散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

近年來最惡名昭彰的兩個惡意程式:CTB Locker 和 Cerber 勒索病毒,其涉案嫌犯最近在羅馬尼亞遭到逮捕。羅馬尼亞負責調查網路犯罪的機構「Directorate for Investigating Organized Crime and Terrorism」(組織犯罪暨恐怖主義調查總局,簡稱 DIICOT) 與歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI) 以及歐洲多國警方共同合作,逮捕了五名涉嫌散布 CTB-Locker Cerber 勒索病毒的嫌犯。

Critroni (亦稱 Curve-Tor-Bitcoin,簡稱 CTB) Locker 最早可追溯至 2014 年,是一個會利用 Tor 洋蔥網路來隱藏其行蹤以防止執法機關追查的勒索病毒。而 Cerber,則是一個極難纏又不斷演進的勒索病毒,近年來更增加了不少強大功能。

這項名為「Bakovia」的逮捕行動,總共搜查了六處羅馬尼亞民宅,調查人員起出了一批筆記型電腦、硬碟、外接儲存裝置、數位加密貨幣採礦裝置,以及各種文件。被逮的嫌犯據稱是某犯罪集團的成員,該集團已因多起犯罪而遭到起訴,包括:非法入侵電腦、意圖濫用裝置從事網路犯罪、散發黑函。整起調查行動原先只是針對 CTB Locker 和 Cerber 個別攻擊案例的獨立調查,後來調查人員發現兩者其實為同一集團所為,因此才開始併案調查。

網路攻擊已經不再是「專業駭客」的專利

根據進一步資料顯示,嫌犯在攻擊當中使用的惡意程式並非自行開發,而是以 30% 的獲利為交換向真正開發的駭客取得。這就是所謂的「勒索病毒服務」(Ransomware-as-a-Service,簡稱 RaaS),也算是一種合作方案,是黑暗網路當中常見的合作模式。 Continue reading “散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅”

資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!

資料分析有助於發掘一些模式、關聯以及其他寶貴資訊,對企業決策有莫大幫助。在網路資安領域,資料分析同樣也扮演日益吃重的角色,成為偵測威脅的關鍵。然而,當資料分析被歹徒應用於網路犯罪時又將如何?

從資料外洩事件搜刮而來的7.11 億個帳號,被 Spambot 當銀行木馬發送機

今年八月下旬,一位法國研究人員發現了一個名為「Onliner」的大型公開垃圾郵件機器人 (Spambot),它 利用全球 8 千萬個遭入侵的電子郵件伺服器來散發垃圾郵件,尋找潛在受害者,然後讓受害者感染專門竊取資訊的銀行木馬 URSNIF 惡意程式。Onliner 總計利用了 7.11 億個-相當於歐洲人口的帳號,散播惡意程式,這些被綁架的帳號都是從先前發生的資料外洩事件搜刮而來,例如:LinkedIn資料外洩事件。

[TrendLabs 資訊安全情報部落格:URSNIF 垃圾郵件發現新的惡意巨集躲避技巧]

在今日科技掛帥的世界裡,資料就如同貨幣一樣,因此 Onliner 的案例讓我們見識到歹徒的獲利多麼驚人。也許,資料的價值越來越高,正是網路攻擊日益精密且不擴張的原因。過去,網路犯罪集團大多重複利用其手上僅有的少數資料來盡可能發揮最大效益,例如從事身分盜用

但今日,網路犯罪集團的目標是更大的資料,希望撒下一個更大的網來提高獲利,並且投入更多資源來收網。所以,處理、管理及儲存資料的技術越新,就越吸引網路犯罪集團覬覦並加以利用。

光是企業 (及一般使用者) 所創造、管理、儲存的資料量 (及轉手的速度),就足以讓資料竊盜集團垂涎三尺。網路犯罪集團與駭客在得手之後,會將這些資料用於其他用途,或拿到地下市場販售。

[延伸閱讀:駭客偷取您的身分資料做什麼?]

資料如何用來從事網路勒索。

 

商業流程入侵入侵企業內部基礎架構來獲取暴利

歹徒如何利用資料來從事網路犯罪?其實這樣的情境大家並不陌生,而且有越來越普遍的趨勢:網路犯罪集團會從雲端竊取帳號資料,或經由漏洞駭入儲存帳號資料的系統。還有另一種做法,那就是:直接到地下市場上購買或蒐集駭客對外公開的外洩資料庫,然後再自行篩選出有價值的資料,例如:帳號登入憑證或身分識別資訊。 Continue reading “資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!”

美國國土安全部和FBI 聯合警告:當心北韓「HIDDEN COBRA」(隱藏的眼鏡蛇)駭客行動

美國國土安全部 (DHS) 和聯邦調查局 (FBI) 發表了兩份聯合技術警示公告 (TA17-318ATA17-318B),提醒大眾注意可能來自北韓的網路攻擊。這批攻擊屬於某個名為「HIDDEN COBRA」(隱藏的眼鏡蛇) 的駭客行動,其主要目標為美國及全球的重要產業。該行動主要使用兩個惡意程式:一個是名為「FALLCHILL」的遠端管理工具,另一個是名為「Volgmer」的後門木馬程式 (趨勢科技將兩者皆歸入 VOLGMER 家族)。

attack

根據公告,HIDDEN COBRA 背後的駭客集團應該是從 2016 年開始使用 FALLCHILL 惡意程式,主要攻擊航太、電信與金融等產業。該程式會經由攻擊行動當中的其他惡意程式植入系統,或者經由駭客事先入侵的網站來散布。FALLCHILL 一旦感染某系統,駭客就會經由雙重代理器從幕後操縱 (C&C) 伺服器下達遠端指令。由於 FALLCHILL是採用惡意程式服務 (Malware-as-a-Service) 模式運作,因此受感染的系統很可能也會感染 HIDDEN COBRA 的其他惡意程式。

第二個惡意程式 Volgmer 的設計是為了讓駭客暗中進出受感染的系統。據報 Volgmer 最早在 2013 年被發現,主要攻擊目標為政府機關與金融、汽車、媒體等產業。Volgmer 的主要感染途徑是魚叉式釣魚攻擊(SPEAR PHISHING)郵件的惡意附件檔案。Volgmer 具備了各式各樣的功能,包括:蒐集系統資訊、下載及上傳檔案、執行指令、終止執行程序,以及列出檔案目錄。其中一個專家分析到的樣本還具備操控「Botnet傀儡殭屍網路」的功能。 Continue reading “美國國土安全部和FBI 聯合警告:當心北韓「HIDDEN COBRA」(隱藏的眼鏡蛇)駭客行動”

網路間諜集團以紐約恐攻事件當誘餌

Pawn Storm  攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格:REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯  Necurs 殭屍網路 最近也開始使用這項技巧。

[延伸閱讀:網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:

  • Keyboy:同樣也是利用 DDE 在系統植入資訊竊取程式。
  • Sowbug:專門攻擊南美和東南亞的外交使節團與外交政策機構。
  • OceanLotus/APT32:曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
  • ChessMaster:曾開發出新的工具和技巧來讓其活動更加隱密。
  • BlackOasis:使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式,專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念:越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施: Continue reading “網路間諜集團以紐約恐攻事件當誘餌”