孔夫子(Confucius)駭客集團,假談網路戀愛,真竊個資

網路交友詐騙圖的不是為了騙財騙色,這次是竊個資!不安裝指定的網路聊天軟體,立刻永久停止對話!

 

愛情騙局在網路上並不稀奇,網路交友詐騙(catfisher)以及西非網路犯罪分子都利用受害者的感情來詐騙金錢。但奇怪的是很少看到(也可能是很少被報出來)這手法被用在網路間諜活動。

 

 

趨勢科技在研究Patchwork網路間諜活動時偶然發現了Confucius(孔夫子)駭客集團,並且注意到有數個相似之處。比方說,他們的客製化惡意軟體內有相似的程式碼。Confucius駭客集團針對南亞各國的一些特定目標,如軍人和商人等。

Patchwork和Confucius是同一個組織嗎?後門程式的命令確實彼此類似。設定檔也具有相似的結構,而且這兩個組織使用的基礎設施也有所重疊。但我們認定它們為不同的組織,可能屬於同個社群,但有不同的目標和操作手法。Patchwork比較直截了當,主要是進行惡意軟體攻擊,而Confucius的手法則更加細膩,重度地依賴社交工程。

聊天軟體帶有後門程式,默默蒐集簡訊等個資

在探索Confucius的基礎設施時,趨勢科技看到提供Windows和Android版本聊天軟體的網站,很可能是其前身Simple Chat Point的改版:Secret Chat Point和Tweety Chat。

儘管這聊天軟體確實具備聊天功能(雖然通訊並非匿名,如同所宣傳的那樣),但它們還帶有後門程式和檔案竊取能力,只要送入關鍵字就會觸發:收集所有的簡訊、聯絡人和帳號。Tweety Chat的Android版本也可以錄音。其最新版本可以讓設備靜音(關閉響鈴和振動),並且同步通話記錄和簡訊。

我們進一步測試了Tweety Chat,可以看出他們所感興趣的目標:驗證電子郵件的通訊地址郵遞區號屬於首都時,在登錄時也會出現在Tweety Chat的一個聊天頻道。

圖1:Tweety Chat介面(上)及顯示它所竊取檔案類型的程式碼(下)

 

網路間諜:不安裝 Tweety Chat聊天軟體,竟無預警分手!

繼續閱讀

《魚叉式網路釣魚》 一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表

G20 數位經濟工作小組高峰會即將來臨,網路間諜集團 Turla 提早部署後門程式

主要針對政府,高級官員和外交官的 Turla 網路間諜集團,這次鎖定G20 數位經濟工作小組,根據 媒體報導,該網路間諜集團目前正緊盯著即將在德國漢堡舉行的 G20 數位經濟工作小組高峰會,並提早部署一個叫作 KopiLuwak 的後門程式 (趨勢科技命名為 TROJ_KOPILUWAK.A、 JS_KOPILUWAK.A 和  JS_KOPILUWAK.B),專門鎖定所有受邀人員、來賓及各國代表。此後門程式除了會竊取資料之外,還會下載更多惡意程式到受感染的電腦上執行,或者執行其他指令。資安研究人員已經通知德國電腦緊急應變聯合中心 CERT-Bund。

[延伸閱讀:何謂魚叉式網路釣魚,您該如何防範?]

假的 G20 工作小組高峰會 PDF邀請函,引誘受害者開啟

根據觀察,Turla 的最新行動很可能會利用水坑式攻擊魚叉式釣魚攻擊(SPEAR PHISHING)郵件並利用一個假的 G20 工作小組高峰會邀請函來引誘受害者開啟。這項會議即將在 10 月舉行,資安專家發現,前述魚叉式網路釣魚郵件所挾帶的 PDF 文件 (檔名「Save the Date G20 Digital Economy Taskforce 23 24 October.pdf」) 似乎是個正常檔案,但卻只是個分散注意力的誘餌。此外它會在系統植入一個惡意 JavaScript 檔案,解密之後會在受感染電腦記憶體內執行 KopiLuwak。

[延伸閱讀:APT10/menuPass 的網路間諜行動 Operation Cloud Hopper 攻擊託管式服務供應商]

Turla 網路間諜集團曾將攻擊指令隱藏在小甜甜IG照片留言中

繼續閱讀

解析專攻擊日本的ChessMaster 網路間諜行動

蒐集情報、社交工程誘餌、攻擊系統漏洞、在企業網路內部橫向移動,駭客有各式各樣的針對性攻擊工具可以利用。而且這些工具就像西洋棋的棋子一樣,各有不同用途。

就以 ChessMaster (西洋棋大師) 攻擊行動為例,這是一個專門以日本學術機關、科技公司、媒體機構、託管式服務供應商以及政府機關為目標的網路間諜行動。它派出的小兵就是挾帶誘餌文件的魚叉式釣魚攻擊(SPEAR PHISHING)郵件。不過,趨勢科技也發現了一些蛛絲馬跡顯示,ChessMaster 跟 APT 10 有所關連 (後者亦稱為 menuPass、POTASSIUM、Stone Panda、Red Apollo 及 CVNX)。

ChessMaster 網路間諜行動的名稱取自其主要後門程式內部資源區段的名稱「ChChes」,趨勢科技將它命名為 「BKDR_CHCHES」。

此攻擊行動獨特之處在於其使用的工具和技巧:

  • 惡意的捷徑 (LNK) 檔案與 PowerShell 工具該捷徑檔會執行「命令提示字元」程式去下載一個 PowerShell 腳本,此腳本會直接在系統上植入或載入 ChChes,第二種方法也就是所謂無檔案式攻擊。
  • 自我解壓縮檔案 (SFX)。此壓縮檔會解出一個執行檔 (EXE)、一個動態連結程式庫 (DLL) 和一個二進位檔 (.BIN)。解開之後,惡意程式碼會被注入到一個正常的執行程序當中 (透過 DLL 挾持技巧)。ChessMaster 將此技巧進一步發揚光大,利用載入時期動態連結技巧來呼叫惡意 DLL 內的函式。
  • 執行時期包裝程式。在整個間諜行動當中,ChChes 使用了三個檔案包裝程式來將自己加密編碼以躲避偵測。第一個不具備加密功能,但含有各種載入程式碼。第二個具備 XOR 加密技巧 (用以反制模擬分析)。第三個在 XOR 之上又增加了 AES 加密。這些程式的組譯日期彼此重疊,可見 ChChes 的作者不斷地在改進並微調其惡意程式。
  • 第二階段惡意程式。歹徒會在系統上植入更多惡意程式,以便能持續躲藏在系統當中。這些其實都是 ChChes 的變種,其程式進入點皆相同,但加密和幕後操縱 (C&C) 通訊卻不盡相同。
  • 駭客工具。ChessMaster 會利用合法的電子郵件以及駭客專為其攻擊行動而修改而來的瀏覽器密碼復原擷取工具。這些工具能在使用者忘記密碼時救回密碼,因此也可讓駭客用來擷取密碼。有了這項資訊之後,就能從事橫向移動與進一步攻擊。
  • TinyX。這是 PlugX 的衍生版本,只不過少了增加新功能的能力。TinyX 是經由魚叉式網路釣魚郵件挾帶並散布。
  • RedLeaves。這是一個第二階段後門程式,其運作方式類似 Trochilus 這個開放原始碼無檔案式遠端遙控木馬程式 (RAT),後者賦予歹徒在已感染系統上進行橫向移動的能力。RedLeaves 的功能衍生自 PlugX。今年四月,一個名為「himawari (向日葵的日文)」的 RedLeaves 變種現身,在當時具備了躲避 YARA 偵測規則的能力。

 

ChessMaster 和 APT 10 其實同屬一個網路間諜行動。
APT 10/menuPass 是一個網路間諜集團,其攻擊行動名為「Operation Cloud Hopper」,專門攻擊鎖定目標的中介機構,也就是代管式服務供應商 (MSP)。其最知名的是非常會善用各種專門竊取資訊的後門程式與漏洞攻擊套件,再配合詭計多端的手法,從各種魚叉式網路釣魚郵件到各種攻擊與感染途徑。此外還會使用合法或開放原始碼的遠端遙控工具來竊取資訊。

這聽起來是否有點熟悉?這是因為 ChessMaster 和 APT 10 似乎同屬一個網路間諜行動。下圖進一步詳細說明兩者的攻擊流程:


圖 1:ChessMaster 與 APT 10 的攻擊流程。

我們一開始是發現 ChChes 盯上了某個遭到 APT 10/menuPass 長期攻擊的目標。然而,當我們取得並分析了越來越多 ChChes 的樣本之後卻發現,兩者的攻擊模式幾乎如出一轍:專用的檔案包裝程式、相同的攻擊目標、共用的 C&C 基礎架構。

例如,ChChes 的檔案包裝程式與 menuPass 舊版的 PlugX 很像。此外,從 DNS 記錄也可看出,其某些 C&C 伺服器和網域對應到的 IP 位址根本是同一個,或者位於同一個子網路 (subnet) 之內。所以,他們背後到底是否為同一集團?從種種相似性來看的確如此。而這樣情況以前也發生過,例如 BlackTech 網路間諜行動就是一個例子。 繼續閱讀

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: 繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動,以攻擊知名目標聞名,而且近兩年來更使用了 Java 有史以來第一個零時差漏洞

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計,看起來都指向一些正常的時事新聞網頁,其使用過的電子郵件主旨包括:

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

 

值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。alert 病毒警訊

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示,這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

圖 1:受影響的 Adobe Flash Player 版本。
圖 1:受影響的 Adobe Flash Player 版本。

繼續閱讀