新 MacOS 後門程式,假冒民主獨立組織發活動邀請函

新 MacOS 後門程式,假冒民主獨立組織發活動邀請函趨勢科技發現了一個新的 MacOS 後門程式 (趨勢科技命名為:OSX_OCEANLOTUS.D) 應該是 OceanLotus(海蓮花) 駭客集團 (又名:APT 32、APT-C-00、SeaLotus 及 Cobalt Kitty) 曾經用過的某惡意程式最新版本。OceanLotus 據報曾攻擊人權組織、媒體機構、研究機關以及造船廠。OSX_OCEANLOTUS.D 專門攻擊裝有 Perl 程式設計語言的 MacOS 電腦。

此 MacOS 後門程式暗藏在一個惡意 Word 文件內,該文件應該是經由電子郵件散布,其檔名為「2018-PHIẾU  GHI  DANH  THAM  DỰ  TĨNH  HỘI HMDC 2018.doc」(越南文,大意為「2018 年 HMDC 大會報名表」)。這份文件似乎是假冒越南某提倡民主獨立的民間組織 HDMC 所舉辦活動的報名表。專門攻擊 Mac 電腦的惡意程式不如 PC 上那麼普遍,但這個最新 MacOS 後門程式提醒我們,不論是何種作業系統,都應培養對抗網路釣魚的良好習慣

新 MacOS 後門程式,假冒民主獨立組織發活動邀請函

圖 1:惡意文件所使用的圖片。

使用者在收到這份惡意文件時,會被提醒要啟用巨集才能開啟檔案。根據趨勢科技的分析,惡意文件的巨集已經過逐字加密編碼,使用的是十進位 ASCII 碼,如下圖所示: Continue reading “新 MacOS 後門程式,假冒民主獨立組織發活動邀請函”

駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!

開發人員都會回收使用程式碼 – 畢竟如果沒有問題就不用改了。這也是開放原始碼如此受歡迎及有價值的原因 – 不需要從頭開發全新的程式碼,開發人員可以利用現有的開放原始碼,並且可以根據自己的需求來改寫。

不幸的是,不僅軟體開發商和其他白帽公司會這麼做 – 駭客也會回收並重新利用過去運作良好的舊漏洞攻擊碼來製造全新的威脅。更糟的是,這些被回收使用的惡意攻擊結合新且複雜的感染手法讓其變得更加難以防範。

駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!

大多數新的惡意軟體並不新

從各種關於新惡意軟體的統計數據中,很容易就會認定網際網路和聯網設備都充斥著惡意威脅。事實上,G Data報導在2017年第一季就發現了2,200萬個新惡意軟體。換句話說,這代表幾乎每4秒就會發現一個新惡意威脅。

雖然有相當數量的惡意軟體可供駭客選擇是真的,但其中有許多並不完全是新的。

“2017年第一季發現了2,200萬個新惡意軟體樣本。”

Secplicity指出:“其中有大部分就像是科學怪人一樣由各種程式碼拼湊而成,可能來自現有的惡意軟體或公開的漏洞和工具。”

就這樣,駭客利用現成的程式碼和功能再並加上特製功能來做出新的惡意軟體。

 

為甚麼要回收使用?

有好幾個理由會讓駭客選擇重複或回收使用。首先這節省了許多時間。不必為基本功能來撰寫新的程式碼,使用已知可行的程式碼更快更容易。而且就如安全分析師Marc Laliberte所指出,利用這方法節省的時間可以讓網路犯罪分子將注意力放在更重要的事情上。

“如果有人已經開發了可行的解決方案,就無須再多此一舉去重新開發”Laliberte寫道。“透過盡可能地複製程式碼,讓惡意軟體作者有更多時間專注在其他地方,如躲避偵測和避免歸因。”

除了重複使用程式碼來節省時間外,許多網路犯罪分子還會重複使用常見的威脅功能,因為它們已經經過時間證明能夠成功。這也是為什麼會出現無數的勒索病毒、魚叉式網路釣魚和其他攻擊的變種。 Continue reading “駭客也搞資源回收?回收舊漏洞攻擊碼,竟可製造全新威脅!”

ɢoogle、Google 差別在哪兒?四個小秘訣看穿網路釣魚障眼法

散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

近年來最惡名昭彰的兩個惡意程式:CTB Locker 和 Cerber 勒索病毒,其涉案嫌犯最近在羅馬尼亞遭到逮捕。羅馬尼亞負責調查網路犯罪的機構「Directorate for Investigating Organized Crime and Terrorism」(組織犯罪暨恐怖主義調查總局,簡稱 DIICOT) 與歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI) 以及歐洲多國警方共同合作,逮捕了五名涉嫌散布 CTB-Locker Cerber 勒索病毒的嫌犯。

Critroni (亦稱 Curve-Tor-Bitcoin,簡稱 CTB) Locker 最早可追溯至 2014 年,是一個會利用 Tor 洋蔥網路來隱藏其行蹤以防止執法機關追查的勒索病毒。而 Cerber,則是一個極難纏又不斷演進的勒索病毒,近年來更增加了不少強大功能。

這項名為「Bakovia」的逮捕行動,總共搜查了六處羅馬尼亞民宅,調查人員起出了一批筆記型電腦、硬碟、外接儲存裝置、數位加密貨幣採礦裝置,以及各種文件。被逮的嫌犯據稱是某犯罪集團的成員,該集團已因多起犯罪而遭到起訴,包括:非法入侵電腦、意圖濫用裝置從事網路犯罪、散發黑函。整起調查行動原先只是針對 CTB Locker 和 Cerber 個別攻擊案例的獨立調查,後來調查人員發現兩者其實為同一集團所為,因此才開始併案調查。

網路攻擊已經不再是「專業駭客」的專利

根據進一步資料顯示,嫌犯在攻擊當中使用的惡意程式並非自行開發,而是以 30% 的獲利為交換向真正開發的駭客取得。這就是所謂的「勒索病毒服務」(Ransomware-as-a-Service,簡稱 RaaS),也算是一種合作方案,是黑暗網路當中常見的合作模式。 Continue reading “散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅”

資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!

資料分析有助於發掘一些模式、關聯以及其他寶貴資訊,對企業決策有莫大幫助。在網路資安領域,資料分析同樣也扮演日益吃重的角色,成為偵測威脅的關鍵。然而,當資料分析被歹徒應用於網路犯罪時又將如何?

資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!

從資料外洩事件搜刮而來的7.11 億個帳號,被 Spambot 當銀行木馬發送機

今年八月下旬,一位法國研究人員發現了一個名為「Onliner」的大型公開垃圾郵件機器人 (Spambot),它 利用全球 8 千萬個遭入侵的電子郵件伺服器來散發垃圾郵件,尋找潛在受害者,然後讓受害者感染專門竊取資訊的銀行木馬 URSNIF 惡意程式。Onliner 總計利用了 7.11 億個-相當於歐洲人口的帳號,散播惡意程式,這些被綁架的帳號都是從先前發生的資料外洩事件搜刮而來,例如:LinkedIn資料外洩事件。

[TrendLabs 資訊安全情報部落格:URSNIF 垃圾郵件發現新的惡意巨集躲避技巧]

在今日科技掛帥的世界裡,資料就如同貨幣一樣,因此 Onliner 的案例讓我們見識到歹徒的獲利多麼驚人。也許,資料的價值越來越高,正是網路攻擊日益精密且不擴張的原因。過去,網路犯罪集團大多重複利用其手上僅有的少數資料來盡可能發揮最大效益,例如從事身分盜用

但今日,網路犯罪集團的目標是更大的資料,希望撒下一個更大的網來提高獲利,並且投入更多資源來收網。所以,處理、管理及儲存資料的技術越新,就越吸引網路犯罪集團覬覦並加以利用。

光是企業 (及一般使用者) 所創造、管理、儲存的資料量 (及轉手的速度),就足以讓資料竊盜集團垂涎三尺。網路犯罪集團與駭客在得手之後,會將這些資料用於其他用途,或拿到地下市場販售。

[延伸閱讀:駭客偷取您的身分資料做什麼?]

資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!

資料如何用來從事網路勒索。

 

商業流程入侵入侵企業內部基礎架構來獲取暴利

歹徒如何利用資料來從事網路犯罪?其實這樣的情境大家並不陌生,而且有越來越普遍的趨勢:網路犯罪集團會從雲端竊取帳號資料,或經由漏洞駭入儲存帳號資料的系統。還有另一種做法,那就是:直接到地下市場上購買或蒐集駭客對外公開的外洩資料庫,然後再自行篩選出有價值的資料,例如:帳號登入憑證或身分識別資訊。 Continue reading “資料外洩數據如何被用於網路犯罪?Linkedin 外洩帳號成木馬發送機!泰迪熊被駭,登錄憑證流向地下市場!”

美國國土安全部和FBI 聯合警告:當心北韓「HIDDEN COBRA」(隱藏的眼鏡蛇)駭客行動

美國國土安全部 (DHS) 和聯邦調查局 (FBI) 發表了兩份聯合技術警示公告 (TA17-318ATA17-318B),提醒大眾注意可能來自北韓的網路攻擊。這批攻擊屬於某個名為「HIDDEN COBRA」(隱藏的眼鏡蛇) 的駭客行動,其主要目標為美國及全球的重要產業。該行動主要使用兩個惡意程式:一個是名為「FALLCHILL」的遠端管理工具,另一個是名為「Volgmer」的後門木馬程式 (趨勢科技將兩者皆歸入 VOLGMER 家族)。

attack

根據公告,HIDDEN COBRA 背後的駭客集團應該是從 2016 年開始使用 FALLCHILL 惡意程式,主要攻擊航太、電信與金融等產業。該程式會經由攻擊行動當中的其他惡意程式植入系統,或者經由駭客事先入侵的網站來散布。FALLCHILL 一旦感染某系統,駭客就會經由雙重代理器從幕後操縱 (C&C) 伺服器下達遠端指令。由於 FALLCHILL是採用惡意程式服務 (Malware-as-a-Service) 模式運作,因此受感染的系統很可能也會感染 HIDDEN COBRA 的其他惡意程式。

第二個惡意程式 Volgmer 的設計是為了讓駭客暗中進出受感染的系統。據報 Volgmer 最早在 2013 年被發現,主要攻擊目標為政府機關與金融、汽車、媒體等產業。Volgmer 的主要感染途徑是魚叉式釣魚攻擊(SPEAR PHISHING)郵件的惡意附件檔案。Volgmer 具備了各式各樣的功能,包括:蒐集系統資訊、下載及上傳檔案、執行指令、終止執行程序,以及列出檔案目錄。其中一個專家分析到的樣本還具備操控「Botnet傀儡殭屍網路」的功能。 Continue reading “美國國土安全部和FBI 聯合警告:當心北韓「HIDDEN COBRA」(隱藏的眼鏡蛇)駭客行動”

網路間諜集團以紐約恐攻事件當誘餌

Pawn Storm  攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

網路間諜集團以紐約恐攻事件當誘餌

根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格:REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯  Necurs 殭屍網路 最近也開始使用這項技巧。

[延伸閱讀:網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:

  • Keyboy:同樣也是利用 DDE 在系統植入資訊竊取程式。
  • Sowbug:專門攻擊南美和東南亞的外交使節團與外交政策機構。
  • OceanLotus/APT32:曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
  • ChessMaster:曾開發出新的工具和技巧來讓其活動更加隱密。
  • BlackOasis:使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式,專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念:越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施: Continue reading “網路間諜集團以紐約恐攻事件當誘餌”