Mandiant APT報告被當作社交工程信件誘餌

作者:JM Hipolito

趨勢科技研究威脅的過程裡,我們看過了不同類型的社交工程陷阱( Social Engineering),好用來帶起不同的情緒,像是害怕或高興。這些誘餌往往很有效,因為我們過去看過好幾個成功的事件。然而,它們也很容易辨認,因為往往都使用類似的主題,就是最近發生的事件或節慶。

還有些則利用了不同的、更為低調的作法。這些伎倆不是為了引起注意,而是盡可能的避免。它們試圖融入目標受害者的日常生活,或利用他們的興趣來引他們入局。雖然這些伎倆相較於他們所帶來的攻擊來說非常安靜,它們很難被偵測,但往往更加險惡。

其中一個例子是水坑技術,被用在最近一次影響了Facebook和Apple等公司的攻擊裡。選擇使用行動開發者論壇當做水坑,這誘餌幾乎是完全被動的,並不施展任何手段來吸引受害者訪問該網站。這網站是被精心挑選過的,因為它已經被確認是目標攻擊受害者平常會去逛的網站。

早些時候,趨勢科技也看到最近所公佈的Mandiant報告被當做誘餌。這攻擊開始於寄件者建議去閱讀聲稱是該報告的PDF檔案(當然,這實際上是個惡意PDF檔案,被我們偵測為TROJ_PIDIEF.VEV)。

趨勢科技還看到有另一個威脅會利用Mandiant報告的新聞,據說針對的是記者。被偵測為TROJ_PIDIEF.VEV,這個惡意軟體會產生非惡意的PDF檔案 – Mandiant_APT2_Report.pdf,以及被偵測為BKDR_POISON.EVE的後門程式。

圖一、產生的PDF檔案截圖
圖一、產生的PDF檔案截圖
圖二、TROJ_PIDIEF.EVE產生這個非惡意PDF檔案
圖二、TROJ_PIDIEF.EVE產生這個非惡意PDF檔案

這既可悲又諷刺,因為收件人可能會因為想要更了解目標攻擊而打開檔案,結果卻成為受害者之一。另一個類似的情況是Java零時差漏洞攻擊,在那時我們發現有惡意軟體會偽裝成Oracle所釋出以解決該漏洞的更新程式

趨勢科技的文章 –「2012年的目標攻擊趨勢」裡,資深威脅研究員Nart Villeneuve介紹了網絡犯罪份子如何利用安全研究人員的研究報告來散播惡意軟體。同樣的情景也發生在二〇一一年,Nitro攻擊活動也利用了賽門鐵克的報告。

從一開始的攻擊載體來看,我們所要記住的是,今日的社交工程誘餌不再侷限於新奇或令人驚訝的事物,攻擊可能會從最熟悉的地方發起。就如同Martin Roesler之前所提到,攻擊者佔據了上風,他們會依據自己對目標受害者的了解來組織攻擊。我們必須時時刻刻保持小心警慎,抱持著自己可能也會是目標之一的心態。

@原文出處:From Alarming to Familiar: Different Social Engineering Techniques

[APT 攻擊周爆]

每天 100 次陷阱~一封尋常的工作信,輕易竊得政府機密

APT 攻擊社交工程信件樣本根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。 本案例的信件,假冒寄件人,偽造公家單位、企業行政部門幾乎人手一張的辦公日曆表檔案,連寄件人應該稱呼收件人「老師」都沒弄錯,犯罪手法的精準度令人不寒而慄。

[災難結果]

APT 駭客並非隨機攻擊,而是事先摸清受害者的人際網絡,精心挑選攻擊對象,「客製化」信件內容,像本案例這種再正常不過的信件主旨和 Excel 附件,隱藏惡意程式,卻能輕易躲過一般垃圾郵件過濾機制,內容又是工作上重要或實用的資訊,吸引收件人開啟,只要點兩下滑鼠,政府機密就成為駭客囊中物了。

參加 APT攻擊週爆!投票即可抽獎

◎延伸閱讀
了解目標攻擊:我們真正對抗的是什麼?
< APT 目標攻擊 >美國能源部成為受害者:14台伺服器和20台工作站入侵,數百名員工的個人資料被讀取
從紐約時報APT攻擊裡所學到的教訓
趨勢科技率先發現最新APT攻擊事件『遮日行動』 政府機關及高科技產業已成箭靶 呼籲IT人員應立即正視 以防有更大規模的損失
《APT 攻擊》針對敘利亞政府的目標攻擊
2013資安關鍵十大預測:多元平台挑戰數位生活安全 , APT攻擊和雲端隱私成為企業雙重隱憂
《APT攻擊》 2013年目標攻擊的三個預測
IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

 

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網