《魚叉式網路釣魚》一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表

2017 年 09 月 06 日2017 年 08 月 29 日趨勢科技 TrendMicro

G20 數位經濟工作小組高峰會即將來臨，網路間諜集團 Turla 提早部署後門程式

主要針對政府，高級官員和外交官的 Turla 網路間諜集團,這次鎖定G20 數位經濟工作小組,根據媒體報導，該網路間諜集團目前正緊盯著即將在德國漢堡舉行的 G20 數位經濟工作小組高峰會，並提早部署一個叫作 KopiLuwak 的後門程式 (趨勢科技命名為 TROJ_KOPILUWAK.A、 JS_KOPILUWAK.A 和 JS_KOPILUWAK.B)，專門鎖定所有受邀人員、來賓及各國代表。此後門程式除了會竊取資料之外，還會下載更多惡意程式到受感染的電腦上執行，或者執行其他指令。資安研究人員已經通知德國電腦緊急應變聯合中心 CERT-Bund。

[延伸閱讀：何謂魚叉式網路釣魚，您該如何防範？]

假的 G20 工作小組高峰會 PDF邀請函,引誘受害者開啟

根據觀察，Turla 的最新行動很可能會利用水坑式攻擊和魚叉式釣魚攻擊（SPEAR PHISHING）郵件並利用一個假的 G20 工作小組高峰會邀請函來引誘受害者開啟。這項會議即將在 10 月舉行，資安專家發現，前述魚叉式網路釣魚郵件所挾帶的 PDF 文件 (檔名「Save the Date G20 Digital Economy Taskforce 23 24 October.pdf」) 似乎是個正常檔案，但卻只是個分散注意力的誘餌。此外它會在系統植入一個惡意 JavaScript 檔案，解密之後會在受感染電腦記憶體內執行 KopiLuwak。

[延伸閱讀：APT10/menuPass 的網路間諜行動 Operation Cloud Hopper 攻擊託管式服務供應商]

Turla 網路間諜集團曾將攻擊指令隱藏在小甜甜IG照片留言中

繼續閱讀

短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告

2017 年 08 月 30 日2017 年 08 月 30 日趨勢科技 TrendMicro

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚（Phishing）相對於今日媒體上經常看到的精密攻擊似乎已經過時，但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產，甚至破壞營運基礎架構。

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工遭駭，歹徒偷走了一批聯絡人電話、電子郵件地址等等，接著，歹徒利用偷來的資訊發動一波網路釣魚攻擊，但卻使用以往罕見的手法。同樣地，數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導，駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外，美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注，並發出警告通知各機關嚴加防範。根據媒體報導，這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅，以下將詳細介紹最近幾次攻擊所用的手法和技巧：

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄，接著，不是誘騙受害者輸入帳號密碼，就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧：語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料，假冒成 Bithumb 高階主管打電話給受害者，謊稱受害者的帳戶遭駭客入侵，要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導，受害者損失超過數十億韓元 (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳，而且它比其他詐騙手法更加仰賴社交工程技巧，因此，歹徒能否得逞全看他是否露出破綻，是否能完全掌控受害者的心理。在該案例中，歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵，因為歹徒在撥打電話時，已明確掌握受害者帳戶的詳細資訊，因此會讓人覺得相當可信，且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義，通知論壇成員檢查自己的帳戶,騙帳號密碼 繼續閱讀

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

2017 年 08 月 29 日2017 年 08 月 24 日趨勢科技 TrendMicro

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門，讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難，尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊，每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構（包括銀行）和礦業公司。值得注意的是，攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫（DLL）樣本最早在2017年6月6日被上傳到VirusTotal，這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊（SPEAR PHISHING）攻擊活動。

圖1、惡意電子郵件活動的攻擊鏈

圖2、送給一個目標的不同惡意電子郵件（時間順序為自左向右，順時針方向）

繼續閱讀

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

2017 年 08 月 10 日2017 年 08 月 01 日趨勢科技 TrendMicro

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客，員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證，以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南：處理自帶設備（BYOD）環境所面臨的威脅

自帶設備（BYOD）在過去幾年大大地盛行，因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處，但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分，企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

防禦惡意應用程式：對於行動設備，企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案，可以偵測應用程式是否可以安全使用。此外，企業解決方案應該包含設備管理和應用程式管理功能，讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外，企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式，可以透過網路活動來先一步偵測惡意軟體。

網路釣魚

雖然網路釣魚（Phishing）並不僅是BYOD的問題，但它在BYOD生態系造成特別顯著的威脅，因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊，但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊，可能會影響到他們自己的設備。繼續閱讀

變臉詐騙 (BEC) :網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

2017 年 08 月 07 日2022 年 11 月 08 日趨勢科技 TrendMicro

目前，鍵盤側錄程式仍是變臉詐騙最常用來竊取受害者帳號密碼的工具，且效果良好。但是，想要利用電子郵件來散布執行檔，在今日已經不太容易，因為垃圾郵件過濾軟體通常很快就會發現這類危險郵件並加以標註。反觀 HTML 檔案沒有立即的危險性，除非該檔案被判定為網路釣魚頁面，否則並不會被標註。

傳統上，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)都是利用鍵盤側錄程式來從受害電腦竊取使用者的帳號密碼。但是，使用附件方式來夾帶執行檔，通常會讓使用者起疑而不會點選附件檔案，因為執行檔有很高的機率是惡意程式。因此，趨勢科技最近發現一波改用 HTML 網頁為附件的網路釣魚（Phishing）郵件出現。

圖 1：夾帶 HTML 附件檔案的網路釣魚郵件。

一旦開啟該 HTML 附件檔案，就會啟動瀏覽器並顯示如下內容：

圖 2：HTML 網路釣魚頁面。
繼續閱讀