目標式攻擊 - 資安趨勢部落格

目標式勒索:「客製化」勒索病毒Defray,最愛的四個產業

2017 年 09 月 07 日2018 年 10 月 23 日趨勢科技 TrendMicro

勒索病毒最愛的醫療保健、教育、製造及科技組織

到處肆虐的勒索病毒 Ransomware (勒索軟體/綁架病毒)一般是以「亂槍打鳥」的方法感染，新興勒索病毒 Defray (由趨勢科技偵測到的 RANSOM_DEFRAY.A 及 RANSOM_DEFRAY.B) 則鎖定特定攻擊目標。報告指出，Defray 散播者利用量身訂製的社交工程（social engineering ）手法，將目標鎖定在勒索病毒最愛的醫療保健、教育、製造及科技組織，特別是醫療保健業。

$defray ransom$

Defray 冒充「醫院 IT 管理者」,寄送病患報告

Defray 和大多數的勒索病毒一樣，透過網路釣魚（Phishing）電子郵件散播，它會嘗試強迫受害者下載惡意檔案。2016 年趨勢科技報告指出電子郵件是最常見的進入點，有 79% 勒索病毒來自垃圾郵件。

Defray冒充「醫院 IT 管理者」偽裝寄送病患報告的網路釣魚電子郵件。趨勢科技也發現有些網路釣魚郵件，偽裝成一家英國的水族公司，要求收件者報價或訂購產品，而惡意檔案上附有「官方」標誌。這些郵件的針對性及細節清楚顯示，攻擊者努力讓攻擊目標相信其真實性，而量身訂製的誘餌，顯示攻擊者正在鎖定更具體的攻擊目標。繼續閱讀

CVE-2017-0199：新的惡意軟體攻擊PowerPoint漏洞

2017 年 08 月 18 日2017 年 08 月 18 日趨勢科技 TrendMicro

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞，讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入（OLE）介面以散播惡意軟體。它通常利用的是惡意RTF文件，也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本（趨勢科技偵測為TROJ_CVE20170199.JVU）會用新的方法（利用PowerPoint播放模式）來利用CVE-2017-0199漏洞，這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用，本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解，藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

技術分析

圖1：TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊（SPEAR PHISHING）附件的方式抵達，偽稱來自電線廠商，實際上則是會植入一個遠端存取工具。這個偽裝是有原因的，因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

郵件樣本內容如下：

圖2：魚叉式釣魚郵件樣本

雖然電子郵件本身有提到訂單請求，但收到郵件的使用者看不到商業文件，而是會看到一個PPSX檔案，點擊後會顯示如下：繼續閱讀

造成烏克蘭大停電的惡意程式,不只威脅能源產業

2016 年 02 月 15 日2016 年 05 月 11 日趨勢科技 TrendMicro

導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。

【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】

這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題；而延伸成為各產業的威脅，不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題，其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施，可能是出自於政治動機。

我們檢視原有的入侵指標有了這些發現，包括BlackEnergy偵察和橫向移動工具及KillDisk（磁碟清除惡意軟體）等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。

根據公開來源情報（OSINT）和趨勢科技主動式雲端截毒服務 Smart Protection Network所取得的資料，我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外，礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。

大型烏克蘭礦業公司的相關惡意軟體

在趨勢科技的調查過程中，我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys（SHA1值：2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1）似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有：繼續閱讀

第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電

2016 年 01 月 11 日2016 年 05 月 11 日趨勢科技 TrendMicro

在2015年進入尾聲時出現一起特別的事件，烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家，相當於當地一半的住宅，籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示，這次事件是由系統內的惡意軟體造成，導致12月23日出現6小時的電力中斷。

根據惡意軟體研究人員Robert Lipovsky，烏克蘭西部的電力公司Prykarpattyaoblenergo是唯一提供相關詳情的公司，而有兩家電力公司也受到類似惡意軟體的影響。

烏克蘭情報單位認為這起停電事件跟俄羅斯有關，因為兩國間正在進行軍事和政治上的鬥爭，調查指出是惡意軟體造成了這次的停電事件。網路安全專家Robert M. Lee在其文章中指出，「這惡意軟體是一個32位元的Windows執行檔，其模組化特質顯示這是個更加複雜惡意軟體的模組之一。」

不久後，Lee與趨勢科技的前瞻性威脅研究人員Kyle Wilhoit協調取得樣本，確認該惡意軟體具備抹除能力會損害受感染系統。在Lee的初步調查後不久，有許多分析及研究人員證實這些電力公司確實受到網路攻擊，讓此次事件成為第一起由惡意軟體引起的停電。

與其他分析及研究人員的見解一致，Wilhoit分享道：「我們看到第一起公開發布惡意軟體導致SCADA-資料蒐集與監控系統(supervisory control and data acquisition；SCADA)設備停擺的消息。令人憂心,下一個受害的是什麼產業？更增加了它的神秘感。」

「我們所知道的是，Prykarpattyaoblenergo的停電是由惡意軟體所造成。我們也知道這惡意軟體不僅針對Prykarpattyaoblenergo，至少還有一個烏克蘭的廣播公司。在目前看來，受害者似乎都在烏克蘭，沒有出現在其他的地方，」Wilhoit補充說明。繼續閱讀

【警訊】針對性攻擊/鎖定目標攻擊：偽裝來自高階主管的詐騙信件

2015 年 11 月 02 日2015 年 11 月 02 日趨勢科技 TrendMicro

趨勢科技近來發現一波針對性攻擊/鎖定目標攻擊(Targeted attack )詐騙攻擊活動，攻擊活動由一封E-mail開始。偽冒某間公司的高階主管寄給其他主管（例：財務部經理），與一般詐騙攻擊或是網路釣魚（Phishing）信件不同的是這封Email沒有任何的附件或是連結網址，但他的表頭已遭到修改，導致收件者回覆之後會把信件寄給攻擊者。若不經仔細檢查，很難發現隱藏其中的陷阱。