回顧17 年來 Pawn Storm 遍及全球的網路間諜行動

趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中,清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察,其行動最遠可追溯至 17 年前,主要攻擊目標為政府、軍事、媒體以及政治機構,足跡遍布全球。此外,報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳,而且光 2016 年就成長了 400%。

Pawn Storm 的發展史 

根據我們的研究,Pawn Storm 行動最遠可追溯至 2004 年,但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起,人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚(Phishing)伎倆,成功襲擊了全球各類目標。

儘管該團體在美國大選期間出盡鋒頭,但其實他們過去三年來成功入侵了非常多機構:

 

2016 年 Pawn Storm 仍繼續從事網路間諜行動,但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼,而且次數更加頻繁,行動也更加堅決,但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出,其主要對象已變成了政黨與媒體。 Continue reading “回顧17 年來 Pawn Storm 遍及全球的網路間諜行動”

激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?

就算使用者變更了帳號密碼,歹徒的應用程式還是能夠存取該帳號,除非…..

Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示,該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚(Phishing)來騙取帳號登入資訊。2016 年受害對象包括:美國民主黨全國代表大會 (Democratic National Convention,簡稱 DNC)、德國基督教民主黨 (Christian Democratic Union,簡稱 CDU)、土耳其國會和政府機關、蒙特內哥羅國會、世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA)、半島電視台 (Al Jazeera) 以及其他多家機構。

本文探討 Pawn Storm 如何利用開放驗證 (Open Authentication,簡稱 OAuth) 機制來從事進階社交工程詐騙。駭客在 2015 至 2016 年間攻擊了不少使用免費網站郵件服務的重要人士。

OAuth 如何遭到利用?

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制,此機制的好處是使用者不須提供自己的帳號密碼,而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
Continue reading “激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?”

RATANKBA入侵攻擊目標經常瀏覽的合法網站,針對企業發動大規模水坑攻擊,台灣也受影響

在二月初,有多家金融機構通報出現惡意軟體感染,而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑(watering hole)」攻擊。

最近對波蘭銀行進行的連串惡意軟體攻擊據報會在終端機跟伺服器上出現未知的惡意軟體,還有可疑、加密的程式/可執行檔,更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置,可能是要暗渡陳滄將入侵單位的機密資料送至該處。

趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關,而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者?有沒有其他惡意軟體參與其中?這攻擊活動是否真的跟俄羅斯網路犯罪集團有關?不過根據我們在惡意軟體內所看到的俄文,我們認為這只是用來混淆攻擊者真面目的偽裝手法。

台灣也受到影響

銀行並不是唯一的目標;也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外,攻擊活動並非僅局限於北美和歐洲,一些亞太地區,特別是台灣、香港和中國也受到影響。

在此提供進一步的分析和見解,可以補充其他關於此一威脅的研究。

 

圖1、關於RATANKBA的可能感染流程

Continue reading “RATANKBA入侵攻擊目標經常瀏覽的合法網站,針對企業發動大規模水坑攻擊,台灣也受影響”

揭開專門監視知名政治家和企業家的 「EyePyramid 」惡意程式神秘面紗

 

我們在這篇文章首次討論兩名被稱為「Occhionero兄弟」的義大利人被逮捕指控利用惡意軟體和特製的魚叉式釣魚攻擊(SPEAR PHISHING)來監視知名政治家和企業家。這個案子被稱為「EyePyramid」,名稱來自研究過程所發現的網域名稱和目錄路徑。

義大利通訊社AGI在1月11日中午公開了法庭命令。本文提供更多關於此案例的詳細資訊以對此攻擊活動有更加完整和深入的了解。

 

分析範圍

趨勢科技已經分析了近250個不同的EyePryramid相關樣本。在我們進行初步分析後,大約有十幾個可疑樣本被上傳到VirusTotal並標記為「#eyepyramid」。我們認為這些樣本是「假標記」,因為這些樣本跟其他樣本不同,無法跟EyePyramid建立肯定的關聯。

 

被針對的電子郵件帳號

部分樣本顯示出攻擊者將目標放在許多網域的電子郵件帳號。帳號憑證和這些帳號的郵件都被竊取,以下是被鎖定電子郵件帳號的網域:

 

被鎖定的網域
@alice.it
@aol.com
@att.net
@badoo.com
@bellsouth.net
@bluewin.ch
@btinternet.com
@comcast.net
@cox.net
@cyh.com.tr
@earthlink.net
@eim.ae
@email.com
@email.it
@emirates.net.ae
@excite.it
@facebook.com
@facebookmail.com
@fastweb.it
@fastwebmail.it
@fastwebnet.it
@free.fr
@gmail.com
@gmail.it
@gmx.de
@gmx.net
@googlegroups.com
@googlemail.com
@groupama.it
@groups.facebook.com
@gvt.net.br
@hanmail.net
@hinet.net
@hotmail.co.uk
@hotmail.com
@hotmail.fr
@hotmail.it
@infinito.it
@interbusiness.it
@interfree.it
@inwind.it
@iol.it
@jazztel.es
@jumpy.it
@katamail.com
@laposte.net
@legalmail.it
@libero.it
@live.com
@live.it
@lycos.com
@lycos.it
@mac.com
@mail.bakeca.it
@mail.com
@mail.ru
@mail.vodafone.it
@mail.wind.it
@mclink.it
@me.com
@msn.com
@mtnl.net.in
@nate.com
@netscape.net
@netzero.com
@orange.fr
@otenet.gr
@poczta.onet.pl
@poste.it
@proxad.net
@rediffmail.com
@rocketmail.com
@runbox.com
@saudi.net.sa
@sbcglobal.net
@skynet.be
@supereva.it
@sympatico.ca
@t-online.de
@tele2.it
@verizon.net
@virgilio.it
@vodafone.com
@vodafone.it
@vsnl.net.in
@wanadoo.fr
@web.de
@yahoo.ca
@yahoo.co.in
@yahoo.co.jp
@yahoo.co.uk
@yahoo.com
@yahoo.com.ar
@yahoo.com.br
@yahoo.com.mx
@yahoo.de
@yahoo.es
@yahoo.fr
@yahoo.it
@yahoogroups.com
@ymail.com

 

攻擊計畫

這波攻擊有著明顯的攻擊前準備,用意在製作有效的魚叉式釣魚攻擊(SPEAR PHISHING),取得目標的信任。攻擊者從一份電子郵件帳號列表開始 – 來自另外的入侵活動,或是來自用相同惡意軟體的其他案例。這些帳號屬於最終受害者所信任的組織或個人。

利用這些電子郵件帳號當作寄件者,將附加惡意軟體原本的副檔名(.exe)加以變更,攻擊者設法以直接或間接的方式感染重點受害者的電腦。

當在電腦上執行惡意軟體時,它會自動更新自己,竊取符合上述列表的電子郵件帳號相關資訊,並透過HTTP/HTTPS將收集的資訊傳送到資料取回電子郵件地址或C&C伺服器。同時將這些電子郵件帳號加到攻擊者所用的已入侵帳號列表,讓這些帳號可以用來將惡意軟體散播給其他受害者。

Continue reading “揭開專門監視知名政治家和企業家的 「EyePyramid 」惡意程式神秘面紗”

< BEC 變臉詐騙 > 男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕

曾有歹徒利用 Predator Pain 和 Limitless 這兩個鍵盤側錄程式,來從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) ,獲利高達約22億新台幣!其中Limitless作者在1月13日,一名大學生Zachary Shames向美國維吉尼亞州聯邦地方法院認罪,這個惡意鍵盤側錄程式被用來竊取數千份使用者敏感資訊(如密碼和銀行憑證)。在 2014年11月,趨勢科技的前瞻性威脅研究團隊(FTR)發表一份包含Limitless的研究報告,同時介紹它被如何用來竊取數千名受害者的資料。在此之前,我們將如何確認Shames為作者的詳細資料交給了美國聯邦調查局(FBI)。本文將詳細介紹我們如何建立連結,這是我們在已發表的報告中所沒有提及的。

根據東維吉尼亞的檢察官辦公室,維吉尼亞州詹姆斯麥迪遜大學的21歲資訊系學生被控協助和教唆電腦入侵。Shames承認開發和銷售超過3,000份的間諜軟體,用來感染超過16,000台電腦,這些行為違反了美國法典第18章第1030(a)(5)(A)和2條。

在2014年7月,FTR 團隊成員開始研究兩種商業化鍵盤側錄程式所進行的攻擊(Predator Pain 和Limitless Logger),這兩者都被用在多起入侵事件,其中不乏知名的受害者。

在研究過程,Limitless和其他工具一起被廣泛地用在針對性攻擊/鎖定目標攻擊(Targeted attack )活動。受害最深的國家是馬來西亞、印度、澳洲、丹麥和土耳其。

圖1、受 Predator Pain/Limitless影響的國家

Continue reading “< BEC 變臉詐騙 > 男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕”

盤點 2016 年全球針對政治團體的高調攻擊活動

縱觀歷史,具有政治動機的威脅份子會有意地影響輿論來達到自己的目的。而近來網際網路的普及也讓這些威脅分子拿到了新工具。他們不僅利用社群媒體來操弄新聞,散佈謠言和假新聞,同時也積極地入侵政黨團體。

政黨團體對這些想造成傷害的威脅分子來說是相對容易的目標。從本質上看,政黨團體必須要跟成員、媒體和公眾坦誠溝通。在忙亂的選舉期間,政黨團體也特別容易遭受間諜活動和網路攻擊,因為安全防禦措施在此時可能會被視為影響運作的累贅。但近來在2016年的事件顯示出安全防護對政黨團體來說有多重要。

2016年,至少有八起針對政治團體的高調攻擊活動

在2016年,我們至少看到八起針對政治團體的高調攻擊活動,發生在美國、德國、烏克蘭、土耳其和蒙特內哥羅等國家。這些攻擊不只是為了進行間諜活動,而是要積極地干預政治程序和影響公眾輿論。維基解密和主流媒體都被利用來讓廣大人民知道被針對政治團體所可能涉及的醜聞。竊取的資料被發布了,但資料真實性通常沒有經過證實。這讓威脅份子有空間來為了自身利益變造竊取資料,然後發表時假裝資料真實而沒有經過變動。而發布精心挑選而未經變造的資料可以讓威脅分子更好地影響公眾輿論,往有利他們利益的方向發展。

在2016年,據稱美國民主黨成為Pawn Storm的目標,這駭客團體已知曾對俄羅斯的個人和團體造成威脅。在2014年到2016年間,Pawn Storm至少對十數個國家的軍隊發動攻擊活動。Pawn Storm的活動顯示出地緣是國內外間諜活動和其產生影響的主要動機,而非金錢利益。

民主黨成員的電子郵件被竊是一個例子。這些電子郵件由維基解密和dcleaks[.]com流出,後者有可能是Pawn Storm所控制的網站。我們可以確認在2016年3月和4月,Pawn Storm對美國民主黨各高層成員的企業和免費網路郵箱發動一波積極的憑證網路釣魚攻擊活動。

在競選期間,數十名政界人士、民主黨全國委員會(DNC)工作人員、演說稿作者、資料分析師、前歐巴馬競選活動人員、希拉蕊競選活動人員,甚至是企業贊助者都曾被多次鎖定。我們知道是因為我們從2014年開始就一直在追蹤Pawn Storm的憑證網路釣魚攻擊活動。我們獲取對數以萬計網路釣魚網址的大量點擊統計資料,並曾在2015年發表對該資料的早期分析

在2016年6月,趨勢科技發現一起針對民主黨國會競選委員會(DCCC)網站的嚴重駭客事件呈現和Pawn Storm駭客集團類似的行為模式。我們是此入侵事件的最早期發現者之一,並立即對美國當局披露。入侵問題在我們回報問題的數小時後就解決,DCCC網站也已經經過清理。

除了維基解密,威脅分子也試圖利用主流媒體來影響公眾輿論,並對政黨團體造成傷害

Pawn Storm利用主流媒體來讓普羅大眾知道他們的惡意攻擊已經有例可循。數家主流媒體已經證實它們被提供Pawn Storm竊取資料的獨家取得權。這顯示除了維基解密,威脅分子也試圖利用主流媒體來影響公眾輿論,並對政黨團體造成傷害。 Continue reading “盤點 2016 年全球針對政治團體的高調攻擊活動”

外洩嗶聲! 攻擊者監視呼叫器通訊, 收集電話號碼、員工姓名,甚至高階目標的電子郵件

許多公司都會想辦法在網路上隱藏自己的電話目錄及公司電子郵件地址模式。然而,這些努力卻會被仍在使用中的舊技術所破壞,因為攻擊者可以監視呼叫器通訊而從中找到這些聯絡資訊

 

趨勢科技在「外洩嗶聲」系列的前幾期中討論了醫療體系工業控制系統透過傳呼通訊協定POCSAG和FLEX發送了明文形式的訊息。當我們探討醫療體系的呼叫器(或稱傳呼機或 BB.Call)使用時,很驚訝地發現內容包含病患的敏感資料。同時也對工業環境內使用POCSAG和FLEX進行無線通訊的自動化系統數量感到吃驚。這讓有心攻擊的人能夠取得足夠的資訊在未來進行攻擊。

在進行研究的過程中,我們再次看到IT系統會用明文向公司基礎設施發送重要訊息。包括會發送傳呼訊息來記錄誰打電話給公司內部員工的系統。由於這是用明文發送並且能夠被遠端觀察,攻擊者可以收集電話號碼、員工姓名,及在某些情況下包括可能高階目標的電子郵件地址。

在現今這個時代,許多公司都會想辦法在網路上隱藏自己的電話目錄及公司電子郵件地址模式。然而,這些努力卻會被仍在使用中的舊技術所破壞,因為攻擊者可以監視呼叫器通訊而從中找到這些聯絡資訊。

 

帶有個人資訊的傳呼範例

筆者還記得小時候去父親的辦公室時,看到IT人員為了警報和通訊目的而攜帶呼叫器。當我開始在IT部門工作時,仍會看到一些呼叫器的使用,但我認為只是一些老IT人員習慣於使用呼叫器作為通報機制。隨著時間的過去,手機變得越來越受歡迎。當我們開始這項研究時,並沒有預期到會看到來自IT系統的訊息。例如,來自伺服器或網路入侵偵測系統的syslog訊息: Continue reading “外洩嗶聲! 攻擊者監視呼叫器通訊, 收集電話號碼、員工姓名,甚至高階目標的電子郵件”

趨勢科技TippingPoint新一代入侵防護系統 (NGIPS) 榮獲NSS Labs推薦

【2016年10月25日台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天宣布,趨勢科技 TippingPoint新一代入侵防護系統(NGIPS)在2016年NSS Labs NGIPS測試當中奪得「推薦」(Recommended)的榮耀。趨勢科技在這項測試當中拿下99.5%的綜合成績,再次證明趨勢科技在入侵防護市場的領導地位與企業資安防護無可匹敵的聲望。

趨勢科技TippingPoint副總裁暨總經理Donald Closser表示:「榮獲競爭激烈的NSS Labs『推薦』榮耀,證明了趨勢科技是業界的領導者,並且展現了我們卓越而值得客戶信賴的網路防禦。隨著今日威脅情勢日益精密,TippingPoint 也採取了同樣精密的防護技巧,提供符合成本效益的方式來保護企業的網路、資料和智慧財產。」

TippingPoint新一代入侵防護系統提供了整合式進階威脅防護來即時防堵已知的漏洞以及所有可能的攻擊變化手法。此外,透過此進階威脅防護解決方案,也讓使用者能夠偵測、分析、回應未知的惡意程式和進階威脅,涵蓋所有網路流量、連接埠及100多種通訊協定。此外,TippingPoint NGIPS的客戶還能獲得趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫所提供的資訊搶先掌握漏洞的揭露,在漏洞修補之前的空窗期當中預先加以防範。

NSS Labs, Inc.執行長Vikram Phatak表示:「TippingPoint的新一代入侵防護系統在我們測試當中展現了卓越的防護力,成功阻擋了99.5%的攻擊與所有規避技巧。該裝置通過了每一項穩定性與可靠性考驗,而且達到零誤判,並能準確偵測惡意內容。」

NSS Labs的NGIPS 評比測試分析了市面上八家 NGIPS 裝置的防護成效、效能、持有成本、穩定性以及可靠性。隨著進階威脅與針對性攻擊/鎖定目標攻擊(Targeted attack )數量不斷攀升,NSS Labs的報告為客戶提供了一份公正的第三方資源,證明TippingPoint NGIPS是一套有效且價格合理的威脅偵測解決方案。

如需完整報告,請至:NSS Labs report

孟加拉中央銀行網路洗劫案例給我們什麼啟示

孟加拉中央銀行在美國聯邦儲備銀行的帳戶遭網路駭客洗劫的事件,再次突顯網路攻擊對企業、民間機構、甚至是國家可能帶來什麼樣的衝擊。撇開此事件的損失金額、幕後黑手以及政治動機不談,基本上,此攻擊的手法及程序與任何其他網路犯罪攻擊沒什麼不同。

bank sign

此案例可說是至今最大膽的網路竊盜案件之一。要不是歹徒的一個小小輸入錯誤,受害金額很可能高達 10 億美元以上。不過,歹徒還是匯走了 8 千萬美元以上,並且款項還透過菲律賓的多個賭場來洗錢。目前調查結果指向中央銀行的電腦系統可能遭人植入惡意程式來協助此次搶案。

 


編按:原本看似天衣無縫的作案手法卻因駭客拼錯字而露出馬腳,只因轉帳時將「foundation」(基金會)誤拼成「fandation」,促使通匯銀行德意志銀行(Deutsche Bank)向孟加拉央行要求驗證,進而阻止這筆交易。


 

如果真有惡意程式涉案,那麼:

  • 駭客是如何取得交易的授權?他們是否掌握了某個擁有這項權限的帳號?如果是的話,他們是如何辦到的 (網路釣魚(Phishing)、鍵盤側錄程式或其他方式)?
  • 是否應該有什麼安全措施或管控機制可以偵測到這筆異常交易 (例如:金額過高、交易量過大等等)?

Continue reading “孟加拉中央銀行網路洗劫案例給我們什麼啟示”

刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院

就在新的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種「Locky」據報攻擊了美國肯德基州一家醫院之後,醫療產業一個月內兩度遭勒索軟體攻擊,一個名為「SAMSAM」的最新勒索軟體家族襲擊。

醫院 醫療 醫生 醫師

根據 Cisco 旗下威脅情報中心 Talos 的發現,SAMSAM 進入系統的方式是藉由攻擊伺服器的漏洞,而非透過惡意廣告或惡意電子郵件社交工程(social engineering )技巧之類的傳統方法。這個特殊的勒索軟體 Ransomware (勒索病毒/綁架病毒)變種似乎是經由含有未修補漏洞的伺服器來散布,並且利用這些伺服器來入侵更多電腦系統,進而搜尋電腦上的重要資料並加以加密,其主要攻擊目標為醫療產業。

[延伸閱讀:Locky 勒索軟體變種攻擊基督教衛理公會醫院]

駭客利用 JexBoss 這套開放原始碼應用程式伺服器以及其他 Java 應用程式平台的漏洞來取得遠端命令列程式 (remote shell) 的存取權限並安裝 SAMSAM 到目標網站伺服器上。駭客接著利用被感染的伺服器在網路內橫向移動,並且散布勒索軟體用戶端程式至 Windows 電腦上。有趣的是,Cisco Talos 發現受害者可以透過一個對話方塊和駭客溝通並討論贖金的支付方式。在一些看到的樣本中,歹徒要求的贖金是每一台電腦1.5個比特幣(Bitcoin),或者是22個比特幣(Bitcoin)的代價清除所有受感染的電腦。

[延伸閱讀:勒索軟體如何運作]

 

FBI警告,SAMSAM 會「手動搜尋並刪除」備份檔案,逼迫受害企業就範

Continue reading “刪除備份,逼迫就範!! 新勒索病毒 SAMSAM ,攻擊伺服器漏洞,鎖定醫院”