除了俄羅斯與烏克蘭之間的實體衝突之外,來自多個網路犯罪集團的網路攻擊似乎也在持續增加。趨勢科技的研究團隊已根據內部資料和外部報導進行了詳細的查證和檢驗,藉此提供準確的資訊來加強抵抗這些攻擊。而隨著事件的持續發展,我們也將不斷更新這篇部落格文章來提供經過查證的威脅資訊。
🔴俄烏衝突相關文章:
禁止銷售俄羅斯石油是否將引來更多網路攻擊?
在國際間發生重大事件的不確定時期,如何確保上網安全?
2022 年烏克蘭網路攻擊:網路資安地緣政治
全球網路攻擊:混亂的時代如何妥善管理風險 ?
資安警示:面對全球網路威脅動作頻頻之際的資安改善建議
自從 2022 年 2 月 24 日爆發以來,俄羅斯與烏克蘭的軍事衝突目前仍陷入膠著,除了地面上的實體戰鬥之外,據報網路上也出現了各種由個人、駭客集團、甚至是國家級駭客組織所發動的網路攻擊。
在資訊滿天飛的情況下,人們很難確認這些網路攻擊的真實性,更別說追溯這些攻擊的來源是由哪些個人或團體所為。而且,在網路上散播假訊息是一件非常容易的事,由於資訊在這場衝突當中扮演著重要角色,因此各路人馬都有理由藉機散播假訊息。除此之外,更有一些未直接涉入這場衝突的駭客集團也趁勢作亂。
本文蒐集了所有經過我們研究團隊查驗及確認的資料,為的就是要讓我們的客戶獲得正確的資訊以便自我保護。更重要的是,隨著事件的持續發展,我們將不斷更新這篇部落格文章來提供經過查證的威脅資訊。
Conti 表明支援俄羅斯政府
2022 年 2 月 25 日,Conti 勒索病毒集團 宣布將「全力支持」俄羅斯政府,而且如果有任何人對俄羅斯採取網路攻擊或戰爭行為,該集團將予以反擊。這段訊息張貼在 Conti News 資料外洩網站。
不過,就在這份聲明發布的幾小時後,該集團隨即態度放軟,只不過原因不明。Conti 是組織犯罪集團圈 (OCG) 內最專業的犯罪集團之一,旗下擁有各種不同的次級團體,就像傳統企業有各種部門一樣。因此,或許該集團內部有些成員並不認同他們一開始的聲明,因此才會做出調整。
就在其他知名勒索病毒集團因政府的掃蕩而紛紛關閉運作之際,Conti 的入侵活動 (趨勢科技命名為「Water Goblin」) 依然活躍。除此之外,我們也觀察到 BazarLoader 惡意程式的活動從 2022 年 2 月初開始突然暴增 (此惡意程式是 Conti 攻擊行動的重要推手)。
Conti 聊天記錄外流
根據外部來源指出,Conti 集團的聊天訊息已遭一名烏克蘭資安研究人員外流,該名研究人員駭入了 Conti 的 XMPP 聊天伺服器後台。趨勢科技研究機構 Trend Micro Research 也取得了這些聊天記錄檔,並在當中發現一些可用來當成入侵指標 (IoC) 的資料,詳情請參閱本文最後提供的入侵指標資訊。
這些聊天訊息包含了贖金討價還價的過程以及比特幣錢包位址,這些都能讓資安廠商及執法單位用來研究 Conti 集團的攻擊技巧和工具。
Conti 的洋蔥路由器網站 (contirec7nchr45rx6ympez5rjldibnqzh7lsa56lvjvaeywhvoj3wad.onion) 目前仍上線運作。我們也根據這一點找到了 Conti 最近使用的一些檔案,並命名為「Ransom.Win32.CONTI.SMYXBLD」。
Stormous 集團支持俄羅斯
目前我們看到烏克蘭和俄羅斯都同樣遭遇到一些不友善的行動,不過有些團體已經開始選邊站。例如專門從事網頁置換攻擊與資訊竊盜的 Stormous 勒索病毒集團,他們對外宣稱自己是一群使用阿拉伯語的駭客。該集團從 2021 年活躍至今,最近正式對外表明它們支持俄羅斯政府,並打算攻擊烏克蘭的政府機關,例如烏克蘭外交部。
在分析了該集團的惡意程式樣本之後,我們發現此惡意程式一旦成功入侵,就能讓駭客從遠端存取受害伺服器,並經由遠端上傳和開放原始碼資源 (如 Pastebin) 在伺服器上安裝各種客製化惡意程式。其行為 (如植入惡意程式、加密、發送勒索訊息) 有時不容易被發現,因為駭客會修改加密與解密金鑰,並複製網路上的勒索訊息。此外,由於駭客的後門程式或勒索病毒是以 PHP 開發,因此能隨時都能立即修改而不太費力氣。
其他值得注意的研究發現
除前述集團之外,Emotet 殭屍網路 (Epoch 4 和 Epoch 5) 自從 Emotet 集團在 2021 年 11 月死灰復燃之後,便一直相當活躍,只有零星幾段期間曾停止活動。這兩個家族一直都在主動散播 Cobalt Strike 信標。
BazarLoader 和 Emotet 都會在感染的第二階段散播 Cobalt Strike 信標。至於 Conti,我們也持續發現新的 Cobalt Strike 指令信標幕後操縱 (C&C) 基礎架構。值得注意的是,自從 2021 年 11 月之後,我們就未曾看過先利用 Emotet 來感染目標的 Conti 攻擊。
此外,我們也做了惡意活動數量的比較,並發現某些駭客正在利用當前的危機作亂。我們比較了 1 月和 2 月的資料之後發現,試圖使用「Ukraine」(烏克蘭) 為主旨來誘騙使用者的惡意網址與電子郵件數量在 2 月下旬突然暴增。
烏克蘭相關的垃圾郵件
每天,我們都會看到一些新的詐騙以及舊威脅的變種。此外我們也經由誘捕網路發現了一些與烏克蘭相關的垃圾郵件利用當前情勢來發起假募款或其他詐騙。這些垃圾郵件還會散播 Ave Maria 惡意程式,相關的 IoC 請參閱本文最後提供的清單。
以下提供幾個範例郵件的截圖:
圖 6:試圖利用當前衝突的詐騙範例。趨勢科技將持續主動發掘並偵測這些威脅,不讓他們有機會對客戶造成損害。
分析來自 CERT-UA 的報告
趨勢科技也從外部報告當中獲得了不少有關前述網路攻擊的珍貴資訊,尤其是烏克蘭電腦緊急事件應變團隊 ( CERT-UA ) 發布的烏克蘭受害目標的重要攻擊細節。此外,我們的威脅研究人員也分析和調查了這些最新的資訊。以下是 CERT-UA 所記錄的一些重大攻擊事件時間表。
隨著兩國的衝突持續升高,網路上的對立活動勢必也會增加。此外,針對烏克蘭的網路攻擊也可能意外波及其他國家,例如一些毫無防備的目標可能會感受到一些流彈攻擊。因此最重要的是,不論身在世界的任何角落,人人都應隨時關注烏克蘭境內的事態演變。
以下是趨勢科技針對 CERT-UA 通報的三起網路攻擊所做的分析和研究。
使用 WhisperGate 的網路攻擊
根據 CERT-UA 指出,在 2022 年 1 月 13 至 14 日之間,烏克蘭大約有 70 個政府單位網站遭到攻擊,網站內容遭到修改、系統遭到損毀。駭客似乎是經由供應鏈攻擊、OctoberCMS (一套企業內使用的內容管理系統) 以及 Log4j 漏洞來入侵這些單位。
這些攻擊有的會使用惡意程式來造成系統損毀,圖 8 顯示這些惡意程式的感染過程。此處所列的是 CERT-UA 使用的惡意程式名稱。
- BootPatch:此惡意程式會破壞主開機磁區 (MBR) 讓電腦無法開機。
- WhisperGate:此惡意程式會從架設在 Discord 上的 C&C 伺服器下載並執行其他惡意程式。
- WhisperKill:此惡意程式是由 WhisperGate 所下載,它會破壞某些副檔名的檔案。
WhisperKill 在設計上會將系統連接的所有磁碟上符合圖 9 所列副檔名的檔案破壞和重新命名,完成之後就會終止執行並將自己移除。WhisperKill 會尋找 A 到 Z 磁碟,並破壞第 3 類 (DRIVE_FIXED,固定磁碟) 或第 4 類 (DRIVE_REMOTE,遠端磁碟) 當中的檔案,如圖 10 所示。
此外,在 2 月 24 日也出現了有關另一起檔案破壞惡意程式的 報導,這個惡意程式更加精密,它會破壞系統的 MBR 以及磁碟內的檔案,這個惡意程式叫作「HermeticWiper」(亦稱為「FoxBlade」)。
使用 SaintBot 的網路攻擊
2022 年 1 月,據報有一系列的網路攻擊會散播假冒烏克蘭國家衛生局 (National Healthcare Service of Ukraine) 的網路釣魚郵件。這些郵件隨附了一個文件和兩個捷徑檔案,其中一個捷徑檔案會使用 PowerShell 來下載並執行 OutSteel 惡意程式。OutSteel 惡意程式接著會再下載 SaintBot 惡意程式來執行。2022 年 2 月,有報導指出網路上出現了假冒烏克蘭警方的網路釣魚郵件也會下載 SaintBot 惡意程式。
SaintBot 惡意程式在遇到語言識別碼 (LCID) 為俄羅斯、烏克蘭、白俄羅斯、亞美尼亞、哈薩克或摩爾多瓦的系統時就不活動 (參閱圖 11)。如此設計的原因不明,但烏克蘭也被列在其中或許是個錯誤,因為這波網路釣魚郵件顯然是針對烏克蘭而來。
此惡意程式樣本會試圖利用 Windows 10 的 Fodhelper 漏洞來略過使用者帳戶控制 (UAC) 機制。SaintBot 只要啟動 Fodhelper 程式並在系統登錄當中增加一個機碼 (參見圖 12) 就能以系統管理員權限從開機啟動資料執行自己的複本。
SaintBot 會蒐集受感染電腦的資訊,然後用 XOR 和 BASE64 演算法將資料加密編碼。接著這些資料會經由 POST 請求傳送至 C&C 伺服器。
此惡意程式樣本的 C&C 伺服器如下:
- hxxp://8003659902[.]space/wp-adm/gate.php
- hxxp://smm2021[.]net/wp-adm/gate.php
- hxxp://8003659902[.]site/wp-adm/gate.php
Gamaredon 所發動的網路攻擊
Gamaredon據說是一個從 2013 年即活躍至今的駭客集團。2020 年 3 月,日本所觀察到的攻擊據報應該是屬於流彈攻擊。2021 年 11 月,烏克蘭安全局 (Security Service of Ukraine) 發出一份公告指出 Gamaredon 應該是隸屬於俄羅斯聯邦安全局 (FSB)。此外,烏克蘭安全局還公布了攻擊的細節和竊聽錄音檔。趨勢科技也觀察到了類似的攻擊手法。
攻擊一開始是使用魚叉式網路釣魚郵件,郵件隨附一些暗藏遠端範本注入手法的文件檔案。在一起 2022 年 2 月 1 日觀察到的網路攻擊中,其下載的文件範本當中包含了加密編碼的惡意巨集。這個巨集會偷偷開啟一個文件 (~~AddFromString) 然後執行其中的「VZ01」函式 (Application.Run “VZ01”),接著關閉文件,請參閱圖 13 所示。
像這樣將惡意巨集注入到另一個文件的手法,在過去一個據稱是 Gamaredon 發動的攻擊當中也曾看到。
解碼之後插入的巨集會在「%APPDATA%:define (ADS)」目錄當中植入VBScript 腳本,然後再利用排程工作來執行這個腳本。此腳本會再從 C&C 伺服器下載另一個檔案來執行,就像其他攻擊所觀察到的情況。回傳給 C&C 伺服器的資料包含了一個被感染電腦的識別碼,使用的是假冒成 Yandex 瀏覽器的 User Agent。
以下是其他惡意檔案的下載網址:
- hxxp://<IP address of deep.deserts.coagula[.]online>/barefooted.cfg<Current Time + 1 second> (例如:hxxp://10.172.0[.]3/barefooted.cfg2022/02/03%2020:49:31)
如果下載的內容大小超過 16,965 個位元組,那就會儲存成「%USERPROFILE%\Downloads\demand.exe.tmp」檔案,接著將它重新命名為「%USERPROFILE%\Downloads\demand.exe」之後再執行。
資安建議與最佳實務原則
目前駭客集團的惡意活動正持續擴大,並利用各種新的工具和技巧來引誘受害者。以下是一些有助於廣泛防範各類攻擊的措施:
- 除非必要,否則絕對不要將基礎架構暴露在網際網路上。
- 確認所有帳號都啟用了多重認證 (MFA),而不是只有一些重要的帳號。
- 務必盡速安裝修補更新,尤其應優先套用在面對網際網路的基礎架構與一些敏感的系統,如網域控制器。
- 當發現任何可能有 BazarLoader、Emotet 和 Cobalt Strike 在內部活動的異常徵兆時,應立即啟動事件應變程序。
如需有關如何管理網路資安風險的更多指引,請參閱我們的這篇部落格文章。
結論
隨著局勢的緊張,網路也充斥著各種對立的觀點。不僅如此,即使是經過正確報導的同一事實,不同的觀點所帶給人的印象也大不相同。
同樣值得注意的是,訊息總是有可能誤傳的時候,不論是蓄意還是無意。這樣的訊息將導致不必要的誤會,進而加深彼此的隔閡。以下是一些我們研究人員在盡可能正確解讀訊息時所採取的一些預防動作:
- 留意自己是否有任何預設的立場 (偏見) 或是個人信念上的錯誤。
- 小心自己可能成了別人的宣傳工具。
- 了解沒有所謂的完全中立或公證的資訊來源。
- 區分資訊當中的「事實」、「意見」和「假設」。
- 可能的話,盡量追查重要資訊的主要來源。一個方式就是閱讀被引用的文章,仔細檢視完整的內容及其聲明背後的情境。
- 引用可靠的資訊來源,例如在發布之前會經過多名專家審閱的文章,以及專家所撰寫的文章。
如需完整的入侵指標 (IoC) 清單,請下載 這份文件。
原文出處:Cyberattacks are Prominent in the Russia-Ukraine Conflict