登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

趨勢科技 TrendMicro APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat, Pawn Storm, 企業資安, 白皮書 white paper, 網路釣魚報告, 網路間諜活動

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術:

  • 憑證授權釣魚詐騙(Credential Phishing Campaigns):該手法是為利用開放驗證 (Open Authentication,簡稱 OAuth)機制來從事進階社交工程詐騙,使用者通過OAuth即可不必提供帳號密碼,也可以授權第三方應用程式存取雲端服務帳號,而此種方便的做法卻同時也能讓駭客取得並登入使用者郵件或社群網站等帳號以瀏覽重要資訊,駭客首先騙過Google或Yahoo這類服務供應商的背景審查,再來發送郵件給組織高層或重要人物,建議其安裝帶有惡意程式的應用服務,如安裝他們假造的Google Defender、McAfee Email protection (Yahoo)等。
    ►《延伸閱讀》
    激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?
    Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用
  • 魚叉式釣魚郵件詐騙(Spear-Phishing Campaigns):此類手法是為寄送帶有惡意附檔文件或是惡意連結的郵件給目標對象,再來利用吸引人的內容來引誘其下載或點選,目前已知案例有使用與來自CNN、半島電視台(Al Jazeera)、赫芬頓郵報(Huffington Post)或其他真實媒體報導的相同新聞標題來誘騙使用者點擊惡意連結。
  • 水坑式攻擊手法(Watering Hole Attacks):該手法為入侵目標對象經常瀏覽的合法網站,這些網站已被他們植入惡意程式碼,受害對象接著會被導入Pawn Storm的惡意網站,Pawn Storm再利用惡意程式來進行勘查活動,檢視目標對象執行中的任務、網域、共享資料夾、使用者資訊等等。

憑證授權網路釣魚(Credential phishing)專門騙取企業使用者的帳號密碼,對網路間諜行動來說,是一種非常有效的工具。許多網路使用者在經過一些教訓之後,現在都已經學會分辨網路釣魚詐騙,因此通常不會上當。例如,一些拼字和文法上的錯誤、看似不尋常的網址,或是瀏覽器上沒有顯示加密連線的圖案,都是使用者分辨網路釣魚詐騙的蛛絲馬跡。然而,像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。此外,登入憑證網路釣魚也是歹徒進一步滲透企業基礎架構的跳板。

企業如何防範像 Pawn Storm 網路間諜集團攻擊?

不論個人或機構,例如:前美國國務卿鮑爾 (Colin Powell)、總統候選人希拉蕊 (Hillary Clinton) 或是美國民主黨全國委員會 (DNC) 以及世界反禁藥組織 (WADA),都曾經是 Pawn Storm 集團的攻擊目標,儘管如此,您還是可以採取以下11 個措施來盡量防範網路犯罪攻擊:

  1. 盡可能縮小攻擊面,某些不需暴露在外的系統,就不要讓人經由網際網路存取。
  2. 要求遠端工作人員必須經由公司的 VPN 伺服器連上您的系統。
  3. 盡可能減少您所使用的網域名稱數量,並且將郵件伺服器集中。
  4. 防範您網域的 DNS 設定遭到篡改,挑選信譽良好的註冊機構,此外,您的 DNS 系統管理帳號必須採用雙重認證。透過註冊機構來凍結您的網域設定,避免您的網域遭到未經授權的變更。
  5. 在公司的網頁郵件實施雙重認證,或者使用實體金鑰 (如 USB 隨身碟) 來進行認證。
  6. 教育員工妥善保護其免費郵件帳號與社群媒體帳號,要求他們不要將這些帳號用於工作用途。
  7. 當您的員工出國出差或參加會議時,借一台乾淨的電腦給他們使用。在出差回來之後,將電腦上的資料全部清除,然後重灌作業系統。
  8. 外包廠商也可能成為資料洩密的來源,因此請務必挑選信譽良好的服務廠商。
  9. 教育員工如何養成良好的電子郵件和電子郵件帳號使用習慣,特別是,千萬不要將未經加密的敏感資訊保存在信箱內,切勿經由電子郵件傳送未經加密的敏感資訊。
  10. 找一家信譽良好的廠商定期幫您的網路進行滲透測試。此外,也做一下社交工程詐騙測試。
  11. 隨時修補並維持軟體更新。

 

如需關於 Pawn Storm 的完整資訊,請參考趨勢科技研究報告

 

原文出處: A Storm’s a Coming: How businesses can defend against threat actor groups like Pawn Storm

相關文章:

《看漫畫談資安 》「 Apple ID 帳號復原通知」有可能是網路釣魚?!
假「雙子殺手」線上看,真騙 LINE 帳密!
《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式