< APT目標攻擊 >冒用健保局名義,攻擊中小企業案,使用惡名昭彰的Gh0st遠端存取木馬

作者:Maharlito Aquino(威脅研究員)

逮捕勒索軟體集團的首腦之一,到成功打下Rove Digital(請參考:趨勢科技協助 FBI 破獲史上最大殭屍網路始末),我們可以時常地看到執法單位和安全廠商間的合作行動,並且有著豐碩的成果。這一次,台灣刑事單位和趨勢科技合作偵破駭客假冒健保局,盜取萬筆中小企業個資案件,解決利用知名的Ghost遠端存取木馬家族所進行的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。執法單位也逮捕了一名對象。

趨勢科技 協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件,獲得國外媒體報導

 

BKDR_GHOST(又名Gh0st遠端存取木馬或TROJ_GHOST),是有名的遠端存取木馬(RAT),常常被用在目標攻擊,也被資安威脅份子和網路犯罪分子廣泛的使用。

 

在這起目標攻擊內,攻擊者透過特製的魚叉式網路釣魚(Phishing)電子郵件將BKDR_GHOST派送給不知情的目標。上述郵件包含一個會去自動下載該惡意軟體的連結。而且它會偽裝成健保局的來信,好產生足夠的說服力來吸引目標點入並執行這惡意軟體。

 

為了避免被偵測,攻擊者將這些電子郵件設計成為包含一個連結,將使用者導到一特定網站,並自動下載看起來是官方檔案的RAR壓縮檔。此外,為了進一步讓使用者願意去打開壓縮檔內的檔案,攻擊者利用了一個舊卻有效的文件命名詭計,將多個空格加到文件副檔名(在這案例內是DOC)和可執行副檔名(在這案例內是EXE)之間。這方法還是很有效,多個空格會將真正的副檔名隱藏起來,因為壓縮檔視窗並不大。趨勢科技的威脅解決方案可以利用ATSE 9.740.1046來將利用這種伎倆的惡意軟體偵測為HEUR_NAMETRICK.A。

 

BKDR_GH0ST感染鏈

 

一旦使用者打開偽裝的惡意軟體,它實際上是個可執行壓縮檔,就會產生下列的檔案並執行:

 

  • %WINDIR%\addins\ACORPORATION.VBS(偵測為VBS_GHOST)– 執行Gh0st遠端存取木馬安裝腳本(AMICROSOFT.VBS)
  • %WINDIR%addins\AMICROSOFT.VBS(偵測為VBS_GHOST) – 解壓縮有密碼保護的Gh0st遠端存取木馬壓縮檔(f2o.zip)
  • %WINDIR%\addins\Atask.bat(偵測為BAT_GHOST) – 搜尋以下檔案並用解開的Gh0st遠端存取木馬組件來加以覆蓋:
    • AdobeARM.exe
    • jusched.exe
    • Reader_sl.exe
    • %WINDIR%\addins\f2o.zip – 包含兩個BKDR_GHOST變種,執行類似的惡意行為:
      • put.exe(偵測為BKDR_GHOST)
      • cd.exe(偵測為BKDR_GHOST)

 

一個較不被注意的行為是BKDR_GHOST會將最終檔案儲存在有密碼保護的壓縮檔(f2o.zip)內,它的密碼可以在安裝腳本AMICROSOFT.VBS內找到。一旦執行這些BKDR_GHOST惡意檔案,攻擊者就對這些受感染電腦有完全的控制能力,可以執行他們惡意的計畫,存取整個系統,並擷取珍貴的資料,像是個人檔案。

 

 

圖一:這次目標攻擊的流程

Continue reading “< APT目標攻擊 >冒用健保局名義,攻擊中小企業案,使用惡名昭彰的Gh0st遠端存取木馬”

趨勢科技 協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件

一萬多中小企業遭受email 攻擊受害  請下載免費清除工具確保個資安全

2013526 台北訊】刑事局今日宣佈偵破駭客四月底冒用健保局北區業務組名義進行目標性攻擊竊取個資一案,雲端資訊安全廠商趨勢科技運用獨特的客製化分析技術,成功偵測導致一萬多筆中小企業個資外洩的的惡意木馬程式TROJ_GHOST.ZZXX與後門程式BKDR_GHOST.ZZXX,協助辦案人員抽絲剝繭,緝查不法之徒。

冒充健保局,駭客木馬盜取萬筆中小企業個資 調查雖是由警方執行,知名防毒軟體公司趨勢科技的協助也是關鍵
趨勢科技發現,駭客係假冒健保局名義發動客製化的社交工程陷阱( Social Engineering)攻擊,首先透過發送大量以健保局北區業務組為名寄送的郵件,其中內含「員工修正補充要點下載修正」的連結,一旦點選此連結將被轉址至另一個網址並自動下載一個名為「二代健保補充保險費扣繳辦法說明」的RAR壓縮檔。

 圖一、 駭客針對特定中小企業發動客製化社交郵件工程攻擊。

 

受害者一旦點選並下載檔案後,將會看到一個看似為DOC檔實際上為執行檔的檔案;下載執行後,電腦將被植入木馬程式與後門程式,隨後電腦會先遭受強制重開機,即讓使用者電腦門戶洞開,駭客可以遠端監看被害人電腦桌面並瀏覽、複製電腦中檔案內容,進而再利用民眾電腦內通訊錄等資料進行下一波針對性攻擊,如法炮製成功盜取了高達1萬多筆個資。

圖二、解壓縮後發現其為一看似Doc檔的執行檔,

一旦執行後將下載木馬程式與後門程式,造成使用者電腦門戶洞開。

Continue reading “趨勢科技 協助偵破駭客假冒健保局,盜取萬筆中小企業個資案件”