目標式攻擊/針對性目標攻擊(Targeted attack ) - 資安趨勢部落格

勒索病毒與犯罪集團結盟,與「存取服務」(Access as a Service) 不肖業者結盟出租或銷售各種企業的網路存取權

2020 年 04 月 27 日2021 年 03 月 22 日趨勢科技 TrendMicro

或許是因為許多政府機關在受害之後都願意支付贖金，所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題，還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ，以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金，仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出，受害者原本是希望能支付贖金來取得解密金鑰，沒想到收到的金鑰卻反而讓所有的資料被清得一乾二淨。

2019 年，勒索病毒犯罪集團改懸易轍，開始針對特定的機構進行攻擊，試圖入侵其關鍵資產、系統和服務來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄，盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源，例如：網域控制器 (Domain Controller) 和 Active Directory 目錄服務，目的是為了造成企業更嚴重的營運中斷，進而迫使企業乖乖就範，讓他們予取予求。

繼續閱讀

CallerSpy 行動間諜軟體,偽裝聊天APP竊個資,可能發動針對性攻擊

2019 年 12 月 09 日2019 年 12 月 07 日趨勢科技 TrendMicro

趨勢科技在釣魚網站上發現一個偽裝成聊天應用程式的新間諜軟體。我們認為這具備多種網路間諜行為的應用程式初始目的是用在針對性目標攻擊(Targeted attack )。我們五月時在網站https://gooogle[.]press/首次發現此威脅，一個被宣傳成名為Chatrious的聊天應用程式。使用者可以點擊網站上的下載按鈕來下載惡意APK檔。

該網站在五月那次經驗後就失效了。我們注意到它在十月再度回歸，這次提供了另一個名為Apex App的應用程式。這是個能夠竊取使用者個人資訊的間諜軟體。趨勢科技將這兩種威脅都偵測為AndroidOS_CallerSpy.HRX。

Figure 1. Screenshots of Chatrious (left) and Apex App (right)

圖1. Chatrious（左）和Apex App（右）的截圖

繼續閱讀

防範針對性攻擊( Targeted Attack)入侵的三項建議

2019 年 11 月 07 日2019 年 10 月 25 日趨勢科技 TrendMicro

企業至今依然不斷遭受針對性攻擊的襲擊，原因就在於駭客暗中入侵企業網路邊境的精密手法和工具一直不斷向上提升，那麼，您該如何確保自身安全？

儘管今日已有不少進階的資安技術，但針對性目標攻擊( Targeted Attack)對企業來說仍是一項嚴重的威脅。許多企業至今依然不斷遭受針對性攻擊的襲擊，原因就在於駭客暗中入侵企業網路邊境的精密手法和工具一直不斷向上提升。事實上，根據 Accenture 和 Ponemon Institute 所做的一項 2019 年調查指出，平均每家公司因駭客精密攻擊而導致的網路犯罪損失已從 2017 年的 1,170 萬美元上升至 2018 年的 1,300 萬美元。

所幸，除了建置網路資安解決方案之外，企業還可配合一些最佳資安實務原則來進一步提升防禦，如此就能防範針對性攻擊，避免招致災難性的後果。以下是三項能夠防止您網路遭到針對性攻擊的資安建議：

1.實施網路分割。

網路基礎架構通常相當複雜，涵蓋了重重的使用者、工作站、伺服器及其他連網裝置。複雜的網路對資安團隊將是一項艱難挑戰，不論在網路的掌握或存取管理方面。因此，強烈建議企業將網路依照部門、地點、安全層級等等，井然有序地細分成較小的單位。

繼續閱讀

貌似空白的 excel 工作表,開啟前注意三件事,嚴防內嵌AutoHotkey惡意腳本攻擊

2019 年 04 月 19 日2019 年 05 月 02 日趨勢科技 TrendMicro

趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔（Military Financing.xlsm）。使用者需要啟用巨集功能才能完全開啟檔案，接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊，甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力，除了可能發動針對性目標攻擊(Targeted attack ) 外，也可能散播勒索病毒和挖礦病毒。

該電子郵件附加的Excel檔案標題（Foreign Military Financing (FMF)）以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”（空格）命名。趨勢科技提醒開啟附件前注意三件事:

下載和開啟附件檔前要先檢查寄件者、標題和本文是否有任何可疑之處。
記得檢查附加檔副檔名，確認是否跟郵件內容一致。
要啟用內容以打開檔案前請檢查可疑徵兆，如要求使用者啟用巨集的內容或顯示為空白的內容。

啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本

當使用者啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察，它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令，它可以下載並執行其他腳本。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-1-attack-chain-starting-with-the-arrival-of-the-email-with-the-malicious-attachment-640x480.jpg

圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始

企圖魚目混珠的Excel空白檔案

繼續閱讀

Blackgear網路間諜活動再度出現，利用社群媒體進行C&C連線

2018 年 07 月 19 日2018 年 07 月 28 日趨勢科技 TrendMicro

Blackgear（也稱為Topgear和Comnie）網路間諜活動早在2008年就已經出現（根據駭客所使用的Protux後門程式）。它的目標是日本、韓國和台灣的組織，對公家機關、電信業及其他高科技產業進行攻擊。像在2016年，我們就發現它使用各種惡意工具（最著名的是Elirks後門程式）攻擊日本的組織。Blackgear有著高度的組織性，而且自行開發所用的工具，我們從其最新攻擊可以發現這些工具都已經被改進過。