傀儡殭屍網路 - 資安趨勢部落格

FBI警告：小心駭客假借15個品牌之名,投放 Google關鍵字廣告,散播 IcedID 殭屍網路

2022 年 12 月 29 日2022 年 12 月 29 日趨勢科技 TrendMicro

趨勢科技分析了某起利用 Google 點擊付費 (PPC) 廣告散播 IcedID 殭屍網路的惡意廣告,IcedID 能讓駭客執行高破壞力的後續攻擊來侵害系統，例如：竊取資料或使用勒索病毒癱瘓系統。

IcedID 殭屍網路假冒15個知名品牌及應用程式,刊登Google 點擊付費廣告, 散播惡意程式

在密切追蹤 IcedID 殭屍網路的活動期間，趨勢科技發現其散播方式出現重大改變。從 2022 年 12 月起，我們觀察到它開始在惡意廣告攻擊中使用 Google點擊付費 (PPC) 廣告來散播 IcedID。趨勢科技將此 IcedID 變種命名為「TrojanSpy.Win64.ICEDID.SMYXCLGZ」。

Google Ads 之類的廣告平台可讓企業瞄準特定對象投放廣告，以便衝高流量和提升買氣。使用惡意廣告來散播惡意程式的駭客集團就是利用這類機制，針對特定的關鍵字來投放惡意廣告，引誘不知情的搜尋引擎使用者下載其惡意程式。

趨勢科技的研究發現，IcedID 駭客集團會製作模仿合法企業與知名應用程式的冒牌網頁，然後再搭配惡意廣告來散播 IcedID 惡意程式。最近，美國聯邦調查局 (FBI) 發布一份警告指出網路犯罪集團如何利用搜尋引擎的廣告服務偽裝成合法品牌將使用者帶到惡意網站來獲利。

本文從技術面詳細說明 IcedID 殭屍網路的最新散播方式與使用的最新載入器。

繼續閱讀

專售電腦存取權限, Emotet 殭屍網路死灰復燃

2022 年 06 月 08 日2022 年 06 月 02 日趨勢科技 TrendMicro

趨勢科技在 2022 年第 1 季發現大量感染 Emotet 最新變種的案例，這些變種結合了新、舊技巧來誘騙受害者點選惡意連結並啟用巨集內容。

Emotet 殭屍網路是資安界非常知名的惡意程式，因為它擅長利用垃圾郵件來進入受害電腦，然後將受害電腦的存取權限包裝成服務來販賣，這就是它最有名的惡意程式服務 (Malware-as-a-Service，簡稱 MaaS)。一些其他知名惡意程式，如 Trickbot 木馬程式、Ryuk 和 Conti 勒索病毒在過去都曾經在攻擊時用到此類服務。

2021 年 1 月傳來了Emotet 集團遭破獲的好消息，這是由加拿大、法國、德國、立陶宛、荷蘭、烏克蘭、英國、美國等多國執法機關共同合作的「Operation Ladybird」瓢蟲行動，這起行動關閉了 Emotet 的基礎架構。但事實證明，這個殭屍網路生命力堅強，在當年的 11 月便死灰復燃。根據 AdvIntel 研究人員指出，他們之所以能夠東山再起，有很大原因是 Conti 駭客集團非常希望能跟 Emotet 繼續合作，因為殭屍網路對於勒索病毒集團突破企業防線扮演著不可或缺的角色。

在 2022 年第 1 季期間，趨勢科技發現有許多地區 (圖 1) 和各種不同產業 (圖 2) 感染了大量的 Emotet 最新變種。根據我們的監測資料，絕大部分的感染案例都集中在日本，其次是亞太地區以及歐洲、中東與非洲 (EMEA) 地區。這很可能是 Emotet 駭客集團為了吸引其他駭客使用他們的 MaaS 服務而針對一些獲利較高的產業發動攻擊，例如製造業與教育產業。

繼續閱讀

從 MITRE ATT&CK 手法、技巧與程序 (TTP) 的角度探討 IoT Linux 惡意程式的演進

2022 年 01 月 12 日2022 年 01 月 12 日趨勢科技 TrendMicro

我們的研究使用 MITRE ATT&CK 框架的手法、技巧與程序 (TTP) 來描述惡意程式的功能和特性，並從這個角度探討 IoT Linux 惡意程式的演進。

在這篇部落格中，我們將分享有關物聯網（IoT ,Internet of Thing）Linux 惡意程式的一些研究發現，並探討這些惡意程式家族的演進。我們使用 MITRE ATT&CK 框架的手法、技巧與程序 (TTP) 來描述惡意程式的功能和特性。

我們的研究顯示，IoT Linux 惡意程式一直都在不斷演進，尤其是 IoT 殭屍網路惡意程式。除了增加新功能之外，它們也會隨時間而淘汰一些原有的功能。值得注意的是，「資料外傳」與「橫向移動」兩項功能的發展似乎不太成功，所以近來這類惡意程式已經開始將重心放在感染系統。

「表 1」列出我們蒐集到的惡意程式最常具備的 10 種功能 (也就是技巧)。

繼續閱讀

P2P物聯網殭屍網路興起,使得保護家用路由器與桌機/筆電一樣重要

2021 年 04 月 08 日2021 年 04 月 15 日趨勢科技 TrendMicro

本文探討物聯網殭屍網路（botnet）加入P2P技術後,如何變成企業和一般用戶需要提高警覺的更強大威脅。
P2P物聯網殭屍網路因為缺乏可關閉的中央伺服器，造就可能無法消滅的殭屍網路，可能會從根本上改變物聯網惡意軟體。

物聯網（IoT ,Internet of Thing ）為殭屍網路開發者創造競爭和發展的新領域。它們現在已經會在持續感染受害者時彼此爭奪裝置的控制權。而知名的檔案共享技術 – 點對點（P2P）網路的加入可能會讓事情變得更加複雜。

典型的物聯網殭屍網路由連到命令與控制（C&C）伺服器的眾多受感染裝置（bot）組成，網路犯罪份子由此來運作整個殭屍網路。這代表關閉C&C伺服器會讓殭屍網路無法運作，不管它由多少裝置組成。而引入P2P網路技術將會讓此作法失效。

因為P2P網路允許電腦相互連接而無需中央伺服器。在實作中，這代表如果要關閉P2P物聯網殭屍網路，防守方將不得不清理每個受感染的裝置 – 這是件繁瑣且幾乎不可能完成的任務，因為通常一般殭屍網路會達到數千台以上的裝置。

我們在技術簡報裡討論了過去出現過的五個P2P物聯網殭屍網路，同時比較了Windows和物聯網環境間將P2P網路技術用於開發惡意軟體的速度。在此我們會討論P2P物聯網殭屍網路的含義及網路犯罪分子會如何繼續來利用此種威脅。

繼續閱讀

430萬筆帳號被入侵的 Emotet 殭屍網路被瓦解後

2021 年 03 月 16 日2021 年 04 月 29 日趨勢科技 TrendMicro

年初歐洲刑警組織與8國警方合作拿下Emotet殭屍網路,2021對網路安全界來說有個好的開始，一次全球性的協力行動（Operation Ladybird）瓦解了這個被媒體形容為全球散播最廣、「最會裝」的木馬。它的相關事蹟有:
-偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊
–以Windows更新作為誘餌
–散播Nozelesn勒索病毒載入程式
–在全球建立了721個非重複的 C&C 伺服器