第二季資安報告:網路犯罪個體戶崛起,HawkEye 鍵盤側錄程式,攔截台灣在內的中小企業交易資料

根據從本季媒體所披露的民航客機遭駭及其他類似案件看來,情勢已經相當明朗:駭客正絞盡腦汁尋找更令人意想不到的方法來滲透並操控我們的日常生活中的科技產品。這意味著,一股新的威脅浪潮正在興起,它們不再只是單純地竊取資料,而是帶來真實、具體的影響,且更貼近一般家庭。

例如,我們發現針對家用路由器的攻擊以及 DNS 篡改程式的偵測數量不斷升高,尤以巴西最為嚴重,大約占第二季所有 DNS 篡改程式數量的 81%。此外,銷售櫃台系統 (PoS) 惡意程式的日益精進,同樣是企業頭痛的問題之一,但其第二季數量卻稍微下降,或許是因為已經到達了飽和點。


圖 1:今年第二季 PoS 威脅數量明顯下滑。

不過,這並不表示網路犯罪集團開始放棄他們原有的營運模式。傳統的惡意程式目前仍然流通廣泛,由於一些基本的惡意程式元件如此唾手可得,因此讓非法之徒從事網路犯罪事業更加容易。此外,第二季我們也看到了一些網路犯罪個體戶在世界各地竄起,例如巴西和加拿大。

 


圖 2:今年第二季出現了一些網路犯罪個體戶。

 

全球各地出現網路犯罪個體戶,而勒索軟體和 PoS 惡意程式也持續肆虐
本季,我們見到網路犯罪個體戶利用惡意程式來散播災難,例如FighterPOS。此外,一位名叫「Lordfenix」的巴西駭客也是其中之一。而專門販賣竊取資料的加拿大駭客「Frapstar」同樣也是一位網路犯罪個體戶。

網路犯罪駭客總是不斷在更新其惡意程式碼,這一季也同樣如此。畢竟,修改現有惡意程式來發動新的攻擊是最快的方法。不但如此,任何人只要具備一些基本的工具和知識就能辦到,即使是個人。例如,HawkEye 鍵盤側錄程式背後就是兩名網路犯罪個體戶。他們都使用一般很普通的資料竊取惡意程式來攔截企業的交易,專門鎖定中小企業 (SMB) 下手。 他們會重新修改現有的惡意程式、工具套件和技巧來攻擊印度、埃及、伊朗、巴基斯坦、台灣以及美國等地的受害者。

HawkEye 受害者分布國家 (2015 年第二季)
HawkEye 受害者分布國家 (2015 年第二季)

 

 

HawkEye 的受害者大多是中小企業,廣泛分布各種產業。

歹徒經常會修改一些傳統的惡意程式,如簡單的鍵盤側錄程式,來配合其攻擊對象。然而惡意程式的散布手法,則隨其活動的地點而異。例如 Frapstar 是一位加拿大的網路犯罪個體戶,其大部分的收入來自販售其竊取到的資訊。9 另一位 20 歲的巴西大學生 Lordfenix 則是靠販賣銀行惡意程式賺錢。

歹徒專門鎖定中小企業用來回覆外部詢問的電子郵件信箱,首先發送不帶任何惡意附件或陷阱的詢問信件到這些信箱,然後積極地透過郵件往返與這些中小企業互動,等到取得目標企業的信任,就藉由先前溝通的情境寄送後門程式「鷹眼」(HawkEye) 給目標企業,以感染並滲透對方的電腦。

FighterPOS 感染了 100 台以上的PoS 終端機,並從中竊取了大約 22,000 個非重複的信用卡卡號

根據我們的研究發現,Lordfenix 從 2013 年 4月至今已開發了超過 100 個銀行木馬程式,每一個價格約在 1,000 巴西幣 (約 320 美元) 左右。至於Frapstar 則在一些已知的網路犯罪和駭客論壇上非常活躍,兩者都是非法敏感資料常見的交易平台。今年四月出現的 FighterPOS 惡意程式背後同樣是一名網路犯罪個體戶。FighterPOS 感染了 100 台以上的PoS 終端機,並從中竊取了大約 22,000 個非重複的信用卡卡號。

不僅如此,FighterPOS 的作者似乎長期從事信用卡資料竊取、付款詐騙、惡意程式開發等非法工作。今年六月新發現的 MalumPOS 惡意程式專門鎖定採用 Oracle® MICROS 平台的系統,大約感染了330,000 個旅館、餐飲、零售等產業的據點。隨著 PoS 惡意程式的變種越來越多,遲早會有其他有心的網路犯罪份子修改其原始程式碼來做其他用途。

 

政府機關是第二季駭客攻擊的主要目標,美國人事管理局 (OPM) 發生了有史以來規模最大的資料外洩事件

一項值得密切注意的發展就是執法機關與民間企業的密切合作。執法行動在本季獲得了一些重大斬獲,包括破獲經營已久的「Botnet傀儡殭屍網路」網路,以及 Silk Road (絲路) 地下市集幕後首腦 Ross Ulbricht 遭到起訴。

政府機關是第二季駭客攻擊的主要目標,美國人事管理局 (OPM) 發生了有史以來規模最大的資料外洩事件,有超過 2,000 萬美國聯邦政府員工的資料遭到曝光。另一項至今仍困擾政府機關的大型攻擊是 Pawn Storm,這項攻擊行動在今年四月曾經攻擊北約 (NATO) 會員國以及美國白宮,今年七月甚至利用 Java 零時差漏洞來攻擊一些政府機關。

Angler 漏洞攻擊套件作者已迅速將一些最新曝光的 Adobe® Flash® 漏洞收錄到該套件當中。我們發現這類攻擊套件收錄新漏洞的速度越來越快,從Angler 漏洞攻擊套件相關惡意程式在第二季的偵測數量即可證明。根據趨勢科技Deep SecurityLabs 總監 Pawan Kinger 表示:「企業對於自己所使用的一些核心軟體與外掛程式的漏洞要非常小心。客製化的程式需要客製化的檢查方法。針對客製化應用程式進行一番徹底的滲透測試,絕對是值得的。」

隨著越來越多公共科技建設連上網路,我們發現一些昔日的攻擊手法開始有死灰復燃的跡象,而且衝擊更甚以往。在今日的環境下,使用者的線上安全與隱私權,比以往更顯得重要。

詳細內容請參閱我們的 2015 年第二季資訊安全總評季報「新興浪潮:危及公共建設安全的最新駭客攻擊」。

 

原文出處:2Q Security Roundup: New Hacks Threaten Public Technologies

Hawkeye 鷹眼 中小企業

【延伸閱讀】奈及利亞駭客新手法 「鷹眼」勒索全球中小企業

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載