根據新的證據顯示,TeamTNT 網路犯罪集團又再次強化其登入憑證搜刮工具,納入了多家雲端廠商與非雲端服務。
守護機密資料,是維護系統安全及防範供應鏈攻擊的重要關鍵。網路犯罪集團通常會在資料儲存機制上搜尋機密資料,在已遭駭入的系統上搜刮登入憑證。所以,一些以明碼方式儲存的登入憑證在不經使用者操作的情況下很容易遭到竊取,這樣的情況對 DevOps 軟體來說屢見不鮮,因此也是資安一大風險。
現在,犯罪集團已有能力搜刮雲端服務供應商 (CSP) 的登入憑證,只要他們能夠駭入受害者的系統。例如,TeamTNT 駭客集團就經常攻擊 雲端容器,現在又強化其工具來 竊取雲端登入憑證、搜尋其他環境、從事入侵活動。根據我們最新的研究證據顯示,TeamTNT 已進一步強化其登入憑證搜刮能力並瞄準了各家雲端廠商以及非雲端服務,例如在入侵企業之後搜尋受害者的內部網路與系統。
繼續閱讀Carbanak 和 FIN7 如何發動攻擊?以下分析這兩個以利益為動機並專門鎖定銀行、零售業者與其他企業目標的駭客集團常用的一些技巧。
持續監控網路犯罪集團最新動態是資安研究人員和執法單位防治網路犯罪的工作內容之一。 Carbanak 與 FIN7 是當今以利益為動機的兩大網路犯罪集團。雖然有些研究機構會將這兩大集團歸為同一個,但像 MITRE 將他們分成兩個集團,即使它們都使用 Carbanak 後門程式 來發動攻擊。不過,這些團體不僅使用 Carbanak 後門程式,也使用其他類型的惡意程式,如 PoS 惡意程式 Pillowmint 以及另一個據稱應該是用來取代 Carbanak 的惡意程式 Tirion。
除此之外,MITRE 也點出了這兩大集團的主要攻擊目標:Carbanak 主要攻擊銀行機構,FIN7 則是專門攻擊食品、醫療與零售業。
今年的 MITRE Engenuity ATT&CK Evaluations 測試結果在本週出爐,今年的測試主要模擬 Carbanak 和 FIN7 的攻擊,本文也說明了趨勢科技解決方案如何解決這些威脅。
為了提供有關 Carbanak 和 FIN7 攻擊事件的更多背景資訊,我們整理了過去有關這兩大集團的一些研究報告,而 MITRE 也列舉了這兩大集團的 ATT&CK 手法與技巧 (總共 65 項techniques,涵蓋 11 項tactics)。
根據我們對 過去另一起相關攻擊的研究顯示,駭客習慣利用 魚叉式網路釣魚來入侵系統。一旦駭入系統之後,再透過 Windows 內建的動態資料交換 (DDE) 功能與合法的雲端服務來散播勒索病毒,或建立幕後操縱 (C&C) 通訊。
三名據稱是 Egregor 勒索病毒 Ransomware (勒索軟體/綁架病毒)犯罪集團成員的嫌犯,二月在法國與烏克蘭政府聯合執行的一項行動當中遭到逮捕。這項逮捕行動是公私部門合作的共同成果,趨勢科技有幸參與其中。
Egregor 勒索病毒從 2020 年 9 月首次現身以來已發動過多起針對零售業、人力資源服務及其他企業機構的重大攻擊。該集團採用所謂勒索病毒服務 (Ransomware-as-a-service,簡稱 RaaS) 的經營模式,將勒索病毒銷售或出租給其他犯罪集團使用,如此一來,即使是經驗較為不足的犯罪集團也能發動勒索病毒攻擊。Egregor 跟許多知名的勒索病毒一樣採取「雙重勒索」的手法,一方面將受害者的資料加密,另一方面威脅受害者若不支付贖金就將其資料外流。
此勒索病毒通常經由一些遠端存取木馬程式 (如 QAKBOT) 來散布。此外,也會經由含有惡意附件的網路釣魚郵件,或經由遠端桌面協定 (RDP) 或虛擬私人網路 (VPN) 的攻擊漏洞來散布。
繼續閱讀🚫盜刷來的雙人機票
🚫可自動建立釣魚網站和山寨電子商店的腳本
🚫被盜的信用卡詳細資料
🚫被盜的個人身份資訊(PII)
🚫避免被反詐騙系統偵測的軟體
以上這些居然都是競賽活動勝出者贈品!趨勢科技揭露網路犯罪份子在新冠狀病毒(COVID-19,俗稱武漢肺炎) 隔離期間的四種競賽式娛樂,優勝者獲得的獎勵都跟犯罪相關。
趨勢科技2020年中資安報告裡探討了Covid-19新冠病毒全球疫情爆發對網路資安產業造成了什麼影響。不過這次的疫情不僅改變了企業(及員工)的運作模式;有些犯罪活動的性質也在這段隔離期間發生了變化。
跟大多數人可能用追劇打發抗疫期間的在家時光,毫不意外地,駭客們的休閒活動會導致更多的犯罪活動,對全球社群造成負面的影響。
趨勢科技揭發了犯罪分子在隔離期間利用看似正常的活動來提供網路犯罪相關的獎勵。這些「把快樂建築在別人痛苦上」的娛樂方式,包含從饒舌賽等看似”健康”的活動,到撲克比賽或爭奪被竊信用卡的比賽等等。
網路犯罪分子似乎偏好特定類型的線上競賽,隨著疫情的發展,這些競賽在2020年的舉辦頻率也越來越高。包括了:
其中有些活動(如MMA錦標賽)需要參加者間的個人聚會,大多數聚會發生在地方的健身房、酒吧或咖啡館。
繼續閱讀本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何演進,以及如何搭配惡意程式的發展以從事惡意活動。
Unix 程式設計師經常運用指令列腳本 (shell script) 來讓他們很方便地在一個檔案中指定所要執行的多個 Linux 指令。許多使用者也都會利用這個方式來管理檔案、執行程式或執行列印。
不過由於每台 Unix 電腦都內建了指令列腳本的解譯器,所以這也成為歹徒喜愛的一個泛用工具。我們先前就曾撰文說明駭客如何利用指令列腳本來散布惡意程式,並用來攻擊組態設定不當的 Redis 運算實體、暴露在外的 Docker API 或者清除競爭對手的虛擬加密貨幣挖礦程式。本文討論指令列腳本 (shell script) 在網路犯罪集團手中如何不斷演進、如何配合不斷發展的惡意程式來從事惡意活動。
使用指令列腳本並非什麼最新技巧,網路上早已相當盛行。不過我們確實注意到這類腳本開始出現一些變化,而且能力正大幅攀升。