趨勢科技發現了一種新的模組化無檔案殭屍網路病毒(命名為 Novter,也被稱為Nodersok或 Divergent),自三月起就一直透過KovCoreG惡意活動散播。自從此威脅出現發展以來,我們就一直積極地加以監控,也觀察到它經常地進行更新。從2011年就開始活躍的KovCoreG是以使用Kovter殭屍網路病毒聞名的長期惡意活動,主要是利用惡意廣告和漏洞攻擊套件散播。Kovter自2015年開始就一直參與點擊詐欺的操作,據報用欺詐性廣告讓企業損失超過2,900萬美元。在執法和網路安全專家(包括趨勢科技)的共同努力下,殭屍網路在2018年底被關閉。
殭屍網路關閉並沒有阻止網路犯罪分子。儘管殭屍網路已死,但我們注意到KovCoreG並未停止活動,而是開發了另一個殭屍網路。通過與ProofPoint威脅研究人員Kafeine的合作,我們發現了由KovCoreG操作者散布的新型無檔案殭屍網路 病毒Novter。
繼續閱讀點擊偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站內的任何連結,都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。
趨勢科技的蜜罐系統偵測到一波垃圾郵件,會利用受感染裝置來攻擊有漏洞的網頁伺服器。利用暴力破解攻擊弱帳密的裝置後,攻擊者將它們當作代理程式來將base64編碼的PHP腳本轉發到網頁伺服器。該腳本會將內嵌詐騙網站連結的電子郵件寄送給特定目標。
雖然我們發現的部分樣本是垃圾郵件或是將使用者重新導到虛擬貨幣詐騙網站,但垃圾郵件殭屍網路(botnet)可能會被用來將散播惡意軟體到更多系統或有漏洞的伺服器。因為是透過受感染裝置來發送惡意連結,如果出現更大規模的攻擊會很難找出幕後組織或攻擊者。此外,使用PHP web shell和函式不僅可以進行入侵和感染 – 還可以讓攻擊者在漏洞被修補後還能再次存取伺服器。
圖1. 垃圾郵件活動攻擊鏈
攻擊者透過暴力破解取得裝置的SSH存取權限,接著利用端口轉發來將惡意PHP腳本發送到網頁伺服器。
繼續閱讀
亞太地區一家電子公司在五月導入託管式偵測及回應(Managed Detection and Response,簡稱MDR) 服務時,趨勢科技的Deep Discovery Inspector 偵測到了 EternalBlue(永恆之藍) 相關可疑活動,這漏洞攻擊之前常被用於WannaCry(想哭)勒索病毒。我們發現後向該公司發出了第一次的警報,通知這個可能的威脅。
我們幾天後想辦法找到了公司內部電腦會跟攻擊者建立惡意通訊的證據,公司一台電腦會連到下列網址(我們確認為惡意程式來源 ):
網址包含了單字「mykings」,這跟我們之前在2017年8月分析殭屍網路時所看到的命令和控制(C&C)伺服器類似。這給了我們關於此威脅身份的第一個線索。
此外,我們發現攻擊者竄改了系統登錄檔,目的是為了持續性機制。新加的登錄機碼負責跟前面所提到的網址進行C&C通訊:
更深入研究後,我們發現這些註冊表值是在2017年加入,顯示惡意軟體在被發現前已經隱藏在公司系統內大約2年。這造成了另外一個問題,因為時間點對確認MyKings實際在系統上做了哪些事情很重要。有許多殭屍網路組件(包括C&C伺服器網址和下載網址)都只會存活短短的時間,非常容易消失。跟使用內嵌網址和檔案的病毒不同,MyKings跟腳本綁在一起,只從遠端伺服器下載所需的一切。
繼續閱讀組態設定錯誤的問題早已不是新聞,不過對網路犯罪集團來說,這類問題卻是他們入侵企業電腦資源以從事惡意活動的一項有效管道,同時也是資安的首要問題之一。在這篇文章,我們將詳細說明 Docker Engine-Community 這套熱門的開放原始碼 DevOps 工具如何因為組態設定上的錯誤,而讓駭客滲透到容器內部並執行 Linux 殭屍網路惡意程式 AESDDoS 的某個變種 (趨勢科技命名為 Backdoor.Linux.DOFLOO.AA,我們是經由誘捕網路所發現)。
在容器主機上運作的 Docker API 可讓主機接收所有容器相關的指令,然後交由具備系統管理 (root) 權限執行的容器引擎來執行。如果這些 API 的連接埠因為蓄意或組態設定上的錯誤而提供給外部存取,就可能讓駭客有機會掌控主機,在主機上的容器內植入惡意程式,然後從遠端存取使用者的伺服器與硬體資源。先前,我們曾見過暴露在外的 Docker 主機遭歹徒植入虛擬加密貨幣挖礦惡意程式。
[延伸閱讀:Container Security: Examining Potential Threats to the Container Environment]
在這項新的攻擊中,歹徒會先從外部掃瞄某個 IP 範圍的主機,發送 TCP SYN 封包到連接埠 2375,這是 Docker 引擎接收通訊的預設連接埠。一旦找到有效的連接埠,歹徒就會試圖建立連線來尋找運作中的容器。一旦找到,就會利用 docker exec 指令在容器內植入 AESDDoS 殭屍病毒,讓駭客經由指令列存取該主機上所有可存取的執行中容器。如此一來,惡意程式就能在運作中的容器內執行並隱藏蹤跡。
繼續閱讀
趨勢科技發現了一隻使用了13種不同漏洞的新Mirai變種(偵測為Backdoor.Linux.MIRAI.VWIPT),這些漏洞幾乎都在之前的Mirai攻擊出現過。這是隻典型的Mirai變種,具有後門及分散式阻斷服務(DDoS)功能。但這是第一次使用所有13個漏洞的案例。
這起攻擊發生在我們上次報導Mirai攻擊活動後幾週,針對了各種路由器。上次報導中所提到的一些漏洞也被用於此變種。
趨勢科技一開始發現此新變種是來自於我們一個收集物聯網(IoT ,Internet of Thing)相關攻擊的蜜罐系統。可以看出此惡意軟體使用了各種不同的散播方式,還發現它會用三個XOR密鑰來加密資料。用XOR解密惡意軟體字串後發現了Mirai變種的指標。可以從圖1中看到解密字串。
繼續閱讀