趨勢科技最近遇到了一個針對 UNIX 以及「類 UNIX」系統所開發的 BIFROSE 惡意程式變種。這是由 Shrouded Crossbow (暗弩) 攻擊行動背後的同一批駭客所為,這批駭客同時也開發了 KIVARS 和 KIVARS x64 等其他 BIFROSE 變種。以 UNIX 為基礎的作業系統一般都出現在伺服器及工作站,但也出現在行動裝置。由於這些伺服器及裝置通常含有相當機密的資料,因此 UNIX 版本的 BIFROSE 可說是一項嚴重威脅。
技術實力
Shrouded Crossbow 幕後的犯罪集團一直在持續更新 BIFROSE 惡意程式來配合其攻擊行動。有些受害者甚至同時感染了 Windows 和 UNIX 兩種版本的 BIFROSE。過去,Shrouded Crossbow 曾利用 BIFROSE 來攻擊民營企業、政府機關以及政府外包商,也曾攻擊消費性電子、電腦、醫療、金融等產業。 繼續閱讀
導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。
【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】
這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。
我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。
根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務 Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。
大型烏克蘭礦業公司的相關惡意軟體
在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: 繼續閱讀
在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。
根據惡意軟體研究人員Robert Lipovsky,烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司,而有兩家電力公司也受到類似惡意軟體的影響。
烏克蘭情報單位認為這起停電事件跟俄羅斯有關,因為兩國間正在進行軍事和政治上的鬥爭,調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出,「這惡意軟體是一個32位元的Windows執行檔,其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」
不久後,Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本,確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久,有許多分析及研究人員證實這些電力公司確實受到網路攻擊,讓此次事件成為第一起由惡意軟體引起的停電。
與其他分析及研究人員的見解一致,Wilhoit分享道:「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition;SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業?更增加了它的神秘感。」
「我們所知道的是,Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo,至少還有一個烏克蘭的廣播公司。在目前看來,受害者似乎都在烏克蘭,沒有出現在其他的地方,」Wilhoit補充說明。 繼續閱讀
一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?
針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」
魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其祕密通訊網路,然後朝攻擊的下一階段邁進。
檢視「防範魚叉式網路釣魚:保護電子郵件如何能夠防止針對性攻擊」
2015年稍早,醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩,導致 8,000 萬名客戶受到影響。根據媒體報導,駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限,進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二,但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。
在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中,駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。
駭客會利用各種最新時事、業務相關內容,以及攻擊目標可能有興趣的資訊來從事社交工程(social engineering )攻擊。此外,後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等,也是歹徒經常用來竊取資訊的技巧。
雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊,但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack ) 。
何謂魚叉式網路釣魚攻擊?
前面提到,魚叉式網路釣魚是專門針對特定對象的網路釣魚(Phishing),其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚(Phishing)的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。 繼續閱讀
趨勢科技最近新發現了一起由資金雄厚的駭客組織所發動的網路間諜攻擊行動,主要鎖定亞洲一些重要產業當中與政府有密切關係的民間企業,包括:民營化政府機構及政府承包商,此外還有消費性電子、電腦、醫療、金融等產業。
該組織從 2010 年起活躍至今,我們根據其某個後門程式中的 mutex 名稱將這起行動命名為「Shrouded Crossbow」(暗弩) 行動。我們的研究指出,該組織財力雄厚,足以買下某個熱門惡意程式工具的原始程式碼,並擁有充足的人力根據這份程式碼開發出自己的改良版本。
BIFROSE、KIVARS 和 XBOW
BIFROSE (亦稱為 Bifrost) 惡意程式過去在地下市場上的售價高達 10,000 美元。我們曾在一起針對政府機構的攻擊和「Here You Have Mail」(您有來信) 垃圾郵件行動當中看過這個惡意程式。儘管 BIFROSE 的網路封包和行為已經廣為業界所知,但該團體仍有辦法在其攻擊行動當中充分運用這個惡意程式。
以下這段程式碼顯示 BIFROSE 回報 (phone home) 給幕後操縱 (C&C) 伺服器的受害者資料。
圖 1:BIFROSE 的回報訊息。
從 2010 年起,這項攻擊行動開始使用另一個後門程式:KIVARS。雖然此程式在載入器和後門工具兩部分的設計與 PLUGX 類似,但從其回報訊息內容看來,似乎與 BIFROSE 的關係更為密切。
圖 2:KIVARS 的回報訊息。
儘管 KIVARS 在功能上沒有 BIFROSE 來得豐富,但對該組織來說仍不失為一個好用的後門工具。事實上,為了因應 64 位元系統的日益普及,KIVARS 在 2013 年更推出了 64 位元的升級版本。
我們認為該組織應該是買下了 BIFROSE 的原始程式碼並加以改良,然後再設計出一套新的安裝流程,以及一個新的程式產生器來產生成對的載入器和後門工具,並且將後門功能加以精簡,結果就成了目前的 KIVARS。這意味著,要不是有人在背後資助這項攻擊行動,就是這個組織本身就擁有足夠的財力和人力可將現有的後門程式加以改良。
有趣的是,KIVARS 某些程式資料庫 (PDB) 檔案的路徑採用的是「BR」+{年份} 的命名方式,這一點似乎與 KIVARS 的名稱不符。我們認為「BR」兩個字母很可能是代表 Bifrose RAT。
圖 3:KIVARS 某些程式資料庫 (PDB) 檔案的路徑。
除此之外,這項攻擊行動還使用了另一個自行開發的後門程式,叫做「XBOW」。XBOW 的發展最遠可追溯至 2010 年中期,其設計靈感應該是來自 BIFROSE 和 KIVARS。
從下圖的 XBOW 組合語言程式碼當中我們可以找到「Recent」、「Desktop」和「Program」等資料夾名稱,這些同樣也出現在 BIFROSE 和 KIVARS 的回報訊息當中。 繼續閱讀