重大資安事件 - 資安趨勢部落格

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

2015 年 10 月 14 日2015 年 10 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動，以攻擊知名目標聞名，而且近兩年來更使用了 Java 有史以來第一個零時差漏洞。

在最近一波攻擊行動當中，Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計，看起來都指向一些正常的時事新聞網頁，其使用過的電子郵件主旨包括：

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

值得注意的是，其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來，各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外，歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門，從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示，Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示，這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

繼續閱讀

Shellshock漏洞屆滿一年，您的伺服器和裝置是否更安全了呢？

2015 年 09 月 30 日2015 年 09 月 30 日趨勢科技 TrendMicro

當 2014 年爆發 Shellshock 漏洞時，資安研究人員第一時間就跳出來回應。當大多數的 Unix、Linux 及 Mac OSX 作業系統皆普遍使用的 Bash指令列介面程式爆發嚴重漏洞時，研究人員同樣也迅速著手研究網站伺服器可能如何遭到該漏洞的攻擊。Shellshock 漏洞發現當時，全球約有五億台裝置和系統受到威脅。

而研究人員擔心的問題也很快就應驗，網路犯罪集團迅速將 Shellshock 整合至現有的攻擊當中，使得一些使用 Bash 指令列介面程式 (至今已有 25 年歷史) 的裝置和伺服器瞬間陷入危機。就在該漏洞曝光的幾小時後，趨勢科技研究人員就在網路上發現針對此漏洞的攻擊。趨勢科技在一個樣本當中發現了 ELF_BASHLITE.A 惡意程式，它不僅可讓歹徒從遠端存取電腦，還可發動分散式阻斷服務 (DDOS) 攻擊。

當時許多企業也迅速做出回應，這或許是因為有了幾個月前的 OpenSSLHeartbleed心淌血漏洞的經驗。加拿大政府也預防性地將某些含有漏洞的系統下線。此外，美國聯邦金融機構檢查委員會 (FFIEC) 也警告金融機構應小心Shellshock 的危險，而英國國家電腦緊急應變小組 (CERT-UK) 也對該漏洞發出警訊。

有關 Shellshock 可能造成網站安全問題的疑慮甚囂塵上，因為，歹徒只需幾行程式碼就能入侵含有漏洞的伺服器。經過一番測試之後我們發現，並非所有使用 Bash 的系統都有可能遭到遠端攻擊，只有預設使用 Bash 為指令列介面程式的作業系統才會遭到攻擊。

Shellshock 帶來的恐懼仍持續至今

就在漏洞曝光的一星期之後，更多 Bash 相關漏洞和惡意程式相繼出現。Shellshock 曾被用於 DDoS 攻擊，一家知名的雲端服務被用來攻擊其他伺服器，包括某政府機關的伺服器在內。此外，巴西的政府單位和中國一家金融機構也遭到此漏洞攻擊。另一個相關的惡意程式還會下載 KAITEN 惡意程式的原始碼，此程式專門用於 DDoS 攻擊。除了攻擊伺服器和裝置之外，Shellshock 攻擊也可能影響分配用戶端 IP 位址的 DHCP 通訊協定，以及電子郵件的 SMTP 傳輸協定。

事隔一年之後，這份恐懼已經漸漸消退，但威脅卻依然存在。Shellshock 相關的攻擊仍持續肆虐數位世界。從2015年第二季起，趨勢科技已發現超過 70,000 次使用 Shellshock 漏洞的攻擊以及大約 100,000 次使用Heartbleed心淌血漏洞的攻擊。我們刻意架設了一個含有 Shellshock 漏洞的誘捕網路，光在過去 15 天內即遭到 50 次攻擊。

Shellshock 相關的感染已蔓延全球。與一年前的情況相比，今日受害最嚴重的地區仍大致維持不變。當年 Shellshock 曝光後的第一個月，絕大多數受感染的電腦都分布在亞洲 (34%)、歐洲 (34%) 和北美 (11%)。過去一個月，絕大部分受感染的電腦還是分布在亞洲 (46%)、歐洲 (23%) 和北美 (14%)。亞洲地區感染率較高的原因很可能是系統修補作業較未能落實的緣故。

圖 1：2014 年 9 至 10 月受 Shellshock 影響的地區,亞洲居冠。

圖 2：2015 年 8 至 9 月受 Shellshock 影響的地區,亞洲居冠。

儘管目前 Shellshock 漏洞仍未出現重大攻擊，但這仍無法掩蓋它是一項普遍性漏洞的事實，而且歹徒有可能利用它來製造真實的傷害。它可用於取得遠端存取權限、發動 DDoS 攻擊、散布惡意程式、竄改並汙損網站、建立「Botnet傀儡殭屍網路」、竊取資料、散發垃圾郵件和網路釣魚郵件，以及執行其他惡意指令。只要駭客的想像力夠豐富，就有無限的方式可攻擊任何使用 Bash 的應用程式和連網裝置，包括：路由器、IP 攝影機、網路閘道 (如 Citrix 的 NetScaler、F5 的 BIGIP 及 Cisco 的產品)，以及網站 CGI 程式。繼續閱讀

Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列

2015 年 09 月 22 日2018 年 09 月 26 日趨勢科技 TrendMicro

Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關，也曾鎖定烏克蘭和俄羅斯的一些知名政治人物，而且我們相信，歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告：Pawn Storm 攻擊行動：利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection)，自此我們便一直持續監控及追蹤該行動的最新發展。

本文介紹有關該行動的最新發展，同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。

什麼是 Pawn Storm 攻擊行動？

Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動，專門鎖定一些知名機構和人士，從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年，但直到最近，我們才掌握有關該行動的一些具體資料，包括其攻擊目標和攻擊來源。

它和其他網路間諜團體/行動有何不同之處？

Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同，例如：

使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚（Phishing）郵件來攻擊 Windows系統，或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚（Phishing）魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁，藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中，美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B，可從受感染的行動裝置竊取各種資訊，例如：訊息、通訊錄、定位資訊、照片，甚至錄音檔。

繼續閱讀

Pawn Storm 間諜行動曝光：政治人物,搖滾歌手,藝術家成為攻擊目標

2015 年 09 月 18 日2015 年 10 月 14 日趨勢科技 TrendMicro

Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團？的確，Pussy Riot (暴動小貓) 是個具爭議性的樂團，這個由女性主義者成立的樂團，其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣？她們和其他被攻擊的對象有何關聯？

今年年初，我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前，他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位，但根據趨勢科技的分析發現，實際上仍可有不少目標其實是位於該國境內。

俄羅斯境內的間諜活動

Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁，他們甚至也監控自己的人民。例如，針對俄羅斯國民的帳號登入資訊網路釣行動，就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。

圖 1：俄羅斯境內攻擊目標的產業/市場分布。

繼續閱讀

有關 Hacking Team 資料外洩的行動惡意程式套件,你該知道的七件事

2015 年 09 月 16 日2015 年 09 月 16 日趨勢科技 TrendMicro

自從 Hacking Team 資料外洩的檔案在網路上曝光之後，引發了很多後續效應。除了一些新的 Flash Player 和 IE 漏洞被發現、攻擊、然後修補之外，該公司的工具套件原始碼也遭到外流。尤其是一套精密的惡意程式套件，叫做 RCSAndroid (Android 遠端遙控系統)，這是該公司對外販售用來監視特定對象的間諜工具。

根據趨勢科技的研究人員指出，這套間諜工具可說是「目前所見最專業、最精密的 Android 惡意程式之一。」

但RCSAndroid 間諜軟體到底可以做些什麼？受影響的對象為何？哪些裝置會受到影響？我們在下面快速整理了有關 Hacking Team 資料外洩曝光的行動惡意程式套件你該知道的一些重點：

它可利用前、後鏡頭拍攝照片
我們的研究人員在分析該行動惡意程式套件外洩的原始程式碼之後發現，RCSAndroid 程式可窺探監視對象的隱私。其功能包括監視 Android 裝置螢幕和剪貼簿中的內容、蒐集網路帳號的密碼和聯絡資訊，還有使用裝置的相機鏡頭及麥克風。
所有 Android Lollipop 之前的版本都受到影響
若你裝置的 Android 系統版本為 Froyo、Gingerbread、Ice Cream Sandwich 或 Jelly Bean，那你就有可能成為 RCAndroid 監視的對象。我們目前還尚未證實這套工具是否適用於所有裝置。但前述的版本幾乎已經涵蓋 82% 的 Android 裝置。
歹徒會利用兩種方式來讓鎖定的對象下載 RCSAndroid
第一種方法是透過簡訊或電子郵件發送一個特殊的網址到目標對象。第二種方法是利用一個隱匿的後門 App 程式，該程式可避開 Google Play 的機制。
Hacking Team 實際販售的間諜工具價格昂貴，且使用者須支付年度維護費用
據聞整套工具價格為 234,000 歐元或 260,000 美元。雖然 Hacking Team 販售的間諜工具價格昂貴，但由於程式碼已遭到外洩，因此現在任何人都有可能取得這套工具。由於 RCSAndroid 如此強大，而且現在又這麼容易取得，因此也變得更加危險。網路犯罪集團可隨心所欲地修改其原本的程式來配合自己的需求，還能透過各種管道來讓使用者安裝到自己的裝置上，使用者完全不曉得自己安裝了間諜程式。
現在任何 Android 開發人員都能輕鬆使用 RCSAndroid
任何 Android 開發人員，只要具備足夠的知識，就能使用這套行動惡意程式。我們對這套惡意程式以及它如何破解裝置權限來從事間諜活動有深入的分析，請參閱我們的部落格文章「會竊聽電話的 Hacking Team RCSAndroid 間諜工具」。
已感染的裝置很難偵測並移除該間諜工具
為了躲避偵測以免遭到移除，RCSAndroid 套件還有能力偵測自己是否在模擬器或沙盒模擬分析環境中執行。該程式還有一項功能是篡改 Android 封裝管理員 (package manager) 的資料來新增或移除某些權限和元件並隱藏 App 圖示。
某些惡意的行為是經由一個事件動作觸發 (Event Action Trigger) 模組來觸發
在已感染的裝置上，事件動作觸發模組可根據某些事件來觸發惡意行為。這些事件的觸發條件包括：時間、充電或電池狀態、地理位置、連線狀態、執行中的 App、取得焦點的 App、SIM 卡狀態、收到包含特定關鍵字的簡訊以及螢幕開啟。

繼續閱讀