從南韓數位貨幣交易所遭駭,看企業應自保六原則

 

全球最大 數位貨幣 交易所之一「Bithumb」在 6 月 29 日發生嚴重的駭客入侵事件。這家位於南韓的交易所是知名的 乙太幣 (Ethereum ) 交易平台之一 (該貨幣在南韓相當熱門)。根據當地媒體指出, 由於該公司某位員工遭駭,使得駭客竊取了 超過 31,000 名客戶的資料 ,包含手機號碼和電子郵件等資訊。該公司隨即在  6 月 30 日通知 客戶有關資料失竊的狀況。

根據媒體報導 ,駭客的手法是實際接洽 Bithumb 的客戶,經由語音網路釣魚手法來取得其錢包。雖然官方並未公布確切數字,但已有南韓使用者分別在 網路論壇上表示自己損失慘重。Bithumb 也 發表聲明表示打算補償使用者的部分損失:每人最高 10 萬韓幣。

《延伸閱讀》語音釣魚(Vishing):這是什麼?如何預防?

目前 韓國網際網路安全部 (Korea Internet and Security Agency,KISA)  以及檢警單位的網路犯罪調查小組正在深入調查此案件。

這是近期發生的第二起乙太幣相關駭客事件,先前我們已發文指出,同一星期,專門以經典乙太幣 (Ethereum Classic,簡稱 ETC) 使用者為對象的「 經典乙太幣錢包」服務,也因社交工程(social engineering )詐騙而遭到入侵。

六個網路帳號和數位貨幣帳號安全的最佳實務原則

隨著數位貨幣相關的駭客事件越來越多,使用者應主動看緊自己的網路錢包與任何其他網路帳號。此外,企業亦應小心保管自己的資料,並採取以下員工裝置安全政策: Continue reading “從南韓數位貨幣交易所遭駭,看企業應自保六原則”

主要鎖定台灣,專偷機密技術的 BlackTech 網路間諜集團

2014 年趨勢科技目前發現一起專門針對台灣政府和行政單位的 APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 活動。這起特定攻擊活動命名為 PLEAD,據 趨勢科技分析發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後很有可能都同屬一個駭客團體 BlackTech 網路間諜集團。

APT

 

 

BlackTech 是一個在東南亞地區相當活躍的網路間諜集團,尤其是在台灣,偶爾也在日本和香港地區活動。根據其幕後操縱 (C&C) 伺服器的 mutex 和網域名稱來看,BlackTech 的行動主要是竊取攻擊目標的機密技術。

趨勢科技對其活動以及不斷變換的手法與技巧所做的分析,我們發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後有所關聯。

我們分析了他們的犯案手法並剖析了他們所用的工具之後發現,PLEAD、Shrouded Crossbow 和 Waterbear 很有可能都同屬一個駭客團體。

PLEAD: 曾經攻擊台灣的政府機關和民間機構

PLEAD 是一個資料竊取行動,尤其專門竊取機密文件。該項行動從 2012 年活躍至今,曾經攻擊台灣的政府機關和民間機構。PLEAD 所使用的工具包括同名的 PLEAD 後門程式以及 DRIGO 資料搜刮外傳工具。PLEAD 會利用魚叉式網路釣魚郵件來夾帶惡意的附件檔案或雲端儲存空間連結,以散布並安裝其木馬程式。歹徒使用了一些雲端儲存空間帳號來提供 PLEAD 木馬程式,並且接收 DRIGO 所搜刮外傳的文件。

PLEAD 的安裝程式經常使用從右至左書寫 (RTLO) 的技巧來讓惡意程式的檔名看起來像文件檔,且大多會搭配一個誘餌文件來轉移使用者的注意力。此外,我們也看過 PLEAD 使用以下漏洞來攻擊:

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr 顯示成xxx.rcs.pdf

在某些 PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:

Plead寄送至台灣政府單位的電子郵件
Plead寄送至台灣政府單位的電子郵件

 

一旦.7z 附加檔案被解開,收件者會看到兩個檔案,看來像一個 PowerPoint文件和一個 Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

針對台灣政府單位的APT 攻擊:解開的附件檔顯示RTLO 伎倆,副檔名看似PPT,其實是.SCR 螢幕保護程式上
針對台灣政府單位的APT 攻擊:解開的附件檔顯示RTLO 伎倆,副檔名看似PPT,其實是.SCR 螢幕保護程式上

 

為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

針對台灣政府單位的APT 攻擊.SCR 檔案刻意以假亂真產生一個 PPT檔案作為誘餌
針對台灣政府單位的APT 攻擊.SCR 檔案刻意以假亂真產生一個 PPT檔案作為誘餌

《延伸閱讀》< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

PLEAD 還曾經短暫使用過一個無檔案式惡意程式版本來攻擊 Flash 的漏洞 (CVE-2015-5119),也就是當年 Hacking Team 所外流的漏洞

PLEAD 如何利用已遭入侵的路由器。
PLEAD 如何利用已遭入侵的路由器。

Continue reading “主要鎖定台灣,專偷機密技術的 BlackTech 網路間諜集團”

濫用 PowerShell 的無檔案病毒興起

網路犯罪分子越來越常利用系統內建工具或服務來散播惡意軟體,原因是方便、有效和隱蔽。舉例來說,利用這些合法工具可以讓威脅活動混在正常的網路流量或IT/系統管理工作內,也讓這些惡意威脅能夠留下較少的痕跡,使得偵測更加困難。無檔案病毒就是其中一個例子。

無檔案病毒意味著沒有檔案被寫入或下載至受感染機器的本地磁碟執行。相對地,它們會在系統的記憶體內執行,或駐留在系統註冊表內以取得持久性。在典型的無檔案病毒感染中,有效載荷可以被注入現有應用程式/軟體的記憶體內,或透過白名單內的應用程式(如PowerShell)來執行腳本。

即便它們不是基於檔案(或可執行檔)的威脅,我們知道它們確實在外活動著,因為此類技術已經常地被使用在針對性攻擊/鎖定目標攻擊(Targeted attack )中。無檔案病毒最可被察覺的是網路蹤跡,像是命令與控制(C&C)連線,和其他留在中毒系統內的惡意程式碼。不幸的是無檔案病毒也可以在公開的專案計畫中取到,甚至在網路地下市場作為產品(或服務)提供。無檔案病毒也是如Angler等漏洞攻擊的主要功能之一。舉例來說,網路犯罪集團Lurk利用自己所開發的漏洞攻擊套件來透過無檔案病毒從金融機構竊取超過4,500萬美元

 

[延伸閱讀:無檔案勒索病毒技術全貌 – UIWIX]

惡意PowerShell腳本是許多無檔案病毒的關鍵要素。Windows PowerShell是內建基於.NET框架的命令列Shell,提供使用者存取作業系統(OS)服務的介面,也是能夠建立腳本的程式語言。PowerShell主要用來自動化系統管理工作,像是檢視系統內所有的USB設備、磁碟和服務,排程工作並在背景執行,或是終止程序(就像是工作管理員)。PowerShell也可以讓管理員無縫管理系統和伺服器及軟體或服務所運行環境的設定。 Continue reading “濫用 PowerShell 的無檔案病毒興起”

商業流程入侵 (BPC):進階目標式攻擊的下一個步驟

近幾年來,針對性攻擊/鎖定目標攻擊(Targeted attack )  已有長足發展,其會鎖定特定對象並採用越來越進階的技術來發動攻擊。一般來說,這類駭客會鎖定企業內的單一成員、竊取其憑證、登入帳戶,並冒用這個帳戶來尋找敏感資訊。變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)就是駭客將惡意活動推展到新境界的手法之一,其會運用密集研究與量身訂做的訊息來達到入侵目的。

不過,現在又有新的威脅曝光了:商業流程入侵 (BPC)。BPC 聽起來跟 BEC 很像,但卻是完全不同的概念。

BPC 的運作方式

從趨勢科技的這段影片可以看出,BPC 駭客並非鎖定受害組織中的特定成員,而是鎖定企業中的特定流程,這些流程是完成重要日常作業的關鍵環節。一旦侵入系統之後,駭客就會試圖透過活動、漏洞或整個系統進行滲透,並使用這項弱點作為攻擊主力。

這種攻擊模式的目的是要盡量取得組織的流程資訊,包括商業用的所有活動和系統。駭客可以從這裡查出相關流程和平台的漏洞,並進行巧妙的調整或操控。如此一來,從公司的角度來看,系統仍照常運作。但是,網路罪犯卻躲在背後竊取資料、詐取利潤,甚至盜取實際商品。

BPC 有成功過嗎?

Continue reading “商業流程入侵 (BPC):進階目標式攻擊的下一個步驟”

駭客如何反將組織一軍?

伺機而動:駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中,總會出現下列主軸:知己知彼,百戰百勝。

人們在層層設定 (包括網路安全領域) 中,採用了這種戰術,且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術,以便打造可防禦特定威脅的目標式防護。不過,大多數人都沒有發現到,在防護端另一側的敵人,也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣,都持續精進自己的技術。再者,現在有些攻擊者並不會採用已知的系統漏洞,反而想利用組織部署的惡意行動封鎖防護措施,來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容,為何反被網路罪犯作為攻擊武器?接下來,讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一,是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動,並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工,除非獲得授權人或團體的許可,否則都不要提供個人或公司的敏感詳細資料。

對此,駭客可偽造冒牌電子郵件,引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後,駭客即開始利用網路釣魚(Phishing),該技術會依靠仿真的訊息,說服受害者提供敏感資訊。在這類攻擊當中,攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中,當攻擊者鎖定特定企業的成員時,駭客會竭盡所能地瞭解這些對象,並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料,以吸引閱信者的目光,並誘使他們點選惡意連結或足以干擾系統的附件。 Continue reading “駭客如何反將組織一軍?”

假新聞與網路宣傳如何運用及操弄社群媒體?

研究報告顯示假新聞已發展成一種新的營利模式,網路犯罪者善用此手法作為服務項目 FNaaS(Fake News as a Service),在全球包含俄羅斯、中國、中東及英語國家的地下市場販售,所提供的服務不止是散播假新聞,通常還包括產製這些新聞故事,並把它們行銷給目標族群,手法類似於內容行銷服務與社群媒體行銷運作,甚至透過點擊詐騙殭屍大軍(Botnet)為貼文或影片的觸及率灌水,讓特定內容更具權威性及可信度,間接操控輿論風向,例如:中國「寫作幫」販賣產製內容,每篇只需100至200人民幣(約400-800台幣)不等,甚至也利用社群媒體引發口碑效應,讓新聞文章被特定留言讚爆。相同手法也同樣能影響股價及金融市場,任何有心人士都能利用此服務散佈不實訊息來達到特定目的,其中以政治及商業目的最為常見,可能對全世界政治、金融局勢和整個媒體產業產生巨大影響。

談到「假新聞」三個字,人們大概會直接聯想到社群網站上一些超神奇、超誇張的故事。不過,儘管假新聞與社群網站有很大關聯,但社群網站上的假新聞卻並非只是標題誇張而已。

假新聞與網路宣傳

假新聞看似是一項今日才有的新問題,但其實這只是它的散布平台較為新穎而已。然而「鼓吹宣傳」這件事其實早已存在數百年,只是網際網路最近才成為人們散布謊言與不實資訊的管道。

火的燃燒有三項要素:氧氣、熱度和燃料。同樣地,假新聞要炒得起來,也需要三要素:工具與服務、社群網路、動機 (如下圖所示),而且只要缺乏其中一項,假新聞就無法散布或到達目標。

圖 1:假新聞的三項要素。

首先是在社群媒體上操弄和散布新聞的「工具與服務」,這些工具大多可透過全球各種網路社群取得,而且種類繁多。有些服務相當單純,例如付費購買「按讚數」和「追隨數」等等,有些則稍微複雜,例如在網路調查中灌水,或者迫使某網站管理員撤下某篇文章。無論如何,這些操弄社群媒體的工具和服務唾手可得,而且不一定要到地下市集才能取得。

其次,這些工具要發揮作用,首先得要有社群網站這個宣傳平台。而隨著人們經由這類網站吸收資訊和新聞的情況越來越普遍,其重要性實在不容小覷。不過,單純地將宣傳訊息 PO 上網,離訊息真正觸及目標對象還有一段距離。我們在報告中說明了歹徒利用何種技巧來引誘讀者閱讀其訊息。

此次針對社群媒體的研究,也讓我們也了解到 Twitter 網站上的內容機器人與讀者之間的關係,描繪出這類操弄性輿論的規模和組織。

最後,所有的宣傳背後必定有其「動機」。我們也探討了這些假新聞背後的動機,其中有些只是單純為了賺取廣告費,但有些則懷有犯罪或政治意圖。不論其動機為何,任何宣傳是否成功,最終還是要看它對真實世界有多大影響。

個案研究

報告中,我們舉出幾種不同的個案來說明這些宣傳的成效,以及歹徒如何利用假新聞來達到各種目的,如以下三圖所示:

假新聞的各種用途

Continue reading “假新聞與網路宣傳如何運用及操弄社群媒體?”

Erebus Linux 勒索病毒來襲:如何避免伺服器遭殃?

6 月 10 日,南韓網站代管公司 NAYANA  遭到最新的 襲擊,勒索病毒 Ransomware (勒索軟體/綁架病毒)共有 153 台 Linux 伺服器 感染 Linux 版 Erebus 勒索病毒 (趨勢科技命名為 RANSOM_ELFEREBUS.A),這項攻擊導致該公司的 3,400 家代管服務客戶的企業網站、資料庫與多媒體檔案遭到加密。

根據 NAYANA 官網上所發布的最新 消息,駭客顯然已成功逼迫該公司支付贖金,並且約定分三階段付款以取得所有檔案的解密金鑰。不過本文截稿為止,NAYANA 還未取得第一階段的解密金鑰。

Erebus 讓 IT 系統管理員了解到資安對企業流程系統與伺服器的重要性。這類系統和伺服器若未妥善加以保護,很可能對企業的營運、商譽及獲利能力造成加倍的損失。

[延伸閱讀: 近三成企業重複感染加密勒索病毒,透漏什麼訊息?]

Erebus 從原本利用漏洞攻擊套件演化成可避開使用者帳戶控制

Erebus 勒索病毒 (RANSOM_EREBUS.A) 首次現身於 2016 年 9 月,當時是經由惡意廣告散布。這些惡意廣告會將受害者重導至含有 Rig 漏洞攻擊套件的網站,該套件會在受害者的電腦上植入勒索病毒。這個 Erebus 變種可加密的檔案類型有 423 種,採用 RSA-2048 加密演算法,被加密的檔案會多了一個「.ecrypt」副檔名。此版本的 Erebus 是利用南韓境內已遭入侵的網站來當成幕後操縱 (C&C) 伺服器。

2017 年 2 月,Erebus 又重新演化出新的版本與手法,這一次,它使用了一種可以避開 Windows 電腦「使用者帳戶控制 (UAC)」機制的技巧,以便可以用管理員權限來執行勒索病毒。Erebus 會在勒索訊息當中威脅受害者必須在 96 小時內支付 0.085 比特幣 (依 2017 年 6 月 15 日的匯率約合 216 美元) 的贖金,否則將刪除受害者被加密的檔案。此版本的 Erebus 病毒 (RANSOM_EREBUS.TOR) 還會刪除系統還原點來防止受害者還原系統。

[延伸閱讀: 從技術面分析具備程式碼注射與網路共用資料夾加密能力的 SOREBRECT 無檔案式勒索病毒。]

Erebus 勒索病毒現在可感染伺服器

NAYANA 公司的伺服器所感染的是移植到 Linux 平台的 Erebus 勒索病毒版本。根據趨勢科技的持續分析顯示,此變種採用非重複的 AES 金鑰來加密檔案,而 AES 金鑰再用 RSA 演算法加密。它甚至內含一個假的藍牙服務來確保即使系統或伺服器重新開機也會再自動執行。此外,更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。如同 NAYANA 的案例,剛開始它所要求的贖金為 10 比特幣 (約 24,689 美元),但後來贖金降到了 5 比特幣 (約 12,344 美元)。

此版本的 Erebus 病毒可加密 433 種檔案類型,包括以下幾種: Continue reading “Erebus Linux 勒索病毒來襲:如何避免伺服器遭殃?”

預防下一波勒索病毒攻擊, 3 步驟即刻啟動 PC-cillin 2017 「勒索剋星 」給檔案最嚴密防護!

預防下一波勒索病毒攻擊! PC-cillin 2017 「勒索剋星」給檔案最嚴密防護

勒索剋星保護您的珍貴檔案

勒索病毒 Ransomware (勒索軟體/綁架病毒)不斷變種!擔心工作檔案、珍貴照片再也喚不回?PC-cillin 2017創新勒索剋星,給您重要檔案最嚴密防護!只要選取要保護的資料夾,「勒索剋星」便會保護資料夾內的檔案不受到勒索病毒的攻擊。一旦有可疑程式企圖加密受到保護的檔案時,「勒索剋星」會立即警告您,保護您最珍貴的檔案!

如何啟動勒索剋星?

小建議:

  • 可將「受保護資料夾」設定為常用資料夾,如我的文件或C槽
  • 完成設定後,勒索剋星就能保護此資料夾及子資料夾內所有檔案
  • 勒索剋星只能選定一個資料夾進行保護,方便用戶統一管理

完成設定!勒索病毒通通Out!

更多PC-cillin 2017雲端版防護功能

若有任何問題,請撥打趨勢科技客服專線:02-23783666

 

街頭打擊罪犯交給蜘蛛人;擊退網路惡勢力唯有PC-cillin 2017雲端版! 趨勢科技邀請您看蜘蛛人! 快來留言 》免費下載試用獨享加碼抽週邊商品
街頭打擊罪犯交給蜘蛛人;擊退網路惡勢力唯有PC-cillin 2017雲端版! 趨勢科技邀請您看蜘蛛人! 快來留言》PC-cillin 用戶獨享加碼抽




《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

訂單通知夾帶惡意PDF附件檔

趨勢科技最近收到關於一波惡意垃圾郵件攻擊的樣本,它會利用惡意PDF附件檔作為惡意軟體的感染載體。電子郵件本文並不包含任何內容,寄件者也是隨機產生。電子郵件夾帶了 PDF附件檔,開啟之後會出現一個惡意連結,點入連結就會下載惡意軟體到系統上。

 

經過研究,這惡意軟體被偵測為W2KM_CRYPJAFF.G。

強烈建議使用者要小心檢查電子郵件,開啟任何附件檔或連結前要仔細檢查寄件者和內容。

趨勢科技客戶可以受到對此電子郵件威脅的全面保護。

 

⊙原文來源:Order Email Notification Comes With Malicious PDF Attachment