多。而是要提升危機能見度，及早發現，並事先準備好應對方案，發現狀況後先做隔離，再請顧問進入評估，減少傷害。

大型企業》
中小企業》
一般用戶》

⊙延伸閱讀:Facebook 執行長做的這件事,FBI 局長 James Comey 也這樣做

今年四月美國聯邦調查局長康梅（ James Comey ）在演講時表示，他會把筆電上的視訊鏡頭用不透明膠帶貼起來，以防電腦被駭客入侵、行蹤被偷窺。繼續閱讀

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體

2016 年 09 月 28 日2019 年 03 月 13 日趨勢科技 TrendMicro

七月台灣發生金融史上頭一遭,ＡＴＭ自動吐鈔盜領事件!國際犯罪集團以惡意程式入侵台灣第一銀行自動櫃員機電腦系統，利用遠端操控模式讓全台34台提款機自動提款機(ATM)自動吐鈔,盜領八千萬。接著八月泰國亦發生銀行ATM遭盜領1229萬泰銖(約合新台幣1130萬元)事件。資安趨勢部落格曾報導過ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升,以下這篇文章將分析新提款機( ATM )惡意軟體:Ripper。

Ripper能夠讓提款機吐出大量金錢，也稱為「jackpotting中大獎」。它可以從插入卡片的EMV晶片和磁條讀取資料。這可能是種認證方式，確認共犯實際上位在提款機前。這個惡意軟體還具備自毀功能，可以從受影響系統消除自身的所有痕跡。這可以阻礙目標銀行發現和解決攻擊。

————————————————-

八月資安研究人員發表一篇報告討論稱為Ripper的新提款機( ATM )惡意軟體，認為它跟泰國最近的自動提款機(ATM)攻擊有關。作為預防措施，曾有大批自動提款機被暫時關閉。

這份研究綜述了此惡意軟體所使用的技術，針對的三大提款機廠商及Ripper和之前自動提款機(ATM)惡意軟體的比較。他們的分析是根據MD5雜湊值為15632224b7e5ca0ccb0a042daf2adc13的檔案。此檔案在8月23日從泰國使用者上傳到Virustotal。

趨勢科技在分析過程中注意到一些其他的細節，這是在之前的分析中所沒有或似乎有所矛盾的地方。我們將在本篇文章中強調這些差異。並且提供一些技術指標（如code offset程式碼偏移量）來讓其他研究人員可以繼續延伸我們的工作。

在今年四月，趨勢科技的前瞻性威脅研究小組和歐洲刑警組織EC3合作一篇關於當時所有提款機惡意軟體威脅的綜合報告。我們在之後一直注意新出現的惡意軟體。該份報告提供給金融和執法機構社群的成員。如果你身為這些產業的一份子而沒有收到這份報告，可以聯絡Robert McArdle。繼續閱讀

勒索病毒侵台居亞洲第二,僅次日本

2016 年 08 月 26 日2016 年 08 月 26 日趨勢科技 TrendMicro

APT 攻擊猖獗,資安組織戰考驗企業資安戰力掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技，今日(25)舉辦資安界年度盛會－CLOUDSEC 2016雲端企業資安高峰論壇，面對全球資安危機，趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢，首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性，及資安防禦三大重點：建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢，協助企業打造最完善的資安防禦策略藍圖，掌握資安主控權！

圖說：趨勢科技CLOUDSEC 2016媒體分享會，邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬！為全亞洲第二高，僅次日本

雲端服務、行動裝置與物聯網等科技進步，使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出^註1，每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生，更有1,800個新的網路威脅產生並散佈到網域中，整體資安環境面臨巨大挑戰！趨勢科技觀察，近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊，以謀得較高的勒索利潤。根據趨勢科技研究報告顯示^註2，截至2016年第二季，台灣地區所偵測到的勒索病毒便高達2百多萬！為全亞洲第二高，僅次於日本。繼續閱讀