趨勢科技 TrendLabs 研究報告 - 資安趨勢部落格

《重大勒索病毒分析》RansomExx ,為何攻擊企業又快又猛?新變種專門攻擊 Linux 伺服器

2021 年 01 月 19 日2021 年 01 月 18 日趨勢科技 TrendMicro

拓展範圍、提升速度：RansomExx 勒索病毒新策略

曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達（Konica Minolta）的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件，本文分析它所使用的技巧，包括：運用木馬化軟體來散播惡意檔案，以及又快又猛的攻擊方式。

RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件，目前有跡象顯示它仍在持續發展當中，並且相當活躍。最新的報告顯示，它開發了新的變種來專門攻擊 Linux 伺服器，而這等於是將攻擊範圍拓展到 Windows 伺服器之外。

根據監測資料顯示，RansomExx 正在攻擊美國、加拿大和巴西的企業，並且持續發現 Linux 變種的活動足跡。本文詳細說明我們對某起 RansomExx 攻擊的分析，此攻擊本首先利用 IcedID 惡意程式來入侵企業，成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具，駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。

RansomExx 勒索病毒的背後是一個 SecureWorks 命名為「GOLD DUPONT」的駭客集團，該集團從 2018 年活躍至今。根據其最新的攻擊顯示，該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式，以及像 Cobalt Strike 這類駭客工具，都是該集團常用的攻擊武器。

此勒索病毒之所以值得注意，是因為它運用了 2020 年勒索病毒攻擊常見的技巧，包括運用木馬化軟體來散播惡意檔案，以及又快又猛的攻擊方式。

繼續閱讀

雙面刃!AI 及 ML被拿來犯罪

2020 年 12 月 07 日2020 年 12 月 03 日趨勢科技 TrendMicro

本文探討今日人工智慧 (AI) 及機器學習(Machine learning,ML) 如何遭到不肖利用及濫用，並且提出一些網路犯罪集團未來如何利用這些技術來謀取不法獲利的可能情境。

趨勢科技、聯合國區域犯罪與司法研究院 (UNICRI) 以及歐洲刑警組織 (Europol)

人工智慧 (AI) 正促使全球快速邁向一個更充滿活力的世界。AI 是電腦科學底下一個與其他學門息息相關的子領域，蘊含著提升效率以及促進自動化與自主性的龐大潛力。簡而言之，AI 是第四次工業革命的核心技術，也是一把雙面刃。至於機器學習(Machine learning,ML) 則是 AI 底下的一個專門藉由大量資料分析與演算法來找尋模式和規律的子領域，可讓企業機構與政府機關實現一些重大計畫，最終將驅動創新並改善營運。

下載「人工智慧的不肖利用及濫用」(Malicious Uses and Abuses of Artificial Intelligence)

AI 及 ML 在商業領域的結合相當普遍，事實上，截至 2020 年為止，已有 37% 的企業和機構以某種形式將 AI 整合到他們的系統與流程當中。有了這類技術的工具，企業就能更準確地預測客戶的購買行為，進而增加營收。某些企業在 ML 與 AI 工具的協助下，創造了驚人的業務，Amazon 即是一例，該公司 2018 年的市值已經達到一兆美元。

儘管 AI 和 ML 扮演了企業、關鍵基礎建設以及各種產業的重要支柱，並且協助人類因應一些重大的挑戰 (如 Covid-19 疫情)，但這些技術卻也讓各式各樣的數位、實體以及政治威脅浮上檯面。企業機構及一般個人若想確保自身安全、防範 AI 技術遭不肖之徒利用或濫用，就必須學習認識並了解 AI 系統遭惡意濫用的風險。

由趨勢科技、聯合國區域犯罪與司法研究院 (UNICRI) 以及歐洲刑警組織 (Europol) 聯合製作的研究報告「人工智慧的不肖利用及濫用」(Malicious Uses and Abuses of Artificial Intelligence) 一文，不僅探討了當今 AI 與 ML 技術遭到不肖利用及濫用的現況，更提出了一些網路犯罪集團未來如何利用這些技術來謀取不法獲利的可能情境。

AI 與 ML 遭到不肖利用及濫用的現況

AI 與 ML系統對企業來說不可或缺的一些功能，例如藉由大數據分析來自動產生預測並發掘一些不斷出現的模式和規律，剛好就是網路犯罪集團用來謀取不法獲利的功能。

繼續閱讀

Operation Earth Kitsune 水坑攻擊駭入網站監控使用者系統

2020 年 11 月 18 日2020 年 11 月 10 日趨勢科技 TrendMicro

追蹤攻擊 Chrome 和 IE漏洞的 SLUB 最新動態

一項趨勢科技命名為 Operation Earth Kitsune 的水坑式攻擊行動正透過已遭駭入的網站來監控使用者系統。這起攻擊運用了 SLUB 和兩個新的惡意程式變種，專門攻擊 Google Chrome 和 Internet Explorer 瀏覽器的漏洞。

Operation Earth Kitsune: Tracking SLUB’s Current Operations — 下載「 Operation Earth Kitsune：追蹤 SLUB 的最新動態」

過去趨勢科技就曾發表過有關 SLUB 惡意程式攻擊行動的報告。在最新一份研究報告中，我們披露了一起採用最新惡意程式變種的水坑式攻擊行動。此惡意程式的命名由來是因為它之前的版本會利用 Slack 和 GitHub 兩項平台，只不過這次沒有，反倒是用了 Mattermost 這套很容易安裝在企業的開放原始碼網路聊天服務。

Mattermost 在一項正式聲明當中譴責非法與不道德使用該平台的情況，因為這樣已明確違反其服務的使用條件。再者，使用者也可以檢舉非法使用該軟體的情況。

我們發現 Operation Earth Kitsune 總共使用了五台幕後操縱 (C&C) 伺服器、七個惡意程式樣本以及四個新的漏洞，其目標是入侵網站來散布惡意程式。我們會對這起行動展開調查，最初是因為我們注意到 Korean American National Coordinating Council (韓裔美國人國家協調委員會，簡稱 KANCC) 的網站會將訪客重導至一個名為「Hanseattle」的網站。該網站會攻擊 Google Chrome 的一個漏洞 (CVE-2019-5782 )，這是一個經由 chromium 追蹤系統所披露的漏洞。經過深入追查之後，我們發現這起攻擊不僅會攻擊前述的 Chrome 漏洞，還會讓受害電腦感染三種不同的惡意程式樣本。

繼續閱讀

準備好迎接PSD2了嗎?開放銀行的風險

2019 年 12 月 30 日2020 年 01 月 08 日趨勢科技 TrendMicro

趨勢科技的研究報告強調了金融業必須抵禦的當前及新風險，並預測網路犯罪分子將會如何利用和攻擊開放銀行。

9月14日代表歐盟（EU）修訂的第二號支付服務指令（ Payment Service Directive ,以下簡稱 PSD2）的實施 – 也稱為開放銀行。PSD2的目的是替大眾提供更多便利及更好的銀行資料控制。同時讓第三方金融科技（FinTech）公司取得跟傳統銀行附加服務相同的客戶銀行資料處理權限，好進行資料分析和財務管理建議，以及其他可能的服務。

2015年核准的PSD2取代了2007年的支付服務指令（PSD），強調了服務商和使用者的具體保護程序、權利和義務，以激勵金融業的創新和競爭。雖然它的設計和主要適用於歐盟成員國，但該指令影響超出了該地區。該指令被譽為金融業的遊戲規則改變者，因為它移除了傳統銀行對客戶資料的控制，讓使用者有權與金融服務商分享銀行資料，用於財務管理及其他目的。

為了遵守法律安全規定，銀行在確保建立必要的安全基礎設施及獲得銀行客戶同意資料存取後，向金融科技公司開放API。但已經出現了些關於準備狀況的擔憂。

繼續閱讀

【軟體無所不在5-5】軟體高度普及的三大缺點與對策

2019 年 09 月 18 日2019 年 09 月 09 日趨勢科技 TrendMicro

今日世界已經遠遠超越機械裝置與單純邏輯的時代，我們可透過程式設計對一個複雜系統的各個不同層次進行邏輯改造，從裝置的主機板元件和微處理器到企業內及雲端上的系統皆然。這無疑地能讓效率和生產力提升至原本無法達到的境界。但是，凡事都有優缺點，軟體的缺點包括：

系統邏輯缺乏一種可確認安全無虞的方法。不僅如此，當發生問題時，通常會因系統已複雜到難以分析而使得問題無法解釋。
消費者對軟體的自動更新習以為常，現在更期待功能會不斷改善。但更新有時卻反而造成營運中斷或帶來相容性問題。由於企業營運已經和軟體密不可分，因此一旦更新稍有不慎，就很可能造成嚴重問題。
隨著軟體日益普及，企業或使用者的潛在攻擊面將擴大。可惜，有些企業對這類問題既無法掌握，也缺乏適當的監控及防護工具。