G20 數位經濟工作小組高峰會即將來臨,網路間諜集團 Turla 提早部署後門程式
主要針對政府,高級官員和外交官的 Turla 網路間諜集團,這次鎖定G20 數位經濟工作小組,根據 媒體報導,該網路間諜集團目前正緊盯著即將在德國漢堡舉行的 G20 數位經濟工作小組高峰會,並提早部署一個叫作 KopiLuwak 的後門程式 (趨勢科技命名為 TROJ_KOPILUWAK.A、 JS_KOPILUWAK.A 和 JS_KOPILUWAK.B),專門鎖定所有受邀人員、來賓及各國代表。此後門程式除了會竊取資料之外,還會下載更多惡意程式到受感染的電腦上執行,或者執行其他指令。資安研究人員已經通知德國電腦緊急應變聯合中心 CERT-Bund。
[延伸閱讀:何謂魚叉式網路釣魚,您該如何防範?]
假的 G20 工作小組高峰會 PDF邀請函,引誘受害者開啟
根據觀察,Turla 的最新行動很可能會利用水坑式攻擊和魚叉式釣魚攻擊(SPEAR PHISHING)郵件並利用一個假的 G20 工作小組高峰會邀請函來引誘受害者開啟。這項會議即將在 10 月舉行,資安專家發現,前述魚叉式網路釣魚郵件所挾帶的 PDF 文件 (檔名「Save the Date G20 Digital Economy Taskforce 23 24 October.pdf」) 似乎是個正常檔案,但卻只是個分散注意力的誘餌。此外它會在系統植入一個惡意 JavaScript 檔案,解密之後會在受感染電腦記憶體內執行 KopiLuwak。
[延伸閱讀:APT10/menuPass 的網路間諜行動 Operation Cloud Hopper 攻擊託管式服務供應商]
Turla 網路間諜集團曾將攻擊指令隱藏在小甜甜IG照片留言中
Turla 是一個俄羅斯的網路間諜集團,以獨特、隱密的攻擊手法聞名。曾經在六月在小甜甜布蘭妮 (Britney Spears) 的一則 Instagram 貼文回應中留下惡意軟體與幕後操縱 (C&C) 伺服器聯繫的攻擊指令, 而登上新聞媒體,他們所散發的惡意程式會偽裝成 Firefox 瀏覽器的延伸功能/外掛程式,並經由一個已遭入侵的瑞士網站散布。2015 年 9 月,他們曾成功利用安全性不佳的衛星網際網路服務來隱藏其 C&C 伺服器。 2014 年 12 月,該集團曾經使用一個專門針對 Linux 作業系統的開放原始碼後門程式。
[TrendLabs 資訊安全情報部落格:Pawn Storm 趁零時差漏洞修補之前加強魚叉式網路釣魚攻擊火力]
Turla 的最新攻擊行動有點類似其他網路間諜集團如 Pawn Storm 和 ChessMaster 所採用的手法。也就是利用一些當前的時事和正常的文件來當作分散注意力的誘餌,然後在背後安裝後門程式到電腦上。如此一來,他們就能在目標內部網路橫向移動,伺機竊取機密資料和營運關鍵資訊。
這波網路間諜攻擊突顯出企業主動防範駭客入侵的必要。IT 系統管理員和資安人員應確實採取一套 最佳實務原則來防範針對性攻擊。隨時保持作業系統與應用程式更新是理所當然的,如此可防止駭客利用軟體漏洞進入系統。此外,也可考慮採用虛擬修補技術來防堵一些廠商尚未釋出更新或不再修補的漏洞。可能的話,盡量採取最低授權的原則,能不開放的權限就不要開放。妥善保護您的電子郵件閘道,更重要的是要建置一套包含多層安全機制的縱深防禦,來確保企業關鍵資產的安全性、一致性與可用性。
趨勢科技解決方案
Deep Discovery 能即時偵測、深入分析、並主動回應今日隱匿的惡意程式與針對性攻擊。它提供了一套專為企業量身訂做的完整防禦來對抗針對性攻擊和進階威脅,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測 Turla 網路間諜集團攻擊行動當中的各項威脅。
趨勢科技 Hybrid Cloud Security 解決方案是以趨勢科技 XGen™ 防護為後盾,並包含趨勢科技 趨勢科技Deep Security™ 解決方案,提供了跨世代融合的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載和伺服器而最佳化。
原文出處: Cyberespionage Group Turla Deploys Backdoor Ahead of G20 Task Force Summit