企業資安 - 資安趨勢部落格

美國國土安全部和FBI 聯合警告:當心北韓「HIDDEN COBRA」(隱藏的眼鏡蛇)駭客行動

2017 年 11 月 22 日2017 年 11 月 21 日趨勢科技 TrendMicro

美國國土安全部 (DHS) 和聯邦調查局 (FBI) 發表了兩份聯合技術警示公告 (TA17-318A 與 TA17-318B)，提醒大眾注意可能來自北韓的網路攻擊。這批攻擊屬於某個名為「HIDDEN COBRA」(隱藏的眼鏡蛇) 的駭客行動，其主要目標為美國及全球的重要產業。該行動主要使用兩個惡意程式：一個是名為「FALLCHILL」的遠端管理工具，另一個是名為「Volgmer」的後門木馬程式 (趨勢科技將兩者皆歸入 VOLGMER 家族)。

attack

根據公告，HIDDEN COBRA 背後的駭客集團應該是從 2016 年開始使用 FALLCHILL 惡意程式，主要攻擊航太、電信與金融等產業。該程式會經由攻擊行動當中的其他惡意程式植入系統，或者經由駭客事先入侵的網站來散布。FALLCHILL 一旦感染某系統，駭客就會經由雙重代理器從幕後操縱 (C&C) 伺服器下達遠端指令。由於 FALLCHILL是採用惡意程式服務 (Malware-as-a-Service) 模式運作，因此受感染的系統很可能也會感染 HIDDEN COBRA 的其他惡意程式。

第二個惡意程式 Volgmer 的設計是為了讓駭客暗中進出受感染的系統。據報 Volgmer 最早在 2013 年被發現，主要攻擊目標為政府機關與金融、汽車、媒體等產業。Volgmer 的主要感染途徑是魚叉式釣魚攻擊（SPEAR PHISHING）郵件的惡意附件檔案。Volgmer 具備了各式各樣的功能，包括：蒐集系統資訊、下載及上傳檔案、執行指令、終止執行程序，以及列出檔案目錄。其中一個專家分析到的樣本還具備操控「Botnet傀儡殭屍網路」的功能。繼續閱讀

製造業為何成為攻擊肥羊?

2017 年 11 月 17 日2017 年 11 月 09 日趨勢科技 TrendMicro

在2016年，一項獨立研究報告將製造業認定為被攻擊第二多的產業。雖然醫療產業被攻擊的狀況仍最常見，但製造業會遭受攻擊也並不令人驚訝，因為這是個涵蓋範圍很廣的產業，包括汽車、紡織、電子和其他各種族群，生產著各式各樣不同的產品。

攻擊製造業背後的動機

根據過去關於製造設備的攻擊事件，我們了解到攻擊者可能會有各種不同的動機，商業競爭和財務原因，或只是想造成大規模的破壞（有時只是為了好玩）。

在去年的一份獨立報告中詳細說明了製造業所遭受的資料外洩事件中有94%可被歸類為“間諜事件”，代表這些攻擊是特意針對關於產品或流程的獨特資訊。商業競爭也成為了最大的動機。
錢也是個主要因素，攻擊者可以劫持系統作為人質來要求現金，或利用攻擊系統的機會來操縱股價。
製造業也可能遭受國家等級的攻擊，目的是對基礎設施造成嚴重破獲或延遲主要產品生產（可能為軍事相關）。這些攻擊也可能對一個國家的經濟產生負面影響。
大型的駭客事件能夠登上頭條對希望宣揚自己名字的駭客來說很有用。這些人可能想透過一次高能見度的大事件來炫耀自己的技能和宣傳自己。他們也可能只是為了開心而入侵生產設備，只為了對不知情而容易下手的目標搞破壞，這對許多駭客來說並非罕見。

攻擊製造業的背後有許多可能動機。不幸的是，也有許多安全問題讓駭客很容易得手。

製造設備的安全問題

網路安全為製造業帶來獨特的挑戰，想想看製造設備內所包含硬體和系統的規模和範圍。製造業所用的系統（特別是管理和監控生產不同部份的工業控制系統ICS）具備獨特的漏洞而容易遭受網路攻擊。而製造商也正在將之前隔離的系統連上網，這增加了受攻擊面。進行升級也是相當零碎，因為系統非常複雜，所以舊系統去整合新軟體和安全功能的腳步緩慢。而和醫療產業及金融業不同的是，製造業仍還在導入網路安全，只有少數幾個法規標準，如國際自動化學會（ISA）所制定的ISA/IEC 62443標準。

還有其他幾個影響製造業安全防護的問題：繼續閱讀

NIC亞洲銀行發生的SWIFT網路劫案凸顯出商業流程入侵的嚴重性

2017 年 11 月 15 日2017 年 11 月 13 日趨勢科技 TrendMicro

尼泊爾的NIC亞洲銀行是變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC）最新的受害者，出現了透過SWIFT系統的詐騙性金融轉帳。這場網路劫案的幕後駭客試圖將竊來的錢轉到多個國外帳號，如日本、英國和新加坡以及紐約渣打銀行和Mashreq銀行等外幣帳戶。

NIC亞洲銀行向中央銀行（尼泊爾國家銀行）回報了此一事件。截至2017年11月6日，NIC亞洲銀行與其他金融機構（如KPMG India和印度中央調查局）合作阻止非法交易，取回了4.6億尼泊爾盧比（約合445.1萬美元）。

NIC亞洲銀行是近來SWIFT相關劫案的最新受害者，去年孟加拉中央銀行發生的相關事件損失了至少8,100萬美元。網路犯罪分子將SWIFT相關基礎設施作為目標，讓厄瓜多和越南的金融機構也都上了頭條新聞。

商業流程入侵破壞了管理公司運作的基礎架構完整性，像是利用其漏洞或使用資料竊取或變更惡意軟體來加以感染。在亞洲銀行的案例中，據報專門用於處理SWIFT交易的系統也被用在其他用途（如電子郵件）。這次的劫案是在排燈節時進行，這在尼泊爾是五天的國定假日，該國的銀行和金融機構在這期間也都關閉。

[相關資訊：網路犯罪分子如何利用你的資料來對付你]

商業流程入侵不僅被用來打擊金融機構。從物流和航運、教育和資料/商業服務到零售業，不管組織是大是小都很可能遭受攻擊。繼續閱讀

IcedID 銀行木馬鎖定美國的金融機構

2017 年 11 月 15 日2017 年 11 月 20 日趨勢科技 TrendMicro

研究人員在九月發現一種名為IcedID（趨勢科技偵測為TSPY_EMOTET.SMD3、TSPY_EMOTET.SMD4和TSPY_EMOTET.AUSJMY）的新型銀行木馬出現在美國、英國和加拿大的金融機構，包括了銀行、支付卡廠商、行動服務商及電子商務網站。銀行木馬的影響範圍目前尚不清楚，但根據初步報告顯示，到本文發表時的影響仍然有限。

對此木馬的初步分析顯示它是透過被稱為EMOTET的另一個木馬殭屍網路散播。在此案例中，殭屍網路被用來當作惡意軟體散播平台，就跟之前的攻擊散播DRIDEX木馬一樣。一旦IcedID進入系統內，它會利用重新導向和網頁注入技術來進行攻擊。這惡意軟體還包含一個網路散播模組，讓它不僅可以移動到其他端點系統，還可能移動到終端伺服器上。

IcedID攻擊的初始階段是當使用者開啟網頁瀏覽器時，會從C&C伺服器下載包含木馬目標的設定檔案。具體來說，它對線上銀行網站使用網頁注入攻擊，並對支付卡和網路信箱網站使用重新導向技術。繼續閱讀

Daserf 間諜集團以「心肺復甦術」、「防災計畫」主旨信件及日文加圖像隱碼術,騙倒日本企業

2017 年 11 月 13 日2017 年 11 月 11 日趨勢科技 TrendMicro

網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構，包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF，亦稱為 Muirim 和 Nioupale)，主要具備四種功能：執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。

不過，根據趨勢科技最近的監控顯示，歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構，其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography)，也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中)，因此更不易被察覺。

如同許多網路間諜行動一樣，REDBALDKNIGHT 集團的攻擊雖然斷斷續續，卻持續很久。事實上，REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構，至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定，這一點從其社交工程（social engineering ）技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件，日文非常流利，而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。

圖 1：REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。

圖 2：REDBALDKNIGHT 所使用的誘餌文件樣本，歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。

以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌

REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊（SPEAR PHISHING）來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌，以便能夠在背後暗中執行惡意程式，他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。繼續閱讀