一波新的針對性攻擊利用新勒索病毒感染了數家台灣企業,我們將這隻勒索病毒稱為 ColdLock。這波攻擊帶有破壞性,因為勒索病毒似乎會針對資料庫和郵件伺服器進行加密。
我們所收集的資料顯示這波攻擊在5月初開始攻擊企業。分析惡意軟體顯示ColdLock與之前的勒索病毒家族Lockergoga,Freezing以及EDA2“教學用”勒索病毒套件間有相似之處。沒有跡象顯示這波勒索病毒攻擊了目標之外的組織。我們不認為這支病毒家族現在有被廣泛的使用。
趨勢科技使用者已經能夠抵禦此威脅,我們將其偵測為Ransom.MSIL.COLDLOCK.YPAE-A和Ransom.PS1.COLDLOCK.YPAE-A。底下的文章會描述此威脅的行為,並描述它與其他勒索病毒威脅的關聯。
繼續閱讀Pawn Storm 攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。
根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。
[TrendLabs 資訊安全情報部落格:REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]
DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯 Necurs 殭屍網路 最近也開始使用這項技巧。
[延伸閱讀:網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]
然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:
[資安基礎觀念:越來越多利用 PowerShell 相關威脅該如何防範?]
對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施: 繼續閱讀
網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構,包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF,亦稱為 Muirim 和 Nioupale),主要具備四種功能:執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。
不過,根據趨勢科技最近的監控顯示,歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構,其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography),也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中),因此更不易被察覺。
如同許多網路間諜行動一樣,REDBALDKNIGHT 集團的攻擊雖然斷斷續續,卻持續很久。事實上,REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構,至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定,這一點從其社交工程(social engineering )技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件,日文非常流利,而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。
圖 1:REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。
圖 2:REDBALDKNIGHT 所使用的誘餌文件樣本,歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。
以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌
REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊(SPEAR PHISHING)來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌,以便能夠在背後暗中執行惡意程式,他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。 繼續閱讀
疑似由北韓人士主導的攻擊事件,成為熱門資安研究主題。例如,據部分報導指出,惡名昭彰的 2014 年索尼影業駭客攻擊事件是北韓的攻擊者所為。許多人也對 Lazarus 很感興趣,據稱 Lazarus 是與北韓有關的集團組織,針對一些全球性銀行展開攻擊,企圖竊取龐大的金額。
在本篇文章中,我們將探討幾場較小規模的攻擊事件。據稱這幾場攻擊事件的行動組織連續攻擊韓國能源及交通行業的重要目標,為時三年以上,這些攻擊被稱為 OnionDog。我們進行了更為徹底的查證,並獲得了有趣的結論:OnionDog 並非鎖定目標的攻擊,而是一場資安演習。
OnionDog 首次於 2013 年出現。在 2016 年,有關 OnionDog 的報導指出,它們可能是 2013 年韓國能源及運輸公司攻擊事件的幕後黑手。我們已知約 200 件 OnionDog 獨特樣本,乍看之下,它看來像是規模小,但仍具有影響力的攻擊組織。
Qihoo 360 的 Helios Team 提出一份報告,非常詳細地分析了 OnionDog。這份報告包含 OnionDog 的入侵指標 (IoC),例如惡意檔案的雜湊 (hash),以及八個特定的命令及控制 (C&C) IP 位址,而這些 IP 位址確實是受到惡意程式感染電腦的回呼位址。攻擊者的目的看似並無惡意,只是為了記錄哪些目標成為這場網路安全演習的受害者。趨勢科技查找了這八個 IP 位址的網域解析歷程,獲得資訊如下: 繼續閱讀
有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客,員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。
很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?
自帶設備(BYOD)在過去幾年大大地盛行,因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處,但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。
惡意行動應用程式
隨著行動設備形成企業BYOD生態系的很大一部分,企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。
《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為
防禦惡意應用程式:對於行動設備,企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案,可以偵測應用程式是否可以安全使用。此外,企業解決方案應該包含設備管理和應用程式管理功能,讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。
此外,企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式,可以透過網路活動來先一步偵測惡意軟體。
網路釣魚
雖然網路釣魚(Phishing)並不僅是BYOD的問題,但它在BYOD生態系造成特別顯著的威脅,因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。
雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊,但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊,可能會影響到他們自己的設備。 繼續閱讀