TargetCompany 勒索病毒集團似乎事業越做越大,推出了 RaaS 加盟方案,並架設了多個平台來公布受害者名稱和偷來的資料。新變種大膽捨棄原本慣用的技巧,改用 OneNote 網路釣魚來滲透企業。
本文探討 TargetCompany 勒索病毒(勒索軟體,Ransomware) 最新的「Xollam」變種以及它最新的突破防線技巧。此外我們也研究了一下先前變種的行為以及該家族的勒索伎倆。
TargetCompany 勒索病毒家族自 2021 年 6 月被首次發現以來,如今已經歷了多次改名,象徵該家族的多次重大更新,例如加密演算法的修改,以及不同的解密器特性。
TargetCompany 勒索病毒最早的樣本會在被加密的檔案名稱末端增加一個「.tohnichi」副檔名,這同時也當時受害企業的名稱,換句話說,這是一起專門瞄準該公司的針對性攻擊。也因此,該病毒最早被稱為 Tohnichi 勒索病毒。
繼續閱讀駭客會利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼、略過存取控管、阻斷服務,甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
正當企業才要從 Log4Shell 漏洞 (CVE-2021-44228) 的震撼中回神過來,瞄準開放原始碼網站伺服器 (如 Apache HTTP Server) 的攻擊便席捲而來。駭客利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼 (RCE)、略過存取控管、阻斷服務 (DoS),甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
面對駭客的惡意活動,企業單靠及時修補系統仍稍嫌不足。邁入 2022 年,採用一套軟體組成元件分析 (SCA) 解決方案來發掘軟體供應鏈上每一層環節的問題,將是一項不可或缺的要素。
近期最值得關注的一個 ZBOT 變種是 Zloader,此變種最初以 Silent Night 之名出現於 2019 年,隨後便從一個資訊竊取程式進化成一個多用途惡意程式植入器,駭客用它來安裝和執行其他惡意程式,如:Cobalt Strike、DarkSide 與 Ryuk。除此之外,它還具備其他能力,例如為駭客提供遠端存取,以及安裝外掛程式來執行其他動作。
Zloader 可經由多種方式散布,例如:經由電子郵件,或經由其他惡意程式和駭客工具所下載。企業機構和一般使用者若想避免感染 Zloader 或其他經由類似散播技巧的惡意程式,最基本也是最可靠的一種方法就是養成良好的電子郵件資安習慣,包括:避免下載郵件附件檔案,或點選郵件內看似可疑或毫不相干的連結。
Zloader 多樣化的功能使得它成為熱門又有效的網路攻擊工具,任何駭客都願意花錢購買它。這一點我們在過去的攻擊行動當中已見識過,有些攻擊行動還會利用一些最新的新聞事件 (如 Covid-19 新冠肺炎(COVID-19)疫情),所以未來肯定還有其他駭客也會在攻擊中使用它。
企業機構可採用一些強大的資安解決方案和服務來防範 Zloader 所帶來的衝擊。趨勢科技的 Trend Micro Vision One™ 可提供強大的原生 XDR 功能來串連電子郵件、端點、伺服器、雲端工作負載、網路等防護層,提供更全方位的背景資訊與可視性,讓資安人員掌握駭客整起攻擊的所有事件,並從單一位置調查及回應事件。
除此之外,也可採用 Trend Micro™ Managed XDR 這類託管式資安服務,讓經驗豐富的網路資安專業人員,藉由單一、強大的偵測、分析、回應來源,為您提供專家威脅監控與交叉關聯分析。除了專業能力之外,更搭配人工智慧 (AI) 最佳化的趨勢科技解決方案,與全球威脅情報。
繼續閱讀Water Pamola對許多目標網路商店都下了帶有內嵌XSS腳本的訂單。一旦網路商店帶有這種XSS漏洞,當網路商店管理者在管理後台打開訂單時就會載入惡意腳本。
該腳本執行的惡意行為包括頁面擷取、帳密網路釣魚、Web Shell感染和惡意軟體派送。這波活動的目標可能是竊取信用卡資料, 類似入侵數千家網路商店的Magecart盜卡組織惡意活動。
從2019年開始,趨勢科技就一直在追踪被稱為Water Pamola的威脅活動。這活動最初是利用夾帶惡意附件的垃圾郵件來入侵日本、澳洲和歐洲國家的網路商店。
但是從2020年初起,我們注意到Water Pamola活動發生了一些變化。現在的受害者主要出現在日本。根據最新的監測資料,攻擊不再透過垃圾郵件發動。而是當管理者在網路商店管理後台查看客戶訂單時,就會觸發惡意腳本執行。
Carbanak 和 FIN7 如何發動攻擊?以下分析這兩個以利益為動機並專門鎖定銀行、零售業者與其他企業目標的駭客集團常用的一些技巧。
持續監控網路犯罪集團最新動態是資安研究人員和執法單位防治網路犯罪的工作內容之一。 Carbanak 與 FIN7 是當今以利益為動機的兩大網路犯罪集團。雖然有些研究機構會將這兩大集團歸為同一個,但像 MITRE 將他們分成兩個集團,即使它們都使用 Carbanak 後門程式 來發動攻擊。不過,這些團體不僅使用 Carbanak 後門程式,也使用其他類型的惡意程式,如 PoS 惡意程式 Pillowmint 以及另一個據稱應該是用來取代 Carbanak 的惡意程式 Tirion。
除此之外,MITRE 也點出了這兩大集團的主要攻擊目標:Carbanak 主要攻擊銀行機構,FIN7 則是專門攻擊食品、醫療與零售業。
今年的 MITRE Engenuity ATT&CK Evaluations 測試結果在本週出爐,今年的測試主要模擬 Carbanak 和 FIN7 的攻擊,本文也說明了趨勢科技解決方案如何解決這些威脅。
為了提供有關 Carbanak 和 FIN7 攻擊事件的更多背景資訊,我們整理了過去有關這兩大集團的一些研究報告,而 MITRE 也列舉了這兩大集團的 ATT&CK 手法與技巧 (總共 65 項techniques,涵蓋 11 項tactics)。
根據我們對 過去另一起相關攻擊的研究顯示,駭客習慣利用 魚叉式網路釣魚來入侵系統。一旦駭入系統之後,再透過 Windows 內建的動態資料交換 (DDE) 功能與合法的雲端服務來散播勒索病毒,或建立幕後操縱 (C&C) 通訊。