超過ㄧ萬受害IP 遍佈百國 以亞洲地區國家為大宗
【2013 年 5 月 30 日台北訊】趨勢科技發現一個名為「Safe」的全新鎖定目標攻擊,攻擊對象為政府機關、科技公司、媒體、研究機構,以及非政府組織。Safe 攻擊的散布方式採用魚叉式網路釣魚(Phishing)電子郵件,內含專門攻擊 Microsoft Word軟體漏洞 (CVE-2012-0158) 的惡意附件檔案,惡意程式入侵電腦後將與C&C伺服器連線,近而竊取受害電腦資料並且下載更多惡意程式。根據趨勢科技的追蹤分析,已知有近12,000個受害IP,受害者遍佈超過 100個國家,平均每天有71個受害IP連往C&C 伺服器,其中最大宗受害IP來源國集中在印度、美國、中國以及巴基斯坦。
圖一:受害IP遍佈全球100多個國家,
前五名中除了美國外,其餘皆為亞洲地區國家。
這項攻擊首度現身於 2012 年 10 月,「Safe:鎖定目標威脅」(Safe: A Targeted Threat) 研究報告指出,「 Safe」鎖定目標攻擊使用的是專業軟體工程師所開發的惡意程式,這些工程師可能與地下網路犯罪集團有所關聯。趨勢科技病毒防治中心 Trend Labs 資訊安全專家 Macky Cruz 表示:「我們觀察到一些較小型攻擊正逐漸興起,不同於以往資安業界所熟知的較為大型且行跡較為明顯的攻擊,此類小型攻擊採用email社交工程手法,入侵特定全球企業及機構,Safe 攻擊就是這樣一個例子,它使用少數的幕後操縱伺服器、新型惡意程式,並且僅針對特定目標進行鎖定攻擊。」
圖二:Safe 鎖定目標攻擊運用電子郵件樣本。
針對此類新興小型攻擊的鎖定目標攻擊,趨勢科技建議大型機構以及企業應該:
- 加強企業內部對於重要主機和網路封包流量是否異常的偵測能力
- 定期加強主要資料主機檔案的偵測能力,以便提早發覺是否有異常新增檔案或資料夾,提早發現鎖定目標攻擊的線索。
- 加強企業或機構內部IT相關人員對於資訊安全防護的知識以及分析能力,方能為企業資訊安全進行第一道的把關。
趨勢科技提出針對此類鎖定目標攻擊《客製化防禦策略》 ( CDS) ,其中的幕後操縱通訊防範技術,能讓網路、閘道、伺服器及端點等防護點擁有獨特的客製化偵測及防護能力,並且提供集中式警示與幕後操縱風險情報,能隨時掌握及掌控駭客的幕後操縱活動,協助企業在傷害造成之前預先採取行動。 如需更進一步的詳細產品資訊,請參考: https://enterprise.apac.trendmicro.com/APT/ 。
「Safe:鎖定目標威脅」(Safe: A Targeted Threat) 研究報告請參閱:https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-safenet-a-targeted-threat.pdf。
如需「Safe:鎖定目標威脅」(Safe: A Targeted Threat)進一步的資訊,請參閱:https://blog.trendmicro.com/trendlabs-security-intelligence/safenet-a-targeted-threat/。
◎延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例