美國國土安全部 (DHS) 和聯邦調查局 (FBI) 發表了兩份聯合技術警示公告 (TA17-318A 與 TA17-318B),提醒大眾注意可能來自北韓的網路攻擊。這批攻擊屬於某個名為「HIDDEN COBRA」(隱藏的眼鏡蛇) 的駭客行動,其主要目標為美國及全球的重要產業。該行動主要使用兩個惡意程式:一個是名為「FALLCHILL」的遠端管理工具,另一個是名為「Volgmer」的後門木馬程式 (趨勢科技將兩者皆歸入 VOLGMER 家族)。
根據公告,HIDDEN COBRA 背後的駭客集團應該是從 2016 年開始使用 FALLCHILL 惡意程式,主要攻擊航太、電信與金融等產業。該程式會經由攻擊行動當中的其他惡意程式植入系統,或者經由駭客事先入侵的網站來散布。FALLCHILL 一旦感染某系統,駭客就會經由雙重代理器從幕後操縱 (C&C) 伺服器下達遠端指令。由於 FALLCHILL是採用惡意程式服務 (Malware-as-a-Service) 模式運作,因此受感染的系統很可能也會感染 HIDDEN COBRA 的其他惡意程式。
第二個惡意程式 Volgmer 的設計是為了讓駭客暗中進出受感染的系統。據報 Volgmer 最早在 2013 年被發現,主要攻擊目標為政府機關與金融、汽車、媒體等產業。Volgmer 的主要感染途徑是魚叉式釣魚攻擊(SPEAR PHISHING)郵件的惡意附件檔案。Volgmer 具備了各式各樣的功能,包括:蒐集系統資訊、下載及上傳檔案、執行指令、終止執行程序,以及列出檔案目錄。其中一個專家分析到的樣本還具備操控「Botnet傀儡殭屍網路」的功能。
儘管網路攻擊要追根溯源並非易事,例如 OnionDog (洋蔥狗) 攻擊行動事後即證明只是某個網路攻擊演習而非真正的惡意行動,但這批攻擊行動針對重要產業的事實卻相當明確。由於該行動在同時間攻擊了相當多的企業機構,因此美國電腦緊急應變小組 (US-CERT) 在其發出的通告當中提供以下建議來降低這類惡意程式的危害:
- 採用應用程式白名單機制來盡可能防範惡意軟體與非經核准的程式進入系統。
- 定期修補與更新系統軟體,避免漏洞遭到攻擊。
- 採取最佳實務原則來對抗電子郵件威脅,例如:停用電子郵件巨集。
學習如何降低電子郵件威脅與網路釣魚攻擊。
此外,採用可同時保障使用者與企業安全的全方位資安軟體,也可降低 FALLCHILL 和 Volgmer 的衝擊。
趨勢科技端點防護產品,如:趨勢科技 趨勢科技 Smart Protection Suites 和 Worry-Free Pro 可讓使用者和企業偵測惡意檔案及垃圾郵件,攔截所有相關的惡意網址以防範上述威脅。此外還有趨勢科技 Deep Discovery 可提供一道額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。
搭載 XGen安全防護端點防護的趨勢科技 趨勢科技 OfficeScan™結合了高準度的機器學習與其他偵測技術和全球威脅情報,提供完整的進階惡意程式防護。
原文出處:Alleged North Korean Campaign HIDDEN COBRA Targets Critical Industries