過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。
這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。
繼續閱讀有一句老話說:「歷史不停重演」。對於相信會隨著時間而產生周期性模式的人來說,這句格言肯定是真的。
今天,我們將把這樣的思維應用到網路犯罪領域。在駭客的歷史裡出現過各種趨勢,包括精細的系統入侵攻擊以及圍繞特定業務目標發展的技術。
但有一點不變是 – 網路犯罪分子持續在演化,隨著他們攻擊策略的演進,企業防護也在不斷地發展。
最近,趨勢科技與美國特勤局聯手對網路犯罪演變進行了深入研究。這份報告探討了近二十年的駭客攻擊及惡意活動,不僅描繪了網路犯罪分子行為值得注意的情況,還可以協助IT管理員和決策者來制定未來的安全策略方向。
這份研究始於從2000年到2010年間所謂的「卡片時代」。在這十年間,一些最知名的網路犯罪活動都跟卡片資料的竊盜及地下販賣有關,背後則是俄羅斯的網路犯罪分子和卡片論壇。
在這些案例中,消費者信用卡和簽帳金融卡的詳細資料被竊,然後放到俄羅斯網站上出售,網路犯罪分子可以在這些網站上購買這些資料並用來作為網路釣魚(Phishing)
繼續閱讀經過一年的調查後,巴黎市主管機關最近逮捕了五名被懷疑是偷走 12 萬公升汽油和柴油的嫌犯。根據 Le Parisien 報導,這些罪犯使用從網路上買來的「Miracle Remote」,利用其駭入特定的 Total 加油站油槍品牌。而會遭到駭入,可能是因為部分加油站主管並未變更加油槍的預設 PIN 碼「0000」。這夥人輸入 PIN 碼取得存取權,然後重設燃油價格,並移除加滿的上限。
在這起犯罪中,這夥人開著兩輛車前往小型的隔離式加油站,其中一輛還在車後裝了一個大容量的空油桶。第一輛車內的人先到加油站,將加油槍解鎖後,接著帶著空油桶的第二輛車再開進加油站,然後偷走數千公升的汽油。該夥人甚至在社交媒體上向「客戶」推銷,告訴他們在特定的時間前往某處加油站,便能取得汽油。
Total 公司在 2018 年注意到了這個可疑的活動,並與主管機關合作展開調查。2018 年 4 月,法國警方在 Val-d’Oise Sagy 的一間 Total 加油站內逮到了一名持有該遙控裝置的男子。經過後續調查,警方最終找出五名男子,並於上週一加以逮捕。法國主管機關預估,該夥人從販售竊取的汽油中獲取了約 15 萬歐元 (168,000 美元) 的贓款。
新年一開始 ,趨勢科技就偵測到某個我們一直持續追蹤的網路盜卡集團突然活躍起來。在這段期間,我們發現有 277 個售票、旅遊、航空訂位等電子商務網站以及一些知名藥妝、服飾品牌自家的結帳網頁都被此犯罪集團注入了專門用來盜取支付卡資料的惡意程式碼 (趨勢科技命名為:JS_OBFUS.C.)。趨勢科技的機器學習(Machine learning,ML)和行為偵測技術已能主動偵測並攔截這些惡意的程式碼 (顯示名稱為 Downloader.JS.TRX.XXJSE9EFF010)。
這一波活動有點不太尋常,因為該集團過去向來都是入侵了電子商務網站並在網頁上注入惡意程式碼之後,就低調地默默躲著。結果,經過我們一番研究之後發現,駭客的盜卡程式碼並非直接注入電子商務網站的網頁,而是注入 Adverline 這家法國網路廣告公司的 JavaScript 程式庫當中,我們在發現之後已迅速通知該廣告公司。而 Adverline 也立即處理了這次事件,並馬上與 CERT La Poste 配合採取了一些必要的矯正措施。
圖 2:這波支付卡資料竊盜網路攻擊 (1 月 1-6 日) 每日活動數量 (上) 以及受害的國家分布 (下)。
資料來源:趨勢科技 Smart Protection Network™
根據此次攻擊假借第三方服務廠商軟體元件的情況來看,我們推測應該是 Magecart Group 5 犯罪集團所為。RiskIQ 曾指出該集團涉及了多起資料外洩事件,如去年的 Ticketmaster 資料外洩事件。在 Risk IQ 研究人員 Yonathan Klijnsma 的協助下,我們判斷這波支付卡資料竊盜網路攻擊應該是 Magecart 犯罪集團底下一個新的「Magecart Group 12」次團體所為。
有別於其他網路盜卡集團直接入侵目標電子商務網站結帳平台的作法,Magecart Groups 5 和 Magecart Group 12 會攻擊電子商務網站所採用的第三方服務,將惡意程式碼注入這些服務所提供的 JavaScript 程式庫當中。如此一來,所有採用該服務的網站都會載入這些盜卡程式碼。而攻擊第三方服務的作法也讓歹徒能夠擴大攻擊範圍,進而竊取更多支付卡資料。
就此次 Adverline 的案例來說,歹徒是將程式碼注入一個可根據不同對象提供不同廣告的 JavaScript 程式庫。電子商務網站經常使用這樣的程式庫來標記網站訪客並提供可能會吸引他們回流的廣告。我們的研究指出,受害的網站因使用了 Adverline 的程式庫而載入Magecart Group 12 的盜卡程式碼,而該程式碼會將使用者在網頁上輸入的付款資料傳送至歹徒遠端的伺服器。
圖 3:電子商務網站被
Magecart Group 12 集團注入惡意程式碼。
圖 4:Adverline
的腳本被注入的惡意程式碼,這段程式碼會載入盜取支付卡資料的程式碼 (紅框標示)。
趨勢科技隨時都在監控網路資安威脅情勢的發展,透過這樣的過程,我們就能進一步了解歹徒幕後的運作。這次我們深入追查了某個不知名的駭客集團與 Confucius、 Patchwork 及 Bahamut 等集團之間的可能關聯,看看他們之間有何相似之處。我們暫時將這個不知名的集團稱為「Urpage」。
Urpage 之所以引起我們注意,在於它攻擊的目標為一個烏爾都語與阿拉伯語專用的文書處理程式,叫做「InPage」。此外,歹徒也使用了一個 Delphi 後門元件 (這一點和 Confucius 及 Patchwork 相似),並且使用了一個和 Bahamut 類似的惡意程式,正是這樣才會讓人覺得 Urpage 與上述幾個知名駭客團體有所關聯。在我們之前的一篇文章當中,我們已探討過 Confucius 和 Patchwork 之間共通的 Delphi 元件。也稍微提到 Urpage 和兩者之間有所關聯。這一次我們將深入研究 Urpage 與這幾個團體有何共通之處。
假冒網站
Bahamut 與 Urpage 之間的關聯,最明顯的就是後者有多個 Android 應用程式樣本的程式碼與 Bahamut 的程式相同,但卻連接至 Urpage 的幕後操縱 (C&C) 網站。而且某些 C&C 網站同時也是網路釣魚網站,專門引誘使用者下載這些應用程式。歹徒建立這些假冒網站來介紹這些應用程式並提供連結讓使用者至 Google Play 商店下載,例如「pikrpro.eu」這個惡意網站就是一例,見下圖:
還有另一個網站也是模仿得跟原本的網站很像,只有在標誌和頁面上方的選項稍有不同。當然,假冒網站當中的連結都已經換成指向惡意 Android 應用程式的網址。