登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動,以攻擊知名目標聞名,而且近兩年來更使用了 Java 有史以來第一個零時差漏洞

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計,看起來都指向一些正常的時事新聞網頁,其使用過的電子郵件主旨包括:

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

 

值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。alert 病毒警訊

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示,這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

圖 1:受影響的 Adobe Flash Player 版本。
圖 1:受影響的 Adobe Flash Player 版本。

Continue reading “【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭”

Rocket Kitten駭客組織針對異議人士的攻擊行動

Rocket Kitten對伊朗講師及資安研究人員進行間諜活動

Rocket Kitten是個專門將攻擊目標放在中東特定知名人士的駭客組織, Thamar E. Gindin博士是位語言學和前伊斯蘭伊朗文化的專家,顯然因為說出政治聲明而激怒Rocket Kitten駭客組織的幕後人士。

間諜軟體

在2015年中,Gindin博士收到了多封魚叉式網路釣魚(Phishing)郵件,其中一封包含惡意軟體,另外三封夾帶連到偽登錄網頁的連結。這僅僅只是個開始。大量來自未知寄件者的訊息突然出現在她的 Facebook 收件匣。駭客發動暴力攻擊並利用密碼取回選項來取得她的雲端服務帳號。在兩起不同事件中,攻擊者甚至透過電話來聯絡她,希望取得進一步的詳細資料,以便為未來更多的網路釣魚郵件鋪陳。

在2015年6月Gindin博士協助ClearSky的網路安全研究人員進行與Rocket Kitten活動有關的Thamar Reservoir報告。當時她意識到Rocket Kitten刻意地針對她,但攻擊仍在持續。即便在報告發表後,Gindin博士還是會收到Google的密碼重設通知,而她並未上鉤。

 

Rocket Kitten針對ClearSky研究人員

知道Gindin博士跟ClearSky有關可能讓Rocket Kitten將矛頭指向他們的其中一名研究人員。這些攻擊者可能藉由取得的電子郵件知道Gindin博士告知ClearSky研究人員,或是他們自己發現了這安全團隊在調查他們。也有可能是攻擊者存取了其他曾聯繫ClearSky的Rocket Kitten受害者郵件。無論是哪一種,攻擊者利用了此一情報並用來作為誘餌。

隨之而來的是一連串新的嘗試,我們在之前曾報告Rocket Kitten參與派送GHOLE惡意軟體和掩護Woolen-Goldfish攻擊活動。以下解析了他們所做的事情:

  1. 社群媒體:攻擊者先嘗試用一個假Facebook身分來接近一名ClearSky威脅研究人員。這沒有奏效。
  1. 假電子郵件:攻擊者接著用自己所建的假ClearSky郵件地址(clearsky[.]cybersec[.]group@gmail[.]com)來寄送郵件給一名ClearSky研究人員。不過後者打電話給聲稱的寄件者來確認該封電子郵件,發現這是假冒的郵件。
圖1、聲稱來自一名ClearSky研究人員的魚叉式釣魚郵件
圖1、聲稱來自一名ClearSky研究人員的魚叉式釣魚郵件

 

Continue reading “Rocket Kitten駭客組織針對異議人士的攻擊行動”